【51CTO.com綜合報道】日前，中國移動全資子公司佛山移動公司與國內(nèi)領(lǐng)先的數(shù)據(jù)安全廠商北京明朝萬達科技有限公司正式簽約，共同建設(shè)數(shù)據(jù)安全管理系統(tǒng)。雙方希望借助Chinasec文檔安全解決方案的實施與應(yīng)用，建立一個完整、高效的信息化管理平臺，實現(xiàn)對現(xiàn)有各分支機構(gòu)、業(yè)務(wù)模式集中、全面、有效的管控，以管理技術(shù)和手段創(chuàng)新，持續(xù)提升企業(yè)競爭實力。

信息現(xiàn)狀

隨著全面信息化時代的到來和佛山移動業(yè)務(wù)支撐網(wǎng)的快速發(fā)展，對于佛山移動自身來說，業(yè)務(wù)支撐網(wǎng)包含了很多重要的信息資料，如業(yè)務(wù)支撐網(wǎng)積累和掌握了大量的客戶信息、生產(chǎn)數(shù)據(jù)和運營信息等。由于佛山移動的核心目的是通過網(wǎng)絡(luò)技術(shù)來加快人與人之間信息化交流，因此目前佛山移動的IT建設(shè)相對超前與其他行業(yè)，建設(shè)了包括BOSS系統(tǒng)、bomc系統(tǒng)、客服系統(tǒng)等，此類系統(tǒng)統(tǒng)稱為業(yè)務(wù)支撐系統(tǒng)。由于每個系統(tǒng)所關(guān)注的業(yè)務(wù)角度不同，因此其涉及到的人員也有所不同。在此基礎(chǔ)上，每個系統(tǒng)的人員又根據(jù)‘使用環(huán)節(jié)’和‘運維環(huán)節(jié)’而定義出不同的工作形態(tài)。目前佛山移動的業(yè)務(wù)網(wǎng)絡(luò)相對其他行業(yè)而言比較復雜。

需求分析

通過對佛山移動的調(diào)研，針對佛山移動目前面對的一系列數(shù)據(jù)安全問題對佛山移動整體的需求整理如下：

1、體系基本需求

對佛山移動內(nèi)使用的數(shù)據(jù)本著“區(qū)域內(nèi)透明，區(qū)域外保護”的要求進行防護，同時“盡量不改變現(xiàn)有的工作模式” 能夠兼容運營商的業(yè)務(wù)系統(tǒng)并能夠適應(yīng)實際工作流程，不會在使用增加不必要的環(huán)節(jié)。最終“盡量不影響現(xiàn)有的工作效率”盡量體現(xiàn)保密過程中的人性化，在操作的過程中保持人性化符合用戶的使用習慣。

2、核心系統(tǒng)保護需求

針對佛山移動的數(shù)據(jù)使用流程具備如下的核心需求

·用戶身份集成：佛山移動具備4A平臺，管理系統(tǒng)與AD、LDAP服務(wù)器中的組織結(jié)構(gòu)進行同步，進行身份認證結(jié)合，并可以靈活的修改用戶組織結(jié)構(gòu)。

·敏感數(shù)據(jù)集中管理：在核心業(yè)務(wù)系統(tǒng)中流轉(zhuǎn)的重要數(shù)據(jù)無法從系統(tǒng)中導入到非授權(quán)終端，并且可以根據(jù)策略對指定的數(shù)據(jù)進行加解密操作，對授權(quán)用戶只能在線的情況下對權(quán)限內(nèi)使用的文件進行透明加解密。

·文檔權(quán)限管理：對使用文檔進行權(quán)限屬性設(shè)定管理，可以針對不同的密級標識和不同的使用人員設(shè)置基于操作權(quán)限，以及使用權(quán)限上的不同控制。

·日志記錄追蹤：對于在線和離線的終端計算機上的文件操作，行為操作，系統(tǒng)操作應(yīng)有詳細的日志記錄；對于系統(tǒng)管理員，審計管理員的操作日志分別記錄。

3、系統(tǒng)管理需求

系統(tǒng)管理至少包括終端管理、用戶管理、加解密管理、授權(quán)管理、離線管理、日志管理。并且系統(tǒng)定義三種角色，分別為系統(tǒng)管理員、文檔管理員和審計管理員。

解決方案

針對佛山移動文檔安全為主的各類風險情況，采用了應(yīng)用保護系統(tǒng)做為建設(shè)核心。為MBOSS系統(tǒng)提供全面的安全防護 ，抑制用戶在使用應(yīng)用系統(tǒng)過程中存在的數(shù)據(jù)泄密風險。防止MBOSS數(shù)據(jù)在客戶端被非法擴散保護這些數(shù)據(jù)的安全。并且對于MBOSS服務(wù)器后臺數(shù)據(jù)進行安全防護，防止非友好用戶直接通過服務(wù)器獲取敏感數(shù)據(jù)。對于用戶下載的數(shù)據(jù)系統(tǒng)支持加密文件的權(quán)限管理。

