ERM产品概述
思智泰克公司在ERM(企业权限管理Enterprise Right Management,以下简称ERM)理念的指导下,最终研发出了一套针对于企业级应用的信息安全管理系统——思智ERM文档管理系统。
目前ERM可以解决以下问题:企业内部人员泄露数据;企业数据遭人为破坏或者电脑及存储介质丢失造成数据无法恢复;移动办公或外出时缺乏保护造成数据泄密;企业发生设计资料等核心数据泄密却无法找到责任人;因工作需要敏感数据给合作伙伴后无法控制等等。
本系统通过对企业中各类机密数据信息的加密安全保护,显著提高企业中核心数据资产的安全防护能力。同时在对文件安全保护的基础上,又通过对剪贴板的有效控制,有效切断内部人员泄漏企业机密信息的途径,防止内部窃密事件的发生,而且一旦发生窃密事件,管理者能够通过日志功能,详细追查到窃密的人员、文件信息、途径等信息,以避免窃密事件的再次发生,从而能在很大程度上提高企业对机密数据信息的安全管理。
本文档主要介绍了思智ERM系统的设计思路、工作原理、系统关键技术、主要功能和技术指标等内容。通过本文档,可以快速有效地帮助读者对思智ERM系统的技术实现有一个系统和全面的了解。
ERM产品体系结构
思智ERM系统由服务器、控制台、客户端三部分组成。思智ERM系统采用C/S+B/S的设计架构,即服务器端与客户端以C/S结构工作,控制台与服务器端则是以B/S方式工作。见下图所示系统结构示意图:
? 服务器:服务器是思智ERM系统运行的基础。
? 控制台:即一个系统管理和维护的平台,是客户端与服务器连接的桥梁。为实现集中统一管理的目的,思智ERM系统采用集中化的管理方式和基于角色的权限管理体系,通过该控制台管理员可以完成对客户端管理、机构用户管理、策略配置和应用、服务器远程备份、日志管理、系统设置等功能的配置及维护。
? 客户端:客户端主要是通过执行控制台设置的各种安全管理策略,实现对本地机密文件的各种安全管理,为企业员工提供易用、稳定、安全的安全信息终端。
模块构成:思智ERM系统从功能上划分,可以分为用户管理、策略管理、文件访问权限管理、日志审计管理、文件备份管理、服务器远程管理、客户端等7个主要功能模块。
|
思智ERM系统是一个针对于企业级应用的信息安全管理平台,本系统能帮助企业解决有效的企业中数字化资产(即电子文档)的控制和管理问题。
|
||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
思智安全方案优势
先进性
思智泰克企业级信息方案的总体设计充分考虑了各类企业各种不同的实际需求和安全策略,并且考虑了其当前各环节管理中数据处理的安全性和便利性。在设计中融入基于模块化设计的思想,使整个系统具有高度的可扩展性和可定制性。系统能够与各类企业已有的基础业务系统良好结合。同时在系统设计中使用可扩展的设计方式,为系统将来的扩展提供了一个良好的基础。
本方案产品是采用可扩展的系统结构设计,研发完成的企业级的信息安全管理系统。系统在设计中将融入基于组建化和模块化设计的思想,使整个系统具有高度的可扩展性和可定制性。
本方案产品采用C/S+B/S的结构设计,管理员在内网中任意一台可以连接服务器的机器上,即可以完成统一的浏览器界面操作,进行企业的管理工作,方便相关管理人员使用。设计风格上以“简洁方便”为宗旨,操作界面完全从用户角度出发,减少获取信息的操作层次。本系统界面友好、美观,操作方便。在颜色、字体、标题、操作提示信息等均采用了标准化、统一化的风格,降低了对使用者计算机知识的要求,易学易用。 考虑到企业安全需求的变化性,本系统在设计上考虑到最小的修改来满足企业在安全上的要求。整体上,系统采用了模块化的设计,新的模块可以进行便捷地动态加载,扩展非常方便。系统客户端安装可以采用远程推送+本地安装+域脚本安装,多种安装方式可以灵活选择并组合使用,更大程度上提高了管理效率。
