文件非法外泄防范系统介绍

ERM 701系统功能列表

i

思智

目 录

一、产品概述 .............................................................................................. - 1 - 二、网络环境 .............................................................................................. - 2 - 三、兼容情况 .............................................................................................. - 2 - 四、管理模式 .............................................................................................. - 3 - 五、系统功能描述 ....................................................................................... - 3 -

5.1 用户管理功能 .............................................................................................................. - 4 - 5.2 客户端多元化安装 ...................................................................................................... - 5 - 5.3 客户端管理功能 .......................................................................................................... - 5 - 5.4 策略管理功能 .............................................................................................................. - 6 - 5.4 文件访问权限管理 ...................................................................................................... - 7 - 5.6 离线管理功能 .............................................................................................................. - 8 - 5.7 全盘加解密 .................................................................................................................. - 8 - 5.8 文件解密审批 .............................................................................................................. - 9 - 5.9 系统备份功能 .............................................................................................................. - 9 - 5.10 邮件监控 .................................................................................................................. - 10 - 5.11 日志管理功能 .......................................................................................................... - 10 - 5.12 文件远程备份功能（可选） .................................................................................. - 11 - 5.13 数字版权控制功能（可选） .................................................................................. - 11 -

六、策略实现功能 ..................................................................................... - 12 -

ii

思智ERM 701功能列表

一、产品概述

作为国内ERM（Enterprise Right Management 企业权限管理）的领导者，思智泰克经过多年的市场摸索和技术整合，先后推出了从终端到网络的企业级系列信息安全产品。同时在以往安全产品研发和应用的基础上，又综合了广大用户的实际应用需求，本着以易用、稳定、安全、先进的基本原则和以开发最适宜中国企业使用的ERM产品为目标，思智泰克最终推出了适合国内大中型企业的企业级数据信息安全产品——思智ERM系统。

思智ERM系统有三个企业级应用版本：ERM101、ERM301和ERM701。其中不同版本针对的企业用户群级别和系统所能实现的具体功能是不同的，企业可根据实际应用情况选择最适合的应用版本。

接着介绍一下系统的结构构成：思智ERM系统由服务器、控制台、客户端三部分组成，整个系统采用了C/S+B/S的组织架构，其中系统服务器端与客户端以C/S结构工作，控制台与服务器端则是以B/S方式工作。

如下图所示系统结构示意图：

图1-1 系统结构示意图

 服务器

服务器是思智ERM系统运行的基础。服务器端需要安装专门的服务器端软件，服务器主要包括认证服务、系统配置服务、文件自动备份服务（可选）、负载均衡服务、升级服务五部分服务，并可分别部署。

其中：    

认证服务：用于用户认证信息的维护；

系统配置服务：用于系统配置信息的管理与维护； 文件自动备份服务：用于企业机密文件的自动备份应用；

负载均衡服务：用于均衡连接认证和文件服务的用户负载量的应用；

- 1 -

思智ERM 701功能列表



 控制台

是整个系统管理和维护的平台，是客户端与服务器管理之间连接的桥梁。为实现集中统一管理的目的，思智ERM系统采用了集中化的管理方式和基于角色的权限管理体系。

ERM控制台可以完成如客户端管理、机构用户管理、策略配置、策略应用、服务器远程管理、日志审计管理、文件访问权限管理、消息管理、系统设置等的配置及维护。  客户端

客户端主要是通过执行控制台系统管理员为其下发的各种安全管理策略，来实现系统对本地机密文件的权限安全操作管理，从而为企业员工提供了一个易用、稳定、安全的安全信息终端。

升级服务：用于ERM系统相关数据信息的更新升级应用。

二、网络环境

思智ERM系统可以适用于多种网络环境，如思智ERM系统能够在WINDOWS域、VLAN、VPN、内网物理隔离等环境中正常使用。即可以确保在不更改各企业原来已经建立的网络构造的基础上，满足企业的信息安全应用需求。 网络环境 支持情况 能够与Windows域管理方式相结合，支持域用户漫游的使用方式。 支持多VLAN网络环境。 支持使用VPN方式接入的网络环境。 思智ERM系统支持企业内部多个内网物理隔离的网络环境。 表 2-1 多种网络环境支持情况

