绿盾信息安全管理软件解决方案广东南方数码科技有限公司2013年3月©版权所有·南方数码科技有限公司一、背景简介 (4)二、现状 (4)三、绿盾简介 (5)3.1系统架构 (5)3.2系统概述 (5)3.3绿盾主要功能 (6)四、绿盾功能介绍 (6)1、文件自动加密 (6)1.1 文件自动加密 (6)1.2文件外发途径管理 (7)1.3文件审批流程 (8)1.4文件自动备份 (8)1.5离线管理 (8)1.6终端操作员管理 (9)2外网安全管理 (10)2.1网页浏览监控 (10)2.2上网规则 (10)2.3 流量统计 (10)2.4 邮件内容监控 (10)3、内网安全管理 (11)3.1屏幕监控 (11)3.2实时日志 (11)3.3聊天内容记录 (11)3.4程序窗口变化记录 (11)3.5文件操作日志 (11)3.6应用程序限制 (11)3.7远程操作 (12)3.8资源管理器 (12)4、设备限制 (12)5、USB存储设备认证 (12)五、绿盾优势 (12)1、产品优势 (12)2、功能优势 (13)2.1高强度的加密体系 (13)2.2完全透明的文件自动、实时加密 (13)2.3文件外发管理功能 (13)2.4灵活的自定义加密策略 (14)2.5强大的文件备份功能 (14)2.6全面的内网管理功能 (14)2.7良好的平台兼容性 (14)3、技术优势 (14)3.1驱动层加密技术 (14)3.2自主研发性能优越的数据库 (15)3.3可自定义的受控程序 (15)4、实施优势 (16)六、服务体系 (16)1、技术支持服务内容 (16)2、响应时间 (16)3、维护 (16)一、背景简介随着计算机网络技术和数字通信技术飞速发展，信息网络技术的应用层次不断深入，应用领域从传统的小型业务系统逐渐向大型、关键业务系统扩展，大量的技术和业务机密存储在计算机和网络中，对网络安全性要求变得越来越高，需要有效地制定安全策略来保护机密数据信息。

而事实上，随着企业信息化进程的加速，内部泄密正在成为企业内部数据安全的最大威胁之一。

另外，随着全国涉密测绘成果检查的开始，以及各地涉密CAD图纸外泄事件的发生，涉密CAD图纸的保密性越来越受到关注。

同时，也无法约束CAD图纸使用方对图纸使用期限、操作的限制。

图纸使用方对图纸的任意更改，对图纸无限期、任意权限的使用甚至对图纸的再次销售都在侵害甚至蚕食着图纸发布方的自身利益。

二、现状近几年来，随着测绘信息化工作的不断发展，多半数据处理在计算机的协助下快速完成，大量涉密信息存放于计算机硬盘的各个角落，且图纸实现共享。

而电子文档在方便共享的同时也使得泄密变得容易，难以得到有效控制。

另外，移动存储设备的随意拷贝使用，这是造成涉密数据泄密的另一原因，从而造成涉密CAD图纸的泄密，给单位造成不必要的损失。

单位信息面临的主要问题:✓主动泄密：内部人员将资料通过U盘或移动硬盘从电脑中拷出带走；内部人员通过互联网将资料通过电子邮件发送到自己邮箱；内部人员将文件内容通过复制粘贴到聊天工具传送出去；内部人员将文件内容打印并带走。

✓被动泄密：电脑转手或丢失后，硬盘上的资料没有处理，导致泄密；存有资料的移动存储设备借给他人使用，导致他人获取资料；✓恶意破坏：员工离职恶意删除或格式化硬盘，破坏重要资料✓越权读取：公司机密信息无法设置阅读权限。

