第一章 项目综述
1.1 建设目标
通过为制造行业文档安全管理系统的建设,实现以下目标:
(1)在整个文档生命周期内,控制敏感文档在办公终端之间的安全流转。
(2)为办公终端进行敏感文档加密传播、操作审计,提供技术手段。
(3)保证关键业务文档,邮件的信息安全,提升企业信息化安全整体水平。
(4)主要面向企业范围内部办公用户提供通用文件的加密技术手段。
1.2 系统定位
(1)文档安全管理系统是一个具备开放接口的基础平台,其作为内网安全基础设施,面向企业内网终端和相关信息化系统提供文档加密技术手段,控制涉密电子文档的生命周期及其在传播过程中的知悉范围。
(2)系统应提供开放接口,便于后期与制造行业有加密需求的信息化系统对接。
(3)系统应能够与制造行业统一认证系统的对接,满足系统的认证需求。
(4)本期工程要求完成终端文档安全防护的需求。
1.3 建设原则
本工程建设遵循以下原则:
(1)全面考虑,重点部署,分步实施
安全系统工程是融合设备、技术、管理于一体的系统工程,需要全面考虑;同时,尽量考虑到涉及网络安全的重点因素,充分考虑可扩展性和可持续性,从解决眼前问题、夯实基础、建设整个体系等方面作好安全工作。
(2)尽量减少对现有网络应用的影响
部署网络安全,尽量减少对现有网络结构和应用系统的影响。在尽量减少对现有应用的影响的同时,充分考虑安全产品和现有网络结构、网络产品、网络应用的兼容性,保护网络建设的投资。
(3)先进性,可扩展性,完整性并重
采用成熟先进的技术,同时,网络安全基础构架和安全产品必须有较强的可扩展性,为安全系统的改进和完善创造条件。
1.4 建设范围
在制造行业建设统一文档安全管理系统,作为一项内网安全服务基础设施:
Ø 为企业内网办公终端之间的通用文件传播提供文档加密技术手段。
Ø 系统支持业务系统进行对接,实现客户内部范围流转的文档安全控制。
Ø 预留开放接口,供其他信息化系统调用。
第二章 需求分析
2.1 制造行业现状
制造业是一个非常大的传统行业,包括了汽车、船舶、飞机、家电等。目前,国内的制造业都面临着一个共同的难题:在计算机和信息时代的今天,如何追赶IT的脚步?如何再次焕发传统行业的青春?为此,制造业大量地采用计算机技术和网络技术。
随着机械制造业在信息化建设方面的不断深入,信息的生成、流转、传输变得非常快捷,并且伴随着行业竞争越发激烈,数据安全问题越发凸显出来。为此,需要针对机械制造业信息的安全特点,制定完整的数据信息安全管理体系,以巩固信息化成果,降低企业信息安全风险。
为提高制造行业内部数据的安全性,实现内部工作文档和应用系统中的办公文档在内部流转时能够安全可控,实现文档脱离公司环境和应用平台后能有效防止文件的扩散和外泄,需要建立一套完善的数据保密管理及授权访问系统,对于公司内部电子文档,就其使用范围、用户权限、用户操作、文件流转进行控制管理,以防止文档内部核心信息非法授权阅览、拷贝、篡改。达到既防止文档外泄和扩散,又不影响员工使用。
为了尽快形成全公司统一的内网信息安全体系,有效防范制造行业数据泄露的安全风险,保证公司业务的安全发展,保证信息资产的安全,是制造行业必须解决的紧迫问题。
2.2 制造行业文档安全需求
制造行业内部不但有大量的终端计算机,也有大量的业务系统。每天在终端计算机和业务系统中都有大量的业务文档在创建、流转、打印、共享。所以在为制造行业建设文档安全方案时需要为终端和业务系统一起建设数据安全保障体系。
1、 建立终端(电脑)数据安全保障体系
以设计图纸为核心的企业敏感数据在生成和传播过程中高度依赖于网络和各类信息处理终端,数据广泛在设计、生产等部门间流转,这些数据都以明文状态存储在单位内部各终端电脑上,缺乏有效的技术手段控制文档的使用权限、打印权限和流转范围,存在数据泄露的风险。以设计图纸为核心的业务文档需要经常与外部进行交流,需要传输到外部环境。在整个过程中缺乏有效的泄密保护,存在二次泄密的风险。安全性无法保障。
因此,需要建立安全有效的终端数据安全保障体系。
2、 建立以应用系统数据安全为核心的数据防泄漏体系
在制造行业,很多单位内部都拥有各种不同的应用系统,如:OA、CRM等业务管理系统等,各应用系统在提高管理水平、促进业务创新、提升竞争力方面发挥着日益重要的作用。信息化系统在系统设计的时候充分意识到文档安全管理的重要性,结合业务流程设计了多种文档流转模式。流程及环节严格执行权限控制,有效确保电子文档在系统内部流转访问的信息安全。
电子文档在信息化系统中进行流转,信息安全可以得到基本的保证,但是当文档流转出业务系统的边界,进入人为传播的范围,文档的权限管理属性消失,无法保障文档人为传播过程的安全性。
因此,迫切需要建立以业务系统为中心的信息防泄漏防护体系。
3、 建立有效的追踪审计体系
文档安全管理系统必须能够对用户的各种文档使用行为进行详细的记录,以便进行事后查证。
第三章 系统建设方案建议
3.1 系统架构建议
本期项目投标采用单个服务器独立部署架构,即单个服务器为所需客户端提供文档安全服务。
3.2 软硬件配置说明
3.2.1 服务器具体分配
|
类别
|
文档安全系统服务端
|
操作系统软件
|
数据库软件
|
|
总部
|
1套
|
1套
|
1套
|
|
合计
|
1套
|
1套
|
1套
|
3.2.2 提供系统的软硬件配置清单
|
文档安全管理软件
|
|
产品名称
|
功能简介
|
数量
|
备注
|
|
文档安全管理系统服务端
|
1. 计算机管理模块
2. 用户管理模块(LDAP集成)
3. 权限管理模块
4. 证书密钥管理模块
5. 离线管理模块
6. 外发控制管理模块
7. 水印管理模块
8. 日志管理模块
|
1
|
|
|
文档安全管理系统客户端
|
对办公类(如:MS Word、Excel、PowerPoint、Visio、Pdf等)、专业设计类(如:Protel、UG、Cadence、Mentor、PowerPCB、Pro/E、AutoCAD等)多种文件格式提供手动、自动加解密服务,并提供只读、打印、编辑等权限控制;并提供解密申请、外发申请、离线申请等功能。
|
300点
|
|
3.2.3 制造行业提供系统的硬件设备清单
文档安全管理系统(服务器端)可以与HP,IBM,DELL及联想等主流服务器达到无缝结合,硬件环境无需特殊定制,所支持的操作系统也是主流的windows系统及 linux系统
|
文档安全管理系统服务器
|
|
配置
|
数量
|
备注
|
|
Intel 四核 2.6GHz或以上处理器; 8G内存;500GB硬盘;千兆网口; DVD光驱;
|
1
|
制造行业提供
|
|
数据库服务器
|
|
配置
|
数量
|
备注
|
|
Intel 四核 2.6GHz或以上处理器; 8G内存;500GB硬盘;千兆网口; DVD光驱;
|
1
|
制造行业提供
|
3.2.4 制造行业提供系统所需第三方软件、操作系统及数据库清单
|
第三方软件、操作系统及数据库清单
|
|
软件产品名称
|
数量
|
备注
|
|
数据库Microdoft SQL2005/2008标准版
|
1
|
|
|
Windows2003/2008/2012server 企业版
|
1
|
|