前言
能源化工是国家的基础和支柱行业,是我们日常各项工作和生活的基础与保障。在国际和国内日益激烈的市场竞争环境下,能源各细分行业为了提高管理水平,提高生产效率和经济效益,降低成本,均把提高信息化应用水平作为其加强集团管控、提高关键业务能力、提高核心竞争力的主要手段。
随着能源化工业的发展和业务规模不断扩大,各大能源化工企业实现业务过程中,总部与各个分支机构需要实时信息传输和资源的共享。在数据传输上既要保证内部业务网络较高的可用性、可靠性、保密性,又要对内部核心数据有较强的防御和管控能力。能源行业内部网络存在大量重要数据和信息资料,如核心技术、专利以及财务数据等。更重要的是许多基础数据已纳入国防战略信息范围,需要重点防护;国家对大型能源系统信息化建设提出了明确要求,即满足《信息系统安全等级保护基本要求》中的相关技术要求。
需求分析
Demand analysis
在能源化工行业中,企业投入了大量的人力、设备、资金来打造先进的CAD开发平台,这些资源投入所换取的就是包含企业核心竞争优势的CAD图纸等重要数字资产。但是基于能源化工行业的高人员流动率,以及专门针对于机密图纸和文档的病毒、黑客程序,这些机密数据很容易被泄露到企业外部,或者被多种人为和自然原因所破坏,造成了数字资产的流失和资源投入的损失。与此同时,伴随着行业内分工和协同的不断发展,越来越多的企业开始通过与上下游企业开展合作来提升自身的竞争优势。在这个过程中,大量的机密设计图纸需要在企业之间进行共享和传递。并且,由于数字资产的易复制和易存储性,合作伙伴将有可能永久和多版本的保留这些重要数据,从而增加了图纸被多次扩散的安全管理风险。
解决方案
Solution
1. 核心文档透明加密防护
对于存储在终端计算机中的CAD图纸等重要数字资产进行强制加密保护。未来数安采用Windows内核的文件过滤驱动实现文件透明加解密,对用户完全透明,用户打开文件、编辑文件和平常一样,甚至毫无感觉,不影响用户操作习惯。如果加密文件通过QQ、飞秋、电子邮件、移动存储设备、网络共享等手段传输到企业授权范围以外,那么它将无法被正常打开和应用,打开将显示乱码,文件始终保持加密状态。
2. 文档内部交互安全管控
(一)文档分级管理
对于能源化工单位内部文档,根据其所承载的涉密程度不同,需要由不同涉密等级的的人员进行处理,这就需要对涉密文档和使用者进行密级标识,以控制涉密文档的安全性。未来数安提供密级管理功能可对每个终端用户设置用户密级(其中公开文件<内部资料文件<秘密文件<机密文件<绝密文件)。密级设置之后,每个等级只能查看不高于自己密级的文档,从而有效防止内部涉密文档被越权查看。
(二)部门隔离管理
每个部门负责的工作文档性质均不同,有一些核心部门的办公文档只允许在本部门内部流转。因此,需满足不同部门之间的文档相互独立。未来数安支持部门阅读权限隔离控制,能够使各个部门文档的知悉范围得到有效控制。
(三)涉密文档交互控制
需重点防护的CAD图纸、专利等核心资料,需要严格控制使用权限。可利用未来数安内部流转文件功能轻松实现涉密文档的交互安全管控。如:使用对象、打开密码、阅读次数、是否可打印、是否可截屏、是否可编辑、阅读时间、禁止删除、过期自毁等。
3. 文档外发安全管控
方案一:
为了解决对外业务交互的后顾之忧,我们提供如下制造受控外发文件方案:
当需要给客户或者合作伙伴外发文件时,首先向上级领导进行外发申请;
被授权的客户或合作伙伴获得该受控外发文件后,打开时需先进行合法的身份认证;
认证通过后在设定的访问权限范围内使用外发文件,访问权限包括:阅读次数、可打印、可截屏、可编辑、阅读期限、过期自毁、回收等。
方案二:
未来数安外发U盘为软硬件一体的文件外发媒介,用来保护能源化工单位外发文件的安全性和保密性,防止文件的二次扩散。
4. 终端打印安全管理
打印外泄是最常见的泄密途径。因为大多数单位内部人员可以随意使用打印机打印文件,且无法进行监控和审计,直接影响着内部重要文档资料的安全。
未来数安能够对内部员工的打印作业进行有效的监控和管理:
事前打印控制:是否可以打印?允许用哪台打印机?哪些软件允许打印?
事中打印警示:自定义水印内容,实现打印警示;
事后打印审计:什么人、什么时间、哪台电脑、哪台打印机、打印什么内容、多少页数、多少份数,全程跟踪记录。
5. U盘使用统一管理
对能源化工单位内部使用U盘进行统一注册管理,经单位内部认证的U盘才可在单位内使用,未经认证的U盘禁止在单位内使用。同时,U盘访问权限进一步控制,比如:只读、禁止。另外,还可以根据单位的实际情况,限制哪些电脑的USB接口能否使用。分别有允许使用、禁止使用、USB设备只读(即单向传输拷贝控制,只能从U盘上拷出数据,不能拷入数据)和断网使用(即插入USB存储设备时终端断网)四种限制方式。
对U盘禁止时,为了不影响其他USB外设使用,精确区别U盘、移动硬盘、鼠标、打印机等不同接口设备。
6. 安全日志审计
在数据安全管理中,行为审计具有非常重要的意义,不仅可以检验合规管理效果,而且是促进内网安全状况持续改善的基本保证。未来数安提供强大的日志审计功能监督、跟踪、记录所有用户的全部操作,一旦泄密事件发生,通过用户操作记录, 可以第一时间追溯、问责,将损失减少到最小。
方案优势
Program advantage
通过对数据文档的产生、使用、授权、流转等环节进行整体的防护,为企业提供完整的数据安全解决方案,通过本方案能够达到以下效果:
1.通过加密手段,提高数据资产的安全性;
2.减少因文档泄露导致核心数据资产外泄;
3.提供完整的数据安全保护策略,提高安全管理能力;
4.提高抗风险能力,降低运营风险;
5.规范内部管理,规范员工行为,提高生产积极性。