北信源承接的工商银行新一代电子文档安全管理项目。在公司文档安全防护系统产品基础上,北信源结合工行的实际情况,进行二次定制开发,确保重要敏感电子文档不落地,实现电子文档的在线编辑和管控;完成与业务部门全行性业务系统对接,实现对涉及客户信息的业务系统全覆盖,确保业务系统中电子文档的安全存储和处理。产品上线后稳定运行。系统对用户体系内的人员大量违规操作做了拦截。本案例目前已完成境内分行的终端(存在一个用户多台终端的情况,同时还有一些公共设备),境外若干家一级机构合计若干用户终端的推广工作。
一、实施背景
随着信息化时代的来临,中央企业商业秘密广泛存在于信息系统中,一旦信息系统中的商业秘密保护不当,将给企业生产经营带来重大风险和隐患,为此,国家先后颁布了《中央企业商业秘密信息系统安全技术指引》及其修订版等指导文件,用于指导中央企业的商业秘密信息系统安全建设。
中国工商银行下发内部研发任务,北信源立足于文件加密和授权控制,弥补现有管控的短板,实现对企业内部商业秘密信息系统的全面保护,尤其是对公文系统等包含商密信息的各类应用系统上的商密文件的保护,完成了系统的建设目标,并进行了全行的部署和推广。
二、实施目标
北信源从包含商业秘密信息的电子文档的安全防护出发,通过配置安全策略,实现对企业包含商业秘密信息的电子文档的统一安全管理。
◆以“敏感信息发现、文档分类分级、文档加密保护”为技术基础,通过系统自定义敏感规则库,实现对包含商业秘密信息的电子文档在起草阶段的内容加密、文件定级、分级保护,保证包含商业秘密信息的电子文档脱离系统无法使用,避免内部人员主动泄露包含商业秘密信息的电子文档;
◆以文档权限管理为内部使用管理的手段,在企业内部实现对包含商业秘密信息的电子文档的授权访问,可设置商密文档的授权访问对象和使用权限,比如只读、可编辑、打印、复制、打开次数、打印次数、有效使用时间等等,通过细粒度的权限管控,实现对包含商业秘密信息的电子文档在企业内部使用时的管理;
◆监控“终端外发、网络外发、邮件外发”等外发电子文档的途径,防止包含商业秘密信息的电子文档被非法外发出去;
◆结合文档外发申请、文档外发包等技术,为包含商业秘密信息的电子文档的外发提供合法的通道。
◆提供全面的电子文档操作审计功能,对包含商业秘密信息的电子文档的创建、使用、编辑、打印、分发、解密等全生命周期的操作行为进行审计和追溯。
◆对企业内部包含商业秘密信息的电子文档资产进行统计和管理
三、建设背景
随着网络应用的日益普遍深入以及政企信息化工作的进一步推进,核心数据存储的媒介由传统的纸质文档越来越多的转换为电子文档,大量包含企业商业秘密信息的电子文档在企业内部员工的办公电脑以及企业内部的应用系统上面进行流转。核心数据信息的安全性越来越受到人们的关注,特别是一些关系到国家安全、企业命脉的核心安全信息更是保护的重中之重。包含核心数据信息的电子文档一旦泄露,会对国家、企业带来难以估算的巨大损失。
据统计,工商银行全行已有几亿份电子文档,分散存储在全行办公终端及共享盘上,文档涉及用户信息、商业秘密、知识产权等。上述电子文档的存储及处理安全极为重要,稍有不慎,极可能外泄,形成数据安全事故。
建设内容
此次项目建设以电子文档为核心,对文件从生成阶段加标,对商密文件流转阶段进行全面权限管控,同时对商密文件访问进行全面审计管理。对商密文件定密、标密、加密管理,实现对商密数据从创建、编辑、共享、流转、使用、脱密、外发、销毁的集中管理。同时商密文档统一的账号认证、审批流程、加密存储、访问授权、审计回溯,强化非结构化数据安全,实现商密数据与非商密数据的隔离。
本项目采用文档加密防护+信息泄露防护+云文档三者相结合的方式,构建更安全、更高效、更便捷新一代文档安全体系,打造工行文档安全可视、可控的新体系,全面提升用户使用、维护管理的易用性。
项目确定后,北信源与该大型银行共同成立项目小组,明确相关人员职责,制定项目实施计划,整体项目流程分为试点、全行推广、应用改造、历史数据迁移等工作。
四、实施效果
(一)经济价值
本案例目前已完成境内分行的终端(存在一个用户多台终端的情况,同时还有一些公共设备),境外若干家一级机构合计若干用户终端的推广工作。产品上线后,根据用户的需要,创建了若干个国密的密级、商密密级以及内部资料级别的密级关键字。同时,创建有文档加密策略,自动授权策略和文档扫描策略。
产品上线并完成推广后,目前出于稳定运行阶段,平均每个月产生的加密授权文档千万个,平均每个文档的授权条数为若干条(每个月的查询数据有差异)。
同时,系统会对用户的违规操作做拦截以及记录日志。拦截的违规操作类型有:违规打印(未授权打印),违规复制(未授权复制),违规打开(未授权打开),违规截屏。据统计,针对用户体系内产生违规操作。系统对用户体系内的人员违规操作做了精准高效的拦截。
(二)转型变革
新一代电子文档安全管理系统是紧密依照国家数据安全治理要求,结合企事业单位文档安全管理需求设计,此套安全管理体系具有广泛的应用和实用性。
1)时刻保障数据文件的使用安全
通过部署北信源电子文档安全管理系统,可实现对日常办公数据文件的加密,防止因为外部攻击或者人员的无意识的行为等内部或者是外部因素造成的数据泄露,此外,对于企业在办公中所使用的应用系统上的数据安全也不容忽视,系统可为企业内不同系统上的数据文件进行安全的保驾护航,防止所有可能存在的造成数据泄露的因素。
2)敏感数据加密全覆盖
北信源电子文档安全管理系统基于策略规则和中文语义的智能识别引擎,对终端数据进行高效敏感检查,对企业内数据实行精准分析,知晓数据分布和风险,进而通过自动加密授权等方式保护数据资产。
(三)推广空间
此项目新一代电子文档安全管理系统具体良好广泛的可推广性,项目整体方案领先性。项目方案是在原文档安全防护方案基础上,全新调研梳理新时期数据安全管理需求痛点和行业监管要求,配合工商银行文档安全防护项目实践整合而成,方案成熟度高,已在包括工商银行在内的诸多企事业单位广泛应用,产品功能及应用对接接口成熟度高,兼容性和稳定性强方案具有很高的行业领先性和可推广性。另外,新一代电子文档安全管理系统国产化拓展性高,目前新一代文档安全管理系统服务器端已能支持主流国产化操作系统,管理客户端也在诸多国产化系统有适配。后续如涉及国产化改造,改造难度低,工作量小。