第一章 項(xiàng)目綜述
1.1 建設(shè)目標(biāo)
通過為制造行業(yè)文檔安全管理系統(tǒng)的建設(shè),實(shí)現(xiàn)以下目標(biāo):
(1)在整個(gè)文檔生命周期內(nèi)�����,控制敏感文檔在辦公終端之間的安全流轉(zhuǎn)���。
(2)為辦公終端進(jìn)行敏感文檔加密傳播����、操作審計(jì)����,提供技術(shù)手段。
(3)保證關(guān)鍵業(yè)務(wù)文檔��,郵件的信息安全��,提升企業(yè)信息化安全整體水平�。
(4)主要面向企業(yè)范圍內(nèi)部辦公用戶提供通用文件的加密技術(shù)手段�。
1.2 系統(tǒng)定位
(1)文檔安全管理系統(tǒng)是一個(gè)具備開放接口的基礎(chǔ)平臺(tái),其作為內(nèi)網(wǎng)安全基礎(chǔ)設(shè)施��,面向企業(yè)內(nèi)網(wǎng)終端和相關(guān)信息化系統(tǒng)提供文檔加密技術(shù)手段�,控制涉密電子文檔的生命周期及其在傳播過程中的知悉范圍��。
(2)系統(tǒng)應(yīng)提供開放接口��,便于后期與制造行業(yè)有加密需求的信息化系統(tǒng)對接����。
(3)系統(tǒng)應(yīng)能夠與制造行業(yè)統(tǒng)一認(rèn)證系統(tǒng)的對接�,滿足系統(tǒng)的認(rèn)證需求。
(4)本期工程要求完成終端文檔安全防護(hù)的需求���。
1.3 建設(shè)原則
本工程建設(shè)遵循以下原則:
(1)全面考慮��,重點(diǎn)部署��,分步實(shí)施
安全系統(tǒng)工程是融合設(shè)備�、技術(shù)�、管理于一體的系統(tǒng)工程,需要全面考慮�;同時(shí),盡量考慮到涉及網(wǎng)絡(luò)安全的重點(diǎn)因素�,充分考慮可擴(kuò)展性和可持續(xù)性,從解決眼前問題�����、夯實(shí)基礎(chǔ)、建設(shè)整個(gè)體系等方面作好安全工作����。
(2)盡量減少對現(xiàn)有網(wǎng)絡(luò)應(yīng)用的影響
部署網(wǎng)絡(luò)安全,盡量減少對現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用系統(tǒng)的影響�。在盡量減少對現(xiàn)有應(yīng)用的影響的同時(shí),充分考慮安全產(chǎn)品和現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)����、網(wǎng)絡(luò)產(chǎn)品、網(wǎng)絡(luò)應(yīng)用的兼容性�����,保護(hù)網(wǎng)絡(luò)建設(shè)的投資��。
(3)先進(jìn)性�����,可擴(kuò)展性�����,完整性并重
采用成熟先進(jìn)的技術(shù)���,同時(shí)��,網(wǎng)絡(luò)安全基礎(chǔ)構(gòu)架和安全產(chǎn)品必須有較強(qiáng)的可擴(kuò)展性���,為安全系統(tǒng)的改進(jìn)和完善創(chuàng)造條件。
1.4 建設(shè)范圍
在制造行業(yè)建設(shè)統(tǒng)一文檔安全管理系統(tǒng)����,作為一項(xiàng)內(nèi)網(wǎng)安全服務(wù)基礎(chǔ)設(shè)施:
Ø 為企業(yè)內(nèi)網(wǎng)辦公終端之間的通用文件傳播提供文檔加密技術(shù)手段。
Ø 系統(tǒng)支持業(yè)務(wù)系統(tǒng)進(jìn)行對接����,實(shí)現(xiàn)客戶內(nèi)部范圍流轉(zhuǎn)的文檔安全控制。
Ø 預(yù)留開放接口���,供其他信息化系統(tǒng)調(diào)用����。
第二章 需求分析
2.1 制造行業(yè)現(xiàn)狀
制造業(yè)是一個(gè)非常大的傳統(tǒng)行業(yè)�,包括了汽車、船舶�、飛機(jī)、家電等。目前��,國內(nèi)的制造業(yè)都面臨著一個(gè)共同的難題:在計(jì)算機(jī)和信息時(shí)代的今天�����,如何追趕IT的腳步��?如何再次煥發(fā)傳統(tǒng)行業(yè)的青春���?為此�����,制造業(yè)大量地采用計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)���。
