文檔安全管理系統在軍工單位的應用案例 - 其他

POKwan

一、項目簡介
某軍工集團公司是中國兵器工業集團的骨幹企業，是當地最大的裝備製造企業，公司努力推動信息系統在企業中的應用範圍和應用水平，已具有多種現代化設計和製造軟件系統，為企業生產工作提供了高效的支撐。
公司作為國家軍工生產重點企業，也是保密要求非常嚴格的涉密單位，眾多的應用系統既提供了便利、高效的生產能力，但也產生和存儲了大量涉及國家秘密的重要電子文件數據，急需對這些電子文件數據進行保護，並能在企業內進行電子文件密級流向控制。
二、項目需求
公司多次召開項目研討會和需求分析會，研究並總結了項目的主要需求和建設目標：
對指定進程創建的電子文件進行自動強制加密，以密文形式存儲和使用。
對用戶、密文分別設置密級屬性，並進行密級流向控制。
建立企業共享文檔庫，並控制不同用戶訪問權限。
可以設置不同用戶使用密文的權限，實現密文安全交換。
密文權限可根據需要進行權限申請與審批，審批流程可自定義。
密文需要外發時必須審批。
審批人可查看待審批文檔內容。
三、項目建設效果
時代億信採用SecureDOC產品構建集團公司文檔安全系統，保護企業涉密電子文件的存儲和使用安全。
3.1 整體體系結構

 
圖：文檔安全系統體系結構
體系組成說明：
文檔安全服務器
採用時代億信SecureDOC產品服務器端程序部署，主要完成用戶信息、文檔密鑰、文檔權限及文檔審計日誌等存儲和管理功能。還負責提供企業共享文檔庫和文檔交換中轉站。
文檔安全客戶端
採用時代億信SecureDOC產品客戶端程序部署，包含用戶操作控制台、文件加解密驅動、權限控制等組件。主要完成文檔加解密、授權和權限控制等功能。
3.2 文件加解密
透明加解密：
文檔安全系統採用先進的驅動級文檔加解密技術，默認採用128位AES對稱加解密算法，可以根據應用需要替換算法和密鑰長度。同時，密文和密鑰分離，密鑰在服務端加密存儲，客戶端通過加密通道從服務端獲取文檔密鑰和權限。

 
圖：文件透明加解密示意
自動加密：
文檔安全系統由管理員設置進程加密策略，在客戶端同步該策略后，即可對用戶計算機本地的文件進行自動強制加密。

 
圖：進程加密策略設置
3.3 細粒度權限控制
文檔安全系統對文件操作提供細粒度權限控制，具體如下：
閱讀：控制文檔閱讀
編輯：控制文檔不允許被編輯
複製：控制剪切板，防止文檔內容通過剪切板複製
打印：控制文檔打印
打印水印：控制文檔打印時是否加入水印
截屏：對常用的截屏軟件和屏幕錄像軟件進行控制
在文件操作權限的基礎上，還提供了如下用戶延伸權限：
分發：控制用戶是否可以對文件授權
離線：控制用戶是否可以在脫離企業安全環境下使用加密文檔
外發：控制用戶是否可以發送文件到企業外部機構、客戶、合作夥伴
解密：控制用戶是否可以解密加密文件
通過上述細粒度授權策略，既保證文檔在流轉過程中的安全使用，又可以控制文檔的使用權限，有效防止電子文件的非法傳播。
3.4 密級流向控制
文檔安全系統提供了密級設置功能，可對用戶、加密文件分別設置各自密級屬性。

 
圖：密級流向控制
用戶標密：管理員可對用戶設置密級屬性，用戶的密級可分為普通、秘密和機密三個等級。
加密文件標密：加密文件的密級可分為普通、秘密和機密三個等級，用戶進行密文安全交換時必須首先選擇加密文件的密級，系統會根據指定的密級控制策略匹配用戶和加密文件兩者的密級，禁止低密級用戶接觸高密級加密文件。
用戶地址樹密級控制：用戶在選擇加密文件密級時，會自動匹配相應的用戶地址樹，即當加密文件為普通密級時，地址樹中將顯示全部用戶；當加密文件為秘密級時，地址樹中只顯示密級為秘密和機密的用戶；當加密文件為機密級時，地址樹中只顯示密級為機密級的用戶。
3.5 企業共享文檔庫
文檔安全系統提供了企業共享文檔庫功能，可集中加密存儲企業內部文檔。企業共享文檔庫採用了類似資源管理器的風格，不同部門可建立不同層級的目錄結構，滿足存儲本部門加密文檔的需求。同時，管理員還可針對不同目錄設置不同權限，防止非授權的用戶獲取重要信息。
3.6 權限申請與審批
文檔安全系統提供了權限申請與審批機制，既能滿足用戶使用密文的實際需求，又防止了用戶被過度授權導致的被動或主動泄密情況發生。用戶可對文件的如下權限進行申請：
文件解密：將加密文件還原為明文
文件安全交換：在企業內部安全環境下向其他用戶提供授權加密文件
文件外發：將文件製作為外發包發送給外部用戶
權限申請審批流程由集團公司進行自定義，根據不同部門的使用需求自行定義審批節點和相應的審批人員。審批人員可以查看待審批文檔的內容，以便對申請人所提權限申請做出正確判斷。
四、經驗總結
「某集團公司文檔安全工程」的成功經驗總結如下：
1.結合用戶應用場景，選定自動強制加密方式保護電子文件數據安全，同時又可對部分用戶設置手動加密方式，滿足其辦公需求。
2.採用一文一密、密鑰和密文分離存儲、客戶端與服務器端安全通道通訊等技術最大限度增強系統整體安全。
3.文件透明加解密，不改變文件格式和關聯程序，無需對用戶培訓即可使用。
4.對企業現有Pro/E、CAPP、AutoCAD等軟件良好兼容。
5.設置用戶和加密文件密級，並進行密級流向控制。
6.利用企業共享文檔庫集中存儲加密文件，並設置不同部門或用戶使用權限。
7.涉及到加密文件的權限變更與發送均經過審批流程后才能進行，審批流程完全自定義，以滿足不同部門的實際需要。
8.時代億信SecureDOC文檔安全產品通過國家保密局、公安部產品檢測，滿足計算機分級保護技術規範。
文章來源：http://blog.sina.com.cn/s/blog_6cb4045b0101gp8w.html

appson

你喜歡貼子還是發貼子的人

runrunscooter

經過你的指點 我還是沒找到在哪 ~~~

gaiful

暈死也不多加點分

十兵衛

不管你信不信，反正我信

砵仔糕

分享我的感謝，謝謝樓主

hillmen

呵呵 哪天得看看 `~~~~

tomato_alex

也許似乎大概是，然而未必不見得。

底褲超人

幫你回覆一下

stk190

都是那麼過來的