方案概述

军工企事业是国家战略性产业，担负着先进武器装备的开发、研制和生产，同时参与国民经济建设的双重历史使命。随着计算机信息网络在国家信息化建设中的广泛应用，对我国国防科技信息化建设产生了巨大影响。由于工作性质特殊性，军工企业集中了大量的国家秘密信息，涉密信息的保密工作面临着前所未有的机遇和挑战。因此，在信息化推进的过程中如何建设信息安全防护体系，强化保密合规要求，落实泄密风险控制已经成为军工行业急需解决的问题。国家保密局要求涉密信息系统建设使用单位应当在信息规范定密的基础上，依据《涉密信息系统分级保护管理办法》和国家保密标准BMB17-2006确定系统等级并且接受上级保密工作部门的监督和检查。

现阶段涉密信息系统安全保障工作整体还处于起步建设阶段，根据分保要求当前军工企业已经完成涉密信息系统定级和建设，技术要求上也基本上形成了保密网和相关保密措施，如物理安全、网络安全、终端主机安全、移动存储设备安全防护，同时对于保密制度的建设和人员保密培训也形成了常态化工作。但是始终缺乏有效和安全通过加密数据自身的防泄密手段，使得涉密数据在传输使用的过程中依然面临较大的泄密风险。

需求分析

1.加强核心涉密数据资产的内部保护，在数据安全层面建立涉密网络内不同部门间数据的安全访问及使用边界，结合原有保密网内三合一软件强化防泄密工作，防止主动泄密和被动失密风险；
2. 强化数据密级管理，做到数据人员密级分级分类，实现涉密数据资产密级管理与细粒度的权限访问控制；防止非授权访问窃取及透过其他未知途径外泄涉密数据；
3. 实现涉密单机数据保密管理，能继承并实现与保密网联网主机统一的数据防泄密策略；
4. 非保密网的商密数据目前保护手段相对薄弱，需要对重要商密数据和业务系统数据进行防护，保护资产价值；
5. 系统必须实现系统管理员、安全保密员、审计管理员角色和权责分离；
6. 涉密数据资产在保密网内使用行为可追溯，可快速发现及识别不同密级数据的分布、使用操作及统计；

解决方案

 依据《涉密信息系统分级保护管理办法》和国家保密标准BMB17-2006，军工企业涉密数据安全保护为核心，通过前沿信安涉密文档安全管理系统及解决方案，总体实现效果如下：

关键功能：

• 文档透明加解密技术

• 文档标密定密

• 文档安全传输 
  

• 文档安全共享

• 文档授权管理

• 文档细粒度权限控制
  

• 审批流程管理平台
  

• 安全审计日志

• 分级管理、三权分立

  
  

详细内容：
1. 涉密系统文档下载安全控制
系统对应用系统文件下载采用加密控制机制，通过安全网关实现对涉密文档的加解密控制，用户从应用系统下载的敏感文件自动加密授权，涉密终端能够自动识别并进行身份认证、权限认证、安全解密、日志记录等操作。
 
2. 涉密文档密级标识管理
系统可实现严格按照分级保护要求对人员密级和文档密级进行定义和划分，依据文件密级实现文件强制标密和手动标密；用户可对密级文件进行定密、密级变更和授权，系统按照涉密单位的管理规范提供了标准流程对定密或密级变更进行统一管控。
 
3. 涉密文档传播安全管理
在对涉密文档安全管理的同时，又结合军工行业本身的业务流程和组织结构，将密级文档使用权限深入到组织机构业务流程之中。
 
4. 涉密文档外发安全管理
当涉密网络安全域内的涉密文档需要外发至其安全域外的他用户时，系统提供外发审批流程，也提供标准的接口实现与原有信息输出流程集成。
 
5. 涉密文档应用审计管理
涉密文档管理系统除了提供事前防范策略外，通过日志审计及统计功能，使管理者可即时查看到涉密单位员工对涉密文档使用信息，也可就涉密文档的终端分布进行统计，可实现有效的追踪定位。

军工行业解决方案优势如下：

1.  实现保密网涉密数据分级分域的管理，同时实现涉密数据在产生、流转、存储、使用、外发等过程中的安全控制。
2. 方案可以灵活对重要的业务系统、文档服务器、文档等多维度进行管理，依据不同部门、人员、涉密级别进行管理，提升数据应用价值。
3. 对现有保密网内网络、涉密应用系统、保密管控软件无缝集成和兼容。
4. 可以实现涉密数据的分级管控，包含密级标识、定密、密级变更审批等功能。
5. 对涉密网数据原有输出输入流程几乎无影响，在确保安全的前提下兼顾业务效率和用户体验。