随着网络的高度发达，人、数据和各种事物已经以不同方式联入网络，各个领域的边界也正在逐渐溶解，领域之间交互的信息量激增，新的协作方式导致信息的流转变得更为复杂。

对于企业来说，在进行商务活动的时候始终面临着各种风险，这些风险是固有的，不仅存在于企业与客户和合作伙伴的日常接触之中，也存在于企业内部。信息系统作为企业商务活动的重要组成系统，同样也无法避免各种风险的威胁。IT系统的依赖度与IT风险的关系就像中国的典故“水涨船高”，即依赖度越强，IT风险越大。

据调查显示，内网的信息资产已经成为任何企业、组织发展壮大的至关重要的因素，但这些资产却暴露在越来越多的威胁之中。除了传统的黑客、病毒等来自互联网外部的攻击，根据美国FBI 调查显示，80%的安全威胁来自企业内部，将近60%的离职者或被辞退者在离开时会携带企业数据。来自中国公安部的调查也显示，国内75%以上的泄密事件是由内部员工造成的。内部泄密是造成企业信息泄漏的最大原因。因此在信息化时代，上至国家政府机构，下到企业商业机构，都在遭受一场空前的内部信息防泄漏考验。

对于内网安全问题，国家非常重视，颁布了专门的法律要求对企业内部的信息安全采取强制保护。国家先后颁布的《关于信息安全等级保护工作的实施意见》、中国版“塞班斯法案”《企业内部控制基本规范》以及公安部颁发的第82号令《互联网安全保护技术措施规定》等，都对政府、军工、企业等单位对组织内部的信息存储与传递安全做出了强制性规定。

因此，在企业不断自我创新的同时，也越发重视自身内网等机密数据的信息防泄密。为了保证信息安全，我们建议导入IP-guard内网安全管理产品。通过IP-guard的监控功能，实现了对内部信息数据的详细审计，同时也规范了信息流通的途径，通过加密从源头杜绝了泄密风险，这样事前防范、事中管控、事后审计，在一定程度上对信息泄密事件进行遏制。

企业内网安全管理需求分析

内网系统承载了企业绝大部分的业务，企业内网系统能否高效有序地运行直接关系到企业日常工作的开展。下面对企业内网行为效率管理、外联设备管理、资产管理和系统管理四个方面主要存在的问题进行详细分析，进而提炼出其安全需求。

2.1 内网行为带来的安全风险及其需求

编号	存在风险	对应需求
1	上班时间炒股、打游戏、聊天等，使用与工作无关的应用程序。	需要对应用程序的安装进行控制，限制与工作无关软件的安装。
2	疯狂下载电影、歌曲软件，不但影响工作效率，更滥用内部网络带宽。	需要对终端用户使用的下载工具程序进行控制，确保企业内业务正常网络带宽。
3	无意或有意地运行病毒或者挂马等应用程序，造成企业内病毒、木马泛滥。	需要分类管理应用程序定义好企业安全使用的应用程序，对工作无关的存在安全威胁的应用程序进行严格控制。
4	缺乏对计算机使用者上网、桌面行为的了解，无法掌握其业绩和工作状态。	需要应用程序和访问网站记录的统计报表，掌握内部的操作动态。
5	上班时间使用P2P下载超大影音文件等占用公司带宽，影响公司正常业务所需带宽。	需要对上网带宽进行合理分配，保证正常业务的进行，限制滥用公司带宽资源。
6	通过3G上网卡、无线上网卡、手机、USB Modem等接入外网，传输文件出去	需要对外联设备进行有效控制，禁止相关外联设备使用。
7	通过U盘、移动盘、光盘等拷贝文件出去，外来人员通过移动设备拷走重要文件。	需要规范移动存储介质的使用，只有注册了的U盘或移动盘才可使用，或者拷贝文件加密
8	通过不规范的U盘有意或无意地运行病毒或者木马等，造成内病毒、木马泛滥。	规范移动存储的使用，统一管理
9	对通过移动介质拷贝走的文件，无法追踪，审计追踪责任。	需要移动介质管控，操作日志审计，记录所有移动文件的记录，过滤查找，可追根溯源。

