国内在做企业的文档安全这一块技术比较领先的是哪些公司？有了解详情的能否具体说说各自优缺点？

试着简单答几句，

我接触过的国内企业文档安全分为三类：1.文档加密；2.DLP；3.文档授权集中管理；

第一类 文档加密

技术核心是透明加密。简单说就是在每一台pc安装agent，指定要保护的文档类型（图纸、doc、ppt、excel），agent会自动把这些文档加密，用户可正常打开使用，对加解密过程无感知。文档在未经授权的情况下脱离了企业环境后，由于未被解密，因此无法打开使用，实现保护文档的目的。

典型厂商：大成天下、亿赛通、明朝万达。

公司的加密项目非我负责，因此这些厂商的东西只是接触过，并未深入研究，就不贸然比较优劣了。

但透明加密技术并不完美，听闻国内某车企曾发生过加密的文档无法解密导致企业设计图纸无法使用的事故。

第二类 DLP

技术核心是文档特征提取与匹配。分网络DLP、邮件DLP、终端DLP。以终端DLP为例，同样需要在客户端装agent。软件首先自动或手动提取要保护的文档的特征，可以是正则表达式，也可以是指纹信息，也可以是关键词组合。在服务器端录入所有的文档特征后制定保护策略。例如，设定包含关键词“绝密+XXXX车型”的图纸严禁通过USB拷贝、禁止网络上传、禁止邮件发送。agent运行时获取到该策略后会监控这台pc的操作，当发现匹配了策略后的用户行为后，自动deny。

从这个过程可以看出，十分类似杀毒软件的工作原理：设定特征->监控pc->匹配策略

所以业界做DLP出色的基本都是杀毒软件企业。比如，mcafee、赛门铁克，websense、RSA、趋势科技也有相关产品。国内听闻有成功解决方案的貌似只有启明星辰。

第三类 文档授权集中管理

实话讲这是一类比较小众的产品类型。

多说两句背景。很多企业会有内部专门的文档共享服务器，最开始可能只是在域控上建立的一个文档共享服务器，域管理员对各个文件夹为每个域用户设定权限，可读，or，可读可写。

久而久之文档越来越多，域用户越来越多，授权会很麻烦，权限也越来越不可靠。

微软提出了sharepoint的解决方案，可以很完美的解决这个问题，用户在sharepoint门户上可以在线阅读文档，接受权限控制。但毕竟微软的收费很高，自定义程度也不完美。

国内有两家做替代产品的公司，edoc和德雅科技。

两家的产品类型很像，web的bs架构，用户以id登录后根据授权设定，有权限的目录和文档可以看到，没权限连看都看不到。然后用户根据管理员给自己赋予的权限，可以访问和使用文档。可以在线预览和编辑文档。且所有操作行为都有日志监控以供审计。

这类产品的卖点之一是授权严格。同一份文件，对不同的用户可分别授予颗粒度极细的权限，比如可阅读但不可下载不可编辑不可打印，可阅读可编辑但不可下载不可打印，等等。

卖点之二是流程。文件上传后，使用过程都可以流程化，而且支持企业与oa接口自开发。

但两家都没有大型企业的实施案例，文档数量过大（超过TB级别）或用户数量过多（2000以上）时，系统效率都不理想。开发能力也较弱，自开发的功能甚至连回归测试都不做就交付用户了。

总体说来，文档安全的技术很多，但每种技术都有自己的软肋，文档加密在于兼容性和稳定性，DLP在于特征识别准确率，文档授权管理在于海量文档管理的技术成熟度。

----------------------------------2013-09-10补充-------------------

我在汽车制造业从事信息安全工作三年时间，我们应该遇到过很类似的问题。简略答一下。

图纸文件一向是制造业最看重的东西，甚至有些老板认为比销售数据都要重要。但加密带来的不稳定，是技术体系的设计人员无法接受的。这是安全与便利的矛盾。

解决这一矛盾，根据我了解到的其他同行业公司的经验，有三种思路。

1.严格测试加密产品，并与这个细分领域的佼佼者建立深入合作机制，不仅买产品，更要对方提供驻场服务，不光在现场解决问题，更要定制开发软件，最好是共同开发，可以解决大部分应用层面的问题，缺点是代价比较高，人与财的投入都比较大。如果贵司已经买了软件，这条路可以考虑下。我相信在任何一家国内公司，向boss坦白自己买的软件有问题，都是需要极大勇气的。

