近年來，國內設計院所在科技建院、科技興院和可持續發展的方針指導下，大力推進信息化建設，以信息化帶動設計院的現代化，取得了矚目的成績。特別在遠程異地辦公、設計應用軟件資產規模、三維設計技術推廣應用和協同辦公等領域，單位投入了大量的資金，逐步形成了一整套覆蓋設計院各個業務和管理領域的信息化基礎體系。在此基礎上，安全作為信息化建設的重要一環，對于以知識成果為企業重要效益來源的設計院所，尤顯重要。

　　【用戶特征】

　　存在大量設計文件、勘測數據等價值信息需要重點保護，特別是勘測數據已納入國防戰略信息范圍，需要重點防護；

　　為客戶提交的設計文件比較大，且設計院各個專業部門的編輯軟件專業性強，數量非常多；

　　院內信息系統采取了一些安全措施并建立了一定的安全管理制度，專業設計部門網絡與Internet隔離，敏感數據交換有專人負責；

　　設計文檔本身就是產品，銷售給用戶后需要對文件的流轉進行使用控制。

　　【需求分析】

　　從設計院所的人員構成、業務流程和數據的流轉特征等方面分析，設計院內網安全體系建設需要重點關注以下幾方面的需求：

　　1、 數據外帶的控制。作為競爭性智力產品，設計院形成的設計圖紙和相關文檔重點關注的是文件在客戶、合作伙伴流轉過程中如何實現有效的訪問權限控制并杜絕惡意的成果剽竊行為。

　　2、 計算機登錄認證控制、服務器訪問授權;設計院所有共享設計素材和設計成果，統一保存在共享服務器，需要對服務器訪問授權進行統一安全管理。

　　3、 計算機大容量專業數據文件的存儲保密。保存在服務器和各個設計人員終端上的設計文件，需要進行統一加密處理并設定分級訪問權限。

　　4、 內部數據傳輸的保密。考慮到設計人員移動遠程接入的需要，為防止數據監聽等泄密行為，需要對數據傳輸通道進行保密處理。

　　【Chinasec的解決之道】

　　設計院所內網安全的體系建設，需要突出重點，切實關注文件外帶保密需求，充分考慮敏感性數據面臨的各種主動泄密和被動泄密風險。同時，應充分考慮系統對設計人員的業務影響范圍，盡可能降低安全行為帶來的系統性能損耗和應用約束，在安全性和可用性之間保持合理的平衡。

　　Chinasec提供的整體解決方案，重點實現以下功能：

　　用戶使用硬件令牌登錄計算機，令牌中內置數字證書，實現雙因素認證。內網服務器通過安全網關進行保護，只有授權用戶才能訪問；

　　計算機硬盤中存儲數據加密，對用戶操作透明，防止硬盤數據丟失引起數據加密；

　　內部數據傳輸途徑主要為網絡和移動存儲設備，網絡根據安全等級劃分為不同的安全等級，同等級間能夠正常通訊，不同等級間只有授權才能訪問，同時網絡中數據加密，防止非法計算機訪問；

　　移動存儲設備管理，對移動存儲設備進行授權管理，可授權為只讀、加密、讀寫、禁用屬性；

　　對于外帶文件授權進行控制，文件采用加密格式，只有使用令牌或者授權口令才能打開，文件可以控制文件使用時間、打開次數、編輯等權限。

　　【典型案例】：中科院微電子所、成都規劃設計研究院、鄭州市規劃勘測設計研究院、新疆軍區某工程科研設計所

文章作者：比特網