2.2 运维管理上的安全风险及其需求

编号	存在风险	对应需求
1	计算机软、硬件数量无法确实掌握，无法统计正盗版软件使用情况，资产信息收集不够智能化，盘点困难。	需要自动统计企业内部的IT资产，同时及时更新记录软硬件变动情况。
2	硬件设备私下挪用、窃取，造成财产损失。	需要对异常的软硬件变化进行及时报警，提高 IT 管理的准确性、及时性和自动化水平。
3	无法掌握各计算机补丁安装情况，及时更新微软的补丁，造成内部安全漏洞越来越多，安全风险大。	需要自动检测PC的补丁安全情况，根据需要及时更新。
4	软件单机安装浪费人力，应用软件版本不易控制。	支持程序分发、程序修复、文件分发，方便网内计算机进行软件部署。
5	计算机数量越来越多，无法集中管理，一旦大规模出现问题，影响效率的同时还危及企业信息安全。	需要通过单一控制台，对内网计算机进行统一管理，通过远程维护，集中管理和控制内部所有计算机。
6	计算机使用者经常修改计算机属性，如ip地址、注册表等，影响计算机稳定性。	需要对计算机的基本安全属性进行保护控制，实时监控计算机使用稳定性。
7	传统管理模式不利于IT管理员掌握用户计算机健康运行状况，及时制止危及计算机安全的程序。	需要管理员可远程查看用户计算机运行状态，包括进程列表、性能、系统服务等，远程控制用户计算机的运行程序。
8	传统管理模式受企业内地理布局的限制，影响系统日常维护工作的效率。	需要管理员可远程连接到客户端桌面，像操作本地计算机一样操作客户端的计算机，可远程文件传输维护过程中需要使用的维护工具，提高维护效率

2.3 网络访问的安全风险及其需求

编号	存在风险	对应需求
1	私人的终端设备NB、PC、平版、手机等接入内网存取资源．	需要阻断私人的设备接入内网存取资源．
2	内部不同部门的NB、PC, 因分享不当或未经授权私自存取，造成文件外泄．	需要透过VLAN或区域管理, 以达到区域隔离的安全需求
3	在线视频、下载、P2P等多种带宽滥用行为造成拥堵网络使得关键的业务无法正常展开，降低工作效率严重损害了企业在带宽方面的IT投资回报	在流量的管理上，需要使用分析、流量的管制 在通讯协议上，需要联机的统计、连接的管制

2.4 重要数据外泄带来的安全风险及其需求

编号	存在风险	对应需求
1	重要数据一旦被有意或无意带离公司，将造成巨大损失．	需要有完整文件生命周期记录、管理
2	硬盘失窃或者笔记本电脑失窃，都会造成机密信息的泄露	需要有保护的手段降低风险，目前以文件加密为最适当的方法
3	一但导入了加密系统，担心会影响日常的运作、档案的交换、脱机工作怎么办？系统是否有备援机制？	需要有一套完善且稳定的文件加密系统

 

 

IP-guard内网安全解决方案

3.1 IP-guard功能概述

IP-guard是一款通用的内网安全软件，运用系统管理思想，充分利用行为审计，分级授权，访问控制和集中管理等技术手段，全面解决信息安全、应用效率、系统管理三项内网安全难题。借助IP-guard，企业能够有效地防范信息外泄，保护信息资产安全；营造健康安全的网络环境，提高工作效率的同时合理分配网络资源；IT人员还能够轻松进行系统维护，保证系统运行时刻处于巅峰状态，促进业务持续发展。IP-guard用户数达一万余家，拥有各行业顶尖客户，部署超过四百万个客户端，有中、英、日、俄4种语言版本，远销至美国、日本、印度、南非等69个国家和地区。IP-guard研发厂商溢信科技，创立于2001年，是国内最早开始内网安全产品开发的企业之一，始终致力于对企业内网安全问题的研究和解决。溢信科技现已成为国内唯一能够提供全面的内网安全解决方案的供应商，十年服务于内网安全领域，积累了丰富的经验，为数万家企业量身打造了内网安全解决方案，溢信科技已经成长为内网安全的领航企业。

3.2 IP-guard内网安全管控

3.2.1应用程序管理

IP-guard的应用效率管理主要帮助企业管理者对企业计算机使用者的使用行为进行统计分析，帮助管理者及时了解计算机使用者的工作状态，从而提高管理者对企业的把握能力和执行力，保证信息系统的应用效率。

