《康德数据保密专家2007》是西安康德信息科技发展有限公司为防止企业核心数据的二次传播,吸取市场同类产品的优势,积极满足各类客户全方位需求,精心研发的一套企业核心数据保密软件。系统利用软硬件联合加密技术,实现图文档文件的加密,使得加密后的图文档文件离开企业的硬件环境无法使用,将企业核心数据牢牢限定在内部环境中,有效地保证了企业核心数据的安全性。
|
功
能
模
块 |
模块功能 |
功能具体描述 |
实现效果 |
备 注 |
|
文件内容级加密
|
后缀加密 |
可设置需要加密的文件后缀类型,配置进加密后缀类型的文件类型,则在文件创建/拷贝/打开/保存等操作过程中自动加密。 |
文件在创建/拷贝/打开/保存等操作过程中自动加密 |
无文件后缀类型限制 |
|
进程加密 |
可设置合法的加密进程,配置了合法加密进程的应用进程,具备两个特征:
1.该加密进程可合法访问任何加密文件。
2.该加密进程产生的任何文件均自动加密(不管该文件后缀是不是加密后缀),产生的非加密后缀的加密的文件不能移动。只能通过加密进程的文件浏览窗口才能移动(合法性) |
加密进程可合法访问加密文件,同时加密进程产生的任何文件都加密,不管该文件后缀是不是加密后缀类型。 |
加密进程不受任何应用程序影响。自由配置无需再次开发 |
|
加密算法 |
DES3L算法:美国国家标准局1973年开始研究除国防部外的计算机系统的数据加密标准
DES3L算法的入口参数有三个:Key、Data、Mode。其中Key为16个字节共128位,是DES算法的工作密钥;Data也为64个字节512位,是要被加密或被解密的数据;Mode为DES的工作方式,有两种:加密或解密。 |
目前在国内,随着三金工程尤其是金卡工程的启动,DES算法在POS、ATM、磁卡及智能卡(IC卡)、加油站、高速公路收费站等领域被广泛应用,以此来实现关键数据的保密,如信用卡持卡人的PIN的加密传输,IC卡与POS间的双向认证、金融交易数据包的MAC校验等,均用到DES算法。 |
|
加密的密钥 |
Key为16个字节共128位,外部参数我们看到的则是32位的用户态密钥,加密引擎将通过MD5算法自动产生一个标准的128位密钥。 |
对32位的用户态密钥进行MD5算法的128位扩充转换,产生一个加密引擎识别的128位标准密钥。达到加密的需要 |
|
加密强度 |
针对非绝对机密型的数据的加密标准,产生的强度为500万价值的超级计算机1年的时间可对加密的文件进行解密(这个数据也是理论计算数据,现实还未真正试验过) |
文件加密注重效率和安全,若加密效率跟不上,再安全再严谨的加密机制都不能客户化。我们针对这两点进行最优化的组合,达到应用目的 |
|
加密进程保护机制 |
进程保护 |
设置了加密进程的应用进程都在内核驱动机制的加密保护范围内,任何该应用进程都不能更名或删除等操作。防止用户的恶意行为的发生。 |
保护进程的合法性和唯一性。保证了加密进程的正确使用。避免意外的事件的发生。 |
|
加密文件控制处理 |
复制控制 |
加密的文件可设定不能复制加密的文件 |
加密文件不能复制,防止恶意用户恶意行为的产生 |
|
删除控制 |
加密的文件可设定不能删除加密的文件 |
加密文件不能删除,防止即将离开公司的人蓄意破坏 |
|
修改控制 |
加密的文件可设定不能修改加密的文件 |
加密文件不能修改,可保证一些机密文件的安全 |
|
打开控制 |
加密的文件可设定不能打开加密的文件 |
加密文件不能打开为了防止其他一些目的的人的动机的产生。(拍照等) |
|
剪贴板加密机制 |
剪贴板
加密 |
设置了剪贴板加密机制的策略,会使加密进程之间的内容可合法的拷贝,加密进程和非加密进程之间不能拷贝。保证了文件内容的拷贝的安全 |
防止了加密的内容通过拷贝的形式拷贝到别的非加密的进程里,然后保存为非加密后缀的文件的泄密的可能。 |
|
加解密控制方式 |
加解密
控制台 |
可通过服务端对公司进行分配多个授权解密点,分配个数由服务端来控制,该功能实现本地加密文件的手动加密或解密的功能或 网络里的 电脑的加密文件的加密或解密功能 |
|
|
授权解密
控制台 |
