隨著信息技術特別是網(wǎng)絡技術的快速發(fā)展，網(wǎng)絡在人們的日常工作中發(fā)揮著越來越重要的作用。目前，大部分政企單位都組建有內(nèi)部局域網(wǎng)（簡稱“內(nèi)網(wǎng)”），實現(xiàn)了數(shù)據(jù)共享，極大地提高了工作效率，內(nèi)網(wǎng)已成為政企單位日常工作不可或缺的重要組成部分。許多企業(yè)認為將辦公環(huán)境限制在內(nèi)網(wǎng)中就能夠有效保護企業(yè)的核心數(shù)據(jù)不外泄，但實際上仍存在諸多安全漏洞，如非法外設鏈接、移動存儲設備的使用、手機拍照等手段。

手機病毒計算機安全網(wǎng)絡病毒

作為中國信息安全技術企業(yè)的代表廠商，明朝萬達基于對數(shù)據(jù)安全領域的深入探索和研究，針對政企單位數(shù)據(jù)資產(chǎn)所面臨的安全威脅，結合用戶的實際使用場景，推出Chinasec（安元）數(shù)據(jù)安全管理系統(tǒng)，助力政企單位構建數(shù)據(jù)安全保護體系，詮釋企業(yè)級內(nèi)網(wǎng)和數(shù)據(jù)安全防護新標準。

主要功能

終端數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)及管控

Chinasec（安元）數(shù)據(jù)安全管理系統(tǒng)基于分類分級規(guī)則，對政企單位的文檔進行分類分級，并進行后續(xù)加密或審計等處理。

通過分類分級技術方案，歸納制定出規(guī)則，確保規(guī)則庫的準確性和易用性的前提下，采用深度內(nèi)容分析引擎(DCAE)，對企業(yè)復雜信息環(huán)境中的不同數(shù)據(jù)進行分析，根據(jù)文本內(nèi)容的語義特征和格式，將文檔業(yè)務策略進行智能匹配。

通過全盤智能掃描功能可根據(jù)預先定義的規(guī)則和策略，對用戶終端的本地文件進行全盤掃描，并對敏感數(shù)據(jù)文件做加密或審計處理，從而對終端敏感數(shù)據(jù)文檔進行安全防護。

管理員可配置全盤掃描的條件，例如配置掃描執(zhí)行路徑、掃描跳過路徑、文件類型、文件大小、允許全盤掃描啟動和執(zhí)行的終端性能指標等。

如果沒有配置掃描條件，系統(tǒng)也可以智能判斷終端是否滿足掃描條件，當終端鎖屏或者終端性能指標（如CPU占用率、內(nèi)存占用率等）達到指定條件，才啟動掃描。掃描過程中會根據(jù)終端性能自動停止，盡可能減少對終端用戶操作的影響。

模塊支持文件增量掃描，僅對未掃描或掃描后有變更的文檔進行掃描。

掃描完成后，模塊根據(jù)預置的策略，對敏感文檔做加密處理；同時支持記錄掃描日志、上傳附件，以便于事后審計。

移動存儲設備管理

在政企單位移動存儲設備（U盤、基于USB接口的移動硬盤等）的實際應用場景中，設備借用、公用、缺乏統(tǒng)一管理的現(xiàn)象比較常見，以及存在直接封堵USB端口的一勞永逸式管理狀況。

針對上述問題，明朝萬達倡導在實現(xiàn)設備安全、易用的前提下，從基礎層面對分散的移動存儲設備實現(xiàn)統(tǒng)一的集中管理，建立設備與人員、以及設備可用范圍的規(guī)范化體系，從而避免管理的亂象與安全風險。

移動存儲設備安全管理體系通過客戶端進行終端用戶的身份認證，并在此基礎上，通過靈活的管控策略，實現(xiàn)移動存儲設備與人員的關聯(lián)與規(guī)范化管理。系統(tǒng)可基于宏觀角度將移動存儲設備分為企業(yè)內(nèi)部專用設備與外部設備，從而在物理介質(zhì)層面實現(xiàn)管理邊界的劃分。企業(yè)內(nèi)部設備的界定，需要終端用戶通過客戶端插件進行使用設備的系統(tǒng)注冊認定，注冊中需要提交人員、部門、用途等相應信息，從而形成企業(yè)內(nèi)部專用設備的集合與認定，實現(xiàn)企業(yè)內(nèi)部專用設備的登記備案與實時管理。當終端在使用移動存儲設備過程中，人員及設備信息將被即時集中展現(xiàn)在管理界面。與之相對應的是，未經(jīng)過系統(tǒng)注冊在案的移動存儲設備（員工自帶的設備或分支機構人員所用設備），可對其進行統(tǒng)一的使用權限管控（如頒發(fā)只讀權限甚至禁用權限），從而對未注冊設備實現(xiàn)入口式集中管控，規(guī)避可能存在的泄密風險。

