淺談機械制造業(yè)內(nèi)部文檔數(shù)據(jù)的安全使用

鄒曉光，孫體偉

（1.哈爾濱朗威電子技術(shù)開發(fā)有限公司，黑龍江 哈爾濱 150028; 2.哈電集團秦皇島重型裝備有限公司，河北 秦皇島066004）

1 前言

近年來，由于國內(nèi)機械制造業(yè)迅速發(fā)展，制造企業(yè)一方面重視硬件設(shè)備的提升，另一方面更加注重軟件的建設(shè)。在行業(yè)內(nèi)采用計算機輔助設(shè)計（CAD-Computer Aided Design）和計算機輔助制造（CAM-Computer Aided Manufacturing）的企業(yè)越來越多，在設(shè)計和制造環(huán)節(jié)中普遍使用電子設(shè)計圖紙和有關(guān)資料。在市場競爭環(huán)境中，時有發(fā)現(xiàn)競爭對手通過不正當(dāng)競爭手段竊取公司的技術(shù)資料。為了保護企業(yè)的研發(fā)成果，保護企業(yè)的知識產(chǎn)權(quán)，保證企業(yè)領(lǐng)先的技術(shù)競爭力，企業(yè)的技術(shù)核心資料的安全保存和安全使用問題，已經(jīng)成為迫在眉睫必須解決的問題。

本文論述所提及的安全防范是指防止文檔數(shù)據(jù)被非授權(quán)使用。本文中文檔數(shù)據(jù)主要是指系統(tǒng)需要保護的技術(shù)文件（DOC、PDF、CAD、CATIA，NX等）。

2 企業(yè)的安全需求

企業(yè)的安全需求可以總結(jié)歸納為，通過一定技術(shù)手段并配合保密管理制度，實現(xiàn)企業(yè)內(nèi)網(wǎng)的文檔數(shù)據(jù)安全，記錄文檔的修改和流轉(zhuǎn)日志，同時方便內(nèi)部文檔信息交流，并與現(xiàn)有系統(tǒng)有機融合，真正對企業(yè)的核心技術(shù)資產(chǎn)起到保護作用。

根據(jù)對制造型企業(yè)的特點分析，對企業(yè)中的安全防護需求進行歸納總結(jié)，整理出需求分析，具體如下。

2.1 功能需求分析

在現(xiàn)有的文件系統(tǒng)上保存的文件，需要進行保密的，首先要設(shè)定保密級別。在設(shè)定保密級別的基礎(chǔ)上，進行文件的獲取、查看、修改，打印、外帶授權(quán)等。具體功能詳細需求分析如下。

文檔保密級別定義管理：要求軟件對于不同的文件（名/類型）可以自定義不同保密級別；

內(nèi)部安全域劃分管理：根據(jù)內(nèi)部計算機和相關(guān)的周邊設(shè)備以及使用者的實際情況，劃分不同的使用區(qū)域，對不同的區(qū)域劃分安全級別；

系統(tǒng)管控策略：根據(jù)電子文件的保密級別和使用環(huán)境，使用者定義不同的管控策略，根據(jù)管控策略進行管控；

文檔內(nèi)部流轉(zhuǎn)控制管理：根據(jù)管控策略對文檔內(nèi)部流轉(zhuǎn)、不同安全域之間數(shù)據(jù)隔離、使用日志跟蹤、跨域交換審批等進行控制；

文檔帶出管理控制：涉密文檔帶出必須經(jīng)過授權(quán)，并記錄日志；

文件打印管理控制：當(dāng)用戶打印涉密文件時需要進行申請或者進行解密操作。

移動硬件介質(zhì)控制管理：某些移動介質(zhì)可以在允許的保密環(huán)境下使用但不允許在保密環(huán)境以外的區(qū)域內(nèi)使用；保密PC除保密移動介質(zhì)可使用外，其他移動介質(zhì)均不可以使用；（以上保密介質(zhì)包括但不局限于：U盤、移動硬盤、手機內(nèi)置存儲）；

系統(tǒng)管理：系統(tǒng)管理功能包括用戶管理、角色管理、權(quán)限管理、系統(tǒng)參數(shù)管理，日志查詢等。

2.2 技術(shù)要求分析

在技術(shù)上將實現(xiàn)以下要求：

在系統(tǒng)設(shè)計和實現(xiàn)過程中，按照SOA架構(gòu)思想，盡量將功能封裝成粒度合理的服務(wù)，并設(shè)計標準服務(wù)接口，真正實現(xiàn)異構(gòu)系統(tǒng)跨平臺調(diào)用；

文件存儲應(yīng)符合國家檔案局關(guān)于電子文件長期保存的要求；

系統(tǒng)應(yīng)采用面向終端用戶的設(shè)計，在服務(wù)器端可以方便地進行用戶統(tǒng)一管理和安全訪問控制；

系統(tǒng)用戶擴充或使用單位增加時不影響現(xiàn)有系統(tǒng)功能和結(jié)構(gòu)。當(dāng)系統(tǒng)數(shù)據(jù)量和訪問量增大而導(dǎo)致系統(tǒng)配置不能滿足要求時，可以通過僅增加服務(wù)器等硬件進行解決；

