电子文档是指人们在社会活动中形成的，以计算机盘片、磁盘和光盘等化学磁性材料为载体的文字材料。依赖计算机系统存取并可在通信网络上传输。它主要包括电子文书、电子信件、电子报表、电子图纸等等。

定义

电子文档是指人们在社会活动中形成的，以计算机盘片、固态硬盘、磁盘和光盘等化学磁性物理材料为载体的文字、图片材料。依赖计算机系统存取并可在通信网络上传输。它主要包括电子文书、电子信件、电子报表、电子图纸、纸质文本文档的电子版本等等。

特点

电子文档区别于印刷品文档主要有以下四个特点：容易修改、容易删除、容易复制、容易损坏。

容易修改

这是电子文档区别于传统的印刷文档的一个重要区别，印刷文档和手写文档都有一个共同的不足就是一旦印刷好或者写好就难于修改，这个特点在某些时候是好的，比如人们经常说的“白纸黑字”就非常能够体现这个特点；但是它的优点也正好是他的缺点，人们在处理很多文字和图形图像信息的时候，经常需要对处理的内容进行修改，以满足不同的需要，这个时候电子文档就表现出了它的优点。正是由于电子文档容易修改的特点，如果不能很好的保护，就可能受到非法的修改，不管这种修改是有意还是无意的，都会给文档所有者带来一定程度的损失，这个时候它又变成一个缺点。

容易删除

对传统方式的文档进行删除基本上是不现实的，只可能对信息的载体印刷品进行毁坏，由于印刷品一般都通过档案室和文件柜等工具来进行保护，相对来说不容易被一般的人接触，所以也就不容易被破坏，有较好的安全性。但是对于电子文档，其删除是非常方便的，只需要有改文件的操作权限（这个权限往往可以通过合法的和不合法的手段获得），然后点击鼠标或者通过键盘删除文件都是非常容易的，一般情况下，事后也没有任何地证据可以说明文件丢失的时间和原因。正是这样的特点，如果被别人利用了这个特点，进行恶意的破坏活动，可能会给电子文档的所有者造成无可挽回的损失。

容易复制

传统方式的文档进行复制往往需要一些辅助的材料和机器，如复印纸，复印机等相关资料。这是电子文档的一个优点，也是一个缺点，优点是通过复制，人们可以非常方便地进行信息共享。但是，当文件是个人隐私或者商业秘密的时候往往不希望别人看见，这个时候如果被别人复制，造成个人隐私暴露或者商业泄密，都是文档所有者所不愿意看到的，这里需要解决的就是对文件的保密。

容易损坏

文件损坏的原因主要有硬件损坏，人为破坏（有意或者无意），病毒破坏，人力无法抗拒的因素（火灾，地震等），就文件损坏原因的调查中，人为破坏占了80%，其余的20%文件损坏是因为其它的各种因素，对于人为破坏，我们必须采取积极的措施来加以防范，不然很可能会因为疏忽而造成巨大的损失；对人为破坏以外的情况，一个比较有效的措施就是做好备份。

保护

电子文档保护的解决方案：“文档宝”基于安高科技（http://www.amgotech.com）自主研发的面向组件的异种环境软件平台，采用了嵌入式系统安全增强技术、网络存储技术、身份认证技术、图文档保护技术，重定向技术以及终端代理技术等当今先进成熟的软件技术，并依据(涉密)电子文档的操作行为、操作权限、操作流程、处理机制、安全等极、涉密边界等关键要素，基于终端系统对操作人员的各种操作行为设置相应的监管策略、对于各类（涉密）电子文档进行相应的安全保障。与此同时，按照安全性、规范性、真实性等要求，对（涉密）电子文档的操作进行客观、实时的监控与审计，将各种违规操作、可疑操作及时主动阻断且报警审计。涉密文档保护系统“文档宝”产品功能介绍

