1.  電信行業(yè)數(shù)據(jù)信息泄漏風(fēng)險(xiǎn)概述

運(yùn)營(yíng)商信息系統(tǒng)體系形成了對(duì)企業(yè)管理、運(yùn)營(yíng)、維護(hù)等方面支撐的大量應(yīng)用系統(tǒng)，也產(chǎn)生了大量的結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)，這些數(shù)據(jù)是企業(yè)的重要資產(chǎn)之一，是現(xiàn)代企業(yè)的命脈，關(guān)乎企業(yè)的生存與發(fā)展。與此同時(shí)，各類數(shù)據(jù)信息在處理、共享和使用過(guò)程中也面臨數(shù)據(jù)信息被違規(guī)越權(quán)使用或數(shù)據(jù)信息被用于非法用途等數(shù)據(jù)信息泄漏的安全風(fēng)險(xiǎn)。一方面，應(yīng)用系統(tǒng)數(shù)據(jù)處理過(guò)程中涉及到的商業(yè)秘密需要保護(hù)；另一方面，運(yùn)營(yíng)過(guò)程中收集和使用的大量的用戶信息、用戶業(yè)務(wù)使用信息等個(gè)人隱私數(shù)據(jù)，以及數(shù)據(jù)統(tǒng)計(jì)分析所形成的各類報(bào)表作為企業(yè)重要的經(jīng)營(yíng)信息也需要保護(hù)。
針對(duì)商業(yè)秘密，國(guó)務(wù)院國(guó)有資產(chǎn)監(jiān)督管理委員會(huì)頒布了《中央企業(yè)商業(yè)秘密保護(hù)暫行規(guī)定》，國(guó)資委保密委員會(huì)頒布了《中央企業(yè)商業(yè)秘密信息系統(tǒng)安全技術(shù)指引》，對(duì)中央企業(yè)的商密秘密保護(hù)進(jìn)行規(guī)范和指導(dǎo)，確保中央企業(yè)正常經(jīng)營(yíng)利益不受侵害。針對(duì)用戶隱私數(shù)據(jù)，全國(guó)人大頒布了《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，工信部起草了《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定（征求意見(jiàn)稿）》面向社會(huì)公開征求意見(jiàn)。因此，加強(qiáng)企業(yè)數(shù)據(jù)信息安全保護(hù)，既是企業(yè)自身發(fā)展的客觀要求，也是國(guó)家法律法規(guī)的要求。
據(jù)權(quán)威機(jī)構(gòu)近幾年調(diào)查數(shù)據(jù)顯示，企業(yè)內(nèi)部用戶非授權(quán)的訪問(wèn)和濫用導(dǎo)致有意或無(wú)意的信息泄露所造成的損失持續(xù)居于企業(yè)信息安全風(fēng)險(xiǎn)的最前列。目前各IT系統(tǒng)的內(nèi)部用戶很容易就可以導(dǎo)出系統(tǒng)重要數(shù)據(jù)或者下載系統(tǒng)中的各種電子文檔，而且數(shù)據(jù)和電子文檔的流轉(zhuǎn)渠道多元化，內(nèi)部用戶可以很輕松地把系統(tǒng)內(nèi)的許多重要信息傳遞到網(wǎng)絡(luò)外部，但是根據(jù)管理規(guī)范這些重要的信息資料，不能輕易離開公司的網(wǎng)絡(luò)環(huán)境，甚至不能在公司網(wǎng)絡(luò)內(nèi)部隨意地傳遞與交流。

2.  電信行業(yè)數(shù)據(jù)信息泄露風(fēng)險(xiǎn)點(diǎn)分析

電信行業(yè)運(yùn)營(yíng)商在日常經(jīng)營(yíng)過(guò)程中，容易出現(xiàn)的信息泄露風(fēng)險(xiǎn)依據(jù)應(yīng)用系統(tǒng)用途主要分為兩大類：管理類應(yīng)用系統(tǒng)和業(yè)務(wù)支撐類應(yīng)用系統(tǒng)。管理類應(yīng)用系統(tǒng)以O(shè)A系統(tǒng)最為典型，也包括財(cái)務(wù)、合同管理、采購(gòu)、CRM等系統(tǒng)，業(yè)務(wù)支撐類應(yīng)用系統(tǒng)則包括計(jì)費(fèi)、經(jīng)營(yíng)分析、數(shù)據(jù)倉(cāng)庫(kù)等BOSS系統(tǒng)。針對(duì)不同用途的應(yīng)用系統(tǒng)，其數(shù)據(jù)信息泄露風(fēng)險(xiǎn)分別分析如下：

2.1  管理類應(yīng)用系統(tǒng)數(shù)據(jù)泄露風(fēng)險(xiǎn)