 1、过滤与工作无关的应用程序

员工在工作时间聊天、玩游戏、炒股……影响工作效率的同时还会产生“蝴蝶效应”让坏风气在企业内蔓延。IP-guard帮助企业管理者过滤与工作无关的应用程序，分时段限制聊天程序、游戏程序、炒股程序等的使用，规范行为，提高生产力，杜绝上班不事生产的坏风气。

应用过程控制

 2、详细全面记录应用程序的使用

IP-guard详细记录应用程序的使用情况，全面记录程序的启动和退出时间、储存的路径、计算机名称、用户名称等信息供企业管理者了解用户在工作期间使用程序的情况，一改过去用户关闭程序后便无从查证何种程序被曾使用的被动局面，有利于管理者对特定用户的工作情况进行深入的了解。

应用程序日志

 3、多维度统计应用程序的使用

IP-guard从多角度、不同方位统计应用程序的使用，并配以直观的饼状图和柱状图供管理者参考。此外，IP-guard还统计前十名或前二十名常用程序，让管理者在短时间内就可对用户使用应用程序的情况一清二楚。

应用程序统计

3.2.2上网行为管控

1、详细记录浏览过的网站信息

IP-guard详细记录用户浏览过的网页地址、网页标题、访问时间、使用的计算机名称及用户名，让企业管理者对用户浏览网页的情况一目了然，方便管理者开展绩效评估工作。

上网浏览记录

 2、多维度综合统计用户网页浏览情况

IP-guard从多维度统计用户浏览网页的时长，并以直观的柱状图和饼状图显示。另外，IP-guard还统计每一用户常访的前十或前二十网页并以报表的形式显示，方便管理者快速了解用户浏览网页的情况。

网浏览行为统计分析

 3、过滤非法网站和与工作无关的网站、分时段管控网页浏览

IP-guard帮助企业管理者过滤黄色、反政府等非法网站，净化企业网络环境。它不但能降低病毒、木马进入企业系统的风险，维护系统的稳定，而且能令企业规避法律风险。

IP-guard协助企业管理者分时段按类别过滤一切与工作无关的网站，例如：新闻网站、财经网站、娱乐网站、博客等，规范用户行为，轻松快捷地管理用户的网页浏览行为。

上网行为控制管理

3.2.3 邮件安全管控

 1、完整记录邮件信息

IP-guard能够详细记录邮件正文、附件、收件人、发件人、发送时间、用户、计算机等信息，让企业管理者对邮件的使用情况一清二楚，便于对用户是否有泄露企业内部信息做出审查，规范邮件使用的同时又可以保护企业信息安全。

完整记录邮件信息

2、限制邮件发送

IP-guard帮助企业管理者全面禁止指定的用户发送任何邮件，授权特定用户可以发送邮件，限制授权的用户只能向指定的邮件接收者发送邮件，限制他们发送附件或发送具有特定名称的附件等，从而有效地避免他们利用上班时间收发私人信件以及有意或无意地向竞争者或无关人员泄露企业敏感信息。

例如：★限定只能使用企业规定的邮箱。

★邮件发送到外部必须抄送部门主管才能发送成功。

★禁止发送包含附件的邮件。

 

 

3.2.4 即时通讯管控

即时通讯工具也是企业寻找客户资源、企业管理与交流的重要工具，但也是泄漏机密信息的常用途径之一。在用户被告知聊天内容被监控的情况下，为保证公司信息安全，监视和控制公司用户即时通讯情况，国家法律法规规定不属于侵犯员工隐私。

 

 1、聊天内容审计

IP-guard可以详细记录用户聊天的对象、时间、聊天工具、聊天内容等信息，向管理员提供详细细致的聊天日志，帮助管理员了解公司内用户即时通讯聊天动态，审核用户工作时间是否进行与工作无关的聊天通讯，及时发现企业内潜在的行为威胁。

聊天内容审计

2、通讯附件、图片控制

禁止无工作需要的用户通过即时通讯工具如QQ、MSN、飞信等发送附件或图片，或禁止发送指定类型的附件，允许授权用户发送，例如将附件发送权限管控到由部门主管或经理统一发送，统一附件出口路径；附件备份审核。原文备份通讯附件，提供完整通讯附件文档供管理员审核，追踪泄密根源。