1. 面对黑客入侵后的信息窃取与破坏、内部人员有意/无意的信息泄露，对于电子信息安全而言，只要保障了最核心的电子文档的安全，核心目的就达到了！
2. 我们和市场上“文件保险箱”产品的核心区别是：“文件保险箱”是自己文件放在保险箱别人拿不走，“自己可以随时解密拿走”。“文档宝”解决的是属于企业的核心电子文档“我们能让大家看的到、用的到，除了拿手抄和照片照，领导不授权的情况下就是拿不走”。
3. “文档宝”存储区实现了“只进不出”的保护原则，凡是进入存储区的文档将一律视为涉密电子文档，操作范围将仅限于该区域内。任何形式的操作（文件级和内容级的复制、剪切、粘贴、拖拉等操作）都无法将（涉密）电子文档从存储区中取出，唯有经授权后方可导出。但外部的信息和内容能够任意“流入”“文档宝”，可谓是“外泄钢桶一块，流入海纳百川”。
4. 基于不同终端系统的“文档宝”存储区之间的安全流转，形成了整个内网的“文档宝”安全体系。使得（涉密）电子文档可灵活、简便的相互传输，并分级分权的控制了的流转范围、方向。
5. 仅在授权情况下，（涉密）电子文档才能够脱离“文档宝”安全体系，并且提供了加密、加壳、明文的导出形式确保（涉密）电子文档的安全；
6. “文档宝”针对（涉密）电子文档的保护主要通过文件级、内容级的行为控制为主，加密手段为辅。适应于所有应用软件产生的文档，具备了软件无关性、派生性。
7. “文档宝”重点控制保护集中在存储区内的（涉密）电子文档，而非存储区内的电子文档的非涉密性操作将不受任何限制。保证系统的兼容性、开放性、方便性的同时重点保障了核心（涉密）电子文档的安全。
8. （涉密）电子文档在“文档宝”存储区（含子目录）内的所有授权应用操作不受影响，但非授权应用访问存储区和试图将电子文档非授权脱离该区域，将一律坚决阻止！（合规操作不受影响，不合规操作坚决阻止）。

电子文档安全保护系统

电子文档安全保护系统是广东南方信息安全产业基地公司（www.china-isi.com），依据国家重要信息系统安全等级保护标准和法规，以及企业数字知识产权保护需求，自主研发的产品。它以全面数据文件安全策略、加解密技术与强制访问控制有机结合为设计思想，对信息媒介上的各种数据资产，实施不同安全等级的控制，有效杜绝机密信息泄漏和窃取事件。

电子文档安全保护系统的保护对象主要是政府及企业的各种敏感数据文档，包括设计文档、设计图纸源代码、营销方案、财务报表及其他各种涉及国家机密和企业商业秘密的文档，可以广泛应用于政府研发、设计、制造等行业。

产品功能特点

1.密指定程序生成的文档

强制加密指定程序编辑的文档。用户访问加密文档时，需要连接服务器（在线，非脱机状态），并且具有合适的访问权限。该加密过程完全透明，不影响现有应用和用户习惯。通过共享、离线和外发管理可以实行更多的访问控制。

2.泄密控制

对打开加密文档的应用程序进行如下控制：打印、内存窃取、拖拽和剪贴板等，用户不能主动或被动地泄漏机密数据。

3.审批管理

支持共享、离线和外发文档，管理员可以按照实际工作需求，配置是否对这些操作进行强制审批。用户在执行加密文档的共享、离线和外发等操作时，将视管理员的权限许可，可能需要经过审批管理员审批。

4.离线文档管理

客户端需要连接服务器才能访问加密文档。通过本功能制作离线文档，即使客户端未连接服务器，用户也可以阅读这些离线的文档。根据管理员权限许可，离线文档可能需要经过审批管理员审批离线时，可以控制客户端的离线时间和离线时是否允许打印。

5.外发文档管理

外部人员不能阅读加密文档的内容。本功能制作外发文档，即使在未安装客户端的机器上，也可以阅

读这些外发的文档。根据管理员权限许可，外发文档可能需要经过审批管理员审批外发的文档，和内部使用一样，受到加密保护和泄密控制，不会造成文档泄露，同

时增加口令和机器码验证，增强外发文档的安全性。

6.用户/鉴权

集成了统一的用户/鉴权管理，用户统一使用USB-KEY进行身份认证，客户端支持双因子认证。

7.审计管理

对加密文档的常规操作，进行详细且有效的审计。控制台提供了基于WEB的管理方式。审计管理员可以方便地通过浏览器进行系统的审计管理。

8.自我保护

通过在操作系统的驱动层对系统自身进行自我保护，保障客户端不被非法破坏，并且始终运行在安全可信状态。即使客户端被意外破坏，客户端计算机里的加密文档也不会丢失或泄漏。

实现效果

1.数据资产保护

只有通过身份认证，并在服务器管理下，才能访问这些文档。因此，无论是因为计算机失窃，还是由于内部员工通过移动存储设备、电子邮件或即时通讯工具把加密文档外传，都能够保证加密文档无法阅读。

