方案概述
軍工企事業(yè)是國家戰(zhàn)略性產(chǎn)業(yè),擔(dān)負(fù)著先進(jìn)武器裝備的開發(fā)、研制和生產(chǎn),同時(shí)參與國民經(jīng)濟(jì)建設(shè)的雙重歷史使命。隨著計(jì)算機(jī)信息網(wǎng)絡(luò)在國家信息化建設(shè)中的廣泛應(yīng)用,對(duì)我國國防科技信息化建設(shè)產(chǎn)生了巨大影響。由于工作性質(zhì)特殊性,軍工企業(yè)集中了大量的國家秘密信息,涉密信息的保密工作面臨著前所未有的機(jī)遇和挑戰(zhàn)。因此,在信息化推進(jìn)的過程中如何建設(shè)信息安全防護(hù)體系,強(qiáng)化保密合規(guī)要求,落實(shí)泄密風(fēng)險(xiǎn)控制已經(jīng)成為軍工行業(yè)急需解決的問題。國家保密局要求涉密信息系統(tǒng)建設(shè)使用單位應(yīng)當(dāng)在信息規(guī)范定密的基礎(chǔ)上,依據(jù)《涉密信息系統(tǒng)分級(jí)保護(hù)管理辦法》和國家保密標(biāo)準(zhǔn)BMB17-2006確定系統(tǒng)等級(jí)并且接受上級(jí)保密工作部門的監(jiān)督和檢查。
現(xiàn)階段涉密信息系統(tǒng)安全保障工作整體還處于起步建設(shè)階段,根據(jù)分保要求當(dāng)前軍工企業(yè)已經(jīng)完成涉密信息系統(tǒng)定級(jí)和建設(shè),技術(shù)要求上也基本上形成了保密網(wǎng)和相關(guān)保密措施,如物理安全、網(wǎng)絡(luò)安全、終端主機(jī)安全、移動(dòng)存儲(chǔ)設(shè)備安全防護(hù),同時(shí)對(duì)于保密制度的建設(shè)和人員保密培訓(xùn)也形成了常態(tài)化工作。但是始終缺乏有效和安全通過加密數(shù)據(jù)自身的防泄密手段,使得涉密數(shù)據(jù)在傳輸使用的過程中依然面臨較大的泄密風(fēng)險(xiǎn)。
需求分析
1.加強(qiáng)核心涉密數(shù)據(jù)資產(chǎn)的內(nèi)部保護(hù),在數(shù)據(jù)安全層面建立涉密網(wǎng)絡(luò)內(nèi)不同部門間數(shù)據(jù)的安全訪問及使用邊界,結(jié)合原有保密網(wǎng)內(nèi)三合一軟件強(qiáng)化防泄密工作,防止主動(dòng)泄密和被動(dòng)失密風(fēng)險(xiǎn);
2. 強(qiáng)化數(shù)據(jù)密級(jí)管理,做到數(shù)據(jù)人員密級(jí)分級(jí)分類,實(shí)現(xiàn)涉密數(shù)據(jù)資產(chǎn)密級(jí)管理與細(xì)粒度的權(quán)限訪問控制;防止非授權(quán)訪問竊取及透過其他未知途徑外泄涉密數(shù)據(jù);
3. 實(shí)現(xiàn)涉密單機(jī)數(shù)據(jù)保密管理,能繼承并實(shí)現(xiàn)與保密網(wǎng)聯(lián)網(wǎng)主機(jī)統(tǒng)一的數(shù)據(jù)防泄密策略;
4. 非保密網(wǎng)的商密數(shù)據(jù)目前保護(hù)手段相對(duì)薄弱,需要對(duì)重要商密數(shù)據(jù)和業(yè)務(wù)系統(tǒng)數(shù)據(jù)進(jìn)行防護(hù),保護(hù)資產(chǎn)價(jià)值;
5. 系統(tǒng)必須實(shí)現(xiàn)系統(tǒng)管理員、安全保密員、審計(jì)管理員角色和權(quán)責(zé)分離;
6. 涉密數(shù)據(jù)資產(chǎn)在保密網(wǎng)內(nèi)使用行為可追溯,可快速發(fā)現(xiàn)及識(shí)別不同密級(jí)數(shù)據(jù)的分布、使用操作及統(tǒng)計(jì);
解決方案
