天喻产品数据防扩散系统InteKey旨在对企业中重要的产品设计及文档数据提供有效的保护，在技术上采用先进的加密算法对指定的文件数据进行加密，密钥及核心算法存放于硬件智能卡内，不可跟踪及复制。加密后的文件在企业内部可以正常使用，在企业外部则由于不能获得文件的密钥，无法解析文件的加密数据，从而达到对重要数据进行保护的目的。

 

 

▲数据自动保护

 

▲软硬件相结合的高度安全加密机制

本系统采用国际上先进的加密算法，结合目前流行的硬件智能卡技术：将核心算法和密钥存放在用于银行系统的智能卡中，智能卡就象一个黑盒子，您只能执行它的程序，但不能跟踪里面的代码，并且物理上不可复制，确保安全。在安全性方面采用三层加密体系：首先是外部存储层，基于智能卡的密钥存储机制，难以获取；然后是传输层，基于3DES的加密传输机制，难以破解；最后是数据加密层，支持高级加密标准算法AES算法，具有较高的加密强度，使任何暴力攻击措施都是徒劳的。

 

▲用户组织角色管理及多级权限控制

以用户为单位，以部门角色为组织核心进行企业环境架设：可按照部门组织结构进行分级管理，支持批量用户导入。灵活的角色权限分配，完善的特定权限架构，合理的涵盖用户组织角色定制，审批流程设置，加解密，计算机管理，日志管理等各项管理操作权限。

 

▲ 支持与域用户集成

支持导入活动目录用户和组织结构，并同步活动目录用户组织信息。用户使用管理、解密和流程应用工具登陆时支持与活动目录登陆验证绑定。

 

▲ 强大的计算机管理功能

在控制台上可对每台客户机的加密功能进行订制，以客户机的硬件号为唯一标识，可以支持动态分配的ＩＰ。可以对客户机进行加密软件种类、安全项、联网离线策略分配等应用功能的配置，支持批量和按部门下发，并可完成计算机加密更新，连接，卸载等操作。

 

▲ 屏蔽全部不安全命令

本系统考虑到所有可能造成信息流失的途径，通过设置客户机安全项策略可以屏蔽诸如USB存储设备，图形输出、剪贴板拷贝，打印机、拷屏等各种操作，并对文件拖拽，插入对象等进行了安全控制，受控软件间各项操作不受影响，受控软件向非受控软件传递信息时进行阻断，使加密文件始终能处在加密环境的保护中。

 

▲ 完善的内网数据安全保护

外部没有得到企业授权的计算机采用如非法接入，远程攻击和窃取等非法手段和方式均无法打开任何企业内受保护的加密文件。企业内加密文件无论采用FTP，邮件，以及MSN，QQ等各种即时通讯方式传送，传输出企业内网后始终都将是密文状态且无法读取。

 

▲解密流程管理及流程申请与审批

可以通过强大的流程管理功能来灵活定义企业内的解密流程，支持按用户、角色定义及多级审批，需要将文件解密提供给企业外部时，用户可以通过流程申请功能，提出解密申请，根据您指定的解密流程到具有审批权的审批角色，用户对文件进行审批，审批通过后申请者下载文件时即可自动将文件解密，并支持与邮件系统的自动关联，提供邮件白名单及定义统一外发文件出口功能。

 

▲支持基于WEB的审批流程

通过构建WEB服务器支持通过IE等浏览器进行文件审批流程的申请、审批、下载等应用。

 

▲多软件平台支持

提供开放的可扩展的加密机制, 可嵌入到几乎所有常用的各行业的各版本软件平台下：包括对天喻系列软件、UG、Proe、CATIA、SolidEdge、SolidWorks、AutoCAD等CAD系统，以及办公、图像、电子设计等各种软件平台的加密支持。更为重要的是，本系统不对设计平台做任何修改，从根本上避免出现和各类软件本身及各种防病毒软件不兼容的问题。

 

天喻InteKey支持以下软件的防扩散处理：

 

