金融电子信息文件数据安全加密需求深圳石油化工交易所提供.docx
- 文档编号:26901351
- 上传时间:2023-06-23
- 格式:DOCX
- 页数:15
- 大小:31.37KB
金融电子信息文件数据安全加密需求深圳石油化工交易所提供.docx
《金融电子信息文件数据安全加密需求深圳石油化工交易所提供.docx》由会员分享,可在线阅读,更多相关《金融电子信息文件数据安全加密需求深圳石油化工交易所提供.docx(15页珍藏版)》请在冰豆网上搜索。
金融电子信息文件数据安全加密需求深圳石油化工交易所提供
深圳市石油化工交易所
电子信息文件数据安全加密建设项目需求汇总
1系统整体要求
1.客户端数:
100个,可扩充至500个。
2.文档加密系统可升级,升级后的软件产品支持对低版本产品加密文件的解密,且保证解密文件数据正确无损。
新旧版本软件要能相互兼容。
升级方便。
3.提供的软件版本为成熟版本,可以长期稳定运行。
禁止提供未成熟版本产品。
4.拥有独立知识产权。
5.支持全局设置和个性化设置。
6.支持主流数据库:
MS-SQL
7.支持CA认证模式。
8.系统内部具有强大的二次开发工具。
9.系统提供日志报表输出功能。
10.完整的系统备份功能,可以在系统崩溃后很快恢复系统。
11.具有多级组织管理功能。
12.完善的售后服务和培训体系。
2文档加密系统功能及系统间集成要求
1、可实现客户端的文档在编辑保存时强制加密,在打开文档时自动解密。
2、客户端文档加密系统支持windows2000及以上的32、64位操作系统、Linux系统(windows2000,windowsXP,windowsVista,windows7、Linux等)。
3、服务器支持:
WINDOWS2000、2003、2008SERVER、Linux、UNIX等系统;
4、文档加解密效率:
以加密/解密100M文档为例,加密/解密时间应小于5秒。
5、加密文件解密后,文件数据损坏率应小于万分之三。
6、文档加密支持格式:
1)、无论是采用应用层加密模式还是驱动层加密模式,都应支持*.*格式文档加密(均需支持从最简单的office文档到最复杂的源代码编译平台所产生的文件合适)、应用范围不限于国内开发的应用软件,即:
无论是国内开发的应用软件还是国外开发的应用软件,理论上均需通过服务器端提供的策略库由用户自主设置,无需厂家参与,特殊情况需要调试的除外。
2)、无论是应用层厂商还是驱动层厂商、均不得把加密策略库固化,遇到新增软件,在绝大多数的情况下不需要厂家参与,客户即可自主添加策略。
7、支持批量文件的加密和解密。
8、对文档的保护应涵盖存储(USB、光盘、软驱、ZIP盘等)或网络(Email、FTP、Windows共享等)或是其它传输介质与方法(红外、蓝牙等)。
9、具有对加密文档操作控制功能:
拷贝粘贴及拖拽控制:
允许从外部复制进受控文档,但不允许从受控文档向外复制粘贴(包括邮件或者即时通讯工具),用户在受控文档间的拷贝粘贴、拖拽均可正常使用。
10、用户权限管理:
可对用户进行权限划分,角色划分,对分发文档具有阅读、编辑、打印的权限控制。
对外发文档除了上述功能外还需加上时间限制以及次数限制功能,该文档超过一定时间或打开次数就无法再使用,而且对于作者可实行再授权功能。
11、针对特殊人群实现文件自动授权,如针对集团领导自动开放所有权限等。
12、具有日志审计功能:
用户端对文档的任何操作都有详细的操作日志,其检索功能对文档的非法操作能快速定位。
13、具有流程设定和流程审批功能,完成加解密流程、授权权限的审批功能,具有流程失效处理机制。
14、能够对设定加密文档流转的范围,在流转范围(某个部门或组)内的用户可以正常查看加密文档,但不在流转范围内的用户无法查看加密文档。