以O(shè)A系統(tǒng)為例，公文內(nèi)容通常包含企業(yè)戰(zhàn)略決策、市場(chǎng)營(yíng)銷策劃、財(cái)務(wù)報(bào)表、工程設(shè)計(jì)方案、重大會(huì)議紀(jì)要等內(nèi)容，均屬于商業(yè)秘密的范疇。在這些公文處理過(guò)程中出現(xiàn)的風(fēng)險(xiǎn)點(diǎn)主要有：
1）內(nèi)部人員的越權(quán)和違規(guī)操作，如：非法攜帶、非法發(fā)送、非法打��；
2）商業(yè)秘密公文明文存儲(chǔ)和流轉(zhuǎn)；
3）黑客/木馬的信息竊取；
4）商業(yè)秘密公文的可流轉(zhuǎn)渠道多，流轉(zhuǎn)不可控。
而OA系統(tǒng)的常見(jiàn)安全措施僅涉及到身份認(rèn)證、日志統(tǒng)計(jì)方面，對(duì)公文內(nèi)容缺乏保護(hù)能力，上述風(fēng)險(xiǎn)點(diǎn)都可能造成公文內(nèi)容的泄露，給企業(yè)經(jīng)營(yíng)造成損失。

2.2  業(yè)務(wù)支撐類應(yīng)用系統(tǒng)數(shù)據(jù)泄露風(fēng)險(xiǎn)

業(yè)務(wù)支撐類應(yīng)用系統(tǒng)的數(shù)據(jù)有客戶資料信息（個(gè)人客戶、企業(yè)客戶、渠道客戶）、計(jì)費(fèi)帳務(wù)數(shù)據(jù)（賬單、詳單）、統(tǒng)計(jì)分析數(shù)據(jù)（統(tǒng)計(jì)報(bào)表、經(jīng)營(yíng)分析報(bào)告）等內(nèi)容，均屬于敏感數(shù)據(jù)的范疇，也得到了運(yùn)營(yíng)商的重視，一般均采取了以下幾方面的保護(hù)措施：
1）應(yīng)用系統(tǒng)訪問(wèn)頁(yè)面中信息的混淆，如查詢出客戶個(gè)人信息中的姓名、住址、身份證號(hào)碼等信息，只顯示開頭和結(jié)尾的字符，中間字符采用***顯示的方式，有效避免了頁(yè)面中敏感內(nèi)容的泄露使用；
2）應(yīng)用系統(tǒng)運(yùn)維的訪問(wèn)控制，通常采用堡壘機(jī)的方式，對(duì)系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員進(jìn)行身份認(rèn)證、訪問(wèn)控制和操作行為審計(jì)，防止他們進(jìn)行違規(guī)越權(quán)的操作，惡意修改數(shù)據(jù)或超范圍獲取數(shù)據(jù)內(nèi)容。
但上述保護(hù)措施也存在不足，對(duì)敏感數(shù)據(jù)保護(hù)還存在欠缺：
1）應(yīng)用系統(tǒng)訪問(wèn)頁(yè)面中通常都具有數(shù)據(jù)導(dǎo)出功能，可將系統(tǒng)內(nèi)的數(shù)據(jù)形成數(shù)據(jù)文件保存到計(jì)算機(jī)本地，數(shù)據(jù)文件就可以被任意使用；
2）應(yīng)用系統(tǒng)數(shù)據(jù)庫(kù)的備份、數(shù)據(jù)導(dǎo)出都可以將系統(tǒng)內(nèi)的數(shù)據(jù)以文件形式保存到計(jì)算機(jī)本地，數(shù)據(jù)文件就可以被任意使用。
對(duì)業(yè)務(wù)支撐類應(yīng)用系統(tǒng)數(shù)據(jù)文件內(nèi)容缺乏保護(hù)，會(huì)造成敏感信息的泄露，給企業(yè)的生產(chǎn)經(jīng)營(yíng)造成重大損失。