通讯附件控制

 3、QQ账号登录限制管控

IP-guard可以限制用户在工作的机器上只允许登录公司分配的或指定的工作QQ账号，同时在用户被告知该账号聊天内容会被审计的情况下审计用户即时通讯聊天内容，一方面不会触犯用户隐私，另一方面提高用户的工作效率，达到一举两得的效果。

 

 

3.2.5 外联设备管控

 1、存储设备管理

管理U盘、移动硬盘、光驱、刻录机等移动存储设备的使用，防止员工随意接入设备把病毒带进系统破坏系统的安全与稳定，或盗走企业重要信息。

 2、通讯设备管理

管理通讯接口、无线网卡、即插即用网卡、3G网卡等网络设备的使用，管理笔记本接入指定wifi、使用随身wifi等，避免非法外联带来的风险。

 3、音视等其他设备管理

管理声卡、摄像头等视音设备或红外线、蓝牙设备等其他未知设备的应用，限制一切未知外设的使用，规范企业的外设使用避免工作时间分散注意力。

设备控制策略

3.2.6 移动介质管控

 1、移动存储审计

准确识别曾接入到网内的所有移动存储设备，记录设备详细信息，掌握移动存储设备使用情况。支持对移动存储设备进行分类管理，可将企业内部移动存储设备按部门划分。

移动存储审计

 2、移动存储授权

控制移动存储设备的读写权限，禁止外来移动存储设备在企业内部使用。部门所属的移动盘，也只能在企业授权的区域内使用，实现专盘专用。

移动存储授权管理

 3、移动存储加密

 自动加解密文件：将复制到移动存储上的文件自动加密，加密文档只能在授权计算机上解密使用。

制作加密盘：将普通移动存储设备格式化为加密盘，只能在内部使用，如加密盘丢失，内部文件也无法打开。

移动介质加密授权管理

 4、移动存储设备注册管理

对移动存储设备的生命周期管理，包括对移动存储设备的注册、分类、挂失、注销等。

移动存储设备注册管理

3.2.7 屏幕监控

 1、实时监控用户桌面活动

IP-guard能够记录客户端用户在计算机上的所有操作，企业管理者可以实时查看用户计算机的当前屏幕。IP-guard还支持多屏监控，管理者可以在同一时间对多台计算机进行集中监控。

实时屏幕快照

 2、VCR式屏幕历史记录

IP-guard能够把用户的屏幕画面储存为通用的视频文件，管理者可以在像看录像一样观看用户使用计算机的情况，为事后追踪保留证据。

能够针对不同的应用程序采取不同频率的记录，以便对敏感应用程序进行记录；同时应用了增量记录，高速压缩后进行存储，更能优化存储空间，保证屏幕记录的数据量偏小。

屏幕历史记录

3.2.8 慧眼风险审计报表

【用户行为统计报表】

基于IP-guard强大的审计日志，可以对用户的打印、电子邮件、移动存储、文档操作、应用程序、上网浏览、即时通讯等行为进行报表统计，快速掌握内网运行情况。

【行为变化趋势报表】

通过统计用户行为，可以直观展现某段时间内用户行为的变化趋势（如：上网行为趋势是上升？还是下降？），并可为管理者后续完善管控策略提供依据。

【风险预警征兆报表】

针对打印、电子邮件、移动存储、文档操作、应用程序、上网浏览、即时通讯等行为，管理员可预先设置征兆阈值和报警级别，当用户行为达到设置的阈值时，报表系统会自动产生、统计相应的征兆事件，并启动报警。

【私人订制报表】

管理员可根据企业内部需要，自定义报表统计条件，获取个性化的私人订制报表。

【自动生成报表】

可设定时间周期（年、季度、月、自定义等周期），自动生成报表，并可以通过邮件订阅功能，定时发送给管理员。

例，针对移动存储操作审计报表，有效统计移动存储插入次数、拷贝文件数量及大小，当有离职人员出现大量拷贝时， 可第一时间对其进行详细日志盘查，规避离职泄密风险。

3.3 IP-guard运维管理

3.3.1企业资产管理

IP-guard资产管理模块，能帮助管理员随时监测和查看各种软硬件资产及其变动情况，输出资产报表，集中地管理IT资产。实时记录软硬件发生变化，并能及时向管理员发出软硬件变更报警，防止资产流失。