（注）内网物理隔离含义：企业中有两个内网环境，一个内网可以正常访问Internet，另一个内网不可以访问，且两个内网之间属物理隔离状态。

1. WINDOWS域 2. 3. VLAN VPN 4. 内网物理隔离 三、兼容情况

思智ERM系统具有良好的兼容性特点，能够与企业中现有的大多数软件相兼容，可放心使用。部署了思智ERM系统之后，不需要卸载或更换企业现有软件系统。

具体来说，思智ERM系统能够与多种杀毒软件（如瑞星、诺顿、卡巴斯基等）、数据库（如SQL SERVER、MYSQL等）及各种业务管理系统（如OA、ERP等）等同步使用。

以下为兼容情况分析列表：

- 2 -

思智ERM 701功能列表

1. 杀毒软件 兼容情况 与主流杀毒软件无冲突，且不会被杀毒软件查杀或卸载。如瑞星、诺顿、江民、金山、卡巴斯基等。 支持MYSQL、SQL-SERVER 2000和SQL-SERVER 2005等主2. 数据库 流数据库，其他数据库类型也可以单独定制。 能够与OA、ERP、PKI等系统兼容使用。 表 3-1 兼容分析列表

3. 业务管理系统 四、管理模式

思智ERM系统能够根据企业现有的业务流程及管理方式，制定适合于该企业的ERM管理模式，如多级部署、分级管理、跨地区管理等。

1. 多级部署 台认证服务器，以保证思智ERM系统可以高效、安全的运行。 ﹡为避免管理权限过于集中，思智ERM系统预定义了超级管理员、文件管理员、部门管理员与日志管理员角色，通过相互监督2. 分级管理 以限制其各自的权利。 ﹡另外，用户还可以根据企业内部实际需要自定义管理角色，如项目管理员、小组管理员、审批管理员等。 为满足跨地区企业的统一部署管理，如总公司与分公司、办公跨地区管理 3. （可选） 模块实现远程的同步统一管理。 表 4-1 ERM定制管理模式列表

区与生产基地间的远程控制，思智ERM系统可以通过WEB代理支持情况 当企业用户量较多或者担心服务器瘫痪的情况下，可以使用多五、系统功能描述

思智ERM系统可大至划分为十大功能类，分别是：用户管理功能、策略管理功能、客户端多元化安装功能、文件访问权限管理功能、客户端管理功能、离线管理功能、系统备份功能、日志管理功能、文件远程备份功能以及数字版权控制功能。以下将对此十大功能类所涉及的具体功能点做一下详细说明。

- 3 -

思智ERM 701功能列表

5.1 用户管理功能

功能简述 功能详述及应用效果 ▲功能：在思智ERM系统中可以建立与企业真实组织结构完全相同的组织结构关系，并配置部门和人员等基本信息。 组织结构（包括部门和人1. 员信息）的建立 ▲应用：当企业实际人员、部门进行调整时，系统管理者可通过控制台灵活对系统中的组织结构进行更改。 如：王强本隶属于销售1部，由于业务需要，可以将其调整至销售2部之下。 ▲现状：在企业中可能原已存在WINDOWS域管理机制，并在域中存在已经建立完善的企业组织结构。 2. 域管理组织结构导入 ▲应用：思智ERM系统可以将域中的组织结构通过工具，直接导入到ERM系统中使用，避免了重复录入的烦琐工作。 ▲功能：超级管理员(admin)可根据企业的需要，为系统中预定义的用户赋予适当的角色，每种角色所能实现的功能管理员信息的建立与维3. 护 ▲应用：如可设置张三为日志管理员，令李四为文件管理员，命王五为部门管理员等。 ▲功能：超级管理员(admin)可以自定义用户角色，手动设置其在控制台上可以使用的菜单、策略等。 4. 自定义用户角色 ▲应用：如新建一个角色“小组管理员”，设置其在控制台上仅可以对其小组内成员进行用户信息修改、策略下发等操作。 ▲对系统超级管理员amdin的登陆可采用双口令登陆认5. 双口令登陆认证 证方式，以增强超管登陆的安全性。 ▲用户角色分级：不同的用户角色执行不同的管理任务； ▲操作权限分级：包括授权权限分级（授权自己、授权本6. 分级管理功能 组及授权全部）和解密权限（解密自己、解密本组及解密全部）分级管理； 是不同的。 - 4 -

