北京北信源软件股份有限公司承接某运营商的商密信息安全保护项目,加强了该运营商的商密系统全过程、全方位的安全管控,满足了国资委关于商密示范单位的建设要求,全面提高了该运营商的商密管理水平,为维护企业自身权益、确保国有资产保值、增值提供了有力支持和坚强保护。
商密防护系统主要实现以下的功能:
1)提供基础的文档加密的功能,保护终端电脑上的商密文档。
2)提供公文系统上的商密公文安全保护,实现起草加密、流转授权、在线安全预览和编辑、在线安全外发、下载安全保护等保护措施。
3)支持在移动端上安全预览商密文档。
4)保护企业业务系统的数据安全,实现加密存储、流转授权、使用过程中用户无感知。
商密防护系统建设作为该集团保密办重点工作,已纳入集团数字化转型管理智慧运营行动23项重要举措。基于“一平台多应用”的原则,实现了商密防护系统与云公文等应用系统的全面融合,整体提升了集团各类商业秘密的保护能力,打通了集团公司与各级单位商密文件防护通道,对商密文件进行了全生命周期防护,实现了商密文件安全、高效的流转协作,显著提高了集团的商业秘密信息系统的安全。
一、实施背景
随着网络应用的日益普遍深入以及政企信息化工作的进一步推进,越来越多的企事业单位进入了信息化办公时代。伴随着信息化办公的建设,“文档电子化、设计数字化、办公自动化,存储集中化”成为信息化办公的显著特点,企业的生产效率得到大幅度的提升,信息流通方式也得到革命性的变革。
在信息化办公时代,企业的商业秘密信息大部分都是以电子文档的形式存在的。包含企业商业秘密信息的电子文档广泛存在于终端用户的办公电脑和企业应用系统上面,这些电子文档具有信息量大、获取途径多样、获取手段隐秘、泄露危害极大的特点,一旦泄露会对企业造成无法弥补的损失。
对于包含商业秘密信息的电子文档保护的重要性和迫切性,国家在新《保密法》重点强调了,并为此出台了多项管理办法和技术指标,比如:BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》、《信息安全等级保护密码管理办法》、《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术网络基础安全技术要求》(GB/T20270-2006)、《信息安全技术操作系统安全技术要求》(GB/T20272-2006)、《信息安全技术服务器技术要求》等技术标准;国资委保密委员会在2015年也出台了《中央企业商业秘密保护技术指引》的技术标准,这些技术标准都要求遵循数据信息的全生命周期规则,实现事前主动防御、事中合理控制和事后追溯审计,并在此基础上重点考虑尽量降低包含商业秘密电子文档安全防护系统对实际业务制约的负面影响,实现在系统功能与管理的科学规律相吻合,解决核心数据信息承载体—“电子文档”和操作主体—“信息内容接触者”之间的相互关系问题,真正做到对包含商业秘密信息的电子文档安全的有效护航。
在2021年国家还审议通过了《中华人民共和国数据安全法》,并于2021年9月1日正式执行,从国家立法的角度向全社会强调数据安全和保护的重要性。
二、实施目标
加强该运营商的保密管理,深化落实国资委关于加强中央企业保密工作的要求,准确把握保密工作形势,积极探索新形势下保密工作的新思路、新方法,建立有效的商业秘密安全防护体系,将商业秘密的管理和保护真正落到实处,该运营商根据自身信息化建设和保密工作情况,对标《中央企业商业秘密信息系统安全技术指引》,建设商业秘密防护体系。有效满足了国资委对商业秘密监管的要求,集团公司业务系统商业秘密保护建设在满足《信息系统安全等级保护基本要求》的基础上,有效满足《中央企业商业秘密保护技术指引》基本要求。完成建设集团公司特色的商业秘密防护体系,建立业务系统商密文件从创建到销毁的全生命周期的安全防护体系,实现事前预防、事中可控、事后可查。
