——北信源助力中国铝业公司实现信息安全建设
由于网络空间载体的多样化、接入方式的立体化、服务对象的多样化以及业务类型的分布化,网络空间安全(Security of Cyberspace)问题日益突出。面向公共网络的DDos攻击、病毒、木马威胁、非法入侵、异常接入、终端数据泄密、P2P/BT下载导致的网络拥塞、移动介质非法接入、用户隐私泄漏,针对涉密网络的敏感数据失窃密、U盘病毒等安全问题日趋突出。网络空间安全成为亟待解决的关键问题。
四大难题及解决办法
中国铝业公司(以下简称“中铝公司”)是中央管理的国有重要骨干企业,公司近几年来信息化建设取得较大进展,建设ERP、电子商务集中采购平台、综合信息平台等大型信息系统,使企业关键业务基本实现了信息化。据其相关负责人介绍,公司现有个人管理终端数万台,由于公司自身业务和信息化建设的发展、外部监管要求以及国内外信息系统安全形势等,使得中铝公司对信息系统安全有了更高的要求。但是随着互联网、智能移动终端和云计算的应用,公司内网和外网的区分越来越难,“内”和“外”的界限越来越模糊,给企业内部安全防护带来更为严峻的挑战,公司主要面临四大难题。
难题一 网络边界安全的控制
进行传统边界防御远远不够,因为边界防御使用传统方法和独立的运行方式,已不能应对现今出现的安全挑战。接入安全管理和控制包括了对未知设备的接入和控制,对已知的带有安全风险的设备进行控制管理等问题。对此,中铝公司通过北信源网络接入控制系统,只有通过符合我们制定的安全基线(安装终端安全客户端)的内网终端才能连接中铝内部网络,访问内部资源。
难题二 移动介质使用导致信息泄露
移动存储介质由于体积小、容量大、使用方便等优点成为信息和数据交换的主要手段。但同时也存在许多安全隐患,使用的随意与管理的无序使得移动存储设备成为现阶段的安全盲点。对此,中铝公司通过北信源移动存储介质系统,采取移动存储介质结合受控客户端主机的安全访问控制策略进行匹配授权,确保标签移动存储介质使用的安全性与合法性。
难题三 电子文档安全的防护
伴随着信息化办公的建设,中铝公司很多重要数据都以电子文档的形式存在。这样重要的信息一旦被他人利用非法手段获取,或者被公司内部人员有意或无意泄露,都将对中铝公司造成无法弥补的损失。对此,中铝公司通过北信源电子文档加密系统,文档加密采用手动加解密的文档加密方式,只有在中铝公司内部加密的作者才能打开直接打开加密的文档,中铝内部其他人员若需要打开加密的文档则需要加密作者对加密文档进行文档的内部授权。若需要在外部处理加密文档,则需要将加密文档制作成外发包才能在外部使用,并且可以控制打开次数、打开时间、是否可编辑、是否可打印等操作权限。
难题四 涉密终端数据的保护
中铝公司内部的涉密终端,用来保存核心商秘数据。这些终端不允许使用任何方式连接互联网、使用普通U盘等与外界的交互方式。为了切实消除涉密计算机违规外联及移动存储介质在涉密计算机与非涉密计算机之间交叉使用带来的泄密隐患和漏洞,规范涉密计算机违规外联监控及移动存储介质保密管理产品设计、研发、生产和检测工作,所有涉密终端均安装了北信源涉密计算机外联监控及移动存储介质保密管理系统客户端,实现了对存储核心商秘的保密机终端的安全管控,满足国家《涉密计算机外联监控及移动存储介质保密管理系统技术要求》。
实施效果
在2013年的信息化安全建设中,中铝公司完成了北信源终端安全管理系统部署。通过对普通办公终端和涉密办公终端两方面的安全防护管理,保障了公司各业务信息化系统的安全运行,保护重要数据和商业秘密的安全,同时满足国家信息系统安全等级保护要求以及上市公司对信息系统管理的内控要求。制定了中铝公司信息系统安全专项规划和技术标准,完善了信息系统安全基础设施,建设了边界、终端、介质、数据、系统的安全保护平台,确保公司总部管理决策与生产运营数据的安全性,提升公司信息系统安全管理水平和安全防范能力。