能源化工行业现状分析
能源化工是国家的基础和支柱行业,是我们日常各项工作和生活的基础与保障。在国际和国内日益激烈的市场竞争环境下,能源各细分行业为了提高管理水平,提高生产效率和经济效益,降低成本,均把提高信息化应用水平作为其加强集团管控、提高关键业务能力、提高核心竞争力的主要手段。
随着能源化工业的发展和业务规模不断扩大,各大能源化工企业实现业务过程中,总部与各个分支机构需要实时信息传输和资源的共享。在数据传输上既要保证内部业务网络较高的可用性、可靠性、保密性,又要对内部核心数据有较强的防御和管控能力。能源行业内部网络存在大量重要数据和信息资料,如核心技术、以及财务数据等。更重要的是许多基础数据已纳入国防战略信息范围,需要重点防护;国家对大型能源系统信息化建设提出了明确要求,即满足《信息系统安全等级保护基本要求》中的相关技术要求。
需求分析
在能源化工行业中,企业投入了大量的人力、设备、资金来打造的开发平台,这些资源投入所换取的就是包含企业核心竞争优势的CAD图纸等重要数字资产。但是基于能源化工行业的高人员流动率,以及专门针对于机密图纸和文档的病毒、程序,这些机密数据很容易被泄露到企业外部,或者被多种人为和自然原因所破坏,造成了数字资产的流失和资源投入的损失。与此同时,伴随着行业内分工和协同的不断发展,越来越多的企业开始通过与上下游企业开展合作来提升自身的竞争优势。在这个过程中,大量的机密设计图纸需要在企业之间进行共享和传递。并且,由于数字资产的易复制和易存储性,合作伙伴将有可能和多版本的保留这些重要数据,从而增加了图纸被多次扩散的安全管理风险。
随着业务的发展,大量的核心技术、、重要客户信息以及财务数据等方面电子文档生成。为提高企业内部数据协同和智能化的高效运作,实现内部档流转的安全可控,实现文档脱离内部管理平台后能防止外泄,可对内部文档的使用范围、文档权限等进行控制管理,以防止内部核心信息非法阅览、拷贝、篡改,既防止了文档外泄和扩散,又支持内部文件共享的目的,需从以下几个方面给予解决:
1、怎样确保跨区域网络环境数据统一安全管理问题;
2、如何保障化工配方和技术文档交互的安全;
3、如何对电子文档(源码、设计图纸、设计方案等)做数据保护措施,防止内部人员有意或无意造成数据泄露;
4、如何保障终端数据的离线安全;包括如何对出差的员工携带的数据进行管控,保证数据的安全存储;
5、如何解决与外协人员、合作伙伴等的数据交互安全; 如何对数据进行规范化管理,数据外发时进行安全控制;
6、如何保障移动设备(笔记本)、存储介质(U盘、移动硬盘)的数据安全;
7、如何保障各应用、办公系统等数据的存储和使用安全,如何让只有受控的计算机并同时拥有权限的用户才能访问企业内部应用系统;
8、安全事件万一发生后,有一定的手段进行审计和数据溯源;
9、不能影响硬件烧录工具的使用,向硬件中烧录程序可以正常使用。
解决方案
企业内部数据安全体系建设,需要突出重点,切实关注文件外带保密需求,充分考虑敏感性数据面临的各种主动和被动风险。同时,还充分考虑系统对设计人员的业务影响范围,即保证敏感数据在状态下不改变和影响用户使用系统和工作效率,让安全性和可用性之间保持一定的平衡,并实现智能化的安全高效管理。
1.核心文档透明加密防护
对于存储在终端计算机中的CAD图纸等重要数字资产进行强制加密保护。亚讯方案采用Windows内核的文件过滤驱动实现文件透明加解密,对用户透明,用户打开文件、编辑文件和平常一样,甚至毫无感觉,不影响用户操作习惯。如果加密文件通过QQ、微信、飞秋、电子邮件、移动存储设备、网络共享等手段传输到企业范围以外,那么它将无法被正常打开和应用,打开将显示乱码,文件始终保持加密状态。
2.文档内部交互安全管控
(1)文档分级管理
对于能源化工单位内部文档,根据其所承载的涉密程度不同,需要由不同涉密等级的的人员进行处理,这就需要对涉密文档和使用者进行密级标识,以控制涉密文档的安全性。系统提供密级管理功能可对每个终端用户设置用户密级(其中公开文件<内部资料文件<秘密文件<机密文件<绝密文件)。密级设置之后,每个等级只能查看不高于自己密级的文档,从而有效防止内部涉密文档被越权查看。
(2)部门隔离管理
每个部门负责的工作文档性质均不同,有一些核心部门的档只允许在本部门内部流转。因此,需满足不同部门之间的文档相互独立。系统支持部门阅读权限隔离控制,能够使各个部门文档的知悉范围得到有效控制。
(3)涉密文档交互控制
需重点防护的CAD图纸、等核心资料,需要严格控制使用权限。可利用内部流转文件功能轻松实现涉密文档的交互安全管控。如:使用对象、打开密码、阅读次数、是否可打印、是否可截屏、是否可编辑、阅读时间、禁止删除、过期自毁等。
3.文档外发安全管控
方案一:为了解决对外业务交互的后顾之忧,亚讯提供如下制造受控外发文件方案:
当需要给客户或者合作伙伴外发文件时,首先向上级进行外发申请;需要外发的文件需要通过审批才允许外发,对于特别重要的文档,还可设置多级审批。
被的客户或合作伙伴获得该受控外发文件后,打开时需行合法的身份认证;
认证通过后在设定的访问权限范围内使用外发文件,访问权限包括:阅读次数、可打印、可截屏、可编辑、阅读期限、过期自毁、回收等。
方案二:外发U盘为软硬件一体的文件外发媒介,用来保护能源化工单位外发文件的安全性和保密性,防止文件的二次扩散。
4.终端打印安全管理
打印外泄是见的途径。因为大多数单位内部人员可以随意使用打印机打印文件,且无法进行监控和审计,直接影响着内部重要文档资料的安全。
系统能够对内部员工的打印作业进行有效的监控和管理:
事前打印控制:是否可以打印?允许用哪台打印机?哪些软件允许打印?
