文档加密范文

文档加密范文（精选4篇）

文档加密 第1篇

1 文档加密的需求以及面临的问题

军工园区网由服务器、涉密计算机、涉密工作站、涉密笔记本组成, 这些涉密的计算机上存储的有关科研生产方面的数据文件, 很多都属于国家机密信息。因此, 安全对军工企业的信息系统来讲至关重要, 不仅关系到企业自身的安全问题, 也关系到国家的安全。所以, 如何防止内部员工泄密成了企业急需解决的一个问题。泄密类型如下: (1) 主动泄密:员工因为离职、不满、被收买等原因把机密文档外泄; (2) 无意泄密:员工保密意识观念不强造成无意识地外泄, 如离机未锁定系统、在外使用移动硬盘、U盘遗失等; (3) 黑客、病毒攻击是军工企业重点关注的问题, 一旦外围防线被攻破, 如果数据本身没有任何加密保护措施, 敏感数据泄密的可能性极大; (4) 对涉密文档集中式管理, 防止分散储存导致的泄密风险; (5) 涉密文档采用等级保护制度, 对档划分不同的安全等级, 对不同等级的文档实现不同强度的安全保护; (6) 与外部单位之间往来的外发文件, 管控不当, 容易造成泄密; (7) 移动存储介质的交叉使用导致病毒、木马感染企业内网终端, 并可能会导致泄密事件的发生。

上述问题直接影响着一个军工企业内部重要资料、文件以及数据的安全, 一旦出现重要资料、文件被泄密出去, 会给国家社会造成极大危害。因此, 作为军工企业的管理者迫切需要采用一种技术措施, 解决在实际工作中出现的问题, 以满足国家保密局对涉密信息系统中文件的安全性。

2 文档加密体系介绍

文档加密体系的核心价值主要体现在数据的创建、存储、使用、共享、归档、销毁全生命周期的安全管控, 涵盖了数据全生命周期的所有环节, 主动对数据进行安全防护。

本体系包含文档安全、终端安全、行为安全三大类系统, 最终实现对重要数据信息进行事前防御、事中保护、事后审计。

3 文档加密的主要功能及应用

3.1 数据防扩散

3.1.1 文件透明加解密

在不改变用户原来的操作习惯和工作模式前提下, 自动对涉密文档进行透明加解密, 文档在企业内部可自由操作;但未经授权, 脱离工作环境、带离企业将无法操作。

3.1.2 内容拷贝保护

通过保护剪切板复制、粘贴防止涉密文件的内容拷贝泄密。

3.1.3 手工加解密控制

有权限的用户可通过右键对需要解密的文档进行解密, 支持批量解密、批量加密。

3.1.4 磁盘初始化扫描加密

对涉密计算机需批量加密/ 解密的文件进行自动扫描处理, 后台运行, 用户无法察觉, 不降低用户的使用效率。

3.2数据分级管理

3.2.1文件密级标识

根据国家保密局分级保护的要求, 对组织内部的数据由低到高划分为一般、涉密、秘密、机密四个等级。

3.2.2 人员密级标识

对企业用户按照不同职位、不同职责设定不同的人员密级, 由低到高划分为一般、涉密、秘密、机密四个等级。

3.2.3 手工或自动标密

可手动设置文件密级;基于用户设置密级, 创建的文件自动标密为该用户的密级。

3.2.4 文件密级强制访问控制

高密级用户可访问低密级数据, 低密级用户无法访问高密级的数据。

3.3 数据权限管理

3.3.1 细粒度权限访问控制

基于用户间的文档访问控制;基于部门间的文档访问控制。

3.3.2 读/ 写/ 打印/ 分发四种权限

文档的权限可分为查看、编辑、打印、分发四种权限。

3.3.3 文件访问有效期

可设置的文档访问时效, 在规定的时效范围内可正常打开文件, 一旦出了时效范围, 文件无法使用。

3.3.4 支持文件个体和批量授权

可以对单个文件授权或文件夹批量授权查看或编辑权限。

4 文档加密具体做法的特点及创新

4.1 平台化设计扩展性高

企业信息化不断发展, 系统软件在不断升级, 企业的各种应用软件也在不断变化、升级。随着这些系统软件、应用软件的不断的变化、升级, 数据安全管理体系如何能随之升级而满足新需求, 成为衡量一个数据安全体系优劣的重要指标。

