1.  電信行業(yè)數(shù)據(jù)信息泄漏風(fēng)險概述

運營商信息系統(tǒng)體系形成了對企業(yè)管理、運營、維護等方面支撐的大量應(yīng)用系統(tǒng)，也產(chǎn)生了大量的結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)，這些數(shù)據(jù)是企業(yè)的重要資產(chǎn)之一，是現(xiàn)代企業(yè)的命脈，關(guān)乎企業(yè)的生存與發(fā)展。與此同時，各類數(shù)據(jù)信息在處理、共享和使用過程中也面臨數(shù)據(jù)信息被違規(guī)越權(quán)使用或數(shù)據(jù)信息被用于非法用途等數(shù)據(jù)信息泄漏的安全風(fēng)險。一方面，應(yīng)用系統(tǒng)數(shù)據(jù)處理過程中涉及到的商業(yè)秘密需要保護；另一方面，運營過程中收集和使用的大量的用戶信息、用戶業(yè)務(wù)使用信息等個人隱私數(shù)據(jù)，以及數(shù)據(jù)統(tǒng)計分析所形成的各類報表作為企業(yè)重要的經(jīng)營信息也需要保護。
針對商業(yè)秘密，國務(wù)院國有資產(chǎn)監(jiān)督管理委員會頒布了《中央企業(yè)商業(yè)秘密保護暫行規(guī)定》，國資委保密委員會頒布了《中央企業(yè)商業(yè)秘密信息系統(tǒng)安全技術(shù)指引》，對中央企業(yè)的商密秘密保護進行規(guī)范和指導(dǎo)，確保中央企業(yè)正常經(jīng)營利益不受侵害。針對用戶隱私數(shù)據(jù)，全國人大頒布了《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》，工信部起草了《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定（征求意見稿）》面向社會公開征求意見。因此，加強企業(yè)數(shù)據(jù)信息安全保護，既是企業(yè)自身發(fā)展的客觀要求，也是國家法律法規(guī)的要求。
據(jù)權(quán)威機構(gòu)近幾年調(diào)查數(shù)據(jù)顯示，企業(yè)內(nèi)部用戶非授權(quán)的訪問和濫用導(dǎo)致有意或無意的信息泄露所造成的損失持續(xù)居于企業(yè)信息安全風(fēng)險的最前列。目前各IT系統(tǒng)的內(nèi)部用戶很容易就可以導(dǎo)出系統(tǒng)重要數(shù)據(jù)或者下載系統(tǒng)中的各種電子文檔，而且數(shù)據(jù)和電子文檔的流轉(zhuǎn)渠道多元化，內(nèi)部用戶可以很輕松地把系統(tǒng)內(nèi)的許多重要信息傳遞到網(wǎng)絡(luò)外部，但是根據(jù)管理規(guī)范這些重要的信息資料，不能輕易離開公司的網(wǎng)絡(luò)環(huán)境，甚至不能在公司網(wǎng)絡(luò)內(nèi)部隨意地傳遞與交流。

2.  電信行業(yè)數(shù)據(jù)信息泄露風(fēng)險點分析

電信行業(yè)運營商在日常經(jīng)營過程中，容易出現(xiàn)的信息泄露風(fēng)險依據(jù)應(yīng)用系統(tǒng)用途主要分為兩大類：管理類應(yīng)用系統(tǒng)和業(yè)務(wù)支撐類應(yīng)用系統(tǒng)。管理類應(yīng)用系統(tǒng)以O(shè)A系統(tǒng)最為典型，也包括財務(wù)、合同管理、采購、CRM等系統(tǒng)，業(yè)務(wù)支撐類應(yīng)用系統(tǒng)則包括計費、經(jīng)營分析、數(shù)據(jù)倉庫等BOSS系統(tǒng)。針對不同用途的應(yīng)用系統(tǒng)，其數(shù)據(jù)信息泄露風(fēng)險分別分析如下：

2.1  管理類應(yīng)用系統(tǒng)數(shù)據(jù)泄露風(fēng)險

以O(shè)A系統(tǒng)為例，公文內(nèi)容通常包含企業(yè)戰(zhàn)略決策、市場營銷策劃、財務(wù)報表、工程設(shè)計方案、重大會議紀(jì)要等內(nèi)容，均屬于商業(yè)秘密的范疇。在這些公文處理過程中出現(xiàn)的風(fēng)險點主要有：
1）內(nèi)部人員的越權(quán)和違規(guī)操作，如：非法攜帶、非法發(fā)送、非法打印；
2）商業(yè)秘密公文明文存儲和流轉(zhuǎn)；
3）黑客/木馬的信息竊�。�
4）商業(yè)秘密公文的可流轉(zhuǎn)渠道多，流轉(zhuǎn)不可控。
而OA系統(tǒng)的常見安全措施僅涉及到身份認(rèn)證、日志統(tǒng)計方面，對公文內(nèi)容缺乏保護能力，上述風(fēng)險點都可能造成公文內(nèi)容的泄露，給企業(yè)經(jīng)營造成損失。

