近日,经习近平主席批准,中央军委印发《关于进一步加强军队信息安全工作的意见》。《意见》提出当前和今后一个时期的军队信息安全工作的指导思想、基本原则、重点工作和保障措施,为全军和武警部队开展信息安全工作和建设提供重要遵循。其中指出,“必须把信息安全工作作为网络强军的重要任务和军事斗争准备的保底工程”。
军工行业作为国家武器、人民的卫士,肩负着极其重要的责任,关系着国家的安全稳定和国民经济发展、人民生活安居乐业。近年来各单位大力推广应用信息技术,加快军工行业信息化建设。从网络划分上,主要分为“内网”和“外网”,“内网”是网络和互联网物理隔离是行业内部的办公、科研网,其传输的数据都是行业的核心机密,涉及到国家安全,因此安全级别要求非常高。“外网”主要是和互联网相连,用来向外界发布行业信息,查找相关资料,该网络在行业中涉及业务信息较少。两网的核心力量并驾齐驱,在信息安全保密工作中都应该受到足够的重视和保护。
另外,由于军工行业工作性质的特殊性,企业集中了大量的国家秘密信息,涉密信息的保密工作面临着前所未有的机遇和挑战。因此,在信息化推进的过程中如何建设信息安全防护体系,强化保密合规要求,落实泄密风险控制已经成为军工行业急需解决的问题。国家保密局曾要求涉密信息系统建设使用单位应当在信息规范定密的基础上,依据《涉密信息系统分级保护管理办法》和国家保密标准BMB17-2006确定系统等级并且接受上级保密工作部门的监督和检查,来确保国家机密的信息安全。因此,军工企业要想在安全生产过程中进行可持续性发展,首要面对和解决的就是在业务流程及管理中遇到的泄密问题,亿赛通从以下几点做出数据泄密分析:
1. 两网之间安全切换,数据文档安全管理不能做到有效隔离和保护;
2. 涉密文档无法按照特定要求(绝密、机密、秘密),进行安全分类(密级分类);
3. 无法对涉密文档进行强制标密、流程定密操作,不能控制涉密文档在内部的传播范围;
4. 针对存储于应用办公系统中的涉密文档,管控涉密人员下载后无法实现密级分类;
5. 对业务应用系统中下载的文件不能进行细粒度的操作授权管控,也就不能保障涉密文档在涉密网络安全域内也能实现不同范围敏感信息内容的相互隔离;
6. 针对不同业务部门之间进行数据共享时,无法通过有效手段保障涉密文档内容的安全交换;
7. 不能对涉密信息的有效期限进行限制;
8. 发给协作单位、供应商的特殊信息不能保证内容安全和权限回收;
9. 对涉密文档的生命周期、应用过程、审核流程等相关信息无法进行审计或查询。
目前,各军工企业普遍采用了内外网隔离方式进行涉密网络的构建,并在此基础上部署了三合一保密软件,对各种移动存储介质进行管理;但对文件数据本身,并没有采取有效手段进行控制,如文档标密、操作权限控制等,对文件在企业内部流转时的安全可控。针对以上分析,北京亿赛通科技发展有限责任公司结合在数据涉密领域多年来的积累,提出针对军工行业涉密数据资产防泄密解决方案。本方案以数据加密手段为核心,结合原有保密网内三合一软件强化整体防泄密体系,对涉密文档进行标密、定密、密级变更,为解决军工企业中电子化数据应用过程安全控制的软硬件一体化方案。通过亿赛通军工企业涉密数据防泄露解决方案,可实现以下需求内容:
图:涉密数据安全方案整体实现效果
1. 数据加密需求
作为保证数据安全性的基本手段,通过数据加密实现数据主动泄漏及无意识泄漏的安全管控,同时防止外部入侵窃取或病毒攻击。
2. 数据权限管理需求
用于实现不同安全等级要求的数据受控访问及操作,对于绝密、机密和秘密等不同密级的数据进行不同权限管控。数据权限管理包括访问权限管理和操作权限管理。数据接收方对数据使用权限有可控权,包括使用时效、次数、使用权限、只读、修改、打印等等。
3. 用户认证需求
主要是指用户的身份管理。其用于控制用户的访问,同时与数据权限管理和数据使用的审计管理相结合,合理控制终端输入输出的权限要求。
4. 应用系统的数据下载安全防护需求
在保证各应用系统(如PDM、PLM、ERP等)正常运行的同时,确保数据下载后的安全管控,即做到数据上传至应用系统时可正常工作,数据下载到终端后可加密保护。
5. 内外网安全交互需求
能够有效隔离普通应用环境和安全工作域环境,保证安全工作域中的数据从生成、存储、访问、销毁等全生命周期的安全可控。
6. 数据外带的安全管控需求
通过便携计算机和移动存储介质将内部数据携带外出时,需通过加密手段对数据进行管控,以防止笔记本、U盘设备丢失泄密等情况的发生。
建设一个科学的、可信赖的、可扩展的信息安全体系是保证军工业涉密内容安全、有效运行的关键。通过本项目的有效实施,各军队及军工行业用户将获得以下收益:
Ø 更加明确军工行业核心系统安全策略以及核心数据的保护策略;
Ø 提高军工行业核心数据的安全管理能力,提高安全事件处理的有效性;
Ø 降低核心数据泄露的安全风险,从而减少可能给军工带来的损失;
Ø 为军工行业核心系统数据安全、稳定运行提供安全保障;
Ø 降低军工行业核心数据传输过程中的安全风险,保障数据生命周期的安全;
Ø 支持军工行业务发展中数据整合的安全管理,建立可持续发展的信息安全模型;
亿赛通专家小组,通过对军工核心数据进行安全风险评估,特别针对军工行业核心数据资料进行渗透性测试,并制定和实施风险加固方案和应急预案,从而支持军工企业业务发展战略的需求,为军工事业的发展贡献一份力量。
