电力规划设计院知识产权保护方案电力规划设计院知识产权保护方案1需求分析电力规划设计院一般是统一的网络,通过统一防火墙进行出口控制,因为内部存在通过internet跟外部网络进行设计图纸交换、资料查找的需求,所以目前除了能够对内部pop3和smtp服务器进行比较有效的控制外,其它网络交换途径如web和ftp服务基本无法管理,可能造成机密设计图纸的泄漏。另一方面,由于计算机终端外设端口数据交换的方法越来越方便,特别是移动存储设备(如u盘)等的广泛使用,使得设计图纸等机密文件的保密性更加难以控制。这些设计院重要材料的泄漏,对设计院的知识产权保护构成极大的威胁,需要从技术手段和管理手段进行提升,建立有效的设计院知识产权保护体系,维护和提高设计院的长期竞争力。归纳起来,电力设计院的需求有下述几点。1.开放网络的保密管理在电力规划设计院,因为工作人员需要上网进行资料查找,也需要跟其它外部网络进行设计图纸的交换,所以网络必须对外开放,否则将严重降低设计院的工作效率。但是,网络开放随之带来的问题就是信息的不可控制性,内部设计人员或者计算机上的木马可能把设计院的重要资料通过网络泄漏出去。所以,必须提供一种有效的解决方案,可以在开放的网络状态下,实现关键资料的知识产权保密。2.存储设备的保密管理存储设备是网络之外最主要的数据交换途径之一。目前,随着轻便的移动存储设备越来越普及,对数据保密的管理提出了更高的挑战。如何实现对移动存储设备和甚至本地硬盘的有效管理,防止重要资料的泄密是电力设计院安全系统的关注点之一。3.网络行为的审计监控为了加强对设计院内网的有效管理,提高应对内网安全风险的能力,还需要提供对主机的一些审计监控功能,主要包括:第1页共14页邮件监控、网页监控、ftp监控和文件操作监控等。4.图纸文件的交换安全设计院作为电力行业的设计单位,经常需要跟客户进行图纸或者其它文件的交换;在单位领导出差或者不在设计院的情况下,也需要通过网络将文件发给领导审批。所有上述的情况,文件都需要脱离内网,在非安全的数据载体或者链路上进行交换,为此,需要提供一种完善的解决方案,实现以下要求:。文件脱离时必须以加密状态保存;。文件只能由指定的接受者阅读,即便是发送者本身,在文件脱离内网安全环境下也无法阅读使用该文件。5.移动计算机的安全性设计院的工作人员经常要出差到客户现场,为了防止笔记本途中丢失,或者在客户现场并其它人偷阅材料,要求提供对计算机的安全管理手段:。非授权人员不能进入计算机操作系统;。员工离开计算机自动锁定;。计算机或者硬盘丢失不会造成数据泄密。6.安全系统的可扩展性由于安全的需求可能随着信息化程度的提高和业务的需要增加,所以本方案提供的安全系统必须具备可扩展性,主要考虑要点如下:。员工身份统一管理认证的需求,以及使用第三方数字证书的兼容性;。应用系统数字签名的可能性;。新应用的支持。2解决方案2.1设计原则1.安全系统应该统一规划,分步实施,实施各个阶段应该保持良好的衔接;2.安全系统与应用相关性应该尽可能低,支持应用系统的升级和新应用的扩展;3.安全系统的选型必须是基于现有的成熟产品和系统,具第2页共14页有可靠的稳定性;4.安全系统应用具有良好的可管理性和可维护性,有统一的管理中心,依据“分布式控制、集中式管理”管理的原则;5.安全系统必须具有良好的易用性和兼容性,不会改变业务系统的主要结构,也不会对业务系统的操作人员带来过多的习惯改变;6.安全系统应该符合国家制定的相关安全管理规范,取得相关资质。2.2总体方案根据上述原则和目前市场产品的情况,本方案基于中安源(chinasec)可信网络安全平台提出。根据需求分析,本方案分成重要数据保密、网络集中管理和移动计算机安全三个部分。重要数据保密主要基于chinasec可信数据管理系统(dms)实现,可以有效解决开放网络和存储设备的保密管理问题。网络集中管理主要基于chinasec可信网络监控系统实现(mgt),可以满足网络行为的审计监控问题。移动计算机安全主要基于chinasec可信网络认证系统(tis)实现。因为上述三个系统都是基于统一的chi...
