Chinasec （安元）数据安全管理平台是基于网络和数据的安全管理产品，通过认证、加密、监控和追踪等手段在传统PC终端和移动终端提供系统数据保护、文档加密、应用保护、系统管理、桌面管理和安全通讯等整体解决方案。系统采用C/S架构和B/S架构相结合，内外网相互通的架构思路，对网络安全和数据安全提供全IT架构的多套解决方案。

平台可统一管理PC终端、云桌面及虚拟化终端、移动智能设备和物联网设备等各种终端，有效应对企业IT架构的快速变革与延伸，构建全IT架构统一管理的数据安全体系，极大提高IT安全管理人员的工作效率。

平台提供安全中间件，现有业务系统经过简单调用即可实现业务数据安全，使安全成为标准化服务，为规范化管理提供技术支撑。

对于敏感数据的防护，提供全生命周期的安全管理和审计。安全防护贯穿于数据产生、访问、传输、使用和销毁的过程中，进而对泄密的明文根据标签进行溯源，实现事前安全管理、事后行为审计。

发展背景

随着信息技术特别是网络技术的发展，网络在人们的日常工作中发挥着越来越重要的作用。目前，大部分的企业或机关单位都组建了内部的局域网，实现了资源共享，在方便信息传递的同时，极大地提高了工作效率。

内网开放共享的特点，使得分布在各台主机中的重要信息资源处于一种高风险的状态，内部信息泄露已经给许多企业单位带来了巨额的损失。而根据FBI和CSI对484家公司进行的网络安全专项调查结果显示：超过85%的安全威胁来自公司内部，在损失金额上，由于内部人员泄密导致了6056.5万美元的损失，是黑客造成损失的16倍，是病毒造成损失的12倍。另据中国国家信息安全测评认证中心调查，信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪，而非病毒和外来黑客引起。这些安全威胁不是防火墙、入侵检测和防病毒等传统安全手段所能解决的。应该看到信息安全要立足于终端，从源头抓起，才能从根本上解决安全问题；同时信息安全也要和应用系统紧密结合，才能做到有的放矢，真正有效地满足我国各行业的迫切需求。

面对这种现状，Chinasec（安元）可信网络安全平台系列产品，经过多年的积累应时而生。拥有内网安全管理平台和移动安全管理平台两大系列产品。其中，内网安全管理平台主要解决用户在传统PC架构下的数据安全问题，针对内部网络的用户身份和计算机终端管理、数据信息保密、数字知识产权保护、应用系统保护、文档安全保密以及网络状况监控维护等安全问题提出了整体的解决方案；移动安全管理平台则主要解决用户在移动互联网架构下构建移动商务应用中面临的用户身份安全、接入安全、手机终端安全、数据保密和应用保护等问题。

系统组成

Chinasec（安元）数据安全管理平台系列产品是在Chinasec（安元）数据安全管理平台的基础上，由以下系统组成：

终端数据防泄密系统

致力于为用户提供数据安全防范措施，减少数据泄密风险。系统具有硬盘加密、移动存储介质管理、外设管理、协议外发加密和应用程序外发加密等功能，以用户单位内部局域网为边界对敏感数据进行保护。系统同时具有完善的安全审计功能，提供事后追踪手段；可与身份认证系统联动，实现高强度的身份认证；可与文件审批系统联动，建立完善文档审批机制，规范员工外发行为。

文档安全管理系统

对用户文档提供全生命周期的细粒度管理。其中：主动加密及权限管理提供单个文件和多个文件的主动加密功能，加密同时可以设置对单个文档使用者或者使用组设置文档的使用权限，包括只读、读写、另存、脱密、抓屏、拷贝、无水印打印、带水印打印、离线使用、再授权等十种基本文档权限。管理员可以通过控制台设置文档加密的模板，用户在终端可选择该加密模板，加密后的文件具有模板设有的时用权限；文件夹加密提供整个文件夹加密功能，文档目录可由使用者自行设置，并可设置该文件夹中的文档使用权限。用户可以通过拷贝、拖拽方式将文档放入文件夹中，文档自动加密及设置权限。如果加密文件夹路径在服务器中，可实现文件带权限共享功能。具有相应文档使用权的用户，可从服务器中下载文件；文件集中管理平台提供文档集中管理机制，各终端文档可由服务器集中存储、文档权限可由服务器统一设置。

应用保护系统

以用户的核心信息应用系统（OA、ERP、CRM、PDM等）为边界提供数据防范措施，对终端其他系统的数据不产生影响。任意格式的文档一旦脱离应用系统，就会自动加密并赋予使用权限。文档的使用者在未经授权的情况下，无法将文档下载或外带。

桌面管理系统

对内网计算机终端进行集中的资源管理，并提供详细的审计记录，减少单位内网的安全漏洞和风险，提高了管理效率。系统包括实时监控、远程控制、应用程序控制、IP端口控制管理、网址访问控制等功能。所有监控策略，根据客户端的状态，可以分为离线策略和在线策略两种。在线策略是指客户端计算机在系统服务器的实时管理网络中，能实时接收服务器的管理，比如接入单位内部网络的时候，自动启用在线策略。离线策略则是指客户端计算机不能接入服务器所在的网络的时候，比如笔记本电脑出差或者带回家的时候，这时候客户端自动执行离线策略。基于这两种策略模式，管理员可以根据用户计算机的不同环境设置不同的用户使用策略，比如在单位（在线）设置宽松的策略，离开单位（离线）设置严格的策略。

