浅谈机械制造业内部文档数据的安全使用

邹晓光，孙体伟

（1.哈尔滨朗威电子技术开发有限公司，黑龙江 哈尔滨 150028; 2.哈电集团秦皇岛重型装备有限公司，河北 秦皇岛066004）

1 前言

近年来，由于国内机械制造业迅速发展，制造企业一方面重视硬件设备的提升，另一方面更加注重软件的建设。在行业内采用计算机辅助设计（CAD-Computer Aided Design）和计算机辅助制造（CAM-Computer Aided Manufacturing）的企业越来越多，在设计和制造环节中普遍使用电子设计图纸和有关资料。在市场竞争环境中，时有发现竞争对手通过不正当竞争手段窃取公司的技术资料。为了保护企业的研发成果，保护企业的知识产权，保证企业领先的技术竞争力，企业的技术核心资料的安全保存和安全使用问题，已经成为迫在眉睫必须解决的问题。

本文论述所提及的安全防范是指防止文档数据被非授权使用。本文中文档数据主要是指系统需要保护的技术文件（DOC、PDF、CAD、CATIA，NX等）。

2 企业的安全需求

企业的安全需求可以总结归纳为，通过一定技术手段并配合保密管理制度，实现企业内网的文档数据安全，记录文档的修改和流转日志，同时方便内部文档信息交流，并与现有系统有机融合，真正对企业的核心技术资产起到保护作用。

根据对制造型企业的特点分析，对企业中的安全防护需求进行归纳总结，整理出需求分析，具体如下。

2.1 功能需求分析

在现有的文件系统上保存的文件，需要进行保密的，首先要设定保密级别。在设定保密级别的基础上，进行文件的获取、查看、修改，打印、外带授权等。具体功能详细需求分析如下。

文档保密级别定义管理：要求软件对于不同的文件（名/类型）可以自定义不同保密级别；

内部安全域划分管理：根据内部计算机和相关的周边设备以及使用者的实际情况，划分不同的使用区域，对不同的区域划分安全级别；

系统管控策略：根据电子文件的保密级别和使用环境，使用者定义不同的管控策略，根据管控策略进行管控；

文档内部流转控制管理：根据管控策略对文档内部流转、不同安全域之间数据隔离、使用日志跟踪、跨域交换审批等进行控制；

文档带出管理控制：涉密文档带出必须经过授权，并记录日志；

文件打印管理控制：当用户打印涉密文件时需要进行申请或者进行解密操作。

移动硬件介质控制管理：某些移动介质可以在允许的保密环境下使用但不允许在保密环境以外的区域内使用；保密PC除保密移动介质可使用外，其他移动介质均不可以使用；（以上保密介质包括但不局限于：U盘、移动硬盘、手机内置存储）；

系统管理：系统管理功能包括用户管理、角色管理、权限管理、系统参数管理，日志查询等。

2.2 技术要求分析

在技术上将实现以下要求：

在系统设计和实现过程中，按照SOA架构思想，尽量将功能封装成粒度合理的服务，并设计标准服务接口，真正实现异构系统跨平台调用；

文件存储应符合国家档案局关于电子文件长期保存的要求；

系统应采用面向终端用户的设计，在服务器端可以方便地进行用户统一管理和安全访问控制；

系统用户扩充或使用单位增加时不影响现有系统功能和结构。当系统数据量和访问量增大而导致系统配置不能满足要求时，可以通过仅增加服务器等硬件进行解决；

系统应全面兼容各种操作系统和浏览器，并提供二次开发接口，以便与其他相关系统进行无缝连接。

2.3 性能需求分析

稳定性和先进性。产品具有良好的稳定性，支持500个在线用户，以及在200个并发用户的情况下，网络流畅运行；

兼容性，产品与目前使用的各应用系统具有良好的兼容性 ；

扩展性，提供二次开发标准接口。

2.4 运行环境要求

运行在Windows操作系统的域环境下；

软件同时满足W in d ow s X P-3 2位和W in d ow sXP-6 4位、W in d ow s7-3 2位和Windows7-64位、Windows8的要求；

满足现有网络环境；

满足NAS网络存储架构。

3 总体解决方案

3.1 保密设计思想及技术理念

企业内部电子文档的管控不是纯粹的技术问题，不是简单产品与技术的堆砌，是策略、技术与管理的综合。

保密技术理念突出地表现为保密技术“三元论”。保密技术有三个要素：安全策略；安全技术；安全管理。

3.2 安全策略

安全策略包括各种具体安全策略、法律法规、规章制度、技术标准、管理规范等，是保密技术的最核心问题，是整个保密技术建设的依据。

根据整体安全策略制定一个组织机构的战略性安全指导方针，并为实现这个方针分配必要的人力物力。一般是由管理层的官员，如组织机构的领导者和高层领导人员来主持制定这种政策，以建立该组织机构的信息系统安全计划和其基本框架结构。