 

 1．软硬件资产管理

收集公司内网资产信息为管理员提供公司IT资产信息列表，同时自动记录和统计公司内部计算机软硬件资产的变更情况，帮助管理员掌握公司IT资产动态，维持系统的稳定性。支持统计的资产列表如下。

 

名称	资产信息	详细说明
硬件资产
资产统计信息	BIOS、主板、系统槽、USB控制器、CPU、内存、逻辑盘、光盘驱动器、声卡、网卡、显示卡、显示器、鼠标、键盘、电池等。	资产名称、版本、制造商、序列、数量、摘要、类型、容量等计算机自动获取的资产属性，支持按条件统计资产。
资产变更信息	BIOS、主板、系统槽、USB控制器、CPU、内存、逻辑盘、光盘驱动器、声卡、网卡、显示卡、显示器、鼠标、键盘、电池等。	资产的删除、增加和变化更新三种变更信息，支持资产变更时报警，支持按条件查询变更信息。
资产信息导出	资产统计信息与资产变更信息导出。	可导出成.htm、.html、.xls、.csv等格式的资产报表。
软件资产
资产统计信息	操作系统、系统软件、微软补丁、杀毒软件、应用软件等。	资产名称、制造商、版本、语言、数量、摘要、安装路径、序列号、安装时间、软件补丁等资产属性，支持按条件统计。
资产变更信息	操作系统、系统软件、微软补丁、杀毒软件、应用软件等。	资产的删除、增加和变化更新，即软件的安装、卸载和升级等变更信息，支持资产变更时报警，支持按条件查询变更信息。
资产信息导出	资产统计信息与资产变更信息导出。	可导出成.htm、.html、.xls、.csv等格式的资产报表。

 

 2．系统补丁漏洞管理

IP-guard能通过查看计算机的系统漏洞信息、并给出了手工解决漏洞问题的建议，帮助解除系统的安全隐患。通过IP-guard能随时查看安装了客户端的计算机补丁情况，及时检测并下载微软的官方的最新补丁，及时给未安装补丁的客户端打上补丁，保障了系统的安全。

补丁管理

 3．软件分发管理

管理员可向计算机自动分发安装程序并安装，自动分发各种文件到指定的目录下；或分发其它执行程序到计算机，从而实现安装软件自动化部署，大大提高程序部署的效率；提高IT管理人员的工作效率。

软件分发管理

 4、软件卸载

通过IP-guard控制台，管理员可以向客户端设置软件卸载任务，达到快速批量卸载软件的目的。同时可以监控客户端的软件安装情况，防止再次安装指定软件。管理员可建立软件卸载任务，可在两种模式下建立任务：软件模式和计算机模式。

软件卸载管理

3.3.2 远程维护

 1、 实时查看客户端运行状态

IP-guard还能远程维护网络内的计算机当前运行的：应用程序列表、进程列表以及性能，设备管理，系统服务，磁盘管理，共享文件夹，计划任务，用户和组信息等。方便管理员查询任意一台电脑的系统运行状态，对违规的或不正常的程序或进程即时制止，如结束进程等。

查看计算机运行状态

 2、对使用者进行远程协助

管理员可远程连接到客户端桌面，像操作本地计算机一样操作客户端的计算机，可以通过控制台远程连接到员工计算机桌面，方便对计算机系统的维护，排除故障等。

远程控制桌面

 3、远程文件传送

支持管理机与受控计算机之间传送文件。

 

 4、软件管理

在控制台可查看客户端计算机安装的所有软件信息。

可远程卸载客户端计算机上安装的软件。

 

 

3.3.3 计算机属性管理

IP-guard基本功能模块提供集中的内网管理平台架构，简化大量重复性的基础管理工作，帮助总揽内网全局。

 

 1、基本信息查询

可查询客户端计算机的基本信息和策略总览，记录计算机及用户的启动、登陆、注销、关闭等日志，随时掌握了解客户端计算机基本信息，如计算机名、IP/mac地址、登陆用户、操作系统等信息。

 

 2、基本控制

能够在控制端对网内任意客户端计算机进行锁定、关闭、重启、注销和发送通知信息等，发现不安全行为时，可及时采取措施进行制止。

 

