信息化时代,人们越来越多地借助以计算机、互联网等先进技术为代表的信息手段,将企业的经营及管理流程在线实现,所有业务数据经由系统处理,快速形成管理层所需商业智能,这样,业务系统信息数据就成为企业信息的主要存储方式及企业内、外部之间进行信息交换的重要载体。如何保护业务信息数据的安全问题,作为信息安全领域的一个重要内容,越来越受到重视。
中国核电信息化建设在不断深入,越来越多的资料以电子文件的形式产生和保存。这些资料包括国家机密、企业商业秘密和其他一些不希望外部获知的内部资料。而中国核电公司总部(北京)和下属核电厂,这些办公场所涉及到的人员众多,且均能连接核心内部专网的各核心业务系统(包括重点业务公开系统、文档管理系统等),这些数据将在使用过程中会被分散到具体的终端。由于电子文件管控难度较大,可能会发生某些内部信息未经授权发布即被外界获悉的情况。因此,希望能通过一定的技术手段,配合适当的管控措施,对于公司文件的内外流转进行全程的跟踪和限制,经过多方的选型比较,最终确定携手明朝万达构建文档加密及权限控制解决方案。
Chinasec文档加密及权限控制解决方案
方案实现对电子文档安全管理方案,防止敏感电子数据的随意流失,采用主动加密等技术对文档进行安全保护,且和文件格式以及创建文件程序无关,集成了用户和终端的两种管理模式,对电子文档数据进行加密、授权、审批一系列的管理。系统采用了弹性的控制管理策略,为用户提供简单、实用的文档安全解决方案。
具体技术实例
文档加解密管理
Chinasec终端安全与文件保护系统提供了多种文档加密的应用方式,文件的透明加密在文件过滤驱动层进行,采用了高强度的加密算法对文件进行加解密,以便更切合实际应用。通过Chinasec系统加密后的文件只有在拥有Chinaserc客户端环境下的合法用户才能有权限操作和访问相关文件。自动加密\手动加密\批量加密
授权控制管理
文档权限管理是文档保密体系中的核心,文档权限管理包含权限属性定义、策略定义、权限库设计几个环节。权限体系的设计是为了保障文件加密以后的安全性,在实际使用过程中,任何加密的文件都会附带有一个文件的权限属性,这时使用者在使用这些重要的敏感信息时能够自动根据相关的文件权限进行相关的安全控制了。由于中国核电厂公司计算机终端和用户规模庞大,考虑到文档在后期的应用中对象很多,Chinasec亦具备针对不同的用户群体采用不同权限管理的模式进行文档安全管控。
文档审批管理
在数据需要被外带或者权限不够需要提升的过程时,提供文件审批管理功能。为了保障数据在外发后的安全性,在审批管理中包含了对数据外发管理的功能,敏感数据经过审批以后可以形成外带包,根据其使用的权限,在外使用时直接可以进行相关的权限管控。
为了有效的提高工作效率,降低审批时间成本,提供了自动审批功能,自动审批是根据管理员实现预设好的规则,对审批的文件由系统自动判断,可根据文件大小,文件名,文件时间等信息进行综合判断,当条件符合时则文件审批通过,不符合时则拒绝或者流转到人工审批员处。
日志审计和离线管理
在数据对外进行交换过程中,提供数据的跟踪和审计功能。数据在审批完以后会自动将文件进行保存或者将文件名保存,并传到日志服务器上,录入查询数据库中。Chinasec还提供了多种数据外发跟踪机制,包括对加密文档的使用、复制、违规操作等,一旦数据外带则会自动被审计。
解决方案特点
◆ 实现数据在流转过程中(存储、内部传输、介质交换、向外发送)的全方位加密与审批保护,有效控制其生存环境;
◆ 提供基于密级的管理模式,实现更为灵活的管理过程;
◆ 其于不同的管理维度配置策略、制定管控力度;
◆ 提供多级管理的功能,形成级联式的管理控制体系,在权限下方的同时实现垂直监管。灵活地适应各种复杂管理模型的需要;
◆ 实现较大规模的部署,保证Chinasec服务器的运行稳定,确保多台服务器运行环境的负载均衡;
通过明朝万达文档加密及权限控制解决方案的部署,可针对不同保密级别的文档,采用相应的保密措施,减小了信息外泄风险,增加泄密难度,并全面记录受保护文件的使用日志,使相关管理人员能在发生信息外泄事件时追查到相关文件的外发路径和责任人。有效的保护内部核心业务系统的数据安全,防范有意或无意的泄密事件发生,提高中国核电信息安全管理水平