系統(tǒng)應(yīng)全面兼容各種操作系統(tǒng)和瀏覽器，并提供二次開發(fā)接口，以便與其他相關(guān)系統(tǒng)進行無縫連接。

2.3 性能需求分析

穩(wěn)定性和先進性。產(chǎn)品具有良好的穩(wěn)定性，支持500個在線用戶，以及在200個并發(fā)用戶的情況下，網(wǎng)絡(luò)流暢運行；

兼容性，產(chǎn)品與目前使用的各應(yīng)用系統(tǒng)具有良好的兼容性 ；

擴展性，提供二次開發(fā)標準接口。

2.4 運行環(huán)境要求

運行在Windows操作系統(tǒng)的域環(huán)境下；

軟件同時滿足W in d ow s X P-3 2位和W in d ow sXP-6 4位、W in d ow s7-3 2位和Windows7-64位、Windows8的要求；

滿足現(xiàn)有網(wǎng)絡(luò)環(huán)境；

滿足NAS網(wǎng)絡(luò)存儲架構(gòu)。

3 總體解決方案

3.1 保密設(shè)計思想及技術(shù)理念

企業(yè)內(nèi)部電子文檔的管控不是純粹的技術(shù)問題，不是簡單產(chǎn)品與技術(shù)的堆砌，是策略、技術(shù)與管理的綜合。

保密技術(shù)理念突出地表現(xiàn)為保密技術(shù)“三元論”。保密技術(shù)有三個要素：安全策略；安全技術(shù)；安全管理。

3.2 安全策略

安全策略包括各種具體安全策略、法律法規(guī)、規(guī)章制度、技術(shù)標準、管理規(guī)范等，是保密技術(shù)的最核心問題，是整個保密技術(shù)建設(shè)的依據(jù)。

根據(jù)整體安全策略制定一個組織機構(gòu)的戰(zhàn)略性安全指導(dǎo)方針，并為實現(xiàn)這個方針分配必要的人力物力。一般是由管理層的官員，如組織機構(gòu)的領(lǐng)導(dǎo)者和高層領(lǐng)導(dǎo)人員來主持制定這種政策，以建立該組織機構(gòu)的信息系統(tǒng)安全計劃和其基本框架結(jié)構(gòu)。

3.3 安全技術(shù)

安全技術(shù)包含工具、產(chǎn)品和服務(wù)等，是實現(xiàn)保密技術(shù)的有力保證。

一般來講，信息系統(tǒng)的安全技術(shù)手段主要包含防火墻技術(shù)、身份認證技術(shù)、信息加密技術(shù)、數(shù)字簽名和認證技術(shù)、入侵檢測和漏洞掃描技術(shù)、虛擬專用網(wǎng)（VPN）技術(shù)、安全審計技術(shù)和病毒防治技術(shù)等。在本方案中，綜合運用這些技術(shù)手段，為客戶構(gòu)建完善的安全防御體系。

3.4 安全管理

安全管理主要是人員、組織和流程的管理，是實現(xiàn)保密技術(shù)的落實手段。

在保密技術(shù)業(yè)界有一個普遍的共識：安全在于技術(shù)，安全更在于管理，先進的安全技術(shù)是信息系統(tǒng)安全的根本保證。但是，任何一種技術(shù)手段的采用必須要和完善的管理制度相結(jié)合才能發(fā)揮最佳效能。所以，在選用先進的技術(shù)手段構(gòu)建安全防御體系的同時，依據(jù)客戶的具體情況和對安全管理的具體要求，規(guī)劃出相應(yīng)的保密技術(shù)管理的規(guī)章制度，如組織機構(gòu)制度、人員管理制度、場地與設(shè)施管理制度、安全系統(tǒng)管理制度和安全事故管理制度等，以消除非技術(shù)方面的安全漏洞，使整個安全防御體系更加完善和嚴密。

4 總體設(shè)計

4.1 概述

系統(tǒng)設(shè)計參照相關(guān)國家標準。根據(jù)企業(yè)中對文檔安全使用的需求分析，做到涉密文檔保存到服務(wù)器中，只要離開服務(wù)器，就必須保存到客戶端安全區(qū)域，或是保密移動介質(zhì)中；同時，只允許客戶端安全區(qū)域或是保密移動介質(zhì)中的文檔保存回服務(wù)器；客戶端授權(quán)的互相復(fù)制必須在客戶端安全區(qū)域，或是保密移動介質(zhì)中進行。以上三種行為，均要有日志記錄，做到事前控制，事后有據(jù)可查。