2.2  業(yè)務(wù)支撐類應(yīng)用系統(tǒng)數(shù)據(jù)泄露風(fēng)險

業(yè)務(wù)支撐類應(yīng)用系統(tǒng)的數(shù)據(jù)有客戶資料信息（個人客戶、企業(yè)客戶、渠道客戶）、計費帳務(wù)數(shù)據(jù)（賬單、詳單）、統(tǒng)計分析數(shù)據(jù)（統(tǒng)計報表、經(jīng)營分析報告）等內(nèi)容，均屬于敏感數(shù)據(jù)的范疇，也得到了運營商的重視，一般均采取了以下幾方面的保護措施：
1）應(yīng)用系統(tǒng)訪問頁面中信息的混淆，如查詢出客戶個人信息中的姓名、住址、身份證號碼等信息，只顯示開頭和結(jié)尾的字符，中間字符采用***顯示的方式，有效避免了頁面中敏感內(nèi)容的泄露使用；
2）應(yīng)用系統(tǒng)運維的訪問控制，通常采用堡壘機的方式，對系統(tǒng)管理員、數(shù)據(jù)庫管理員進行身份認(rèn)證、訪問控制和操作行為審計，防止他們進行違規(guī)越權(quán)的操作，惡意修改數(shù)據(jù)或超范圍獲取數(shù)據(jù)內(nèi)容。
但上述保護措施也存在不足，對敏感數(shù)據(jù)保護還存在欠缺：
1）應(yīng)用系統(tǒng)訪問頁面中通常都具有數(shù)據(jù)導(dǎo)出功能，可將系統(tǒng)內(nèi)的數(shù)據(jù)形成數(shù)據(jù)文件保存到計算機本地，數(shù)據(jù)文件就可以被任意使用；
2）應(yīng)用系統(tǒng)數(shù)據(jù)庫的備份、數(shù)據(jù)導(dǎo)出都可以將系統(tǒng)內(nèi)的數(shù)據(jù)以文件形式保存到計算機本地，數(shù)據(jù)文件就可以被任意使用。
對業(yè)務(wù)支撐類應(yīng)用系統(tǒng)數(shù)據(jù)文件內(nèi)容缺乏保護，會造成敏感信息的泄露，給企業(yè)的生產(chǎn)經(jīng)營造成重大損失。

2.3  泄露風(fēng)險的應(yīng)對措施

通過上述分析，可見數(shù)據(jù)文件存在的主要問題有：
1）文件以明文方式存儲，任何人員只要得到文件即可輕易打開讀取或復(fù)制內(nèi)容；
2）文件與當(dāng)前人員無任何關(guān)聯(lián)，可以任意發(fā)送給內(nèi)部或外部人員，文件的分發(fā)和流向不可控；
3）文件的使用環(huán)境以及編輯、復(fù)制、打印等使用操作上無任何限制，無任何使用記錄，無法審計。
其應(yīng)對措施主要有：
1）數(shù)據(jù)文件明文存儲、內(nèi)外部人員的信息竊取：通過對數(shù)據(jù)文件進行加密，形成密文文件；
2）內(nèi)部人員的越權(quán)和違規(guī)操作：使用安全的身份認(rèn)證方式，對文檔操作進行細粒度授權(quán)和管控，對文檔的授權(quán)和使用進行詳細審計；
3）數(shù)據(jù)文件的流轉(zhuǎn)渠道不可控：對文檔在內(nèi)部的分發(fā)授權(quán)進行控制，對文檔向外部發(fā)送的權(quán)限進行控制，云桌面/虛擬化移動辦公控制文檔不落終端；
4）導(dǎo)出數(shù)據(jù)文件的使用和處理：數(shù)據(jù)文檔加密保護，數(shù)據(jù)文檔權(quán)限控制、使用審計，數(shù)據(jù)文檔安全交換、安全處理。

3.  解決方案

3.1  管理類應(yīng)用數(shù)據(jù)保護

管理類應(yīng)用系統(tǒng)以O(shè)A系統(tǒng)使用最為廣泛，應(yīng)用最為典型，下面將以O(shè)A系統(tǒng)為例，說明數(shù)據(jù)保護的方案，其他管理類應(yīng)用系統(tǒng)均適用。
OA系統(tǒng)是各類公文的流轉(zhuǎn)平臺，其中涉及一般商密、核心商密的公文在流轉(zhuǎn)過程中亟需加密保護，一旦OA內(nèi)部重要的文檔被非法帶出公司，或在電腦中被病毒、木馬等盜取，文檔的內(nèi)容就將泄露，給公司造成重大損失。因此，需要對相關(guān)人員的公文操作權(quán)限進行控制和操作審計，以防止有意無意的泄密。
通過OA文檔安全系統(tǒng)的建設(shè)，可實現(xiàn)對OA系統(tǒng)中重要公文的加密保護，實現(xiàn)重要公文在OA系統(tǒng)流轉(zhuǎn)過程中的授權(quán)，以及對重要公文使用權(quán)限的有效控制和審計，在內(nèi)部辦公網(wǎng)中逐步形成“事前加密保護、事中授權(quán)控制、事后跟蹤審計”的涉密公文和重要信息文件的安全保護體系。

用戶信息同步

文檔安全系統(tǒng)可通過Web Service接口或LDAP接口從OA系統(tǒng)、企業(yè)目錄或統(tǒng)一用戶管理系統(tǒng)中同步用戶信息和組織機構(gòu)信息，用戶無需記憶新的帳號，直接使用現(xiàn)有帳號信息。