企业的数据安全是一个封闭环, 缺失任何一环, 都有可能对数据安全造成威胁, 尽管企业目前形势下可以忽略其他环节, 但将来可能会逐渐补充这些缺失的环节。因此, 一套数据安全系统的可扩展性是很重要的。文档加密数据安全生命周期管理体系从设计之初就考虑到系统的扩展性。通过文档加密独有的审批平台, 对涉密数据和文件的解密、外发、打印以及不同权限的申请进行及时有效地审批。信息的传递采用上传解密, 下载加密的方式, 并结合审批流程进行解密。

4.2 文档加密系统网络结构

因为文档加密的特性——安全、独立。文档加密一般会采用B/S结合C/S系统的构架, 主要由安全服务器、客户端、管理控制台三部分组成。其中, 安全服务器和客户端采用的C/S方式进行通讯。管理控制台的权限策略管理通过B/S方式与安全服务器进行交互。

4.2.1 安全服务器

安全服务器是文档加密的体系的基础。其中, 包含多种服务, 通过不同的服务控制服务端与客户端不同的信息交互。

4.2.2 客户端

执行管理控制台给各角色设置的权限和策略。

4.2.3 管理控制台

安全管理控制台为系统管理员提供了一个统一的图形操作管理界面, 包含人员组织管理模块、安全策略管理模块、加密文件管理模块、安全日志模块。系统管理员可以在一个统一的图形环境下对所有模块进行管理和操作, 作为服务端和客户端之间沟通的桥梁。

5 文档加密系统展望

目前的文档加密系统的加密是针对文件的类型, 如word的doc、excel的xls等。但是, 在大部分企业中这些文件的很小一部分才是需要加密的。那么未来, 加密系统如何去识别这些, 智能的去区别需要加密以及不重要的文档。这样对于企业来说会大大提高工作效率。

同时, 随着虚拟化技术的广泛应用, 文档加密系统如何去适应这种趋势呢?虚拟化, 是指通过虚拟化技术将一台计算机虚拟为多台逻辑计算机。在一台计算机上同时运行多个逻辑计算机, 每个逻辑计算机可运行不同的操作系统, 从而显著提高计算机的工作效率。虚拟化使用软件的方法重新定义划分IT资源, 可以实现IT资源的动态分配, 提高IT资源利用率, 使IT资源能够真正成为社会基础设施, 服务于各行各业中灵活多变的应用需求。加密软件多数采用C/S架构, 对主机、服务器、终端等物理位置上的文档进行加密。

6 结语

文档加密 第2篇

1、打开一个任意的PDF文档;

2、选择菜单栏的“文档”;

3、选择“文档”里的“安全性”一栏;

4、再选择“安全性”里的“显示本文档的安全性设置”一栏

5、这样进入了“文档属性”对话框，用鼠标点击一下“安全性方法”，就会出现一个下拉菜单，然后选择“口令安全性”;

6、这样进入“口令安全性―设置”对话框，这样有二处可供选择：

a:“要求打开文档口令”，如果用鼠标在小框内点击一下，这样就会把它勾上，然后你输入你的密码――确认，这样，当别人点击这个文件时，就会弹出“请输入口令”的对话框，如果不知道密码的人士，是完全看不见里面的内容的。

b:“使用口令来限制文档的打印和编辑以及它的安全性设置”，如果用鼠标在小框内点击一下，这样就会把它勾上，然后你输入你的密码――确认，

这样就给你的当前PDF文件加密了，当别人打开你的这个文件，可以看见其内容，但别人不能修改、打印等等

设置 PDF 的口令(这是来自官方的说明，你可以尝试操作。)

