公司保密系統(tǒng)建設方案

1、公司保密系統(tǒng)建設方案（一）管理現(xiàn)狀核心技術保密的關鍵是對核心技術所涉及的密件、密品、涉密載體和 涉密人員的管理。公司目前雖已配備涉密計算機用于處理核心商業(yè)秘 密，但并未對核心技術材料采取針對性的技防保密措施，存在較大的 失泄密風險，因此迫切需要對核心技術涉密資料進行分級管理和防 護。（二）業(yè)務需求.文件加密對涉密文件實現(xiàn)加密處理，從文件創(chuàng)建開始進行自動加密保護。實現(xiàn) 對核心數(shù)據(jù)進行全生命周期保護，確保核心數(shù)據(jù)只可在企業(yè)安全域內(nèi) 正常、透明使用，通過任意方式將數(shù)據(jù)非法帶離內(nèi)部環(huán)境將無法正常 使用。.分級授權根據(jù)生產(chǎn)流程的不同分工、技術研究的不同環(huán)節(jié)、研發(fā)項目的不同階 段，對所涉及的技術資料、人員

2、進行權限分類，涉密人員無權查看權 限之外的涉密技術資料，將核心技術信息做到分層、分散。建立分級 管理模式，實現(xiàn)涉密文件從創(chuàng)建、傳遞、解密及審批流程的層層管控， 將技術文件的操作控制在合理的權限范圍內(nèi)，確保技術涉密文件的利 用安全。.外發(fā)管控嚴格控制涉密文件的外發(fā)流程。涉密文件對外發(fā)送時，需要操作人提 出外發(fā)申請流程，申請合格后方可對特定文件進行降密或解密處理， 并對指定外發(fā)文件設定查看期限、打開次數(shù)、打開密碼及復制、編輯、 打印、截屏等使用權限。.實時監(jiān)控對涉密技術資料保密管理的各環(huán)節(jié)進行監(jiān)控，形成督查整改和后評價 的管理閉環(huán)。通過敏感內(nèi)容識別對未按規(guī)定流程操作的涉密文件及時 進行預警、攔截和

3、保護，后臺自動感知對外交互和網(wǎng)絡使用信息，出 現(xiàn)敏感或密級文件時，進行預警和阻斷。.異地管理由于公司業(yè)務遍布全國，涉密人員會經(jīng)常面臨外地出差的問題，為了 確保員工出差期間能正常使用涉密文件，可對出差人員設置個性化的 離線策略，在員工出差離開公司內(nèi)部網(wǎng)絡環(huán)境前，申請離線加密授權， 根據(jù)實際情況對其離線時長、使用軟件類別及涉密文檔使用權限進行 設置。（三）技術需求.部署方式滿足集團型公司管控模式，可實現(xiàn)集群部署，異地訪問。.安全要求（1）全面保護公司的整體網(wǎng)絡穩(wěn)定運行，不被外界人員非法攻擊及 篡改，保護核心技術資料不被外界人員非法獲取。（2）結合對核心技術涉密人員分級授權，非經(jīng)授權不能越級查看權

4、限以外涉密文件。（3）有效控制對核心技術涉密文檔的非法操作。（4）規(guī)范技術人員工作行為，提升保密意識。（5）文檔加密后，更改后綴不能查看。.應用要求（1）提供友好的交互界面，能在短時間讓相關人員上手操作。（2）操作符合日常辦公方式，不能對員工辦公效率影響太大。（3）支持常見電子文檔和圖文格式加密，可自定義格式加密。（4）提供移動端，可隨時進行文檔查閱和流程審批。.性能要求（1）用戶安裝客戶端后，對電腦主機的資源占用率低，不影響用戶 電腦的性能，保證正常辦公。（2）滿足公司3-5年業(yè)務發(fā)展需求，系統(tǒng)至少支持500以上并發(fā)用 戶使用。（3）支持大文件快速加解密，至少支持2G以上快速加解密。.靈活性

5、要求（1）可區(qū)分時段、地域、部門、項目組等不同條件下設置靈活的管 理策略，實現(xiàn)對異地辦公的安全管控。（2）區(qū)分不同的應用程序、訪問網(wǎng)站及存儲設備進行靈活的分類管 理。（3）文件授權和分組模板化管理，支持個人定制多個模板。二、項目方案（一）部署方案技術保密信息系統(tǒng)采取總部統(tǒng)一部署的管理模式，部署一臺主用和一 臺備用服務器，主用服務器宕機時，備用服務器可自行接管。各分子 公司和外出人員可通過VPN訪問的方式使用該系統(tǒng)。（三）解決方案對涉密文件的創(chuàng)建、加密、解密、外發(fā)等流程進行跟蹤管控，全方位 保證核心技術資料的安全，具體保密操作流程如下圖所示。.文件加密（1）科技信息部根據(jù)實際情況，對關鍵技術人員