系統(tǒng)用戶登錄認(rèn)證信息強制檢測

用戶訪問OA系統(tǒng)時，強制檢測是否已安裝并登錄了文檔安全客戶端，如未安裝或未登錄則不允許訪問系統(tǒng)；同時，檢測登錄用戶和登錄主機信息的一致性，如果不一致，則也不允許訪問系統(tǒng)，從而增強系統(tǒng)安全認(rèn)證和訪問控制。
（一）文檔安全客戶端登錄及主機信息的獲取
用戶主動登錄文檔安全客戶端或者通過OA系統(tǒng)單點登錄文檔安全客戶端成功后，文檔安全客戶端搜集用戶主機信息，包括：客戶端主機當(dāng)前生效網(wǎng)卡的IP地址、MAC地址、主機名稱、文檔安全客戶端的版本及當(dāng)前用戶名和用戶登錄時間，提交至文檔安全服務(wù)系統(tǒng)存儲，用戶狀態(tài)標(biāo)記為已登錄。當(dāng)用戶注銷文檔安全客戶端時，用戶狀態(tài)將更新為未登錄。
（二）OA系統(tǒng)登錄認(rèn)證信息的強制檢測
1)         用戶通過Web瀏覽器登錄/單點登錄訪問OA系統(tǒng)；
2)         系統(tǒng)通過JavaScript腳本調(diào)用文檔安全客戶端的COM組件接口，檢測文檔安全客戶端是否已登錄；
如果文檔安全客戶端未安裝，則捕獲錯誤信息，提示用戶“必須先安裝文檔安全客戶端才能登錄系統(tǒng)”，并停止登錄/單點登錄信息的提交；
如果COM組件接口返回值表明客戶端未登錄，則提示用戶“必須先登錄文檔安全客戶端才能登錄系統(tǒng)”，并停止登錄/單點登錄信息的提交；
如果COM組件接口返回值表明客戶端已登錄，則通過COM組件接口獲取主機的IP和MAC地址，并隨登錄/單點登錄信息一起提交至OA系統(tǒng)服務(wù)端；
3)         OA系統(tǒng)收到信息后，驗證登錄的用戶名/密碼或單點登錄信息是否正確，如果不正確則拒絕登錄/單點登錄系統(tǒng)；
4)         如果登錄/單點登錄信息驗證正確，則調(diào)用文檔安全系統(tǒng)服務(wù)端的Java服務(wù)接口，校驗客戶端提交的當(dāng)前用戶主機的IP和MAC地址與文檔安全服務(wù)系統(tǒng)中記錄的當(dāng)前用戶最新登錄的主機IP和MAC地址以及登錄狀態(tài)是否一致；如果不一致，則拒絕登錄系統(tǒng)，否則登錄成功。
（三）通過VPN訪問業(yè)務(wù)系統(tǒng)時的方案適應(yīng)性
在通過VPN訪問OA系統(tǒng)時，OA系統(tǒng)服務(wù)器通過request.getRemoteAddr()方法獲取的所有客戶端訪問IP地址均為VPN服務(wù)器IP地址，無法獲得客戶端真實IP地址，因而登錄信息的一致性檢測不能采用服務(wù)端直接獲取IP地址進行比對的方案。
本方案采用文檔安全客戶端獲取準(zhǔn)確的主機IP地址和MAC地址，并提交至服務(wù)端進行業(yè)務(wù)系統(tǒng)登錄用戶和登錄主機信息的記錄和比對校驗，不受網(wǎng)絡(luò)、應(yīng)用部署和訪問方式的影響，同時便于準(zhǔn)確追查。

OA系統(tǒng)文檔安全集成

OA系統(tǒng)與文檔安全系統(tǒng)集成，主要包括：組織機構(gòu)/用戶信息的同步、單點登錄、文檔的自動加密和自動授權(quán)。通過集成將安全隱藏在OA公文流程之中，不改變用戶使用習(xí)慣，兼顧安全性與易用性。

圖1: OA系統(tǒng)文檔安全集成功能流程示意圖
（一）客戶端認(rèn)證和單點登錄
文檔安全系統(tǒng)與OA系統(tǒng)通過接口實現(xiàn)組織機構(gòu)和用戶的同步。當(dāng)用戶登錄訪問OA系統(tǒng)時，調(diào)用文檔安全控件的單點登錄接口實現(xiàn)文檔安全客戶端的自動登錄，用戶無需進行二次認(rèn)證。
（二）發(fā)文/收文過程中的密級文檔加密
在發(fā)文擬稿或收文登記時，OA系統(tǒng)調(diào)用文檔安全控件的加密接口，自動對公文正文和上傳的附件進行加密。
公文一旦加密，在流轉(zhuǎn)的各個環(huán)節(jié)，無論是閱讀還是再次編輯，均保持加密狀態(tài)，用戶對公文的使用操作方式不變。
（三）發(fā)文/收文過程中的密級文檔授權(quán)
在發(fā)文擬稿、審批、核稿、成文以及收文閱辦等階段， OA系統(tǒng)調(diào)用文檔安全系統(tǒng)授權(quán)接口，自動對公文下一處理環(huán)節(jié)所涉及的用戶、用戶組、組織機構(gòu)進行授權(quán)。
在發(fā)文擬稿、審批、核稿、成文階段，對于公文正文，自動對下一節(jié)點的接收用戶授予閱讀、編輯、復(fù)制、水印打印權(quán)限；對于公文附件，自動對下一節(jié)點的接收用戶授予閱讀、水印打印權(quán)限。
在成文后或收文閱辦階段，對于公文正文和附件，自動對下一節(jié)點的接收用戶授予閱讀權(quán)限。