隨著機(jī)械制造業(yè)在信息化建設(shè)方面的不斷深入,信息的生成��、流轉(zhuǎn)���、傳輸變得非?���?旖?�,并且伴隨著行業(yè)競爭越發(fā)激烈�,數(shù)據(jù)安全問題越發(fā)凸顯出來。為此�����,需要針對機(jī)械制造業(yè)信息的安全特點(diǎn)���,制定完整的數(shù)據(jù)信息安全管理體系�,以鞏固信息化成果�,降低企業(yè)信息安全風(fēng)險(xiǎn)。
為提高制造行業(yè)內(nèi)部數(shù)據(jù)的安全性�����,實(shí)現(xiàn)內(nèi)部工作文檔和應(yīng)用系統(tǒng)中的辦公文檔在內(nèi)部流轉(zhuǎn)時(shí)能夠安全可控���,實(shí)現(xiàn)文檔脫離公司環(huán)境和應(yīng)用平臺(tái)后能有效防止文件的擴(kuò)散和外泄��,需要建立一套完善的數(shù)據(jù)保密管理及授權(quán)訪問系統(tǒng)���,對于公司內(nèi)部電子文檔,就其使用范圍、用戶權(quán)限����、用戶操作、文件流轉(zhuǎn)進(jìn)行控制管理��,以防止文檔內(nèi)部核心信息非法授權(quán)閱覽�、拷貝、篡改�。達(dá)到既防止文檔外泄和擴(kuò)散,又不影響員工使用�。
為了盡快形成全公司統(tǒng)一的內(nèi)網(wǎng)信息安全體系,有效防范制造行業(yè)數(shù)據(jù)泄露的安全風(fēng)險(xiǎn)��,保證公司業(yè)務(wù)的安全發(fā)展�����,保證信息資產(chǎn)的安全���,是制造行業(yè)必須解決的緊迫問題��。
2.2 制造行業(yè)文檔安全需求
制造行業(yè)內(nèi)部不但有大量的終端計(jì)算機(jī)���,也有大量的業(yè)務(wù)系統(tǒng)�。每天在終端計(jì)算機(jī)和業(yè)務(wù)系統(tǒng)中都有大量的業(yè)務(wù)文檔在創(chuàng)建���、流轉(zhuǎn)、打印��、共享�����。所以在為制造行業(yè)建設(shè)文檔安全方案時(shí)需要為終端和業(yè)務(wù)系統(tǒng)一起建設(shè)數(shù)據(jù)安全保障體系��。
1��、 建立終端(電腦)數(shù)據(jù)安全保障體系
以設(shè)計(jì)圖紙為核心的企業(yè)敏感數(shù)據(jù)在生成和傳播過程中高度依賴于網(wǎng)絡(luò)和各類信息處理終端�,數(shù)據(jù)廣泛在設(shè)計(jì)、生產(chǎn)等部門間流轉(zhuǎn)�,這些數(shù)據(jù)都以明文狀態(tài)存儲(chǔ)在單位內(nèi)部各終端電腦上,缺乏有效的技術(shù)手段控制文檔的使用權(quán)限�����、打印權(quán)限和流轉(zhuǎn)范圍����,存在數(shù)據(jù)泄露的風(fēng)險(xiǎn)�����。以設(shè)計(jì)圖紙為核心的業(yè)務(wù)文檔需要經(jīng)常與外部進(jìn)行交流����,需要傳輸?shù)酵獠凯h(huán)境����。在整個(gè)過程中缺乏有效的泄密保護(hù),存在二次泄密的風(fēng)險(xiǎn)���。安全性無法保障�。
因此����,需要建立安全有效的終端數(shù)據(jù)安全保障體系。
2����、 建立以應(yīng)用系統(tǒng)數(shù)據(jù)安全為核心的數(shù)據(jù)防泄漏體系
在制造行業(yè),很多單位內(nèi)部都擁有各種不同的應(yīng)用系統(tǒng)�����,如:OA、CRM等業(yè)務(wù)管理系統(tǒng)等�����,各應(yīng)用系統(tǒng)在提高管理水平����、促進(jìn)業(yè)務(wù)創(chuàng)新�、提升競爭力方面發(fā)揮著日益重要的作用。信息化系統(tǒng)在系統(tǒng)設(shè)計(jì)的時(shí)候充分意識(shí)到文檔安全管理的重要性��,結(jié)合業(yè)務(wù)流程設(shè)計(jì)了多種文檔流轉(zhuǎn)模式���。流程及環(huán)節(jié)嚴(yán)格執(zhí)行權(quán)限控制��,有效確保電子文檔在系統(tǒng)內(nèi)部流轉(zhuǎn)訪問的信息安全����。
