安森华途文档加密系统
docguarder








临沂安森信息技术有限公司
地址：山东临沂兰山区蒙山大道西城新贵5楼501室
联系人：王刚     手机：13705497998
电话：0539-3100300 8797678 8799678   传真：0539-3100300
msn: hanbingly@hotmail.com  qq；42818555
e-mail:hanbingly@163.com
网址：http://www.anseys.com http://www.ansey.com.cn
第1章． 软件概述
1.1 设计理念
好的软件让企业从中受益，不好的软件让企业失去信心。
大多数加密软件在设计时考虑更多的可能是如何去实现加密，如何防止泄密，但俗语说世上没有不透风的墙，华途从另一角度出发，帮助企业在文件管理上实现集中化，在流动控制上实现有案可查。对加密文件进行有效管理和做到有备无患，才是华途加密软件设计的最终目的。
华途加密软件docguarder(以下简称docguarder)采用的是不改变使用者原来的操作习惯和计算机操作方式，使文档于无形中被加密，同时对所有加密文档进行密级重组，使企业内部文档的流通是始终处于受控状态。
同时docguarder对于文件的打印和u盘的拷贝采用多种控制方式，企业完全可以根据自己的需要来实现文档外流的方式，实时的日志记录能有效的追溯所有解密、打印等敏感操作。
针对企业控制力较弱的环节，如设计人员外出或者招标文件的保密，甚至于对外发文件的控制，docguarder均提供一套完整的解决方案。
docguarder的目标是实现企业“管理先行，文档保密，事发追溯”。
1.2 系统简介
　　docguarder采用c/s架构。所有的客户端安装盘均在服务端按企业需求进行定制。
　　docguarder采用等级管理模式，系统管理员可以设定不同的子管理员（如：超级管理员、文件管理员、等级管理员等），客户端登录时，直接使用windows当前登录的域用户帐号或者本机帐号作为docguarder加密系统的帐号进行校验。可以针对对公司内部域管理模式设置系统的权限。也可以根据公司架构设定多个子管理员进行管理。
　　docguarder采用128位高强度加密算法实时加密文件，在企业特定的环境内，所有的文档操作一切正常，但是文档一旦离开企业，文档就无法打开，可以帮助企业有效防止用户通过电子邮件、移动硬盘、优盘、usb接口等途径泄密企业图纸，财务数据，招投标文件等重要文档，力保企业知识财产的安全。
　　docguarder不会改变用户原来的任何习惯。软件对于用户而言是透明的，是不存在的，但实际上为企业修建了一道严密的防御体系，时时刻刻守护着企业宝贵的知识财产。
1.3 系统特色
 适用范围广
　　docguarder支持所有应用程序控制，如设计类的solid works、pro/e、ug、catia、autocad等，办公类office系列等，汇编类vc、vb系列等……
 可靠的安全性
　　docguarder采用128位高强度加密算法，企业可自定义密钥，所有密钥都保存在硬件锁中。客户端采取先进的运行保护措施。
 零感觉的客户端
　　docguarder支持无感觉安装，在不改变用户任何操作的前提下对企业重要文件实行加密，可按照用户需求区分加密文档和非加密文档图标类型。
 便捷的管理方式
　　docguarder支持远程自动部署，集成域管理模式，统一的网络加解密处理，完善的离线授权策略。
 文档密级管理
　　企业在docguarder中可以根据文件管理需要定义文档密级，控制内部文件的打开权限、打印权限、文件解密权限以及文件删除权限。
 广泛兼容性
　　docguarder完全兼容现有硬件系统，如路由器、网关及防火墙；也完全兼容已知的安全软件。
 速度更快
　　docguarder经测试对计算机运行速度无影响，在保证加密安全的基础上大力优化系统速度，避免对用户的正常使用有任何影响。
 用户权限分级控制
　　企业在docguarder中可以定义用户或组的权限级别，定义相应的使用权限，如打印、解密、离线等，实现不同密级文件之间的授控管理。
 全面的日志监控
　　docguarder提供完备的监控管理和日志管理，详细的日志查询功能。确保文件操作可追溯性。
1.4 系统组成
　　docguarder由系统管理工具、运行客户端、加密硬件锁三部分组成，支持备份服务器功能，

