防水墙，是山丽网安在2004年注册的一个产品商标，商标编号：3975196，用于内网防泄漏产品。到了今天，它成为了内网防泄漏产品的代表。我们可以看到，除了正规的山丽防水墙之外，还有许多内网防泄漏产品产品也冠名为防水墙。 与防火墙相对，是一种防止内部信息泄漏的安全产品。 网络、外设接口、存储介质和打印机构成信息泄漏的全部途径。防水墙针对这四种泄密途径，在事前、事中、事后进行全面防护。其与防病毒产品、外部安全产品一起构成完整的网络安全体系。

组成与结构

基本功能

山丽防水墙(产品简介 数据生命周期 防水墙效果举例（1） 防水墙效果举例（2） 防水墙效果举例（3） 绿色软件是否可以加密？ 是否有根据文件类型，批量加密的功能？ 软件代码加密不影响合法用户编译 如何保证不破坏文件？)

组成与结构

最简单的防水墙由客户端和管理中心、服务器三层结构组成：高层的用户接口层，以实时更新的内网拓扑结构为基础，提供系统配置、策略配置、实时监控、审计报告、安全告警等功能；低层的功能模块层，由分布在各个主机上的探针组成；中层的安全服务层，从低层收集实时信息，向高层汇报或告警，并记录整个系统的审计信息，以备查询或生成报表。

基本功能

各个厂家的防水墙的功能类似，但并不尽相同，一般内网监控系统具有以下六大功能：

信息泄漏防范，防止在内部网主机上，通过网络、存储介质、打印机等媒介，有意或无意的扩散本地机密信息；系统用户管理，记录用户登录系统的信息，为日后的安全审计提供依据；

系统资源安全管理，限制系统软硬件的安装、卸载，控制特定程序的运行，限制系统进入安全模式，控制文件的重命名和删除等操作；

系统实时运行状况监控，通过实时抓取并记录内部网主机的屏幕，来监视内部人员的安全状况，威慑怀有恶意的内部人员，并在安全问题发生后，提供分析其来源的依据，在必要时，也可直接控制涉及安全问题的主机的I/O设备，如键盘、鼠标等；

信息安全审计，记录内网安全审计信息，并提供内网主机使用状况、安全事件分析等报告。

综上所述，防水墙是对防火墙、虚拟专用网、入侵检测系统等多种安全设备，所提供安全服务的有效补充。对整体安全系统来说，它也是不可或缺的一部分。

山丽防水墙

产品简介

防水墙，是山丽网安在2004年注册的一个产品商标，商标编号：3975196，用于内网防泄漏产品。到了今天，它成为了内网防泄漏产品的代表。我们可以看到，除了正规的山丽防水墙之外，还有许多内网防泄漏产品产品也冠名为防水墙。

山丽防水墙产品在业界首次引入数据生命周期的概念（DLM：Data Life Managerment），用过数据生命周期的详细划定，在不同生命阶段采用不同的管控手段实现了数据防泄漏的全程管理。

数据生命周期

山丽防水墙产品关于数据生命周期的划分：ACCCD--作者管理A、同事管理C、合作管理C、客户管理C、销毁管理D。

山丽网安关于“数据生命周期”定义：所谓数据在生命周期里，是指的数据在管理者、使用者的控制之中，当数据已经不在自己的控制中，即意味着自己丧失了对这些数据的生命。数据在自己的控制中和数据是否在自己的手中无关。

防水墙效果举例（1）

效果：

公司部门有很多，财务部（或者其他部门）不希望其它部门隔离随意打开本部门文件，在部门隔离之后，财务部（或者其他部门）主管希望有权利打开其它部门的文件

实现：

山丽防水墙强大的文档权限管理模块可以充分实现分公司之间、部门之间、组之间、用户之间极其丰富的权限管控，以实现部门隔离，达到“安全域”管理的概念。所谓“安全域”，在山丽防水墙里面就是具有相同安全级别的一切用户构成的跨越物理和网络限制的一个虚拟域。

在部门隔离的权限的颗粒度方面，山丽防水墙可以达到如下：

1、拒绝

对过期用户的拒绝

对过期产品的拒绝

2、只读/执行

次数（times），时间（onoff），时长（long），打印，运行，读取，广告

3、制作

相邻关系

共享关系

二次分发（一个组多个用户）

4、辅助控制

截屏、环境指纹

防水墙效果举例（2）

效果：

工作中有很多合作伙伴，文件发给合作伙伴之后又担心合作伙伴泄密，保证仅合作伙伴能打开我们的文件，而其他人不能打开。

实现：

工作站对自己创建的密文可申请密文明送，经控制台、安全管理员两级审批通过后，新生成的密文明送文件可以在没有安装防水墙工作站的计算机上使用。

密文明送文件不可打印，打开后不可另存为，不可编辑，并有剪贴板限制效果，密文不可往明文复制。申请时对密文明送文件还能设置5项权限，可同时设置，同时设置时其中有一个权限失效文件就无法打开。

