文件安全管理系統在軍工單位的應用案例
一、專案簡介
某軍工集團公司是中國兵器工業集團的骨幹企業,是當地最大的裝備製造企業,公司努力推動資訊系統在企業中的應用範圍和應用水平,已具有多種現代化設計和製造軟體系統,為企業生產工作提供了高效的支撐。
公司作為國家軍工生產重點企業,也是保密要求非常嚴格的涉密單位,眾多的應用系統既提供了便利、高效的生產能力,但也產生和儲存了大量涉及國家秘密的重要電子檔案資料,急需對這些電子檔案資料進行保護,並能在企業內進行電子檔案密級流向控制。
二、專案需求
公司多次召開專案研討會和需求分析會,研究並總結了專案的主要需求和建設目標:
三、專案建設效果
時代億信採用SecureDOC產品構建集團公司文件安全系統,保護企業涉密電子檔案的儲存和使用安全。
3.1整體體系結構
體系組成說明:
文件安全伺服器
採用時代億信SecureDOC產品伺服器端程式部署,主要完成使用者資訊、文件金鑰、文件許可權及文件審計日誌等儲存和管理功能。還負責提供企業共享文件庫和文件交換中轉站。
文件安全客戶端
採用時代億信SecureDOC產品客戶端程式部署,包含使用者操作控制檯、檔案加解密驅動、許可權控制等元件。主要完成文件加解密、授權和許可權控制等功能。
3.2檔案加解密
透明加解密:
文件安全系統採用先進的驅動級文件加解密技術,預設採用128位AES對稱加解密演算法,可以根據應用需要替換演算法和金鑰長度。同時,密文和金鑰分離,金鑰在服務端加密儲存,客戶端透過加密通道從服務端獲取文件金鑰和許可權。
自動加密:
文件安全系統由管理員設定程式加密策略,在客戶端同步該策略後,即可對使用者計算機本地的檔案進行自動強制加密。
3.3細粒度許可權控制
文件安全系統對檔案操作提供細粒度許可權控制,具體如下:
閱讀:控制文件閱讀
編輯:控制文件不允許被編輯
複製:控制剪下板,防止文件內容透過剪下板複製
列印:控制文件列印
列印水印:控制文件列印時是否加入水印
截圖:對常用的截圖軟體和螢幕錄影軟體進行控制
在檔案操作許可權的基礎上,還提供瞭如下使用者延伸許可權:
分發:控制使用者是否可以對檔案授權
離線:控制使用者是否可以在脫離企業安全環境下使用加密文件
外發:控制使用者是否可以傳送檔案到企業外部機構、客戶、合作伙伴
解密:控制使用者是否可以解密加密檔案
透過上述細粒度授權策略,既保證文件在流轉過程中的安全使用,又可以控制文件的使用許可權,有效防止電子檔案的非法傳播。
3.4密級流向控制
文件安全系統提供了密級設定功能,可對使用者、加密檔案分別設定各自密級屬性。
使用者標密:管理員可對使用者設定密級屬性,使用者的密級可分為普通、秘密和機密三個等級。
加密檔案標密:加密檔案的密級可分為普通、秘密和機密三個等級,使用者進行密文安全交換時必須首先選擇加密檔案的密級,系統
會根據指定的密級控制策略匹配使用者和加密檔案兩者的密級,禁止低密級使用者接觸高密級加密檔案。
使用者地址樹密級控制:使用者在選擇加密檔案密級時,會自動匹配相應的使用者地址樹,即當加密檔案為普通密級時,地址樹中將顯示全部使用者;當加密檔案為秘密級時,地址樹中只顯示密級為秘密和機密的使用者;當加密檔案為機密級時,地址樹中只顯示密級為機密級的使用者。
3.5企業共享文件庫
文件安全系統提供了企業共享文件庫功能,可集中加密儲存企業內部文件。企業共享文件庫採用了類似資源管理器的風格,不同部門可建立不同層級的目錄結構,滿足儲存本部門加密文件的需求。同時,管理員還可針對不同目錄設定不同許可權,防止非授權的使用者獲取重要資訊。
3.6許可權申請與審批
文件安全系統提供了許可權申請與審批機制,既能滿足使用者使用密文的實際需求,又防止了使用者被過度授權導致的被動或主動洩密情況發生。使用者可對檔案的如下許可權進行申請:
檔案解密:將加密檔案還原為明文
檔案安全交換:在企業內部安全環境下向其他使用者提供授權加密檔案
檔案外發:將檔案製作為外發包傳送給外部使用者
許可權申請審批流程由集團公司進行自定義,根據不同部門的使用需求自行定義審批節點和相應的審批人員。審批人員可以檢視待審批文件的內容,以便對申請人所提許可權申請做出正確判斷。
四、經驗總結
“某集團公司文件安全工程”的成功經驗總結如下:
1.結合使用者應用場景,選定自動強制加密方式保護電子檔案資料安全,同時又可對部分使用者設定手動加密方式,滿足其辦公需求。
