一、产品概述

TDSM-DSM是一款功能强大且易于使用的文档安全管理软件，该系统可采用128、256位高强度加密算法实时加密文件，综合集成了动态文档加密技术、身份认证技术、硬件绑定技术等多种技术对指定类型的文件进行实时、强制、透明的加解密。并能对文档进行细分化的权限设置，确保加密信息在特定授权范围内进行指定操作。通过文档强制加密和实时权限控制，为企业提供安全授权下的机密信息共享机制，有效防止数据丢失或泄露，有助于更深入、更全面地实施数据保护，从而确保企业机密数据的高度安全。

TDSM-DSM的加解密操作完全是动态的、后台透明实现的，无需用户手动操作，对用户完全透明，不改变用户操作习惯，只要用户有改写磁盘的操作，那么预先选定的文件类型就会被自动加密或是解密，用户感觉不到加解密过程的存在。这样既节省了用户时间，同时也达到了保护文件的目的。同时，通过对核心文件进行权限控制，可以防止重要文件内部扩散，未安装客户端的计算机无法查阅加密文档，需要与外部用户交流时，用户可登录出口管理将加密文件解密成明文外发，也可登录外发管理平台以密文的形式外发。

TDSM-DSM采用B/S、C/S混合架构；系统由服务端（验证服务、日志服务、更新服务、文件授权服务、系统管理控制台）、运行客户端组成。适用于任何基于TCP/IP协议的网络体系（局域网或广域网）。C/S结构是由客户端软件和服务控制台构成，而B/S结构则是指客户端及服务器端上通过浏览器（Browser）操作、维护TDSM-DSM服务器系统，兼顾两种结构的优点又方便用户操作。

以下是系统结构图：

服务器负责系统的维护和管理，系统划分系统管理员、终端管理员、日志管理员等多种角色，系统管理员负责终端的管理、用户和组织结构的划分和维护、日志的查看、安全策略的制定，日志管理员负责日志的维护和报表输出，终端管理员是二级管理员，负责部门的终端维护和加解密策略的分发。 在安装有TDSM-DSM的客户终端，使用者所生成的重要文件将自动加密保存。企业管理者可控制使用者对文档的读取、存储、复制、拷屏、输出的权限。从而防止使用者之间非法复制、外部发行、光盘拷贝。杜绝利用U盘、软盘、光盘、电子邮件等轻易地拿走公司的技术文件、设计图稿、财务帐目、战略计划、事业计划、研究论文等机密文件。 TDSM-DSM采用分级管理模式，系统管理员可以设定不同的子管理员（如：超级管理员、文件管理员、分级管理员等）。客户端登录时，直接使用Windows当前登录的域用户帐号或者本机帐号作为TDSM-DSM文档安全系统的帐号进行校验。可以针对对公司内部域管理模式设置系统的权限，也可以根据公司架构设定多个子管理员进行管理。

二、产品功能

·智能透明加密

系统采用国际先进的高强度加密算法进行文档加密，加解密过程智能透明，不会改变用户的任何操作习惯，也不改变原有信息的格式和状态。同时，系统还具备严格的进程签名机制，能够准确识别未经授权的非法进程，大幅降低了数据泄露的风险。

·细粒度权限管理

系统具备完善的权限管理机制，授权方式相当灵活，可设定不同用户的只读、修改、复制、打印等权限，文件作者还可将部分文档管理权限授予用户。另外，作者可以根据需要设定文档的使用时间和打开次数，实现对文档权限更为全面精准的控制。

·密级控制

企业在文档安全管理系统中可以根据文件管理需要定义文档密级，可按部门或角色设定密级，也可按文档机密程度进行分级，如通用、保密、机密、秘密、绝密等，从而控制加密文档在企业内部的打开权限、打印权限、密级调整权限以及文档解密权限。例如：可定义部门领导只能解密本部门文档，而企业高层领导可解密所有密级文档。

·终端离线办公

TDSM-DSM可远程制作、发放、更新与卸载离网许可，设定涉密客户机离线策略，包括离网使用时效、次数等。

同时，TDSM-DSM提供文件离线外发功能，允许使用者将加密文件（无需解密）发送到企业外部，外部使用者可按规定的时间和次数来使用该加密文件而不能进行二次传播。

·数据外发控制

与外界进行频繁的信息沟通已成为公司必要的一种业务模式，这些交互的信息可能会涉及企业核心信息，而这些信息一旦流出企业就面临着失控的风险。为了解决对外业务交互的后顾之忧，在企业文档安全体系中，我们提供信息对外发布技术方案，其特点如下：

通过外发系统发布的信息，用户可以自定义信息访问密级，使外界严格按照预设密级权限使用信息，在加密的同时，对信息进行安全控制，防止信息扩散；

外界用户无需安装任何插件就可直接阅读外发信息；

能够严格控制外发信息的使用权限，如读取次数、时间、打印控制等；

·详细的日志审计

所有用户（包括管理员在内）的任何操作，系统将自动监控、跟踪并进行记录，通过日志审计功能，提供完备的日志管理，可记录文件日志、管理日志、打印日志、授权日志等详细日志，并提供日志查询、导入、导出功能。管理员可以随时查看系统运行情况，能够及时发现一些异常操作，从根本上降低数据泄露的风险。

