電子文檔:化學磁性材料為載體的文字材料-中文百科頻道

定義

電子文檔是指人們在社會活動中形成的，以計算機盤片、固态硬盤、磁盤和光盤等化學磁性物理材料為載體的文字、圖片材料。依賴計算機系統存取并可在通信網絡上傳輸。它主要包括電子文書、電子信件、電子報表、電子圖紙、紙質文本文檔的電子版本等等。

特點

電子文檔區别于印刷品文檔主要有以下四個特點：容易修改、容易删除、容易複制、容易損壞。

容易修改

這是電子文檔區别于傳統的印刷文檔的一個重要區别，印刷文檔和手寫文檔都有一個共同的不足就是一旦印刷好或者寫好就難于修改，這個特點在某些時候是好的，比如人們經常說的“白紙黑字”就非常能夠體現這個特點；但是它的優點也正好是他的缺點，人們在處理很多文字和圖形圖像信息的時候，經常需要對處理的内容進行修改，以滿足不同的需要，這個時候電子文檔就表現出了它的優點。正是由于電子文檔容易修改的特點，如果不能很好的保護，就可能受到非法的修改，不管這種修改是有意還是無意的，都會給文檔所有者帶來一定程度的損失，這個時候它又變成一個缺點。

容易删除

對傳統方式的文檔進行删除基本上是不現實的，隻可能對信息的載體印刷品進行毀壞，由于印刷品一般都通過檔案室和文件櫃等工具來進行保護，相對來說不容易被一般的人接觸，所以也就不容易被破壞，有較好的安全性。但是對于電子文檔，其删除是非常方便的，隻需要有改文件的操作權限（這個權限往往可以通過合法的和不合法的手段獲得），然後點擊鼠标或者通過鍵盤删除文件都是非常容易的，一般情況下，事後也沒有任何地證據可以說明文件丢失的時間和原因。正是這樣的特點，如果被别人利用了這個特點，進行惡意的破壞活動，可能會給電子文檔的所有者造成無可挽回的損失。

容易複制

傳統方式的文檔進行複制往往需要一些輔助的材料和機器，如複印紙，複印機等相關資料。這是電子文檔的一個優點，也是一個缺點，優點是通過複制，人們可以非常方便地進行信息共享。但是，當文件是個人隐私或者商業秘密的時候往往不希望别人看見，這個時候如果被别人複制，造成個人隐私暴露或者商業洩密，都是文檔所有者所不願意看到的，這裡需要解決的就是對文件的保密。

容易損壞

文件損壞的原因主要有硬件損壞，人為破壞（有意或者無意），病毒破壞，人力無法抗拒的因素（火災，地震等），就文件損壞原因的調查中，人為破壞占了80%，其餘的20%文件損壞是因為其它的各種因素，對于人為破壞，我們必須采取積極的措施來加以防範，不然很可能會因為疏忽而造成巨大的損失；對人為破壞以外的情況，一個比較有效的措施就是做好備份。

保護

電子文檔保護的解決方案：“文檔寶”基于安高科技（http://www.amgotech.com）自主研發的面向組件的異種環境軟件平台，采用了嵌入式系統安全增強技術、網絡存儲技術、身份認證技術、圖文檔保護技術，重定向技術以及終端代理技術等當今先進成熟的軟件技術，并依據(涉密)電子文檔的操作行為、操作權限、操作流程、處理機制、安全等極、涉密邊界等關鍵要素，基于終端系統對操作人員的各種操作行為設置相應的監管策略、對于各類（涉密）電子文檔進行相應的安全保障。與此同時，按照安全性、規範性、真實性等要求，對（涉密）電子文檔的操作進行客觀、實時的監控與審計，将各種違規操作、可疑操作及時主動阻斷且報警審計。涉密文檔保護系統“文檔寶”産品功能介紹

面對黑客入侵後的信息竊取與破壞、内部人員有意/無意的信息洩露，對于電子信息安全而言，隻要保障了最核心的電子文檔的安全，核心目的就達到了！

我們和市場上“文件保險箱”産品的核心區别是：“文件保險箱”是自己文件放在保險箱别人拿不走，“自己可以随時解密拿走”。“文檔寶”解決的是屬于企業的核心電子文檔“我們能讓大家看的到、用的到，除了拿手抄和照片照，領導不授權的情況下就是拿不走”。