△ 移動存儲介質(zhì)管控效果圖

設備的使用權限方面，系統(tǒng)可基于人員或設備兩個維度，對其實現(xiàn)細化的管理：

禁用

禁用權限管控下，存儲設備在使用時將不能被正常打開，類似于缺少必要驅動而不能被計算機操作系統(tǒng)識別的應用效果。

只讀

存儲設備在使用過程中只可讀取原本已經(jīng)存在的文件，不可對其進行正常寫入操作。

加密讀寫

加密讀寫管控下，文件在寫入過程中會被透明加密處理，具備相應權限的終端用戶可透明打開、讀寫文件。

正常讀寫

正常讀寫即表示系統(tǒng)不會對文件在移動存儲設備上的讀寫進行技術處理，文件的使用和狀態(tài)與安裝系統(tǒng)之前情況下相同。

實際使用中，可考慮為員工統(tǒng)一購置一套用于工作交互的移動存儲設備，并基于系統(tǒng)提供的設備識別技術，對其它移動存儲設備予以封堵禁用。

桌面水印文件水印監(jiān)管保護

水印管理系統(tǒng)主要從桌面水印、打印水印這兩個方面來管理。針對水印的內(nèi)容，管理員可以根據(jù)實際需求自由設定水印的深淺度、大小、密集度、顯示內(nèi)容等信息。

桌面水印

為防止拍照、截屏等操作造成的泄密，對辦公的終端實現(xiàn)加注水印的處理，實現(xiàn)對拍照、截屏等行為起到威懾的作用，有效降低泄密的風險。桌面水印分為：屏幕水印、文檔水印、URL水印三個方面。

屏幕水印：實現(xiàn)開機進入系統(tǒng)后屏幕上自動浮現(xiàn)水印模板；

文檔水印：打開office、文本、圖片等文檔，自動在文檔內(nèi)加注水印信息；

URL水印：瀏覽器訪問頁面時會有水印顯示。

△ 屏幕水印效果圖

打印水印

在部署了系統(tǒng)的終端打印文件，會自動加注水印，員工可以根據(jù)需求對文檔進行去水印打印申請，或由管理員配置去水印打印白名單。水印的模板由文件水印、二維碼水印、圖片水印三種類型組成，管理員可自行設定水印模板的顯示信息、深淺度、密集度、大小、位置等信息。系統(tǒng)會自動上傳所有打印文檔的日志到服務端，實現(xiàn)事后追溯。

? 去水印打印

系統(tǒng)提供指定用戶或用戶組終端有去水印打印文件的權限，用戶對需要去水印打印的文件執(zhí)行審批操作后，即可對此文件進行無水印打印，且對用戶的整個操作過程都會生成相應的日志記錄，實現(xiàn)后續(xù)的可追溯性。

? 打印審計

水印管理系統(tǒng)提供打印文件審計策略。通過配置該策略，實現(xiàn)終端客戶端對指定用戶或用戶組打印的所有文件進行實時監(jiān)控。系統(tǒng)會記錄并上傳終端打印操作的信息。同時，系統(tǒng)還提供便利的日志查詢和報表生成功能，用于有效地追蹤打印用戶、打印時間、文檔密級、文檔名和打印的頁數(shù)記錄等信息。最大程度地增加打印風險的可控性和文檔泄密的可追溯性。

√針對外部設備非法連接

外設管理功能是用來禁止或者開啟windows可識別的外設，針對特定外設可以通過關鍵字（設備類型或驅動）對外設實時開啟或關閉，實現(xiàn)對外設進行黑白名單管理。

通過設置外部設備管理策略，以實現(xiàn)對常見外設的實時開啟或者關閉。對于紅外、藍牙、1394、PCMCIA、并行端口外設、串行端口外設、調(diào)制解調(diào)器、軟驅、光驅和近2年新出的手機數(shù)據(jù)線等一系列外設，都存在一定的數(shù)據(jù)傳輸能力，需要對這類型的外設進行控制。

通過以上幾個方面的建設，可以全面有效幫助政企單位構建起對內(nèi)網(wǎng)終端數(shù)據(jù)安全，實現(xiàn)對敏感數(shù)據(jù)資產(chǎn)有效防護，推動政企安全體系進一步完善，保障數(shù)據(jù)資產(chǎn)安全。但在實際應用過程中，政企單位同樣需要數(shù)據(jù)傳輸、數(shù)據(jù)交換等，明朝萬達基于相關實際需求，為政企單位提供自主研發(fā)的數(shù)據(jù)交換和數(shù)據(jù)擺渡產(chǎn)品，實現(xiàn)其內(nèi)部多張網(wǎng)絡文章安全傳輸、業(yè)務數(shù)據(jù)交換、辦公人員文件擺渡的功能。

