政府单位信息反泄密解决方案

 随着信息化的普及应用,政府单位信息化建设已经非常深入,信息化办公已经成为各级政府单位运转的基础设施,各单位建立了自己的内部计算机网络及信息系统。政府部门的网络涉及国家各个层面的机密信息,其信息的保密性和可控性显得尤为重要。在各级政府部门里,各种公文、通知、指示、通报、内刊等业务都实现了信息化,包括各种专项业务系统、OA、邮件等系统也已经成为政府单位日常工作中不可分割,在事业单位中涉及的国家秘密信息数量大、范围广,信息和数据泄密成为巨大威胁。怎样做好信息安全保密防止信息泄密,成为一个非常严峻的问题。根据国家保密局发布的《计算机信息系统保密管理暂行规定》和《BMB-17》系列分级保护要求,要求对涉密信息系统进行防护。
 
   目前涉密信息系统安全保障工作还处于起步阶段,普遍存在安全保障能力低,没有划分安全保密层次与级别,信息对抗能力不足等问题。根据要求,技术上需要建成保密网络和相关保密措施护,还需要对于保密制度的建设和人员保密培训也形成了常态化工作,建立有效和安全通过加密数据自身的防泄密手段,保护涉密数据在传输使用的过程中安全,杜绝信息泄密事件的发生。
 
需求分析
 
 
  1、确保单位司内部协同工作的前提下,保护核心涉密数据资产安全。
 
  2、 强化数据密级管理,做到数据人员密级分级分类,防止涉密数据资产被非法授权用户访问窃取。
 
  3、管控授权外发文档,防止将解密后的文件交给外部合作单位导致二次泄密。
2、解决方案
ITEN根据用户的实际需求,研发了以先进的PHOENIX加密技术为核心的,集身份认证与权限管理、自动备份、U盘管控、程序控制、日志记录、截屏监控、远程通讯等多功能模块于一体的反商业泄密系统软件,是解决信息安全泄密问题的较优方案。

3、主要功能
1)加密保护
内部终端部署系统后,将强制地对需要保护的图纸文档进行自动加密。这些文档只能在内部使用,无论采取什么方式被带离内部环境以后,该文档将无法打开。
2)端口控制
防止数据通过各种移动介质泄密:比如U盘、移动硬盘、可刻录光驱、打印机等。可以实现是否允许接入终端、是否允许读、写、打印等操作。
3) 外发文控制
通过外发文件控制软件,可以对需要向外发送的涉密文件等设置打开权限。外发文件控制软件还支持打印功能控制,可以对需要在外打印的图纸或文档进行有效的管理和控制。
4) 数据备份
为防止文件被有意或无意删除或损坏,可以对指定电脑的指定文件格式设置自动备份。当该文件有过修改后将会再备份出一个新的文件版本,形成版本库,可以追溯每次修改的记录。
5)身份权限管理
安腾反泄密系统不是一个单纯的加密软件,而是将分级管理的思想纳入其中,依赖PKI体系,通过身份证书来标明不同的用户,并将权限信息植于加密文件内部来实现的,与传统的通过密钥来分割权限的方式相比具有明显的优势,可以实现各种复杂的应用模型。

4、部署模式
安腾反商业泄密软件系统可以解决文档数据的保密和安全管理需求,基本阻断各种泄密渠道。
4.1 有关内部文档数据库的信息保密
对于存在于各个终端计算机的涉密文档图纸等,通过安装客户端进行强制性加密保护。实施以后,在同一单位或同一部门内部,文档可以自由的流通,就如同没有安装反泄密软件一样。但当文件未经授权流出单位,文件则变成乱码。如果文件需要交给客户或单位外面的人,则需要经过管理人员的批准解密。系统并能与OA、ERP等多种内部管理系统完美对接,不会影响原有的工作环境。
4.2有关信息传递与互换过程中的保密需求
1、由于采取了加密技术,各种网络传输、邮件传输如果未经解密操作,发出去的密文是无法打开的;
2、反泄密系统对于密文将自动限制其复制、粘贴、抓屏等行为,也可以对于打印设备进行禁止使用、限时使用、记录打印日志等加以控制;
3、反泄密系统可以设置对各种存储设备的自动识别与管理,有禁止使用、只读、自动加密和开放使用等模式;
4、对于需要携带涉密文档图纸的手提电脑外出的情况,反泄密系统可以提供离线加密和限时使用两种方式加以管理;
5、对于需要发送给客户使用的涉密文档图纸,反泄密系统软件可以增设限制功能,对文档的修改、打印及使用时间进行参数设置。
4.3不同岗位之间信息浏览和管理限制
1、对于不同部门或小组之间的信息壁垒,反泄密系统可以通过分组策略加以解决;
2、对于不同层级管理人员的文档管理权限,反泄密系统可以通过分级策略实现上级对下级文档管理的授权与审批。
 
5、部署模式
在部署反泄密系统时,可以只在单位总部设置一台服务器端,也可以设置多台服务器端。
如果采用唯一服务器的方式,需要单位内的所有终端在同一内网,或有VPN专线通讯以保证分支机构与总部在一个局域网内。
如果分支机构无法与总部网络打通,采用在分支机构设置分服务器方式,可以有多种模式:
(1)分支机构服务器与总部服务器基本密钥设置一致,其效果类似于部门之间的关系;
(2)分支机构服务器与总部服务器基本密钥不一致,可以将分支机构信息放入总部服务器中,其效果是分支机构类似总部的一个部门。