6、創(chuàng)建的電子文檔采 取不同加密手段，包括自動加密（所有文檔新建或修改后即加密）、智能加密（根據(jù)關鍵字或者表達式等自動識別文檔內(nèi)容，并進行加 密）、人工加密（用戶手動選擇加密等級和查閱范圍）或者混合方式 加密。（2）建立加密文件類型選擇模塊，根據(jù)實際要求設置需要加密的文 檔類型。在新用戶接入時，通過創(chuàng)建不同的策略掃描用戶電腦磁盤， 對設定的文檔類型或全部文檔進行掃描加密。.分組管理針對不同部門或項目組設定特定的文件共享組，并配合策略實現(xiàn)對不 同部門或項目組的文檔隔離。非本項目組成員，無權限查閱或操作該 組文件。.權限控制根據(jù)文件的重要程度，設定控制屬性。文件通過系統(tǒng)加密后，非安裝 客戶端授權用戶不

7、能正常打開加密文件，即使傳輸?shù)椒鞘跈鄦T工手中 或公司外部，文件依然處于加密狀態(tài)。主要措施包括：（1）對截屏、復制、OLE對象插入、對象拖放等進行控制，防止重 要文件或信息被偽裝后傳輸出去。防止通過OLE對象插入功能將文 件插入到未加密的文件中，防止抓取加密文檔中的部分內(nèi)容后直接發(fā) 送出去。（2）對涉密電腦的打印權限進行設置，涉密文件按照規(guī)定禁止打印， 需打印的文件經(jīng)規(guī)定審批通過后，由后臺對該文件的打印時間、打印 次數(shù)進行設置，并對操作人員和操作痕跡進行實時監(jiān)控，防止員工將 重要資料通過打印方式以紙質方式帶出去。（3）對加密文件進行防刪 除功能設置。非指定用戶無權刪除客戶端上的加密文件，以防止員

8、工 在離職前或其他特定場合惡意刪除重要加密文件。.文件查閱所有科技系統(tǒng)相關人員需安裝科技保密信息系統(tǒng)客戶端，用戶拿到相 應的授權后才能查閱涉密文件。非文件授權用戶，即使拿到文件，也 無法查看文件內(nèi)容，無法進行其他功能的操作。.文件解密通過用戶直接解密、流程審批解密（可設置多級審批流程）、郵件審 批解密等方式進行文件解密，根據(jù)實際應用場景，授予涉密人員指定 的解密權限。一般員工只能通過流程審批解密，解密審批流程根據(jù)文 檔類型和密級而定，通過流程審批后對指定的文件自動解密。.文件外發(fā)對涉密文件的外發(fā)進行統(tǒng)一流程管理，外發(fā)時需要在系統(tǒng)內(nèi)提出外發(fā) 申請，并對外發(fā)的打開次數(shù)、打開時長、文件打印、文件復制

9、等參數(shù) 進行控制。（1）文件外發(fā)時，根據(jù)文件的密級和外放對象，設定一種或者多種控制屬性，生成外發(fā)文件后，必須通過企業(yè)郵箱進行對外發(fā)送。（2）外部使用者接收文件后，根據(jù)該文件的外發(fā)屬性設置，選擇對 應的方式打開。外分文件的打開屬性一般有三種，一是密碼方式，打 開文件時，必須輸入設定的密碼即可查看。二是激活方式，在設定時 需要通過工具先獲取打開文件的電腦特征碼，外部接收者拿到文件在 指定電腦上，打開文件輸入激活碼即可打開查看。三是指定文件查看 工具，需要通過系統(tǒng)設置的指定查看工具才能打開（其他屬性可同時 設定），外部使用者必須運行該查看工具才能打開文件，該工具具有 時效性和唯一性。.離網(wǎng)管理員工外