2.採用一文一密、金鑰和密文分離儲存、客戶端與伺服器端安全通道通訊等技術最大限度增強系統整體安全。
3.檔案透明加解密,不改變檔案格式和關聯程式,無需對使用者培訓即可使用。
4.對企業現有Pro/E、CAPP、AutoCAD等軟體良好相容。
5.設定使用者和加密檔案密級,並進行密級流向控制。
6.利用企業共享文件庫集中儲存加密檔案,並設定不同部門或使用者使用許可權。
7.涉及到加密檔案的許可權變更與傳送均經過審批流程後才能進行,審批流程完全自定義,以滿足不同部門的實際需要。
8.時代億信SecureDOC文件安全產品透過國家保密局、公安部產品檢測,滿足計算機分級保護技術規範。
某軍工集團公司是中國兵器工業集團的骨幹企業,是當地最大的裝備製造企業,公司努力推動資訊系統在企業中的應用範圍和應用水平,已具有多種現代化設計和製造軟體系統,為企業生產工作提供了高效的支撐。
公司作為國家軍工生產重點企業,也是保密要求非常嚴格的涉密單位,眾多的應用系統既提供了便利、高效的生產能力,但也產生和儲存了大量涉及國家秘密的重要電子檔案資料,急需對這些電子檔案資料進行保護,並能在企業內進行電子檔案密級流向控制。
二、專案需求
公司多次召開專案研討會和需求分析會,研究並總結了專案的主要需求和建設目標:
- 對指定程式建立的電子檔案進行自動強制加密,以密文形式儲存和使用。
- 對使用者、密文分別設定密級屬性,並進行密級流向控制。
- 建立企業共享文件庫,並控制不同使用者訪問許可權。
- 可以設定不同使用者使用密文的許可權,實現密文安全交換。
- 密文許可權可根據需要進行許可權申請與審批,審批流程可自定義。
- 密文需要外發時必須審批。
- 審批人可檢視待審批文件內容。
三、專案建設效果
時代億信採用SecureDOC產品構建集團公司文件安全系統,保護企業涉密電子檔案的儲存和使用安全。
3.1整體體系結構
圖:文件安全系統體系結構
體系組成說明:
文件安全伺服器
採用時代億信SecureDOC產品伺服器端程式部署,主要完成使用者資訊、文件金鑰、文件許可權及文件審計日誌等儲存和管理功能。還負責提供企業共享文件庫和文件交換中轉站。
文件安全客戶端
採用時代億信SecureDOC產品客戶端程式部署,包含使用者操作控制檯、檔案加解密驅動、許可權控制等元件。主要完成文件加解密、授權和許可權控制等功能。
3.2檔案加解密
透明加解密:
文件安全系統採用先進的驅動級文件加解密技術,預設採用128位AES對稱加解密演算法,可以根據應用需要替換演算法和金鑰長度。同時,密文和金鑰分離,金鑰在服務端加密儲存,客戶端透過加密通道從服務端獲取文件金鑰和許可權。
圖:檔案透明加解密示意
自動加密:
文件安全系統由管理員設定程式加密策略,在客戶端同步該策略後,即可對使用者計算機本地的檔案進行自動強制加密。
圖:程式加密策略設定
3.3細粒度許可權控制
文件安全系統對檔案操作提供細粒度許可權控制,具體如下:
閱讀:控制文件閱讀
編輯:控制文件不允許被編輯
複製:控制剪下板,防止文件內容透過剪下板複製
列印:控制文件列印
列印水印:控制文件列印時是否加入水印
截圖:對常用的截圖軟體和螢幕錄影軟體進行控制
在檔案操作許可權的基礎上,還提供瞭如下使用者延伸許可權:
分發:控制使用者是否可以對檔案授權
離線:控制使用者是否可以在脫離企業安全環境下使用加密文件
外發:控制使用者是否可以傳送檔案到企業外部機構、客戶、合作伙伴
解密:控制使用者是否可以解密加密檔案
透過上述細粒度授權策略,既保證文件在流轉過程中的安全使用,又可以控制文件的使用許可權,有效防止電子檔案的非法傳播。
3.4密級流向控制
文件安全系統提供了密級設定功能,可對使用者、加密檔案分別設定各自密級屬性。
圖:密級流向控制
使用者標密:管理員可對使用者設定密級屬性,使用者的密級可分為普通、秘密和機密三個等級。
加密檔案標密:加密檔案的密級可分為普通、秘密和機密三個等級,使用者進行密文安全交換時必須首先選擇加密檔案的密級,系統
會根據指定的密級控制策略匹配使用者和加密檔案兩者的密級,禁止低密級使用者接觸高密級加密檔案。