2.用PLM系统管理图纸、技术资料、3D建模文件等等这些结构化数据。

这些资料与办公文档不同，他们都是有结构关系的，比如某一车型的文件按设计的生命周期可以进行系统分类管理。正常情况下，设计人员完稿的技术资料，除office办公文档外，理应集中存储在PLM系统中分享使用，就像CRM那样。那是不是可以考虑用PLM系统集中存储、统一管理。

安全需要做的，

一是要管理PLM系统本身的安全：数据的隔离性、服务器与存储设备的ACL、软件代码有无安全缺陷等等。

二是PLM系统的授权管理，是否做到了三权分立、授权原则是否可靠有效、授权原则与业务是否贴合、不同授权组之间如何高效协同办公，授权机制如何在业务人员中落地实施，授权变更管理等等。

三是PLM系统的日常安全管理与维护：用户行为的日志是否定期分析，管理员的行为分析与监控，数据备份与恢复、OS补丁管理机制等等。

我个人认为，用专业的系统管理专业的数据，是比较可靠的。安全不应过分参与业务，更不应以安全的理由影响业务（因加密而导致文件无法使用即为此类），但安全也不应与业务脱节，对专业系统进行安全管理，才是制造业安全应该考虑的重头戏。

3.还可以考虑用DLP。国外的汽车制造业，比如德国车企，都采用了这个思路。DLP相关内容回答中已提及，不赘述。但我的经验是，在实施DLP之前，需要对企业的数据进行彻底的盘点，识别清楚密级，识别清楚哪些是真正需要高级别保护的。

什么都管，也就等于了什么都不管。

盘点与识别的过程相当复杂和庞大，要把各类数据准确的分类，确定密级、确定特征（关键字组合、正则表达式等等）、确定存储位置、确定授权。这些都准备妥当了，才有实施DLP的前提。

一不小心又啰嗦这么多，希望和题主继续探讨，希望和安全行业各位专家深入交流。

企业的董事会、高管会议，涉及到服务群体所需安全性的考虑，从多方面提供安全服务，例如以下几方面：

1、权限控制

针对不同的角色赋予不同的权限，细粒度权限控制对信息做到了数据不同级别的保护，细粒度精细到用户、到会议、到文件。通过细粒度权限的控制，可以满足不同角色的不同需求。

基于角色的访问控制还有通过基于权限的设置限制了对机密文件的访问级别。这些角色定义了这份文件可以被哪些人访问，保证了最大的数据安全性。

2、自动文件水印

对文件、会议纪要等信息添加水印，水印清楚标注用户以及用户打开文件的时间，为企业泄密追踪提供有效证据。每个账号打开任一文件，文件上的水印都会显示用户姓名与打开时间等信息。

3、双重验证登录

登录时，可选择采用双重认证的方式保护账号的安全。通过用户账号密码结合其他验证方式防止账号密码泄露，禁止他人浏览账号内容，保护账号安全。

4、工作阶段时限

通过设置专门的工作阶段时限来保障账号的安全。在账号没有任何操作的一段时间后，账号会下线，如果账号一直操作就不受影响。工作阶段时限的限制让被遗忘的登录账号没有被他人使用的机会，保护账号的安全。

5、审计跟踪

审计跟踪在追踪企业内部违规活动和可疑活动时十分有效，任何违规欺诈行为都可以追溯时间和责任人，任何操作行为都会在系统中留下痕迹。

6、远程清除丢失或被盗的设备

可以使设置退出即删除本地文件，再次登录后如有需要可重新下载，适合在非专属设备上使用的用户。同时，系统管理员可以进行远程数据擦除与粉碎，当设备遗失时，管理员可以选择擦除账号的数据，保护董事会的信息安全。

7、数据集中 统一管理

传统会议模式下的会议材料均采用纸质材料。各个部门分别打印出的数据，如果有数据修改的情况，导致原始数据被丢弃，同时原始数据很容易存在丢失的现象。而对于保密会议，会议结束后，还要安排专人负责收集会后资料并进行销毁，回收人员不清楚会前有多少资料准备，因此在回收时也无法从数量上控制，极易造成资料泄漏丢失的情况。