2013年11月22日，我們上海專(zhuān)利周的“軍民兩用專(zhuān)利成果對(duì)接活動(dòng)”。主要展會(huì)上，我們?cè)谂c軍方領(lǐng)導(dǎo)、科研院所的領(lǐng)導(dǎo)交流過(guò)程中，就企業(yè)或個(gè)人研究出的可用于的專(zhuān)利科技成果的保護(hù)非常關(guān)注。

為了跟上時(shí)代的步伐，在信息時(shí)代，軍工行業(yè)也做出了很多改變。生產(chǎn)的機(jī)械化，系統(tǒng)的信息化等等。信息技術(shù)正不斷的融入到軍工行業(yè)，但同時(shí)許多數(shù)據(jù)安全方面的問(wèn)題也出現(xiàn)在軍工行業(yè)。 　　

【軍事機(jī)密信息化，面臨現(xiàn)代數(shù)據(jù)安全多重考驗(yàn)】

由于信息化技術(shù)的介入，軍工行業(yè)在處理數(shù)據(jù)時(shí)的效率更高，處理速度也更快，借助網(wǎng)絡(luò)的應(yīng)用，數(shù)據(jù) 的傳輸和交互也更為方便。但是由于數(shù)據(jù)電子化、信息化的關(guān)系，意味著核心的軍事機(jī)密也進(jìn)入了這個(gè)領(lǐng)域，這些機(jī)密正面臨數(shù)據(jù)安全方面的巨大考驗(yàn)。

【軍事化的數(shù)據(jù)安全防護(hù) 需要更高標(biāo)準(zhǔn)的密級(jí)管理】

軍隊(duì)向來(lái)以規(guī)范和紀(jì)律嚴(yán)謹(jǐn)著稱(chēng)，一個(gè)有強(qiáng)大紀(jì)律和等級(jí)制度的軍隊(duì)能展現(xiàn)最強(qiáng)的戰(zhàn)斗力。而在軍工行業(yè)由于肩負(fù)艱巨的軍工任務(wù)，使得要正常運(yùn)作必須擁有強(qiáng)大的運(yùn)作規(guī)范。同時(shí)由于軍工行業(yè)的特殊性，可謂到處充斥著機(jī)密，想要達(dá)到好的防護(hù)效果，就必須擁有國(guó)家級(jí)別的等級(jí)防護(hù)制度和嚴(yán)格的密 級(jí)管理的支持。

【軍工業(yè)生產(chǎn)任務(wù)艱巨 但權(quán)限劃分需要更明確】

隨著國(guó)家的發(fā)展，國(guó)力的增強(qiáng)，在和平年代雖然武器數(shù)量的硬指標(biāo)不再是重點(diǎn)，但是武器的先進(jìn)和質(zhì)量卻成為了軍工行業(yè)的重點(diǎn)。許多先進(jìn) 武器的研發(fā)和制造都落在了軍工企業(yè)的肩上，軍工企業(yè)肩負(fù)著巨大的生產(chǎn)任務(wù)。這些生產(chǎn)任務(wù)由于牽涉到許多先進(jìn)的研發(fā)機(jī)密，所以需要多種數(shù)據(jù)安全防護(hù)技術(shù)的把 關(guān)，同時(shí)由于可能參與的人數(shù)眾多，嚴(yán)格的權(quán)限劃分也是安全防護(hù)的必要條件。

面對(duì)眾多挑戰(zhàn) 核心防護(hù)是“良藥”

對(duì)于軍工企業(yè)在信息時(shí)代面對(duì)這些挑戰(zhàn)，我們憑借多年的數(shù)據(jù)、信息安全防護(hù)經(jīng)驗(yàn)給出以下解決方案：

一、軍工企業(yè)數(shù)據(jù)環(huán)境和數(shù)據(jù)安全特征

軍工企業(yè)一般信息化水平都比較高，而且由于行業(yè)的特殊性，具有高度保密的要求，其信息化狀況和數(shù)據(jù)安全需求主要有以下特點(diǎn)：

1. 網(wǎng)絡(luò)環(huán)境復(fù)雜，軍用專(zhuān)網(wǎng)、內(nèi)網(wǎng)和互聯(lián)網(wǎng)等多種平臺(tái)界限分明，不同平臺(tái)之間通信管控嚴(yán)格；

2. 軍隊(duì)內(nèi)部統(tǒng)一配發(fā)的USB Key數(shù)字證書(shū)已經(jīng)成為軍工企業(yè)人員在軍內(nèi)網(wǎng)絡(luò)的數(shù)字身份主要標(biāo)識(shí)；

3. 系統(tǒng)內(nèi)產(chǎn)生的數(shù)據(jù)和文檔有高度保密性、高度敏感性，數(shù)據(jù)泄露會(huì)造成重大危險(xiǎn)；