3.3 安全技术

安全技术包含工具、产品和服务等，是实现保密技术的有力保证。

一般来讲，信息系统的安全技术手段主要包含防火墙技术、身份认证技术、信息加密技术、数字签名和认证技术、入侵检测和漏洞扫描技术、虚拟专用网（VPN）技术、安全审计技术和病毒防治技术等。在本方案中，综合运用这些技术手段，为客户构建完善的安全防御体系。

3.4 安全管理

安全管理主要是人员、组织和流程的管理，是实现保密技术的落实手段。

在保密技术业界有一个普遍的共识：安全在于技术，安全更在于管理，先进的安全技术是信息系统安全的根本保证。但是，任何一种技术手段的采用必须要和完善的管理制度相结合才能发挥最佳效能。所以，在选用先进的技术手段构建安全防御体系的同时，依据客户的具体情况和对安全管理的具体要求，规划出相应的保密技术管理的规章制度，如组织机构制度、人员管理制度、场地与设施管理制度、安全系统管理制度和安全事故管理制度等，以消除非技术方面的安全漏洞，使整个安全防御体系更加完善和严密。

4 总体设计

4.1 概述

系统设计参照相关国家标准。根据企业中对文档安全使用的需求分析，做到涉密文档保存到服务器中，只要离开服务器，就必须保存到客户端安全区域，或是保密移动介质中；同时，只允许客户端安全区域或是保密移动介质中的文档保存回服务器；客户端授权的互相复制必须在客户端安全区域，或是保密移动介质中进行。以上三种行为，均要有日志记录，做到事前控制，事后有据可查。

通过涉密文件流转权限控制服务器端服务控制程序和受控客户端通过安装《安全登录与文件保护系统桌面系统》的客户端程序以及保密移动介质或授权普通移动介质相互配合，在文档流转所有环节中划分出两大逻辑区域： 安全数据存储区域，普通存储区域。这两大区域相互隔离，不能互相操作，实现对涉密文档的有效控制。数据总体区域划分见图1。系统组成模块和系统网络架构略。

4.2 文档保密级别定义管理

设置文档第一次保存到NAS之前， 要经过涉密文件流转权限控制服务器，并设置保密级别。

软件实现对于不同的文件（名/类型）可以自定义不同的加密级别，实现以下级别：

图1 数据总体区域划分

正确输入密码即可查看的文件的权限。

必须经由上级批准以后方可查看的文件的权限。

只具有文件的只读属性的权限。

同时具有文件的读写改的权限。

对文档保密级别的修改提供日志记录，并提供授权的查询功能。

对于非最终文档，即已经存在保密级别的文档，保存时默认使用原来的保密级别，并在保存前可以修改权限范围。

4.3 内部安全域划分管理

根据计算机及相关外设（打印机、光盘刻录机、移动存储介质等输出设备），操作者来划分不同的安全隔离域，对各个安全域进行有效标定和动态管理。

为管控策略提供基础数据。

4.4 系统管控策略管理

根据电子文件的的保密级别和使用环境，使用者定义不同的管控策略，根据管控策略进行管控。

4.5 文档内部流转控制管理

保密级别设定时对应一定的默认流转权限，同时也可以临时授权文件的流转。

保密级别和流转权限是两个概念，关系为：保密级别设定后，会对应默认的流转权限。文档的流转最终决定于流转权限。保密级别更多是应用于对文档本身加密控制。

4.6 文档带出管理控制

涉密文档带出，必须经过管理人员授权，授权带出的涉密文档，必须由管理人员用户授权，限制使用时间、使用次数、使用客户端范围、人员范围等，同时在服务器端保存使用记录日志。

4.7 涉密文档打印控制管理

建立涉密文件打印控制服务器，不允许受控客户端直接连接打印机，打印文档必须经过涉密文件打印控制服务器中转传送给打印机，涉密文件打印控制服务器会查询涉密文件流转权限控制服务器，来控制是否允许打印，允许次数等，同时记录打印的人的信息，打印日期等信息进入打印日志。

4.8 移动硬件介质控制管理

移动存储介质的使用管理首先要满足几个基本要求：

通过移动存储介质交换的数据必须是密文，保证数据离开应用环境后不可用；

数据交换前必须通过正确的身份认证，包括密码认证和授权硬件的身份认证；

记录数据交换过程的工作日志应便于进行跟踪审计；

未经授权的移动存储介质，在内部办公环境中不可用，只有经过授权的移动存储介质才能接入到办公环境中可控使用；

工作配发的移动存储介质带出办公环境后不可用；

需要外出使用的移动存储介质必须经过管理中心授权并格式化后才能使用，在拿回办公环境使用时，介质控制为只读功能，只有管理中心重新授权后才可在内部正常使用。

5 结束语

本文对制造业内部电子文档的保密安全防护和安全使用进行了阐述，该设计方案已在国内一些制造型企业中进行了部署实施，在现阶段的技术能力前提下，对企业资料起到了较好的安全保护作用。本文可以为制造型企业资料安全防护提供一个实际的参考。