一种主动申请式的解密处理过程,用户提出申请,在授权解密控制台开启的状态下自动接收到该请求信息,同时系统自动归类到未处理信息列表里。通过授权解密控制台对该文件进行人为确认合法性后,进行答复解密,使得用户的文件得到解密。 |
可实现主动式的申请解密的处理过程,让操作人员可第一时间得到申请,并告知需要解密的人及时解密。使得整个交互过程更加人性化。 |
|
批量加解密控制台 |
该解密控制台是一种对文件进行批量解密的一个控制过程。可对整个 电脑进行扫描解密文件,也可对某一磁盘进行扫描解密,同时也可对某个文件夹(不管里面有多少子文件夹)都及时进行扫描解密。并记录所有的解密或未解密的日志信息。 |
扫描解密可达到不同层次的解密的需要(整个 电脑/磁盘级/文件夹级等等。)使得用户在使用的过程中更加人性化。达到简便管理的目的。 |
|
独立授权
还原工具 |
该工具是一个不需要驱动支持的解密工具,主要针对加密的文件拷贝到没装加密系统的 电脑上时解密的需要 |
当用户在加密的客户端上拷贝了一个加密的文件到非加密的客户机上的时候,没装加密的客户机发现打不开文件,则这时候可用该工具进行非驱动环境的解密操作,保证用户的正常使用。避免任何麻烦的出现。 |
|
U盘绑定
解密工具 |
该工具主要针对公司的上层领导配置的一个解密工具,一旦解密控制台不起作用或者没联网的时候(由于硬件或病毒的问题导致 网络不通讯的时候如何解密客户机上的加密的文件),就可通过该工具实现正常的解密处理 |
为了方便用户在掉网的情况下,不能支持 网络解密的情况下,又不能把文件拷贝到解密控制台解密的时候,可通过U盘绑定解密工具解密,主要是应急事件处理。该工具只能绑定在指定的优盘使用,否则不生效。该优盘可随身携带。 |
|
邮件自动解密控制机制 |
该控制机制主要通过设置策略里的邮件解密用户列表里配置,配置了的邮件地址,可达到如下的功能:
1.若发送的邮件地址里都是配置过的合法的邮件地址,则加密的文件全部自动解密
2.若发送的邮件地址里有一个不是合法的邮件地址,则加密的文件不能自动解密。
3.目前我们支持outlook发送邮件自动解密控制,以后的版本会不断的升级。 |
通过该功能可实现信任邮件地址的发送重要邮件的便捷性。特别是发给重要的领导或授信的领导那里的时候,不需要申请解密处理,可直接发送。有时候针对性的外贸客户的邮件地址也可作为授信的邮件地址。可根据公司的控制机制的标准执行。 |
|
策略控制机制 |
全部策略机制 |
通过全部策略设置,可对服务器里配置的所有的 电脑进行统一策略的派发管理 |
全部派发策略过后,可让每一台客户机都拥有相同的策略。不需要人为的更新,策略在线生效 |
|
组策略机制 |
组策略机制,主要是对公司里的部门而言,服务端里的 电脑可分组,组的概念就如公司的部门的概念类似,分组管理可让 电脑管理更分类化,策略管理更灵活化 |
每一个组都可拥有自己的策略机制,例如:外贸部门可只需要对word文档加密,而技术部门可对图纸加密,不一样的部门侧重点不一样。当组策略派发以后,该组就享有相同的策略机制,当不影响别的组的加密策略机制。 |
特别说明:若组策略派发后,有全部派发动作,则全部派发策略会更新到组和单机策略中 |
|
单独策略
机制 |
单独策略机制,针对的是同一个组里个别 电脑的特殊需要,可进行各自设置,不同的人可有不同的策略机制 |
对个别 电脑进行控制管理的时候,可通过单独策略机制来控制,使个人与个人之间有不同的策略的控制管理过程,例如外贸部里,对员工的 电脑自动加密,而对领导的 电脑则不需要自动加密,他只负责解密就可了,则可给领导的 电脑设置空策略。 |
特别说明:
若单机派发后,又进行了组派发或全部派发,前一次的策略会全部被最后一次策略所覆盖 |
|
文件数字版权控制机制 |
具体文档的只读控制 |
通过对加密文档进行FRM授权处理,可产生一个不同人访问有不同权限的文档。
只读权限的人,在原作者进行授权后,只能享有只读的权限,其他权限一律为空 |
只能浏览文件,不能进行其他任何动作 |
|
具体文档的修改控制 |
通过对加密文档进行的FRM授权处理,可产生一个不同人访问有不同权限的文档。档。
