ESS数据安全系统介绍doc.docVIP

ESS数据安全系统介绍 一、系统介绍 ESS数据安全系统——是采用国家密码管理机构认定的加密算法对重要数据及数据进行多种不同密级的加密保护，并可根据数据保护策略对特定用户群赋予数据各种内容访问权限的数据保护、管理系统。 系统为标准的C/S结构，在用户的机房部署服务器，在所有需要进行防护的终端计算机上安装客户端。客户端上的数据会根据用户的需求进行加密，用户在使用密文前必须先在客户端进行登录。系统通过加解密、授权、数据操作控制、日志、离线等功能为用户单位内的和带离单位使用的数据提供全生命周期的防护。 ESS数据安全系统可以实现数据在企业内部正常使用，脱离网络环境无法打开，杜绝一切数据安全隐患。 ESS数据安全系统注重系统的易用性，从而降低管理成本，减少员工对数据安全管理的抵触，提高企业办公效率，完善数据使用的流程化管理。 在数据加密方面，通过手动、自动、手自一体（手动自动结合）的加密方式真正的做到精确定位所有涉密、重要的数据，为不同部门、不同员工制订出有针对性的加密方式，实现文档安全与使用灵活的统一。既不放过任何需要加密的文档，又不过分限制非涉密的文档和员工个人文档。同时保护南方电网和所有员工的权益，兼顾安全防护和以人为本。 二、系统架构 系统采用C/S（Client/Server） 、B/S（Browser/Server）混合模式，其中通过客户端Agent执行实际的透明加解密和安全控制，具有更大的控制灵活性；管理中心采用了B/S结构，方便管理。服务器基于SOA架构，通过?Http(s)+XML作为通讯协议，支持复杂的网络拓扑结构。集中设置安全策略，并根据用户的不同下载并执行对应的安全控制策略，可方便统一调节客户端控制行为。客户端采用模块化设计，并且通过设计模式降低模块间的耦合，出现问题时可通过配置加载模块来快速分析定位解决问题。 三、主要功能 1、自动加解密功能 用户可以根据不同的加解密策略动态的实现全加密（所有文档）和全解密、针对性（只对某类文档和某个文档）的加解密以及新建文档强制加解密等多种组合，实现文档的自动加解密。整个加解密过程实现对用户完全透明。 2、手动加解密功能 可将文档加密权限授予员工（文档的作者或持有者），被授权的员工可以根据需求选择哪些文档需要加解密哪些不需要加解密，并在选择后通过快捷的操作手段实现对指定文档的加密与授权。 3、手动加密与自动加密的结合 可根据单位内各个部门、各位员工的防护需求、业务特点灵活的选择手动加密与自动加密，实现以上两种加密方式的完美结合，具体需求如下： 可以按计算机为单位选择手动加密或自动加密，实现高密级部门采用全方位的自动加密防护，低密级部门采用有针对性的手动加密防护； 可以以部门为管理单位按文档的应用格式选择自动或手动加秘，根据各部门对不同格式文档的防护需求选择强调安全性的自动加密与强调易用性的手动加密； 手动加密后的文档与自动加密后的文档可以同时打开，未加密文档（明文）与加密后的文档（密文字）可以同时打开； 员工在使用手动加密与自动加密的文档时不需进行系统状态的切换，并在有权限的情况下可以将两种加密方式产生的稳当的内容互相进行拷贝； 手动加密与自动加密无须转换文档格式（不改变文件后缀名），无须进行二次处理，所有加密必须一次处理完成。 4、文档权限管理 文档安全管理系统应提供多种文档授权策略体系，按不同部门、不同格式、不同员工、不同项目组有针对性的实现多种授权策略，实现粗粒度与细粒度文档使用授权。 可实现文档以部门、格式、文件夹、特定的某一文档为单位进行授权； 可对全单位员工授权； 可按部门为单位对员工进行授权； 可针对文件自选员工、员工组进行授权； 授权必须可以精确控制到每位员工，可以灵活控制每一位员工对文档的阅读、编辑、打印、复制权限； 可对员工组进行授权如（项目组、职位组） 文档安全管理系统应具备防止截屏幕功能； 5、组织与用户管理 文档加密系统能够和其他认证系统包括PKI/CA、AD、LDAP、Domino等进行整合，可根据实际情况灵活配置认证模式，并能够满足用户名与密码、证书同时并存的管理模式，即部分用户采用证书方式，部分用户采用用户名和密码的方式。（PKI/CA的证书认证接口相关要求见接口要求） 6、文档安全管理 数据的安全管理需要满足在可用性、必威体育官网网址性、可靠性、完整性、抗抵赖性五方面的要求： 可用性：是指系统对数据的加解密处理不能破坏其可操作性，要求数据在加密状态下仍然可以进行编辑、打印等操作； 必威体育官网网址性：是指未经授权的数据不能被非法带出，或未经授权的数据不能被未经授权的用户打开； 可控性：是指用户只能在指定条件下在其授权范围内使用数据； 完整性：是指数据在经过解密处理后必须可以还原为数据的原始信息，不能因加密而改变文档内容。 抗抵赖性：是指对系统中所有与文档信息安全有