神舟安全文档解决方案

神舟安全文档管理解决方案北京神舟航天软件技术有限公司2011年8月GeneratedbyFoxitPDFCreator©FoxitSoftware一、应用需求随着信息技术的发展，企业为了提高信息处理的速度和效率，越来越多的把自己的文档转化为电子文档的形式，许多企业甚至把90%以上的企业涉密信息或知识成果以电子文档的形式存储在企业内网中。同时，企业也大量使用ERP、CRM等电子信息管理方案。这些新型管理手段的使用，在给企业带来更高的生产效率的同时也给企业的数据安全管理带来了新的挑战。企业为了保护信息和处理流程的安全，虽然已经采用了反病毒软件、防火墙、入侵检测、身份认证等手段，但依然无法阻止电子形式的信息以电子邮件、文件传输、恶意下载等手段从企业中泄漏出去。面对日益严重的信息安全威胁，企业原有的安全方案渐渐显得力不从心。同时企业内部人员更是企业保密信息泄漏的一大根源，由于当前的大部分网络安全技术出发点是解决对外防护的问题，对内防护十分薄弱，企业在制定和实施安全策略之间也有较大的差距，另外各单位内部办公环境不同、单位规模不同、对文档的应用保管措施也不同。如何才能有效的把安全边界从企业外部扩展到企业内部网络的每一个节点，如何控制企业人员的主动或非主动的泄密行为，如何从源头上保证企业涉密信息的安全？神舟安全文档管理解决方案便是针对上述需求提出的解决方案。二、总体方案神舟安全文档管理系统基于AVIDM系统文档全生命周期管理，实现对企业各类数据的集中管理，通过三员分离和对重要电子文档进行多种不同密级的加密保护技术，实现对于企业数据的内部安全控制，同时可根据文档保护策略对特定用户群赋予文档各种内容访问权限，实现对文档保护和管理，保障知识安全的共享。安全文档管理解决方案系统架构如下图所示：GeneratedbyFoxitPDFCreator©FoxitSoftware企业文档树管理提供文档分类管理功能，可按照用户的要求组织文档树，系统中文档的组织分为两部分：用户个人工作区和三库中文档的组织。在用户个人工作区中，用户可自行按照树形结构组织自己的文档和文件夹。同时这些分类又可通过系统提供的建模工具来修改，也可通过系统的建模工具来新增新的文档分类。GeneratedbyFoxitPDFCreator©FoxitSoftware个人文件夹管理为系统的每个用户在服务端提供一个存放个人文件的空间及相关管理功能，用户可以根据需要创建相应的文件夹进行管理。主要功能包括：1)个人文件夹维护：包括创建、修改、删除等功能；2)文件上传/下载服务：把本地磁盘空间上的文件上传至个人文件夹上，或从个人文件夹上下载到本地磁盘空间上；3)文档检入服务：把从文档树上检出的文件直接检入到文档树上。2.3文档模板管理系统提供以下几种创建文档的方式：直接导入外部文档和基于模版的文档创建。系统提供文档模板的管理功能，能够按照模板创建文档，并且支持文档内容和文档对象属性信息的提取和修改功能，满足企业对于文档管理的标准化需求。2.4关联文档管理文档的关联管理可以将具有联系的文档组织在一起，便于用户在参阅文档的过程中对于相关配套文档的查阅。2.5文档存储管理采用分布式的文件服务器对文件进行加密存储和备份。按照三库对文件服务器进行组织，各个库对应的文件服务器在物理上可以是统一的，也可以是分开的。对于一个主文件服务器，可以配置多个从服务器，系统自动根据相应算法在主从服务器间实现负载均衡，包括网络访问的均衡和服务器存储容量间的均衡。2.6WEB审批管理文档编写完成后，可以选择送审模板提交文档，系统能够实施跟踪文档的审批GeneratedbyFoxitPDFCreator©FoxitSoftware状态，并且提供了审批信息汇总和审批历史查询功能。对于大批量文档的送审，系统提供了打包送审的功能。另外，用户可以通过WEB审批平台向管理员提出“借阅”、“解密”申请，在批准后就可对文档进行查阅等操作。2.7文档版本管理文档在系统分别体现为设计版本和受控版本。对于设计库中的设计版本，系统通过版本的检入/检出机制来控制对文档的修改，保证文档的一致性，系统自动跟踪文档修改的最新版本。设计库中的版本经审批流程通过后将自动拷贝到受控库中，成为受控库中的受控版本。2.8文档密级管理系统支持将所管理的涉密信息设定密级标识，同时将系统用户设定密级，根据用户密级级别来控制其对涉密信息的访问。涉密信息和系统用户的密级标识在数据库中均采用加密存储，且不允许修改。系统可控制文档的各种操作权限，支持多种文件密级策略，可灵活的针对部门、操作、密级进行文档安全设置。各部门的加密策略可以按其特点进行差异化设置。指定不同部门保护不同格式的电子文档。GeneratedbyFoxitPDFCreator©FoxitSoftware文档权限管理为管理员和系统内用户提供统一的对文档管理中的各类对象进行访问控制的管理方法。