圖2: 在OA流程各節(jié)點中配置相應(yīng)權(quán)限示例

各級文檔管理員可以在SecureDOC文檔安全保護系統(tǒng)的管理系統(tǒng)（SDMS）中隨時追加或撤銷用戶對公文的操作權(quán)限，而無需回收公文。

對VPN遠程辦公的支持

電信省公司使用VPN實現(xiàn)遠程辦公，通過在VPN服務(wù)器上配置接入文檔安全服務(wù)器，實現(xiàn)員工在企業(yè)辦公環(huán)境之外，通過VPN接入企業(yè)辦公環(huán)境，對加密文檔進行受控使用操作。

對手機/平板電腦移動辦公的支持

為支持手機/平板電腦對OA加密公文的閱讀，在移動辦公服務(wù)器上調(diào)用文檔安全解密接口，當(dāng)手機/平板電腦查看密級公文時，自動解密公文推送至移動終端并打開，當(dāng)文檔關(guān)閉時，自動刪除移動終端上的解密文檔，不在移動終端上存儲。

對OA公文互通的支持

通過公文互通接收集團總部向省公司下發(fā)的公文時，OA系統(tǒng)自動調(diào)用文檔安全系統(tǒng)加密和授權(quán)接口，實現(xiàn)集團來文的自動加密和流轉(zhuǎn)的自動授權(quán)，從而實現(xiàn)對集團下發(fā)公文在省公司OA系統(tǒng)流轉(zhuǎn)各環(huán)節(jié)的保護。

用戶本機重要文檔的保護（可選）

文檔安全客戶端提供右鍵菜單，為用戶本機的重要文檔提供加密保護，加密后的文檔，用戶自己（作者）擁有所有權(quán)限，自己的操作不受任何限制。當(dāng)用戶將本機加密的文檔發(fā)送給企業(yè)內(nèi)其他人員時，需要通過右鍵菜單對接收人予以授權(quán)，文檔的發(fā)送渠道不受限制。

1.1  業(yè)務(wù)支撐類應(yīng)用數(shù)據(jù)保護

用戶信息同步與轉(zhuǎn)換

文檔安全系統(tǒng)可通過Web Service接口或LDAP接口從OA系統(tǒng)、企業(yè)目錄或統(tǒng)一用戶管理系統(tǒng)中同步用戶信息和組織機構(gòu)信息，用戶無需記憶新的帳號，直接使用現(xiàn)有帳號信息。
業(yè)務(wù)支撐類應(yīng)用如果具有獨立的用戶登錄信息，建議與統(tǒng)一用戶管理系統(tǒng)或企業(yè)目錄中存儲的用戶信息建立映射關(guān)系，當(dāng)調(diào)用文檔安全系統(tǒng)集成接口時，可以通過該映射關(guān)系完成用戶身份信息的轉(zhuǎn)換，得到與文檔安全系統(tǒng)一致的用戶名。

系統(tǒng)用戶登錄認(rèn)證信息強制檢測

用戶訪問業(yè)務(wù)支撐類應(yīng)用時，強制檢測是否已安裝并登錄了文檔安全客戶端，如未安裝或未登錄則不允許訪問系統(tǒng)；同時，檢測登錄用戶和登錄主機信息的一致性，如果不一致，則也不允許訪問系統(tǒng)，從而增強系統(tǒng)安全認(rèn)證和訪問控制。
（一）文檔安全客戶端登錄及主機信息的獲取
用戶主動登錄文檔安全客戶端或者通過業(yè)務(wù)支撐類應(yīng)用單點登錄文檔安全客戶端成功后，文檔安全客戶端搜集用戶主機信息，包括：客戶端主機當(dāng)前生效網(wǎng)卡的IP地址、MAC地址、主機名稱、文檔安全客戶端的版本及當(dāng)前用戶名和用戶登錄時間，提交至文檔安全服務(wù)系統(tǒng)存儲，用戶狀態(tài)標(biāo)記為已登錄。當(dāng)用戶注銷文檔安全客戶端時，用戶狀態(tài)將更新為未登錄。
（二）業(yè)務(wù)支撐類應(yīng)用登錄認(rèn)證信息的強制檢測
1)         用戶通過Web瀏覽器登錄/單點登錄訪問業(yè)務(wù)支撐類應(yīng)用；
2)         系統(tǒng)通過JavaScript腳本調(diào)用文檔安全客戶端的COM組件接口，檢測文檔安全客戶端是否已登錄；
如果文檔安全客戶端未安裝，則捕獲錯誤信息，提示用戶“必須先安裝文檔安全客戶端才能登錄系統(tǒng)”，并停止登錄/單點登錄信息的提交；
如果COM組件接口返回值表明客戶端未登錄，則提示用戶“必須先登錄文檔安全客戶端才能登錄系統(tǒng)”，并停止登錄/單點登錄信息的提交；
如果COM組件接口返回值表明客戶端已登錄，則通過COM組件接口獲取主機的IP和MAC地址，并隨登錄/單點登錄信息一起提交至業(yè)務(wù)系統(tǒng)服務(wù)端；
3)         業(yè)務(wù)系統(tǒng)收到信息后，驗證登錄的用戶名/密碼或單點登錄信息是否正確，如果不正確則拒絕登錄/單點登錄系統(tǒng)；
4)         如果登錄/單點登錄信息驗證正確，則調(diào)用文檔安全系統(tǒng)服務(wù)端的Java服務(wù)接口，校驗客戶端提交的當(dāng)前用戶主機的IP和MAC地址與文檔安全服務(wù)系統(tǒng)中記錄的當(dāng)前用戶最新登錄的主機IP和MAC地址以及登錄狀態(tài)是否一致；如果不一致，則拒絕登錄系統(tǒng)，否則登錄成功。
（三）通過VPN訪問業(yè)務(wù)系統(tǒng)時的方案適應(yīng)性
在通過VPN訪問業(yè)務(wù)系統(tǒng)時，業(yè)務(wù)系統(tǒng)服務(wù)器通過request.getRemoteAddr()方法獲取的所有客戶端訪問IP地址均為VPN服務(wù)器IP地址，無法獲得客戶端真實IP地址，因而登錄信息的一致性檢測不能采用服務(wù)端直接獲取IP地址進行比對的方案。
本方案采用文檔安全客戶端獲取準(zhǔn)確的主機IP地址和MAC地址，并提交至服務(wù)端進行業(yè)務(wù)系統(tǒng)登錄用戶和登錄主機信息的記錄和比對校驗，不受網(wǎng)絡(luò)、應(yīng)用部署和訪問方式的影響，同時便于準(zhǔn)確追查。