思智ERM 701功能列表

▲现状：在企业中经常出现一台计算机有多个员工使用的情况。这些员工在一台计算机上分别建立了各自的WINDOWS帐户，但他们在企业中受到企业的约束不一定相同。 ▲应用：思智ERM系统支持这种一机多用户的使用情况。7. 一机多用户管理 分别将员工使用的WINDOWS账户与思智ERM系统用户进行绑定，即一旦用户进入了其使用的WINDOWS账户，便将接受ERM系统对该用户的指定策略管理。 注：虽然几个员工共同使用同一台计算机，但是每个员工在不同WINDOWS账户下接受的ERM系统管理将不同。 表 5-1 用户管理功能列表

5.2 客户端多元化安装

安装方式 1. 本地安装 程序进行安装。 ▲在客户端机器上服务器访问地址，如2. WEB安装 http://192.168.2.53:9999，即可实现在线客户端安装。 ▲由系统管理员统一实现对客户端的远程传送与安装，而3. 4. 远程推送安装 影响现有员工的目前的工作效率。 域用户透明安装 ▲可以在域服务器上统一对所有域用户透明安装客户端。 表 5-2 客户端多元化安装列表

安装方法 ▲将安装程序拷贝到客户端机器中，在本地直接双击安装5.3 客户端管理功能

功能简述 1. 管理策略执行 80种策略）。 ▲功能：受自动加密保护的文件，具有剪贴板防护的功能2. 文件剪贴板控制 和控制，防止受信进程和非受信进程之间的文件互拷。 ▲应用：例如WORD为受保护的文件，使用剪贴板控制功能详述及应用效果 ▲接收并执行控制台下发的各种功能策略（分5大类别近 - 5 -

思智ERM 701功能列表

后，则无法将WORD文件中的内容拷贝到聊天对话框或它编辑工具内，但是可以将其他类型文件内容复制到WORD文件中来。  自动：按照透明加解密策略自动加解密文件。对于加密保护后的文件，无法通过任何复制、粘贴、拖拽等文件加解密 方式，利用邮件、及时通讯工具、论坛等非受信任的3.  手动 执行程序带出到企业之外。  自动  手动：根据控制台下发的手动加解密策略，进行手动右键加密和解密操作。 ▲ 功能：客户端具有对加密文件的本地备份机制，每次打开文件均会自动在本地留下文件备份，以防止客户端文件丢失或者遭受恶意破坏。 4. 客户端本地文件备份 ▲ 应用：若重要文件遭受意外损坏，可由控制台下发策略“显示本地备份菜单”，同时在客户端右键菜单中选择“打开本地备份文件夹”选项，选择需要恢复的文件，拷贝出来后再进行恢复操作。 ▲功能：防止客户端非法卸载，还可对客户端实行进程监5. 客户端安全保护 控、进程守护、注册表保护、时间同步、定时与服务器通讯、程序完整性检测等操作，以确保客户端程序安全完整。 表 5-3 客户端管理功能列表

5.4 策略管理功能

功能简述 默认用户策略列表 1. (详见附件) 智泰克工程师添加特定的默认策略内容。 ▲应用：根据管理员的实际管理需要，可以将策略列表中2. 自定义策略组合 的默认策略进行组合，组合成新的策略组，以便于策略整体下发。 3. 策略应用 ▲应用：系统管理员根据企业实际管理现状，将相应策略分为5大类别近80种，且可以根据用户实际需求，由思功能详述及应用效果 ▲应用：系统提供了默认策略列表供用户使用。默认策略 - 6 -