 3、系统策略设置

设置客户端计算机的控制面板、网络属性、计算机管理、IP/MAC绑定、ActiveX控件、系统还原等配置工具的操作权限，如有违规变动，可以报警并警告。

基本策略设置

3.4 IP-guard网络访问管控

3.4.1 准入及网络通讯控制

防止外来计算机或内部职员自带的计算机，在未授权的情况下，私自接入公司网络访问重要内网设备或网络，给公司造成泄密风险。

 

 网络接入检测。当内网有未授权的新计算机接入时，及时报警通知管理员发现新接入的计算机，并及时给予管理措施。

 网络准入控制。计算机接入企业内部网络对服务器、互联网等访问时，需要经过准入网关严格的审核，只有合法的计算机才能连入访问，非法计算机可根据需要将其引导至隔离区进行修复，或者完全阻断其访问。

 网络通讯控制。限制计算机的行为规则，限定哪些计算机只能跟哪些计算机进行通讯，可阻隔与外界结计算机的通讯，同时也可对敏感的计算机与其他计算机进行隔离，降低信息泄露的危险，控制受保护计算机的通讯。

 安全状态合规检查。对通过准入网关连入网络的PC进行安全状态合规检查（如：是否安装指定软件、杀毒软件，病毒库、系统补丁是否更新等），满足条件则允许接入网络，否则拒绝访问并发出警告提示，并强制跳转至隔离区进行相关修复。

 设定访客账号。对于临时来访的外来PC，因工作需要接入企业内部网络时，可以设定访客账户，通过WEB浏览器输入账号密码进行身份认证，通过后即可连入网络。

管理员可以对访客账户的访问时间、登陆IP、登录注销操作等进行日志审计。

 设定白名单。针对特殊用户或不允许安装IP-guard客户端的设备，可设置白名单方式授权。

 防止内部PC脱离管控。准入网关可以有效防止内部PC通过重装系统、安装多系统、虚拟机等方式脱离IP-guard的管控，保证内网安全策略可以有效的执行。

3.4.2网络流量管控

 1、多维度统计网络流量

IP-guard从多维度去统计流量的使用，让企业管理者清晰地了解用户使用内外网流量的情况，从而有利于企业管理者对于大量使用外网流量的用户进行高度关注和采取进一步的深入调查。

网络流量统计

 2、合理分配带宽，告别网络“塞车”

用户毫无管束地使用P2P工具下载，大量占用企业带宽资源，令网络出现“堵车”现象，连基本的网络传输都不能保证，严重影响企业核心业务的正常运作。根据企业相关规定与业务需要，IP-guard能向管理者提供灵活的定义控制策略平台，控制客户端计算机各种网络应用的流量。

可根据端口、IP地址、流量方向等参数限制计算机或计算机组的网络流量，合理分配流量，保证关键业务的正常进行。

网络流量策略控制

3.5 IP-guard信息防泄露三重保护

针对企业的内网信息安全管理需求，IP-guard提出信息防泄漏三重保护方案，第一重保护是对内网信息做详尽细致的审计，让我们知道知道发生了什么；第二重保护是对信息的流动做全面严格的控管，让机密信息拿不走；第三重保护是通过安全稳定的加密，使我们重要的信息就算拿走了也不怕。

3.5.1 文档操作管控

 1、文档全生命周期审计

全面细致地审计存储于服务器、硬盘、光盘、移动盘、网盘等各种位置的文档，包括创建、访问、修改、移动、复制、删除在内的每一项文档操作，同时，其他计算机对本机共享文件夹内文档的创建、修改等操作也能一一记录。

例如，对计算机的共享文档操作进行详细记录，审计各用户对这些文档的操作。

文档全生命周期审计

 2、敏感操作备份

在文档被复制、篡改或删除前备份，防止敏感文档损坏，同时留存证据。

敏感操作备份

 3、文档操作控制

管理用户的文档使用权限，限制对重要文档的访问、修改和删除。

例如，指定员工对重要文档可进行读取、修改、删除等操作而其他员工只能访问。

文档操作控制

3.5.2文档打印管控

 1、打印操作审计、打印内容备份

详细记录每一次打印操作的时间、用户、文件名、页数等信息，方便管理员预防安全风险，追溯打印内容；获取打印内容映像并以图片形式进行备份。

打印操作审计

 2、打印授权管理

 管理用户对各类打印机的使用权限，包括虚拟打印机、共享打印机、本地打印机、网络打印机等，可限制随意使用高成本打印机进行打印，节省成本。

 限制能够进行打印的应用程序，防止如ERP等重要程序打印泄密。

打印授权管理

 3、打印水印

可在打印的纸质文档上添加公司标识、打印人姓名等信息。

 