2.3  泄露風(fēng)險(xiǎn)的應(yīng)對(duì)措施

通過(guò)上述分析，可見(jiàn)數(shù)據(jù)文件存在的主要問(wèn)題有：
1）文件以明文方式存儲(chǔ)，任何人員只要得到文件即可輕易打開讀取或復(fù)制內(nèi)容；
2）文件與當(dāng)前人員無(wú)任何關(guān)聯(lián)，可以任意發(fā)送給內(nèi)部或外部人員，文件的分發(fā)和流向不可控；
3）文件的使用環(huán)境以及編輯、復(fù)制、打印等使用操作上無(wú)任何限制，無(wú)任何使用記錄，無(wú)法審計(jì)。
其應(yīng)對(duì)措施主要有：
1）數(shù)據(jù)文件明文存儲(chǔ)、內(nèi)外部人員的信息竊�。和ㄟ^(guò)對(duì)數(shù)據(jù)文件進(jìn)行加密，形成密文文件；
2）內(nèi)部人員的越權(quán)和違規(guī)操作：使用安全的身份認(rèn)證方式，對(duì)文檔操作進(jìn)行細(xì)粒度授權(quán)和管控，對(duì)文檔的授權(quán)和使用進(jìn)行詳細(xì)審計(jì)；
3）數(shù)據(jù)文件的流轉(zhuǎn)渠道不可控：對(duì)文檔在內(nèi)部的分發(fā)授權(quán)進(jìn)行控制，對(duì)文檔向外部發(fā)送的權(quán)限進(jìn)行控制，云桌面/虛擬化移動(dòng)辦公控制文檔不落終端；
4）導(dǎo)出數(shù)據(jù)文件的使用和處理：數(shù)據(jù)文檔加密保護(hù)，數(shù)據(jù)文檔權(quán)限控制、使用審計(jì)，數(shù)據(jù)文檔安全交換、安全處理。

3.  解決方案

3.1  管理類應(yīng)用數(shù)據(jù)保護(hù)

管理類應(yīng)用系統(tǒng)以O(shè)A系統(tǒng)使用最為廣泛，應(yīng)用最為典型，下面將以O(shè)A系統(tǒng)為例，說(shuō)明數(shù)據(jù)保護(hù)的方案，其他管理類應(yīng)用系統(tǒng)均適用。
OA系統(tǒng)是各類公文的流轉(zhuǎn)平臺(tái)，其中涉及一般商密、核心商密的公文在流轉(zhuǎn)過(guò)程中亟需加密保護(hù)，一旦OA內(nèi)部重要的文檔被非法帶出公司，或在電腦中被病毒、木馬等盜取，文檔的內(nèi)容就將泄露，給公司造成重大損失。因此，需要對(duì)相關(guān)人員的公文操作權(quán)限進(jìn)行控制和操作審計(jì)，以防止有意無(wú)意的泄密。
通過(guò)OA文檔安全系統(tǒng)的建設(shè)，可實(shí)現(xiàn)對(duì)OA系統(tǒng)中重要公文的加密保護(hù)，實(shí)現(xiàn)重要公文在OA系統(tǒng)流轉(zhuǎn)過(guò)程中的授權(quán)，以及對(duì)重要公文使用權(quán)限的有效控制和審計(jì)，在內(nèi)部辦公網(wǎng)中逐步形成“事前加密保護(hù)、事中授權(quán)控制、事后跟蹤審計(jì)”的涉密公文和重要信息文件的安全保護(hù)體系。

用戶信息同步

文檔安全系統(tǒng)可通過(guò)Web Service接口或LDAP接口從OA系統(tǒng)、企業(yè)目錄或統(tǒng)一用戶管理系統(tǒng)中同步用戶信息和組織機(jī)構(gòu)信息，用戶無(wú)需記憶新的帳號(hào)，直接使用現(xiàn)有帳號(hào)信息。

系統(tǒng)用戶登錄認(rèn)證信息強(qiáng)制檢測(cè)

