1、背景

随着信息技术特别是网络技术的发展，网络在人们的日常工作中发挥着越来越重要的作用。目前，大部分的企业或机关单位都组建了内部的局域网，实现了数据共享，在方便信息传递的同时，极大的提高了工作效率，内网已成为企事业单位日常工作不可或缺的重要组成部分网络开放、共享的特性，在面对来自系统内部和外部非法访问的时候，会使分布在各主机中的重要数据资源处于高风险状态。

这些安全威胁均无法通过防火墙、入侵检测和防病毒等传统安全手段消除。数据安全要立足于终端，从源头抓起，才能从根本上解决安全问题。同时，只有与应用系统（如 OA、ERP、CRM）紧密结合，才能做到有的放矢，真正有效地满足我国各行业的数据安全需求。

针对企事业单位数据所面临的潜在威胁，北京明朝万达科技股份有限公司按照“防内为主、内外兼防”的思路，自2005年推出Chinasec（安元）数据安全管理系统V1.0版本，2008年推出Chinasec（安元）数据安全管理系统V2.0版本，2012年推出Chinasec（安元）数据安全管理系统V3.1版本，2016年推Chinasec（安元）数据安全管理系统V3.2版本。

历经15年的市场洗礼和2000多企业用户实践检验，明朝万达公司推出的数据安全产品系列，诠释企业级内网和数据安全防护新标准。 

2. 核心功能 

2.1. 基础模块 1) 服务器热备：支持服务器双机热备功能，热备服务器的系统配置和策略配置都在主服务器上的控制台进行，支持配置热备服务器的名称、IP地址、支持的最大连接数。系统支持主服务器和热备服务器的自动和手动切换。 2) 服务器负载均衡：支持部署负载服务器以支持大型网络。3) 多级管理：系统管理员或已具有管理权的用户可将自己管理范围内的具体分组或者用户组的某些管理权限下放给其他用户，该用户可以对其权限范围内的用户和计算机进行管理。 4) 权限管理：按照三权分立原则，可将管理权限分为三个层面：管理员、 操作员和审计员。

2.2. 对象管理

1) 职位管理：支持职位信息的增、删、改、查等管理操作 。

2) 用户管理：通过用户管理模块，系统根据计算机使用者的身份可控制终端使用权限。将控制规则控制对象设定到个人后，可提高管理便捷性；与AD域账户同步，按公司部门建立用户管理树，可设置用户职位信息与职位关系。 

3) 终端管理：终端管理模块提供终端组注册、终端与用户捆绑功能，收集并显示已经安装了客户端软件的终端相关信息。平台支持PC终端和移动终端的管理（删除，修改，查询，挂失，卸载）。

4) 移动存储设备管理：支持移动存储设备的注册、信息展示等管理。

2.3. 业务功能 

1) 智能邮件加解密：邮件智能加密功能是对SMTP/POP3协议的邮件进行智能判断，实现内容扫描、禁止发送、加密发送或明文发送等方式的动态区分。

2) 移动存储介质管理：针对计算机客户端移动存储设备进行管理，实现了U盘、移动硬盘等移动存储设备完整的生命周期（注册、授权、使用、挂失与取消挂失、注销）管理与管控。

3) 文档安全管理：支持利用指定密级对文档进行手动加密和自动加密。 

4) 外部设备管理：实现对常见外设的实时开启或者关闭。

5) 网络安全管理：包括应用程序外发管控、HTTP 协议外发管控、应用程序网络连接管控等。

 6) 终端扫描：终端扫描控制包括全盘智能扫描、手动扫描、文件外发扫描、HDLP 统计报表等功能。是指通过对终端本地文档和外发文档内容的扫描，根据预先定义的规则，对文档进行分类分级，以及进行后续加密或审计等处理。

 7) 应用保护：应用保护系统以用户的核心信息应用系统为边界，任意格式的文档一旦脱离该系统，就会被自动加密并设置使用权限。使用者在未授权时，无法将文档下载或外带。 

8) 流程审批：通过流程审批系统，可满足用户业务中的一些需要审批的使用场景。审批流程可灵活设置，用于文档权限提升、文件外带等。 

9) 文件外发：对文件发送到非可信环境提供各种类型的管控手段，包括明文外发功能、文件外发监控与告警功能、文件外带包等各种使用场景。 

10) 虚拟安全环境：虚拟安全环境（VSE）主要针对本地存储数据、移动存储数据、网络传输数据等进行管理，实现用户只使用一台计算机即可实现普通工作环境或者多个安全隔离环境切换使用。 

11) 虚拟安全桌面：虚拟安全桌面（VSP）采用沙箱技术，在用户终端上模拟出一个或多个虚拟的安全桌面。用户在访问内网敏感数据的时候，必须要进入安全桌面才能访问。 

12) 数据保险箱：为终端提供安全文件夹，实现透明加解密和文件权限管控的功能。支持对接云盘，提供数据云端安全存储，支持文件使用与编辑、文件自动备份、文件导入、文件共享、文件导出及审批。提供文件全生命周期流转日志展示和查询。 

2.4. 升级管理  

平台提供了多种升级方式，具有升级方便、更新及时的特点，使管理员可 按照预先设定的升级方式实现全网内的统一升级。 

 2.5. 日志管理 1) 日志查询：客户端和管理员操作产生的日志会自动保存在服务器上，在控制台上可查询日志和统计信息。 2) 审计报表：日志可以依据时间为标签进行实时手动完整备份、特定时间周期备份，报表显示内容分为数据表格、饼状图、柱状图和线状图四种形式。 