電子文檔在信息化系統(tǒng)中進(jìn)行流轉(zhuǎn)���,信息安全可以得到基本的保證�,但是當(dāng)文檔流轉(zhuǎn)出業(yè)務(wù)系統(tǒng)的邊界�,進(jìn)入人為傳播的范圍���,文檔的權(quán)限管理屬性消失,無法保障文檔人為傳播過程的安全性��。
因此�,迫切需要建立以業(yè)務(wù)系統(tǒng)為中心的信息防泄漏防護(hù)體系。
3�����、 建立有效的追蹤審計(jì)體系
文檔安全管理系統(tǒng)必須能夠?qū)τ脩舻母鞣N文檔使用行為進(jìn)行詳細(xì)的記錄�,以便進(jìn)行事后查證。
第三章 系統(tǒng)建設(shè)方案建議
3.1 系統(tǒng)架構(gòu)建議
本期項(xiàng)目投標(biāo)采用單個(gè)服務(wù)器獨(dú)立部署架構(gòu)��,即單個(gè)服務(wù)器為所需客戶端提供文檔安全服務(wù)���。
3.2 軟硬件配置說明
3.2.1 服務(wù)器具體分配
|
類別
|
文檔安全系統(tǒng)服務(wù)端
|
操作系統(tǒng)軟件
|
數(shù)據(jù)庫軟件
|
|
總部
|
1套
|
1套
|
1套
|
|
合計(jì)
|
1套
|
1套
|
1套
|
3.2.2 提供系統(tǒng)的軟硬件配置清單
|
文檔安全管理軟件
|
|
產(chǎn)品名稱
|
功能簡介
|
數(shù)量
|
備注
|
|
文檔安全管理系統(tǒng)服務(wù)端
|
1. 計(jì)算機(jī)管理模塊
2. 用戶管理模塊(LDAP集成)
3. 權(quán)限管理模塊
4. 證書密鑰管理模塊
5. 離線管理模塊
6. 外發(fā)控制管理模塊
7. 水印管理模塊
8. 日志管理模塊
|
1
|
|
|
文檔安全管理系統(tǒng)客戶端
|
對辦公類(如:MS Word�、Excel�����、PowerPoint�����、Visio、Pdf等)���、專業(yè)設(shè)計(jì)類(如:Protel�����、UG���、Cadence、Mentor���、PowerPCB、Pro/E��、AutoCAD等)多種文件格式提供手動(dòng)���、自動(dòng)加解密服務(wù),并提供只讀���、打印、編輯等權(quán)限控制�;并提供解密申請、外發(fā)申請���、離線申請等功能��。
|
300點(diǎn)
|
|
3.2.3 制造行業(yè)提供系統(tǒng)的硬件設(shè)備清單
文檔安全管理系統(tǒng)(服務(wù)器端)可以與HP���,IBM��,DELL及聯(lián)想等主流服務(wù)器達(dá)到無縫結(jié)合����,硬件環(huán)境無需特殊定制�����,所支持的操作系統(tǒng)也是主流的windows系統(tǒng)及 linux系統(tǒng)
|
文檔安全管理系統(tǒng)服務(wù)器
|
|
配置
|
數(shù)量
|
備注
|
|
Intel 四核 2.6GHz或以上處理器�����; 8G內(nèi)存����;500GB硬盤;千兆網(wǎng)口��; DVD光驅(qū);
|
1
|
制造行業(yè)提供
|
|
數(shù)據(jù)庫服務(wù)器
|
|
配置
|
數(shù)量
|
備注
|
|
Intel 四核 2.6GHz或以上處理器�; 8G內(nèi)存;500GB硬盤�;千兆網(wǎng)口; DVD光驅(qū)��;
|
1
|
制造行業(yè)提供
|
3.2.4 制造行業(yè)提供系統(tǒng)所需第三方軟件�����、操作系統(tǒng)及數(shù)據(jù)庫清單
|
第三方軟件�、操作系統(tǒng)及數(shù)據(jù)庫清單
|
|
軟件產(chǎn)品名稱
|
數(shù)量
|
備注
|
|
數(shù)據(jù)庫Microdoft SQL2005/2008標(biāo)準(zhǔn)版
|
1
|
|
|
Windows2003/2008/2012server 企業(yè)版
|
1
|
|