15、能够灵活设置和应用加密策略、文档打印策略、脱机(外出人员)策略、终端文档控制(文档另存、拷屏、剪切等)策略,文档权限(阅读、修改、删除等)划分策略、文件备份策略等。
16、支持对多密钥机制,不同部门、不同策略可采用不同密钥管控。
17、客户端管理:
用户终端的自我防护、客户端程序及加解密模块不能轻易的在非认证或授权的情况下被终止或激活。
系统能控制客户端的打印、截屏、录屏等功能,但此功能仅限于对受保护的文档进行控制,而非受保护的文件使用还是灵活的。
18、对客户端的配置可针对不同群组进行策略设置,并可主动推送配置和安装操作。
19、可配置新增文件格式的加密操作。
20、离线管理功能:
员工因工需要挟带笔记本出差或在出差过程中需要对一些密文解密外发时系统应提供一套完整的离线管理和解决方法。
21、能够与公司目前的网络环境(防火墙、杀毒软件等、网络硬件设备)兼容。
22、能够实现二维(AutoCAD等)、三维设计软件(Pro/E等)的集成。
23、支持与Windows域集成。
24、能够与公司业务环境内现有信息化应用系统的集成。
25、与现有的主流应用系统实现无缝集成,集成方案需要采用硬件集成的松耦合方案,使得数据在服务器中明文存储、客户端密文存储,提供两者之间的自动转换。
26、所有办公文件载入应用系统后台均需明文存储,以保证办公系统的正常运行;
27、用户从应用系统中下载办公数据时,无论用户是否安装有加密终端均需实现密文下载,保证数据使用安全;
28、确保自身运维的稳定性、安全性和高效性,支持双机运行。
29、可配置与多个应用系统安全集成。
具体需求如下:
A、需要实现应用服务器数据明文存储、客户端密文存储,提供两者之间的自动转换。
B、在不对服务器进行改动的情况下与PDM、CAPP、OA、ERP等应用系统集成,以适应未来发展。
C、不能影响浏览器对其他应用系统的访问。
D、有多种接入模式,包括串联、并联,以适应企业的网络环境
E、可支持多种操作系统的应用平台,包括windows、linux、unix等
F、保证在传输过程中数据是加密的,以防止在传输过程中造成的数据泄漏
G、确保自身运维的稳定性、安全性和高效性,支持双机运行;
H、加密网关可配置与多个应用系统安全集成;
I、所有载出应用系统的办公文件均由硬件加密网关自动加密后提交用户使用;
30、系统灾难应急措施:
系统服务器出现硬件故障或系统崩溃时应确保在故障恢复
期间客户端的正常使用,应具有应对紧急情况需要对文档解密时的应急措施。
31、文档加密算法必须是国家密码管理局允许的密码算法,可扩展其他加密算法。
32、通过策略设置,能防止代码直接读取内存,能够防止伪进程骗取。
33、系统技术指标要求
序号
指标项目
要求描述
1
基本要求
1.1
成功案例
1)在国内拥有1000家以上成功案例;
2)在深圳本地拥有至少3家成功案例,并提供案例名称,联系人。
3)在国内拥有5家以上成功实施2000点以上客户经验(需提供合同复印件);
4)在国内成功实施全国性架构的客户案例。
1.2
系统支持
1)服务器应支持:
WINDOWS2000/2003/2008SERVER;
2)数据库应支持:
MS-SQL2000/2005/2008、等
3)客户端应支持:
WINDOWS2000、XP、VISTA、2003、windows7、Windows8等主流操作系统。
支持32/64位操作系统。
1.3
方案完整性
提供的文档内容加密、存储设备加密,以及加密文档与在线管理系统数据交换安全方案均由同一加密厂商作为统一解决方案提供;
1.4
产品架构
1)加密系统需采用C/S架构;
2)加密系统需支持B/S管理;
1.5
兼容性
与现有内网信息化系统兼容
2
文档加密
2.1
加密算法
1)加密系统需支持如下通用加密算法,如AES、RC4、RC5等;2)加密系统需支持用户自主设置高强度加密密钥,同时也支持系统随机创建高强度加密密钥;
2.2