绿盾信息安全管理软件，采用国际先进的透明加解密驱动技术，在不改变企业用户工作习惯的情况，不知不觉中完成文件的加密。

作为国内最优秀的企业级文件加密系统，绿盾能够从根本上保护单位重要资料文件的安全。

三、绿盾简介3.1系统架构3.2系统概述绿盾信息安全管理软件，旨在通过对企业重要的文件数据进行加密处理，从根本上有效地保护企业的知识产权和商业机密。

在数据通讯和文件存储手段高速发展、人员流动更为频繁的今天，经过加密的文件不再担心被复制或外传，企业的管理者也可以不用再为企业技术机密的泄漏而头疼不已了。

绿盾采用国际最先进的Windows底层文件驱动过滤技术，通过计算机底层操作系统实现对计算机本身及外围存储设备的数据进行严格的加解密控制。

采用透明加解密技术，在不改变企业用户原有工作习惯和工作流程的情况下，对指定的应用程序和指定后缀的文件进行自动加解密密处理，不需要人工输入加解密密码。

同时，通过灵活的加密策略的配置、分组和分级权限控制，完全达到企业对文件安全性和管理人性化的双重性。

3.3绿盾主要功能通过透明加解密、控制传播途径可以防止单位内部机密电子信息泄露；通过设置文件阅读权限可以防止单位内部不同部门越权使用文档；通过详尽的日志记录可追查信息泄露的渠道；内核层的加解密可以普遍适用于各种格式的电子文档；通过文件外发控制从根本上解决文档的二次传播，有力保障企业信息安全；通过对计算机操作的监控可以有效管理员工电脑的使用，提升办公效率；四、绿盾功能介绍1、文件自动加密1.1 文件自动加密绿盾信息安全管理软件主要是针对企业的重要文件进行加密。

杜绝使用U 盘、软盘、光盘，电子邮件等方式窃取企业的机密技术文件、设计图稿、会计帐目、战略计划书、研究论文等文档。

当授权员工在企业内部打开受保护文件时，他可以像操作普通文件一样的通过鼠标左键双击，或者右键的“打开”命令来应用这个文件。

在文件打开的过程中，透明解密过程在系统后台完成，对用户操作习惯没有任何影响。

如果这个加密文件被利用MSN、QQ、电子邮件、移动存储设备等手段传输到企业授权范围以外（企业外部），那么它将无法被打开和应用，并且始终保持加密状态。

将文件拷贝到网络外或者没有安装绿盾终端的电脑上，将显示乱码。

1.2文件外发途径管理绿盾信息安全管理软件可针对一些需脱离公司网络使用，或业务往来时需外发给客户的文件进行解密。

1.2.1申请解密员工可在线的管理人员（自动显示有受理解密申请权限的在线终端）发出申请，管理人员可以查看该文件的内容并选择是否同意解密，同意解密后，员工终端点击“下载解密文件”下载文件即可。

1.2.2批量解密具有批量解密权限的员工可点击任务栏终端图标，选择“批量解密”，在弹出的“批量解密”窗口中选择要解密的文档，点确定即可。

1.2.3外发文件制作绿盾信息安全管理软件的外发制作功能主要是针对一些重要文件需脱离公司网络外发给客户时，对这些外发文件的安全性具有很高的要求而设置的，外发制作功能可对外发文件进行阅读时效、阅读次数、阅读权限或只允许在一台电脑上打开等限制，有效地提高这些文件的安全性。

有两种外发功能可供选择：一是“打印外发”，即做成类似PDF的只读文件，只能阅读，不能修改，也不能打印，这种适用于纯文本信息以及对图像质量要求不高的文件；二是“直接外发”，即保持原文件的格式以及加密状态，外部电脑通过运行微型终端来打开文件。

