SAY討論區

標題: 文檔安全管理系統在軍工單位的應用案例 - 其他 [打印本頁]
作者: POKwan    時間: 2014-2-12 08:26:18     標題: 文檔安全管理系統在軍工單位的應用案例 - 其他

一、項目簡介
某軍工集團公司是中國兵器工業集團的骨幹企業,是當地最大的裝備製造企業,公司努力推動信息系統在企業中的應用範圍和應用水平,已具有多種現代化設計和製造軟件系統,為企業生產工作提供了高效的支撐。
公司作為國家軍工生產重點企業,也是保密要求非常嚴格的涉密單位,眾多的應用系統既提供了便利、高效的生產能力,但也產生和存儲了大量涉及國家秘密的重要電子文件數據,急需對這些電子文件數據進行保護,並能在企業內進行電子文件密級流向控制。
二、項目需求
公司多次召開項目研討會和需求分析會,研究並總結了項目的主要需求和建設目標:
對指定進程創建的電子文件進行自動強制加密,以密文形式存儲和使用。
對用戶、密文分別設置密級屬性,並進行密級流向控制。
建立企業共享文檔庫,並控制不同用戶訪問權限。
可以設置不同用戶使用密文的權限,實現密文安全交換。
密文權限可根據需要進行權限申請與審批,審批流程可自定義。
密文需要外發時必須審批。
審批人可查看待審批文檔內容。
三、項目建設效果
時代億信採用SecureDOC產品構建集團公司文檔安全系統,保護企業涉密電子文件的存儲和使用安全。
3.1 整體體系結構
1101094clq2hip4fs.jpg
 
圖:文檔安全系統體系結構
體系組成說明:
文檔安全服務器
採用時代億信SecureDOC產品服務器端程序部署,主要完成用戶信息、文檔密鑰、文檔權限及文檔審計日誌等存儲和管理功能。還負責提供企業共享文檔庫和文檔交換中轉站。
文檔安全客戶端
採用時代億信SecureDOC產品客戶端程序部署,包含用戶操作控制台、文件加解密驅動、權限控制等組件。主要完成文檔加解密、授權和權限控制等功能。
3.2 文件加解密
透明加解密:
文檔安全系統採用先進的驅動級文檔加解密技術,默認採用128位AES對稱加解密算法,可以根據應用需要替換算法和密鑰長度。同時,密文和密鑰分離,密鑰在服務端加密存儲,客戶端通過加密通道從服務端獲取文檔密鑰和權限。
1101093yxwktj0ecd.jpg
 
圖:文件透明加解密示意
自動加密:
文檔安全系統由管理員設置進程加密策略,在客戶端同步該策略后,即可對用戶計算機本地的文件進行自動強制加密。
110109pjd5gvcpyzg.jpg
 
圖:進程加密策略設置
3.3 細粒度權限控制
文檔安全系統對文件操作提供細粒度權限控制,具體如下:
閱讀:控制文檔閱讀
編輯:控制文檔不允許被編輯
複製:控制剪切板,防止文檔內容通過剪切板複製
打印:控制文檔打印
打印水印:控制文檔打印時是否加入水印
截屏:對常用的截屏軟件和屏幕錄像軟件進行控制
在文件操作權限的基礎上,還提供了如下用戶延伸權限:
分發:控制用戶是否可以對文件授權
離線:控制用戶是否可以在脫離企業安全環境下使用加密文檔
外發:控制用戶是否可以發送文件到企業外部機構、客戶、合作夥伴
解密:控制用戶是否可以解密加密文件
通過上述細粒度授權策略,既保證文檔在流轉過程中的安全使用,又可以控制文檔的使用權限,有效防止電子文件的非法傳播。
3.4 密級流向控制
文檔安全系統提供了密級設置功能,可對用戶、加密文件分別設置各自密級屬性。
110109ulz3442hq4h.jpg
 
圖:密級流向控制
用戶標密:管理員可對用戶設置密級屬性,用戶的密級可分為普通、秘密和機密三個等級。
加密文件標密:加密文件的密級可分為普通、秘密和機密三個等級,用戶進行密文安全交換時必須首先選擇加密文件的密級,系統會根據指定的密級控制策略匹配用戶和加密文件兩者的密級,禁止低密級用戶接觸高密級加密文件。
用戶地址樹密級控制:用戶在選擇加密文件密級時,會自動匹配相應的用戶地址樹,即當加密文件為普通密級時,地址樹中將顯示全部用戶;當加密文件為秘密級時,地址樹中只顯示密級為秘密和機密的用戶;當加密文件為機密級時,地址樹中只顯示密級為機密級的用戶。
3.5 企業共享文檔庫
文檔安全系統提供了企業共享文檔庫功能,可集中加密存儲企業內部文檔。企業共享文檔庫採用了類似資源管理器的風格,不同部門可建立不同層級的目錄結構,滿足存儲本部門加密文檔的需求。同時,管理員還可針對不同目錄設置不同權限,防止非授權的用戶獲取重要信息。
3.6 權限申請與審批
文檔安全系統提供了權限申請與審批機制,既能滿足用戶使用密文的實際需求,又防止了用戶被過度授權導致的被動或主動泄密情況發生。用戶可對文件的如下權限進行申請:
文件解密:將加密文件還原為明文
文件安全交換:在企業內部安全環境下向其他用戶提供授權加密文件
文件外發:將文件製作為外發包發送給外部用戶
權限申請審批流程由集團公司進行自定義,根據不同部門的使用需求自行定義審批節點和相應的審批人員。審批人員可以查看待審批文檔的內容,以便對申請人所提權限申請做出正確判斷。
四、經驗總結
「某集團公司文檔安全工程」的成功經驗總結如下:
1.結合用戶應用場景,選定自動強制加密方式保護電子文件數據安全,同時又可對部分用戶設置手動加密方式,滿足其辦公需求。
2.採用一文一密、密鑰和密文分離存儲、客戶端與服務器端安全通道通訊等技術最大限度增強系統整體安全。
3.文件透明加解密,不改變文件格式和關聯程序,無需對用戶培訓即可使用。
4.對企業現有Pro/E、CAPP、AutoCAD等軟件良好兼容。
5.設置用戶和加密文件密級,並進行密級流向控制。
6.利用企業共享文檔庫集中存儲加密文件,並設置不同部門或用戶使用權限。
7.涉及到加密文件的權限變更與發送均經過審批流程后才能進行,審批流程完全自定義,以滿足不同部門的實際需要。
8.時代億信SecureDOC文檔安全產品通過國家保密局、公安部產品檢測,滿足計算機分級保護技術規範。
文章來源:http://blog.sina.com.cn/s/blog_6cb4045b0101gp8w.html

