企业概况
某集团有限公司始建于1988年,经过20多年的不断努力,已发展成为集起重机械研发、设计、制造、销售、安装、服务、进出口业务为一体的大型企业集团,形成了强大的综合技术创新体系,具备机械加工、热处理、焊接、装配、检测计量和包装发运等配套齐全的先进生产装备和大规模生产能力。广泛应用于机械、冶金、电力、铁路、水利、港口等多个行业。在全国近三十个省、市、自治区建有集营销和服务为一体的经营网点,产品远销英国、俄罗斯、中亚、南亚、非洲等国家和地区。是国内乃至国际上著名的重工机械生产公司。
信息现状
随着该集团的发展,人员的增加,全集团越来越多的终端使用者分布在全国各地。同时随着信息化的普及,各种业务系统、生产系统、办公系统也陆续上线。跨地理、跨系统的办公模式,产生了人员架构多层化,办公环境多样化,信息传播自由化的特点。
面临风险
在集团当前网络环境下,信息的存储、使用、传播、交互过程中,完全处于明文的状态,任何一个环节出现问题,都有可能造成泄密事件。同时,由于信息化的发展,移动办公、家庭办公等办公形态的出现,也会增加风险等级。并且,考虑到集团当前的业务模式下,会存在大量的合作伙伴、供货商等,信息的外泄也有可能出从这类群体。
需求分析
依据该集团的实际业务情况,参考行业相关和国际的相关标准和规范,通过与有关部门领导以及骨干使用人员的访谈,总结出该集团对信息安全原始需求,即 “区域内透明,区域外保护”尽量在不改变现有工作模式、尽量少影响现有工作效率的前提下,展开信息安全管理系统的建设工作。”具体包括如下几点:
♦ 基本安全环境的搭建:针对全网建立一套数据保护的基本环境,实现数据在内部的透明和外部的保护,实现整体上的防护。
♦ 全网审计体系的建设:建立全网用户行为审计体系,保证对用户违规行为的追踪,防止事后的否认。同时对少量核心信息的生命周期进行重点跟踪追查。
♦ 移动办公的保护:为了保证移动办公的安全性,同时考虑到移动办公信息沟通量较多,工作效率要求较高,个人化比较突出等特点,所有针对移动办公的保护应具有很良好的弹性,即可以保证信息的安全,又能兼顾到私人信息的原态化。
♦ 合作伙伴的保护:针对合作伙伴企业给予一定的信任同时又要防止数据通过合作伙伴进行外泄。因此需要对传输到合作伙伴的信息进行适度的保护。
♦ 核心业务的保护:在当前集团环境中,最为重要的业务系统是PDM系统。PDM使用者可以自由的将数据拷贝到本地,继而进行数据的外发。同时考虑到PDM系统的复杂性和重要性,因此要求在保证其安全的同时,又不会对其造成效率性和兼容性造成损失。
保护方案
Chinasec的专家团队通过多次对该集团的深入调研,针对该集团遇到的信息安全问题,结合其他用户的服务经验,最终提出了一份适合该集团的内网信息安全保护方案。
由于目前该集团全网的信息都是明文,所以提供对信息的加密和解密功能,且本着‘区域内透明,区域外保护’的原则。以‘安全环境’为保护单位,最大程度的保留了当前的业务模式、办公习惯,减少对使用者的改变。
同时针对移动办公,考虑到私人信息和办公信息共存的特点,所以采用‘环境切换’为主要技术手段,使用者可以灵活的在保密环境和非保密环境中进行灵活切换。
对于合作伙伴,通过‘文档权限控制’的方式,即给予了一定的使用权限,又保证了信息的安全,实现了相互信任的合作模式。
针对核心的PDM系统,通过安全环境的搭建,实现了数据落地之后的安全,同时以‘可信区域’的方式,实现了PDM系统服务器的明文存储,保证了系统的效率性和信息的原态化,大大降低了信息保密带来的风险。
最后,针对上述保护的之后,建立了全网的审计体系,针对用户的网络行为、桌面行为、违规行为、重点信息生命周期等进行详细的日志记录,有效防止了用户违规行为的时候否认,起到了很好的警示作用。
价值体现
通过Chinasec信息安全系统的保护,该集团的信息安全等级具有极大的提升,从终端身份认开始,至数据安全防护,到事后行为审计都进行了有效的加固。在整套保护体系中,Chinasec充分考虑到信息安全建设所附带的风险问题,因此整套安全体系是基于用户正常的办公流程和业务模式上,最大程度的实现了低风险、高兼容、强扩展。并且秉着‘三分技术,七分管理’的原则,Chinasec专家团队协助该集团建立信息安全规章制度,全方位的为该集团信息安全建设保驾护航。