军工科研企业加密方案

2013年11月22日，我们上海专利周的“军民两用专利成果对接活动”。主要展会上，我们在与军方领导、科研院所的领导交流过程中，就企业或个人研究出的可用于的专利科技成果的保护非常关注。

为了跟上时代的步伐，在信息时代，军工行业也做出了很多改变。生产的机械化，系统的信息化等等。信息技术正不断的融入到军工行业，但同时许多数据安全方面的问题也出现在军工行业。 　　

【军事机密信息化，面临现代数据安全多重考验】

由于信息化技术的介入，军工行业在处理数据时的效率更高，处理速度也更快，借助网络的应用，数据 的传输和交互也更为方便。但是由于数据电子化、信息化的关系，意味着核心的军事机密也进入了这个领域，这些机密正面临数据安全方面的巨大考验。

【军事化的数据安全防护 需要更高标准的密级管理】

军队向来以规范和纪律严谨著称，一个有强大纪律和等级制度的军队能展现最强的战斗力。而在军工行业由于肩负艰巨的军工任务，使得要正常运作必须拥有强大的运作规范。同时由于军工行业的特殊性，可谓到处充斥着机密，想要达到好的防护效果，就必须拥有国家级别的等级防护制度和严格的密 级管理的支持。

【军工业生产任务艰巨 但权限划分需要更明确】

随着国家的发展，国力的增强，在和平年代虽然武器数量的硬指标不再是重点，但是武器的先进和质量却成为了军工行业的重点。许多先进 武器的研发和制造都落在了军工企业的肩上，军工企业肩负着巨大的生产任务。这些生产任务由于牵涉到许多先进的研发机密，所以需要多种数据安全防护技术的把 关，同时由于可能参与的人数众多，严格的权限划分也是安全防护的必要条件。

面对众多挑战 核心防护是“良药”

对于军工企业在信息时代面对这些挑战，我们凭借多年的数据、信息安全防护经验给出以下解决方案：

一、军工企业数据环境和数据安全特征

军工企业一般信息化水平都比较高，而且由于行业的特殊性，具有高度保密的要求，其信息化状况和数据安全需求主要有以下特点：

1. 网络环境复杂，军用专网、内网和互联网等多种平台界限分明，不同平台之间通信管控严格；

2. 军队内部统一配发的USB Key数字证书已经成为军工企业人员在军内网络的数字身份主要标识；

3. 系统内产生的数据和文档有高度保密性、高度敏感性，数据泄露会造成重大危险；

4. 军工企业系统内的指挥中心系统、业务信息系统和办公OA系统等应用平台数据交互频繁，与合作单位有大量的对外接口；

5. 移动设备如笔记本电脑、U盘使用广泛；

6. 与外部单位的合作，对外发出文件数量较多。

二、军工企业数据防泄露需求分析

结合军工企业上述特征，军工企业系统内部的数据安全需要重点关注如下几方面问题：

1. 基于数字证书的统一计算机登录授权管理体系已经成为有效的身份认证基础，在此基础上需要进一步深化数据安全管理；

2. 需要采用等级保护制度，对文档划分不同的安全等级，对不同等级的文档实现不同强度的安全保护；

3. 对涉密文档集中式管理，防止分散储存导致的泄密风险；

4. 对所有笔记本电脑需要全盘加密，有效提高笔记本电脑数据的安全性和保密性，防止被动泄密风险；

5. 移动存储介质管理, 确保移动存储介质的方便性和安全性；

6. 对所有设备端口必须要进行控制，允许合法接入的畅通，同时也要严密防止非法接入；

7. 针对外发文件，需要加强权限管理，确保外发数据和文件的安全。

三、数据防泄露解决方案有效防止数据泄露

数据泄露防护 解决方案，基于“驱动级透明动态加解密技术”，在全面结合现有数字证书体系的前提下，配合业务需求，以文档流转途径为路基，融合文档权限管理、文档外发管理、笔记本电脑离线脱机管理、笔记本全盘加密管理、设备安全管理等功能，全方位地保护公安系统数据安全，防止数据泄露。

