Chinasec设计院内网安全解决方案

　　近年来，国内设计院所在科技建院、科技兴院和可持续发展的方针指导下，大力推进信息化建设，以信息化带动设计院的现代化，取得了瞩目的成绩。特别在远程异地办公、设计应用软件资产规模、三维设计技术 推广应用和协同办公等领域，单位投入了大量的资金，逐步形成了一整套覆盖设计院各个业务和管理领域的信息化基础体系。在此基础上，安全作为信息化建设的重要一环，对于以知识成果为企业重要效益来源的设计院所，尤显重要。

　　【用户特征】

　　存在大量设计文件、勘测数据等价值信息需要重点保护，特别是勘测数据已纳入国防战略信息范围，需要重点防护;

　　为客户提交的设计文件比较大，且设计院各个专业部门的编辑软件专业性强，数量非常多;

　　院内信息系统采取了一些安全措施并建立了一定的安全管理制度，专业设计部门网络与Internet隔离，敏感数据交换有专人负责;

　　设计文档本身就是产品，销售给用户后需要对文件的流转进行使用控制。

　　【需求分析】

　　从设计院所的人员构成、业务流程和数据的流转特征等方面分析，设计院内网安全体系建设需要重点关注以下几方面的需求：

　　1、 数据外带的控制。作为竞争性智力产品，设计院形成的设计图纸和相关文档重点关注的是文件在客户、合作伙伴流转过程中如何实现有效的访问权限控制并杜绝恶意的成果剽窃行为。

　　2、 计算机登录认证控制、服务器访问授权;设计院所有共享设计素材和设计成果，统一保存在共享服务器，需要对服务器访问授权进行统一安全管理。

　　3、 计算机大容量专业数据文件的存储保密。保存在服务器和各个设计人员终端上的设计文件，需要进行统一加密处理并设定分级访问权限。

　　4、 内部数据传输的保密。考虑到设计人员移动远程接入的需要，为防止数据监听等泄密行为，需要对数据传输通道进行保密处理。

　　【Chinasec的解决之道】

　　设计院所内网安全的体系建设，需要突出重点，切实关注文件外带保密需求，充分考虑敏感性数据面临的各种主动泄密和被动泄密风险。同时，应充分考虑系统对设计人员的业务影响范围，尽可能降低安全行为带来的系统性能损耗和应用约束，在安全性和可用性之间保持合理的平衡。

　　Chinasec提供的整体解决方案，重点实现以下功能：

　　用户使用硬件令牌登录计算机，令牌中内置数字证书，实现双因素认证。内网服务器通过安全网关进行保护，只有授权用户才能访问;

　　计算机硬盘中存储数据加密，对用户操作透明，防止硬盘数据丢失引起数据加密;

　　内部数据传输途径主要为网络和移动存储设备，网络根据安全等级划分为不同的安全等级，同等级间能够正常通讯，不同等级间只有授权才能访问，同时网络中数据加密，防止非法计算机访问;

　　移动存储设备管理，对移动存储设备进行授权管理，可授权为只读、加密、读写、禁用属性;

　　对于外带文件授权进行控制，文件采用加密格式，只有使用令牌或者授权口令才能打开，文件可以控制文件使用时间、打开次数、编辑等权限。

　　【典型案例】：中科院微电子所、成都规划设计研究院、郑州市规划勘测设计研究院、新疆军区某工程科研设计所