您可以通过设置口令和禁止某些功能(例如，打印和编辑)来限制对 PDF 的访问。

PDF 包含两种口令：“文档打开口令”和“许可口令”。当您设置了“文档打开口令”(也称作“用户”口令)后，用户必须键入您指定的口令才能打开 PDF。 当您设置了“许可口令”(也称作“主”口令)后，收件人无需口令即可打开文档，但其必须键入“许可口令”才能设置或更改受限制的功能。 如果 PDF 同时被这两种口令保护，则使用其中任一口令即可将其打开，但必须使用“许可口令”才能更改受限制的功能。为了更高的安全性，同时设置两种口令较好。

所有 Adobe 产品均强制执行由“许可口令”设置的限制。但是，由于第三方产品可能不支持或忽略这些设置，文档收件人可能会绕过您设置的某些或所有限制。

重要说明： 如果您忘记了口令，将无法从文档恢复口令。 请考虑保留没有口令保护的 PDF 的备份。

请执行以下任一操作：

请单击“任务”工具栏上的“安全”按钮 ，然后选择“删除安全性设置”。 键入您的口令，然后在有关删除安全性的提示中单击“是”。

请在“文档属性”对话框的“安全性”标签中，从“安全性方法”菜单选择“无安全性设置”。

文档加密 第3篇

社会经济的不断发展使得越来越多的企业产品走向数字化, 大量的市场分析文档、分析数据、制造过程数据、科研成果都以电子文档的形式保存在计算机系统中。相关产品开发数据、专利及工程计划等文件对于企业来说至关重要, 如果因为安全意识的淡薄, 一旦发生流失会给企业带来巨大的损失。而如何确保由于主动泄密、软硬件故障、木马窃取、移动设备丢失等问题引起的这些携带商业秘密电子文档泄密安全隐患得到有效控制和管理, 已经成为各家公司, 不论是正在发展中的中小型企业还是已经成功上市的大型企业信息管理部门的一个重要战略考虑。在这样背景下, 各家企业的信息管理部门应当考虑对全公司各部门实施企业电子文档加密系统以保障企业内部数据的安全。

二、意义与优势

文档加密系统采用多种加密算法和后台加密技术对需要保护的信息强制加密, 其核心思想可归为钩子技术, 在某通信链路上安装钩子模块, 通过钩子截获用户发往存储介质或者其他应用程序的消息, 钩子程序进而对消息进行处理, 具体为将明文消息转换为密文消息, 然后将密文信息保存至存储介质上。这种文档加密的优势是对电子文档的创建、修改、传输、归档、分发、销毁等全过程的加密管理, 不影响用户的原有操作的前提下, 提高了用户数据的安全性。对信息源头进行保护, 这样就实现了不用去禁止USB、网络、光盘等设备的使用, 而达到保护电子文档的安全。

三、实施目标

(1) 建立一个统一管控、跨地域的文档安全管理平台, 数据安全系统管理员在中央服务器端能够实时监控各个部门服务器的工作状态和服务器的管理及访问授权, 能够汇总各部门服务器的工作日志, 及时发现系统安全隐患。

(2) 以办公类文档加密保护为基础, 保证公司内部重要文档信息在全生命周期 (创建、保存、修改、拷贝、外发、删除) 都处于文档加密系统的保护之下。

(3) 在数据安全系统机制下, 各种办公软件例如Office、WPS、CAD等计算机辅助程序在不用解密下就可以直接操作文件, 确保在保护环境下文件都能正常操作, 如果文件被非法带出保护环境, 文件都是不可用的, 从源头上保证文件的安全。