兼容性
本方案产品支持Windows的各类系统。同时可访问各种大型关系数据管理系统,如Mysql、Oracle、Sybase、DB2、SQL Server等,实现各类系统和数据库之间的信息交换。
安全性
本方案产品运用了PKI安全认证技术解决系统中所涉及的授权问题、加密问题。系统整个架构可以容纳各种安全协议,适应系统结构的各种变化。 同时系统中的安全管理模块可帮助各级企业,根据各部门的不同权限,设置严密的文件安全策略,保证机密文件及数据的使用安全。 其次,为了满足不同企业对安全的不同要求,在身份认证方面支持USB电子锁、智能卡、指纹、声纹、虹膜等多种先进的终端用户信息认证方式。与传统的用户名/密码登陆手段相比,硬件认证设备具有更为突出的安全性。另外,作为信息安全产品,从传输通道安全-密钥不能被截获、本地安全-不能被轻易破解、备份文件安全-即使系统管理员也不能随意查看等各个环节都体现着系统的安全性。
稳定性
在本方案产品的设计和实现中,我们推行按照软件工程标准体系和ISO9001的软件质量标准体系、软件能力成熟度模型CMM来进行产品开发和实施过程,确保系统的标准化。同时基于在信息安全方面的丰富经验,设计中本系统采用模块化设计,可以根据企业的实际需求增加或减少模块。无论用户的需求发生何种变化,本系统都能够根据变化后的实际需求对系统进行调整,以适应新的企业管理流程。提高企业的信息化安全管理水平,帮助企业领导者借助计算机管理工具及先进的手段来提高企业的安全级别,同时也给系统的稳定性提供了良好的运行机制。
易用性
? 支持复杂网络应用环境
? 支持主流操作系统
? 灵活与其他系统结合应用
? 与主流杀毒软件无冲突
? 支持跨网段网络环境
? 支持域管理的管理方式
? 支持VPN的网络连接方式
? 与财务系统结合应用
可维护性
本方案产品基于企业的管理流程,支持管理流程的灵活定制,能够对不同的业务系统与模块进行整合,统一管理、调度。此外,本系统支持组织结构的灵活定制,能够方便地调整用户组之间的隶书关系,方便地将用户从一个用户组调到另一个用户组。
可移动性
本方案产品可满足各类企业的远程、移动办公的需要。企业人员通过高速网络连接,实现对本系统的无障碍使用,方便快捷地掌握企业内部的工作进度与状况,及时处理工作问题。同时保证企业办公等机密文件的安全性。
可重组性
本方案产品是通过基于模块的开发模式来实现系统功能的。按照一定的需求集合成各类具有特定功能的模块,这些模块之间可以无缝集成。
可管理性
对于一个承载了很多需求,跨越多个部门,甚至在地理上跨越不同地区的安全系统来说,系统是否容易管理是非常重要的。思智企业级信息安全产品做到了这点,它不但大大降低系统管理员的负担,而且能够在系统发生任何问题的时候都能够很容易地进行诊断,并立即采取有效的措施,使得系统在任何情况下,都能正常稳定运行,不影响用户正常的工作,时刻处于良好运行的状态。
企业面临的机密信息安全问题
目前企业的信息安全的现状主要是解决如何加强机密数据本身的安全问题,即在数据信息生命周期的每一个环节上,确保信息存储和传播的安全性。从目前大量的调查结果来看,现阶段企业中存在的潜在安全问题主要有以下几种典型体现:
? 企业中与业务相关的机密信息中有90%左右都会以电子文档的形式存在,这些内部机密文件分散分布在各个内部局域网电脑中,而且没有进行有效的加密保护,企业内部的员工可随意的把公司中的内部文件非法带出公司。