系统运行环境要求
服务器的运行环境:
操作系统 window2000 server ,windowxp,windows2003
cpu pentium 4 2.0ghz以上
内存 512mb以上
客户端的运行环境:
操作系统 window2000,windowsxp, vista
cpu pentium ш 900hz以上
内存 256mb以上

第3章．加密系统功能介绍
 文档加密
1. 实时加密：
通过系统管理端的“应用配置”选项可以选择需要受控制的程序，其程序产生的任何文件将会自动加密

2. 扫描加密：
通过系统管理端的“初始化扫描”选项实现在计算机第一次安装加密客户端时对计算机上的磁盘进行扫描加密，加密的文档类型在空格框内添加。如需要扫描加密word文件和autocad文件则添加*.doc;*.dwg

说明：此功能有两个版本，一个是对所有文件类型扫描加密；二是对非只读文件类型扫描加密。
3. 客户端更新：
系统的受控程序有更改或者扫描的文件类型有添加需要将信息更新到客户机上，则配置好相应的受控程序或者是添加好扫描的相应文件类型，点击

 防止泄密
1. 系统泄密：
系统运行后针对系统的一些漏洞进行封堵具体的有
文件复制——把文件从受控制的程序中复制到不控制的程序中去。
屏幕截屏——系统受控后防止个别人员采用键盘上的“printscrn”键或是“ctrl+printscrn”组合键，或者是采用一些抓屏软件将企业的重要文件通过图片的方式保存起来传出去。
ole对象插入——系统受控后防止个别人员使用一些软件中的ole对象插入功能将加密的文件通过此功能插入到还没有加密的文件中保存起来传出去。
对象拖放——系统受控后防止个别人员在打开加密文档的时候抓住一些重要内容直接拖出程序放到桌面上。

2. 打印泄密：
为有效控制企业文件打印节约企业耗材成本，防止企业人员将重要资料通过打印方式以纸质方式带出去。docguarder系统对系统使用用户进行了打印控制，需要打印的人员允许打印，对不需要打印的人员禁止打印，并且对所有能够打印的计算机和人员进行实时监控，详细记录了打印的用户名、计算机名、打印的文档名、ip地址及打印时间

对于打印的内容我们也采用抓图的方法将打印的文档内容通过图片的格式上传到服务器上，所采用的图片格式为最小的jpg格式
3. 邮件泄密：
为有效控制企业解密文件采用邮件的方式发送出去，docguarder系统通过对用户进行“允许邮件”设置实现是否允许发送邮件。另外对于企业认为可靠的接收邮箱采用安全邮箱的方式使企业内部发送过去的邮件附件自动解密。并且对所有未发送成功或者已经发送成功的邮件进行自动抄送备份该邮件副本到指定的服务器邮箱上保存，确保企业发现邮件泄密后可以进行历史追踪，查看发送时间和发送的邮件内容及附件。

4. u盘泄密：
为防止企业重要文档资料通过u盘拷贝的方式泄露出去，docguarder系统通过对用户进行“不控制u盘”设置实现是否允许u盘拷贝。不允许的用户一旦插上u盘系统就对u盘内的所有文件进行扫描加密
 文档解密
1. 系统管理端解密
通过系统的“加解密”模块可以对服务器本机或者网络内共享的文件进行远程解密。同时可以过滤文件类型，设置文件内的文档加解密对象。另外也可以通过服务器对网络内的文件进行加密等级修改。

此等级修改具体能修改那些文件等级需要通过对当前登陆系统用户如“sa”的等级调整权限来设置
文件过滤举例说明：
如对文件夹进行加解密时只需要对word文件和autocad文件进行加解密则在空格框内填入*.doc;*.dwg勾上“启用过滤设置”即可