依據(jù)《涉密信息系統(tǒng)分級(jí)保護(hù)管理辦法》和國家保密標(biāo)準(zhǔn)BMB17-2006,軍工企業(yè)涉密數(shù)據(jù)安全保護(hù)為核心,通過前沿信安涉密文檔安全管理系統(tǒng)及解決方案,總體實(shí)現(xiàn)效果如下:
關(guān)鍵功能:
文檔透明加解密技術(shù)
文檔標(biāo)密定密
文檔安全傳輸
文檔安全共享
文檔授權(quán)管理
文檔細(xì)粒度權(quán)限控制
審批流程管理平臺(tái)
安全審計(jì)日志
分級(jí)管理、三權(quán)分立
詳細(xì)內(nèi)容:
1. 涉密系統(tǒng)文檔下載安全控制
系統(tǒng)對(duì)應(yīng)用系統(tǒng)文件下載采用加密控制機(jī)制,通過安全網(wǎng)關(guān)實(shí)現(xiàn)對(duì)涉密文檔的加解密控制,用戶從應(yīng)用系統(tǒng)下載的敏感文件自動(dòng)加密授權(quán),涉密終端能夠自動(dòng)識(shí)別并進(jìn)行身份認(rèn)證、權(quán)限認(rèn)證、安全解密、日志記錄等操作。
2. 涉密文檔密級(jí)標(biāo)識(shí)管理
系統(tǒng)可實(shí)現(xiàn)嚴(yán)格按照分級(jí)保護(hù)要求對(duì)人員密級(jí)和文檔密級(jí)進(jìn)行定義和劃分,依據(jù)文件密級(jí)實(shí)現(xiàn)文件強(qiáng)制標(biāo)密和手動(dòng)標(biāo)密;用戶可對(duì)密級(jí)文件進(jìn)行定密、密級(jí)變更和授權(quán),系統(tǒng)按照涉密單位的管理規(guī)范提供了標(biāo)準(zhǔn)流程對(duì)定密或密級(jí)變更進(jìn)行統(tǒng)一管控。
3. 涉密文檔傳播安全管理
在對(duì)涉密文檔安全管理的同時(shí),又結(jié)合軍工行業(yè)本身的業(yè)務(wù)流程和組織結(jié)構(gòu),將密級(jí)文檔使用權(quán)限深入到組織機(jī)構(gòu)業(yè)務(wù)流程之中。
4. 涉密文檔外發(fā)安全管理
當(dāng)涉密網(wǎng)絡(luò)安全域內(nèi)的涉密文檔需要外發(fā)至其安全域外的他用戶時(shí),系統(tǒng)提供外發(fā)審批流程,也提供標(biāo)準(zhǔn)的接口實(shí)現(xiàn)與原有信息輸出流程集成。
5. 涉密文檔應(yīng)用審計(jì)管理
涉密文檔管理系統(tǒng)除了提供事前防范策略外,通過日志審計(jì)及統(tǒng)計(jì)功能,使管理者可即時(shí)查看到涉密單位員工對(duì)涉密文檔使用信息,也可就涉密文檔的終端分布進(jìn)行統(tǒng)計(jì),可實(shí)現(xiàn)有效的追蹤定位。
軍工行業(yè)解決方案優(yōu)勢(shì)如下:
1. 實(shí)現(xiàn)保密網(wǎng)涉密數(shù)據(jù)分級(jí)分域的管理,同時(shí)實(shí)現(xiàn)涉密數(shù)據(jù)在產(chǎn)生、流轉(zhuǎn)、存儲(chǔ)、使用、外發(fā)等過程中的安全控制。
2. 方案可以靈活對(duì)重要的業(yè)務(wù)系統(tǒng)、文檔服務(wù)器、文檔等多維度進(jìn)行管理,依據(jù)不同部門、人員、涉密級(jí)別進(jìn)行管理,提升數(shù)據(jù)應(yīng)用價(jià)值。
3. 對(duì)現(xiàn)有保密網(wǎng)內(nèi)網(wǎng)絡(luò)、涉密應(yīng)用系統(tǒng)、保密管控軟件無縫集成和兼容。
4. 可以實(shí)現(xiàn)涉密數(shù)據(jù)的分級(jí)管控,包含密級(jí)標(biāo)識(shí)、定密、密級(jí)變更審批等功能。
5. 對(duì)涉密網(wǎng)數(shù)據(jù)原有輸出輸入流程幾乎無影響,在確保安全的前提下兼顧業(yè)務(wù)效率和用戶體驗(yàn)。