? 虽然一些企业已经通过简单的加密工具,主动加密了企业内部的机密文件,但对于管理者来说,却无法实现对员工对文件操作行为的主动管理,如哪些员工可以拥有对该机密的文件的何种操作权限(如只读、可编辑、可打印等),同时如果没有实现对文件的强制加密保护,则机密文件还是极有可能以各种形式泄露。
? 有些企业已经架设了自己的内部文件服务器,同时也有相应的文件管理员进行专门管理,但无法保证在安装文件安全保护系统之后,不影响用户原有的文件管理习惯,导致用户上手难,适应期长等问题。
? 企业在日常的办公中会经常使用到如邮件系统、及时通讯工具等与客户进行业务上的沟通与联络,在利用这些工具提供方便工作的同时,也带来了机密文件容易向外泄露的安全隐患。
? 在企业的日常办公过程中,经常需要对文件指定不同用户不同访问权限,虽然使用Windows的网络共享功能可以解决部分需求,但无法针对不同文件提供更细致的权限访问控制,从而也无法做到对文件访问的有效管理和控制。
? 企业由于业务的需要把文件外发之后,无法控制其二次传播。
? 企业已经有一些文件安全的管理方法,但是对于经常出差或者外出办事的员工,无法控制他们在离开企业内网环境下,其笔记本上存储的企业内部机密文件的安全。
对于企业在文件安全管理过程中出现的文件安全事件无法进行有效的追踪。在企业中,一旦出现文件泄密事件,缺乏有效跟踪查询的依据
思智ERM系统由服务器、控制台、客户端三部分组成。思智ERM系统采用C/S+B/S的设计架构,即服务器端与客户端以C/S结构工作,控制台与服务器端则是以B/S方式工作。见下图所示系统结构示意图:
图 1-1系统结构示意图
l 服务器:服务器是思智ERM系统运行的基础。
l 控制台:即一个系统管理和维护的平台,是客户端与服务器连接的桥梁。为实现集中统一管理的目的,思智ERM系统采用集中化的管理方式和基于角色的权限管理体系,通过该控制台管理员可以完成对客户端管理、机构用户管理、策略配置和应用、服务器远程备份、日志管理、系统设置等功能的配置及维护。
l 客户端:客户端主要是通过执行控制台设置的各种安全管理策略,实现 对本地机密文件的各种安全管理,为企业员工提供易用、稳定、安全的安 全信息终端。
图1-2 功能模块示意图
模块构成:思智ERM系统从功能上划分,可以分为用户管理、策略管理、文件访问权限管理、日志审计管理、文件备份管理、服务器远程管理、客户端等7个主要功能模块。
思智ERM系统是一个针对于企业级应用的信息安全管理平台,本系统能帮助企业解决有效的企业中数字化资产(即电子文档)的控制和管理问题。
|
功能列表 |
功能描述 |
|
强制透明加密 |
不改变用户操作使用习惯,生成文档自动强制加密。公司决定加密的数据 使用的员工强制配合,提高执行力和管控力度。 |
|
手动加密、手动解密功能 |
在企业允许时,个别用户可进行手动选择文件进行加、解密。 |
|
自动半透明加密 |
涉密数据进行加密保护,普通文件不会被强制加密,方便用户共享普通数据的情况下同 时强有力的保护涉密数据。允许打开加密的文件,关闭保存后文件仍然是加密的, 新创建的文件不加密。同时打开同一类型的加密和非加密文件,加密文件的内容 不允许粘贴到非加密的文件中,非加密的文件允许粘贴到加密的文件中。 |
|
自定义角色和角色权利 |
系统默认角色有普通员工,部门管理员、备份管理员、日志管理员、密级管理员。 这些角色的权利系统都已默认设好。可以根据单位实际的要求自定义新的角色以及 角色相应的权利,权利可控。 |
|
申请审批解密 |
普通员工无解密权利,如需要解密文件,需要进行审批解密。 根据单位的组织机构和业务流程,自定义审批解密流程,可设置不同的多个审批 流程不限制数量。支持单人单审,多人多审,多人会签审批。申请解密的文件细分控制: 1、只允许申请自己创建的加密文件;2、允许申请解密本部门创建的加密文件; 3、允许申请解密全公司的加密文件。 |
