红线防泄密系统对设计图纸的加密保护

互联网时代，设计图纸的电子文档成为设计人士在进行信息存储的主要方式及内、外部之间进行信息交换的重要载体。对于以知识创作成果作为重要核心资产的人士来说，保护设计图纸的安全越来越受到重视。同时，设计部门或公司的人员构成、业务流程和数据的流转都十分复杂，设计图纸文件加密保护势在必行。设计行业在数据防泄密方面的需求点包括：图纸数据量大、图纸机密性高、应用软件类型多等等，对文件加密软件的稳定性、完善性上要求高。

防泄密系统对设计图纸进行高强度文件加密保护

需求分析



1.设计图纸甚至一些机密数据存储在计算机上，需要采取文件加密手段防止数据泄密，杜绝电脑上的数据被随意拷贝、外发等；

2.设计内部与外部之间重要电子文档、内部数据的流转安全，任何未经授权发送或者获取的数据都保持文件加密状态，严控外发数据安全；

3.设计图纸等成果数据在与客户或者合作伙伴之间外部交互时需进行有效的访问权限控制，防止二次扩散；

4.保证出差时离线可以正常打开文件加密文件，并能防止笔记本丢失造成的数据泄密风险；

5.加解密操作日志记录和文件加密数据本地备份；



解决方案



设计图纸等核心文件重点关注的是文件在单位内部、客户、合作伙伴流转过程中如何实现有效的访问权限控制并杜绝恶意的成果剽窃行为，切实有效进行文件外带权限控制，充分考虑敏感性数据面临的各种主动泄密和被动泄密风险。



1.机密图纸等重要数据透明文件加密

防泄密系统采用的是AES256,512，SM2、SM3等高强度文件加密算法，结合透明文件加密技术。在不影响员工对电脑任何正常操作的前提下，图纸在保存或者另存为时即被强制自动文件加密。文件加密图纸只能在授权内部电脑上正常使用，未解密的情况下脱离授权环境，在外部电脑上打开便会显示乱码或无法打开。文件加密图纸只有被管理员解密之后，带出才能正常使用，文件加密软件确保机密图纸安全。



2.设计部门与其他部门之间的文档流转控制

设计图纸、设计方案等重要资料在单位内部自由流转扩散，防泄密系统安全域和文件密级设置可有效做到对不同岗位、部门人员的文档使用权限进行详细的划分。即授权指定部门或用户只能访问指定部门的文件，权限外的其他文件，即使获取到，也无法打开，确保流转信息安全。



3.设计方案的外带安全掌控

基于员工要经常出差到现场办公的情况，防泄密系统提供离线使用功能来保证员工出差时对文件加密文档的正常使用。只要是授权绑定的电脑，即使离线状态下，也可以正常进行加解密操作（权限够的情况下）。



4.保障设计资料与合作伙伴之间的交互安全

为了保障与合作单位之间的文件交互安全，防泄密系统提供了文档分享文件加密权限功能。可以对外发的文件设置打开次数，时间等；同时对于外发的文件，还能设置防打印，拷贝，截图等。并且外部用户无需安装客户端，只需运行查看器即可打开外发文件加密文件。



5.日志记录和数据备份

对内部PC用户的加解密操作行为进行日志记录，更加有利于对内部机密文档的生成、使用、流转等情况了解。而出现未知或不可测因素造成的文件数据损坏，本地数据备份功能能够挽回不可预估损失（仅限文件加密数据）。



图纸文件加密方案优势



1.全方位的数据文件加密保护，通过数据文件加密、权限控制、记录备份等功能，对内部数据进行24时全生命周期的安全防护。

2. 高度的集中管理、集中策略控制、灵活的分组（部门）管理机制。安全域：不同部门划分不同安全域，文件加密密级：指定不同的用户拥有不同的文档文件加密密级。

3. 在线及离线均可以正常工作，不限地域不限物理距离。

4. 对文档自动进行备份，以防意外断电导致的数据丢失或破坏。

5. 云平台管理模式，企业无需服务端部署成本（硬件服务器成本投入）、人员管理及维护成本。

• 

• 透明加密策略

  透明加密：在文件创建或编辑过程中自动强制加密，对用户操 作习惯没有任何影响，不需手动输入密码。当文件通过非正常 渠道流至外部，打开时会出现乱码或无法打开，并且始终处于 加密状态。加密过程在操作系统内核完成，保证了加密的高效 性。
  半透明加密：用户可以打开加密文件，新建的文件不加密。

• 

• 解密在线审批

  解密外发：当与外部交流，需要解密文件，员工可以通过申请 解密文件，管理人员受到申请信息，根据收到申请解密文件， 决定是否通过审批。可以设置多人审批，分级审批等流程。
  防泄密外发：当员工外发重要文件时，可以向管理员申请外发 ，同时可以设置外发出去的文件的打开次数，打开时间，是否 可以打印、截屏等操作。可以设置多人审批，分级审批等流程。

• 

• 文件外发设置

  外发文件时，申请者可以设置外发文件的使用权限，包括外发出去的文件的打开次数，打开时间等信息，过期自动销毁！

• 

• 文件密级设置

  通过划分安全区域、设置文档密级，建立分部门分级别的保密机制
  文件密级管理：根据保密制度和策略，通过部门、密级、文档类型的相关联， 细化到各部门加密的不同文件类型，划分“公开”、“普通”、“私密”、“保密”、“机密”、“绝密”六个等级。 每个部门有单独的权限，不同部门之间默认不可互相访问，可以根据需求进行一些必要的设置和授权。

• 

• 剪切板加密

  透明加密：在文件创建或编辑过程中自动强制加密，对用户操 作习惯没有任何影响，不需手动输入密码。当文件通过非正常 渠道流至外部，打开时会出现乱码或无法打开，并且始终处于 加密状态。加密过程在操作系统内核完成，保证了加密的高效 性。 半透明加密：用户可以打开加密文件，新建的文件不加密。

• 

• 邮件白名单

  发件人白名单：管理员可以设置发件人白名单，白名单中的发件人发出的邮件中的附件会自动解密。
  收件人白名单：管理员可以设置收件人白名单，白名单中的收件人收到的邮件中的附件会自动解密。

• 

• 离线电脑设置

  离线用户管理(长期)： 若员工不能够与企业内网中的服务器相连，可以利用单机客户端的方式。
  离线用户管理(短期)：若员工临时出差在外，可以通过离线策略对其进行管理。设置员工离线的时间，比如72小时，当计算机离线大于72小时后，所有加密文件将不能打开。

• 

• 加解密网关

  安全网关对访问服务器的计算机进行严格的身份验证，防止未授权的用户和进程访问服务器获取机密数据。 通过上传解密、下载加密及通讯加密，实现对加密文档上传、下载与传输过程中的全面防护，防止机密数据被窃取。

• 

• 加密文件备份

  审批日志备份：系统会记录所有申请解密操作、外发操作、审批操作。同时将把所有相关操作的源文件备份到服务器上。
  加密文件备份：所有加密的文件，定时备份到服务器上，已经备份过的，没有修改过，不备份。加密文件修改过，会自动备份到服务器上，同一个文件，每天只备份一个版本。