系統(tǒng)前臺導(dǎo)出數(shù)據(jù)文件的加密和授權(quán)保護

業(yè)務(wù)支撐類應(yīng)用前臺業(yè)務(wù)人員可通過Web頁面查詢數(shù)據(jù)并導(dǎo)出為文件進行下載。文檔安全系統(tǒng)在服務(wù)端為業(yè)務(wù)支撐類應(yīng)用提供文檔的發(fā)布、加密、授權(quán)等Java服務(wù)接口，實現(xiàn)對導(dǎo)出文件的加密和對當(dāng)前用戶的文檔授權(quán)，不依賴于文檔安全客戶端。即使終端主機上未安裝文檔安全客戶端或文檔安全客戶端未登錄，導(dǎo)出下載的數(shù)據(jù)文件仍為加密文件。


圖3: 業(yè)務(wù)支撐類應(yīng)用前臺數(shù)據(jù)文件加密下載和使用控制功能流程示意

系統(tǒng)前臺導(dǎo)出數(shù)據(jù)文件的加密和授權(quán)處理過程如下：
（1）業(yè)務(wù)支撐類應(yīng)用前臺業(yè)務(wù)人員，通過Web頁面查詢系統(tǒng)數(shù)據(jù)或進行數(shù)據(jù)分析之后，點擊頁面上的導(dǎo)出/下載相關(guān)功能按鈕；
（2）系統(tǒng)服務(wù)端根據(jù)請求，將數(shù)據(jù)生成為文件（如：Excel、CSV文件）；
（3）系統(tǒng)在服務(wù)端調(diào)用文檔安全系統(tǒng)Java服務(wù)接口，實現(xiàn)數(shù)據(jù)文件信息的發(fā)布和文件內(nèi)容加密，并調(diào)用文檔安全系統(tǒng)Java服務(wù)接口對當(dāng)前用戶進行授權(quán)，默認(rèn)只授予閱讀權(quán)限；對于個別需要處理的數(shù)據(jù)文件，可授予閱讀和編輯權(quán)限；對于需要發(fā)送給其他人員的數(shù)據(jù)文件，可授予閱讀和分發(fā)權(quán)限；
（4）加密后的數(shù)據(jù)文件返回給客戶端進行下載保存。