思智ERM 701功能列表

应用于每一个员工或部门。得到策略的员工或部门将按照策略规定，接受相应的策略管理。 表 5-4 策略管理功能列表

5.4 文件访问权限管理

功能简述 功能详述及应用效果 ▲功能：客户端用户可以对自己的加密文件进行灵活的权限设置，以便不同的用户对该加密文件拥有不同的查看权限。 1. 文件权限设置 ▲文件访问权限包括：“只读”、“只读可打印”、“只读可复制”、“只读可打印可复制”、“完全控制”、“访问日期限制”、“访问时间限制”等细粒度的权限划分。 ▲功能：当企业员工需要经常给同部门的员工或其它部门2. 文件授权模版 的员工共享一些文档时，可以通过文件授权模板功能来保存经常使用的操作，以方便以后快速授权。 ▲功能：对某文件夹设置授权访问权限，以实现批量授权 功能； 3. 授权目录 ▲应用：如对某文件夹设置了“只读+可复制”的访问权限，则所有拖入该文件夹的加密文档自动继承该文件夹的“只读+可复制”权限； ▲功能：将非加密文件拖入该文件夹后，实现文件自动批4. 加密文件夹 量加密； ▲功能：加密文件作者可以清楚的知道同一份文件共享给5. 文件访问权限查看 多个人，每个人对该文件拥有哪种操作权限。被授权的人也可以清晰的查看到文件作者所赋给的文档使用的权限。 ▲功能：授权后的文档可以通过任何的方式传递给其他受管理人。例如通过局域网的共享，QQ、MSAN的文件传文件访问权限不受文件6. 传输方式影响 ▲文件在传输过程中仍保持加密状态，只有授权用户才能正常进行访问。 送，EMAIL附件等方式传播。 - 7 -

思智ERM 701功能列表 表 5-5 文件访问权限管理列表

5.6 离线管理功能

功能简述 功能详述及应用效果 ▲功能：若员工不能够与企业内网中的服务器相连，可以通过文件交互方式接受思智ERM系统的管理。 ▲应用：例如员工甲长期不在公司，将思智ERM系统客户端安装程序发给他后，其可以自行安装客户端，安装完1. 长期离线用户管理 成后，通过指定工具导出一文件，发送给公司内部管理员。管理员在控制台上将该文件导入，设定用户信息和用户策略后，再导出一文件传送给员工甲。员工甲通过导入此文件至本机，即可按照策略接受管理并根据权限查看其他用户共享给他的加密文件。 ▲功能：若员工临时出差在外，可以通过离线策略对其进行管理。  为员工下发“离线允许打开自己的加密文件”和“离线允许打开共享加密文件”两条策略，则员工可以在出差期间正常使用加密文件。  若需要临时更改策略，操作如下：管理员在控制台为2. 短期离线用户管理 该用户下发其需要的策略，然后导出成一文件形式存储，并发送给员工。员工收到该文件将其导入至本机，则策略修改成功。 ▲应用：例如员工带笔记本外出办公，规定员工某一日期时间内使用受保护的文件，超过规定的时间无法打开这个文件。但是员工在规定的时间内没有完成工作，则可通过上述方式更改离线客户端使用文档的日期和时间。 表 5-6 离线管理功能列表

5.7 全盘加解密

功能简述 功能详述及应用效果 - 8 -

思智ERM 701功能列表

能对指定类型的文件执行全盘加密 1 全盘加密 注：支持按照用户名及文件状态（如未加密、已申请、正进行、未完成等）进行查询，并支持模糊查询。 2 3 4 全盘解密 前台模式 后台模式 对自己机器上所有的加密文件进行解密 即扫描界面以前台的形式显示出来 不提示扫描界面，仅在后台扫描 表 5-7 全盘加密实现模式

5.8 文件解密审批

功能简述 1 所有审核者按序审核 才可正常解密 即所指定的审核管理员按任意顺序全部审核通过后，文件2 所有审核者不按序审核 才能正常解密 即所指定的审核管理员中的部分（人数可手动设定）按设3 部分审核者按序审核 定顺序全部审核通过后，文件才可正常解密 即所指定的审核管理员中的部分（人数可手动设定）按任4 部分审核者不按序审核 意顺序全部审核通过后，文件才可正常解密 表 5-8 解密审批模式

功能详述及应用效果 即所指定的审核管理员按设定顺序全部审核通过后，文件5.9 系统备份功能

功能简述 功能详述及应用效果 ▲思智ERM系统中的组织结构能够进行备份并以文件形1. 组织结构备份 式保存，今后重新部署思智ERM系统时无需重新再建立组织结构，将该文件直接导入即可。 ▲思智ERM系统中的策略列表可以单独进行备份并以文2. 策略列表备份 件形式保存，今后重新部署思智ERM系统时无需重新再建立策略列表，直接导入该文件信息即可。 ▲对服务器端的配置信息均存储在数据库中，将数据库文3. 数据库文件备份 件进行备份并以文件形式保存后，当需要迁移或重置思智 - 9 -

