电子文档防泄密安全管理完整解决方案

一、应用背景

随着Internet技术的高速发展，企业、政府等组织信息化的建设也逐步得到推进。电子文档是企业信息存储的主要方式，是企业内、外部之间进行信息交换的重要载体。现在黑客、木马和员工泄密等是信息安全的主要威胁。如何最大限度的保护电子文档的安全性、完整性，也开始越来越受到企业的关注与重视。

网络的普及让信息的获取、共享和传播更加方便，同时也增加了重要信息泄密的风险。 据调查显示：有超过85%的安全威胁来自组织内部，有16%来自内部未授权的存取，在各种安全漏洞造成的损失中，30% - 40% 是由电子文件的泄露造成的，　防火墙或专网，可以防止外部人员非法访问，但不能防止内部人员通过Mail或者U盘将一些敏感文件发送给其他人。这种二次传播就是造成电子文档泄密的主要途径。

二、解决问题

那么怎样才能防止电子文档的传播泄密呢?这就需要综合加密技术、权限控制技术、身份认证技术等多种技术对电子文档进行保护。

防止内部重要电子文档被泄密，灵活设置用户使用电子文档的权限(包括：阅读、打印、保存、另存为、打印、截屏等)，并且实时权限回收，防止离职或辞职人员泄密。

三、系统体系架构图

四、网络部署

应用系统和信息安全建设以PKI为基础，基于公开密码体系，完成信息的保密性、完整性、不可否认性和身份认证功能；为应用系统开发商提供一个调用简单、安全可靠的密码安全子系统，简化应用系统开发商的开发难度；完成用户的统一管理、统一授权和统一认证，提供一个安全可靠的认证服务和授权服务平台。同时自带一个独立的认证管理系统(CA)，帮助用户进行证书管理和密钥管理。应用系统开发商不必了解密码技术、复杂的PKI协议，通过调用基础密码安全服务提供的简单的API函数就可以为应用系统提供密码安全保护，增强应用系统的安全性。

认证管理中心CA：管理数字证书和加密密钥（PKI CA公钥基础实施），管理用户数字证书、证书吊销列表和加密公私钥对。

用户管理：从CA获得基本用户信息，并分解成用户所在的行政区划、单位信息，配置用户所属部门、职务、岗位、级别、组织机构代码（身份证号码）、级别、秘密等级等用户信息。

授权管理：配置用户角色，配置角色可以访问的IP地址、服务等粗粒度资源，向应用系统、单点登录系统和下级统一用户信息和授权信息管理系统发布用户信息、用户角色信息和角色资源授权信息。

认证网关安全域访问控制系统：身份认证（网关式单点登录）、访问控制、防止高密级资源流向低密级、不可伪造的文档标识，防止数据在传输的过程中外泄。

单点登录系统：统一身份认证（非网关式单点登录）和资源访问控制，对用户登录应用系统进行基于PKI密码技术的强认证，从用户和授权信息管理系统获得IP、服务端口等资源授权信息，进行资源访问控制决策，禁止非法用户访问单点登录系统所保护的网络信息资源。

密码安全服务：进行业务数据数字签名、加密密码等应用安全服务，确保业务数据和文档的真实性，防止窃取敏感信息和涉密信息。

客户端数据加密防泄密：使用加密文件柜及其打开策略防止硬盘存储的内容被盗取。

防扩散信息资源管理：使用专用文档阅读器，配合授权管理系统，控制文档的阅读、打印、复制等权限，防止文档非法扩散。