文件审批系统

为文档权限更改及文件交换提供有效的管理流程，在不破坏各数据保密系统密闭安全环境下提供文档权限更改、文档交换申请、审批、执行等用户行为管理流程，实现可控、可追踪的文件使用和交互，提供可执行、可跟踪、灵活配置的管理手段。

文档追溯系统

通过对文件内部打入唯一标识来追溯文件的来源，是一种逆向追溯管理方案。可以实现一旦出现泄密事件的有痕可查。提供详细的日志查询功能，无需部署客户端即可实现涉密文档泄密追踪，便于责任认定和管理。

邮件安全系统

通过邮件透明加解密技术，在不影响用户使用习惯的情况下实现防止邮件主动泄密和邮箱密码被破解等被动泄密风险，并通过设置邮件地址的黑白名单，满足单位内部实际需求。

身份认证系统

实现用户安全身份认证功能。包括计算机操作系统身份认证及Chinasec系统身份认证，支持口令、USB令牌、生物识别等多种识别方式。同时支持集成第三方的用户身份，例如AD域帐号导入、第三方CA证书结合等。该系统完全独立于计算机、网络系统原有的认证体系，采用基于PKI技术的“双因素认证”。

终端应用模式切换系统

同一台机器在不同的应用场景中，具有不同的安全需求。典型的场景如工作应用场景和个人应用场景，工作应用场景中有较高的安全需求，工作数据为需要保密的数据，所以应具有防泄密的安全措施，同时对使用的环境有较高的安全防范能力；而个人应用场景中有较高的灵活度需求，包括上网、文件交互等。Chinasec终端应用模式切换作为Chinasec-DLP的一个增强模块，为不同安全需求的用户提供应用模式切换的功能，提供一个个人模式和多个工作模式，在不同模式下可以提供不同的安全策略，每个工作模式中具有独立的安全虚拟分区，保护工作数据。

移动存储介质管理系统

提供完善的移动存储设备管理方案，实现对已注册设备、未注册设备进行统一管理，并通过注册、授权、挂失、注销等手段实现移动存储设备生命周期管理。系统提供丰富的事后审计功能。支持对移动存储设备的文件操作记录，日志项包括：操作类型（创建、修改、删除和重命名等）、时间、用户名、文件名、文件内容等详细日志信息；同时，支持对移动存储设备的使用和管理行为进行记录，包括移动存储设备设备的注册、挂失、解除挂失、插入与拔出等操作，管理者通过记录可以确定客户端移动设备的使用情况。

移动安全接入系统

Chinasec(安元)移动安全接入系统为移动智能终端用户的接入、传输、通信和应用提供了一条安全通道。可单独使用，也可与移动应用安全系统和移动终端管理系统组成智能移动终端整体安全使用环境，保障敏感数据由防范严密的内部网络延伸至移动互联中。

网络通信安全采用国密算法进行通信加密，结合终端多样性的特点，支持代理和隧道两种方式启用安全通道。

应用访问控制根据终端登录用户的身份对应用系统进行细粒度的角色管理控制，实现应用系统有效的访问控制。

移动终端管理系统

随着移动终端类型的多样化及其与企业业务的紧密结合，作为公司资产的一部分，对移动终端管理和控制尤为重要。Chinasec（安元）移动终端管理系统实现对终端设备的远程管理和控制能力，降低企业的管理成本。对移动性灵活的设备达到实时管理，对终端的操作进行审计，识别风险，并通过策略手段来控制使用。

移动安全应用系统

Chinasec（安元）移动安全应用系统为各种各样的移动终端应用提供安全环境。具有安全浏览器、安全邮件和安全通讯录等特色安全功能。安全应用使用的所有数据将被加密存放，并且对上层应用透明，不改变用户操作习惯。

数据安全中间件

深度整合业务流程，为应用系统提供数据加密控制、文档标签注入以备事后追溯和多系统统一身份认证。中间件良好的扩展性，可以实现和各种传统PC终端、移动智能终端及云终端的数据联动，构建全IT构架的数据安全体系。中间件的专业封装，使应用经过轻量级开发即可大大提高安全性。

桌面云数据安全解决方案

通过桌面虚拟镜像数据加密功能，解决云端数据集中存储带来的管理员优先访问与虚拟机逃逸隐患；结合PKI 技术的双因子云终端身份认证，保证云终端身份认证安全，提升远程使用安全性；依据云终端划分虚拟安全域，加强数据传输安全管控；数据动态边界自动加密功能，实现云中部门间数据可控交互，防止云终端网络通信造成泄密；构建全IT 架构协同联动，统一平台支持多种终端网络协同管理，有效应对企业IT 架构快速变革与延伸。

系统布置

以上系统以密码技术为支撑，以数据安全为核心，以身份认证为基础，通过主动加密、事前控制、事中监视、事后审计四种手段相结合，可以达到外部入侵进不来、非法外接出不去、内外勾结拿不走、拿走东西看不懂的效果，有效防止机密敏感信息的泄漏，为企事业单位构建了一个可信可控的内网，确保“一切尽在掌控之中”。

服务支持

为实现全国客户服务统一管理，为客户提供标准化服务，保障在服务有效期内的签约用户获得全方位的产品服务与技术支持，Chinasec围绕项目的整个生命周期构建了一套完整的服务体系。该体系包括专业安全服务、项目实施管理、安全培训和系统售后服务等一系列内容。

Chinasec的服务体系中包含了专业的内网安全技术人员，这些人员在项目管理、安全顾问、项目实施、系统维护、培训等方面有着丰富的经验。同时，Chinasec还在全国各地建立了自己的总代理和技术支持中心.，拉近了客户和Chinasec之间的距离。

参考资料