內(nèi)部多張網(wǎng)絡文件安全傳輸

各級政府、金融、電力等重要部門按照保密規(guī)定，對計算機和計算機網(wǎng)絡的管理采用了多自治域、多組織域的模式，把計算機網(wǎng)絡甚至是計算機主機劃分為不同安全等級的管理域。為保證關鍵域內(nèi)信息的機密性，這些域內(nèi)的計算機網(wǎng)絡嚴禁與非信任域的網(wǎng)絡進行連接，甚至是同一安全等級下的內(nèi)部網(wǎng)絡也進行了劃分和隔離，因此在部門內(nèi)部、部門之間以及部門與外界之間形成了多個域間的“信息孤島"。

盡管“信息孤島”對保證相關信息的機密性起到了積極的作用，但是在信息化高度發(fā)達的今天，這種保護模式嚴重的阻礙了各信任域間信息的交互。當前政企單位主要采用U盤拷貝、ftp共享、網(wǎng)絡共享、專用擺渡機交換等方式滿足網(wǎng)間數(shù)據(jù)交換的需求，存在方式不安全、無審計、難定責等安全問題。

明朝萬達數(shù)據(jù)交換系統(tǒng)、跨網(wǎng)文件管理與交換系統(tǒng)正是以此為切入點，幫助政企單位實現(xiàn)網(wǎng)間文件的安全共享。

業(yè)務系統(tǒng)數(shù)據(jù)交換

明朝萬達Chinasec(安元)數(shù)據(jù)交換系統(tǒng)是專針對內(nèi)外網(wǎng)業(yè)務數(shù)據(jù)交換需求開發(fā)的，是新一代的安全隔離交換產(chǎn)品。它由多臺數(shù)據(jù)交換平臺與網(wǎng)閘組成。從拓撲上，將網(wǎng)絡邊界分為兩個網(wǎng)絡邊界域或三個網(wǎng)絡邊界域，每個區(qū)域承擔相應的安全職責，將多種不同的安全技術手段（身份認證、訪問控制、物理隔離）有機地組成在一起，容納用戶所有的內(nèi)外網(wǎng)交換業(yè)務，最大程度的提升網(wǎng)絡邊界的安全保護能力和用戶的管理能力。

該系統(tǒng)可以實現(xiàn)對數(shù)據(jù)的安全獲取、傳輸，具體表現(xiàn)為實現(xiàn)對數(shù)據(jù)交換對象的身份認證、對訪問權限的控制、對實現(xiàn)數(shù)據(jù)的異構轉換、數(shù)據(jù)對照關系的匹配、對交換行為（文件交換任務，數(shù)據(jù)庫交換同步等）的實時監(jiān)控、數(shù)據(jù)代理裝載轉發(fā)結果數(shù)據(jù)等。

辦公人員文件擺渡

明朝萬達跨網(wǎng)文件管理與交換系統(tǒng)從用戶側的文件擺渡需求出發(fā)，由服務端文件管理服務、文件敏感掃描服務、文件審批服務三大功能組成。文件管理服務用于管理用戶上傳文件、下載文件、擺渡文件、日志審計等功能。文件敏感掃描服務是用于對用戶上傳的文件進行敏感掃描，識別其中的敏感內(nèi)容文件，作為文件安全防泄漏的重要組成部分。文件審批服務主要用于進行審批管理，對于用戶上傳的不同安全級別的文件，需要不同層級領導進行審批，該組件提供審批支持能力。

該系統(tǒng)通過采用內(nèi)置敏感掃描引擎，對傳輸文件進行敏感內(nèi)容掃描、識別，智能標記不同敏感等級文件，便于審批，保護隱私文件泄漏，內(nèi)置強大病毒查殺庫，對傳輸文件進行實時掃描查殺，智能識別病毒文件，采取病毒文件查殺或病毒文件隔離策略，防護文件安全。

作為中國新一代信息安全技術的代表廠商，明朝萬達專注于數(shù)據(jù)安全、公共安全、云安全、大數(shù)據(jù)安全及加密應用技術解決方案等服務，歷經(jīng)十余年的發(fā)展與積累，明朝萬達客戶已覆蓋金融、政府、公安、電信運營商、能源、設計院所和研發(fā)制造業(yè)等諸多行業(yè)。

明朝萬達專注于始終堅持以守護用戶數(shù)據(jù)價值為己任，致力于讓安全真正服務于業(yè)務發(fā)展。公司基于“動態(tài)數(shù)據(jù)安全，數(shù)據(jù)全生命周期管控”的產(chǎn)品理念，在大數(shù)據(jù)、云計算等新技術應用背景下，明朝萬達以數(shù)據(jù)安全為核心、自主可控的國密算法應用技術為基礎，研發(fā)的Chinasec（安元）數(shù)據(jù)安全系列產(chǎn)品及解決方案，覆蓋數(shù)據(jù)產(chǎn)生、存儲、交換、使用等全生命周期重要環(huán)節(jié)，實現(xiàn)對服務器、數(shù)據(jù)庫、PC終端、移動終端以及網(wǎng)絡通信的全IT架構下數(shù)據(jù)安全的協(xié)同聯(lián)動管理，打造企業(yè)級的數(shù)據(jù)安全防護體系。