“文檔寶”存儲區實現了“隻進不出”的保護原則，凡是進入存儲區的文檔将一律視為涉密電子文檔，操作範圍将僅限于該區域内。任何形式的操作（文件級和内容級的複制、剪切、粘貼、拖拉等操作）都無法将（涉密）電子文檔從存儲區中取出，唯有經授權後方可導出。但外部的信息和内容能夠任意“流入”“文檔寶”，可謂是“外洩鋼桶一塊，流入海納百川”。

基于不同終端系統的“文檔寶”存儲區之間的安全流轉，形成了整個内網的“文檔寶”安全體系。使得（涉密）電子文檔可靈活、簡便的相互傳輸，并分級分權的控制了的流轉範圍、方向。

僅在授權情況下，（涉密）電子文檔才能夠脫離“文檔寶”安全體系，并且提供了加密、加殼、明文的導出形式确保（涉密）電子文檔的安全；

“文檔寶”針對（涉密）電子文檔的保護主要通過文件級、内容級的行為控制為主，加密手段為輔。适應于所有應用軟件産生的文檔，具備了軟件無關性、派生性。

“文檔寶”重點控制保護集中在存儲區内的（涉密）電子文檔，而非存儲區内的電子文檔的非涉密性操作将不受任何限制。保證系統的兼容性、開放性、方便性的同時重點保障了核心（涉密）電子文檔的安全。

（涉密）電子文檔在“文檔寶”存儲區（含子目錄）内的所有授權應用操作不受影響，但非授權應用訪問存儲區和試圖将電子文檔非授權脫離該區域，将一律堅決阻止！（合規操作不受影響，不合規操作堅決阻止）。

電子文檔安全保護系統

電子文檔安全保護系統是廣東南方信息安全産業基地公司（www.china-isi.com），依據國家重要信息系統安全等級保護标準和法規，以及企業數字知識産權保護需求，自主研發的産品。它以全面數據文件安全策略、加解密技術與強制訪問控制有機結合為設計思想，對信息媒介上的各種數據資産，實施不同安全等級的控制，有效杜絕機密信息洩漏和竊取事件。

電子文檔安全保護系統的保護對象主要是政府及企業的各種敏感數據文檔，包括設計文檔、設計圖紙源代碼、營銷方案、财務報表及其他各種涉及國家機密和企業商業秘密的文檔，可以廣泛應用于政府研發、設計、制造等行業。

産品功能特點

1.密指定程序生成的文檔

強制加密指定程序編輯的文檔。用戶訪問加密文檔時，需要連接服務器（在線，非脫機狀态），并且具有合适的訪問權限。該加密過程完全透明，不影響現有應用和用戶習慣。通過共享、離線和外發管理可以實行更多的訪問控制。

2.洩密控制

對打開加密文檔的應用程序進行如下控制：打印、内存竊取、拖拽和剪貼闆等，用戶不能主動或被動地洩漏機密數據。

3.審批管理

支持共享、離線和外發文檔，管理員可以按照實際工作需求，配置是否對這些操作進行強制審批。用戶在執行加密文檔的共享、離線和外發等操作時，将視管理員的權限許可，可能需要經過審批管理員審批。

4.離線文檔管理

客戶端需要連接服務器才能訪問加密文檔。通過本功能制作離線文檔，即使客戶端未連接服務器，用戶也可以閱讀這些離線的文檔。根據管理員權限許可，離線文檔可能需要經過審批管理員審批離線時，可以控制客戶端的離線時間和離線時是否允許打印。

5.外發文檔管理

外部人員不能閱讀加密文檔的内容。本功能制作外發文檔，即使在未安裝客戶端的機器上，也可以閱

讀這些外發的文檔。根據管理員權限許可，外發文檔可能需要經過審批管理員審批外發的文檔，和内部使用一樣，受到加密保護和洩密控制，不會造成文檔洩露，同

時增加口令和機器碼驗證，增強外發文檔的安全性。

6.用戶/鑒權

集成了統一的用戶/鑒權管理，用戶統一使用USB-KEY進行身份認證，客戶端支持雙因子認證。

7.審計管理

對加密文檔的常規操作，進行詳細且有效的審計。控制台提供了基于WEB的管理方式。審計管理員可以方便地通過浏覽器進行系統的審計管理。

8.自我保護

通過在操作系統的驅動層對系統自身進行自我保護，保障客戶端不被非法破壞，并且始終運行在安全可信狀态。即使客戶端被意外破壞，客戶端計算機裡的加密文檔也不會丢失或洩漏。