加密技术
1)加密系统需确保加密机制的安全、高效和稳定;
2)加密系统即使在安全模式下工作,也需提供同等加密保护;
2.3
加密范围
加密系统需体现应用无关特性,不限制用户的加密应用范围,用户可自主设置需要加密保护的数据类型和应用;
2.4
加密特征
1)加密系统需对加密文件进行有效视觉区分,并可通过策略控制灵活实现是否启用该区分;
2)在使用加密文件时,对用户完全透明,不改变用户工作习惯,不改变应用软件界面和菜单形态;
2.5
密钥管理
1)系统支持多密钥,不同的部门、不同的策略可以采用不同的密钥管控。
2)根据要求,提供密钥合并技术,通过自动合并不同管理人员设定的密钥段来强化企业密钥。
3
离线管理
3.1
离线安全
用户办理离线申请后,可实现授权文档的离网安全使用;根据用户安全需要,可以结合离线USB-KEY双认证方式实现离网文档安全;离线控制时,将采用独立计时器进行控制,与用户系统时间无关,防止用户通过修改系统时间所带来的安全隐患
3.2
离网补时
管理员可以根据业务需要,对接入我公司网络的工作人员支持离网状态下的密文使用,并能够通过补时策略来实现安全续期
4
权限管理
4.1
权限归档
文档管理员可以将任意用户的权限文档进行权限归档,将文档权限回收服务器控制
4.2
权限转移
文档管理员可以将任意用户的权限文档进行权限转移,方便用户离职或其他情况下工作延续
4.3
权限删除
文档管理员可以将任意用户的权限文档进行权限删除
5
对外发布安全
5.1
外发文档认证密级
提供访问口令、机器码绑定、硬件KEY绑定等可选认证密级;
5.2
外发文档权限控制
提供只读、打印/打印水印、修改、只读次数、只读时限等可选权限控制
5.3
外发文档回收还原
提供对外发数据的还原功能,可对外发数据进行明文恢复
5.4
外发文档使用方式
外部合法用户无需安装任意插件、客户端、浏览器即可使用外发数据;
5.5
外发文件自动销毁
对外发的文件权限用完后文件实体可自动销毁。
6
认证集成
6.1
身份管理平台集成
加密系统需与现有身份管理平台进行集成,实现一体化身份认证和同步;
6.2
其他平台集成
考虑到后续信息化改造,加密系统需支持与AD、CA、ED等LDAP协议目录树进行集成;
7
策略管理
7.1
策略化管理
1)加密系统所有安全控制均通过策略配置实现;
2)可以针对用户、部门定制安全策略;
7.2
开放式策略库
1)加密系统需完全对用户开发策略库编辑功能,用户可自主完成策略的定义和下发;
2)新应用策略的拓展无需加密系统厂商定制化,应采用通用化设计;
3)应用环境的升级、变更时,加密系统无需开发,可支持兼容支持或调整策略配置即可支持;
7.3
备份策略
可根据需要对指定类型的文件进行备份,通过底层驱动将备份的文件隐藏,在文件丢失情况下通过终端授权方式将文件恢复;
8
系统升级和技术服务
8.1
本地化服务
1)加密系统厂商需提供本地化服务平台;
2)需在用户周边地区设置有办事处、技术支持中心等服务机构
8.2
系统安装和升级
1)加密系统安装需支持本地安装、远程推送、域分发等;
2)加密系统产品需支持系统级在线升级;
8.3
后期服务
1)提供一年的系统软硬件保修和运维服务、免费软件升级、补丁服务、现场应急响应服务;
9
内容安全
9.1
阅读浮水印
加密系统需支持对加密文件添加阅读浮水印保护,防止非法用户通过屏幕打印、拍照等方式窃密;并支持用户自定义浮水印内容;
9.2
打印浮水印
加密系统需支持对加密文件添加打印浮水印保护,防止非法用户扩散泄密;并支持用户自定义浮水印内容;
9.3
内容安全控制
1)加密系统需支持对加密文件提供如下内容安全控制,如复制粘贴、打印、拖拽、拷屏等保护;
2)加密系统能通过策略配置实现对内容安全控制的启用和禁用;
9.4
例外控制
1)加密系统能设置剪切板白名单,方便将敏感数据内容拷贝至指定应用文件中;