2.防止泄密

有效防止用户主动或被动泄漏机密数据，用户无法通过拷贝、打印、内存窃取、外传等方式外泄这些加密文档的内容，即使是通过黑客工具也无法窃取加密文档的内容。

3.文档访问管理

用户只能访问属于本人的加密文档，根据管理员配置，对加密文档的指定操作需要管理员审批才能进行，例如共享和解密文档。

4.灵活、容易操作

不改变用户使用习惯和业务操作流程，根据实际应用需求，可进行系统配置，支持加密文档的共享、解密以及带出功能，同时允许设置管理员进行审批，规范了文档的管理,降低了管理成本。

5.事件追踪

全面的系统管理，及数据文档操作事件审计，系统详细记录了管理员管理系统的事件，用户操作加密文档的事件，做到系统发生的事件均可追溯相关责任人。

6.无需值守，管理成本低

提供基于WEB的管理方法，管理员可以通过浏览器进行系统管理。用户与计算机设备绑定，同时使用USB-KEY身份认证技术，每个用户依据配置的策略进行操作，即使“管理员不在场”也不会发生违规操作和窃、泄密事故。

安全系统

铁卷（InfoGuard）电子文档安全系统是深圳市大成天下信息技术有限公司针对企业保密需求研制开发的一套电子文档、图纸保密解决方案，它能够完全透明地对受保护文档自动进行保护，用户在企业内部使用时不影响操作者原有操作习惯，

保密环境建立简单、管理方便。是企业文件防泄密、图纸安全、数据保密理想的解决方案。铁卷（InfoGuard）电子文档安全系统广泛适用于政府、军队、银行、证券、机械制造与设计、广告、GIS及地图业、咨询、法律、保健等行业，保护各种类型涉及国家秘密、商业秘密的文件。申请试用铁卷能够有效防止：内部员工因为离职等原因，把秘密文件拷贝到软盘带走，或通过网络向外传递；网络骇客通过网络攻击等非法手段取得访问权限，并把文件复制带走；员工没有保密观念造成无意识地泄露，如使电子文档传给了没有阅读权限的阅读者，造成秘密信息公开；计算机病毒自动发送电子文档；各类存储设备（如笔记本电脑、U盘、光盘、移动硬盘）等遗失；旧设备报废，但没有对设备进行有效的数据擦

除处理；产品部署：铁卷电子文档安全系统需要安装用户终端（Agent）和管理中心（Server）。用户终端安装在所有希望被保护的工作站上，管理中心安装在文件管理员专用的文件管理服务器上。铁卷的用户终端对使用者创建、保存文件的全过程进行安全保护，部署简易，无需重新启动电脑，即可透明起到防范作用。铁卷的管理中心能够显示企业内外部有多少台电脑在线上操作，并通过心跳控制对电脑上的机密文件进行控制，包括启用或禁用某台电脑的安全保护功能。管理中心也可以部署在非军事区（DMZ），提供合作伙伴或外部使用者的特定电脑加解密授权及文件保护。

FileOpen

FileOpen电子文档保护系统帮您轻松解除烦恼。FileOpen电子文档保护系统是对提供网络化服务的电子文档库的文档信息进行

加密保护并实施授权管理的系统。该系统是通信标准化推进中心基于美国FileOpen公司的PDF文档加密保护核心技术，结合自身标准电子版权保护需求研发的文档保护系统。该系统特别适合拥有内部计算机网络和电子文档库的企业、通过互联网向公众提供电子文档服务又需要保护其版权的网站使用。系统以网络上的一台加密//授权服务器（该服务器可以和电子文档库服务器共用一台服务器）为核心，文档使用者的计算机安装Adobe公司的pdf文档阅读器及本系统提供的文档解密插件。使用者向加密//授权服务器请求文档，加密//授权服务器将加密文档发送给使用者计算机。使用者获得的文档是加密文档，该文档可以另存、拷贝到其他计算机，但是打开加密文档时必须联络加密//授权服务器并获得授权。使用者对文档的所有操作（打开、拷贝粘贴、编辑和打印）都要获得加密//授权服务器的授权并被记录。加密//授权服务器可以根据使用者计算机的IP地址、网卡物理地址、CPU的ID、用户名//口令识别使用者身份，并授予相应的文档访问权限。当使用者要离网使用文档时，系统也可将文档邦定在使用者的计算机上，并授权该用户指定时段的使用权。