(4) 数据安全系统管理员通过服务器端对文件进行加密和发放, 此项操作将被严格记录及审计。

四、实施方案

4.1文档加密系统的实施要求

(1) 所有客户端计算机均要求安装文档加密客户端软件; (2) 默认全部采用强制加密模式, 对本机生成的Microsoft Office、金山WPS及PDF文件强制自动加密; (3) 加密后的文档因工作需要外发的必须通过审批后解密发出; (4) 安装了加密客户端并采用强制加密模式的计算机必须使用IE访问OA, OA下载文档自动加密; (5) 所有上传至服务器的加密文档自动解密作明文存储。

4.2加密系统的实施拓扑图

4.3文档加密系统策略

(1) 加密客户端计算机默认采用强制加密桌面, 对本机的Microsoft Word、Microsoft Excel、Microsoft PowerPoint、金山WPS生成的文档及各类PDF软件生成的PDF文档强制自动加密;

(2) 高管领导采取VIP桌面工作模式:能够打开加密文档、且编辑生成的文档不加密。对需要加密的文档可手动设置加密;

(3) 客户端脱机策略设置

客户端计算机离开公司局域网超过系统预设的脱机时长将无法打开加密的文档, 脱机时长设置为2160小时;

(4) 复制与粘贴策略

系统设置不允许拷贝, 具体实现效果为: (1) 受控程序内容不能向非受控程序内拷贝; (2) 受控程序内容可以向受控程序内拷贝; (3) 非受控程序内容可以向受控程序内拷贝; (4) PrintScreen键拷屏只能粘贴到受控程序内; (5) 非受控截屏工具无法对打开的受控程序文档进行截屏; (6) 配置“红蜻蜓截图软件”为受控截图程序, 截图只能粘贴到受控程序文档中; (7) 受控截图程序单独保存的图片文件均为密文; (8) 使用一些非微软官方远程工具远程客户端时必须最小化或关闭打开的受控程序才能正常使用。

4.4服务器明文策略

应用系统服务器与加密系统集成, 实现加密文件上传服务器自动解密, 下载自动加密;

4.5文档解密途径

(1) 文档外发系统解密和解密机解密两种方式为公司合法的加密文档解密途径;

(2) 两种解密途径以文档外发系统为主, 解密机为辅。所有人员的文档解密都必须通过文档外发系统进行审批解密;当文档外发系统不可用或出现特殊情况使用解密机进行解密;单个文档大小≥20M, 批量文档大小≥100M时使用解密机解密。

4.6文档解密流程

4.6.1文档外发系统解密流程

适用于普通员工的文档审批解密流程:

适用于各部门具有解密审批权限的领导、已授权的委托人的自动解密流程:

4.6.2解密机文档解密流程

4.6.3相关负责人的职责

为了保证整个加密系统在合法权限内的正常运作, 各个相关责任人需要履行相应的职责。这其中, 部门负责人职责要负责对本部门员工提交的解密申请进行审批, 还要负责对本部门员工申请解密的文档内容进行审核;而作为委托人, 当部门负责人出差时可在系统中授权其他员工代替部门负责人完成解密审批工作, 其职责主要是负责对本部门员工提交的解密申请进行审批, 负责对本部门员工申请解密的文档内容进行审核;部门负责人或分管领导负责对本部门员工提交的纸质《管理机文档解密申请表》进行签字审批;作为兼职解密员, 其职责应判断解密申请是否符合管理机解密规定, 审核本单位员工提交解密的文件名与申请单上文件名是否一致, 使用管理机解密文档并备份留存, 填写申请表上相关内容并归档备查。

4.7加密系统实施对用户的影响

用户本机新建、修改保存后的Word、Excel、PPT、金山WPS、PDF文档将会自动被加密;加密后的文档可以在全公司已实施文档加密系统的计算机上直接打开;对公司以外用户发送加密文档必须通过审批解密后发送。

五、系统实施过程

文档加密系统的整个实施过程应当遵循合理、严谨、有效的项目实施生命周期。整个生命周期分为四个阶段, 分别为:系统项目准备阶段、软硬件集成测试阶段、全面部署阶段以及系统项目验收。

