用户概况:
中南空管局下辖民航新时代机场设计研究院(以下简称“设计院”)是由具有辉煌业绩的原民航中南机场设计研究院和民航华东机场建筑设计研究院于2002年11月联合重组而成。是中国民航现在的二个甲级设计机构之一。设计院存在大量设计文档、涉密基础数据、设计文档是设计院赖以生存的基础。这些设计成果数据等有价值的信息需要进行重点保护。因为客户提交的成果数据比较大,且设计院各部门的软件专业性强,数量非常多;院内信息系统也采取了一些安全措施并建立了一定的安全管理制度,数据生产网与Internet隔离,但是内网没有其他的保护措施,可随意通过USB接口拷贝设计图纸;设计文档本身就是产品,给用户后需要对成果数据的流转进行使用控制。
用户需求:
从设计院所的人员构成、业务流程和数据的流转特征等方面分析,设计院数据安全体系建设需要重点关注以下几方面:
1、设计人员不能通过U盘把设计图纸拷贝出去随意泄密;但是允许设计人员使用U盘;
2、安全系统不能影响内部设计人员正常操作习惯;
3、设计文档在客户、合作伙伴流转过程中如何实现有效的访问权限控制并杜绝恶意的成果剽窃、二次泄密行为;
4、由于工作需要,设计文档在内部各使用用户之间是透明使用;
5、设计文档不能随意被打印或截屏;
6、对密文的操作特别是解密、外带等高危型操作需日志记录,以备审计;
解决方案:
设计院所数据安全的体系建设,需要突出重点,切实关注文件拷贝、文件外带保密需求,充分考虑重要数据面临的各种主动泄密和被动泄密风险。同时,应充分考虑系统对设计人员的业务影响范围,尽可能降低安全行为带来的系统性能损耗和应用约束,在安全性和可用性之间保持合理的平衡。
对其提供的整体解决方案,重点实现以下功能:
1、 使用透明自动加解密方式,对设计文档进行自动加密,在文件新建保存时加密系统在后台对文件进行自动加密,在用户打开文件时,系统在后台对文件进行自动解密。不影响用户的操作习惯。在本单位内大家可以正常使用加密的设计文档,内部透明使用。用户通过U盘或其他方式拷贝出去的文件都是密文,脱离这个环境打开文件是乱码,或者无法打开密文文件。这样不仅可以防止U盘、其他存储介质或网络泄密文件,还可以照顾正常情况下U盘或其他功能的使用。既安全,有不影响用户使用。
2、 对外带(外发)文件采用文件加密打包技术,可以控制加密包在指定的计算机上使用,该加密包对文件进行阅读和编辑、打印权限上的控制,并对其访问的时间可次数进行限制。从而不仅解决了文件外带或外发的问题,而且做到了有效的控制,防止重要设计文档二次扩散泄密;
3、 权限控制可对内部的使用人员访问密文的权限做到严格的控制,其可控制的权限非常细致,包括文件的阅读、复制、编辑、打印、另存、截屏等;并且做到非常人性化的控制,比如由工作需要,可支持密文与密文之间的复制,明文到密文的复制,禁止密文复制到明文等功能。从而可以防止内部人员通过复制内容、打印、截屏的方式把重要的文档内容泄密出去,方便用户使用。
4、 对所有的密文所有操作方式均有详细的日志进行记录,以便管理员审计;
实施效果:
成功部署黑匣子文档安全管理系统之后,对设计图纸和其他文档进行的强制透明加密,保护机密文档时时刻刻处于加密安全状态。设计院实现了文档的权限控制、文档流转的可控可见可查,从技术上对可能的泄密渠道进行了封堵,对可能泄密的行为进行杜绝。再加上通过身份认证、日志审计等多重保护,构建了完善的整体信息防泄漏保护体系,最大限度保护了公司的信息资产,同时,还无形中规范了员工的行为。