2. 客户端权限解密
计算机安装系统客户端后会在右键中出现如下选项

选择文件处理，弹出如下对话框

输入具有文件加解密权限的用户如“sa”，点击确定后弹出如下对话框

选择解密选项点击确定完成解密
（为了保护文档安全解密人员可设置解密口令以防止自己帐号密码泄露后被人利用进行文档解密）
3. 安全邮箱自动解密
可参见邮件泄密功能介绍
4. 系统审批流程解密
 首先要确保企业bigant系统已安装
计算机安装系统客户端后会在右键中出现如下选项

选择解密审批，弹出如下对话框

选择解密人员，再点击确定，弹出如下对话框

填入解密审批理由，点击“发送”
则申请解密者的操作完成，下面讲述解密者的操作步骤：
申请解密者点击“发送”后，在解密者右下会弹出如下对话框

点击此对话框，弹出如下对话框

需要查看一下相关文件内容则点击“查看文件”，认为可以解密则点击“同意”成解密操作。
（特殊提醒：如果系统安装完成后点击“解密审批”没有反应则查看右键功能中是否具有bigant快发项目，则需要注册）
注册方法：regsvr32 +antsend.dll文件的安装目录和bigant.exe文件安装目录+（-regsererver）
 文档备份
为防止企业文档丢失，备份企业内的重要文件资料，docguarder系统通过“实时监控”模块可以对已经安装了客户端的计算机进行远程备份。具体操作如下
选择备份客户机，点击“文件备份”弹出如下对话框

输入需要备份文件类型，如图对autocad文件进行远程备份，点击确定完成文件备份。
 离网策略
系统对离网策略采用两种方式：软授权和硬件授权
1. 软授权设置，选择授权用户如下“sa”用户，再设置离网时间24小时，则该用户离网累积可以使用的时间为24小时，超过24小时则显示通讯失败，无法打开受控程序。

为了保护企业安全我们对离网用户可以进行2次等级授权，防止离开网络后打开文件太多，把重要资料泄露
具体操作为
点击上图中的“离网策略”按钮，出现如下对话框

设置打开的文档等级权限。
2. 硬授权设置，华途软件除了一个服务器狗以外还有一种时钟狗，它具有时间校对功能，可限制狗在某一时间范围内使用。具体设置如下
插入硬件时钟狗，通过服务器设置使用时间，则外带的笔记本在设置的时间段内可以打开允许的文件等级

为防止多狗之间串插，系统可进行硬件绑定，如下图对网卡、硬盘绑定

此外为了防止硬件被盗或是丢失了，我们还可以事先设置密码绑定，使别人在打开加密文件的同时需要输入加密口令。
 外发设置
为保证企业内部外发资料的安全性，对外发资料的打开时间的打开次数进行严格的控制。
1. 选择外发对象
外发选择对象为企业内部的加密文件，以下以word文件为例说明：
选择单个或者多个word文件点击鼠标右键，在右键选项卡上选择“docguarder文件外发”；

2. 登录
在“步骤2”中选择了文件外发后会出现如下图登录框：

输入有文件外发权限的用户如“韩卓琼”，点击“确定”；
3. 设置控制方式
完成“步骤3”操作后，出现如下图对话框：

根据企业的实际需要设置外发文件的打开次数或者是打开天数，以及是否允许该外发文件进行打印操作，点击“确定”；
4. 打包外发文件
完成“步骤4”操作后，出现如下图编辑框：

单个选择文件，点击下方的“生成文件”按钮，出现如下图对话框：

选择外发授权方式，可以使用密码方式或者是激活方式打开。
（说明：1. 采用密码方式打开，不限制外发打开的计算机
   2. 采用激活方式打开，限制外发文件打开的计算机）
选择相关授权方式后，点击“确定”，出现如下图对话框：

