一、简述

二、设计理念

三、系统架构

四、功能特点

一、简述

随着社会经济的发展，计算机的普及。各行各业都进入了计算机办公化时代。如今电子文档给大家带来了方便的同时也带来了严重的安全隐患。近年来发生的文档泄密事件都在警示我们：文档安全问题不容忽视、文档安全保护刻不容缓！

政府机关、企事业单位都需要一套系统来保护电子文档的安全。这套系统要填补网络安全系统在文件数据保护层面的空白，还需要能与用户的文档安全制度配合，通过系统落实单位指定的文档保护制度。

文档安全管理系统能帮用户解决的疑难有：防止重要文档被非法带离单位、防止由于文档载体丢失造成的泄密、防止文件越权使用、记录涉及文档安全的各种信息。

二、设计理念

由于电子文档具有易于复制、易于传输的特点，电子文件的管控一直是个难于解决的问题。电子文件一旦被借阅，则借阅者对文件就具有了完全的权利，无法向传统媒介文档一样实施收回或归还操作，客观上造成秘密材料的无序传播。很多时候，我们需要安全的发送一些文档到接收方，如果没有专门的安全保护系统，我们很难找到很好的方式去保护这些文件。

文档的保护是基于文档自身的属性和使用对象来设计。文档的自身属性有四种：阅读、编辑、复制、打印。哪些使用对象对文档有哪些使用权限。既要做到文档安全的有效保护，同时还要做到不影响用户的使用习惯。

黑匣子文档安全管理系统让用户可以同时对文件整个生命周期的安全进行管理。从文件的创建、存储、使用、流转和销毁全过程进行保护。

三、系统架构

黑匣子文档安全管理系统是C/S架构，由客户端BDMAgent、BDMServer、BDMNOC构成。

客户端BDMAgent通过MOM（消息中间件）与服务器端BDMServer进行通讯。控制端BDMNOC通过控制台或者WEB的方式来设置各种文档安全管理策略。

为了保障系统的稳定可靠的运行。服务器可以做双机热备。

该系统可与第三方认证系统无缝集成，在用户登录时无需多次认证。

四、功能特点

1 、手动加密与自动加密结合

黑匣子文档安全管理系统手自一体产品同时提供两种加密方式：自动加密和手动加密。可按员工工作内容以及文档内容敏感度设置不同的加密方式。

公司中可以按部门为单位划分自动、手动加密区域；也可对每台计算机进行自动加密方式或手动加密方式的设置，例如对设计类应用使用自动加密方式，对办公类应用使用手动加密方式，同时手动加密文档与自动加密文档可以实现实时无障碍交互。

这种手自一体的解决方案兼顾了安全性与易用性，满足了用户各种情况下的文档保密需求。

2、文档自动加密

动态硬盘扫描加密与新建文档强制加密相结合。安装系统后客户机在第一次启动时会自动将未加密文档进行加密。另外，用户创建的新文档都会被自动加密。以上整个加密过程完全透明。

3、文档手动加密

由文档的作者对文档进行加密，作者可以根据需求选择哪些文档需要加密哪些不需要加密。系统不对环境内的文档进行自动加密。

4、计算机管理

客户端计算机需要经过管理员审批后才能够执行策略，以此来防止非法计算机接入本系统。对于进入黑匣子文档安全管理系统的计算机，系统将记录客户端的操作日志。

5 、授权管理

用户在为自己的文档授权时可根据文档应用格式（如WORD、EXCEL等）进行批量授权，也可针对单个文档进行授权，权限策略灵活可控。七洲信息科技黑匣子文档安全管理系统为客户提供了详细的文件控制权限，包括阅读、编辑、打印、复制等权限。