4. 軍工企業(yè)系統(tǒng)內(nèi)的指揮中心系統(tǒng)、業(yè)務(wù)信息系統(tǒng)和辦公OA系統(tǒng)等應(yīng)用平臺(tái)數(shù)據(jù)交互頻繁，與合作單位有大量的對(duì)外接口；

5. 移動(dòng)設(shè)備如筆記本電腦、U盤(pán)使用廣泛；

6. 與外部單位的合作，對(duì)外發(fā)出文件數(shù)量較多。

二、軍工企業(yè)數(shù)據(jù)防泄露需求分析

結(jié)合軍工企業(yè)上述特征，軍工企業(yè)系統(tǒng)內(nèi)部的數(shù)據(jù)安全需要重點(diǎn)關(guān)注如下幾方面問(wèn)題：

1. 基于數(shù)字證書(shū)的統(tǒng)一計(jì)算機(jī)登錄授權(quán)管理體系已經(jīng)成為有效的身份認(rèn)證基礎(chǔ)，在此基礎(chǔ)上需要進(jìn)一步深化數(shù)據(jù)安全管理；

2. 需要采用等級(jí)保護(hù)制度，對(duì)文檔劃分不同的安全等級(jí)，對(duì)不同等級(jí)的文檔實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)；

3. 對(duì)涉密文檔集中式管理，防止分散儲(chǔ)存導(dǎo)致的泄密風(fēng)險(xiǎn)；

4. 對(duì)所有筆記本電腦需要全盤(pán)加密，有效提高筆記本電腦數(shù)據(jù)的安全性和保密性，防止被動(dòng)泄密風(fēng)險(xiǎn)；

5. 移動(dòng)存儲(chǔ)介質(zhì)管理, 確保移動(dòng)存儲(chǔ)介質(zhì)的方便性和安全性；

6. 對(duì)所有設(shè)備端口必須要進(jìn)行控制，允許合法接入的暢通，同時(shí)也要嚴(yán)密防止非法接入；

7. 針對(duì)外發(fā)文件，需要加強(qiáng)權(quán)限管理，確保外發(fā)數(shù)據(jù)和文件的安全。

三、數(shù)據(jù)防泄露解決方案有效防止數(shù)據(jù)泄露

數(shù)據(jù)泄露防護(hù) 解決方案，基于“驅(qū)動(dòng)級(jí)透明動(dòng)態(tài)加解密技術(shù)”，在全面結(jié)合現(xiàn)有數(shù)字證書(shū)體系的前提下，配合業(yè)務(wù)需求，以文檔流轉(zhuǎn)途徑為路基，融合文檔權(quán)限管理、文檔外發(fā)管理、筆記本電腦離線脫機(jī)管理、筆記本全盤(pán)加密管理、設(shè)備安全管理等功能，全方位地保護(hù)公安系統(tǒng)數(shù)據(jù)安全，防止數(shù)據(jù)泄露。

方案說(shuō)明：

1. 內(nèi)部網(wǎng)絡(luò)終端文檔和數(shù)據(jù)安全——文檔權(quán)限管理系統(tǒng)

在軍工企業(yè)辦公OA系統(tǒng)和業(yè)務(wù)信息系統(tǒng)等內(nèi)部網(wǎng)絡(luò)中，采用文檔權(quán)限管理系統(tǒng)DRM。DRM是針對(duì)用戶可控、授權(quán)的電子文檔安全共享管理系統(tǒng)。該系統(tǒng)采用“驅(qū)動(dòng)級(jí)透明動(dòng)態(tài)加解密技術(shù)”和實(shí)時(shí)權(quán)限回收技術(shù)，對(duì)通用類(lèi)型的電子文檔進(jìn)行加密保護(hù)，且能對(duì)這加密文檔進(jìn)行細(xì)分化的權(quán)限設(shè)置，確保機(jī)密信息在授權(quán)的應(yīng)用環(huán)境中、指定時(shí)間內(nèi)、進(jìn)行指定操作，不同使用者對(duì)“同一文檔”擁有“不同權(quán)限”。 通過(guò)對(duì)文檔內(nèi)容級(jí)的安全保護(hù)，實(shí)現(xiàn)機(jī)密信息分密級(jí)且分權(quán)限的內(nèi)部安全共享機(jī)制。

2. 文檔外發(fā)控制

對(duì)軍工企業(yè)內(nèi)部發(fā)往出差人員、合作單位等系統(tǒng)外的文檔，采用文檔外發(fā)控制系統(tǒng)ODM。ODM應(yīng)用文檔外發(fā)管理程序打包生成外發(fā)文件發(fā)出。當(dāng)外發(fā)文件打開(kāi)時(shí)，需通過(guò)用戶身份認(rèn)證，方可閱讀文件。同時(shí)，外發(fā)文件可以限定接收者的閱讀次數(shù)和使用時(shí)間等細(xì)粒度權(quán)限，從而有效防止了客戶重要信息被非法擴(kuò)散。

