联系方式 Contact

新安信科技(深圳)有限公司

电话:13510263530

地址:广东省深圳市宝安区福凤路福永东大道9号恒润达2楼

网址:www.safechn.com

QQ客服:点击这里给我发消息

淘宝客服:点这里给我发消息

搜索 Search

工业炉设计建造企业保密方案

2016-5-6 23:32:57点击:
        

代表客户:东大三建 龙山科技 天津赛洋

  工业炉设计建造企业是典型的专业化工业设计企业,其产品具有一定的行业专业性和技术性。保密重点主要也是设计中的电子化图纸。一般工业炉企业有一定的规模,大多数已经部署OA系统,一般在部署保密系统时都会把OA系统工作数据流纳入保密范围。工业炉设计企业一般需要到客户现场安装调试,因此必须有保密终端(笔记本电脑)出差时的保密方案。

  这是一个工业炉企业的网络架构示意图,该客户部署了基于MOSS(Microsoft Office SharePoint Server)平台的OA系统,主要服务器有域控服务器(AD)、SharePoint服务器(OA服务器)和OA使用的SQL Server数据库服务器。

  保密系统在部署中使用域控服务器兼secWall集控服务器,所有客户终端均部署secWall企业版客户端。

  设计部门在部署前与外网隔离,部署保密系统后,设计部门可以上外网查资料,secWall的虚拟隔离技术使内部的设计图纸等敏感资料不会因为可以访问外网而泄漏。这种“只进不出”的单向隔离技术极大地提高了开发设计人员的工作效率。

  对于管理者来说,设计部门之前还有一个头疼的问题是部分不自觉的员工在上班时“干私活”,一个员工可能一整天都在设计一张图纸,但这张图纸可能是外单位的。部署保密系统后,敏感文件的设定会导致文件在保存时变成加密状态,有些“聪明的”员工试图在开机时不登录到集控服务器进入企业涉密环境的情况下画图(加密原理决定了没有证书是不能加密的),最后发现画完的图纸没法存盘!敏感文件的保存必须有企业通行证,而有了企业通行证,敏感文件保存时会被强制加密。

  对于携带笔记本电脑出差的员工,公司配发了secWall漫游型IC。漫游型IC不受集控服务器的约束,可以脱离企业内部网络独立使用。漫游型IC中有企业通行证的漫游副本,在用户把漫游IC插到电脑上时,加密系统可以从硬件漫游IC上获得企业通行证,可以确保在离开公司时加密文档的正常使用。

  漫游型IC丢失可能会导致安全问题,因此公司严格按安全制度配发漫游IC。推荐的安全规则如下:
  ♦ 员工在出差前领取漫游IC并告知预计的出差天数,管理人员设置漫游IC的有效期
  有效期一般是预计的出差天数加个余量,比如预计出差7天,有效期设置成10天。设置有效期可以提高漫游IC的安全性。
  ♦ 设置漫游IC的PIN码
  PIN码可以有效防止漫游IC被别人冒用。设置PIN码的漫游IC即使丢失也不会导致严重的安全隐患,冒用者在输入3次错误的PIN码后,漫游IC将被锁定。这个漫游IC在管理员解锁之前将不能再使用。

  该客户的OA系统保密方案是典型的B/S结构方案,基于MOSS架构开发的OA系统,后台使用SQL Server。按客户的部署要求,后台的SQL Server数据库本身存储是安全的,而且仅被SharePoint Server访问,该机器上不需要部署加密系统。整个OA系统则被纳入保密范围,任何从OA系统中获取的文件必须被加密。

  SharePoint Server(OA服务器)以http(80端口)和https(443端口) 提供服务,设置80、443为涉密端口,这将封锁非涉密客户机对OA系统的访问。OA客户端则设置SharePoint服务器为可信安全区域,并且具有连接涉密属性,这会迫使OA客户端(对于B/S架构来说就是浏览器)在连接到OA服务器后进入涉密状态,从OA获得的任何数据都会被强制加密。进入涉密状态的浏览器访问外网是不被允许的,可防止OA中的敏感数据通过互联网外泄。

  对于OA终端来说,同一机器上的不同应用可以做到虚拟隔离,正在OA中工作的浏览器不能访问互联网,但启动另一个浏览器是可以访问互联网的,这两个浏览器是虚拟隔离的,访问互联网的浏览器安全级别低,而访问OA的浏览器安全级别高,安全级别低的应用中的数据可以自由地向安全级别高的应用中流通,而安全级别高的应用中的数据是不能流向安全级别低的应用的。举例来说,互联网浏览器的数据可以自由地复制进OA,但OA浏览器中的数据是不能复制到互联网浏览器的。