比较各个加密软件,下面的一些加密软件技术参数可以成为中大型企业选择加密软件进行招投标可以参考的意见。 | |||
表中“★关键参数”部分参数为强制要求,“其他参数”部分作为参考,不做强制要求;投标人所投设备必须严格满足“★关键参数”要求,不应有任何偏离,否则将影响评标结果。 | |||
技术指标类别 | 参数属性 | 技术参数项 | 技术指标具体参数 |
系统架构 | 其他参数 | 软件架构 | c/s,三层架构 |
其他参数 | 服务器端系统支持系统 | win2003(32,64),win2008R2(64) | |
★关键参数 | 客户端系统支持系统 | win2000,winxp(32位,64位),win2003(32位,64位),win7(32位,64位) | |
性能要求 | ★关键参数 | 兼容性 | 与本企业内部各种应用软件、防病毒软件、防火墙不产生冲突及不影响其正常使用; |
★关键参数 | 资源消耗 | 系统资源占用小,使员工不会觉得慢、不会改变员工的操作习惯,不影响工作效率; | |
加密技术 | ★关键参数 | 动态加密模式 | 需要支持多种动态透明加密模式,至少包括如下8种模式:特定格式加密模式、特定目录加密模式、特定格式不加密模式、特定用户不加密模式(但需要可以修改和查看别人的密文即高级别模式)、特定用户不加密模式(可以查看别人但不能修改别人密文即阅读者模式)、U盘等外设加密模式、网上邻居网络加密模式、手动加密、全盘加密; 这些加密模式可以赋予不同的用户或者用户组; |
其他参数 | 静态加密模式 | 软件需要能支持静态加密模式,由控制台对文件服务器上的文件进行远程批量加密,并赋予不同用户不同的阅读权限;或者由控制台对客户端电脑上的历史文件有选择的进行批量加密处理; | |
★关键参数 | 加密算法 | 必须是对称加密和非对称加密相结合技术,其中对称加密算法使用SM相关算法,非对称加密算法使用RSA相关算法; | |
★关键参数 | 加密安全性 | 加密技术需要能实现一文一密钥的效果,以保证加密文件的安全性; | |
★关键参数 | 加密扩展性 | 系统对新的应用程序的加密不需要进行任何二次开发,以保证加密系统的扩展性; | |
泄密途径控制 | 其他参数 | 剪切板的控制 | 系统可以控制对剪切板的管理,允许特定程序使用剪切板,没有被允许,则无法使用剪切板; |
其他参数 | 截屏的控制 | 系统可以控制截屏软件的使用,如不能使用qq截屏工具; | |
其他参数 | 远程协助的控制 | 系统可以限制客户使用qq等远程协助工具,从而防止数据被泄密 | |
文件权限管理 | ★关键参数 | 权限颗粒度 | 可以控制文件的权限颗粒度包括:只读、写入、打印、删除、重命名、下载、离线、复制、以及其他高级属性如次数、时间; |
★关键参数 | 以用户为角色进行文件权限管理 | 对用户(组)之间的文件权限关系进行定义之后,用户创建的文件,以任何方式包括邮件、U盘、网上邻居共享等流转给其他用户的时候,其对文件的权限接受之前定义的用户相互之间的文件权限关系的约束;对文件权限的管理,需要对用户将来新产生的文件不经设置即可控制的效果; | |
其他参数 | 以文件为角色进行文件权限管理 | 用户可以对文件自行设置针对其他用户的特定权限,然后通过其他任何方式分发给其他用户,其他用户对文件的权限接受被设置的颗粒度的约束;对文件权限的设置,不接受需要将文件上传到加密系统对文件进行权限设置才能管理的模式; | |
其他参数 | 文件服务器等历史文件批量权限制作 | 系统管理员可以对文件服务器等大量的历史文件进行加密并进行针对具体用户的权限设置; | |
文件密级管理 | ★关键参数 | 用户密级的区分 | 系统可以对用户进行密级的区分,区分为普通、秘密、机密用户 |
★关键参数 | 文件密级的区分 | 系统可以对用户产生的文件进行密级的区分,区分为普通、秘密、机密文件 | |
★关键参数 | 密级文件的分发 | 当低密级文件流转到高密级用户的时候,可以自由的进行;当高密级文件流转到低密级用户的时候,需要审批后才能流转; | |
水印技术 | 其他参数 | 强制制作水印 | 系统可以设置具体用户产生的文件采用公司设定的水印内容; |
其他参数 | 自定义制作水印 | 系统可以允许特定的用户自己定义文件的水印内容; | |
打印控制 | 其他参数 | 打印的控制 | 系统可以控制用户对文件的打印权限; |
电脑外设控制 | ★关键参数 | 外设管理的策略 | 系统可以管理的外设包括3G上网卡、USB数据存储设备、串口、并口、红外、蓝牙、1394、光驱等外设接口;其中可以实现对usb数据存储设备如U盘、移动硬盘实现禁止使用、单向使用、双向使用策略; |
★关键参数 | 外设注册、认证 | 系统可以对USB数据存储设备分别进行注册和认证,结合管理策略,实现USB数据存储设备不同用户的管理策略; | |
★关键参数 | 优先级区分 | 系统可以对用户或者工作站电脑授予不同的管理策略,并在不同的场合启用不同的管理策略; | |
★关键参数 | 外设加密 | 系统可以实现用户将数据copy进入USB数据存储设备数据时候自动加密; | |