附件: [1101094clq2hip4fs.jpg] 1101094clq2hip4fs.jpg (2014-2-12 08:26:18, 0 Bytes) / 下載次數 0
http://forum.go2tutor.com/forum.php?mod=attachment&aid=NTE2MzY3fGQwMWFkNjQ4fDE3ODI2NjM4OTJ8MHww

附件: [1101093yxwktj0ecd.jpg] 1101093yxwktj0ecd.jpg (2014-2-12 08:26:18, 0 Bytes) / 下載次數 0
http://forum.go2tutor.com/forum.php?mod=attachment&aid=NTE2MzY4fDNkOGIyM2FmfDE3ODI2NjM4OTJ8MHww

附件: [110109pjd5gvcpyzg.jpg] 110109pjd5gvcpyzg.jpg (2014-2-12 08:26:18, 0 Bytes) / 下載次數 0
http://forum.go2tutor.com/forum.php?mod=attachment&aid=NTE2MzY5fGRhOGIzMDA0fDE3ODI2NjM4OTJ8MHww

附件: [110109ulz3442hq4h.jpg] 110109ulz3442hq4h.jpg (2014-2-12 08:26:18, 0 Bytes) / 下載次數 0
http://forum.go2tutor.com/forum.php?mod=attachment&aid=NTE2MzcwfDY0NzQwZmQ3fDE3ODI2NjM4OTJ8MHww
作者: appson    時間: 2014-2-12 10:58:58

你喜歡貼子還是發貼子的人
作者: runrunscooter    時間: 2014-2-12 11:02:28

經過你的指點 我還是沒找到在哪 ~~~
作者: gaiful    時間: 2014-2-12 11:06:38

暈死也不多加點分
作者: 十兵衛    時間: 2014-2-12 11:10:09

不管你信不信,反正我信
作者: 砵仔糕    時間: 2014-2-12 11:14:32

分享我的感謝,謝謝樓主
作者: hillmen    時間: 2014-2-12 11:23:53

呵呵 哪天得看看 `~~~~
作者: tomato_alex    時間: 2014-2-12 11:26:18

也許似乎大概是,然而未必不見得。
作者: 底褲超人    時間: 2014-2-12 11:27:32

幫你回覆一下
作者: stk190    時間: 2014-2-12 11:33:55

都是那麼過來的
作者: 我不是傻鴨    時間: 2014-2-12 11:36:20

我幫你這一帖頂起來
作者: Disy    時間: 2014-2-12 11:40:01

努力,努力,再努力!!!!!!
作者: 鳥不起點算    時間: 2014-2-12 11:45:23

努力,努力,再努力!!!!!!
作者: frankyhui    時間: 2014-2-12 12:03:00

不錯的東西  持續關注
作者: kinh9999    時間: 2014-2-12 12:40:56

看來不錯,回覆一下
作者: gaiful    時間: 2014-2-12 13:58:25

我打不開,請問有設定許可權嗎
作者: jackjack99    時間: 2014-2-12 14:30:37

能告訴我去那邊分享的嗎?
作者: chrity__summer    時間: 2014-2-12 15:24:00

這個貼好像之前沒見過  
作者: 太陽穴    時間: 2014-2-12 17:57:05

樓主分享的好東西,我幫你宣傳
作者: 現實999    時間: 2014-2-12 22:43:00

很有吸引力
作者: alvinsiusiu    時間: 2014-2-13 05:13:07

要多久才能升級啊
作者: 尊貴的基佬    時間: 2014-2-13 06:23:40

正好你開咯這樣的帖
作者: runrunscooter    時間: 2014-2-13 07:37:06

強人,佩服死了。呵呵,不錯啊
作者: Some1    時間: 2014-2-13 09:03:19

遇到好論壇中的好帖子
作者: frankyhui    時間: 2014-2-13 16:40:42

慢慢來,呵呵
作者: hkgordan    時間: 2014-2-13 19:21:02

分享的文章不錯看
作者: naturebeehk    時間: 2014-2-13 23:27:49

認真回覆,賺取潛水值
作者: 豪鬼AKUMA    時間: 2014-2-14 04:13:34

呵呵,找個機會...
作者: alvinsiusiu    時間: 2014-2-14 07:36:32

估計你是沒見識過~` 呵呵  
作者: junhau    時間: 2014-2-14 14:27:45

幫你回覆一下



歡迎光臨 SAY討論區 (http://forum.go2tutor.com/) Powered by Discuz! X2