從上圖分析，應(yīng)用保護系統(tǒng)以插件的形式安裝在各應(yīng)用系統(tǒng)使用終端上，當訪問應(yīng)用系統(tǒng)時由客戶端插件進行下載加密，并且采取權(quán)限控制的策略，數(shù)據(jù)不能夠隨意的復制和外帶。對應(yīng)用保護系統(tǒng)能夠有針對的進行保密，數(shù)據(jù)保存在服務(wù)器時可以明文或密文存在。

基于佛山移動目前已建立了身份認證體系，可以將用戶身份體系自動同步到文檔安全管理平臺中，安全管理系統(tǒng)通過已有的身份體系對BOSS系統(tǒng)中的數(shù)據(jù)進行權(quán)限管理。

文檔權(quán)限管理是文檔保密體系中的核心，文檔權(quán)限管理包含權(quán)限屬性定義（只讀權(quán)限、編輯權(quán)限、拷貝權(quán)限、截屏權(quán)限、帶水印打印權(quán)限、脫密權(quán)限、離線權(quán)限、時間權(quán)限、次數(shù)權(quán)限）、策略定義（包含在線和離線的兩種狀態(tài)）、權(quán)限庫設(shè)計幾個環(huán)節(jié)。

在數(shù)據(jù)需要被外帶時通過文件審批管理功能進行文件外帶，發(fā)起人需要將文件外帶時則可對文件請求審批，文件將會被自動流轉(zhuǎn)到審批人處，審批人可查看該文件如確定可以進行文件外發(fā)則文件自動流轉(zhuǎn)到發(fā)起人處，當審批人認為該文件不符合數(shù)據(jù)外帶請求時可拒絕發(fā)起人的要求。系統(tǒng)還提供多級審批，多流程審批等方式。同時還提供了數(shù)據(jù)的跟蹤和審計功能。數(shù)據(jù)在審批完以后會自動將文件進行保存或者將文件名保存，并傳到日志服務(wù)器上，提供后期查詢。

在日常辦公過程中創(chuàng)建者當發(fā)現(xiàn)某文件屬于重要文檔，需要給指定人員使用時可以手動對文件進行加密，在文件手動加密過程中，可以對文件的使用人、使用權(quán)限進行設(shè)置，并且可以設(shè)定文件的秘級為秘密、機密、絕密等不同的涉密等級。這樣數(shù)據(jù)在流轉(zhuǎn)的過程中可以有效的保護核心數(shù)據(jù)的安全，即使電腦丟失或者被他人竊取數(shù)據(jù)也無法獲取價值信息。

效果和特點

Chinasec文檔安全方案基于應(yīng)用數(shù)據(jù)保護、文檔權(quán)限管理、身份認證、全面審計4方面來綜合體現(xiàn)方案的完整性和多元性，切實保護了MBOSS系統(tǒng)內(nèi)部文檔的數(shù)據(jù)安全和權(quán)限管理；使用加密技術(shù)實現(xiàn)對文檔權(quán)限的使用，并實時記錄文件的使用情況，提供文檔日志審計手段，嚴格預測信息安全事件發(fā)生，提高安全管理水平；為日常管理和維護計算機中的文檔提供持久的安全性和控制，既能保證信息的安全，又能達到對文檔進行統(tǒng)一安全管理的效果。

Chinasec產(chǎn)品在使用過程中對敏感數(shù)據(jù)的識別更具針對性，只針對于boss上的數(shù)據(jù)進行數(shù)據(jù)保密，與文檔格式無關(guān)。安全管理更趨靈活，系統(tǒng)提供文檔權(quán)限管理、審批管理、日志管理等多種管理手段。高度的“業(yè)務(wù)相關(guān)性”和“技術(shù)無關(guān)性”，與所保護的應(yīng)用系統(tǒng)緊密相關(guān)，保護應(yīng)用系統(tǒng)內(nèi)數(shù)據(jù)線上、線下安全，除所保護的應(yīng)用系統(tǒng)外的其他數(shù)據(jù)均不受影響，但所采用的技術(shù)與具體應(yīng)用系統(tǒng)類型無關(guān)，兼容所有的應(yīng)用系統(tǒng)。用戶管理更豐富，支持AD、數(shù)字證書用戶，還支持與應(yīng)用系統(tǒng)身份系統(tǒng)進行集成，提供更豐富的用戶管理體系。

部署架構(gòu)圖

此次佛山移動與明朝萬達的成功合作，再次證明了Chinasec數(shù)據(jù)安全產(chǎn)品在設(shè)計理念、應(yīng)用技術(shù)上的先進性和適用性；也證明了Chinasec基于平臺化的高端產(chǎn)品構(gòu)建體系已得到電信數(shù)據(jù)安全市場的充分認可。佛山移動以信息化建設(shè)鞏固其在電信行業(yè)領(lǐng)導地位。