文档口令：打开密文明送文件时需要输入的口令，输入正确才可使用文件。

使用次数：可打开此密文明送文件的次数，超过次数限制后无法打开。

累计时间：密文明送文件可使用的总时间，从文件被打开后开始计算直到文件关闭，使用总时间大于累计时间后文件立即不可使用。

使用时间段：一个日期时间段，在此时间段内文件才可使用。

环境指纹：在准备使用此密文明送文件的计算机上提取指纹，在申请时加载指纹，申请后的密文明送文件只可在提取环境指纹的那台计算机上使用，可一次添加多个不同的环境指纹。

防水墙效果举例（3）

对特权用户，如公司领导，则可以设置本地“加密文件夹”的方式，将文件拖到“加密文件夹”则加密，拖到“加密文件夹”之外则解密，以方便公司领导的工作。

实现：

为了更高的效率，总有用户需要给与特权，如企业的所有人。山丽防水墙应对客户需求，提供了模板定义：全盘加密，目录加密，格式加密，格式不加密，解密等几种模式。

为了数据防泄漏，可在控制台端对工作站设置全盘加密，工作站内创建、修改的所有文件都会被加密，不经授权的密文拿到防水墙环境外不可使用。

如果您想对工作站的某些文件不加密，可在控制台端对工作站设置全盘加密模式下指定目录不加密，在此目录内创建或复制到此目录内的文件都是明文。

如果您想只对部分文件加密，可使用指定加密模式，然后在控制台端对工作站设置指定目录加密，把需要加密的文件放在指定加密目录内即可。

如果您不想对工作站本地文件加密但又担心数据外泄，可在控制台端对工作站设置指定加密模式，移动设备加密、网络加密，此时工作站本地文件不加密，但通过网上邻居和外接存储设备传出的文件会自动加密。

绿色软件是否可以加密？

可以。绿色软件的特点是程序本地直接运行，不会在本地建立程序目录，因此也无法提取本地特征。这样，一些和格式有关的软件将无法实现加密，这将是一个大问题。因此，提出了“不知道将来那些和格式有关的厂商如何解决加密的问题”的感叹。目前从技术上来讲，他们只有两条路，或者做成完全和系统无关的硬盘加密（比如dell等笔记本自带的功能），或者做做合格时无关的加密（比如山丽防水墙的透明加密）。

山丽防水墙的加密以程序为识别，同时增加了程序识别的多多种方法供用户自由选择，如dll、DNA提取、Hsan签名。其中DNA签名，是依赖山丽安铁诺防病毒软件中的病毒特征码自动技术。

是否有根据文件类型，批量加密的功能？

可以。对新安装的客户端的处理有两种方法：

本地执行；

远程执行；

效果：一次性对某一台或多台客户端机器进行全盘加解密

实现：基于特殊需要，可以使用工作站端自动加密解密工具将工作站上的所有明文密文或某用户在该工作站上的明文密文进行加密解密。

同时支持解密操作。正是因为山丽防水墙的透明加密和格式无关，因此可以从用户的适用面上产生最大化，包括需要保护数据库的公司。

软件代码加密不影响合法用户编译

在满足软件开发类公司上，山丽防水墙的透明加解密有着太大的优势。

代码的编辑、程序的编译本身就是公司程序员工作的必然顺序，山丽防水墙不会做出任何人为的隔断，更具有挑战的是软件开发工具的版本无数，限制版本的方法只会带来员工强烈的不满。

因此，对山丽防水墙和格式无关来说，这个就不会是问题。

如何保证不破坏文件？

从人员管理角度来讲，透明加密并不会增加和减少人员主动破坏的可能性。但确实存在着用户离职的时候将文件全部删除破坏的严重情况，因此在山丽防水墙的文档权限中，有“防删除”的权限功能，可以防止人员在离职的删除本地或文件服务器上的文件。

从技术角度来讲，任何人员可以将文档改成一个原来程序不认识的格式保存，同时删除原来的格式文件，均会造成格式的不适用而产生文件破坏，这和加密解密本身技术无关。但山丽防水墙本身因为和文件格式无关，可以降低这种更改文件格式产生的破坏的风险。

从偶然性上来讲，数据加密后当打开的时候为乱码的时候如果用户不小心更改数据并原密文保存将增加偶发性的破坏，山丽防水墙在新的版本里面已经增加了在没有权限的情况下提示为打不开没有权限的处理，不再显示为乱码。

从更深层的角度来讲，如果需要，可以增加山丽防水墙数据备份模块。这个模块可以将数据自动备份在响应的服务器上。但在实施中，因为对带宽、空间等提出严重的挑战，因此真正实施中采用了此模块的只是小型用户为主。

从更专业的角度来讲，我们所有的大型用户基本都有自己的备份系统如磁带机等等，客户会将核心的数据备份在磁带机或者NAS上等等，这个时候，我们只要采用可信程序的功能，所有的备份数据均可以明文进行备份，当然也可以密文备份。

从核心的角度来讲，对最最核心的数据，我们采用“只读”权限，这样这些数据被用户引用的时候只能是“只读”权限，无法进行任何的破坏。如丰田去汽车对自己的标准化文档的保护就是这样做的。