金融电子信息文件数据安全加密需求深圳石油化工交易所提供

附件二深圳市石油化工交易所电子信息文件数据安全加密建设项目需求汇总1系统整体要求1.客户端数：100个，可扩充至500个。2.文档加密系统可升级，升级后的软件产品支持对低版本产品加密文件的解密，且保证解密文件数据正确无损。新旧版本软件要能相互兼容。升级方便。3.提供的软件版本为成熟版本，可以长期稳定运行。禁止提供未成熟版本产品。4.拥有独立知识产权。5.支持全局设置和个性化设置。6.支持主流数据库：MS-SQL7.支持CA认证模式。8.系统内部具有强大的二次开发工具。9.系统提供日志报表输出功能。10.完整的系统备份功能，可以在系统崩溃后很快恢复系统。11.具有多级组织管理功能。12.完善的售后服务和培训体系。附件二2文档加密系统功能及系统间集成要求1、可实现客户端的文档在编辑保存时强制加密，在打开文档时自动解密。2、客户端文档加密系统支持windows2000及以上的32、64位操作系统、Linux系统（windows2000，windowsXP，windowsVista,windows7、Linux等）。3、服务器支持：WINDOWS2000、2003、2008SERVER、Linux、UNIX等系统；4、文档加解密效率：以加密/解密100M文档为例，加密/解密时间应小于5秒。5、加密文件解密后，文件数据损坏率应小于万分之三。6、文档加密支持格式：1)、无论是采用应用层加密模式还是驱动层加密模式，都应支持*.*格式文档加密(均需支持从最简单的office文档到最复杂的源代码编译平台所产生的文件合适)、应用范围不限于国内开发的应用软件，即：无论是国内开发的应用软件还是国外开发的应用软件，理论上均需通过服务器端提供的策略库由用户自主设置，无需厂家参与，特殊情况需要调试的除外。2)、无论是应用层厂商还是驱动层厂商、均不得把加密策略库固化，遇到新增软件，在绝大多数的情况下不需要厂家参与，客户即可自主添加策略。7、支持批量文件的加密和解密。8、对文档的保护应涵盖存储（USB、光盘、软驱、ZIP盘等）附件二或网络（Email、FTP、Windows共享等）或是其它传输介质与方法（红外、蓝牙等）。9、具有对加密文档操作控制功能:拷贝粘贴及拖拽控制：允许从外部复制进受控文档，但不允许从受控文档向外复制粘贴（包括邮件或者即时通讯工具），用户在受控文档间的拷贝粘贴、拖拽均可正常使用。10、用户权限管理：可对用户进行权限划分，角色划分，对分发文档具有阅读、编辑、打印的权限控制。对外发文档除了上述功能外还需加上时间限制以及次数限制功能，该文档超过一定时间或打开次数就无法再使用，而且对于作者可实行再授权功能。11、针对特殊人群实现文件自动授权，如针对集团领导自动开放所有权限等。12、具有日志审计功能:用户端对文档的任何操作都有详细的操作日志，其检索功能对文档的非法操作能快速定位。13、具有流程设定和流程审批功能,完成加解密流程、授权权限的审批功能，具有流程失效处理机制。14、能够对设定加密文档流转的范围，在流转范围（某个部门或组）内的用户可以正常查看加密文档，但不在流转范围内的用户无法查看加密文档。15、能够灵活设置和应用加密策略、文档打印策略、脱机（外出人员）策略、终端文档控制（文档另存、拷屏、剪切等）策略，文档权限（阅读、修改、删除等）划分策略、文件备份策略等。附件二16、支持对多密钥机制，不同部门、不同策略可采用不同密钥管控。17、客户端管理：用户终端的自我防护、客户端程序及加解密模块不能轻易的在非认证或授权的情况下被终止或激活。系统能控制客户端的打印、截屏、录屏等功能，但此功能仅限于对受保护的文档进行控制，而非受保护的文件使用还是灵活的。18、对客户端的配置可针对不同群组进行策略设置，并可主动推送配置和安装操作。19、可配置新增文件格式的加密操作。20、离线管理功能：员工因工需要挟带笔记本出差或在出差过程中需要对一些密文解密外发时系统应提供一套完整的离线管理和解决方法。