|
打印控制 |
打印控制可细分成:1、直接禁止使用打印机。2、加密的文件禁止打印,不加密的文件可以打印。 3、限制指定使用的打印机,打印的文件记录、打印文件水印控制、4、虚拟打印机控制 |
|
全盘扫描加解密 |
部署ERM系统后,生成的文件会强制加密。对于之前的文档可进行全盘初始化扫描加密, 可自定义文件格式,可设置前台显示模式,后台隐藏模式。也可以对全盘的文件进行扫描解密。 |
|
剪贴板控制 |
受保护的文件内容,不可以粘贴到非保护的程序中,造成内容泄露。 不受保护的文件内容可以粘贴到受保护的文件中。对于可信的人员, 可以放行某种程序的剪贴板控制,可自定义设置。 |
|
防截屏控制 |
系统可进行防截屏控制,如果客户端被下发了禁止截屏策略后,为了不影响日常的正常截图需要, 在不打开加密文件时截图是允许的。当打开加密文件后进行截图才进行控制, 无法截取加密文件内容。可以控制市面上所有的截图软件。包括所有的屏幕录像软件 |
|
WINDOWS域结合 |
如果企业有域环境的,ERM可以和企业的域进行整合,支持域组织机构导入到ERM系统中, 可支持域同步。 |
|
ERM系统数据库管理 |
通过ERM控制台可以对ERM系统的组织机构,自定义的策略,数据库进行备份。 服务器如果重新做系统后,重新安装ERM系统后,可在控制台中进行数据库恢复。 |
|
邮件监控 |
可在系统中自定义发送方邮件白名单,接收方邮件白名单。通过邮件白名单发送 或者接收到的加密的文件会自动解密成明文,并有日志记录。
|
|
硬件设备控制 |
根据客户提出的需求,增加了常用的硬件管理和控制,禁止光驱,禁止打印机, 禁止使用USB存储设备。 |
|
离线认证管理 |
可以实现客户端和服务器端无法通讯时的认证,策略下发。 |
|
离线控制模块 |
通常指计算机带出局域网的情况。可以控制成离线是否允许打开自己创建的加密文件, 离线是否允许打开共享文件。 |
|
日志记录审计 |
详细的日志记录功能,可以查看员工所有的对文件操作日志,例如移动文件 ,删除文件,改名文件,加密文件,解密文件等和文件操作有关的都会被记录, 同时也可以记录管理员的操作。 |
|
网络构架支持 |
单网段/ VLAN/ VPN/ WINDOWS域/无盘工作站/ INTERNET公网
系统可支持企业各种网络构架的应用,列表中已经列出系统支持的构架, 这里说明一下公网使用模式,这个模式是可以通过INTERNET网组建成局域网。 例如企业在全国各地办事机构,之间又没有VPN只能上INTER网,并且希望这些 外地计算机能通过总部服务器进行集中统一的管理。随时下发策略收回策略控制, 并且记录这些计算机的操作信息。 |
|
文档本地备份 |
系统支持本地加密文件自动备份功能,文件备份到系统隐藏的目录中。 备份机制是打开加密文件时备份,备份的文件格式、备份时间间隔可进行自定义设置。 |
|
在线升级 |
客户端有新版本发布后,可以通过控制台对所管理的在线客户端进行远程自动升级更新, 免去了每台计算机,逐个替换升级的繁琐和麻烦。 |
|
内部文件使用权限控制 |
对文件使用可以进行权限控制,一个文件可以对不同的部门不同的人设置不同的使用权限, 只读、只读+可复制内容、只读可打印、完全控制,使用时间,使用日期。 如果不授权无法打开文件。这个权限是指打开文件后的权限控制,并非只是否能打开文件。 |
|
企业内部文件隔离控制 |
企业内部文件相互通用,可以做到部门与部门之间的隔离,人员与人员的隔离, 隔离后的人员创建的文件其他人无法打开,但是可以打开别人的加密文件。 |
|
文件密级控制 |