保护背景

据有关权威部门统计数据显示，随着各行业在生产、管理上信息化程度日益增高，计算机泄密行为也呈上升趋势。而计算机泄密最大的特点就是较之一般侵占案件，其手段更隐蔽、危害也更大。一个恶意的机密泄露事件往往会给企业造成难以

估量的后果：轻则需要投入巨额资金进行补救，重则会将一个企业置之死地。权威数据显示，几乎所有的中国企业对电子文档都没有任何防护措施，企业对于信息有保护措施的不到3％。一些机密性的资料，电子文档轻易就可以的通过电子邮件和移动硬盘泄密到网络外部。日前，SearchSecurity网站针对358名企业信息化负责人进行了一项关于企业信息安全的调查。调查的结果显示，目前企业机密泄露30％~40％是由电子文件的泄露造成的，而《财富》排名前一千家的公司，每次电子文档泄露造成的损失约为400万元美金。涉密文档直接或间接的泄漏与破坏大都是在各种各样不设防的情况下，相关人员进行涉密文档的操作过程中发生的；越是内部人员越疏于防范也就越容易发生涉密文档失泄密事件。从而导致大量的涉密、核心文档有意/无意的泄漏和流失往往是不为人知的，就像蚂蝗一样不断的侵蚀着涉密资产和核心竞争力。一旦到了事情败露，带来的巨大损失早已是无法挽救和弥补的！那么什么样的产品才能真正起到对重要资料的完全保护？怎样才能最大程度保障企业的核心电子信息资产安全？

解决方案

“文档宝”基于北京安高科技有限公司自主研发的面向组件的异种环境软件平台，采用了嵌入式系统安全增强技术、网络存储技术、身份认证技术、图文档保护技术，重定向技术以及终端代理技术等当今先进成熟的软件技术，并依据(涉密)电子文档的操作行为、操作权限、操作流程、处理机制、安全等极、涉密边界等关键要素，基于终端系统对操作人员的各种操作行为设置相应的监管策略、对于各类（涉密）电子文档进行相应的安全保障。与此同时，按照安全性、规范性、真实性等要求，对（涉密）电子文档的操作进行客观、实时的监控与审计，将各种违规操作、可疑操作及时主动阻断且报警审计。

功能介绍

1. 终端系统操作审计：基于终端系统操作的（涉密）电子文档，能够按照时间、部门、终端、操作行为、源/目标地址等关键要素进行实时的操作审计，以备日后需要时进行审计记录查询。
2. 工作模式的切换：为了实现（涉密）电子文档的保护，基于终端系统分别设定了工作模式与非工作模式。终端正常启动完毕后的初始状态为非工作模式，即平时终端运行状态。当需要操作（涉密）电子文档时可进行工作模式的切换，通过正确的身份认证后，系统当前状态便进入了工作模式。（涉密）电子文档操作完毕后，便可退出工作模式。
3. 身份认证管理：通过管理控制台的身份认证管理模块，配置终端系统切换工作模式以及访问“文档宝”存储区的帐号、密码、权限范围等相关属性。通过正确的身份认证后即可进入工作模式，并打开与其身份相对应的“文档宝”存储区。
4. 设定“文档宝”存储区：根据不同的安全等级要求，通过策略配置将终端系统中的任意目录或任意盘符设定为“文档宝”存储区。该存储区实现了“只进不出”的保护原则，凡是进入存储区的文档将一律视为涉密电子文档，操作范围将仅限于该区域内。任何形式的操作都无法将（涉密）电子文档从存储区中取出（唯有经授权后方可导出）。
5. “文档宝”存储区的加密保护：“文档宝”存储区内（涉密）电子文档的读写均采取内核的透明加解密处理，对应存储在物理介质里面的（涉密）电子文档同样以加密形式保存。
6. 配置涉密应用程序：通过策略配置相关的涉密应用程序列表，并对涉密应用程序进行操作权限的设定。从而实现“文档宝”存储区内的（涉密）电子文档仅允许涉密应用程序授权操作。
7. 涉密文档流转控制：通过策略配置终端“文档宝”各存储区之间文档传输的权限、范围等相关功能，实现内网范围内的终端“文档宝”的互联互通。并且可配置“文档宝”导出（涉密）电子文档的三种方式：加密方式、加壳方式、明文方式。

控制过程

“文档宝”的保护控制过程：通过管理控制台将审计方式、身份认证、“文档宝”存储区位置、涉密应用程序等保护策略逐一配置完毕后，“文档宝”将对终端系统中的（涉密）电子文档操作采取实时、安全、可靠的全方位保护。

