電子文檔保護

據有關權威部門統計數據顯示，隨著各行業在生產、管理上信息化程度日益增高，計算機泄密行為也呈上升趨勢。而計算機泄密最大的特點就是較之一般侵占案件，其手段更隱蔽、危害也更大。一個惡意的機密泄露事件往往會給企業造成難以估量的後果：輕則需要投入巨額資金進行補救，重則會將一個企業置之死地。權威數據顯示，幾乎所有的中國企業對電子文檔都沒有任何防護措施，企業對於信息有保護措施的不到3%。一些機密性的資料，電子文檔輕易就可以的通過電子郵件和移動硬碟泄密到網路外部。

日前，SearchSecurity網站針對358名企業信息化負責人進行了一項關於企業信息安全的調查。調查的結果顯示，目前企業機密泄露30%~40%是由電子檔案的泄露造成的，而《財富》排名前一千家的公司，每次電子文檔泄露造成的損失約為400萬元美金。

涉密文檔直接或間接的泄漏與破壞大都是在各種各樣不設防的情況下，相關人員進行涉密文檔的操作過程中發生的；越是內部人員越疏於防範也就越容易發生涉密文檔失泄密事件。從而導致大量的涉密、核心文檔有意/無意的泄漏和流失往往是不為人知的，就像螞蝗一樣不斷的侵蝕著涉密資產和核心競爭力。一旦到了事情敗露，帶來的巨大損失早已是無法挽救和彌補的！那么什麼樣的產品才能真正起到對重要資料的完全保護？怎樣才能最大程度保障企業的核心電子信息資產安全？

實際上，很多公司也已經意識到保護電子檔案的重要性，但是苦於找不到適當的方法，只好採用防火牆/VPN、防病毒、入侵檢測、物理隔絕、加密解密等手段。但是這些方法各有各自的弊端，無法對電子文檔保護實現高安全性。例如，防病毒、入侵檢測等技術主要圍繞著企業信息的外圍安全展開，卻很少涉及到信息內容本身的保護；而物理隔絕方式比方關閉USB連線埠則嚴重影響日常工作的效率，因為網路給工作帶來的高效、便利是不可取代的，或者完全物理隔絕網際網路，同事也帶來信息的嚴重滯後、信息往來的效率低下等缺點；另外，單純的加密解密檔案的方式，不能保證信息持久的安全，當檔案加密後，在傳輸到其他接收者的過程中是安全的，一旦檔案被正常解密使用之後，被還原的檔案就相當於失去了保護控制，無法繼續保證信息的後續安全。

如今，專業的電子文檔安全產品已經紛紛湧入市場，並且越來越受到企業用戶的關注和青睞。它們集用戶身份驗證、許可權分級控制、加密解密、審計日誌、資料庫等多項安全技術於一身，在文檔安全領域大顯身手。

這類產品通常具有以下特點：

一、專業文檔安全產品，加解密的過程並不會改變使用者的使用習慣。用戶如果被授權，則檔案的使用與普通檔案無異；但是如果用戶的許可權不足，則自動禁止該用戶使用檔案。

二、該類產品支持多種檔案格式的保護功能，對原文實現高保真展現。例如很多設計公司經常會用到的CAD檔案，既要做到安全保護，又能否完美展現CAD檔案中的圖層等專業效果，這也是判斷該類產品好用與否的一個參考標準。

三、專業的文檔安全產品，可實現檔案集中存儲和分散管理相結合。檔案集中存儲可以保證企業的核心知識資產的高級別保護，不會因員工離職故意的帶走機密文檔。而檔案內容分散管理的優越性在於既減少了網路傳輸量，提高了工作效率，又充分保證了文檔的真正安全。

四、專業文檔安全產品還可以保證離線文檔的使用安全。在無法聯網的情況下，系統都提供了外帶功能，同樣可以保證文檔的使用安全。離線使用時，檔案依然在許可權控制和使用有效期的限制下，再結合本地身份認證、硬體綁定、記錄離線使用情況等手段，這樣才是真正做到了萬無一失。

五、許可權的管理和日誌審計也是專業文檔安全產品必備的功能。一個好的文檔保護產品只有將許可權細緻劃分，才可以讓正確的人在正確的時間以正確的方式訪問正確的文檔。日誌審計功能既可以監督各文檔和各管理員的操作行為，又可以對泄密事件進行跟蹤追溯，保證文檔丟失了可以追查到。