21、能够与公司目前的网络环境（防火墙、杀毒软件等、网络硬件设备）兼容。22、能够实现二维（AutoCAD等）、三维设计软件（Pro/E等）的集成。23、支持与Windows域集成。24、能够与公司业务环境内现有信息化应用系统的集成。25、与现有的主流应用系统实现无缝集成，集成方案需要采用硬件集成的松耦合方案，使得数据在服务器中明文存储、客户端密文存储，提供两者之间的自动转换。26、所有办公文件载入应用系统后台均需明文存储，以保证办公附件二系统的正常运行；27、用户从应用系统中下载办公数据时，无论用户是否安装有加密终端均需实现密文下载，保证数据使用安全；28、确保自身运维的稳定性、安全性和高效性，支持双机运行。29、可配置与多个应用系统安全集成。具体需求如下：A、需要实现应用服务器数据明文存储、客户端密文存储，提供两者之间的自动转换。B、在不对服务器进行改动的情况下与PDM、CAPP、OA、ERP等应用系统集成，以适应未来发展。C、不能影响浏览器对其他应用系统的访问。D、有多种接入模式，包括串联、并联，以适应企业的网络环境E、可支持多种操作系统的应用平台，包括windows、linux、unix等F、保证在传输过程中数据是加密的，以防止在传输过程中造成的数据泄漏G、确保自身运维的稳定性、安全性和高效性，支持双机运行；H、加密网关可配置与多个应用系统安全集成；I、所有载出应用系统的办公文件均由硬件加密网关自动加密后提交用户使用；30、系统灾难应急措施：系统服务器出现硬件故障或系统崩溃时应确保在故障恢复附件二期间客户端的正常使用，应具有应对紧急情况需要对文档解密时的应急措施。31、文档加密算法必须是国家密码管理局允许的密码算法，可扩展其他加密算法。32、通过策略设置，能防止代码直接读取内存，能够防止伪进程骗取。33、系统技术指标要求序号指标项目要求描述1基本要求1.1成功案例1)在国内拥有1000家以上成功案例；2)在深圳本地拥有至少3家成功案例，并提供案例名称，联系人。3)在国内拥有5家以上成功实施2000点以上客户经验（需提供合同复印件）；4)在国内成功实施全国性架构的客户案例。1.2系统支持1)服务器应支持：WINDOWS2000/2003/2008SERVER；2)数据库应支持：MS-SQL2000/2005/2008、等3)客户端应支持：WINDOWS2000、XP、VISTA、2003、windows7、Windows8等主流操作系统。支持32/64位操作系统。1.3方案完整性提供的文档内容加密、存储设备加密，以及加密文档与在线管理系统数据交换安全方案均由同一加密厂商作为统一解决方案提供；1.4产品架构1)加密系统需采用C/S架构；2)加密系统需支持B/S管理；1.5兼容性与现有内网信息化系统兼容2文档加密附件二2.1加密算法1)加密系统需支持如下通用加密算法，如AES、RC4、RC5等；2)加密系统需支持用户自主设置高强度加密密钥，同时也支持系统随机创建高强度加密密钥；2.2加密技术1)加密系统需确保加密机制的安全、高效和稳定；2)加密系统即使在安全模式下工作，也需提供同等加密保护；2.3加密范围加密系统需体现应用无关特性，不限制用户的加密应用范围，用户可自主设置需要加密保护的数据类型和应用；2.4加密特征1)加密系统需对加密文件进行有效视觉区分，并可通过策略控制灵活实现是否启用该区分；2)在使用加密文件时，对用户完全透明，不改变用户工作习惯，不改变应用软件界面和菜单形态；2.5密钥管理1）系统支持多密钥，不同的部门、不同的策略可以采用不同的密钥管控。2）根据要求，提供密钥合并技术，通过自动合并不同管理人员设定的密钥段来强化企业密钥。