3. 脫機(jī)管理

在人員出差或其他情況下，需要外帶筆記本電腦，則通過(guò)離線綁定，實(shí)現(xiàn)離線控制。

4.筆記本電腦管理

對(duì)軍工企業(yè)系統(tǒng)內(nèi)的存有重要資料的筆記本電腦，采用磁盤(pán)全盤(pán)加密系統(tǒng)DSE。DSE是一款防止筆記本電腦丟失、維修和報(bào)廢后導(dǎo)致數(shù)據(jù)泄露的透明加密軟件。在電腦關(guān)機(jī)和休眠的狀態(tài)下，硬盤(pán)中存儲(chǔ)的數(shù)據(jù)均被做了高強(qiáng)度加密，沒(méi)有用戶本人輸入密鑰，他人無(wú)法獲得硬盤(pán)上的加密數(shù)據(jù)，從而防止筆記本電腦數(shù)據(jù)泄露。

5.設(shè)備管理

對(duì)內(nèi)網(wǎng)中的所有端口，采用設(shè)備安全管理系統(tǒng)DSE。DSE通過(guò)對(duì)U盤(pán)、移動(dòng)硬盤(pán)、紅外、WIFI、藍(lán)牙等輸出端口進(jìn)行控制。

6.文檔自動(dòng)備份

文檔每次保存后均自動(dòng)備份到備份服務(wù)器中。文檔管理員可通過(guò)改變備份的模式和途徑，實(shí)現(xiàn)備份管理。用戶在脫離服務(wù)器模式下的文檔，也將自動(dòng)備份到本地硬盤(pán)中。通過(guò)備份，可有效避免因?yàn)楦鞣N意外導(dǎo)致的數(shù)據(jù)損失。

7.日志審計(jì)

能夠監(jiān)督、跟蹤、記錄所有用戶的全部操作，實(shí)時(shí)查看系統(tǒng)的使用情況，實(shí)現(xiàn)最高的系統(tǒng)安全�？梢詮凝嫶蟮挠涗洈�(shù)據(jù)中抽取有用的信息，對(duì)用戶的某些操作進(jìn)行分類(lèi)整理，通過(guò)操作記錄，回溯歷史活動(dòng)，從而發(fā)現(xiàn)泄密渠道。通過(guò)跟蹤目前用戶操作，能及時(shí)發(fā)現(xiàn)用戶的危險(xiǎn)操作，在泄密事件發(fā)現(xiàn)前就獲得警報(bào)，制止泄密事件的發(fā)生。一旦泄密事件發(fā)生，通過(guò)用戶操作記錄, 可以第一時(shí)間拿出最有力的證據(jù)。

四、方案特點(diǎn)

1. 數(shù)據(jù)防泄露的所有功能基于一套完整、協(xié)調(diào)的體系，可以實(shí)現(xiàn)的統(tǒng)一管理和策略聯(lián)動(dòng)，在實(shí)施、管理、維護(hù)、升級(jí)等一系列活動(dòng)中，方便靈活，極大地降低了成本；

2. 數(shù)據(jù)防泄露體系以數(shù)據(jù)加密和權(quán)限管理為核心，結(jié)合了身份認(rèn)證、日志審計(jì)、文檔備份、外發(fā)管理等功能，系統(tǒng)本身具備容災(zāi)管理功能，在基于用戶需求的基礎(chǔ)上，配合各種安全策略，不僅從源頭上實(shí)現(xiàn)了文檔的保密，還有效實(shí)現(xiàn)網(wǎng)絡(luò)邊界管理，是高效的分層式安全架構(gòu)。

3. 完全兼容現(xiàn)有的數(shù)字證書(shū)，是數(shù)字證書(shū)應(yīng)用的有力擴(kuò)展，提高了數(shù)字證書(shū)的利用率，并實(shí)現(xiàn)了用戶標(biāo)識(shí)的統(tǒng)一管理；

4. 能與各種應(yīng)用平臺(tái)集成，支持通用文件格式如：office系列、PDF、CAD等。能與各種特性平臺(tái)集成，如各種OA系統(tǒng)，支持各種認(rèn)證系統(tǒng)（AD、CA、ED等）。

5. 該系統(tǒng)具備大用戶數(shù)管理模式支持，能滿足萬(wàn)點(diǎn)以上大規(guī)模端點(diǎn)控制需求，可以實(shí)現(xiàn)負(fù)載均衡、熱備和多級(jí)管理模式等；

6. 具有高度的模塊化和擴(kuò)展性，可以根據(jù)軍工企業(yè)信息系統(tǒng)發(fā)展的需要，擴(kuò)展其他功能，比如：電子郵件加密，輸出內(nèi)容監(jiān)控等模塊。