2)加密系统能控制剪切板白名单容量,防止用户利用例外策略恶意泄密;
10
流程支撑
自动解密审批流程
1)加密系统需提供自动解密审批流程,对于用户提交的解密申请,审批人员在线审批通过后文档将自动解密并存档;2)可按照需求进行多级审批设定;
3)支持审批分级,在降低系统管理员工作量的同时可防止审批人员越级审批
离网办公审批流程
1)加密系统需提供离网审批流程,对于用户提交的离网办公申请,可以支持审批人员审批通过后,用户能够自动获取离网办公策略;
2)需支持审批分级,在降低系统管理员工作量的同时可防止审批人员越级审批;
3)对于超出预设期限的离网申请,审批人员可通过发送离线补时策略完成离网补时;
终端卸载审批流程
1)加密系统需提供卸载审批流程,对于用户提交的卸载申请,审批人员在线审批通过后用户才可完成卸载;
2)需支持审批分级,在降低系统管理员工作量的同时可防止审批人员越级审批
邮件外发审批流程
1)加密系统需提供邮件外发明文审批流程,对于用户提交的邮件附件外发申请,审批人员在线审批通过后加密系统将集成邮件系统实现明文附件自动发送;
2)需支持审批分级,在降低系统管理员工作量的同时可防止审批人员越级审批
11
管理分级
11.1
系统管理分级
加密系统需支持设置分级系统管理员,并可设置分级系统管理员权限和管理范围;
11.2
日志审计分级
加密系统需支持设置分级日志管理员,实现对安全日志的分级审计功能;
11.3
流程审批分级
加密系统需支持设置分级流程审批人员,实现对业务流程的分级审批功能
12
例外业务
12.1
特权策略
加密系统需提供文件加密、落地解密、落地加密、移动设备加密等策略配置,方便对用户特殊应用的支持;
12.2
邮件白名单
加密系统需支持设置可信邮件帐号白名单功能,实现对指定邮件帐号用户发送加密文件自动解密;
13
日志审计
日志详细审计
1)加密系统需支持对所有敏感数据的使用进行全生命周期审计;
2)满足最小颗粒度审计要求,可审查如用户、文件、时间、载体、动作等信息;
14
部署架构
14.1
集中式分级部署架构
1)加密系统支持集中式部署架构,支持由单台服务器或单服务器群部署;
2)集中式架构支持系统管理、日志审计、流程审批的分级设置
分布式分级部署架构
1、加密系统支持分布式部署架构,分支机构部署服务器单独管理;2、分布式架构支持系统管理,策略分发,日志审计,流程审批设置
3其他要求
一、厂商资格要求
专业的文档加密软件开发商,具有大型离散制造业项目经验。
具有8年以上文档加密软件开发经验。
独立的软件知识产权,出示软件版权证明。
相关资质
具有公安部颁发的《计算机信息系统安全专用产品销售许可证》
具有密码管理局颁发的《商用密码产品型号证书》、《商用密码产品销售许可证》、《商用密码产品定点生产单位证书》
具有国家保密局颁发的《涉密信息系统产品检测证书》
具有解放军信息安全测评中心颁发的【军用信息安全产品认证证书】
计算机著作权登记证书
商用密码销售许可证
软件产品登记证书
质量管理体系认证证书
二、系统管理方面的要求
方便强大的管理功能。
支持远程管理和维护系统。
提供用户和管理员的操作和使用日志。
良好的服务监控,能随时和详细了解系统运行状况。
具有服务器网络参数设置、自动备份设置功能。
三、培训管理需求
中高层管理者。
培训信息化事例及信息化概念,提高信息化意识,理解文档加密系统的作用。
运营维护者。
培养出具备关键技术能力的优秀专业人员(运作、维护负责),能够满足日常文档加密系统的维护。
最终用户。
能够熟练进行终端业务操作,具备完全应用系统处理业务的能力,提高对系统的理解,能够具备对内部人员的二次培训能力。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 金融 电子信息 文件 数据 安全 加密 需求 深圳 石油化工 交易所 提供