泄密挑战
某集团是一家跨地域、多元化发展的大型国有企业集团,拥有全资或控股下属公司数十余家,产业覆盖酒店、会展服务、电子商务、物流、地产、广告传媒和科技等领域,是中国服务业500强企业之一。该集团在几年前建设了OA系统并进行了持续升级改造,OA系统已成为全集团网上办公的重要平台。OA平台也积累了大量的电子公文,成为集团内部重要的信息资产。随着集团的不断发展和与外部交流日益密切频繁,这些信息资产的安全性受到了很大的挑战。因此,该集团迫切需要一整套专业级的电子文档防护与安全解决方案以保障OA办公平台中的电子文档在被下载到本地后能够依据企业规定的权限被安全使用。2014年12月,该集团与某科技公司的信息安全专家就该集团电子文档资产的“防泄密”、“可管控”、“能追溯”等话题进行了深入的探讨。
解决方案
该科技公司文档防泄密系统针对该集团的文件安全管理需求与OA系统应用现状,对企业OA办公平台内部的重要电子数据文件进行加密,并依据集团安全要求,与OA流程进行深度整合。同时建立集团OA电子文档安全的基本框架,建立电子文档安全管理策略和流程,保证集团关键电子文档的安全受控。项目建设过程中,该集团与科技公司首先共同制定了OA系统文档安全管理规范,遵照规范对OA流程进行了重新梳理,确立了建设目标,并针对风险点逐一实施文档防泄密系统。具体工作内容如下:
其一,安全平台建设——实施文档防泄密系统。该公司文档防泄密系统作为该集团的电子文档安全基础设施,担负着安全基础框架支撑、加密算法管理、密钥管理、电子文档加解密管理、授权管理、用户角色管理、接口管理、流程管理、审计管理和与系统集成整合等任务。通过与OA系统的深度整合,该系统可为OA系统的重要电子文档保驾护航。
其二,OA流程梳理——设计安全的业务流程。首先,将OA中的发文设定成普通文、机密文、秘密文和绝密文四个级别,为每个发文级别设定了不同的流转过程和附件处理方式;其次,通过在各环节调用文档防泄密系统接口进行安全联动,根据业务需要对流程中的附件进行自动加密和授权;最后,对加密附件采用透明化加解密的处理方式,实现对有权限的文档透明化使用、对无权限的文档无法使用的原则。
其三,加强安全警示——为电子文档增加水印信息。通过增加电子文档全文水印功能,有效解决了文档拍照外泄、文档截图外泄、文档打印外泄等情况的发生。无论是用户电脑中的敏感电子文档,还是来自OA中的重要电子文档,在用户打开时,均会有明显的水印信息展示。
其四,控制文档外发——建立加密文档外发的审批流程。当OA平台上的电子文档被下载后发给集团外人员使用时,可以为外发文档设置使用时间、使用次数和使用权限,并进行硬件介质绑定,防止其二次传播等。
其五,逆向追溯审查——建立信息资产泄密时间有据可查、可追溯的机制。采用电子文档在内网中全生命周期审计的管理概念:当文档从业务系统中被下载后,在内网中的整个编辑、流转、使用过程都将形成完整的审计生命地图,日志审计员可查看所有用户对加密文档的操作记录。
项目收益
该集团在整合此科技文档防泄密系统和OA系统后应用效果显著,具体体现在以下几方面: 首先,采用人性化的加密文档使用方式,不改变文档的名称和存储位置,无需改变员工的操作方式,即可实现文档的防泄密功能。其次,将重要文档的外泄风险降到了极低,OA系统的数据安全得到了保障,同时借助细致的文档授权体系为下载后的文档增加了严格的权限控制。再次,实现对外发给合作伙伴的电子文档的全生命周期安全控制,消除了已发布的数据可能被再次或多次恶意传播的安全顾虑。最后,文档审计功能可记录所有用户对加密文档的操作记录,一旦出现电子文档泄密事件,可通过系统实现完整的审计信息追溯,准确定位到安全事件责任人。