製造業文檔管控

一、前言

隨着製造業信息化的迅速發展，企業信息，尤其是文檔信息如何能更有效、更安全的流轉和使用成為生產商所關心的問題，文檔信息的安全傳輸也隨之成為一項重要的業務需求。

隨着信息化建設的推廣，致使企業百分之九十的知識產權：如新發明，設計圖紙，程序代碼等，都是以電子數據的形式存在企業的內部網絡中。同時在軟件方面，增加了ERP、PDM、CRM和SCM等專業系統，企業內部的數據流豐富了起來，這些新型管理手段的採用在為企業帶來更高生產效率的同時也對企業的網絡安全管理帶來了新的挑戰。

據權威機構調查，80%以上的安全威脅來自洩密和內部人員犯罪，而非病毒和外來黑客引起。防火牆、入侵檢測、隔離裝置等網絡安全保護對於防止外部入侵有着不可替代的作用，而對於內部洩密顯得無可奈何，真正有目的盜取或破坏信息的黑客也許正在隱藏在內部。企業內部的信息安全需要一個整體的策略方案。

二、需求分析

在製造、設計高度信息化、網絡化的趨勢帶動下，企業引入了大量與生產製造相關的應用系統，這些應用對於終端的處理能力要求非常高，從而也帶來了數據洩露，具體表現如下：

1.   系統內產生的數據和文檔有高度保密性、高度敏感性，數據洩露會造成重大危險；

2.   企業的認証體系、業務信息系統和辦公OA系統等應用平台數據交互頻繁，與合作單位有大量的對外接口；

3.   企業內部網絡有多種業務平台，移動設備如筆記本電腦、U盤使用廣氾，造成數據洩密；

4.   與外部單位的合作，內網用戶通過IM、郵件等方式直接將涉密文件發給外部人員，從而引起較嚴重後果；

5.   辦公網上的信息都未被加密，採用明文傳輸；

6.   辦公網的用戶權限控制不嚴密；

7.   工作需要截屏或打印時可能造成部分機密信息洩露，人工干預程度較大，成本較高。

 三、解決方案

通過以上需求分析，採用網劍文檔安全管理系統，從數據的存儲、傳輸、交換過程中的安全環節，採用了多種加密手段結合的方式保護。從終端、網絡和存儲三個層次入手，對核心數據的形成、存儲、使用、傳輸、歸檔及銷毀等全生命週期進行安全控制，結合企業特有的業務需求、業務模式和管理文化，為企業制定完整的數據洩漏防護解決方案，實現企業核心信息資產防洩漏的安全目標。

功能特性

1.  基於進程(程序)的文檔動態透明加解密

可支持加密所有的應用程序，支持用戶自定義加密程序或加密程序族，支持不同的客戶端配置不同的加密程序。加密時不區分文檔後綴，產生的所有文檔都會加密。技術架構基於文檔過濾驅動(MiniFilter)。

2.  可存儲外設的權限控制

對於光驅、軟驅、USB存儲(包括U盤和移動硬盤)的權限控制，可選擇正常、只讀、禁用3種狀態。

3.  可通訊外設的控制、及其他雜項的控制

可禁用紅外、藍牙、手機同步，可禁止打印，可禁止互聯網，可禁止截屏，可禁止客戶端訪問其他計算機的共享文檔。

4.  自定義加密文檔信息、自定義密鑰

可自定義加密文檔文件頭的水印信息，便於識別文檔歸屬，加密過的文檔可以顯示特殊的附加圖標。文檔加密密鑰由企業管理員自定義而不是由軟件開發商定義。

5.  密級劃分權限

可對不同的用戶定義不同的密級，高密級用戶可以打開低密級用戶產生的文檔，反之禁止。高密級用戶用戶可以選擇文檔進行降級操作。

6.  解密工具手動解密、加密

可用解密工具對需要的文檔進行批量的手工解密和加密，且在服務端記錄解密日誌。

7.  移動存儲日誌

所有在USB移動存儲設備上新建、修改文檔的操作均會記錄到數據庫中，包括文件名、時間、計算機名、IP地址等。

8.  流程解密審批自動解密

可自定義審批流程，由請求解密者發起流程，逐級審批后，獲得自動解密的文檔，整個流程過程及文檔本身均保存在數據庫中可查詢。

9.  文檔安全共享

可將文檔上傳至數據庫中(加密狀態)，作為個人的基本的文檔備份和管理，然後可以將文檔共享給其他的訪問(不是文件夾共享)，可以限定不同人員的瀏覽、上傳、下載等權限，如果限定的人員只有瀏覽權限是無法打開文檔本身的，只能在文檔安全共享程序中瀏覽。

10. 文檔外發瀏覽

由於企業間信息交流等原因，相關文檔需要可以外發瀏覽，又讓文檔也受控制不洩密，可以設定控制電子文檔的外發瀏覽次數和使用期限。

四、實現效果

通過對安全保密環境的構建能夠有效的建立起數據洩密防體系，有效的防止移動存儲、磁盤、網絡對拷、病毒和木馬等威脅帶來的數據安全洩密事件，為企業建立起了數據安全保密的基本體系。