可以设置成不同的密级,密级由密级来设置,高密级的人员可以无障碍打开 低密级人员创建的加密文件,同一密级的人员文件无障碍使用,低密级人员如 果要看到高密级人员创建的加密文件必须有由要有高密级人员对文件授权后才可使用。 |
|
文件外发控制 |
控制数据给到第三方时造成的文件外泄,可以根据口令,第三方机器特征码 硬件KEY,硬件USB设备,来进行身份识别,对外发出去的文件可设置是否允许打印 打开时间,打开次数的限制。 |
|
文件远程自动备份 |
当本地客户端编辑保存文件后,会在后台自动的向企业指定好的文件备份服务 器端备份相同的数据,备份可按文件个数,内容增量两种方式,可设置备份的文件类型, 备份时间间隔,设置备份上传的文件最小值,低于最小值的文件不上传备份。 备份的文件全都是已密文形式备份,文件名也是乱码,只有备份管理员通过本地的备份 工具连接到后才能看到备份文件。 |
|
安全网关控制 |
企业常见的数百种应用系统,例如OA和ERP等可以通过安全网关控制与ERM系统无缝衔接。 可以和企业各种业务系统进行无缝继承,文件上传到服务器自动解密, 下载到本地后自动加密。没有安装客户端的机器不允许连接到受保护的业务系统。 |
思智泰克企业级信息方案的总体设计充分考虑了各类企业各种不同的实际需求和安全策略,并且考虑了其当前各环节管理中数据处理的安全性和便利性。在设计中融入基于模块化设计的思想,使整个系统具有高度的可扩展性和可定制性。系统能够与各类企业已有的基础业务系统良好结合。同时在系统设计中使用可扩展的设计方式,为系统将来的扩展提供了一个良好的基础。
本方案产品是采用可扩展的系统结构设计,研发完成的企业级的信息安全管理系统。系统在设计中将融入基于组建化和模块化设计的思想,使整个系统具有高度的可扩展性和可定制性。
本方案产品采用C/S+B/S的结构设计,管理员在内网中任意一台可以连接服务器的机器上,即可以完成统一的浏览器界面操作,进行企业的管理工作,方便相关管理人员使用。设计风格上以“简洁方便”为宗旨,操作界面完全从用户角度出发,减少获取信息的操作层次。本系统界面友好、美观,操作方便。在颜色、字体、标题、操作提示信息等均采用了标准化、统一化的风格,降低了对使用者计算机知识的要求,易学易用。 考虑到企业安全需求的变化性,本系统在设计上考虑到最小的修改来满足企业在安全上的要求。整体上,系统采用了模块化的设计,新的模块可以进行便捷地动态加载,扩展非常方便。系统客户端安装可以采用远程推送+本地安装+域脚本安装,多种安装方式可以灵活选择并组合使用,更大程度上提高了管理效率。
本方案产品支持Windows的各类系统。同时可访问各种大型关系数据管理系统,如Mysql、Oracle、Sybase、DB2、SQL Server等,实现各类系统和数据库之间的信息交换。
本方案产品运用了PKI安全认证技术解决系统中所涉及的授权问题、加密问题。系统整个架构可以容纳各种安全协议,适应系统结构的各种变化。 同时系统中的安全管理模块可帮助各级企业,根据各部门的不同权限,设置严密的文件安全策略,保证机密文件及数据的使用安全。 其次,为了满足不同企业对安全的不同要求,在身份认证方面支持USB电子锁、智能卡、指纹、声纹、虹膜等多种先进的终端用户信息认证方式。与传统的用户名/密码登陆手段相比,硬件认证设备具有更为突出的安全性。另外,作为信息安全产品,从传输通道安全-密钥不能被截获、本地安全-不能被轻易破解、备份文件安全-即使系统管理员也不能随意查看等各个环节都体现着系统的安全性。
