【51CTO.com 綜合消息】

一、           項(xiàng)目簡(jiǎn)介

中國(guó)城市規(guī)劃設(shè)計(jì)研究院（簡(jiǎn)稱中規(guī)院）是中華人民共和國(guó)建設(shè)部直屬科研機(jī)構(gòu)，是全國(guó)城市規(guī)劃研究、設(shè)計(jì)和學(xué)術(shù)信息中心。具有國(guó)家城市規(guī)劃、工程咨詢甲級(jí)資質(zhì)，市政工程設(shè)計(jì)專業(yè)甲級(jí)資質(zhì)，建筑設(shè)計(jì)工程甲級(jí)資質(zhì)，建筑智能化集成甲級(jí)資質(zhì)，旅游規(guī)劃設(shè)計(jì)甲級(jí)資質(zhì)，建設(shè)項(xiàng)目水資源論證甲級(jí)資質(zhì)，承包境外市政工程勘測(cè)、咨詢、設(shè)計(jì)和監(jiān)理項(xiàng)目資質(zhì)。

該院現(xiàn)有員工550多人，有201人擔(dān)任高級(jí)專業(yè)技術(shù)職務(wù)。多年來，共承擔(dān)了科研、規(guī)劃設(shè)計(jì)、行業(yè)標(biāo)準(zhǔn)規(guī)范、咨詢等各類任務(wù)4000余項(xiàng)，獲國(guó)家和部級(jí)獎(jiǎng)勵(lì)的科研成果50余項(xiàng)，省、部級(jí)優(yōu)秀規(guī)劃設(shè)計(jì)獎(jiǎng)180余項(xiàng)，覆蓋了規(guī)劃研究、設(shè)計(jì)和咨詢的所有專業(yè)領(lǐng)域，項(xiàng)目遍及全國(guó)各地，并已成功涉足國(guó)外進(jìn)行規(guī)劃設(shè)計(jì)咨詢。

隨著該院的發(fā)展和業(yè)務(wù)規(guī)模的擴(kuò)大，在安全設(shè)計(jì)上要充分考慮到影響業(yè)務(wù)模式的因素，既要保證業(yè)務(wù)網(wǎng)絡(luò)較高的可用性、可靠性、保密性，又要對(duì)內(nèi)部核心數(shù)據(jù)有較強(qiáng)的防御、管控能力，實(shí)現(xiàn)內(nèi)部工作文檔和OA 系統(tǒng)、PDM系統(tǒng)中辦公文檔內(nèi)容流轉(zhuǎn)安全可控，實(shí)現(xiàn)文檔脫離管理平臺(tái)后能有效防止文件的擴(kuò)散和外泄，建立一套完善的電子文檔安全管理系統(tǒng)，解決內(nèi)部系統(tǒng)平臺(tái)上文件管理權(quán)限與終端用戶權(quán)限管控統(tǒng)一，是該院數(shù)據(jù)泄露防護(hù)系統(tǒng)工程的重點(diǎn)。

二、           項(xiàng)目需求

經(jīng)過對(duì)該院軟硬件環(huán)境和業(yè)務(wù)流程的分析，對(duì)客戶關(guān)注的文檔安全性、平臺(tái)易用性、系統(tǒng)擴(kuò)展性等問題，結(jié)合該院現(xiàn)有的OA 或其他管理平臺(tái)等相關(guān)應(yīng)用和PDM系統(tǒng)，需要制定一整套功能完備的解決方案。其重要目標(biāo)如下：

1.         文檔集中管理。對(duì)機(jī)密級(jí)數(shù)據(jù)進(jìn)行管理，通過有效的技術(shù)管控，實(shí)現(xiàn)核心數(shù)據(jù)權(quán)限集中控制；

2.         文件加密。對(duì)文檔進(jìn)高強(qiáng)度加密和對(duì)使用者透明解密。實(shí)現(xiàn)盜走了，拿走了，沒法用；操作簡(jiǎn)單，應(yīng)用方便，現(xiàn)場(chǎng)無痕；

3.         用戶身份認(rèn)證。加密系統(tǒng)能夠和微軟的AD域、Novell的ED域、IBM的TDS等系統(tǒng)結(jié)合，實(shí)現(xiàn)統(tǒng)一用戶身份認(rèn)證；

4.         文檔權(quán)限控管。各組織、部門、使用者按實(shí)際需求，合理的權(quán)限利用；

5.         系統(tǒng)應(yīng)用靈活。根據(jù)業(yè)務(wù)實(shí)際情況進(jìn)行結(jié)合、使對(duì)文檔靈活的管理。達(dá)到“多方適應(yīng)，技管結(jié)合，兼顧現(xiàn)狀”的系統(tǒng)應(yīng)用機(jī)制；

6.         應(yīng)用審計(jì)報(bào)表。實(shí)現(xiàn)對(duì)身份、操作行為的完整記錄、報(bào)表分析與查詢，以便審計(jì)；

7.         服務(wù)器數(shù)據(jù)保護(hù)：對(duì)于該院應(yīng)用服務(wù)器和文檔服務(wù)器內(nèi)保存的核心數(shù)據(jù)保護(hù)，需要采用加強(qiáng)型保護(hù)方案。