方案说明：

1. 内部网络终端文档和数据安全——文档权限管理系统

在军工企业办公OA系统和业务信息系统等内部网络中，采用文档权限管理系统DRM。DRM是针对用户可控、授权的电子文档安全共享管理系统。该系统采用“驱动级透明动态加解密技术”和实时权限回收技术，对通用类型的电子文档进行加密保护，且能对这加密文档进行细分化的权限设置，确保机密信息在授权的应用环境中、指定时间内、进行指定操作，不同使用者对“同一文档”拥有“不同权限”。 通过对文档内容级的安全保护，实现机密信息分密级且分权限的内部安全共享机制。

2. 文档外发控制

对军工企业内部发往出差人员、合作单位等系统外的文档，采用文档外发控制系统ODM。ODM应用文档外发管理程序打包生成外发文件发出。当外发文件打开时，需通过用户身份认证，方可阅读文件。同时，外发文件可以限定接收者的阅读次数和使用时间等细粒度权限，从而有效防止了客户重要信息被非法扩散。

3. 脱机管理

在人员出差或其他情况下，需要外带笔记本电脑，则通过离线绑定，实现离线控制。

4.笔记本电脑管理

对军工企业系统内的存有重要资料的笔记本电脑，采用磁盘全盘加密系统DSE。DSE是一款防止笔记本电脑丢失、维修和报废后导致数据泄露的透明加密软件。在电脑关机和休眠的状态下，硬盘中存储的数据均被做了高强度加密，没有用户本人输入密钥，他人无法获得硬盘上的加密数据，从而防止笔记本电脑数据泄露。

5.设备管理

对内网中的所有端口，采用设备安全管理系统DSE。DSE通过对U盘、移动硬盘、红外、WIFI、蓝牙等输出端口进行控制。

6.文档自动备份

文档每次保存后均自动备份到备份服务器中。文档管理员可通过改变备份的模式和途径，实现备份管理。用户在脱离服务器模式下的文档，也将自动备份到本地硬盘中。通过备份，可有效避免因为各种意外导致的数据损失。

7.日志审计

能够监督、跟踪、记录所有用户的全部操作，实时查看系统的使用情况，实现最高的系统安全。可以从庞大的记录数据中抽取有用的信息，对用户的某些操作进行分类整理，通过操作记录，回溯历史活动，从而发现泄密渠道。通过跟踪目前用户操作，能及时发现用户的危险操作，在泄密事件发现前就获得警报，制止泄密事件的发生。一旦泄密事件发生，通过用户操作记录, 可以第一时间拿出最有力的证据。

四、方案特点

1. 数据防泄露的所有功能基于一套完整、协调的体系，可以实现的统一管理和策略联动，在实施、管理、维护、升级等一系列活动中，方便灵活，极大地降低了成本；

2. 数据防泄露体系以数据加密和权限管理为核心，结合了身份认证、日志审计、文档备份、外发管理等功能，系统本身具备容灾管理功能，在基于用户需求的基础上，配合各种安全策略，不仅从源头上实现了文档的保密，还有效实现网络边界管理，是高效的分层式安全架构。

3. 完全兼容现有的数字证书，是数字证书应用的有力扩展，提高了数字证书的利用率，并实现了用户标识的统一管理；

4. 能与各种应用平台集成，支持通用文件格式如：office系列、PDF、CAD等。能与各种特性平台集成，如各种OA系统，支持各种认证系统（AD、CA、ED等）。

5. 该系统具备大用户数管理模式支持，能满足万点以上大规模端点控制需求，可以实现负载均衡、热备和多级管理模式等；

6. 具有高度的模块化和扩展性，可以根据军工企业信息系统发展的需要，扩展其他功能，比如：电子邮件加密，输出内容监控等模块。