系統(tǒng)后臺導(dǎo)出數(shù)據(jù)文件的加密和授權(quán)保護

ODS系統(tǒng)后臺管理維護人員可以根據(jù)省市相關(guān)部門提交的數(shù)據(jù)導(dǎo)出申請和審批結(jié)果，通過數(shù)據(jù)庫客戶端工具（如：PLSQL或SQL Plus）直接連接系統(tǒng)數(shù)據(jù)庫，進行數(shù)據(jù)查詢并導(dǎo)出為文件（如：Excel、CSV、TXT），然后再發(fā)送給相關(guān)申請人員進行處理。
由于部分維護人員可能是外部代維人員，因此需要在文檔安全系統(tǒng)中為這部分人員建立帳號。
（一）無堡壘主機情況下的保護方案（改成云桌面加文件中轉(zhuǎn)站方式）
需要結(jié)合制度規(guī)定，要求管理維護人員對數(shù)據(jù)庫客戶端工具導(dǎo)出的數(shù)據(jù)文件進行手工加密和授權(quán)工作：
（1）管理維護人員在數(shù)據(jù)庫客戶端工具導(dǎo)出的數(shù)據(jù)文件上，點擊右鍵，從彈出的右鍵菜單中選擇“加密”，完成對數(shù)據(jù)文件的手工加密操作；
（2）管理維護人員在加密后的數(shù)據(jù)文件上，點擊右鍵，從彈出的右鍵菜單中選擇“授權(quán)”，并在彈出的授權(quán)界面中的企業(yè)組織機構(gòu)/用戶目錄樹中選擇相應(yīng)的接收人員，設(shè)置具體的操作權(quán)限；
對于接收到數(shù)據(jù)文件后，需要將數(shù)據(jù)導(dǎo)入數(shù)據(jù)庫進行分析的情況，在授權(quán)時，可對接收人員授予閱讀和解密權(quán)限，并綁定主機信息；接收人員只有在綁定的主機上登錄文檔安全客戶端，才能解密數(shù)據(jù)文件，導(dǎo)入數(shù)據(jù)庫，同時文檔安全系統(tǒng)將記錄操作日志。
（二）有堡壘主機情況下的保護方案
通過堡壘主機防護，限定管理維護人員只有在堡壘主機上才能通過數(shù)據(jù)庫客戶端工具對系統(tǒng)數(shù)據(jù)進行導(dǎo)出操作，限定地市業(yè)務(wù)人員只有在堡壘主機上才能將數(shù)據(jù)導(dǎo)入到地市數(shù)據(jù)分析數(shù)據(jù)庫中并進行相關(guān)分析工作。
對于地市申請導(dǎo)出的數(shù)據(jù)，管理維護人員在堡壘機上導(dǎo)出后，通過文檔安全系統(tǒng)，將數(shù)據(jù)文件加密上傳至文檔安全系統(tǒng)文檔中轉(zhuǎn)站，并由管理維護人員對地市業(yè)務(wù)人員進行授權(quán)，通過文檔安全系統(tǒng)高級權(quán)限設(shè)置中的IP/MAC/機器碼綁定功能，實現(xiàn)地市業(yè)務(wù)人員只能在指定的堡壘主機上進行數(shù)據(jù)文件解密和導(dǎo)入地市數(shù)據(jù)分析數(shù)據(jù)庫的操作。


圖4: 基于堡壘主機的系統(tǒng)后臺導(dǎo)出數(shù)據(jù)文件保護功能流程示意

系統(tǒng)后臺導(dǎo)出數(shù)據(jù)文件的加密和授權(quán)處理過程如下：
（1）管理維護人員登錄堡壘主機；
（2）管理維護人員在堡壘主機上，通過數(shù)據(jù)庫客戶端工具查詢系統(tǒng)數(shù)據(jù)庫導(dǎo)出數(shù)據(jù)文件；
（3）管理維護人員通過文檔安全系統(tǒng)客戶端的文檔中轉(zhuǎn)站功能，選擇導(dǎo)出的數(shù)據(jù)文件，將自動加密上傳至文檔中轉(zhuǎn)站；
管理維護人員從企業(yè)組織機構(gòu)/用戶目錄樹中選擇地市業(yè)務(wù)人員進行文檔授權(quán)，授予閱讀和解密權(quán)限，并在高級權(quán)限設(shè)置中綁定地市業(yè)務(wù)人員可登錄使用的堡壘機的IP/MAC/機器碼（也可通過在文檔安全系統(tǒng)服務(wù)端設(shè)置，完成自動綁定）
（4）地市業(yè)務(wù)人員登錄相關(guān)的堡壘主機；
（5）地市業(yè)務(wù)人員在堡壘主機上，登錄文檔安全系統(tǒng)，從文檔中轉(zhuǎn)站中下載接收到的數(shù)據(jù)文件（由于綁定了堡壘主機信息，如果在其他主機上下載該數(shù)據(jù)文件，則無法打開）；
（6）地市業(yè)務(wù)人員在堡壘主機上，解密數(shù)據(jù)文件（文檔安全客戶端校驗綁定信息和權(quán)限并記錄日志），導(dǎo)入地市數(shù)據(jù)分析數(shù)據(jù)庫并進行分析。

1.  建設(shè)效果

通過電子文檔安全系統(tǒng)的建設(shè)，以及與MBOSS相關(guān)應(yīng)用系統(tǒng)的集成，實現(xiàn)對含有商業(yè)秘密的流轉(zhuǎn)公文與系統(tǒng)生成的敏感數(shù)據(jù)文件的加密保護、權(quán)限控制和使用審計，防止敏感數(shù)據(jù)文件的非授權(quán)訪問和違規(guī)使用，有效保各類用戶信息和企業(yè)重要經(jīng)營信息的安全。
具體目標(biāo)主要包括：
（1）實現(xiàn)與省公司OA系統(tǒng)的無縫集成，對于OA系統(tǒng)中的所有公文進行自動加密、自動授權(quán)；
（2）實現(xiàn)OA公文在流轉(zhuǎn)過程中以及本地操作過程中的全程受控操作和日志審計；
（3）增強EDA域相關(guān)系統(tǒng)登錄和訪問控制機制，不安裝文檔安全客戶端則不允許登錄訪問業(yè)務(wù)支撐類應(yīng)用，并檢查登錄人員及客戶端主機信息的一致性；
（4）對前臺人員導(dǎo)出的數(shù)據(jù)文件自動進行加密和授權(quán)處理，控制當(dāng)前人員對數(shù)據(jù)文件的閱讀、編輯、復(fù)制、打印、截屏等操作權(quán)限并記錄日志；
（5）前臺人員將下載的加密數(shù)據(jù)文件帶至企業(yè)外部，或者直接發(fā)送給任何內(nèi)部或外部人員，均無法打開閱讀，必須經(jīng)過許可授權(quán)；
（6）后臺人員根據(jù)申請審批結(jié)果導(dǎo)出的數(shù)據(jù)文件，由后臺人員按要求進行加密，并授權(quán)給相關(guān)接收人員，接收人員只能在許可范圍內(nèi)受控操作數(shù)據(jù)文件，如需解密需經(jīng)許可授權(quán)。
（7）實現(xiàn)“事前加密保護、事中授權(quán)控制、事后跟蹤審計”的文檔安全體系；
（8）既保證內(nèi)部合法用戶對重要文檔的合理使用，又控制文檔的傳播范圍和使用權(quán)限，防范企業(yè)內(nèi)部和外部的各種泄密風(fēng)險；