主要功能包括：1)文档树权限控制：实现对文档树上容器的访问控制功能，包括完全控制、浏览、修改、删除、增加子容器、增加文档、网络共享、检入/检出权限，为了提高检查效率，系统的访问控制的授权主体限制在具体的人和任何人两类，为了授权方便系统权限可以在子容器间继承传递；2)文档权限控制：实现对文档树上文档的访问控制功能，包括完全控制、浏览、修改、删除、打印、得到副本、检入/检出功能，系统的访问控制的授权主体限制在具体的人和任何人两类，为了方便授权系统通过配置项目的缺省权限实现对文档权限的方便控制；3)版本权限控制：实现对文档树上文档版本的访问控制功能，包括完全控制、浏览、修改、删除、打印、得到副本、检入/检出功能，为了提高检查效率，系统的访问控制的授权主体限制在具体的人和任何人两类。4)文档授权管理：用户在为自己的文档授权时可根据文档应用格式（如PPT、EXCEL等）进行批量授权，也可针对单个文档进行授权，权限策略灵活可控。安全文档管理系统为客户提供了详细的文件控制权限，包括阅读、编辑、打印、复制等权限。2.10用户查询和检索系统为用户提供了方便的文档检索功能。一方面，用户可以通过输入文档的基本属性信息，如文档名称、编号等，在系统内进行检索；另一方面，用户也可以在文档定义的属性范围内，通过友好的用户界面，根据任何一个属性或多个属性的进行复杂的组合条件的查询。考虑到用户的使用习惯，系统提供用户检索条件的保存功能，用户可以决定GeneratedbyFoxitPDFCreator©FoxitSoftware是否要保存当前的检索条件，以便在下次检索中可以快速地利用保存下来的检索条件进行检索。对于诸如word、pdf的非结构化文档，系统提供了工程图文档检索解决方案，帮助用户解决资源查找和二次利用的问题，提高资源的查询效率。2.11文档预览管理文档管理中存储着各种类型的大量文档，系统提供不启动具体的应用程序而快速浏览文件内容的工具——文档预览工具。主要功能包括：1)快速预览各类文档：格式包括AutoCAD、Office、图像格式等；2)对文档进行各类查看操作：包括放大、缩小、旋转、测量等功能；3)对文档进行批注操作：包括划线、圆形框、矩形框、文本框等；2.12有效性验证及防篡改功能对于涉密信息，系统增加了数据库签名功能，可以防止用户通过直接操作数据库来更改文档密级等属性，从而获得权限外的文档非法操作。系统提供了防篡改功能。一旦有用户非法更改文档，系统将产生审计信息并报警通知审计人员。系统还可禁止用户通过屏幕拷贝操作获取文档信息。GeneratedbyFoxitPDFCreator©FoxitSoftware安全审计管理系统支持将系统级、用户级的重要操作及行为记为审计日志，并设置为不同的日志记录级别。非法用户多次尝试登录系统；系统管理员为用户设置功能权限、实体权限；用户创建、浏览、上传、下载、送审文档等行为，均有详细日志记录。安全审计管理员自身操作也有日志记录。日志记录支持分类存储和查询，导入和导出的功能，并支持日志记录定期自动转储的功能。管理员可以随时查找文档访问信息，可用来追踪泄密渠道，也可用作电子取证。同时，系统管理员的操作也会被完整记录下来，监督员可以进行查询和分析。2.14“三权分立”的三员管理系统提供系统管理员、安全保密管理员和安全审计管理员的三员管理功能。其中系统管理员主要负责系统的配置、运行、维护工作。安全保密管理员主要负责产品数据的权限管理工作。同时，AVIDM系统可以设置多个安全保密管理员，分别管理不同的型号数据，从而对安全管理员本身的权限再次进行限定和细分。安全审计管理员主要负责对系统管理员、安全保密管理员以及其他用户的操作行为进行审计跟踪分析和监督检查，及时发现违规行为，并定期向系统安全保密管理机构领导汇报相关情况。2.15标准化技术接口实现了与CA系统集成，用户可以通过系统登录界面进行CA集成认证。支持多个系统单点登录，实现了统一身份认证。同时可以与办公、网站管理等应用系统集成，降低管理成本，提高易用性。三、业务价值通过神舟安全文档管理系统的推广应用，建立六院院机关各部门以及厂所各GeneratedbyFoxitPDFCreator©FoxitSoftware单位统一的协同工作环境，是满足企业对文档的安全性和应用易用性的综合管理，形成以企业知识管理为核心的应用，实现企业文档的安全管理和各类数据集中控制，积累企业知识财富，实现产品全生命周期各类数据快速检索和重用。安全文档管理系统对用户的电子文档进行保护，保证重要文档不会外泄；同时与其他应用系统可以集成使用，实现文档加密保护的透明化，保证用户的工作习惯不被更改，工作流程不会受到影响。GeneratedbyFoxitPDFCreator©FoxitSoftware