▲与管理系统的无缝集成

支持与各种流行的PDM/PLM、OA、ERP等管理系统的无缝集成。对PDM\PLM系统下文件的浏览、圈阅、评注等不产生任何影响，并可以结合各平台本身的管理功能从数据源头入手进行处理，显著的提高各管理平台数据的安全性。

                                                  与windchill的集成框架图

 

▲ “移动加密”的解决方案

即使需要离开企业环境，通过我们提供的单机硬锁或单机软锁限时方式，可以在保证设计图纸处于加密状态下带出企业环境，而不需要将文档解成不安全的明文状态。并且可以给加密系统设定离线有效时间及通过工具对离线时间进行延长。

 

▲管理员实时监控网络计算机加密状态

我们提供的管理平台可实时监控企业内部的计算机是否处于加密状态之下，对不处于加密状态的计算机以醒目的方式提示管理人员。 

 

▲ 支持批量加密解密

为方便用户对加密、解密文件的管理，且能快速的将企业内期望控制数据快速且一次性的转化为加密或解密状态，管理平台可批量、且高效的完成对指定计算机的相关后缀文件进行搜索加、解密操作，并支持对压缩文件里的相关后缀文件以及只读文件进行批量加密解密。

 

▲具有多样灵活的部署方案

 可以通过定制不同加密域范围，来实现企业对各分公司或部门之间的访问策略的控制，加密域相同厂区部门之间实现互访，加密域不同时即可达到各部相互隐密的控制。且可以通过应用软件策略灵活的设置不同部门的加密软件范围。

 

▲日志管理与审计

提供详细完备的日志管理功能，记录所有的配置修改、权限修改、流程申请、审批、在线离线加密解密、在线离线打印等操作的详细信息，管理人员可根据系统提供的多种查询方式方便的查询和审计。

 

▲支持自动更新和多种客户端安装方式

提供管理、解密和流程应用工具等的自动更新功能。支持本机安装，远程推送安装，通过域下发安装等多种客户端安装方式。

 

▲国家权威部门认证

天喻产品数据防扩散系统Intekey已经通过国家密码管理局及军用信息安全产品的严格认证。

 

▲ 全球唯一的企业ID

为每一个企业分配一个全球唯一的企业ID，并有严格的企业资料保密机制，确保已部署Intekey系统的企业之间不能相互打开已加密的电子图档。

 

InteKEY系统架构如上图所示，分为中心服务器、锁服务器、管理控制台、工作机。

中心服务器（CenterServer）：负责所有控制指令的上传下达、配置调度、信息数据存储。

锁服务器（LockServer）：负责锁管理，与智能IC卡直接通信，具体包括密钥和License控制。可设置多个密钥的候选锁服务器支持不同密钥间的访问控制。

控制台（Manager）：为管理者提供的管理控制界面，实现对所管辖的计算和用户进行配置和管理。控制台根据权限的不同可设置为多级模式。

设计工作机（WorkerStation）：完成对各种设计软件进行实时动态的加解密。安装配置上申请审批流程模块，在设计工作机上可以完成解密申请与审批。

 

▲支持集中部署和分布式部署

集中部署：由集团公司信息中心部署中心服务器，控制台采用系统级管理控制台和分支级管理控制台的部署策略。由总公司信息中心统一对各分部加密系统包括各权限功能的集中管理、各项策略的统一下发、流程定制和应用等系统功能进行分配和调度。该方式对网络环境要求较高，要求各子公司能通过VPN连接到企业局域网。

分布式部署：在各个分部分别建立相应的服务器，各分部进行独立自主式的管理，而密钥管理和日志审计，可以通过同步机制进行管理和审查。这样对分部之间的网络性能要求相对较低。

                     分布式部署示意图

 

▲采用候选密钥机制可实现：

1．总公司可以打开分公司的文件，而分公司不能打开总公司的文件

 

2．支持多层级交叉式多密钥区域的文件访问权限控制。

下图为某企业的多密钥部署示意图：总部能打开所有分公司密钥文件，分公司A能打开分公司C的加密文件，其余的各子公司相互均不能相互借阅和打开加密文件。

通过加载不同的候选锁能实现各种组合的访问权限。