(1) 系统项目准备阶段, 主要完成服务器的准备、搭建和环境的调研。具体软件列表如表1所示:

(2) 软硬件集成测试阶段, 主要包括软件功能测试、环境兼容性测试和系统集成测试三个阶段。在最后的报告中给出包含测试大纲、测试内容、测试结果和判断测试是否通过的结论。其中, 测试大纲中应当包含客户端测试、管理功能测试、应用软件测试和安全性测试这四个方面的测试。对客户端的测试主要进行数据透明加密、开机自动运行、加密文件标识三方测试。

数据透明加密的测试结果应当实现DG能够实现后台透明加密, 并且不影响系统和软件的正常使用的效果;开机自动运行的测试结果应当实现DG能够在随着系统启动而自动启动, 从而可以保证强制加密, 并能够防止其他软件对其开机启动进行破坏;加密文件标识的测试应当达到加密文件和不加密文件在文件图标上有锁标进行区别, 锁的标示且比较明显这一特征。

对管理功能的测试主要涵盖了密钥定义备份、系统升级、系统分级管理、注册客户机、客户端策略配置以及自定义策略模板。密钥定义备份的测试结果是可以设置自定义密钥或者恢复密钥, 客户端可以立即生效, 无须重启计算机, 且密钥可备份;系统升级的测试结果应为加密系统可以灵活的、自动的进行对客户端升级版本;系统分级管理的测试结果实现各级管理员只能管理下属客户端和用户策略;注册客户机的测试结果应使得管理机可以对加密客户端的正常授权;客户端配置策略的测试结果应达到可以正常对计算机下发策略, 可以对用户下发策略, 并且能查看策略的原则;自定义策略模板的测试应当提供策略模板的设置。

在应用软件集成测试中, OA集成应当实现OA流程管理 (Notes) 、OA一体化管理、通过OA上传加密文件自动解密、通过OA下载文件自动加密和OA的正常工作。其他一些OFFICE办公软件文档、ADOBE PDF文档、PDF COMPLETE等文档都应当能够正常加密, 使用这些软件也能够正常解密文档。EHR系统能够保证文件可以正常打开和上传, 通过EHR下载文件自动加密以及EHR各功能使用正常。EDP系统也应当通过测试可以正常使用。财务管理系统经过测试可正常导入加密数据, 导出的文件自动加密, 系统各功能使用正常。

安全性测试尤为重要, 通过安全性测试的系统其应当具备防破解、防卸载、防泄密和抗灾难的特性。安全的系统使得一些黑客软件无法破解加密的客户端;用户无法在控制面板卸载DG客户端;无法通过修改进程名导致文件不加密;无法拷贝加密内容粘贴非加密应用中;无法通过QQ截屏、OLE操作等泄密。在网络断开的情况下, 客户端脱机正常使用;客户端恢复机制可以重新安装客户端程序, 加密文件仍然能够打开;服务器热备;管理机集群等。兼容性测试则应当保证操作系统与系统所安装的安全防护软件互不干涉, 互不冲突。

六、技术特点及效果分析

文档加密系统为企业构造了一个安全的企业办公环境 (指若干安装了DG的计算机构成的网络系统, 以下简称DG环境) , 实现电子文档透明加密保护, 在DG环境中的终端无需改变工作习惯, 可以打开加密文件, 而企业外部非法获取文件将无法打开。

为保证企业内部的正常沟通和服务器风险考虑, 文档加密系统可以实现企业内部应用系统服务器中的文件以明文形式存放。

终端文档加密系统具备以下成果:能够按照策略要求对需要保护的数据文件进行加密;受保护的电子文件只在DG办公环境内部的计算机上可用, 在其他计算机上不可用;公司内部的应用系统使用不受影响, 且客户端上传加密文件时自动解密, 无需另外解密;系统对设计数据加密, 且不影响企业现有分析软件对设计数据的使用;此加密系统能够与企业当前的软件环境充分兼容;服务器、管理机具有容灾机制, 出现故障时不影响客户端正常工作, 且恢复简单;解密日志可审计。