10、出辦事或出差時，根據(jù)特定場景設定多種離網(wǎng)管理方式。一是 員工外出時，通過VPN連接保密系統(tǒng)，登錄VPN后方可正常使用。 二是通過直接授權，允許離網(wǎng)使用。三是采用UKEY和映射等方式， 以備特殊場景使用。.開關客戶端功能系統(tǒng)具有開關客戶端的功能，允許指定人員可在關閉客戶端的狀態(tài)下 制作明文文件，并在需要查看指定加密文件時打開客戶端。.系統(tǒng)容災出現(xiàn)服務器損壞，斷網(wǎng)等情況時，用戶在一定的時間內(nèi)可正常使用原 存于電腦中的加密文件，保證遇到突發(fā)情況時所有數(shù)據(jù)依然處于加密 狀態(tài)?？蛻舳擞泄收媳３謺r間，在故障保持時間內(nèi)加密系統(tǒng)依然可以正常運 行。同時配置備用服務器，在主服務器崩潰的同時，客戶端會自動連 接到

11、備用服務器，從而保障客戶端的正常運行。.日志管理系統(tǒng)日志會詳細記錄文件操作日志、管理日志、打印日志、授權日志、 外發(fā)日志等信息。文件日志頁可查詢所有加密文件的操作和管理記 錄，打印日志記錄了涉密文件的所有打印操作，可查看所打印文件的 快照圖片，授權日志可查看涉密文件的授權情況。.報表管理系統(tǒng)以報表形式對文件授權、文件加密、文件解密等記錄情況進行多 維度分類統(tǒng)計，并在月底提供該電腦本月的加密文件數(shù)量、違規(guī)情況 統(tǒng)計等報表信息，可進一步規(guī)范員工的操作行為。.移動端系統(tǒng)移動端APP支持Android和蘋果IOS系統(tǒng)，手機安裝APP后， 實現(xiàn)加密文件查閱和流程審批，支持與其他移動開發(fā)平臺整合。.系統(tǒng)集

12、成將技術保密系統(tǒng)與泛微OA8.0系統(tǒng)進行集成，加密文件上傳到OA系統(tǒng)中可實現(xiàn)自動解密，下載到本地時自動加密，方便文件的利用。科 技保密信息系統(tǒng)審批流程可跟OA系統(tǒng)審批流程集成，實現(xiàn)統(tǒng)一登錄 和流程。系統(tǒng)也可支持與開放移動平臺的無縫集成，如公眾號、企業(yè) 微信、釘釘?shù)取?其他（1）大文件支持系統(tǒng)管理端具有大文件操作端，可實現(xiàn)對2G以上文件的快速加解密 操作。（2）打印快照加密文件打印過程中會上傳打印文檔的信息（用戶名，文檔名，打印 時間，機器名等），同時提供了打印時用戶的屏幕信息，保證可以監(jiān) 控到打印文檔原始的情況。（3）監(jiān)控指定目錄對特殊項目組人員產(chǎn)生的涉密文件進行監(jiān)控，系統(tǒng)對需要監(jiān)控的文件 目

13、錄進行設置，對該目錄所包含的加密文件進行強制加密和操作痕跡 監(jiān)控。（4）模板管理通過技術保密信息系統(tǒng)提供的模板功能，指定目錄設置成同一類型分 組和權限文件，公司層面通過系統(tǒng)設置全局模板，滿足部門間的訪問 和隔離，用戶通過系統(tǒng)設置多個個人模板，實現(xiàn)項目組和日常辦公文 件快速加密和流轉。撰寫設計方案內(nèi)容.題目。題目是策劃書具體du目的的體現(xiàn)，因此zhi 一定要寫清楚， 比如dao要舉辦什么比賽、進行什么會議、開展什么活動等等。例如 寫演講比賽的策劃書，如果是電子版的則要設計一個好看的封面。.根據(jù)演講比賽的具體情況寫好策劃書的目錄。一般要寫上活動的名 稱、活動時間和地點、活動主題、活動對象、活動目的、活動內(nèi)容、 活動日程安排、各項工作負責人，最后是活動預算和預期能達到的效 果。.接下來寫具體內(nèi)容。首先寫清楚活動的名稱、活動時間和地點、活動主題、活動對象等比較簡單的內(nèi)容。.寫清楚活動的目的?；顒拥哪康囊话惴殖扇齻€方面，一是成功舉辦 一屆演講比賽;二是鍛煉同學們的演講能力，以便今后代表學校比賽; 三是營造學校良好的文化氛圍。.接下來把活動的內(nèi)容寫詳細。其中要包括比賽報名的方法（直接去院 系報名或短信報名），初賽和決賽的人選安排，評委嘉賓的人選等等。 還要寫上獎品的問題。.寫好日程安排。要把每一天的工作以表格的形式寫