1. 终端系统的初始状态为非工作模式。所有的应用程序都能够正常操作任何文档，但是通过策略设定的“文档宝”则处于关闭状态，其中的（涉密）电子文档同样无法访问、操作；
2. 当需要进行（涉密）电子文档操作时，必须通过正确的身份认证，切换至工作模式。此时“文档宝”存储区便可以正常打开访问；
3. “文档宝”存储区内的文档操作权限是根据访问该区域的应用程序是否为策略已授权的涉密应用程序。唯有涉密应用程序才能正常操作“文档宝”存储区内的文档，而其它应用程序则无法访问“文档宝”存储区内的任何文档；
4. 凡是存储于“文档宝”存储区内的文档都无法通过任何操作（文件级的拖拉、复制/剪切等；内容级的另存、复制/剪切、导出等）取出。“文档宝”存储区外的文档可以不受任何限制的将文档（文件级的拖拉、复制/剪切等；内容级的复制/剪切等）放入“文档宝”存储区内；
5. 凡是存储于“文档宝”存储区外的文档，在工作模式下通过非涉密应用程序的操作是不受任何限制。但使用涉密应用程序访问操作时，则只有只读权限；
6. “文档宝”存储区内的所有（涉密）电子文档是以加密形式存储的，在读写时都将进行无感知的内核透明加解密处理；
7. 终端系统“文档宝”存储区内的（涉密）电子文档都可根据其先前进入工作模式的帐号权限，在内网指定范围内的各台终端系统“文档宝”存储区之间进行文档的发送与接收。
8. 当需要将“文档宝”存储区内的（涉密）电子文档带离终端系统或内部网络时，必须经保密部门或上级领导审核通过后，方可进行文档的导出。导出形式可根据保密需要进行加密（基于可信任agent运行环境的自动加解密技术）、加壳（基于文件使用密码的加解密技术）、明文（可信任的全解密明文输入技术）三种形式的安全处理。综上所述，“文档宝”遵循着“只进不出”的基本保护原则，将终端系统中的（涉密）电子文档存储于“文档宝”存储区。任何形式的操作都无法将（涉密）电子文档从“文档宝”存储区中取出，唯有经授权后方可进行安全导出。从而达到（涉密）电子文档防泄密的最终目的。

优势

1. 体现对信息安全的全新认识，不管黑客入侵还是内容人员有意无意违规操作，数据不被窃取和破坏是问题的核心，将过去“木桶理论”的围、堵、防外围手段转换为围绕数据安全为核心的访问、操作控制的“钢桶理论”;
2. 我们和市场上“文件保险箱”产品的核心区别是：“文件保险箱”是自己文件放在保险箱别人拿不走，“自己可以随时解密拿走”。“文档宝”解决的是属于企业的核心电子文档“我们能让大家看的到、用的到，除了拿手抄和照片照，领导不授权的情况下就是拿不走”。3
3. “文档宝”存储区实现了“只进不出”的保护原则，凡是进入存储区的文档将一律视为涉密电子文档，操作范围将仅限于该区域内。任何形式的操作（文件级和内容级的复制、剪切、粘贴、拖拉等操作）都无法将（涉密）电子文档从存储区中取出，唯有经授权后方可导出。但外部的信息和内容能够任意“流入”“文档宝”，可谓是“外泄钢桶一块，流入海纳百川”。
4. 基于不同终端系统的“文档宝”存储区之间的安全流转，形成了整个内网的“文档宝”安全体系。使得（涉密）电子文档可灵活、简便的相互传输，并分级分权的控制了的流转范围、方向。
5. 仅在授权情况下，（涉密）电子文档才能够脱离“文档宝”安全体系，并且提供了加密、加壳、明文的导出形式确保（涉密）电子文档的安全；
6. “文档宝”针对（涉密）电子文档的保护主要通过文件级、内容级的行为控制为主，加密手段为辅。适应于所有应用软件产生的文档，具备了软件无关性、派生性。
7. “文档宝”重点控制保护集中在存储区内的（涉密）电子文档，而非存储区内的电子文档的非涉密性操作将不受任何限制。保证系统的兼容性、开放性、方便性的同时重点保障了核心（涉密）电子文档的安全。
8. （涉密）电子文档在“文档宝”存储区（含子目录）内的所有授权应用操作不受影响，但非授权应用访问存储区和试图将电子文档非授权脱离该区域，将一律坚决阻止。（合规操作不受影响，不合规操作坚决阻止）。