方案概述
軍工企事業是國家戰略性產業,擔負著先進武器裝備的開發、研制和生產,同時參與國民經濟建設的雙重歷史使命。隨著計算機信息網絡在國家信息化建設中的廣泛應用,對我國國防科技信息化建設產生了巨大影響。由于工作性質特殊性,軍工企業集中了大量的國家秘密信息,涉密信息的保密工作面臨著前所未有的機遇和挑戰。因此,在信息化推進的過程中如何建設信息安全防護體系,強化保密合規要求,落實泄密風險控制已經成為軍工行業急需解決的問題。國家保密局要求涉密信息系統建設使用單位應當在信息規范定密的基礎上,依據《涉密信息系統分級保護管理辦法》和國家保密標準BMB17-2006確定系統等級并且接受上級保密工作部門的監督和檢查。
現階段涉密信息系統安全保障工作整體還處于起步建設階段,根據分保要求當前軍工企業已經完成涉密信息系統定級和建設,技術要求上也基本上形成了保密網和相關保密措施,如物理安全、網絡安全、終端主機安全、移動存儲設備安全防護,同時對于保密制度的建設和人員保密培訓也形成了常態化工作。但是始終缺乏有效和安全通過加密數據自身的防泄密手段,使得涉密數據在傳輸使用的過程中依然面臨較大的泄密風險。
需求分析
1.加強核心涉密數據資產的內部保護,在數據安全層面建立涉密網絡內不同部門間數據的安全訪問及使用邊界,結合原有保密網內三合一軟件強化防泄密工作,防止主動泄密和被動失密風險;
2. 強化數據密級管理,做到數據人員密級分級分類,實現涉密數據資產密級管理與細粒度的權限訪問控制;防止非授權訪問竊取及透過其他未知途徑外泄涉密數據;
3. 實現涉密單機數據保密管理,能繼承并實現與保密網聯網主機統一的數據防泄密策略;
4. 非保密網的商密數據目前保護手段相對薄弱,需要對重要商密數據和業務系統數據進行防護,保護資產價值;
5. 系統必須實現系統管理員、安全保密員、審計管理員角色和權責分離;
6. 涉密數據資產在保密網內使用行為可追溯,可快速發現及識別不同密級數據的分布、使用操作及統計;
解決方案
依據《涉密信息系統分級保護管理辦法》和國家保密標準BMB17-2006,軍工企業涉密數據安全保護為核心,通過前沿信安涉密文檔安全管理系統及解決方案,總體實現效果如下:
關鍵功能:
文檔透明加解密技術
文檔標密定密
文檔安全傳輸
文檔安全共享
文檔授權管理
文檔細粒度權限控制
審批流程管理平臺
安全審計日志
分級管理、三權分立
詳細內容:
1. 涉密系統文檔下載安全控制
系統對應用系統文件下載采用加密控制機制,通過安全網關實現對涉密文檔的加解密控制,用戶從應用系統下載的敏感文件自動加密授權,涉密終端能夠自動識別并進行身份認證、權限認證、安全解密、日志記錄等操作。
2. 涉密文檔密級標識管理
系統可實現嚴格按照分級保護要求對人員密級和文檔密級進行定義和劃分,依據文件密級實現文件強制標密和手動標密;用戶可對密級文件進行定密、密級變更和授權,系統按照涉密單位的管理規范提供了標準流程對定密或密級變更進行統一管控。
3. 涉密文檔傳播安全管理
在對涉密文檔安全管理的同時,又結合軍工行業本身的業務流程和組織結構,將密級文檔使用權限深入到組織機構業務流程之中。
4. 涉密文檔外發安全管理
當涉密網絡安全域內的涉密文檔需要外發至其安全域外的他用戶時,系統提供外發審批流程,也提供標準的接口實現與原有信息輸出流程集成。
5. 涉密文檔應用審計管理
涉密文檔管理系統除了提供事前防范策略外,通過日志審計及統計功能,使管理者可即時查看到涉密單位員工對涉密文檔使用信息,也可就涉密文檔的終端分布進行統計,可實現有效的追蹤定位。
軍工行業解決方案優勢如下:
1. 實現保密網涉密數據分級分域的管理,同時實現涉密數據在產生、流轉、存儲、使用、外發等過程中的安全控制。
2. 方案可以靈活對重要的業務系統、文檔服務器、文檔等多維度進行管理,依據不同部門、人員、涉密級別進行管理,提升數據應用價值。
3. 對現有保密網內網絡、涉密應用系統、保密管控軟件無縫集成和兼容。
4. 可以實現涉密數據的分級管控,包含密級標識、定密、密級變更審批等功能。
5. 對涉密網數據原有輸出輸入流程幾乎無影響,在確保安全的前提下兼顧業務效率和用戶體驗。