★关键参数 | 外设操作审计 | 系统可以实现对通过外设的操作进行日志审计,尤其是可以实现对通过USB数据存储设备copy的数据进行具体内容的审计; | |
信息资产管理 | 其他参数 | 信息资产查询 | 系统可以供用户查询和统计客户端电脑的软硬件信息资产状况; |
其他参数 | 信息资产变更记录 | 系统可以记录客户端电脑的软硬件信息资产变化状况; | |
解/密审批管理 | ★关键参数 | 用户可以申请解/密或者权限变更选项的多元化 | 系统可以提供永久明文邮箱审批、文件导出审批、邮件外发审批、外设外发审批、外发控制审批、权限共享审批等多种审批方式供用户自由选择使用以方便数据的解/密或者获得权限; |
★关键参数 | 审批方式的多元化 | 系统需要支持自定义审批流程,流程支持设置为串行审批、并行审批,审批级数根据管理架构自由调整;系统支持审核者在必要时候采用自动审批,系统支持高层审核者在前面审核者不在场的情况下进行提审操作,以保证审核的及时处理; | |
★关键参数 | 审批提醒方式的多元化 | 系统需要提供如下几种审批消息提醒方式:气泡消息、邮件、短信; | |
★关键参数 | 审批状态查看 | 系统用户可以让申请者、审核者均可查看审批状态; | |
离线控制管理 | ★关键参数 | 软key证书离线管理 | 对出差等离线用户,可以提供软key证书让用户在离线状态下登陆进入加密系统; |
★关键参数 | 硬件key证书离线管理 | 对出差等离线用户,可以提供硬件key证书让用户在离线状态下登陆进入加密系统; | |
文件外发控制 | ★关键参数 | 文件外发制作和格式 | 系统支持用户制作不需要客户端的控制文件,文件格式不受限制,文件可以被没有安装系统客户端的电脑用户阅读和使用; |
★关键参数 | 外发文件控制参数 | 外发文件的控制参数需要支持:密码、截屏控制、内容复制控制、使用次数、使用时间、打印、绑定计算机等参数; | |
★关键参数 | 外发文件时间控制参数 | 因为在不绑定电脑的情况下,用户可以将外发控制的文件复制给不同的用户从而使用次数等参数会流于无效,但外发控制文件的使用截止时间不管文件被发送给多少人,其截止使用的时间都必须有效,并且不能通过调整操作系统的时间使该时间控制失效; | |
应用系统融合 | ★关键参数 | 不改变网络结构的融合方式 | 系统提供一种方式,可以实现密文上传到应用服务器上自动解/密为明文,下载到客户端自动加密为密文;该方式不改变网络结构,不需要增加硬件设备; |
其他参数 | 改变网络结构的安全网关融合方式 | 系统提供一种方式,可以实现密文上传到应用服务器上自动解/密为明文,下载到客户端自动加密为密文;该方式可以改变网络结构,需要增加硬件设备; | |
管理端分级管理 | 其他参数 | 管理端的权限分级 | 系统提供的管理端可以设置不同级别的管理端,不同的管理端可以赋予不同的管理权限; |
其他参数 | 管理端管理的用户分级 | 系统提供的管理端可以设置不同级别的管理端,不同的管理端可以赋予管理不同的用户、用户组; | |
审计端分级管理 | 其他参数 | 审计端审计内容 | 系统可以提供用户的系统登陆日志、文件操作日志、申请审批日志等操作日志,以及管理端的登陆日志、策略设置日志等操作日志; |
其他参数 | 审计端审计用户分级 | 不同的审计端可以被设置为只能查看不同的用户(组)、管理端的操作日志; | |
操作预警 | 其他参数 | 操作预警自定义 | 系统可以对用户、管理端的一些具体操作行为进行定义,当有这样操作行为的时候,系统可以进行预警; |
其他参数 | 操作预警的提供方式 | 系统进行预警的方式包括短信、邮件、界面等; | |
软件自我保护 | 其他参数 | 用户卸载 | 用户无法自行将系统卸载,需要卸载必须通过管理端执行; |
其他参数 | 用户退出加密环境 | 用户无法通过终止软件进程的方式退出加密环境; | |
系统登录方式 | ★关键参数 | 多种登录方式 | 系统可以提供多种登陆方式,供管理根据需要采用不同的登陆方式进行管理:强制登陆、自动登陆、离线登陆、单点登录等等; |
★关键参数 | 系统的单点登录 | 系统提供和AD域控集合的单点登陆方式;系统提供和AD域控以外系统集合的单点登陆方式 | |
账号和组织结构继承 | ★关键参数 | 激活式AD域控账号继承 | 用户使用域账号登陆进入操作系统时,安全管理系统就可以自动继承该AD域控账号; |
★关键参数 | 导入式AD域控账号继承 | 系统支持批量导入的方式继承AD域控账号和组织结构; | |
★关键参数 | 其他应用系统账号继承 | 系统提供集成其他应用程序账号和组织结构的方式; | |
产品资质 | ★关键参数 | 产品资质必备 | 公安部信息安全专用产品销售资质、保密局涉密产品检测证书、商密产品销售资质、商密产品生产资质 |
产品生产厂商资质 | ★关键参数 | 厂商资质必备 | 产品生产厂商须有CMMi3级资质、高新技术企业资质、系统产品须有国家创新基金的支持 |
自主知识产权 | ★关键参数 | 具有自主知识产权 | 产品须有著作权、商标、专利证明 |
代理商资质 | ★关键参数 | 代理商授权 | 代理商须有生产厂家的授权证明文件 |
售后服务 | ★关键参数 | 本地化服务 | 或者由厂商提供本地化服务或者由代理商提供本地化服务 |