實現效果

1.數據資産保護

隻有通過身份認證，并在服務器管理下，才能訪問這些文檔。因此，無論是因為計算機失竊，還是由于内部員工通過移動存儲設備、電子郵件或即時通訊工具把加密文檔外傳，都能夠保證加密文檔無法閱讀。

2.防止洩密

有效防止用戶主動或被動洩漏機密數據，用戶無法通過拷貝、打印、内存竊取、外傳等方式外洩這些加密文檔的内容，即使是通過黑客工具也無法竊取加密文檔的内容。

3.文檔訪問管理

用戶隻能訪問屬于本人的加密文檔，根據管理員配置，對加密文檔的指定操作需要管理員審批才能進行，例如共享和解密文檔。

4.靈活、容易操作

不改變用戶使用習慣和業務操作流程，根據實際應用需求，可進行系統配置，支持加密文檔的共享、解密以及帶出功能，同時允許設置管理員進行審批，規範了文檔的管理,降低了管理成本。

5.事件追蹤

全面的系統管理，及數據文檔操作事件審計，系統詳細記錄了管理員管理系統的事件，用戶操作加密文檔的事件，做到系統發生的事件均可追溯相關責任人。

6.無需值守，管理成本低

提供基于WEB的管理方法，管理員可以通過浏覽器進行系統管理。用戶與計算機設備綁定，同時使用USB-KEY身份認證技術，每個用戶依據配置的策略進行操作，即使“管理員不在場”也不會發生違規操作和竊、洩密事故。

安全系統

鐵卷（InfoGuard）電子文檔安全系統是深圳市大成天下信息技術有限公司針對企業保密需求研制開發的一套電子文檔、圖紙保密解決方案，它能夠完全透明地對受保護文檔自動進行保護，用戶在企業内部使用時不影響操作者原有操作習慣，

保密環境建立簡單、管理方便。是企業文件防洩密、圖紙安全、數據保密理想的解決方案。鐵卷（InfoGuard）電子文檔安全系統廣泛适用于政府、軍隊、銀行、證券、機械制造與設計、廣告、GIS及地圖業、咨詢、法律、保健等行業，保護各種類型涉及國家秘密、商業秘密的文件。申請試用鐵卷能夠有效防止：内部員工因為離職等原因，把秘密文件拷貝到軟盤帶走，或通過網絡向外傳遞；網絡駭客通過網絡攻擊等非法手段取得訪問權限，并把文件複制帶走；員工沒有保密觀念造成無意識地洩露，如使電子文檔傳給了沒有閱讀權限的閱讀者，造成秘密信息公開；計算機病毒自動發送電子文檔；各類存儲設備（如筆記本電腦、U盤、光盤、移動硬盤）等遺失；舊設備報廢，但沒有對設備進行有效的數據擦

除處理；産品部署：鐵卷電子文檔安全系統需要安裝用戶終端（Agent）和管理中心（Server）。用戶終端安裝在所有希望被保護的工作站上，管理中心安裝在文件管理員專用的文件管理服務器上。鐵卷的用戶終端對使用者創建、保存文件的全過程進行安全保護，部署簡易，無需重新啟動電腦，即可透明起到防範作用。鐵卷的管理中心能夠顯示企業内外部有多少台電腦在線上操作，并通過心跳控制對電腦上的機密文件進行控制，包括啟用或禁用某台電腦的安全保護功能。管理中心也可以部署在非軍事區（DMZ），提供合作夥伴或外部使用者的特定電腦加解密授權及文件保護。