1.3文件审批流程审批流程，是为了使终端解密申请、离线申请、打印外发申请和直接外发申请的受理更加规范和安全而设计的。

原本的解密、离线、打印外发申请，终端可以自行选择授权操作员来受理，直接外发文件必须有允许制作直接外发文件的权限才可以制作，不能申请。

审批流程改为由管理员设置相应的流程来处理解密、离线、打印外发和直接外发申请。

审批流程可以针对不同的分组、终端以及不同的申请功能设置多个流程，由多个操作员审批，按照需求决定哪些操作员执行哪些既定的流程。

1.4文件自动备份文件备份记录这一功能主要用于防范重要文件遭破坏或遭恶意删除等情况。

在绿盾终端电脑上操作过的加密文件均会在绿盾服务端的指定目录（此目录可由管理员自由设置路径）下有备份，预防重要文档遭恶意删除或破坏。

注意：备份的文件是以绿盾终端上的文件路径为标志，即终端电脑上不同路径下保存的相同文件名的文件在服务器上均有备份（在不同终端上的同名文件也有分别备份）。

1.5离线管理绿盾终端根据事先配置好的规则完成加解密操作，从加解密本身来说，不管终端与服务端的网络是否联通，都是能正常工作的。

但为了提高安全性，防止长时间脱网，所以终端需要定时与服务端通信。

对于离线的管理，绿盾提供两种方式：短期离线和长期离线。

1.5.1永久离线终端永久离线终端也就是离线终端。

主要运用于脱离总部，长期或永久在外面使用的电脑，一般是分公司或办事处。

使用离线终端，可保证总部与分部之间的资料都是加密的，可以互相访问，又可以控制分部的资料，防止外泄。

1.5.2短期离线短期离线策略适用于公司内部笔记本电脑的日常移动使用，如每天下班后笔记本电脑带回家，可以在脱离公司网络后的一段时间内正常使用电脑上的加密文件。

还可以用于处理一些特殊情况，如服务器关机或发生故障导致终端不能与服务器通信时，终端还可以在一段时间内正常进行文件的加解密（解密是针对有批量解密权限的终端，没有权限的无法申请解密），确保办公不会因此中断。

短期离线策略是和终端类型绑定的，不用每次都设置。

短期离线策略在终端类型的安全选项中设置，短期离线策略的时间最长可设置为32767小时。

1.6终端操作员管理1.6.1终端操作员设置每个终端操作员都可以设置成属于某种终端类型。

绿盾默认有两种终端类型：“普通终端（默认）”和“高级管理人员”。

主要的区别在于“加密类型”的不同。

加密类型包括：只解密不加密和透明加解密。

终端类型可以添加、修改、删除。

1.6.2终端操作员管理权限绿盾信息安全管理软件具有“操作员权限”的管理功能。

a)阅读文档权限：当企业要求某一部门的文档只能在指定部门内流通，禁止其他部门的终端操作员使用该文档时，可以使用软件的“阅读文档权限”功能。

该功能可以授权终端操作员允许使用指定部门的文档，而无法阅读、使用其他部门的文档；同理，其他部门的中断操作员也无法查看未经授权的部门内部的文档。

b)受理解密申请权限：当终端用户需要外发文件时必须将文件解密后才能外发，这时可在线向拥有“受理解密申请”权限的终端操作员发送“申请解密文件”；c)受理外发文件申请权限：当终端用户需要外发机密文件时，想对外发文件进行设置阅读时效、阅读次数、打开密码等权限，这时可在线向拥有“受理外发申请”权限的终端操作员发送“申请外发文件”；d)受理离线申请权限：当终端用户需要带笔记本电脑出差时，需要向拥有“受理离线申请”权限的终端操作员发送“离线申请”才可在脱离公司网络后正常使用加密文件；e)权限的设置：“阅读文档权限”、“受理解密申请”、“受理离线申请”均可在“终端操作员”的添加、修改的时候设置。

2外网安全管理2.1网页浏览监控主要是针对员工网页浏览操作日志进行监控，可对某条网页浏览记录直接打开阅读，也可将员工网页浏览日志导出到excel文件。

2.2上网规则可对终端的上网行为进行限制，包括禁止或只允许浏览制定网站、端口限制。