 可实现全单位统一授权；

 以部门、各级子部门为单位进行授权；

 针对用户、用户组进行灵活授权；

 可实现文件单一授权与跨部门授权；

 可以实现管理台授权与客户端授权；

 可以灵活赋予阅读、编辑、打印、复制权限；

 可设置多级管理员，实现各部门分级管理；

6、组策略管理文档安全

系统可控制文档的操作权限，支持多种文件密级策略，可按公司部门建立相应的组策略，进行文档的安全管理。

 管理到用户，可对用户进行甄别、授权与记录；

 解决一人多机、一机多人、人机不对应的复杂情况；

 从管理单元上实现与OA、CA、PDM等系统的统一；

 可实现对项目组的管理与授权;

 项目组成员与部门灵活对应；

 符合项目组工作方式；

 实现一人多组、多人多组；

7、文档离线使用功能

可为离开办公环境的计算机（已安装七洲信息科技黑匣子文档安全系统客户端）提供加密文档的使用授权，使工作人员可携带计算机在外部环境中使用加密文档。

员工出差、加班：

 通过申请内网离线，可设置笔记本计算机离线使用的时间与权限；

 离线时产生的文档可自动加密；

 笔记本重新接入系统，离线时对文档的操作日志自动进行上传；

 在线离线可实时切换，可为经常出差与加班的员工申请长时间离线通过申请内网离线，可设置笔记本计算机离线使用的时间与权限；

 离线时产生的文档可自动加密；

 笔记本重新接入系统，离线时对文档的操作日志自动进行上传；

 在线离线可实时切换，可为经常出差与加班的员工申请长时间离线；

文档外发给他人（业主、合作伙伴）：可将密文绑定在载体上外发，文档在指定时间内，可以在指定的载体上使用。超过时间或者将文档拷离载体将不能使用。

外协单位对文档的使用：通过网络锁在外协单位虚拟出密文的使用环境，网络锁（USB KEY）相当于虚拟的服务器端。通过网络锁可实现多人对密文的协同使用。

8、日志管理

管理员可以随时查找文档访问信息，可用来追踪泄密渠道，也可用作电子取证。同时，系统管理员的操作也会被完整记录下来，监督员可以进行查询和分析。

 文件日志：记录文件使用信息，可以通过用户所做的操作来查询；

 部门日志 ：可以查看管理员设置的部门策略；

 计算机日志：记录某一台计算机作过哪些操作，如在控制台删除计算机，撤销审批等操作记录；

 申请审批日志：申请审批日志记录了邮件外发、文件借阅、离线、解密这四种操作申请与审批的记录；

 自动扫描日志查询：记录了自动加密扫描是否完成。扫描了那些应用，针对应用又有哪些文件被加密；

9 、防止屏幕拷贝

有效防范通过截屏键（Print Screen键）、截屏软件与录像软件进行文档内容截取。

10 、文档内网完全传输

 客户端之间可以通过消息中间件交换文档；

 客户端采用手动或自动将文件存储到文件服务器上；

 在服务器上可以配置文件传输策略，如定义文档传输中使用的加密算法、压缩算法等；

 传输中的加密和压缩操作对用户来说是透明的；

 实现客户端之间的安全快速文档传输，支持文档多播、单播、存储转发；

11、系统集成

可通过轻量级目录访问协议（LDAP）与目录系统、群组系统进行整合（如AD、DOMINO），实现：

 单点登陆；

 同步企业结构与资源信息；

 结构树变更自动同步；

通过整合减少管理的花费，降低文档安全系统管理出现故障的几率，保证文档安全系统向企业结构的统一。

12、WEB审批平台

用户可以通过WEB审批平台向管理员提出“借阅”、“解密”、“离线”、“邮件”申请，在批准后就可将文档解密或带离系统环境。

 B/S结构，终端用户对本机文档提出各种操作申请，审批人在审批平台上可即时审批并生效；

 可对客户端提出的申请进行即时在线审批；

 申请类型包括：解密、邮件外发、借阅、离线；

 可按审批类型设置审批人；

 可按部门设置审批人；

 可设置不需审批即可生效的特权人；

所有审批进行日志记录。