面对纷繁复杂的内网泄密风险，层出不穷的数据泄漏事故，如何确保企业能够构造成功的信息安全防护体系，成为了一项迫重而紧急的任务。中航工业肩负大量涉及国家核心机密的设计、研究、生产工作，在国家安全环境日异复杂、市场竞争越发激烈的大背景下，企业的核心数据、信息已然成为“众矢之的”。当企业的核心知识产权与机密面临风险时，中航工业选择了迎难而上、果敢出击。此次，北京明朝万达科技有限公司Chinasec(安元)携手中航工业集团，为其着力打造完整的信息安全防护体系。Chinasec(安元)注重从信息的源头开始抓安全，对信息的存储、交换和使用等环节实现全面保护，从而达到信息的全程安全。

企业概况
    中国航空工业集团公司(简称"中航工业")是由中央管理的国有特大型企业，是国家授权投资的机构，由原中国航空工业第一、第二集团公司重组整合而成立。集团公司设有防务、运输机、发动机、直升机、机载设备与系统、通用飞机、航空研究、飞行试验、贸易物流、资产管理、工程规划建设、汽车等产业板块，下辖近 200家子公司(分公司)、有20多家上市公司，员工约40万人。

信息交互现状
    随着企业业务的高速拓展与规模的不断扩张，中航工业的各级分支机构已经遍布全国。为了解决企业核心信息的交互问题，中航工业专门搭建了“某核心办公信息系统”，并架设了SSLVPN，以便于各地员工的远程接入,从而有效提升了信息流通的速度与办公效率，并实现了数据集中归档管理等效果。

企业“隐私”面临风险

以“某核心办公信息系统”为例，其最大的正向价值在于信息交互的便捷性，最大的风险也正源于此。如果没有专业的、针对性较强的信息安全防护体系作为依托，与系统相关的数据、文档等随时都可能被黑客、木马、(恶意)主动等方式外传、外带至非企业区域，其危险性不言而喻。

信息安全防护体系的设计
    通过对中航工业的信息交互现状的分析，我们不难发现其中信息流动主要是围绕“某核心办公系统”来进行的。因此信息安全防护体系应沿着该系统的实际应用进行有针对性的部署，从而实现“对症下药”，将安全力度有力有节的加以施放。总体来说有以下几点需要重点关注：

1) “某核心办公信息系统”的准入，原“用户名\密码”方式安全程度有限;

2) “某核心办公信息系统”中的文档下载至计算机时的保密处理;

3) 人员权限管理，即根据所属部门、职级等事先设定权限，此权限即其使用系统所属文档的权限;

4) 文档外带\外发审批流程，需具备相关审批流程的制定功能，以保证涉密数据可以在受到审计与审批的情况下可以以适当的形式被传递至企业外部。

信息安全防护体系的建设
    经过多轮评测与对比，中航工业最终选择“Chinasec应用保护系统”作为体系的防护体系的建设基础。最主要的原因是，该系统与传统数据安全防护系统有着很大的区别，其突破了原有的围绕文档进行加密的“程式化思路”，转而将数据风险控制点指向核心业务系统本身，通过精准的风险分析与定位，以期实现“加密最少化，安全最大化”的效果。结合中航工业对于信息安全防护体系的设计要求，解决方案各组件及控制过程如下：

1)保密对象设定

锁定保护对象为“某核心办公信息系统”;

2)人员身份与密级设定

从“某核心办公信息系统”中同步用户身份，并根据其职级与业务属性差异化的设定其对于文档的使用权力，如打开次数、阅读时限、可否编辑、可否打印、可否另存等;

3)业务系统访问控制

“某核心办公信息系统”服务器具备自动检测终端上是否安装特定的Chinasec客户终端防护组件的功能，如未安装则系统会自动跳转至组件安装页面;

4)数据下载加密

“某核心办公信息系统”下载、导出至员工计算机的文档会被自动加密，工作人员须遵照“人员身份与密级设定”来使用文档;

5)权限审批与文档外带审批
当需要超出当前用户权限使用涉密文档时，需经审批加临时授权的方式进行“提权”;当需要对文档进行外发\外带时(通过网络、USB存储设备等)，亦须向审批人提交申请，审批通过后系统会自动对审批内容(即文档)进行封装，生成可供外带的“封装包”，对包中内容的读取仍然受到审批时所赋予的文档使用权限的约束。

籍此，Chinasec应用保护系统同中航工业“某核心办公信息系统”进行了顺利的对接。从实际应用与各方面反馈来看，应用保护系统达到了中航工业对于信息安全防护系统的建设预期，取得了良好的数据安全防控效果。
 

(责任编辑：)