2.6. 授权管理 授权文件是产品有效性的来源，根据用户需求产品可以进行灵活的授权变更。除了第一次部署时可根据授权实现不同功能的组合外，在用户后期扩容、增加新功能和授权到期进行续授权时，均可通过授权系统实现。 

3. 性能指标 系统兼容性：兼容 WinXP、Win7、Win10 操作系统算法兼容性：支持国密 SM1、SM2、SM3 及 SM4 等算法，兼容国际主流标准加解密算法 透明加解密：支持 Word、Excel、PPT、PDF 和 WPS 等类型文档透明加密 单台负载并发在线连接数：2500（4 Core/16G RAM） 

4. 产品形态 产品采用平台化设计，由核心业务服务器、文档服务器、日志服务器、安全接入服务器和控制台、客户端程序组成。安全接入网关、安全邮件网关、安全应用网关、服务器加密设备和客户端加密硬件等安全设备可直接无缝嵌入平台。 

5. 部署方式 Chinasec（安元）数据安全管理系统包括各类服务器（Server）、WEB 控制台（Management Console）和客户端代理（Agent）三部分。其中服务器分为文档服务器、邮件服务器、状态服务器、策略服务器等。各服务器与 Web 控制台可部署在同一设备上。根据具体业务需求还可选配安全接入网关。

基于整个统一平台，Chinasec（安元）数据安全管理系统的全系列产品能够相互配合， 并保证占用最少的系统资源和网络资源。 

服务器（Server）是数据安全管理系统的核心组成部分，是所有策略的存储中心，也是系统运行和维护中心。在服务器上存储用户组织体系、策略以及日志等信息，并支持服务器级群部署；服务器也可可拆分为业务服务器、数据库服务器、文档服务器和日志服务器等进行单独部署，以提高系统性能。所有服务器需要授权后才可正常运行相应功能。 

客户端代理（Agent）运行在数据安全管理系统需要控制的计算机终端上，该客户端代理采用安全的方式接受服务器的统一管理，接收服务器下发的策略，并通知相应的功能模块执行相应操作。

所有的 Chinasec（安元）数据安全管理系统系列产品的系统，其功能模块都可通过平台的核心代理引擎与服务器进行通信。 WEB 控制台（Management Console）是数据安全管理系统的管理界面，用于实现对服务器（Server）的管理，它是整个平台的控制中心，平台中的各个系统都集中在 WEB 控制台中展现。管理员通过 WEB 管理平台对客户端和各子系统进行配置、管理。

6. 产品特点 

6.1. 以数据加密技术为核心 Chinasec（安元）数据安全管理系统以多年自主研发的数据加解密技术为核心，结合身份认证和访问管控等多种技术手段，为用户打造完善的数据安全体系。平台支持 PKI 体系数字证书，支持国密 SM1、SM2、SM3 及 SM4 等算法，兼容国际主流标准加解密算法，实现本地存储数据加密、移动存储数据加密、文档加密、邮件加密、业务应用数据加密和数据传输加密等丰富的加密功能，密钥体系严格遵守国家商用密码规范要求，并通过了国家保密局、国家密码管理局等权威机构的认定。 

6.2. 全IT架构统一管理 平台可以实现对传统 PC 终端、云桌面及虚拟化终端和物联网设备等各种终端的统一管理，有效应对企业 IT 架构的快速变革与延伸，实现全 IT 架构下数据安全的协调联动管理和异构终端统一化管理。通过设定互通的应用，管理员可授权从不同的业务系统下载的加密文档，在不同的业务系统内相互流转，从而实现业务系统内的数据安全互通，极大提高IT安全管理人员的工作效率。 统一设备管理，同一平台上可展现不同设备特性； 统一身份管理，支持身份在不同终端上漫游； 统一密钥管理，加密文档在不同终端上流畅互通； 统一日志审计，集中查询、统计。 

 6.3. 高效可配置的部署模式 Chinasec（安元）数据安全管理系统支持服务器集群部署，对平台中的业务服务器、数据库服务器、文档服务器和日志服务器等均可进行单独部署。策略分发、日志处理、数据库存储和 Web 访问、身份认证等服务均支持分布式管理。平台具备双机热备和负载均衡功能，最高支持百万级数量的用户。 

6.4. 与现有业务系统灵活对接 Chinasec（安元）数据安全管理系统采用层次化的设计实现了高扩展性，支持企业现有的各种标准接口，并提供跨平台、多层次的安全中间件，通过安全中间件可与企业现有平台上的各种业务系统进行安全无缝结合。分层设计架构，在加固企业业务系统安全的同时，不改变、不影响企业既有业务系统正常运作流程，减轻员工培训成本。 多层次：业务层、基础层、系统层，硬件设备层； 多接口集成：4A、LADP、SSO、CA。 

6.5. 最小化资源占用 在提供持久稳定运行能力的同时，服务器和客户端系统资源占用最小化，是平台追求的目标。资源占用最小化需要降低 CPU、内存使用率和第三方程序库的依赖度等，为了达到这个目标，平台进行了多方面优化，减少冗余运算和操作，采用内存重用技术，减少产生的系统内存碎片，最终降低耗费的系统内存资源。在架构设计中，平台尽可能自主化实现各功能模块，最大程度降低对第三方程序库的依赖。