七、结束语

计算机终端文档加密系统实现了对企业围绕办公类数据进行加密保护, 对解密文件操作解密日志可审计, 对现场环境充分兼容的需求, 终端的运行稳定和系统自身性能可靠性实现了企业内部文档受到充分的安全保护。在信息安全日益重要的今天, 以及企业对数字知识产权保护的需求, 实施全面的分层的终端文档加密保护可以有效避免以及杜绝重要信息的泄露与窃取, 做到有效保障企业的合法权益。

参考文献

[1]王海军.网络信息安全管理研究.山东大学出版社, 2010 (8)

[2]张建标, 赖英旭, 侍伟敏.信息安全体系结构.北京工业大学出版社, 2011 (9)

[3]韩啸, 王瑞静, 刘健南.ASP.NET Web开发学习实录.清华大学出版社, 2011 (8)

文档加密 第4篇

随着公司信息化的全面深入,作为一家央企,公司为了保守国家秘密,防止密涉文件的泄密,要求建立先进的电子文档加密系统,保证文档在建立、流转、外发、归档等操作环节都处于加密系统的有效保护之下,从而保证文档的安全。

公司采用了江苏敏捷科技股份有限公司的图文档加密系统,实现了对使用办公文档系统的所有部门的文件进行保护,对需要解密的文件设置了流程解密和手工解密等方式。对现场环境充分兼容如金山毒霸、Mc Afee、Office、PDF、UG设计软件等,实现内部文档安全保护,外发文档严格审批及自动筛选,目前系统自身运行稳定,该系统在公司总部和分公司网络之间构建起了一道安全的桥梁,保证了公司文档的安全。

二、系统架构

该文档加密系统采用C/S(服务器+客户端)模式,在公司内部布置一台加密服务器,客户端通过安装客户端程序,与服务器相连,达到文档加密效果,服务器架构如图一所示:

服务器端管控子系统:负责策略和用户的管控以及审计日志的管理

客户端加密子系统:负责客户端加解密策略的执行

链路加密子系统:负责网络链路数据包的加密

邮件外发子系统:负责外发邮件策略的执行

公司内部服务器与南车总部服务器通过互连网相连,从而将整个公司连接在一起,在整个公司内部文档传输不需要解密,从而提高了办公效率。整个架构如图二所示:

三、客户端的安装

该加密系统客户端安装较简单,主要安装过程如图三所示

通过IP地址与服务器相连,安装完毕后,在系统姿态栏处显示一把锁的图标,文档图标上也有一把锁,代表该系统已经处于加密姿态下,所有的文档处于加密状态,如图四所示:

四、服务器端的设置

客户端安装了软件后,在服务器端可以根据权限对客户机进行设置,包括设置脱机时间,客户端打印、截屏操作、内容拷贝控制等。同时服务器端可与应用系统及软件进行集成,包括公司OA系统、PDM、ERP、PDF、OFFICE等。与杀毒软件、操作系统全面兼容,包括主流的赛门铁克、迈克菲、趋势等杀毒软件;包括Server 2003、Windows XP、Win7 32和64位等操作系统,服务器端的设置后台如图五、图六所示:

五、文档的解密

加密的文件可通过流程解密(WEB方式)和手工解密两种方式进行。

加密的文件通过流程解密需要通过专用涉密邮件网关,外发流程进行相应的审批(由各部门专人负责)后才能发出,

加密的文件通过手工解密,需要客户端安装解密机,服务器对其进行解密机注册,客户端才能对文档进行解密。对于所有解密的文件,服务器都有日志审计功能方便回溯、审计,谁解密谁负责,保证了公司文档的安全,手工解密如图七所示:

六、结论