思智ERM 701功能列表

ERM系统服务器时，通过导入该文件即可直接恢复到上次备份时思智ERM的系统配置状态。 表 5-9 系统备份功能列表

5.10 邮件监控

功能简述 1 2 附件发送自动解密 接收附件自动加密 功能详述及应用效果 附件发送到指定白名单邮箱里自动解密，否则仍为加密 接收附件到本地时按照提前设置的后缀名类型自动加密 5.11 日志管理功能

功能简述 功能详述及应用效果  对超级管理员(admin)和所有部门管理员在控制台的操作行为进行统计（审计的内容包括：创建用户，修改用户，删除用户，绑定用户，删除绑定信息，创建部门，撤消部门，调整部门，应用策略，撤消策略，新建用户策略，删除用户策略，修改用户策略，导入日志管理功能 1. (logadmin)  对所有员工进行的文件操作行为进行审计（审计的内容包括：新建文件、复制文件、粘贴文件、保存文件、删除文件、共享文件、文件名称更改、文件路径变更、文件手动加解密操作等）。  同时提供以报表形式（柱形、饼型和圆型三种）直观的对操作记录进行统计显示； ▲记录所有能够登录控制台的管理员的登录、登出及对用2. 3. 记录控制台日志 户、部门信息维护的所有操作。 记录客户端日志 ▲记录客户端所有在线、离线信息操作。 ▲记录客户端对文件的操作日志：  文件操作信息记录包括：新建、复制文件、粘贴文件、4. 记录文件操作日志 保存文件、删除文件、共享文件、文件名称更改、文件路径变更、文件手动加解密操作的详细记录。 导出策略，登陆登出等）。 - 10 -

思智ERM 701功能列表

 离线的客户端日志记录。客户端离线后的操作也全部被记录，当连接到服务器后自动将离线后所有操作的信息上传到服务器。 5. 6. 日志维护 自定义日志查询 志类型进行查询。 表 5-10 日志管理功能列表

▲对日志信息定期维护，如可以导出或删除日志信息等。 ▲可以对日志记录进行筛选查看，如通过时间、人员、日5.12 文件远程备份功能（可选）

功能简述 1. 设置文件备份服务器 服务器名称、IP地址、备份地址、传输端口等。 ▲功能：通过应用文件自动备份策略，将企业中受保护的文件定期自动备份到文件服务器上，并可以灵活的设置需要文件备份的人员及备份格式、备份文件预留磁盘空间大2. 文件备份设置 小等。 ▲备份的文件在服务器上仍以密文的形式进行存贮，并且文件名也是乱码，只有文件管理员才能查看到正常的文件名和文件内容。 ▲客户端遇到意外情况，如文件误删、故意删除、或客户3. 4. 5. 文件恢复 端机器硬盘损坏，可以通过文件备份服务器进行恢复。 文件统一集中管理 备份文件查询 ▲备份后的加密文件由文件管理员集中进行管理。 ▲可按文件名称、用户等分类查询备份文件。 表 5-11 文件远程备份功能列表

功能详述及应用效果 ▲由超级管理员设置文件备份服务器的基本信息，如备份5.13 数字版权控制功能（可选）

功能简述 第三方共享文件的控制1. （数字版权控制） 而头疼。有些单位专为第三方企业提供第三方设计图纸、功能详述及应用效果 ▲现状：在与客户交流过程中，客户常常为第三方的泄密 - 11 -

思智ERM 701功能列表

写作方案等等。写好了之后如果以明文的形式交给第三方，第三方有可能把图纸文档再次散发和传播，这必然会给设计的企业带来风险和损失。 ▲应用：通过思智ERM的数字版权控制就可以解决客户的这个需求，给第三方的仍然是密文，第三方拿到密文后只能在指定的计算机中打开，并受到使用这个文档的细致的权限控制。即使第三方不小心将文件传播出去，别人拿到的也是密文信息，也无法正常进行查看。 表 5-12 数字版权控制功能列表