事中打印警示:自定义水印内容,实现打印警示;
事后打印审计:什么人、什么时间、哪台电脑、哪台打印机、打印什么内容、多少页数、多少份数,全程跟踪记录。
5.U盘使用统一管理
对能源化工单位内部使用U盘进行统一注册管理,经单位内部认证的U盘才可在单位内使用,未经认证的U盘禁止在单位内使用。同时,U盘访问权限进一步控制,比如:只读、禁止。另外,还可以根据单位的实际情况,限制哪些电脑的USB接口能否使用。分别有允许使用、禁止使用、USB设备只读(即单向传输拷贝控制,只能从U盘上拷出数据,不能拷入数据)和断网使用(即插入USB存储设备时终端断网)四种限制方式。
对U盘禁止时,为了不影响其他USB外设使用,精确区别U盘、移动硬盘、鼠标、打印机等不同接口设备。
6.行为管控
除了打印和移动存储干例外,还要全面监控和审计企业员工在办公过程产生的另存为、拷贝粘贴、截屏、发送邮件或使用QQ、微信等即时通讯工具传播文件等会引起的操作行为,并向管理员发送预警信息或直接阻断操作,防止员工泄露企业信息。
7.离线办公
设置离线策略,终端就可以在设定的时间或日期范围内,脱离公司服务器独立运行,可以保证数据安全可控且员工能在公司外工作无碍,但是在规定时间内用户必须与服务器联系,否则文件将无法打开使用。系统提供脱机时间延长策略,保证外出工作的正常进行。
8.数据溯源
利用屏幕水印、文件水印或打印水印技术,对外传的截图图片和重要文档进行水印标记,水印的风格可以自定义为明文水印、二维码水印、点阵水印或隐藏水印,水印可为信息产品的归属提供和可靠的证据,有效实现文件的溯源。
9.安全日志审计
在数据安全管理中,行为审计具有非常重要的意义,不仅可以检验合规管理效果,而且是促进内网安全状况持续改善的基本保证。系统提供强大的日志审计功能监督、跟踪、记录所有用户的全部操作,一旦事件发生,通过用户操作记录, 可以时间追溯、问责,将损失减少到最小。
10.业务应用系统安全
文件上传自动解密:用户将加密文件上传到应用系统时,集成模块会自动解密该文件,保障应用系统中存储的是明文,不影响应用系统的正常工作;
文件下载强制加密:用户通过应用系统下载文件时,集成模块会对下载的文件进行落地加密,这些文件只能在加密环境内使用,一旦离开这个环境,所有文件无法打开;
应用系统访问控制:为了防止用户账号被,系统内的明文数据外泄,集成模块对请求访问的终端会进行筛查判断,非授信的终端无法访问应用系统。
方案优势
1.安全强度高。具有的数据保护能力,通过对数据加密、访问控制、安全审计等多种技术,对涉密数据进行全生命周期的安全防护;
2.兼容性良好。与行业内部的各种大型业务系统(比如OA、ERP、PDM等)良好集成,集成时不需要添加硬件网关;
3.易用性好。系统透明加密,使用过程中无任何工作界面,无需对员工进行操作的培训,简化系统管理员的工作。
4. 扩展性能强。具有高度的模块化和扩展性,可以根据企业信息系统发展的需要,扩展其他功能。
方案价值
通过对数据文档的产生、使用、、流转等环节进行整体的防护,为企业提供完整的数据安方案,通过本方案能够达到以下效果:
1.通过加密手段,提高数据资产的安全性;
2.减少因文档泄露导致核心数据资产外泄;
3.提供完整的数据安全保护策略,提高安全管理能力;
4.提高抗风险能力,降低运营风险;
5.规范内部管理,规范员工行为,提高生产积极性。
本方案实现了数据本地保护、涉密路径控制、事后行为审计的一种总体的解决方式,限度的保证数据安全。实现从数据的生命周期(创建、处理、交换、保存、流转)安全管控,降低数据风险,提高企业员工的保密意识。数据的智能防护系统,配合数据安全管理制度,进一步增强了能源化工行业企业的核心竞争力。
网站客服