三、建设内容
1、服务器高可用部署
商密防护系统采用BS与CS混合模式设计,系统采用集中部署方式并满足高可用及负载均衡需要,包括服务器负载均衡和数据库负载均衡,数据库为了提高效率及安全性,采用分库分表方式进行查询,系统支持文件分布式存储,可满足超大数据量的数据和文件处理的系统要求。
系统由客户端和服务器两部分组成。服务器由业务管理模块、数据库存储模块和WEB管理页面(展示平台)三部分组成,业务管理模块和数据库存储模块支持负载均衡处理。
2、终端商密文档的加密保护
采用基于驱动层的透明加解密技术和安全的加密算法对终端计算机上的商密电子文档进行加密处理,以保证商密电子文档只能在授权的应用环境中被授权用户使用,脱离环境文件无法使用,确保文件的安全;支持常用的商密算法和国密算法。
3、应用系统上的商密文档保护
商密保护系统与业务系统进行集成,提供标准的接口供业务系统调用,实现业务系统上的商密电子文档起草加密、流转授权、在线安全预览、下载安全保护、安全外发等功能。
为应对IE停服和应用系统去控件化的大趋势,接口也进行了相应的改造,以满足应用系统去控件化调用的需求。
4、商密文档的内部授权访问
在企业内部实现对商密电子文档的授权访问,可设置商密文档的授权访问对象和使用权限,比如只读、可编辑、打印、复制、打开次数、打印次数、有效使用时间等等,通过细粒度的权限管控,实现对商密电子文档在企业内部使用时的管理;
5、商密文档的安全外发
提供商密文档安全外发的功能,终端用户选择要外发的文档,设置外发文档的管控方式和操作权限,生成文件外发包,外部接受用户不用安装任何软件即可对文件进行授权范围内的操作;应用系统也可调用我们提供的外发服务接口生成外发文件包
6、安全水印追溯
可对商密电子文档设置阅读水印和打印水印;可自主设置水印格式和内容;水印中可显示终端用户、终端计算机、操作时间等关键信息,防止通过截屏、拍照、打印等方式进行文档内容的恶意外泄,通过水印信息进行泄露溯源。
7、全生命周期审计
围绕商密电子文档的全生命周期,对每一个商密电子文档,系统会生成唯一的文档标识,在文档的生成、使用、授权、销毁的整个过程中对文档进行跟踪并以图表的形式直观的展示给管理人员。
8、企业商密文档的态势感知
提供直观的企业商密电子文档态势统计分析平台,从多个维度进行商密电子文档的分布和定期增量的统计,以监控图表的形式展现给用户,并形成统一全单位情况图,直观地展示企业的商密管理情况和知识图谱。
9、兼容信创和非信创环境
服务器支持在国产操作系统、CPU、中间件、数据库等环境进行部署;兼容国产流式、版式办公软件;支持各类国产服务器、国产云操作系统和桌面云系统;完成了全栈国产化兼容的适配工作。
四、实施效果
商密防护系统项目启动后,经过前期的细致调研、方案沟通、方案评审及系统测试工作后,选取部分省分公司的重点涉密岗位进行了试点测试工作,试点后对全国所有单位进行全面推广并完成试运行验收工作,截止目前为止已完成了全国终端推广工作。系统目前覆盖全国50余家省/分公司,终端目前覆盖总点数为20万点;日均活跃用户约为3000人左右。系统建设完成后运行稳定,满足集团对商密防护的安全需求。
通过本系统建设及相关体制机制的健全完善,切实加强了该运营商商密系统全过程、全方位的安全管控;实现了"进不来、拿不走、打不开、赖不掉"的商密秘密安全防护目标;满足了国资委商密示范单位建设要求,全面提高了集团商密管理水平,为维护集团自身权益、加强信息安全建设提供了有力支持及技术保障。
同时,商密防护系统还在中国电力投资集团、交通银行、中国南方电网有限责任公司、中国工商银行等进行了推广使用,为企业的商业秘密信息系统的安全建设提供技术支撑,取得了良好的应用效果和社会效益,获得了用户的广泛支持和好评。