六、策略实现功能

思智ERM系统默认拥有五大类近80种策略，下面将对所要实现的功能和所需用到的策略应用做一下对应和简单介绍：

实现功能 使用策略 Office系列透明加密、Autocad系列透明加密、Adobe系列透明加密、Txt与写字板透明加密、Macromedia系列透明加密、Coreldraw系列透明加密、3Dmax系列透明加密、Acdsee系列透明加密、Pro/e系列透明加密、SolidWorks系列透明加密、MicroStation系列透明加密、UG系列透明加密、MasterCAM系列透1. 实现指定格式文件的自动加密保护。 明加密、HWP2007系列透明加密、JewelCAD系列透明加密、WPS2007系列透明加密、CAXA线切割系列透明加密、海迈清单2006透明加密、Cimatron it 12.6透明加密、Cimatron E7.1透明加密、时空ERP透明加密、U8财务软件透明加密、Catia系列透明加密、文电通透明加密、虚拟打印机系 - 12 -

思智ERM 701功能列表

列透明加密、压缩文件系列透明加密等45种透明加密类型。 Office系列文件备份、Autocad系列文件备份、Coreldraw系列文件备份、3Dmax系列文件备份、Macromedia系列文件备份、Adobe系列文件备份、Txt实现指定格式文件的自动备份保存。 2. (可选) 份、SolidWorks系列文件备份、UG系列文件备份、MicroStation系列文件备份、MasterCAM系列文件备份、Catia系列文件备份等13种文件备份类型。 3. 允许员工手动加密未加密的文件。 4. 允许员工手动解密自己的加密文件。 5. 允许员工手动解密全部门的加密文件。 6. 允许员工手动解密全公司的加密文件。 7. 仅对自己的加密文件提交解密审批请求 可对其所在部门内的加密文件提交解密8. 审批请求 可对系统内所有人的加密文件提交解密9. 审批请求 10. 显示员工的加密文件锁标。 禁止员工使用USB设备（区分存储设备11. 及输入设备）。 12. 禁止员工使用光驱设备。 13. 禁止员工使用软驱设备。 14. 禁止员工使用打印机设备。 15. 允许员工修改其计算机的系统时间。 在员工右键菜单中显示“查看本地备份文16. 件夹”选项，允许员工查看其本地的备份文件。 显示本地备份菜单 禁止使用光驱设备 禁止使用软驱设备 禁止使用打印机 允许修改系统时间 禁止使用USB设备 显示加密文件图标 申请解密审批全部 申请解密审批同组 允许右键加密 允许右键解密 部门超级解密 超级解密 申请解密审批自己 与写字板文件备份、Pro/e系列文件备 - 13 -

思智ERM 701功能列表

17. 在员工桌面的任务栏中显示锁标。 允许员工授权自己的加密文件给其他员18. 工。 允许员工授权本部门的加密文件给其他19. 员工。 允许员工授权全公司的加密文件给其他20. 员工。 允许员工将受保护文件的内容拷贝到放行的程序中。如在该策略中添加进程21. mspaint.exe（画图板进程），则员工可以将受保护的word文件中的内容粘贴在画图板中。 和透明加解密策略同时使用，可屏蔽文件22. 的透明加密功能。 非加密文件从移动磁盘拷入到计算机时23. 自动成加密状态。 防止一切截屏软件，包括PrtScn键、QQ、24. MSN截屏功能等。 专门针对装有卡巴斯基的机器启用的客25. 户端模式 26. 允许员工离线打开自己的加密文件。 允许员工离线打开其他人共享的加密文27. 件。 28. 禁止员工离线打印文件。 可手动设定策略包以便一次性向用户下29. 发，如剪贴板放行、浏览器策略、研发部策略等。 显示任务栏托盘图标 授权自己文件 授权同组文件 授权所有文件 剪贴板放行 仅透明解密文件 移动磁盘拷入加密 禁止屏幕拷贝 免疫模式 离线允许打开自己加密文件 离线允许打开共享加密文件 离线禁止打印 自定以策略 表 6-1 策略实现功能列表

- 14 -