技术文件防泄漏解决方案技术规格书.docxVIP

技术文件防泄漏解决方案技术规格书 项目名称：技术文件防泄漏解决方案与实施 招标人：XXXXXXXXXXXXXXXXXXXX 投标人资质要求 具有五年以上该类软件研发经验； 熟悉制造行业实施经验，并具备制造行业类似项目成功案例，提供近几年制造行业应用软件研发业绩； 近五年无行贿等违法记录； 近3年财务报表； 投标厂商产品具有国家权威部门认证，须提供以下资质证明： a. 国家密码管理局颁发的《商用密码产品销售许可证》； b. 国家版权局颁发的《计算机软件著作权登记证书》； c. 公安部颁发的《计算机信息系统安全专用产品销售许可证》； d. 国家必威体育官网网址局颁发的《涉密信息系统产品检测证书》； 2、建设目标描述 通过加密软件的建设实施，从技术上实现对设计所重要文档的通用防护和分级防护，做到非法带出的数据不可使用，尽量少改变使用习惯，做到安全性和易用性的合理平衡。达到“进不来、授权用、带不走、读不懂、留痕迹”的总体目标。 进不来，必须经过身份认证才能登录使用重要文档防泄漏系统或者通过身份认证登录计算机终端，使非授权者无法进入防泄漏系统或计算机系统； 授权用，只有合法授权人，经过合法授权，才能使用文档，包括阅读、修改、拷贝、粘贴、打印等 拿不走，未经授权，任何人拿不走文档，包括下载、拷贝、刻录、打印等一切方式，都拿不走受保护的文档。 看不懂，所有未经授权拿走的受保护文档均打不开，看不懂。 留痕迹，对保护文档的所有操作都留有记录，由文档操作审计系统追踪泄露源。 2.1系统的基本建设目标 通用防护：采用默认的防护策略，对范围内的数据按策略进行防护。采用通用防护保护的数据，应符合原来的操作习惯，不影响原来的操作行为。是分级防护的最低级别之下的通用防护方法。 通过通用防护系统的建设，提供一个基础的透明的加密解密层，根据管控策略对一定格式的文档和操作文档的进程进行监控，实现透明的加解密功能，在系统内部，经过身份验证的用户，感觉不到文件是加密处理的，文件被非法复制出系统，将保持为加密状态。 通过透明加解密层的防护，可以有效的防止非人为的泄露发生，防止被摆渡攻击而泄露的文件被打开利用，授权外带解密后的文档，需要经过审批，系统将自动记录日志，以便跟踪取证。 分级防护：对图文档系通中的文档可要重要程度进行分级，可按照不同的防护策略控制文档的离线防护，对重要文档下载需要进行加密控制，对应用系统做边界加固，防止非法用户的接入和数据获取。 项目目标是在使得数据信息顺畅交流，不影响员工工作效率的基础上，有效的控制内部核心数据资产的安全与防护。具体实现： 与现有的AD系统实现用户统一认证集成或实现终端单点登录。合法用户受控访问，非法用户无法访问，非法流出文档无法打开； 能够对所内部圈定范围内的所有里要数据做安全管控（包括现有的及以后新增的），能和图文档等核心应用系统进行安全集成，实现数据的加解密控制，并保持业务系统的操作和使用习惯不改变；系统集成要求投标方可提供相关的中间件服务供应用系统调用，实现对指定的重要数据进行下载加密控制，实现分级管理的要求。 严格管理和控制内部以及外部文件，确保机密文件不被二次扩散使用，控制文档的知悉范围；结合客户端控制模块，可有效防止电子文档被非法访问、非法拷贝复制、打印、拷屏等，杜绝二次泄露； 不改变使用者对协同工作中的信息文件的使用操作习惯（如：使用习惯的应用程序操作、浏览信息文件；信息文件的加解密操作对于使用者来说是透明的等）； 离线控制，通过对终端进行脱机设置，使得终端能在预设时间范围内脱离本单位环境并且能够正常处理业务流程，超出预设期限将不再解密任何数据信息，保证终端外出的使用安全。也可根据需要对超出预设期限的离线终端进行离线补时继续使用。 文件外发，对于发到单位以外的文件可进行特殊控制。包括使用期限设定、打开次数、操作权限控制，会议结束后文档可自动销毁，减少信息泄露的风险。 批量加密解密，可批量、高效的对指定的文件或文件夹进行批量加、解密操作。 计算机端口管理功能：可查询、封闭、打开计算机端口状态。 邮件白名单：支持发送含加密文档到邮件白名单自动解密功能 在保证数据安全的同时，还要保证各项工作持续性，并最小化效率损失，对多种场景（如员工出差、主机操作系统重装、部门调整、离职等）具备完善的解决方案，建立建全文档安全管理的规范及流程； 能够对应用系统进行边界安全防护，防止非法终端接入应用系统获取数据，对应用系统下载的数据可进行加密控制； 满足未来的数据安全要求，系统具备兼容、扩展要求，满足新增的数据和文档类型。 2.2系统性能要求 重要文档在加密软件中采用透明加解密手段和重要程度分级标志绑定加密双重措施来保护文档，因此对文档进行操作时需要先行进行加解密操作，肯定会对文档操作性能造成一定的影响。如果采用软件密码服务，对于小于100MB