4.1加密文件的使用控制和審計

文檔的透明加解密


圖5: 文檔透明加解密和操作權(quán)限控制

文檔安全客戶端對文檔采用驅(qū)動級透明加解密：
（1）加密后的文檔，文檔擴展名不變、文檔圖標(biāo)不變（只在原圖標(biāo)右下角自動加上“鎖”圖標(biāo)，以方便用戶區(qū)別明文文檔和密文文檔）、文檔的關(guān)聯(lián)程序不變、用戶對文檔的操作方式不變；
（2）加密后的文檔，有權(quán)限的用戶在打開時自動在內(nèi)存中解密，不在磁盤上產(chǎn)生明文文檔；用戶再次編輯保存時，文檔自動加密；
支持Office系列、WPS系列、Acrobat、福昕、記事本、寫字板等常見軟件的文檔格式。

文檔權(quán)限的細粒度控制

SecureDOC企業(yè)文檔安全保護系統(tǒng)以文檔加密為基礎(chǔ)，實現(xiàn)文檔操作權(quán)限的細粒度控制。加密文檔和權(quán)限分離，在操作加密文檔時，首先需要通過身份認(rèn)證，然后根據(jù)當(dāng)前用戶身份從文檔安全服務(wù)器獲取當(dāng)前用戶對該文檔的操作權(quán)限。因此，加密的文檔在未被授權(quán)或未經(jīng)許可脫離企業(yè)辦公環(huán)境時將無法使用。
SecureDOC企業(yè)文檔安全保護系統(tǒng)客戶端在用戶終端的操作系統(tǒng)層面控制文檔的操作權(quán)限，不依賴于具體的應(yīng)用軟件。對文檔操作權(quán)限的具體控制如下：
閱讀——控制文檔是否可以打開閱讀
編輯——控制文檔內(nèi)容是否可以被編輯保存
復(fù)制——控制系統(tǒng)剪貼板，防止文檔內(nèi)容通過剪貼板復(fù)制/剪切
打印——控制文檔是否可以打印，包括虛擬打印
水印打印——控制文檔打印時自動加入水印信息
截屏——對常用的截屏軟件和屏幕錄像軟件進行控制
分發(fā)——控制對文檔是否可以再授權(quán)，從而控制文檔的傳播范圍
離線——控制文檔是否可以脫離指定的企業(yè)辦公環(huán)境使用
外發(fā)——控制文檔是否可以發(fā)送到企業(yè)外部機構(gòu)、客戶、合作伙伴
解密——控制文檔是否可以被解密為明文
 
文檔閱讀權(quán)限控制
用戶未安裝文檔安全客戶端時，無法打開加密文檔或打開只能看到亂碼。
用戶安裝了文檔安全客戶端并登錄，但對文檔無權(quán)限，雙擊文檔時提示“您沒有該文檔的閱讀權(quán)限”，拒絕打開文檔或打開只能看到亂碼。
 
文檔編輯權(quán)限控制
通過客戶端文件過濾驅(qū)動實現(xiàn)對文檔寫權(quán)限的控制，當(dāng)用戶有編輯權(quán)限時，可以對文件進行編輯，編輯后可以保存或者另存，同時客戶端文件過濾驅(qū)動對保存或另存的文檔實現(xiàn)自動加密。
當(dāng)用戶沒有編輯權(quán)限時，即使對文件進行了修改操作，通過客戶端文件過濾驅(qū)動也將禁止保存和另存。
 
文檔復(fù)制權(quán)限控制
對文檔復(fù)制權(quán)限的控制方式有兩種：一種是如果沒有權(quán)限，則完全禁用復(fù)制功能，系統(tǒng)剪貼板中將無任何內(nèi)容；另一種則允許在受控進程之間復(fù)制內(nèi)容。
 
文檔打印權(quán)限控制
用戶對文檔無打印權(quán)限時，將禁止對文檔的打印和虛擬打印操作；
用戶對文檔有打印權(quán)限時，也可以在打印時根據(jù)當(dāng)前用戶信息強制加入水印信息（比如，公司名稱、當(dāng)前用戶、打印時間等）。
 
文檔截屏權(quán)限控制
實現(xiàn)對鍵盤截屏的阻止，同時阻止常用截屏軟件（如：QQ等）、屏幕錄像軟件（如：紅蜻蜓、屏幕錄像專家等）對加密文檔的截屏操作，保護文檔內(nèi)容。
 