输入保存的文件名，点击“保存”完成文件外发操作，最后得到文件如下图：

5. 外发文件登录
方式一、采用密码方式打开
如果我们前面选择口令授权方式，打开外发的文件后出现如图对话框：

输入授权密码，点击“确定”，即可打开该外发文件。
方式二、采用激活方式打开
如果我们前面选择激活授权方式，打开外发的文件后出现如图对话框：

输入授权激活码，点击“确定”，即可打开该外发文件。
6. 激活码获取方法
 确定外发文件打开的计算机（注意：一旦对方确定了运行计算机后外发文件只能在该计算机上运行，如需在其他计算机上运行需要从新获取激活码）；
 获取特征码和请求码，在确定的计算机上打开外发文件后会出现如上图登录框，记录下特征码和请求码，将他们发送到外发文件的发出单位获取登录的激活码；
 企业在收到对方发过来的特征码和请求码后，用华途软件安装盘上的calclic.exe工具计算出该运行计算机的激活码，发送该激活码到对方。工具登录框如图：

7. 文件程序关联
通过相关方式登录外发文件后，出现如下图界面：

选择界面中的“选项”→“文件关联”或者是标题栏的第二个图标，出现如下图：

点击“修改”按钮找到该文件的运行程序关联，举例doc文件的运行程序为winword.exe；
8. 运行外发文件
选择需要打开的外发文件，点击界面右边的“打开文件”按钮，打开外发文件。

 文件配置
为了方便企业自定义进行程序添加，docguarder系统开发了“文件配置”模块，如下图所示

点击“打开配置”找到安装目录下的docguarder.cfg文件打开，出现如下所示图片

选择配置树上的“全部配置”节点，点击“添加”按钮，弹出如下对话框

输入添加程序类型名称如bigant程序，确定完成添加
选择刚加入的bigant项，再次点击“添加”按钮，弹出如下对话框

输入程序版本号，确定完成添加
找到我们刚输入的版本号节点并展开，如下图所示

首先进行模块配置，如执行程序配置bigant.exe及其相关的输出文件配置，具体细节可参照系统内已经添加好的受控程序类型。
 特殊功能
大文件支持：
系统管理端的“加解密”模块中设置了大文件支持，可以实现对无穷大文件的加解密操作
穿透压缩包：
系统管理端的“加解密”模块中设置了穿透压缩包功能，可以实现对压缩文件的穿透加密，普通加密软件只能对压缩文件的表层进行加解密，而docguarder系统可以穿透压缩包本身对里面的文件进行加解密。

禁止删除操作：
系统管理端的“用户管理”模块中设置了“允许删除“按钮，是没有选择该功能的用户，不能对操作系统内的任何文件进行删除操作。














华途加密典型客户名单
中国石油化工集团公司 北京西门子中国研究院
中国扬帆集团有限公司 双友国际有限公司
宁波隆兴集团有限公司 江苏法泰电器有限公司
广东宏光照明有限公司 绍兴市纳诺高科有限公司
浙江杭州叉车工程股份有限公司 浙江诺力机械股份有限公司
浙江金华派尼尔机电有限公司 温州安泰制药机械有限公司
北京开关电气股份有限公司 上海协承昌化工股份有限公司
杭州海兴电器股份有限公司 北京华锐风电科技有限公司
江苏新美星包装机械有限公司 上海京荣船舶设计院
浙江阿克希龙舜华铝塑业有限公司（欧莱雅包装提供商）
上海酒店设备股份有限公司 西安迈拓机械制造有限公司
宁波惠康实业有限公司 宁波博菱电器有限公司
无锡凯旋电机有限公司 浙江欧华造船有限公司
深圳市奥斯本环境艺术设计有限公司 宁波博一格数码科技有限公司
河南新乡三丰机械有限公司 中山柏力家具制造有限公司
美捷时喷雾阀有限公司 常州联力科技有限公司
中远船务集团舟山分公司 杭州赛奇高空作业机械有限公司
陕西博尔透平机械有限公司 福建三力机车有限公司
台州黄岩迈格机械有限公司 江西省水利厅