通過涉密文件流轉(zhuǎn)權(quán)限控制服務(wù)器端服務(wù)控制程序和受控客戶端通過安裝《安全登錄與文件保護系統(tǒng)桌面系統(tǒng)》的客戶端程序以及保密移動介質(zhì)或授權(quán)普通移動介質(zhì)相互配合，在文檔流轉(zhuǎn)所有環(huán)節(jié)中劃分出兩大邏輯區(qū)域： 安全數(shù)據(jù)存儲區(qū)域，普通存儲區(qū)域。這兩大區(qū)域相互隔離，不能互相操作，實現(xiàn)對涉密文檔的有效控制。數(shù)據(jù)總體區(qū)域劃分見圖1。系統(tǒng)組成模塊和系統(tǒng)網(wǎng)絡(luò)架構(gòu)略。

4.2 文檔保密級別定義管理

設(shè)置文檔第一次保存到NAS之前， 要經(jīng)過涉密文件流轉(zhuǎn)權(quán)限控制服務(wù)器，并設(shè)置保密級別。

軟件實現(xiàn)對于不同的文件（名/類型）可以自定義不同的加密級別，實現(xiàn)以下級別：

圖1 數(shù)據(jù)總體區(qū)域劃分

正確輸入密碼即可查看的文件的權(quán)限。

必須經(jīng)由上級批準以后方可查看的文件的權(quán)限。

只具有文件的只讀屬性的權(quán)限。

同時具有文件的讀寫改的權(quán)限。

對文檔保密級別的修改提供日志記錄，并提供授權(quán)的查詢功能。

對于非最終文檔，即已經(jīng)存在保密級別的文檔，保存時默認使用原來的保密級別，并在保存前可以修改權(quán)限范圍。

4.3 內(nèi)部安全域劃分管理

根據(jù)計算機及相關(guān)外設(shè)（打印機、光盤刻錄機、移動存儲介質(zhì)等輸出設(shè)備），操作者來劃分不同的安全隔離域，對各個安全域進行有效標定和動態(tài)管理。

為管控策略提供基礎(chǔ)數(shù)據(jù)。

4.4 系統(tǒng)管控策略管理

根據(jù)電子文件的的保密級別和使用環(huán)境，使用者定義不同的管控策略，根據(jù)管控策略進行管控。

4.5 文檔內(nèi)部流轉(zhuǎn)控制管理

保密級別設(shè)定時對應(yīng)一定的默認流轉(zhuǎn)權(quán)限，同時也可以臨時授權(quán)文件的流轉(zhuǎn)。

保密級別和流轉(zhuǎn)權(quán)限是兩個概念，關(guān)系為：保密級別設(shè)定后，會對應(yīng)默認的流轉(zhuǎn)權(quán)限。文檔的流轉(zhuǎn)最終決定于流轉(zhuǎn)權(quán)限。保密級別更多是應(yīng)用于對文檔本身加密控制。

4.6 文檔帶出管理控制

涉密文檔帶出，必須經(jīng)過管理人員授權(quán)，授權(quán)帶出的涉密文檔，必須由管理人員用戶授權(quán)，限制使用時間、使用次數(shù)、使用客戶端范圍、人員范圍等，同時在服務(wù)器端保存使用記錄日志。

4.7 涉密文檔打印控制管理

建立涉密文件打印控制服務(wù)器，不允許受控客戶端直接連接打印機，打印文檔必須經(jīng)過涉密文件打印控制服務(wù)器中轉(zhuǎn)傳送給打印機，涉密文件打印控制服務(wù)器會查詢涉密文件流轉(zhuǎn)權(quán)限控制服務(wù)器，來控制是否允許打印，允許次數(shù)等，同時記錄打印的人的信息，打印日期等信息進入打印日志。

4.8 移動硬件介質(zhì)控制管理

移動存儲介質(zhì)的使用管理首先要滿足幾個基本要求：

通過移動存儲介質(zhì)交換的數(shù)據(jù)必須是密文，保證數(shù)據(jù)離開應(yīng)用環(huán)境后不可用；

數(shù)據(jù)交換前必須通過正確的身份認證，包括密碼認證和授權(quán)硬件的身份認證；

記錄數(shù)據(jù)交換過程的工作日志應(yīng)便于進行跟蹤審計；

未經(jīng)授權(quán)的移動存儲介質(zhì)，在內(nèi)部辦公環(huán)境中不可用，只有經(jīng)過授權(quán)的移動存儲介質(zhì)才能接入到辦公環(huán)境中可控使用；

工作配發(fā)的移動存儲介質(zhì)帶出辦公環(huán)境后不可用；

需要外出使用的移動存儲介質(zhì)必須經(jīng)過管理中心授權(quán)并格式化后才能使用，在拿回辦公環(huán)境使用時，介質(zhì)控制為只讀功能，只有管理中心重新授權(quán)后才可在內(nèi)部正常使用。

5 結(jié)束語

本文對制造業(yè)內(nèi)部電子文檔的保密安全防護和安全使用進行了闡述，該設(shè)計方案已在國內(nèi)一些制造型企業(yè)中進行了部署實施，在現(xiàn)階段的技術(shù)能力前提下，對企業(yè)資料起到了較好的安全保護作用。本文可以為制造型企業(yè)資料安全防護提供一個實際的參考。