紅線防泄密系統對設計圖紙的加密保護

互聯網時代，設計圖紙的電子文檔成為設計人士在進行信息存儲的主要方式及內、外部之間進行信息交換的重要載體。對于以知識創作成果作為重要核心資產的人士來說，保護設計圖紙的安全越來越受到重視。同時，設計部門或公司的人員構成、業務流程和數據的流轉都十分復雜，設計圖紙文件加密保護勢在必行。設計行業在數據防泄密方面的需求點包括：圖紙數據量大、圖紙機密性高、應用軟件類型多等等，對文件加密軟件的穩定性、完善性上要求高。

防泄密系統對設計圖紙進行高強度文件加密保護

需求分析



1.設計圖紙甚至一些機密數據存儲在計算機上，需要采取文件加密手段防止數據泄密，杜絕電腦上的數據被隨意拷貝、外發等；

2.設計內部與外部之間重要電子文檔、內部數據的流轉安全，任何未經授權發送或者獲取的數據都保持文件加密狀態，嚴控外發數據安全；

3.設計圖紙等成果數據在與客戶或者合作伙伴之間外部交互時需進行有效的訪問權限控制，防止二次擴散；

4.保證出差時離線可以正常打開文件加密文件，并能防止筆記本丟失造成的數據泄密風險；

5.加解密操作日志記錄和文件加密數據本地備份；



解決方案



設計圖紙等核心文件重點關注的是文件在單位內部、客戶、合作伙伴流轉過程中如何實現有效的訪問權限控制并杜絕惡意的成果剽竊行為，切實有效進行文件外帶權限控制，充分考慮敏感性數據面臨的各種主動泄密和被動泄密風險。



1.機密圖紙等重要數據透明文件加密

防泄密系統采用的是AES256,512，SM2、SM3等高強度文件加密算法，結合透明文件加密技術。在不影響員工對電腦任何正常操作的前提下，圖紙在保存或者另存為時即被強制自動文件加密。文件加密圖紙只能在授權內部電腦上正常使用，未解密的情況下脫離授權環境，在外部電腦上打開便會顯示亂碼或無法打開。文件加密圖紙只有被管理員解密之后，帶出才能正常使用，文件加密軟件確保機密圖紙安全。



2.設計部門與其他部門之間的文檔流轉控制

設計圖紙、設計方案等重要資料在單位內部自由流轉擴散，防泄密系統安全域和文件密級設置可有效做到對不同崗位、部門人員的文檔使用權限進行詳細的劃分。即授權指定部門或用戶只能訪問指定部門的文件，權限外的其他文件，即使獲取到，也無法打開，確保流轉信息安全。



3.設計方案的外帶安全掌控

基于員工要經常出差到現場辦公的情況，防泄密系統提供離線使用功能來保證員工出差時對文件加密文檔的正常使用。只要是授權綁定的電腦，即使離線狀態下，也可以正常進行加解密操作（權限夠的情況下）。



4.保障設計資料與合作伙伴之間的交互安全

為了保障與合作單位之間的文件交互安全，防泄密系統提供了文檔分享文件加密權限功能?？梢詫ν獍l的文件設置打開次數，時間等；同時對于外發的文件，還能設置防打印，拷貝，截圖等。并且外部用戶無需安裝客戶端，只需運行查看器即可打開外發文件加密文件。



5.日志記錄和數據備份

對內部PC用戶的加解密操作行為進行日志記錄，更加有利于對內部機密文檔的生成、使用、流轉等情況了解。而出現未知或不可測因素造成的文件數據損壞，本地數據備份功能能夠挽回不可預估損失（僅限文件加密數據）。



圖紙文件加密方案優勢



1.全方位的數據文件加密保護，通過數據文件加密、權限控制、記錄備份等功能，對內部數據進行24時全生命周期的安全防護。

2. 高度的集中管理、集中策略控制、靈活的分組（部門）管理機制。安全域：不同部門劃分不同安全域，文件加密密級：指定不同的用戶擁有不同的文檔文件加密密級。

3. 在線及離線均可以正常工作，不限地域不限物理距離。

4. 對文檔自動進行備份，以防意外斷電導致的數據丟失或破壞。

5. 云平臺管理模式，企業無需服務端部署成本（硬件服務器成本投入）、人員管理及維護成本。

• 

• 透明加密策略

  透明加密：在文件創建或編輯過程中自動強制加密，對用戶操 作習慣沒有任何影響，不需手動輸入密碼。當文件通過非正常 渠道流至外部，打開時會出現亂碼或無法打開，并且始終處于 加密狀態。加密過程在操作系統內核完成，保證了加密的高效 性。
  半透明加密：用戶可以打開加密文件，新建的文件不加密。

• 

• 解密在線審批

  解密外發：當與外部交流，需要解密文件，員工可以通過申請 解密文件，管理人員受到申請信息，根據收到申請解密文件， 決定是否通過審批?？梢栽O置多人審批，分級審批等流程。
  防泄密外發：當員工外發重要文件時，可以向管理員申請外發 ，同時可以設置外發出去的文件的打開次數，打開時間，是否 可以打印、截屏等操作。可以設置多人審批，分級審批等流程。

• 

• 文件外發設置

  外發文件時，申請者可以設置外發文件的使用權限，包括外發出去的文件的打開次數，打開時間等信息，過期自動銷毀！

• 

• 文件密級設置

  通過劃分安全區域、設置文檔密級，建立分部門分級別的保密機制
  文件密級管理：根據保密制度和策略，通過部門、密級、文檔類型的相關聯， 細化到各部門加密的不同文件類型，劃分“公開”、“普通”、“私密”、“保密”、“機密”、“絕密”六個等級。 每個部門有單獨的權限，不同部門之間默認不可互相訪問，可以根據需求進行一些必要的設置和授權。

• 

• 剪切板加密

  透明加密：在文件創建或編輯過程中自動強制加密，對用戶操 作習慣沒有任何影響，不需手動輸入密碼。當文件通過非正常 渠道流至外部，打開時會出現亂碼或無法打開，并且始終處于 加密狀態。加密過程在操作系統內核完成，保證了加密的高效 性。 半透明加密：用戶可以打開加密文件，新建的文件不加密。

• 

• 郵件白名單

  發件人白名單：管理員可以設置發件人白名單，白名單中的發件人發出的郵件中的附件會自動解密。
  收件人白名單：管理員可以設置收件人白名單，白名單中的收件人收到的郵件中的附件會自動解密。

• 

• 離線電腦設置

  離線用戶管理(長期)： 若員工不能夠與企業內網中的服務器相連，可以利用單機客戶端的方式。
  離線用戶管理(短期)：若員工臨時出差在外，可以通過離線策略對其進行管理。設置員工離線的時間，比如72小時，當計算機離線大于72小時后，所有加密文件將不能打開。

• 

• 加解密網關

  安全網關對訪問服務器的計算機進行嚴格的身份驗證，防止未授權的用戶和進程訪問服務器獲取機密數據。 通過上傳解密、下載加密及通訊加密，實現對加密文檔上傳、下載與傳輸過程中的全面防護，防止機密數據被竊取。

• 

• 加密文件備份

  審批日志備份：系統會記錄所有申請解密操作、外發操作、審批操作。同時將把所有相關操作的源文件備份到服務器上。
  加密文件備份：所有加密的文件，定時備份到服務器上，已經備份過的，沒有修改過，不備份。加密文件修改過，會自動備份到服務器上，同一個文件，每天只備份一個版本。