GS-EDS数据防泄密系统

纯真软件的数据防泄密系统采用独特的高强度的软硬件相结合的方式加密受控文件,同时密钥与服务器硬件、加密锁绑定,帮助设计企业解决企业内网安全、企业内容安全和图文档防扩散等问题。。加密后的文件在企业内部可以正常使用,在企业外部则由于不能获得文件的密钥,无法解析文件的加密数据,从而使受控文件一旦离开企业就无法使用,以解决长期困扰企业因电子文档泄密而给企业带来的严重损失。

一、常见的安全问题

1、怎样确保设计院内部与外部之间重要电子文档的畅通、安全的交流;

2、如何保障各应用、办公系统等数据的存储和使用安全;

3、如何保障终端数据的离线安全;

4、如何保障电子文档整个生命周期内,在办公终端、业务系统之间流转的安全;

5、如何解决与外协人员、合作伙伴等的数据交互安全;

6、如何保障移动设备、存储介质的数据安全。

7、如何解决外泄数据的可追溯性。

常见问题.jpg

二、设计理念

事先防御:所有重要数据都以加密形式存在,防止一切人员包括文档作者对企业数据的泄密与扩散。做到拿走了,用不了。

事中控制:周密考虑文档操作者包括文件作者的不规行为,如另存、复制、邮件发送、打印、拷屏、OLE等操作,严格控制文档的扩散。做到谁能干,要授权。

事后追踪:通过日志记录管理端的管理操作及客户端对文件的各种操作。做到谁干过,有记录。

外发加密:外发的图纸文档通过限制使用次数、使用时间,做到发出去也保密。

全过程监控加密.jpg

三、实现效果

1、不改变原有操作习惯

安装了GS-EDS的客户端,在使用的过程中没有改变使用者以往的任何操作习惯,Office、CAD软件的使用界面也没有任何变化,唯一改变的是最终产生的文件是加密文件。

2、便捷、完善的加密机制

经加密后的文件需通过专用的解密工具进行解密后,才可外发并脱离企业内部使用,否则文件会因验证码和硬件环境不符而无法打开和浏览,不同企业的加密文件互不通用。

3、实时、动态加密

数络电子文档安全管理系统GS-EDS安装并完成初始化后,企业中将不存在非加密的受控电子文件,客户端上的图纸文件实时处于加密状态。

4、高效、稳定的加密算法

采用与软硬件相结合的加密技术和灵活、高效的加密算法,使工作密钥动态变化,对同一文件多次加密,其密文也不一样。

5、细粒度的权限控制

系统具备完善的权限管理机制,可设定不同用户的只读、修改、打印等权限,文件作者还可将部分文档管理权限授予其它用户。

另外,作者可以根据需要设定文档的使用时间和打开次数,实现对文档权限更为全面精准的控制。可以实时更改和回收文档权限,实现对权限的动态控制。

加密不改变习惯.jpg

四、主要功能

文件加密
操作控制
硬件控制
出差管理
外发控制
用户管理与权限控制
核心数据自动备份
原有数据自动加密
日志审计
高效系统部署

文件加密时,实现一文一密,对任意的格式文件都可以进行加密控制,并且企业密钥唯一,支持客户自定义密钥。


方案一:灵活加密形式,右键加解密模式。

文件创建者可以右键选择加密或不加密文件,加密的文件经过打开、保存、另存、导入、导出、OLE插入等操作时仍为密文;明文文件,进行打开、保存、另存等操作后仍为明文。

通过权限控制可以实现加密文件的内容不能复制到明文文件中,明文的内容可以复制到密文中。


方案二:全过程强加密流程。

无须输入口令,在文件打开、保存、另存、导入、导出、OLE插入等操作时,动态、实时加密受控文件。管理员通过配置相关策略,发送全盘加密命令,可自动加密用户磁盘上的所有指定格式的文件。

在此过程中,对高层管理者提供VIP模式,即可以查看加密文件,但自己创建的文件可以选择加密或不加密。



文件加密时,实现一文一密,对任意的格式文件都可以进行加密控制,并且企业密钥唯一,支持客户自定义密钥。

方案一:灵活加密形式,右键加解密模式。

文件创建者可以右键选择加密或不加密文件,加密的文件经过打开、保存、另存、导入、导出、OLE插入等操作时仍为密文;明文文件,进行打开、保存、另存等操作后仍为明文。

通过权限控制可以实现加密文件的内容不能复制到明文文件中,明文的内容可以复制到密文中。

方案二:全过程强加密流程。

无须输入口令,在文件打开、保存、另存、导入、导出、OLE插入等操作时,动态、实时加密受控文件。管理员通过配置相关策略,发送全盘加密命令,可自动加密用户磁盘上的所有指定格式的文件。