修改权限的人,在原作者进行授权后,定义为完全权限 |
可对文档进行编辑和保存 |
|
具体文档的使用时间的控制 |
通过对加密文档进行的FRM授权处理,可产生一个不同人访问有不同权限的文档。
使用时间权限的人,在原作者进行授权后,只能享有指定的使用时间内的权限,其他权限一律为空 |
可在规定的时间内正常使用文档(默认为只读) |
|
服务端安装及功能介绍 |
服务端一步到位安装方式 |
Setup。exe后面全部可一步到位安装 |
服务端的安装过程非常简单,可参考我们的帮助文件 |
|
授权管理 |
该功能实现了服务端的注册及解密控制台的授权控制过程。 |
通过该功能可达到我们的授信解密控制台的管理的目的。可设置若干个不同的解密控制台。 |
|
策略管理 |
该功能包含了全部策略/组策略/单机策略等配置管理功能。 |
要对公司/部门/个人进行不同级别的策略的配置,就必须通过该设置过程来管理。 |
|
系统设置 |
该功能是系统安装好后,进行的初始化设置过程,例如:服务器的IP地址,通讯的端口号,等等。以便客户端安装好后,能主动搜寻到服务端。 |
让所有的客户端可来正确的访问服务端。服务端才可正确的来控制每个客户端的策略机制。 |
|
组管理 |
根据公司的需要对公司进行分组的加密策略的管理。保证了公司的层次分明。策略管理更加清晰。 |
让组和部门有机的联系起来,便于以后的策略的管理。方便加密策略的正确控制。 |
|
客户机管理 |
对客户机进行删除或者手工增加的时候,该功能必不可少。让用户以任何方式(在授权数允许的情况下)进行客户机的多种方式的安装或卸载 |
便于进行客户机的多种方式安装,如:不联网时就手工安装,同时卸载客户机时,在线情况下,可让客户机方便地远程卸载。 |
|
日志管理 |
对于客户机产生的自动加密解密的过程进行自动搜集汇总管理。并可进行按时间按类别的分类的查询。让管理者非常方便的了解各客户机的文件加解密的过程。同时若客户机在离线的情况下,可通过导入日志的方式 |
供管理者查询整个加密系统的加解密过程。对文件的操作的一个行为记录的查询。 |
|
客户端安装及运行特征介绍 |
连网安装 |
连网的情况下,客户机可自动通过 网络内部访问产生安装许可号安装 |
该过程只要服务端开着,客户机就可自动安装完成,并通过 网络的方式自动写入服务端的客户机列表和安装许可号列表。 |
|
离线安装 |
离线的情况下,客户机需要通过服务端产生相应的授权安装许可号来继续安装 |
该过程需要事先对服务端进行配置客户机,然后产生一个安装许可号。才能实现客户机的安装 |
|
进程保护 |
客户机在加密客户端的环境里是显示的,但我们做了保护处理,用户无法关闭进程 |
不隐藏进程就会防止杀毒软件的隐藏提示。就可保证客户端的正常运行 |
|
打印控制 |
打印控制 |
可对加密客户端进行打印权限的控制 |
授权情况下,可进行打印,不授权情况下,不可进行打印 |
|
解密日志综合查询系统 |
手动加解密控制日志管理 |
所有通过解密控制台产生的解密信息,都记录到文件内容级别,包括哪台控制台解的密,什么时间,什么文件,都可进行还原 |
可让所有的行为都透明,可追溯泄密的源头。防止企业用户通过加解密控制的不透明泄密机会。 |
|
|
产品架构实现 |
服务端和客户机之间可联网也可不联网,不联网不影响客户机的正常使用,而客户机要离开公司运行,需要通过我们的商务授权管理功能 |
连网可方便地进行策略的在线配置,其他无任何控制,不连网也可独立运行,会降低企业加密产品的运行环境的要求。避免很多麻烦的出现。避免一旦掉网,掉网的客户机所有的加密文件无法正常打开,最终可能导致文件的破坏。 |
|
商务授权机制 |
商务授权控制 |
可对出差办公的 电脑进行时间限制控制。授权的时间里可正常使用加密的文件,而一旦时间超过则自动全部锁定,用户无权删除加密的文件。 |
让离开企业局域网的 电脑即可正常使用 电脑,又可进行正常的权限级别的控制,方便企业对外出 电脑的控制。 |
|
|
|
|
|
|
|
|
退出登录 
减小字体
增大字体
Fortune 排名前1000家的公司,每次电子文件泄露造成损失平均是50 万美元;