SDM军工行业重要电子文档安全解决方案

现状描述

军工企业一般都承接着多项国家军工项目，在日常工作中会产生大量的涉密信息。军工企业的涉密信息有密级高、数量大、分布广的特点。在当今激烈的国际政治、军事、科技竞争的对抗背景下，保证各军工企业涉密信息的安全，不仅关系到各军工企业的自身发展更关系到国家的军事安全。因此，着力从制度、技术、组织等方面加强对涉密信息的管理是各军工企业当前保密工作的迫切任务。

信息安全要求

国家保密局颁布的《涉及国家秘密的信息系统分级保护技术要求》BMB17-2006对涉密单位信息系统明确提出以下安全防护的要求：

• 涉密信息必须做到文件可控、访问可控、范围可控；
• 系统内涉密信息和重要信息访问采用强制访问控制策略；
• 涉密信息和重要信息的访问控制，主体应控制到单个用户，客体应控制到单个文件或单数据库记录；
• 应对系统内涉密信息和重要信息的输出（如打印、复制、屏幕截取等）操作采取技术措施进行严格的控制；
• 应对涉密信息的关健操作（如打印、内容复制、另存为等）进行用户身份鉴别；
• 涉密信息未经任何批准不得通过任何方式带出或传播（如U盘拷贝、打印、邮件发送等方式）；
• 重要信息系统应根据系统要求，对其中关键设备（如文件服务器等）采用热备份。建立数据备份环境，保证备份数据安全，并应保证信息系统与备份环境间具有安全的传输通道；
• 对于重要信息系统还应对身份鉴别、访问控制、涉密数据输入输出操作等相关事件进行审计：
• 管理员间的权限应能够相互制约互相监督避免由于权限过于集中带来的安全风险；
• 非结构化数据保全、保真及防扩散、抗监听是数据安全机制的当务之急，建立基于角色和应用紧密关联的过程数据集中管理机制。

安智科技重要文档扩散系统（SDM）实现基于文档自身的安全保护

安智科技重要文档扩散系统（SDM）针对上述对文档安全的需求和要求，提供了基于文档自身安全的整体解决方案，可以实现以下安全目标：

构建涉密文档“安全域”

在网络中强制对指定特征的涉密文件进行加密，保证了涉密文档的安全存储，并构建一个虚拟的“涉密文档区域”。该区域中包含了所有涉密的文档和文件夹，物理上可以跨越整个局域网的任何一台服务器或主机。

网络中所有的文件在相对涉密区域中都遵循“只许进，不许出”的安全机制。文档一旦被保护之后，没有特定审批者的授权，文档中的部分或全部内容将不能被带离涉密安全域。

灵活的加密受控机制

采用加密领域最先进的内核级透明加解密技术，文件的受控和解控过程与文件的读写操作同步，从而实现对受控文档的透明访问。

涉密文档访问可控

对已加密存储的涉密文档必须提供灵活的文件授权管理，并支持基于全部文档、文件组、单一文件的授权管理；提供灵活的用户授权管理，可支持对全部用户、用户组、单一用户的认证、授权机制。

涉密文档集中管理机制

涉密文档管理系统可对受控涉密文档存储传输到涉密文件服务器进行集中存储、管理和备份，传输通道加密安全传输，非受控文档是无法进行传输的。

支持与第三方信息管理系统的无缝集成

涉密文档管理系统可以实现与第三方信息管理系统的无缝集成（如CA认证、OA等）；

涉密文档管理系统管理员权限制约

涉密文档管理系统提供多种权限交叉的管理角色，防止单个角色权限过大。提供的角色包括：系统管理员、日志管理员、特权管理员等，三个管理员之间相互监督角色独立，相互监督。

文档访问强审计

为保障涉密资源的安全性，涉密文档管理系统对管理人员的一切操作、终端用户对涉密文档的访问行为进行全程记录、审计：