在本方案产品的设计和实现中,我们推行按照软件工程标准体系和ISO9001的软件质量标准体系、软件能力成熟度模型CMM来进行产品开发和实施过程,确保系统的标准化。同时基于在信息安全方面的丰富经验,设计中本系统采用模块化设计,可以根据企业的实际需求增加或减少模块。无论用户的需求发生何种变化,本系统都能够根据变化后的实际需求对系统进行调整,以适应新的企业管理流程。提高企业的信息化安全管理水平,帮助企业领导者借助计算机管理工具及先进的手段来提高企业的安全级别,同时也给系统的稳定性提供了良好的运行机制。
? 支持复杂网络应用环境
? 支持主流操作系统
? 灵活与其他系统结合应用
? 与主流杀毒软件无冲突
? 支持跨网段网络环境
? 支持域管理的管理方式
? 支持VPN的网络连接方式
? 与财务系统结合应用
本方案产品基于企业的管理流程,支持管理流程的灵活定制,能够对不同的业务系统与模块进行整合,统一管理、调度。此外,本系统支持组织结构的灵活定制,能够方便地调整用户组之间的隶书关系,方便地将用户从一个用户组调到另一个用户组。
本方案产品可满足各类企业的远程、移动办公的需要。企业人员通过高速网络连接,实现对本系统的无障碍使用,方便快捷地掌握企业内部的工作进度与状况,及时处理工作问题。同时保证企业办公等机密文件的安全性。
本方案产品是通过基于模块的开发模式来实现系统功能的。按照一定的需求集合成各类具有特定功能的模块,这些模块之间可以无缝集成。
对于一个承载了很多需求,跨越多个部门,甚至在地理上跨越不同地区的安全系统来说,系统是否容易管理是非常重要的。思智企业级信息安全产品做到了这点,它不但大大降低系统管理员的负担,而且能够在系统发生任何问题的时候都能够很容易地进行诊断,并立即采取有效的措施,使得系统在任何情况下,都能正常稳定运行,不影响用户正常的工作,时刻处于良好运行的状态。
企业面临的机密信息安全问题
目前企业的信息安全的现状主要是解决如何加强机密数据本身的安全问题,即在数据信息生命周期的每一个环节上,确保信息存储和传播的安全性。从目前大量的调查结果来看,现阶段企业中存在的潜在安全问题主要有以下几种典型体现:
1. 企业中与业务相关的机密信息中有90%左右都会以电子文档的形式存在,这些内部机密文件分散分布在各个内部局域网电脑中,而且没有进行有效的加密保护,企业内部的员工可随意的把公司中的内部文件非法带出公司。
2. 虽然一些企业已经通过简单的加密工具,主动加密了企业内部的机密文件,但对于管理者来说,却无法实现对员工对文件操作行为的主动管理,如哪些员工可以拥有对该机密的文件的何种操作权限(如只读、可编辑、可打印等),同时如果没有实现对文件的强制加密保护,则机密文件还是极有可能以各种形式泄露。
3. 有些企业已经架设了自己的内部文件服务器,同时也有相应的文件管理员进行专门管理,但无法保证在安装文件安全保护系统之后,不影响用户原有的文件管理习惯,导致用户上手难,适应期长等问题。
4. 企业在日常的办公中会经常使用到如邮件系统、及时通讯工具等与客户进行业务上的沟通与联络,在利用这些工具提供方便工作的同时,也带来了机密文件容易向外泄露的安全隐患。
5. 在企业的日常办公过程中,经常需要对文件指定不同用户不同访问权限,虽然使用Windows的网络共享功能可以解决部分需求,但无法针对不同文件提供更细致的权限访问控制,从而也无法做到对文件访问的有效管理和控制。
6. 企业由于业务的需要把文件外发之后,无法控制其二次传播。
7. 企业已经有一些文件安全的管理方法,但是对于经常出差或者外出办事的员工,无法控制他们在离开企业内网环境下,其笔记本上存储的企业内部机密文件的安全。
8. 对于企业在文件安全管理过程中出现的文件安全事件无法进行有效的追踪。在企业中,一旦出现文件泄密事件,缺乏有效跟踪查询的依据。
咨询电话:400-008-3771
总部电话:010-57030611
客服邮箱:service@sagetech.com.cn