使用者地址樹密級控制:使用者在選擇加密檔案密級時,會自動匹配相應的使用者地址樹,即當加密檔案為普通密級時,地址樹中將顯示全部使用者;當加密檔案為秘密級時,地址樹中只顯示密級為秘密和機密的使用者;當加密檔案為機密級時,地址樹中只顯示密級為機密級的使用者。
3.5企業共享文件庫
文件安全系統提供了企業共享文件庫功能,可集中加密儲存企業內部文件。企業共享文件庫採用了類似資源管理器的風格,不同部門可建立不同層級的目錄結構,滿足儲存本部門加密文件的需求。同時,管理員還可針對不同目錄設定不同許可權,防止非授權的使用者獲取重要資訊。
3.6許可權申請與審批
文件安全系統提供了許可權申請與審批機制,既能滿足使用者使用密文的實際需求,又防止了使用者被過度授權導致的被動或主動洩密情況發生。使用者可對檔案的如下許可權進行申請:
檔案解密:將加密檔案還原為明文
檔案安全交換:在企業內部安全環境下向其他使用者提供授權加密檔案
檔案外發:將檔案製作為外發包傳送給外部使用者
許可權申請審批流程由集團公司進行自定義,根據不同部門的使用需求自行定義審批節點和相應的審批人員。審批人員可以檢視待審批文件的內容,以便對申請人所提許可權申請做出正確判斷。
四、經驗總結
“某集團公司文件安全工程”的成功經驗總結如下:
1.結合使用者應用場景,選定自動強制加密方式保護電子檔案資料安全,同時又可對部分使用者設定手動加密方式,滿足其辦公需求。
2.採用一文一密、金鑰和密文分離儲存、客戶端與伺服器端安全通道通訊等技術最大限度增強系統整體安全。
3.檔案透明加解密,不改變檔案格式和關聯程式,無需對使用者培訓即可使用。
4.對企業現有Pro/E、CAPP、AutoCAD等軟體良好相容。
5.設定使用者和加密檔案密級,並進行密級流向控制。
6.利用企業共享文件庫集中儲存加密檔案,並設定不同部門或使用者使用許可權。
7.涉及到加密檔案的許可權變更與傳送均經過審批流程後才能進行,審批流程完全自定義,以滿足不同部門的實際需要。
8.時代億信SecureDOC文件安全產品透過國家保密局、公安部產品檢測,滿足計算機分級保護技術規範。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10098689/viewspace-1074445/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 時代億信統一認證系統軍工單位應用案例
- MinDoc 簡單的文件線上管理系統
- 物聯網智慧電錶在工業能源管理系統中的應用
- 用C++編寫一個簡單的員工工資管理系統~C++
- PDM工藝路線在ERP系統中的應用
- 在製造業的工業2.0中應用MOM系統
- [應用案例]商城系統,yershop
- 企業員工業務桌面系統的開發應用與管理
- 系統管理:BRDB的應用
- 系統安全及應用
- Oracle PGA自動管理在OLAP系統中的應用Oracle
- 貨源供應鏈管理系統案例
- MRO工業品平臺應用管理系統解決方案
- 淺談OA系統在應用中安全性
- 圖文件管理系統的價格是多少?彩虹圖文件管理系統
- 工時管理系統在企業管理中的獨特功效
- SSECMM在某通訊網路管理系統安全工程中的應用與實踐
- 工業網路交換機在智慧電網系統中的應用
- iNeuOS工業網際網路作業系統,智慧用電測控應用案例作業系統
- PDM系統在技術狀態管理中的應用研究
- 四川重點用能單位工業企業能源管理線上監測系統開發
- 職工工資管理系統
- IHSE KVM坐席管理系統應用案例價值探究與評價
- 一款簡單好用的開源文件管理系統
- 用 Laravel 開發的一款文件管理系統Laravel
- 工業交換機在風電線上監測(SCADA)系統的應用
- 員工管理系統
- IT團隊適用的工時管理系統有哪些?
- 專案管理知識在銀行系統應用(轉)專案管理
- 動環監控系統在資料中心能耗管理的應用
- 條碼倉庫管理系統在食品行業中的應用行業
- 為大型活動保駕護航 巴可影像管理系統應用案例
- IPSec VPN安全應用系統
- 工控安全政策系列導讀:資訊保安技術工業控制系統安全控制應用指南
- 開源的api文件管理系統API
- 時代億信文件安全管理系統成功部署青海電信
- 榕基網路入侵檢測系統在電力行業的應用案例(轉)行業
- 一個在Linux系統下的入侵響應案例Linux