用戶(hù)概況:
中南空管局下轄民航新時(shí)代機(jī)場(chǎng)設(shè)計(jì)研究院(以下簡(jiǎn)稱(chēng)“設(shè)計(jì)院”)是由具有輝煌業(yè)績(jī)的原民航中南機(jī)場(chǎng)設(shè)計(jì)研究院和民航華東機(jī)場(chǎng)建筑設(shè)計(jì)研究院于2002年11月聯(lián)合重組而成。是中國(guó)民航現(xiàn)在的二個(gè)甲級(jí)設(shè)計(jì)機(jī)構(gòu)之一����。設(shè)計(jì)院存在大量設(shè)計(jì)文檔、涉密基礎(chǔ)數(shù)據(jù)���、設(shè)計(jì)文檔是設(shè)計(jì)院賴(lài)以生存的基礎(chǔ)�����。這些設(shè)計(jì)成果數(shù)據(jù)等有價(jià)值的信息需要進(jìn)行重點(diǎn)保護(hù)�����。因?yàn)榭蛻?hù)提交的成果數(shù)據(jù)比較大�����,且設(shè)計(jì)院各部門(mén)的軟件專(zhuān)業(yè)性強(qiáng)���,數(shù)量非常多;院內(nèi)信息系統(tǒng)也采取了一些安全措施并建立了一定的安全管理制度����,數(shù)據(jù)生產(chǎn)網(wǎng)與Internet隔離,但是內(nèi)網(wǎng)沒(méi)有其他的保護(hù)措施��,可隨意通過(guò)USB接口拷貝設(shè)計(jì)圖紙����;設(shè)計(jì)文檔本身就是產(chǎn)品,給用戶(hù)后需要對(duì)成果數(shù)據(jù)的流轉(zhuǎn)進(jìn)行使用控制����。
用戶(hù)需求:
從設(shè)計(jì)院所的人員構(gòu)成���、業(yè)務(wù)流程和數(shù)據(jù)的流轉(zhuǎn)特征等方面分析,設(shè)計(jì)院數(shù)據(jù)安全體系建設(shè)需要重點(diǎn)關(guān)注以下幾方面:
1�、設(shè)計(jì)人員不能通過(guò)U盤(pán)把設(shè)計(jì)圖紙拷貝出去隨意泄密��;但是允許設(shè)計(jì)人員使用U盤(pán)�����;
2����、安全系統(tǒng)不能影響內(nèi)部設(shè)計(jì)人員正常操作習(xí)慣�;
3、設(shè)計(jì)文檔在客戶(hù)��、合作伙伴流轉(zhuǎn)過(guò)程中如何實(shí)現(xiàn)有效的訪問(wèn)權(quán)限控制并杜絕惡意的成果剽竊�、二次泄密行為;
4����、由于工作需要�����,設(shè)計(jì)文檔在內(nèi)部各使用用戶(hù)之間是透明使用�;
5��、設(shè)計(jì)文檔不能隨意被打印或截屏���;
6��、對(duì)密文的操作特別是解密��、外帶等高危型操作需日志記錄�����,以備審計(jì)��;
解決方案:
設(shè)計(jì)院所數(shù)據(jù)安全的體系建設(shè)��,需要突出重點(diǎn)����,切實(shí)關(guān)注文件拷貝����、文件外帶保密需求,充分考慮重要數(shù)據(jù)面臨的各種主動(dòng)泄密和被動(dòng)泄密風(fēng)險(xiǎn)��。同時(shí)����,應(yīng)充分考慮系統(tǒng)對(duì)設(shè)計(jì)人員的業(yè)務(wù)影響范圍,盡可能降低安全行為帶來(lái)的系統(tǒng)性能損耗和應(yīng)用約束�,在安全性和可用性之間保持合理的平衡�。
對(duì)其提供的整體解決方案,重點(diǎn)實(shí)現(xiàn)以下功能:
1���、 使用透明自動(dòng)加解密方式���,對(duì)設(shè)計(jì)文檔進(jìn)行自動(dòng)加密,在文件新建保存時(shí)加密系統(tǒng)在后臺(tái)對(duì)文件進(jìn)行自動(dòng)加密����,在用戶(hù)打開(kāi)文件時(shí),系統(tǒng)在后臺(tái)對(duì)文件進(jìn)行自動(dòng)解密���。不影響用戶(hù)的操作習(xí)慣���。在本單位內(nèi)大家可以正常使用加密的設(shè)計(jì)文檔�����,內(nèi)部透明使用��。用戶(hù)通過(guò)U盤(pán)或其他方式拷貝出去的文件都是密文��,脫離這個(gè)環(huán)境打開(kāi)文件是亂碼,或者無(wú)法打開(kāi)密文文件�。這樣不僅可以防止U盤(pán)、其他存儲(chǔ)介質(zhì)或網(wǎng)絡(luò)泄密文件����,還可以照顧正常情況下U盤(pán)或其他功能的使用。既安全�,有不影響用戶(hù)使用。
2�、 對(duì)外帶(外發(fā))文件采用文件加密打包技術(shù),可以控制加密包在指定的計(jì)算機(jī)上使用�,該加密包對(duì)文件進(jìn)行閱讀和編輯、打印權(quán)限上的控制�����,并對(duì)其訪問(wèn)的時(shí)間可次數(shù)進(jìn)行限制。從而不僅解決了文件外帶或外發(fā)的問(wèn)題�,而且做到了有效的控制,防止重要設(shè)計(jì)文檔二次擴(kuò)散泄密�����;
3�����、 權(quán)限控制可對(duì)內(nèi)部的使用人員訪問(wèn)密文的權(quán)限做到嚴(yán)格的控制���,其可控制的權(quán)限非常細(xì)致,包括文件的閱讀����、復(fù)制、編輯����、打印���、另存�、截屏等;并且做到非常人性化的控制��,比如由工作需要��,可支持密文與密文之間的復(fù)制���,明文到密文的復(fù)制�,禁止密文復(fù)制到明文等功能�����。從而可以防止內(nèi)部人員通過(guò)復(fù)制內(nèi)容���、打印����、截屏的方式把重要的文檔內(nèi)容泄密出去����,方便用戶(hù)使用。
4�����、 對(duì)所有的密文所有操作方式均有詳細(xì)的日志進(jìn)行記錄,以便管理員審計(jì)�����;
實(shí)施效果:
成功部署黑匣子文檔安全管理系統(tǒng)之后�����,對(duì)設(shè)計(jì)圖紙和其他文檔進(jìn)行的強(qiáng)制透明加密�,保護(hù)機(jī)密文檔時(shí)時(shí)刻刻處于加密安全狀態(tài)。設(shè)計(jì)院實(shí)現(xiàn)了文檔的權(quán)限控制��、文檔流轉(zhuǎn)的可控可見(jiàn)可查��,從技術(shù)上對(duì)可能的泄密渠道進(jìn)行了封堵�����,對(duì)可能泄密的行為進(jìn)行杜絕。再加上通過(guò)身份認(rèn)證����、日志審計(jì)等多重保護(hù),構(gòu)建了完善的整體信息防泄漏保護(hù)體系,最大限度保護(hù)了公司的信息資產(chǎn)��,同時(shí)���,還無(wú)形中規(guī)范了員工的行為��。
