远程办公场景下的数据失控风险：分支机构员工在家办公时，公司文件可能通过个人邮箱、云盘等非受控渠道传输，导致核心数据脱离企业安全边界。

移动设备管理缺失：员工使用私人设备或公共网络处理敏感文件，缺乏终端加密、权限管控等基础防护措施。

数据流转路径不可见：企业无法追踪文件在远程环境中的使用轨迹，难以定位泄露源头。

安全风险评估

泄露途径：个人邮箱外发、第三方云盘共享、即时通讯工具传输、截图/拍照外泄。

敏感数据类型：涉及客户信息、财务报表、研发文档等高价值数据。

合规压力：需满足等保2.0、GDPR等法规对数据传输加密和访问控制的要求。

业务场景分析

多分支机构协同：员工需跨地域访问总部文件，需统一管控策略。

移动办公常态化：文件在PC、手机、平板等多终端间流转，需跨平台防护。

临时离线需求：出差或网络中断时，仍需保证文件安全使用。

信企卫是唯一同时满足以下需求的产品：

文件透明加密：确保文件在终端始终以密文形式存储，即使被窃取也无法直接打开。

外发管控：通过审批流程控制文件外发，限制接收方操作权限（如只读、禁止打印）。

离线授权：为移动办公设备分配临时密钥，超时或超范围使用自动锁定文件。

屏幕水印：防止通过拍照或截图泄露信息，可追溯泄露源头。

核心功能配置

1、文档自动加密：

对指定后缀（如.docx、.xlsx、.pdf）的文件强制加密，覆盖办公常用格式。

加密策略跟随文件，无论传输到何处均保持密文状态。

2、外发管控：

配置“外发申请-审批-解密”流程，审批通过后生成带权限的外发包（如有效期3天、禁止编辑）。

禁止通过个人邮箱、网盘直接发送加密文件。

3、离线授权：

为移动设备分配离线证书，设置离线时长（如72小时）和文件操作权限。

离线期间所有操作日志同步至管理端，超时后自动终止访问。

4、 屏幕水印：

在远程办公界面叠加员工姓名、IP地址等动态水印，震慑拍照泄露行为。

支持截图自动触发告警。

安全策略设计

权限分级：

普通员工：仅能编辑自己创建的文件，无法访问跨部门敏感数据。

部门主管：可审批本部门文件外发，但无法修改加密策略。

管理员：拥有全局配置权限，但操作日志全程留痕。

行为审计：

记录所有文件操作（打开、修改、外发、打印），按时间、用户、文件类型多维度检索。

对异常行为（如非工作时间大量下载）实时告警。

移动端加固：

强制安装企业版安全客户端，禁止通过系统自带应用打开加密文件。

关闭USB调试、未知来源安装等高风险功能。部署架构

总部集中管理：部署信企卫管理服务器，统一制定策略并下发至各分支机构。

分支机构轻量化：分支机构仅需安装客户端，无需额外硬件。

移动端覆盖：支持Windows、macOS、iOS、Android全平台客户端。

实施步骤

试点阶段（1周）：

选择1个分支机构（如销售部）部署，加密范围限定为测试文件。

配置基础策略：外发审批流程、离线时长（24小时）、水印模板。

收集用户反馈，优化操作流程。

1、全面推广（2-4周）：

逐步扩大加密文件范围（财务、研发等部门）。

培训管理员掌握策略配置、日志分析等高级功能。

发布《远程办公安全规范》，明确文件处理流程。

2、优化阶段（持续）：

每月分析审计日志，调整权限策略（如发现某部门频繁外发，收紧权限）。

每季度更新水印模板，增加时间戳等动态信息。加密策略：

默认加密：新创建文件自动加密，已存在文件按需手动加密。

兼容性：支持与Office、WPS等常用软件无缝集成，不改变用户操作习惯。

3、外发审批：

设置多级审批人（如员工→部门主管→安全官），避免单点瓶颈。

审批通过后，外发文件自动添加“机密”标识和有效期。

4、离线管理：

离线证书与设备MAC地址绑定，防止证书复制到其他设备。

离线期间禁止使用剪贴板、截图等高风险功能。