六、專業文檔安全產品還可以集成企業的各種信息套用系統，以滿足用戶的多樣化需要。因為工作原因，使用了一些相關文檔保護產品，感覺各有千秋。比如上海頤東公司的“英賽虎”企業文檔安全產品，其基本包含上述基本功能，同時還可以為企業提供各大功能模組組合式選擇，以實現用最高的性價比，使用起來，感覺頗為方便。

數據安全保護系統是廣東南方信息安全產業基地公司，依據國家重要信息系統安全等級保護標準和法規，以及企業數字智慧財產權保護需求，自主研發的產品。它以全面數據檔案安全策略、加解密技術與強制訪問控制有機結合為設計思想，對信息媒介上的各種數據資產，實施不同安全等級的控制，有效杜絕機密信息泄漏和竊取事件。

數據安全保護系統的保護對象主要是政府及企業的各種敏感數據文檔，包括設計文檔、設計圖紙原始碼、行銷方案、財務報表及其他各種涉及國家機密和企業商業秘密的文檔，可以廣泛套用於政府研發、設計、製造等行業。

1. 透明加解密技術：提供對涉密或敏感文檔的加密保護，達到機密數據資產防盜竊、防丟失的效果，同時不影響用戶正常使用。

2. 泄密保護：通過對文檔進行讀寫控制、列印控制、剪下板控制、拖拽、拷屏/截屏控制、和記憶體竊取控制等技術，防止泄漏機密數據。

3. 強制訪問控制：根據用戶的身份和許可權以及文檔的密級，可對機密文檔實施多種訪問許可權控制，如共享交流、帶出或解密等。

4. 雙因子認證：系統中所有的用戶都使用USB-KEY進行身份認證，保證了業務域內用戶身份的安全性和可信性。

5. 文檔審計：能夠有效地審計出，用戶對加密文檔的常規操作事件。

6. 三權分立：系統借鑑了企業和機關的實際工作流程，採用了分權的管理策略，在管理方法上採用了職權分離模式，審批，執行和監督機制。

7. 安全協定：確保密鑰操作和存儲的安全，密鑰存放和主機分離。

強制加密指定程式編輯的文檔。用戶訪問加密文檔時，需要連線伺服器（線上，非脫機狀態），並且具有合適的訪問許可權。該加密過程完全透明，不影響現有套用和用戶習慣。通過共享、離線和外發管理可以實行更多的訪問控制。

對打開加密文檔的應用程式進行如下控制：列印、記憶體竊取、拖拽和剪貼簿等，用戶不能主動或被動地泄漏機密數據。

支持共享、離線和外發文檔，管理員可以按照實際工作需求，配置是否對這些操作進行強制審批。用戶在執行加密文檔的共享、離線和外發等操作時，將視管理員的許可權許可，可能需要經過審批管理員審批。

客戶端需要連線伺服器才能訪問加密文檔。通過本功能製作離線文檔，即使客戶端未連線伺服器，用戶也可以閱讀這些離線的文檔。根據管理員許可權許可，離線文檔可能需要經過審批管理員審批離線時，可以控制客戶端的離線時間和離線時是否允許列印。

外部人員不能閱讀加密文檔的內容。本功能製作外發文檔，即使在未安裝客戶端的機器上，也可以閱讀這些外發的文檔。根據管理員許可權許可，外發文檔可能需要經過審批管理員審批外發的文檔，和內部使用一樣，受到加密保護和泄密控制，不會造成文檔泄露，同時增加口令和機器碼驗證，增強外發文檔的安全性。

集成了統一的用戶/鑒權管理，用戶統一使用USB-KEY 進行身份認證，客戶端支持雙因子認證。

對加密文檔的常規操作，進行詳細且有效的審計。控制台提供了基於WEB的管理方式。審計管理員可以方便地通過瀏覽器進行系統的審計管理。

通過在作業系統的驅動層對系統自身進行自我保護，保障客戶端不被非法破壞，並且始終運行在安全可信狀態。即使客戶端被意外破壞，客戶端計算機里的加密文檔也不會丟失或泄漏。