隨著機(jī)械制造業(yè)在信息化建設(shè)方面的不斷深入,信息的生成、流轉(zhuǎn)、傳輸變得非??旖?,并且伴隨著行業(yè)競爭越發(fā)激烈,數(shù)據(jù)安全問題越發(fā)凸顯出來。傳統(tǒng)強(qiáng)調(diào)邊界安全的信息安全管理體系明顯不能勝任機(jī)械制造業(yè)的數(shù)據(jù)安全管理需求。為此,需要針對機(jī)械制造業(yè)信息的安全特點,制定完整的數(shù)據(jù)信息安全管理體系,以鞏固信息化成果,降低企業(yè)信息安全風(fēng)險。
需求分析
1.企業(yè)信息的存儲、使用、傳播、交互過程中,完全處于明文的狀態(tài),任何一個環(huán)節(jié)出問題,都有可能造成泄密;
2.以設(shè)計圖紙為核心的企業(yè)敏感數(shù)據(jù)在生成和傳播過程中高度依賴于網(wǎng)絡(luò)和各類信息處理終端,數(shù)據(jù)廣泛在設(shè)計、生產(chǎn)等部門間流轉(zhuǎn);
3.應(yīng)用服務(wù)器缺乏安全的防護(hù)手段,上傳下載過程中存在較大的泄密風(fēng)險;
4.供應(yīng)鏈管理設(shè)計合作企業(yè)非常多,如何保障企業(yè)自身信息的交互安全?
5.打印機(jī)被濫用,重要圖紙以紙質(zhì)方式被帶出企業(yè),信息安全問題無處不在。
解決方案
1.保障研發(fā)設(shè)計圖紙等企業(yè)核心資料在生產(chǎn)過程中的安全
該模塊采用高效、先進(jìn)的文件內(nèi)核驅(qū)動層加密技術(shù),實現(xiàn)對內(nèi)部設(shè)計研發(fā)資料、生產(chǎn)數(shù)據(jù)等的實時、強(qiáng)制、透明加密,如文件加密,圖紙加密等。同時為了解決用戶擔(dān)心購買了系統(tǒng)后,對后續(xù)增加新的應(yīng)用程序所產(chǎn)生的文件無法加密的問題,系統(tǒng)采用“自定義添加受控應(yīng)用程序”,自動枚舉應(yīng)用程序安裝目錄下的所有exe進(jìn)程,操作方便、快捷。理論上滿足對所有的應(yīng)用程序產(chǎn)生的文件進(jìn)行加密。此外,嚴(yán)密的途徑控制也為文件安全防護(hù)增添了更多保障。當(dāng)加密文件通過非正常渠道流轉(zhuǎn)至外部,文件就無法正常訪問,確保文件安全。
2.防止設(shè)計圖紙等研發(fā)資料在企業(yè)內(nèi)部二次擴(kuò)散
由于企業(yè)內(nèi)部機(jī)密文件(比如:設(shè)計圖紙等研發(fā)資料機(jī)密性要求高),通常會因?qū)嶋H業(yè)務(wù)需要涉及到不同部門的相關(guān)人員,或者相關(guān)領(lǐng)導(dǎo)查閱。但是又為了防止內(nèi)部人員越權(quán)訪問,需要對這些機(jī)密文件的訪問權(quán)限進(jìn)行詳細(xì)控制,進(jìn)一步保障數(shù)據(jù)安全。
3.不改變應(yīng)用服務(wù)器現(xiàn)狀,保障數(shù)據(jù)安全
系統(tǒng)對企業(yè)內(nèi)部所有的終端數(shù)據(jù)透明加密后,為了確保與應(yīng)用系統(tǒng)的無縫兼容,并確保應(yīng)用系統(tǒng)上的數(shù)據(jù)安全,系統(tǒng)提供服務(wù)器白名單功能來解決這一問題。
如果要求終端數(shù)據(jù)上傳到企業(yè)某些應(yīng)用服務(wù)器(比如:PDM、OA)的數(shù)據(jù)是明文,那么可以將這些應(yīng)用服務(wù)器配置添加到白名單隊列中,終端上傳的數(shù)據(jù)會被自動解密成明文后保存在服務(wù)器上。如果上傳到其他服務(wù)器則還是密文存儲;
員工將服務(wù)器上明文數(shù)據(jù)下載到企業(yè)內(nèi)部終端時,數(shù)據(jù)被自動加密,避免數(shù)據(jù)泄密,保障數(shù)據(jù)安全。
4.保障企業(yè)自身信息的交互安全
針對制造行業(yè)供應(yīng)鏈管理設(shè)計合作單位非常多,在信息化過程中與外單位的來往人員交流也比較頻繁。為了保障外發(fā)文件的安全,對于一些安全性要求比較高的重要文件,可以把它們制作成受控外發(fā)文件。受控條件包括:打開次數(shù)、生存周期、密碼驗證、修改限制、截屏限制、打印限制、過期自毀等,超出限制將無法打開文件,防止外發(fā)文檔二次擴(kuò)散,確保信息安全。
此外,針對長期合作可信賴的客戶,可以通過郵件白名單功能把他們的郵件地址添加到白名單列表中,當(dāng)發(fā)送加密文件到白名單的郵箱地址后,加密文件將自動解密成明文,無需審批。
5.防止內(nèi)部重要文件轉(zhuǎn)化為紙質(zhì)資料泄密
對員工是否可打印、可使用哪臺打印、打印何類型文檔,做到事前控制;
對打印的內(nèi)容進(jìn)行記錄,并提供詳細(xì)打印日志報表,便于審計;
提供水印功能起到防偽的作用。
方案優(yōu)勢
1.安全方面:系統(tǒng)文件加密采用Windows內(nèi)核的文件過濾驅(qū)動實現(xiàn)數(shù)據(jù)加密與解密,安全、穩(wěn)定、效率高。嚴(yán)密的途徑控制,為文件安全防護(hù)增添了更多保障。
2.易用方面:對用戶透明,不改變用戶的操作習(xí)慣,文檔流轉(zhuǎn)權(quán)限可以自由分配,加密文檔在公司內(nèi)部允許的部門或個人之間流轉(zhuǎn)順暢。
3.靈活方面:系統(tǒng)支持用戶根據(jù)外發(fā)文檔的重要性不同授予不同的認(rèn)證方式和閱讀權(quán)限。
4.整體方面:經(jīng)過多年的不斷完善,需要產(chǎn)品在同行業(yè)具備絕對優(yōu)勢,可穩(wěn)定應(yīng)對絕大部分應(yīng)用環(huán)境。