FileOpen

FileOpen電子文檔保護系統幫您輕松解除煩惱。FileOpen電子文檔保護系統是對提供網絡化服務的電子文檔庫的文檔信息進行

加密保護并實施授權管理的系統。該系統是通信标準化推進中心基于美國FileOpen公司的PDF文檔加密保護核心技術，結合自身标準電子版權保護需求研發的文檔保護系統。該系統特别适合擁有内部計算機網絡和電子文檔庫的企業、通過互聯網向公衆提供電子文檔服務又需要保護其版權的網站使用。系統以網絡上的一台加密授權服務器（該服務器可以和電子文檔庫服務器共用一台服務器）為核心，文檔使用者的計算機安裝Adobe公司的pdf文檔閱讀器及本系統提供的文檔解密插件。使用者向加密授權服務器請求文檔，加密授權服務器将加密文檔發送給使用者計算機。使用者獲得的文檔是加密文檔，該文檔可以另存、拷貝到其他計算機，但是打開加密文檔時必須聯絡加密授權服務器并獲得授權。使用者對文檔的所有操作（打開、拷貝粘貼、編輯和打印）都要獲得加密授權服務器的授權并被記錄。加密授權服務器可以根據使用者計算機的IP地址、網卡物理地址、CPU的ID、用戶名口令識别使用者身份，并授予相應的文檔訪問權限。當使用者要離網使用文檔時，系統也可将文檔邦定在使用者的計算機上，并授權該用戶指定時段的使用權。

保護背景

據有關權威部門統計數據顯示，随着各行業在生産、管理上信息化程度日益增高，計算機洩密行為也呈上升趨勢。而計算機洩密最大的特點就是較之一般侵占案件，其手段更隐蔽、危害也更大。一個惡意的機密洩露事件往往會給企業造成難以

估量的後果：輕則需要投入巨額資金進行補救，重則會将一個企業置之死地。權威數據顯示，幾乎所有的中國企業對電子文檔都沒有任何防護措施，企業對于信息有保護措施的不到3％。一些機密性的資料，電子文檔輕易就可以的通過電子郵件和移動硬盤洩密到網絡外部。日前，SearchSecurity網站針對358名企業信息化負責人進行了一項關于企業信息安全的調查。調查的結果顯示，目前企業機密洩露30％~40％是由電子文件的洩露造成的，而《财富》排名前一千家的公司，每次電子文檔洩露造成的損失約為400萬元美金。涉密文檔直接或間接的洩漏與破壞大都是在各種各樣不設防的情況下，相關人員進行涉密文檔的操作過程中發生的；越是内部人員越疏于防範也就越容易發生涉密文檔失洩密事件。從而導緻大量的涉密、核心文檔有意/無意的洩漏和流失往往是不為人知的，就像螞蝗一樣不斷的侵蝕着涉密資産和核心競争力。一旦到了事情敗露，帶來的巨大損失早已是無法挽救和彌補的！那麼什麼樣的産品才能真正起到對重要資料的完全保護？怎樣才能最大程度保障企業的核心電子信息資産安全？

解決方案

“文檔寶”基于北京安高科技有限公司自主研發的面向組件的異種環境軟件平台，采用了嵌入式系統安全增強技術、網絡存儲技術、身份認證技術、圖文檔保護技術，重定向技術以及終端代理技術等當今先進成熟的軟件技術，并依據(涉密)電子文檔的操作行為、操作權限、操作流程、處理機制、安全等極、涉密邊界等關鍵要素，基于終端系統對操作人員的各種操作行為設置相應的監管策略、對于各類（涉密）電子文檔進行相應的安全保障。與此同時，按照安全性、規範性、真實性等要求，對（涉密）電子文檔的操作進行客觀、實時的監控與審計，将各種違規操作、可疑操作及時主動阻斷且報警審計。

功能介紹

終端系統操作審計：基于終端系統操作的（涉密）電子文檔，能夠按照時間、部門、終端、操作行為、源/目标地址等關鍵要素進行實時的操作審計，以備日後需要時進行審計記錄查詢。

工作模式的切換：為了實現（涉密）電子文檔的保護，基于終端系統分别設定了工作模式與非工作模式。終端正常啟動完畢後的初始狀态為非工作模式，即平時終端運行狀态。當需要操作（涉密）電子文檔時可進行工作模式的切換，通過正确的身份認證後，系統當前狀态便進入了工作模式。（涉密）電子文檔操作完畢後，便可退出工作模式。

