面對(duì)紛繁復(fù)雜的內(nèi)網(wǎng)泄密風(fēng)險(xiǎn),層出不窮的數(shù)據(jù)泄漏事故,如何確保企業(yè)能夠構(gòu)造成功的信息安全防護(hù)體系,成為了一項(xiàng)迫重而緊急的任務(wù)。中航工業(yè)肩負(fù)大量涉及國(guó)家核心機(jī)密的設(shè)計(jì)、研究、生產(chǎn)工作,在國(guó)家安全環(huán)境日異復(fù)雜、市場(chǎng)競(jìng)爭(zhēng)越發(fā)激烈的大背景下,企業(yè)的核心數(shù)據(jù)、信息已然成為“眾矢之的”。當(dāng)企業(yè)的核心知識(shí)產(chǎn)權(quán)與機(jī)密面臨風(fēng)險(xiǎn)時(shí),中航工業(yè)選擇了迎難而上、果敢出擊。此次,北京明朝萬(wàn)達(dá)科技有限公司Chinasec(安元)攜手中航工業(yè)集團(tuán),為其著力打造完整的信息安全防護(hù)體系。Chinasec(安元)注重從信息的源頭開(kāi)始抓安全,對(duì)信息的存儲(chǔ)、交換和使用等環(huán)節(jié)實(shí)現(xiàn)全面保護(hù),從而達(dá)到信息的全程安全。
企業(yè)概況
中國(guó)航空工業(yè)集團(tuán)公司(簡(jiǎn)稱"中航工業(yè)")是由中央管理的國(guó)有特大型企業(yè),是國(guó)家授權(quán)投資的機(jī)構(gòu),由原中國(guó)航空工業(yè)第一、第二集團(tuán)公司重組整合而成立。集團(tuán)公司設(shè)有防務(wù)、運(yùn)輸機(jī)、發(fā)動(dòng)機(jī)、直升機(jī)、機(jī)載設(shè)備與系統(tǒng)、通用飛機(jī)、航空研究、飛行試驗(yàn)、貿(mào)易物流、資產(chǎn)管理、工程規(guī)劃建設(shè)、汽車(chē)等產(chǎn)業(yè)板塊,下轄近 200家子公司(分公司)、有20多家上市公司,員工約40萬(wàn)人。
信息交互現(xiàn)狀
隨著企業(yè)業(yè)務(wù)的高速拓展與規(guī)模的不斷擴(kuò)張,中航工業(yè)的各級(jí)分支機(jī)構(gòu)已經(jīng)遍布全國(guó)。為了解決企業(yè)核心信息的交互問(wèn)題,中航工業(yè)專門(mén)搭建了“某核心辦公信息系統(tǒng)”,并架設(shè)了SSLVPN,以便于各地員工的遠(yuǎn)程接入,從而有效提升了信息流通的速度與辦公效率,并實(shí)現(xiàn)了數(shù)據(jù)集中歸檔管理等效果。
企業(yè)“隱私”面臨風(fēng)險(xiǎn)
以“某核心辦公信息系統(tǒng)”為例,其最大的正向價(jià)值在于信息交互的便捷性,最大的風(fēng)險(xiǎn)也正源于此。如果沒(méi)有專業(yè)的、針對(duì)性較強(qiáng)的信息安全防護(hù)體系作為依托,與系統(tǒng)相關(guān)的數(shù)據(jù)、文檔等隨時(shí)都可能被黑客、木馬、(惡意)主動(dòng)等方式外傳、外帶至非企業(yè)區(qū)域,其危險(xiǎn)性不言而喻。
信息安全防護(hù)體系的設(shè)計(jì)
通過(guò)對(duì)中航工業(yè)的信息交互現(xiàn)狀的分析,我們不難發(fā)現(xiàn)其中信息流動(dòng)主要是圍繞“某核心辦公系統(tǒng)”來(lái)進(jìn)行的。因此信息安全防護(hù)體系應(yīng)沿著該系統(tǒng)的實(shí)際應(yīng)用進(jìn)行有針對(duì)性的部署,從而實(shí)現(xiàn)“對(duì)癥下藥”,將安全力度有力有節(jié)的加以施放。總體來(lái)說(shuō)有以下幾點(diǎn)需要重點(diǎn)關(guān)注:
1) “某核心辦公信息系統(tǒng)”的準(zhǔn)入,原“用戶名\密碼”方式安全程度有限;
2) “某核心辦公信息系統(tǒng)”中的文檔下載至計(jì)算機(jī)時(shí)的保密處理;
3) 人員權(quán)限管理,即根據(jù)所屬部門(mén)、職級(jí)等事先設(shè)定權(quán)限,此權(quán)限即其使用系統(tǒng)所屬文檔的權(quán)限;
4) 文檔外帶\外發(fā)審批流程,需具備相關(guān)審批流程的制定功能,以保證涉密數(shù)據(jù)可以在受到審計(jì)與審批的情況下可以以適當(dāng)?shù)男问奖粋鬟f至企業(yè)外部。
信息安全防護(hù)體系的建設(shè)
經(jīng)過(guò)多輪評(píng)測(cè)與對(duì)比,中航工業(yè)最終選擇“Chinasec應(yīng)用保護(hù)系統(tǒng)”作為體系的防護(hù)體系的建設(shè)基礎(chǔ)。最主要的原因是,該系統(tǒng)與傳統(tǒng)數(shù)據(jù)安全防護(hù)系統(tǒng)有著很大的區(qū)別,其突破了原有的圍繞文檔進(jìn)行加密的“程式化思路”,轉(zhuǎn)而將數(shù)據(jù)風(fēng)險(xiǎn)控制點(diǎn)指向核心業(yè)務(wù)系統(tǒng)本身,通過(guò)精準(zhǔn)的風(fēng)險(xiǎn)分析與定位,以期實(shí)現(xiàn)“加密最少化,安全最大化”的效果。結(jié)合中航工業(yè)對(duì)于信息安全防護(hù)體系的設(shè)計(jì)要求,解決方案各組件及控制過(guò)程如下:
1)保密對(duì)象設(shè)定
鎖定保護(hù)對(duì)象為“某核心辦公信息系統(tǒng)”;
2)人員身份與密級(jí)設(shè)定
從“某核心辦公信息系統(tǒng)”中同步用戶身份,并根據(jù)其職級(jí)與業(yè)務(wù)屬性差異化的設(shè)定其對(duì)于文檔的使用權(quán)力,如打開(kāi)次數(shù)、閱讀時(shí)限、可否編輯、可否打印、可否另存等;
3)業(yè)務(wù)系統(tǒng)訪問(wèn)控制
“某核心辦公信息系統(tǒng)”服務(wù)器具備自動(dòng)檢測(cè)終端上是否安裝特定的Chinasec客戶終端防護(hù)組件的功能,如未安裝則系統(tǒng)會(huì)自動(dòng)跳轉(zhuǎn)至組件安裝頁(yè)面;
4)數(shù)據(jù)下載加密
“某核心辦公信息系統(tǒng)”下載、導(dǎo)出至員工計(jì)算機(jī)的文檔會(huì)被自動(dòng)加密,工作人員須遵照“人員身份與密級(jí)設(shè)定”來(lái)使用文檔;
5)權(quán)限審批與文檔外帶審批
當(dāng)需要超出當(dāng)前用戶權(quán)限使用涉密文檔時(shí),需經(jīng)審批加臨時(shí)授權(quán)的方式進(jìn)行“提權(quán)”;當(dāng)需要對(duì)文檔進(jìn)行外發(fā)\外帶時(shí)(通過(guò)網(wǎng)絡(luò)、USB存儲(chǔ)設(shè)備等),亦須向?qū)徟颂峤簧暾?qǐng),審批通過(guò)后系統(tǒng)會(huì)自動(dòng)對(duì)審批內(nèi)容(即文檔)進(jìn)行封裝,生成可供外帶的“封裝包”,對(duì)包中內(nèi)容的讀取仍然受到審批時(shí)所賦予的文檔使用權(quán)限的約束。
籍此,Chinasec應(yīng)用保護(hù)系統(tǒng)同中航工業(yè)“某核心辦公信息系統(tǒng)”進(jìn)行了順利的對(duì)接。從實(shí)際應(yīng)用與各方面反饋來(lái)看,應(yīng)用保護(hù)系統(tǒng)達(dá)到了中航工業(yè)對(duì)于信息安全防護(hù)系統(tǒng)的建設(shè)預(yù)期,取得了良好的數(shù)據(jù)安全防控效果。