·故障容错

TDSM-DSM允许在发生网络连接意外(如交换机故障、服务器硬件故障或网线连接故障等)时，利用故障保持功能保证客户机在故障期间的正常使用。同时，TDSM-DSM允许当主服务器发生硬件或系统故障时，所有客户机自动连接至备用服务器，从而保障工作的顺利进行。

·自动扫描

对涉密客户机上的历史文件，TDSM-DSM提供文件初始化加密功能。TDSM-DSM自动对涉密客户机上的指定格式文件进行自动的全盘扫描并加密，无需人工干预。

三、产品优势与特点

·国密算法支持

TDSM-DSM采用数字版权保护(DRM)理论技术，采用国家保密局指定的SSF33加密算法，以256位密钥结合硬件环境，针对不同的操作系统和应用软件进行加密控制，同时允许企业自定义密钥。TDSM-DSM所控制的文件在保存(和自动保存)过程中，自动给文件注入密钥信息而形成加密文件。该种加密方式符合国际密匙原则，破解级别达到3级(说明：1级最高，5级最低)。

TDSM-DSM通过对内存进行安全保护，防止非涉密程序的读取操作，确保涉密信息不被泄漏。

TDSM-DSM保证企业密钥全球唯一，即使是同样安装TDSM-DSM的另一家企业，也无法浏览和操作本企业经TDSM-DSM加密的文件。

同时，TDSM-DSM允许企业自定义密钥。企业自定义密钥后，即使开发商也无法解密该企业加密文件。

·自身安全性

在安全性方面，系统采用“驱动级终端保护技术”，对终端程序安装目录、常驻进程以及注册表等进行安全保护，防止用户恶意破坏终端运维服务和配置环境。客户端的卸载必须通过严格的认证机制，一旦有用户通过非法手段强制移除或终止客户端，加密终端驱动将自动转入安全自保护模式，系统进入只加密、不解密的安全保护状态，有效确保所有加密文档的存储和使用安全。同时系统还支持服务器统一下发安全补丁，实现客户端的自动更新，及时修复可能存在的安全漏洞，加强数据安全防护力度。

· 权限动态控制

系统支持动态文档权限控制，持久保护文档安全，作者可以实时更改和回收文档权限，实现对权限的动态控制。只有经过授权的用户才能在授权范围内使用机密文件，在没有任何权限的情况下无法打开文档。管理服务器集中保存文档权限，客户端只存放加密内容，服务器与客户端之间没有过多的内容交换，通过https建立安全连接仅仅是传输身份认证及权限信息，在保障系统高度安全的同时实现对文档权限的实时控制。因为权限是保存在服务器上的，所以修改后可以马上生效，避免出现权限无法回收的情况，真正做到文档权限的高度实时可控。

·灵活的策略配置

系统配备强大的策略库，用户可根据业务需求进行编辑，策略配置也相当灵活简单，企业可以针不同部门的实际情况配置特定的安全策略，多样的策略组合方式使得企业在策略配置上拥有更多选择，能够同时满足不同部门的安全需求。

·系统简单易用

系统配备强大的策略库，用户可根据业务需求进行编辑，策略配置也相当灵活简单，企业可以针不同部门的实际情况配置特定的安全策略，多样的策略组合方式使得企业在策略配置上拥有更多选择，能够同时满足不同部门的安全需求。

·具备容灾能力

系统具有双机热备功能，如果服务器出现故障停止运行，则备份服务器能立即接管，同时系统还具备容灾机制和数据库备份还原功能，能够有效应对可能出现的各种特殊情况，很大程度保障系统稳定可靠运行。

·良好的兼容性

系统具备良好的兼容性，能够与企业工作域无缝集成，支持用户信息自动同步。并且系统兼容目前主流的操作系统和杀毒软件，支持对所有格式的文件进行加密，方便企业后续的需求升级和应用拓展。系统只需通过简单的策略配置就能满足企业所有应用需求，具备极强的扩展性，为企业的安全个性需求提供了有力的保障。

·适用范围广

TDSM-DSM系统默认已经支持近百种应用的加解密支持。如设计类的Pro/E、UG、CATIA、AutoCAD等，办公类Office系列等，汇编类VC、VB系列等可以产生文件的程序，并且可以与PDM系统（如TeamCenter、SolidWorks等）完好的集成。如果需要快速添加新的应用支持加解密，无需修改程序代码即可完成。

·维护性好

TDSM-DSM采用集中管理方式，客户端的策略变化、权限变化等操作均可在管理控制台完成；当有新版本发布时，只需将新版本程序放入服务器，客户端即可自动更新，无须人工更新每个客户端，系统维护工作量非常小。

·易部署

TDSM-DSM支持远程安装、远程卸载、客户端远程强制更新、客户端开机自动更新等多种灵活的系统部署方式。可大大减轻企业管理人员对该系统的维护工作量。

TDSM-DSM支持服务器的多级分布部署。对拥有多个厂区且分布在不同区域的大型企业而言，该功能可充分满足其使用需求。服务器分布后，所有子服务器的用户列表、用户权限、系统操作日志等均可与主服务器保持同步。

·丰富的文档支持格式

理论上可以支持*.*文件格式。可支持常规应用文件格式加密授权管理，如Office2000、2003、2007、文本；PDF；Visio2003、2007；AutoCAD2002、2004、2007；ProE、Matlab等常见类型。