文檔離線權(quán)限的控制
用戶如果擁有離線權(quán)限，在無法連接網(wǎng)絡(luò)或無法連接企業(yè)辦公環(huán)境時，可以在離線策略許可的權(quán)限范圍內(nèi)，操作加密文檔。
文檔客戶端定時從服務(wù)器自動同步離線策略到用戶本機并加密存儲；用戶也可以向文檔管理員申請在管理系統(tǒng)中導(dǎo)出自己的離線策略，并在文檔安全客戶端中導(dǎo)入離線策略。
 
文檔外發(fā)權(quán)限控制
用戶如果擁有外發(fā)權(quán)限，可以將相應(yīng)的加密文檔發(fā)送給企業(yè)外部機構(gòu)、客戶、合作伙伴，但需要通過文檔安全客戶端制作文檔外發(fā)包。
制作文檔外發(fā)包時，可以設(shè)定密碼，可以設(shè)定閱讀的時間段和次數(shù)，以及其它操作權(quán)限。
文檔外發(fā)包為雙擊自解壓文檔，接收方無需手工安裝任何客戶端，即可受控操作文檔。

文檔權(quán)限的高級策略設(shè)置

SecureDOC企業(yè)文檔安全保護系統(tǒng)對合法用戶的文檔操作權(quán)限可以設(shè)置高級策略進一步進行限定，具體策略如下：
使用期限——控制文檔只能在有效起止時間內(nèi)使用；
IP地址/地址段——控制文檔只能在指定IP地址/地址段的主機上使用；
MAC地址——控制文檔只能在指定MAC地址的主機上使用；
機器碼——控制文檔只能在指定機器碼的主機上使用。

文檔自動增加閱讀水印

加密文檔通過SecureDOC企業(yè)文檔安全保護系統(tǒng)的細粒度權(quán)限控制功能，已經(jīng)可以在很大程度上控制合法用戶對文檔內(nèi)容的使用權(quán)限，但對于使用電腦技術(shù)以外手段獲取文檔內(nèi)容的方法，例如采用手機、相機拍攝已經(jīng)打開加密文檔的屏幕手段，卻無法起到作用。
為此，SecureDOC企業(yè)文檔安全保護系統(tǒng)特別提供了加密文檔自動增加閱讀水印功能，在合法用戶打開加密文檔時水印信息自動浮現(xiàn)在文檔內(nèi)容中，水印信息可由管理系統(tǒng)定義，顯示當(dāng)前閱讀者的身份信息等，從而有效阻止對屏幕內(nèi)容的拍攝，保護文檔內(nèi)容的安全。

文檔操作的日志記錄

用戶在線對加密文檔進行操作時，文檔安全客戶端將實時記錄各項操作日志并上傳至服務(wù)器。
用戶離線對加密文檔進行操作時，文檔安全客戶端將記錄各項操作日志，并在客戶端加密存儲；當(dāng)用戶下次在線登錄時，將自動上傳離線操作日志至服務(wù)器。
日志內(nèi)容包括：客戶端IP地址、操作用戶、操作時間、操作的文檔、具體操作等。
 

4.2加密文件的動態(tài)權(quán)限管理

文檔權(quán)限的追加和撤銷

文檔管理員在服務(wù)端可以隨時追加或撤銷授權(quán)對象的文檔操作權(quán)限，而無需回收或重發(fā)加密文檔。

文檔授權(quán)對象的管理

文檔的授權(quán)對象可以支持用戶、組織機構(gòu)、用戶組，以方便精確快速授權(quán)。

文檔權(quán)限的存儲和查詢

文檔安全服務(wù)端為客戶端提供文檔權(quán)限的接收存儲和查詢服務(wù)，所有對用戶的文檔授權(quán)信息，將在服務(wù)端進行集中存儲；當(dāng)用戶操作文檔時，客戶端可以從服務(wù)端實時獲取當(dāng)前用戶對所操作文檔的權(quán)限列表，以按照該列表控制用戶對文檔的操作。

文檔日志審計與備份

文檔安全服務(wù)端接收客戶端上傳的文檔操作日志信息并存儲，并對文檔授權(quán)日志、文檔操作日志等進行審計，并可以導(dǎo)出成EXCEL文檔以進行備份。
 
關(guān)于時代億信
北京時代億信科技有限公司是一家致力于企業(yè)應(yīng)用整合及信息安全整體解決方案的專業(yè)技術(shù)服務(wù)公司。公司依托首都科技產(chǎn)業(yè)優(yōu)勢，專注于數(shù)字證書應(yīng)用、企業(yè)應(yīng)用安全、企業(yè)應(yīng)用整合及相關(guān)領(lǐng)域的軟件研發(fā)與技術(shù)服務(wù)，為客戶提供整體的應(yīng)用安全解決方案。憑借團隊優(yōu)勢和綜合技術(shù)能力，公司相繼獨立完成了身份認(rèn)證、統(tǒng)一身份管理與訪問控制、文檔安全保護、SSLVPN等一系列創(chuàng)新產(chǎn)品的研發(fā)和推廣，積累了豐厚的專業(yè)技術(shù)實力和成熟的客戶服務(wù)經(jīng)驗，經(jīng)過不斷努力，已經(jīng)成為企業(yè)應(yīng)用安全及整合領(lǐng)域領(lǐng)先的解決方案提供商。