身份認證管理：通過管理控制台的身份認證管理模塊，配置終端系統切換工作模式以及訪問“文檔寶”存儲區的帳号、密碼、權限範圍等相關屬性。通過正确的身份認證後即可進入工作模式，并打開與其身份相對應的“文檔寶”存儲區。

設定“文檔寶”存儲區：根據不同的安全等級要求，通過策略配置将終端系統中的任意目錄或任意盤符設定為“文檔寶”存儲區。該存儲區實現了“隻進不出”的保護原則，凡是進入存儲區的文檔将一律視為涉密電子文檔，操作範圍将僅限于該區域内。任何形式的操作都無法将（涉密）電子文檔從存儲區中取出（唯有經授權後方可導出）。

“文檔寶”存儲區的加密保護：“文檔寶”存儲區内（涉密）電子文檔的讀寫均采取内核的透明加解密處理，對應存儲在物理介質裡面的（涉密）電子文檔同樣以加密形式保存。

配置涉密應用程序：通過策略配置相關的涉密應用程序列表，并對涉密應用程序進行操作權限的設定。從而實現“文檔寶”存儲區内的（涉密）電子文檔僅允許涉密應用程序授權操作。

涉密文檔流轉控制：通過策略配置終端“文檔寶”各存儲區之間文檔傳輸的權限、範圍等相關功能，實現内網範圍内的終端“文檔寶”的互聯互通。并且可配置“文檔寶”導出（涉密）電子文檔的三種方式：加密方式、加殼方式、明文方式。

控制過程

“文檔寶”的保護控制過程：通過管理控制台将審計方式、身份認證、“文檔寶”存儲區位置、涉密應用程序等保護策略逐一配置完畢後，“文檔寶”将對終端系統中的（涉密）電子文檔操作采取實時、安全、可靠的全方位保護。

終端系統的初始狀态為非工作模式。所有的應用程序都能夠正常操作任何文檔，但是通過策略設定的“文檔寶”則處于關閉狀态，其中的（涉密）電子文檔同樣無法訪問、操作；

當需要進行（涉密）電子文檔操作時，必須通過正确的身份認證，切換至工作模式。此時“文檔寶”存儲區便可以正常打開訪問；

“文檔寶”存儲區内的文檔操作權限是根據訪問該區域的應用程序是否為策略已授權的涉密應用程序。唯有涉密應用程序才能正常操作“文檔寶”存儲區内的文檔，而其它應用程序則無法訪問“文檔寶”存儲區内的任何文檔；

凡是存儲于“文檔寶”存儲區内的文檔都無法通過任何操作（文件級的拖拉、複制/剪切等；内容級的另存、複制/剪切、導出等）取出。“文檔寶”存儲區外的文檔可以不受任何限制的将文檔（文件級的拖拉、複制/剪切等；内容級的複制/剪切等）放入“文檔寶”存儲區内；

凡是存儲于“文檔寶”存儲區外的文檔，在工作模式下通過非涉密應用程序的操作是不受任何限制。但使用涉密應用程序訪問操作時，則隻有隻讀權限；

“文檔寶”存儲區内的所有（涉密）電子文檔是以加密形式存儲的，在讀寫時都将進行無感知的内核透明加解密處理；

終端系統“文檔寶”存儲區内的（涉密）電子文檔都可根據其先前進入工作模式的帳号權限，在内網指定範圍内的各台終端系統“文檔寶”存儲區之間進行文檔的發送與接收。

當需要将“文檔寶”存儲區内的（涉密）電子文檔帶離終端系統或内部網絡時，必須經保密部門或上級領導審核通過後，方可進行文檔的導出。導出形式可根據保密需要進行加密（基于可信任agent運行環境的自動加解密技術）、加殼（基于文件使用密碼的加解密技術）、明文（可信任的全解密明文輸入技術）三種形式的安全處理。綜上所述，“文檔寶”遵循着“隻進不出”的基本保護原則，将終端系統中的（涉密）電子文檔存儲于“文檔寶”存儲區。任何形式的操作都無法将（涉密）電子文檔從“文檔寶”存儲區中取出，唯有經授權後方可進行安全導出。從而達到（涉密）電子文檔防洩密的最終目的。