3离线管理3.1离线安全用户办理离线申请后，可实现授权文档的离网安全使用；根据用户安全需要，可以结合离线USB-KEY双认证方式实现离网文档安全；离线控制时，将采用独立计时器进行控制，与用户系统时间无关，防止用户通过修改系统时间所带来的安全隐患3.2离网补时管理员可以根据业务需要，对接入我公司网络的工作人员支持离网状态下的密文使用，并能够通过补时策略来实现安全续期4权限管理4.1权限归档文档管理员可以将任意用户的权限文档进行权限归档，将文档权限回收服务器控制4.2权限转移文档管理员可以将任意用户的权限文档进行权限转移，方附件二便用户离职或其他情况下工作延续4.3权限删除文档管理员可以将任意用户的权限文档进行权限删除5对外发布安全5.1外发文档认证密级提供访问口令、机器码绑定、硬件KEY绑定等可选认证密级；5.2外发文档权限控制提供只读、打印/打印水印、修改、只读次数、只读时限等可选权限控制5.3外发文档回收还原提供对外发数据的还原功能，可对外发数据进行明文恢复5.4外发文档使用方式外部合法用户无需安装任意插件、客户端、浏览器即可使用外发数据;5.5外发文件自动销毁对外发的文件权限用完后文件实体可自动销毁。6认证集成6.1身份管理平台集成加密系统需与现有身份管理平台进行集成，实现一体化身份认证和同步；6.2其他平台集成考虑到后续信息化改造，加密系统需支持与AD、CA、ED等LDAP协议目录树进行集成；7策略管理7.1策略化管理1）加密系统所有安全控制均通过策略配置实现；2）可以针对用户、部门定制安全策略；7.2开放式策略库1）加密系统需完全对用户开发策略库编辑功能，用户可自主完成策略的定义和下发；2）新应用策略的拓展无需加密系统厂商定制化，应采用通用化设计；3）应用环境的升级、变更时，加密系统无需开发，可支持兼容支持或调整策略配置即可支持；7.3备份策略可根据需要对指定类型的文件进行备份，通过底层驱动将备份的文件隐藏，在文件丢失情况下通过终端授权方式将附件二文件恢复；8系统升级和技术服务8.1本地化服务1）加密系统厂商需提供本地化服务平台；2）需在用户周边地区设置有办事处、技术支持中心等服务机构8.2系统安装和升级1）加密系统安装需支持本地安装、远程推送、域分发等；2）加密系统产品需支持系统级在线升级；8.3后期服务1）提供一年的系统软硬件保修和运维服务、免费软件升级、补丁服务、现场应急响应服务；9内容安全9.1阅读浮水印加密系统需支持对加密文件添加阅读浮水印保护，防止非法用户通过屏幕打印、拍照等方式窃密；并支持用户自定义浮水印内容；9.2打印浮水印加密系统需支持对加密文件添加打印浮水印保护，防止非法用户扩散泄密；并支持用户自定义浮水印内容；9.3内容安全控制1)加密系统需支持对加密文件提供如下内容安全控制，如复制粘贴、打印、拖拽、拷屏等保护；2）加密系统能通过策略配置实现对内容安全控制的启用和禁用；9.4例外控制1）加密系统能设置剪切板白名单，方便将敏感数据内容拷贝至指定应用文件中；2）加密系统能控制剪切板白名单容量，防止用户利用例外策略恶意泄密；10流程支撑自动解密审批流程1）加密系统需提供自动解密审批流程，对于用户提交的解密申请，审批人员在线审批通过后文档将自动解密并存档；2）可按照需求进行多级审批设定；3）支持审批分级，在降低系统管理员工作量的同时可防止审批人员越级审批附件二离网办公审批流程1）加密系统需提供离网审批流程，对于用户提交的离网办公申请，可以支持审批人员审批通过后，用户能够自动获取离网办公策略；2）需支持审批分级，在降低系统管理员工作量的同时可防止审批人员越级审批；3）对于超出预设期限的离网申请，审批人员可通过发送离线补时策略完成离网补时；终端卸载审批流程1）加密系统需提供卸载审批流程，对于用户提交的卸载申请，审批人员在线审批通过后用户才可完成卸载；2）需支持审批分级，在降低系统管理员工作量的同时可防止审批人员越级审批邮件外发审批流程1）加密系统需提供邮件外发明文审批流程，对于用户提交的邮件附件外发申请，审批人员在线审批通过后加密系统将集成邮件系统实现明文附件自动发送；2）需支持审批分级，在降低系统管理员工作量的同时可防止审批人员越级审批11管理分级11.1系统管理分级加密系统需支持设置分级系统管理员