3.5.3 IP-guard文档加密

通过在用户计算机上部署客户端并启用强制透明加密，IP-guard能对需要保护的电子文档进行强制性的加密，合法用户使用时自动解密，整个过程完全自动并且不影响用户原有的使用习惯。                                                                                          

 采用高强度加密技术AES256算法，对文档进行强制透明加密，使得无论何时何地图纸文档都以密文形式存在。                                                                                          

 加密初始化，加密系统刚实施时，用户计算机上已存在大量的办公文档，通过设置初始化加密配置，实现全盘指定类型文档扫描加密将原有的文档加密保护。                                                                                          

 在授信环境中，文档能自动解密,丝毫不影响技术人员原有的使用习惯；在非授信环境中，加密文档则无法正常打开和使用。                                             

在加密文档的合法使用过程中默认禁止截屏、打印等操作，或者剪切、拖拽加密文档内容到Email等可能造成泄密的应用。

3.5.4 IP-guard文档加密-文档权限管理

对于多部门多层级的企业，如果加密文档在不同部门之间的加密计算机上也可以被正常打开使用，例如财务的加密文档被技术部门打开，那也是十分不安全的，因此IP-guard引入了分部门分级别的权限控制机制，根据文档所属部门和重要程度贴上标签，用户对不同标签的文档的访问权限的集合组合成其特有的内部文档使用权限。

 根据文档的重要程度不同和使用要求的不同，可将加密文档划归不同的安全区域和级别，以便让不同部门和职位的用户使用，建立分部门分级别的保密机制，例如技术部门不同项目组技术人员只能打开本项目组加密文档。

 默认情况下，禁止离线使用加密文档，以保证文档脱机安全。必要时可单独设置用户离线时能使用的加密软件和使用权限，如只读、禁止复制、编辑、打印等文档操作。

3.5.5 IP-guard文档加密(安全网关)-防止服务器信息泄露

企业的核心业务系统（如：OA、CRM、ERP等）中存有大量敏感业务数据，员工通过合法账号可正常查看、导出数据，而数据一旦导出则可通过其他途径带离企业，存在泄密风险。此外，员工可利用非法应用程序或盗用合法账号访问并窃取业务系统中的数据，存在较大安全隐患。

 架设IP-guard安全网关，对应用服务器进行安全保护。

 服务器数据下载至本地则自动加密，防止非法下载泄密。

 加密文档上传至服务器则自动解密，以明文形式存放在服务器，确保正常使用。

 非法客户端即使盗用合法账号或利用非法应用程序也无法访问受保护的应用服务器，杜绝了非法访问泄密。

3.5.6 IP-guard文档加密-离线授权管理

默认情况下，计算机断开与服务器的连接时，用户将不能使用客户端上的加密文档。针对出差或在家办公等需要，IP-guard提供离线安全策略。离线策略由管理员设定，策略的内容包括离线的时间以及离线时运行使用的权限。

 普通职员离线办公时，需提交离线办公申请，正确填写离线办公时间和理由后，邮管理员或部门主管审批通过后，方能离线情况下正常打开加密文档办工，保存文档后依然为加密形式，保证离线办公文档安全。

 高层领导离线办公时，事先对其计算机进行授权设置，领导离线后，只需进行登录离线授权操作，输入正确的离线授权账号密码，即可正常打开加密文档继续办公，保存文档后依然会自动加密文档，以保证离线办公文档安全。

 职员计算机已离线但还未提交离线申请时，以其他方式提出离线申请，管理员在控制台上输入离线时间等信息，以授权文档或授权码方式回发给离线职员授权后，离线职员可以继续离线工作。

 如果发生职员计算机遗失或被盗等情况下造成客户端离线，为避免这种情况下计算机上的加密文档被打开泄漏，可设置离线状态下开启计算机时不登录加密系统，需要输入正确的加密安全密码登录加密系统后才可以正常打开加密文档，以保护计算机离线安全。