在此过程中,对高层管理者提供VIP模式,即可以查看加密文件,但自己创建的文件可以选择加密或不加密。


所有不规范的操作都会被GS-EDS不动声色的阻止。通过密级与权限控制,对访问合法人员必须经授权、访问权限包括阅读次数、打印次数、是否可截屏、是否可编辑、阅读时间等,从而避免涉密核心数据泄密。

OLE控制:支持不同应用程序间的OLE操作权限控制,防止OLE复制、OLE链接:OLE插入、OLE拖放等扩散渠道。

复制控制:支持不同应用程序间复制的操作权限控制,防止内存复制、粘贴进行扩散。

拷屏、录屏控制:支持控制系统拷屏键和第三方拷屏、录屏工具。

桌面共享控制:支持对第三方桌面共享软件进行控制。

文件发送控制:支持对QQ/MSN 文件发送、邮件发送等进行控制。

1)移动存储设备管理

支持对U盘、USB移动硬盘等存储设备控制:可以完全控制,或者只读控制;支持U盘认证,同时认证U盘不能够在公司以外使用。

2)打印控制管理:

控制打印机驱动的安装和删除;为每台计算机设置打印机权限,打印的策略包括禁止打印(包括打印到虚拟打印机、PDF插件打印机等扩散渠道)、禁止打印到文件、启动打印水印、启动打印快照、启动打印时间等,通过打印日志实时监控。


1) 软授权:

员工外出前,需向系统管理员提出外出办公申请,由系统管理员对该笔记本电脑设置离网使用策略(许可证模式),根据外出的时间(时段)进行控制,使外出人员在规定的时间(时段)内对该电脑内加密文件能正常浏览。一旦超出规定的时间,加密机制自动失效,该电脑内加密文件将无法正常使用。如需要继续使用,则可请求公司通过邮件等方式提供新的激活程序。

3)USBkey授权:

员工外出前,向系统管理员提出外出办公申请,由系统管理员提供与服务器相同密钥的USB硬件锁,人员外出时配备,并与已安装GS-EDS系统的计算机联机使用,回公司后归还。这种方法的优点是方便,灵活,可以回收。

发送到协作单位和客户的外发数据,可以做丰富的权限控制;并且可以确保企业的机密数据只能被经过授权的人,在授权的应用环境中,在指定的时间内,进行指定的应用操作,并且整个过程会被详细、完整的记录下来,以便您对数据的访问记录进行安全审计。
当外发文件打开时,用户需通过身份认证(支持密码、安全U盘、加密UKey),方可阅读文件,并且可以限定其使用时间和次数以及其复制、打印、拷屏、远程桌面、OLE等权限,从而有效防止了重要信息被二次扩散。外部电脑打开时必须联网,发送端读取硬件信息,并锁定,其他电脑无法再使用此文件包。并且可以限定其使用时间和次数。

支持通过不同的密钥级别设置,实现不同组织、部门、个人之间文件隔离,之间需要相互访问时,需要申请审批授权。

采用人员与文档定密的方式对系统中所有用户进行统一的密级管理,用户与文档的密级分为绝密、机密、秘密、非密四种。用户与密级强制绑定。在文件交换时,文件不能由高密级用户传到低密级用户。

1)部门隔离

企业人员根据不同部门,不同岗位定义不同级别如:销售部门、技术部门、财务部门、办公室等,领导直接访问下属文件,自己文件则需授权才能给属下使用,既保障了工作的灵活性,又保证了文件的安全性。

2)文档授权

高密级的文档必须自主降密并授权后,低密级的用户方可访问,对文档授权支持文件只读、打印、写入、完全及时效等控制。可以随时追加或收回用户对某个密文文件的操作权限,即使密文文件已经发出去,也能够通过撤销相应用户的权限,使其无法阅读,从而及时避免误发造成的泄密。

设计院内部办公人员在终端电脑上,新建、编辑的加密文件会自动备份并上传到服务器进行保存,防止误操作或恶意删除带来的文件丢失,特别是员工离职格式化硬盘导致的文件永久丢失。
GS-EDS客户端安装后,会自动对指定盘符、指定格式的文档进行扫描加密,解决企业原有文档的安全问题。

GS-EDS系统提供系统管理员、安全保密管理员和安全审计员等岗位。


u 系统管理员:实现对系统的运行维护操作;

u 安全保密管理员:对用户帐号、策略、日志等进行分级管理;

u 安全审计员:对系统管理员和安全保密管理员的行为进行审计。


不同管理员的权限设置相互独立、相互制约,确保GS-EDS系统满足“三权分立”原则。支持日志的分类查询、查看、删除、导出等功能。

GS-EDS支持远程分发安装,甚至可以在企业正常运工作时,悄然把系统部署完毕。