面對紛繁復(fù)雜的內(nèi)網(wǎng)泄密風(fēng)險，層出不窮的數(shù)據(jù)泄漏事故，如何確保企業(yè)能夠構(gòu)造成功的信息安全防護體系，成為了一項迫重而緊急的任務(wù)。中航工業(yè)肩負大量涉及國家核心機密的設(shè)計、研究、生產(chǎn)工作，在國家安全環(huán)境日異復(fù)雜、市場競爭越發(fā)激烈的大背景下，企業(yè)的核心數(shù)據(jù)、信息已然成為“眾矢之的”。當企業(yè)的核心知識產(chǎn)權(quán)與機密面臨風(fēng)險時，中航工業(yè)選擇了迎難而上、果敢出擊。此次，北京明朝萬達科技有限公司Chinasec（安元）攜手中航工業(yè)集團，為其著力打造完整的信息安全防護體系。Chinasec（安元）注重從信息的源頭開始抓安全，對信息的存儲、交換和使用等環(huán)節(jié)實現(xiàn)全面保護，從而達到信息的全程安全。
 
企業(yè)概況

中國航空工業(yè)集團公司（簡稱"中航工業(yè)"）是由中央管理的國有特大型企業(yè)，是國家授權(quán)投資的機構(gòu)，由原中國航空工業(yè)第一、第二集團公司重組整合而成立。集團公司設(shè)有防務(wù)、運輸機、發(fā)動機、直升機、機載設(shè)備與系統(tǒng)、通用飛機、航空研究、飛行試驗、貿(mào)易物流、資產(chǎn)管理、工程規(guī)劃建設(shè)、汽車等產(chǎn)業(yè)板塊，下轄近 200家子公司（分公司）、有20多家上市公司，員工約40萬人。

信息交互現(xiàn)狀

隨著企業(yè)業(yè)務(wù)的高速拓展與規(guī)模的不斷擴張，中航工業(yè)的各級分支機構(gòu)已經(jīng)遍布全國。為了解決企業(yè)核心信息的交互問題，中航工業(yè)專門搭建了“某核心辦公信息系統(tǒng)”，并架設(shè)了SSLVPN，以便于各地員工的遠程接入,從而有效提升了信息流通的速度與辦公效率，并實現(xiàn)了數(shù)據(jù)集中歸檔管理等效果。

企業(yè)“隱私”面臨風(fēng)險

 以“某核心辦公信息系統(tǒng)”為例，其最大的正向價值在于信息交互的便捷性，最大的風(fēng)險也正源于此。如果沒有專業(yè)的、針對性較強的信息安全防護體系作為依托，與系統(tǒng)相關(guān)的數(shù)據(jù)、文檔等隨時都可能被黑客、木馬、（惡意）主動等方式外傳、外帶至非企業(yè)區(qū)域，其危險性不言而喻。

信息安全防護體系的設(shè)計

通過對中航工業(yè)的信息交互現(xiàn)狀的分析，我們不難發(fā)現(xiàn)其中信息流動主要是圍繞“某核心辦公系統(tǒng)”來進行的。因此信息安全防護體系應(yīng)沿著該系統(tǒng)的實際應(yīng)用進行有針對性的部署，從而實現(xiàn)“對癥下藥”，將安全力度有力有節(jié)的加以施放。總體來說有以下幾點需要重點關(guān)注：
1) “某核心辦公信息系統(tǒng)”的準入，原“用戶名\密碼”方式安全程度有限；
2) “某核心辦公信息系統(tǒng)”中的文檔下載至計算機時的保密處理；
3) 人員權(quán)限管理，即根據(jù)所屬部門、職級等事先設(shè)定權(quán)限，此權(quán)限即其使用系統(tǒng)所屬文檔的權(quán)限；
  4) 文檔外帶\外發(fā)審批流程，需具備相關(guān)審批流程的制定功能，以保證涉密數(shù)據(jù)可以在受到審計與審批的情況下可以以適當?shù)男问奖粋鬟f至企業(yè)外部。

信息安全防護體系的建設(shè)

經(jīng)過多輪評測與對比，中航工業(yè)最終選擇“Chinasec應(yīng)用保護系統(tǒng)”作為體系的防護體系的建設(shè)基礎(chǔ)。最主要的原因是，該系統(tǒng)與傳統(tǒng)數(shù)據(jù)安全防護系統(tǒng)有著很大的區(qū)別，其突破了原有的圍繞文檔進行加密的“程式化思路”，轉(zhuǎn)而將數(shù)據(jù)風(fēng)險控制點指向核心業(yè)務(wù)系統(tǒng)本身，通過精準的風(fēng)險分析與定位，以期實現(xiàn)“加密最少化，安全最大化”的效果。結(jié)合中航工業(yè)對于信息安全防護體系的設(shè)計要求，解決方案各組件及控制過程如下：
 1)保密對象設(shè)定
鎖定保護對象為“某核心辦公信息系統(tǒng)”；
 2)人員身份與密級設(shè)定
從“某核心辦公信息系統(tǒng)”中同步用戶身份，并根據(jù)其職級與業(yè)務(wù)屬性差異化的設(shè)定其對于文檔的使用權(quán)力，如打開次數(shù)、閱讀時限、可否編輯、可否打印、可否另存等；
 3)業(yè)務(wù)系統(tǒng)訪問控制
“某核心辦公信息系統(tǒng)”服務(wù)器具備自動檢測終端上是否安裝特定的Chinasec客戶終端防護組件的功能，如未安裝則系統(tǒng)會自動跳轉(zhuǎn)至組件安裝頁面；
 4)數(shù)據(jù)下載加密
“某核心辦公信息系統(tǒng)”下載、導(dǎo)出至員工計算機的文檔會被自動加密，工作人員須遵照“人員身份與密級設(shè)定”來使用文檔；
 5)權(quán)限審批與文檔外帶審批
當需要超出當前用戶權(quán)限使用涉密文檔時，需經(jīng)審批加臨時授權(quán)的方式進行“提權(quán)”；當需要對文檔進行外發(fā)\外帶時（通過網(wǎng)絡(luò)、USB存儲設(shè)備等），亦須向?qū)徟颂峤簧暾垼瑢徟ㄟ^后系統(tǒng)會自動對審批內(nèi)容(即文檔)進行封裝，生成可供外帶的“封裝包”，對包中內(nèi)容的讀取仍然受到審批時所賦予的文檔使用權(quán)限的約束。

籍此，Chinasec應(yīng)用保護系統(tǒng)同中航工業(yè)“某核心辦公信息系統(tǒng)”進行了順利的對接。從實際應(yīng)用與各方面反饋來看，應(yīng)用保護系統(tǒng)達到了中航工業(yè)對于信息安全防護系統(tǒng)的建設(shè)預(yù)期，取得了良好的數(shù)據(jù)安全防控效果。