3.5.7 IP-guard文档加密-外部沟通安全

对于合作伙伴等外部用户，IP-guard提供加密文档阅读器，可以保证外发的加密文档只能被指定的用户在指定的时间内正确的使用，保证加密文档离开内网环境后的安全。

 用户能够对需要进行外发的文档进行加密控制,只允许授权的外部人员查看,防止二次泄密。

 指定外发文档的查看期限、查看次数以及使用权限，例如禁止接收方复制、截屏、打印、修改等操作，限制打开文档的次数、时间等，降低外发文档的安全风险。

 外发申请与审批管理流程，由于直接外发的权限太高，因此建议一般普通用户外发时，通过申请外发文档审批的管理模式，填写外发理由、外发文档操作权限等，由相关领导查阅外发信息和外发文档内容，批准后方可外发文档。

 外发模板设置，所有文档外发都通过申请审批管理，领导的审批工作量太大，因此建议通过事先设置直接外发模板，例如禁止截屏、打印、复制外发文档内容，打开次数为3次，打开时间为1天等，普通文件外发则按预设计好的模板直接外发以减少审批工作量，特殊文档例如需要更长的打开时间或次数时再按外发申请与审批的管理流程，并记录外发操作和外发文档内容。

 在接收方为可信任用户，即对方能妥善保护好外发的文档的情况下，例如分公司领导等用户，为提高发外文档的外发工作效率，管理员预设定邮件白名单，用户通过标准邮箱发送到指定白名单收件人邮箱的文档自动解密。

3.5.8 IP-guard文档加密-可靠的紧急灾备方案                                             

主要的紧急故障包括IP-guard主服务器软硬件故障导致服务器崩溃问题、网络故障、甚至是加密文档被加密损坏等问题，为此IP-guard提供一套完善的灾备应急措施，保护系统的正常运行，把系统故障带来的影响降到最低。                                             

 备用服务器机制                                                                         应对各种硬件或软件问题导致IP-guard主服务器无法正常工作问题，备用服务器即时启动并接替主服务器工作，以保证公司正常的业务工作开展。                                             

 授权文件机制                                                                              应对网络通讯故障例如交换机故障等，导致网络中断等问题，造成软件部加密客户端无法正IP-guard主服务器正常通讯时，通过IP-guard服务器导出加密授权文件，到软件部计算机导入后可让加密系统正常运行。                                              

 明文备份服务器机制（也可支持密文备份）                                                                                          

IP-guard的加密系统本身对文档的加密已通过虚拟加密技术等进行防护，把损坏文件的可能性降到最低，但以防万一，IP-guard提供明文备份服务器，把软件部所有计算机的加密文档定时定量的以明文形式备份到该服务器中，按用户和相应的存储路径进行合理存放，保证文档在加密过程中的安全，做到加密文档零损坏的效果。

四、系统组成架构

4.1 IP-guard的三大组成部分

IP-guard系统有三大组成部分，包括：客户端、控制台、服务器。

4.2 IP-guard网络架构支持

Ip-guard系统网络架构支持：局域网、跨网和分布式部署。

五、运行环境与性能指标

5.1基本软硬件最低配置要求

	计算机环境要求
服务器	操作系统	Windows 2000以上全系列（含32/64位）
	数据库	Microsoft SQL server 2000/2005/2008/2012/2014
	最低配置	Intel Pentium D/2G内存/100G可用硬盘空间
控制台	操作系统	Windows 2000以上全系列（含32/64位）
	最低配置	Intel Pentium 4/1G内存/10G可用硬盘空间
客户端	操作系统	Windows 2000以上全系列（含32/64位）
	最低配置	Intel Pentium 4/1G内存/10G可用硬盘空间

5.2 服务器最低建议配

l 超过100台工作站：

双核或双CPU /4G内存/ 200GB或以上的可用硬盘空间/ 100MB 网卡

l 超过500台工作站：

四核或双核CPU / 8G内存/ 400GB或以上的可用硬盘空间/ 1000MB 网卡

l 超过1000台工作站：

四核CPU/8G内存/1T以上可用硬盘空间或使用硬盘阵列/ 1000MB 网卡