三、           億賽通數(shù)據(jù)泄露防護(hù)解決方案

作為國(guó)內(nèi)信息安全領(lǐng)軍廠商，億賽通具備近7年的軟件研發(fā)應(yīng)用和國(guó)內(nèi)30萬以上終端用戶實(shí)施服務(wù)經(jīng)驗(yàn)。結(jié)合中國(guó)有關(guān)制度、管理體系和應(yīng)用模式，億賽通采用自主研發(fā)的文檔安全管理系統(tǒng)，將透明加密、權(quán)限管理、流程審計(jì)、文檔安全防護(hù)、日志審計(jì)等技術(shù)完美地結(jié)合在一起，在有效防范數(shù)據(jù)泄密的同時(shí)，可以對(duì)文件權(quán)限進(jìn)行細(xì)粒度的訪問控制；同時(shí)，為了確保中規(guī)院的服務(wù)器數(shù)據(jù)安全，還采用了億賽通在全球首創(chuàng)推出的文檔安全網(wǎng)關(guān)系統(tǒng)FileNetSec，為中國(guó)城市規(guī)劃設(shè)計(jì)院傾力打造數(shù)據(jù)泄露防護(hù)系統(tǒng)， 其方案架構(gòu)如下：

圖1 系統(tǒng)總體架構(gòu)

文檔系統(tǒng)為Client-Server結(jié)構(gòu)與Brower-Server結(jié)構(gòu)相結(jié)合。C/S結(jié)構(gòu)是由客戶端軟件CDGClient和CDGServer構(gòu)成，而B/S結(jié)構(gòu)則是指客戶端及服務(wù)器端上通過瀏覽器（Browser）操作、維護(hù)保密系統(tǒng)，兼顧兩種結(jié)構(gòu)的優(yōu)點(diǎn)又方便用戶操作。

CDG服務(wù)器負(fù)責(zé)系統(tǒng)的維護(hù)和管理，系統(tǒng)劃分系統(tǒng)管理員、終端管理員、日志管理員等多種角色，系統(tǒng)管理員負(fù)責(zé)終端的管理、用戶和組織結(jié)構(gòu)的劃分和維護(hù)、日志的查看、安全策略的制定，日志管理員負(fù)責(zé)日志的維護(hù)和報(bào)表輸出，終端管理員是二級(jí)管理員，負(fù)責(zé)部門的終端維護(hù)和加解密策略的分發(fā)，為了提高服務(wù)器的高可用性，系統(tǒng)采用了雙機(jī)熱備的方案，解決了服務(wù)器單點(diǎn)故障問題，保證系統(tǒng)24小時(shí)不間斷工作。

客戶端在接到安全策略后，加解密操作在終端完成，在內(nèi)部以密文的形式流轉(zhuǎn)。對(duì)加密文檔的內(nèi)容可控制拷貝粘貼、拷屏、另存等操作。

在內(nèi)部環(huán)境中，文件以密文存儲(chǔ)或流轉(zhuǎn)。對(duì)用戶完全透明，不改變用戶操作習(xí)慣。同時(shí)，通過對(duì)核心文件進(jìn)行權(quán)限控制，可以防止重要文件內(nèi)部擴(kuò)散，未安裝億賽通客戶端機(jī)器無法查閱加密文檔，需要與外部用戶交流時(shí)，用戶可登錄出口管理將加密文件解密成明文外發(fā)，也可登陸外發(fā)管理平臺(tái)以密文的形式外發(fā)。

CDG系統(tǒng)可以與各種認(rèn)證系統(tǒng)結(jié)合，如：AD、ED、CA、TDS等，同時(shí)也可直接兼容本地認(rèn)證。

文檔安全網(wǎng)關(guān)系統(tǒng)FileNetSec對(duì)于該院服務(wù)器數(shù)據(jù)能實(shí)現(xiàn)實(shí)時(shí)、透明的加密保護(hù)。對(duì)于上傳至服務(wù)器的文檔和數(shù)據(jù)，可根據(jù)需要選擇加密或者解密；而從服務(wù)器下載的數(shù)據(jù)則自動(dòng)進(jìn)行加密。由此，對(duì)服務(wù)器數(shù)據(jù)實(shí)現(xiàn)了加強(qiáng)保護(hù)。

四、           項(xiàng)目實(shí)施后的效果

部署億賽通數(shù)據(jù)泄露防護(hù)體系后，能確保該院內(nèi)部各類軟件所產(chǎn)生的文檔均在該系統(tǒng)加密保護(hù)范圍內(nèi)，加密文檔可以和OA、管理平臺(tái)進(jìn)行無縫結(jié)合，利用文檔安全網(wǎng)關(guān)FileNetSec動(dòng)態(tài)對(duì)文件進(jìn)行加解密操作，加解密對(duì)用戶完全透明。任何加密文檔在脫離該院網(wǎng)絡(luò)環(huán)境后都處于加密狀態(tài)，非授權(quán)終端或用戶無法瀏覽加密文檔。同時(shí)系統(tǒng)應(yīng)具備相應(yīng)的受控出口在授權(quán)允許的情況下加密文檔解密后可以發(fā)送出去供他人使用。其效果可見下表：

表1 系統(tǒng)運(yùn)行前后對(duì)比

【編輯推薦】

1. “政府級(jí)數(shù)據(jù)安全”硬盤自加密技術(shù)詳解
2. 企業(yè)數(shù)據(jù)流動(dòng)中的安全保護(hù)
3. 數(shù)據(jù)存儲(chǔ)安全存在五大災(zāi)難如何避免？