用戶訪問(wèn)OA系統(tǒng)時(shí)，強(qiáng)制檢測(cè)是否已安裝并登錄了文檔安全客戶端，如未安裝或未登錄則不允許訪問(wèn)系統(tǒng)；同時(shí)，檢測(cè)登錄用戶和登錄主機(jī)信息的一致性，如果不一致，則也不允許訪問(wèn)系統(tǒng)，從而增強(qiáng)系統(tǒng)安全認(rèn)證和訪問(wèn)控制。
（一）文檔安全客戶端登錄及主機(jī)信息的獲取
用戶主動(dòng)登錄文檔安全客戶端或者通過(guò)OA系統(tǒng)單點(diǎn)登錄文檔安全客戶端成功后，文檔安全客戶端搜集用戶主機(jī)信息，包括：客戶端主機(jī)當(dāng)前生效網(wǎng)卡的IP地址、MAC地址、主機(jī)名稱、文檔安全客戶端的版本及當(dāng)前用戶名和用戶登錄時(shí)間，提交至文檔安全服務(wù)系統(tǒng)存儲(chǔ)，用戶狀態(tài)標(biāo)記為已登錄。當(dāng)用戶注銷文檔安全客戶端時(shí)，用戶狀態(tài)將更新為未登錄。
（二）OA系統(tǒng)登錄認(rèn)證信息的強(qiáng)制檢測(cè)
1)         用戶通過(guò)Web瀏覽器登錄/單點(diǎn)登錄訪問(wèn)OA系統(tǒng)；
2)         系統(tǒng)通過(guò)JavaScript腳本調(diào)用文檔安全客戶端的COM組件接口，檢測(cè)文檔安全客戶端是否已登錄；
如果文檔安全客戶端未安裝，則捕獲錯(cuò)誤信息，提示用戶“必須先安裝文檔安全客戶端才能登錄系統(tǒng)”，并停止登錄/單點(diǎn)登錄信息的提交；
如果COM組件接口返回值表明客戶端未登錄，則提示用戶“必須先登錄文檔安全客戶端才能登錄系統(tǒng)”，并停止登錄/單點(diǎn)登錄信息的提交；
如果COM組件接口返回值表明客戶端已登錄，則通過(guò)COM組件接口獲取主機(jī)的IP和MAC地址，并隨登錄/單點(diǎn)登錄信息一起提交至OA系統(tǒng)服務(wù)端；
3)         OA系統(tǒng)收到信息后，驗(yàn)證登錄的用戶名/密碼或單點(diǎn)登錄信息是否正確，如果不正確則拒絕登錄/單點(diǎn)登錄系統(tǒng)；
4)         如果登錄/單點(diǎn)登錄信息驗(yàn)證正確，則調(diào)用文檔安全系統(tǒng)服務(wù)端的Java服務(wù)接口，校驗(yàn)客戶端提交的當(dāng)前用戶主機(jī)的IP和MAC地址與文檔安全服務(wù)系統(tǒng)中記錄的當(dāng)前用戶最新登錄的主機(jī)IP和MAC地址以及登錄狀態(tài)是否一致；如果不一致，則拒絕登錄系統(tǒng)，否則登錄成功。
（三）通過(guò)VPN訪問(wèn)業(yè)務(wù)系統(tǒng)時(shí)的方案適應(yīng)性
在通過(guò)VPN訪問(wèn)OA系統(tǒng)時(shí)，OA系統(tǒng)服務(wù)器通過(guò)request.getRemoteAddr()方法獲取的所有客戶端訪問(wèn)IP地址均為VPN服務(wù)器IP地址，無(wú)法獲得客戶端真實(shí)IP地址，因而登錄信息的一致性檢測(cè)不能采用服務(wù)端直接獲取IP地址進(jìn)行比對(duì)的方案。
本方案采用文檔安全客戶端獲取準(zhǔn)確的主機(jī)IP地址和MAC地址，并提交至服務(wù)端進(jìn)行業(yè)務(wù)系統(tǒng)登錄用戶和登錄主機(jī)信息的記錄和比對(duì)校驗(yàn)，不受網(wǎng)絡(luò)、應(yīng)用部署和訪問(wèn)方式的影響，同時(shí)便于準(zhǔn)確追查。

OA系統(tǒng)文檔安全集成

OA系統(tǒng)與文檔安全系統(tǒng)集成，主要包括：組織機(jī)構(gòu)/用戶信息的同步、單點(diǎn)登錄、文檔的自動(dòng)加密和自動(dòng)授權(quán)。通過(guò)集成將安全隱藏在OA公文流程之中，不改變用戶使用習(xí)慣，兼顧安全性與易用性。

圖1: OA系統(tǒng)文檔安全集成功能流程示意圖
（一）客戶端認(rèn)證和單點(diǎn)登錄
文檔安全系統(tǒng)與OA系統(tǒng)通過(guò)接口實(shí)現(xiàn)組織機(jī)構(gòu)和用戶的同步。當(dāng)用戶登錄訪問(wèn)OA系統(tǒng)時(shí)，調(diào)用文檔安全控件的單點(diǎn)登錄接口實(shí)現(xiàn)文檔安全客戶端的自動(dòng)登錄，用戶無(wú)需進(jìn)行二次認(rèn)證。
（二）發(fā)文/收文過(guò)程中的密級(jí)文檔加密
在發(fā)文擬稿或收文登記時(shí)，OA系統(tǒng)調(diào)用文檔安全控件的加密接口，自動(dòng)對(duì)公文正文和上傳的附件進(jìn)行加密。
公文一旦加密，在流轉(zhuǎn)的各個(gè)環(huán)節(jié)，無(wú)論是閱讀還是再次編輯，均保持加密狀態(tài)，用戶對(duì)公文的使用操作方式不變。
（三）發(fā)文/收文過(guò)程中的密級(jí)文檔授權(quán)
在發(fā)文擬稿、審批、核稿、成文以及收文閱辦等階段， OA系統(tǒng)調(diào)用文檔安全系統(tǒng)授權(quán)接口，自動(dòng)對(duì)公文下一處理環(huán)節(jié)所涉及的用戶、用戶組、組織機(jī)構(gòu)進(jìn)行授權(quán)。
在發(fā)文擬稿、審批、核稿、成文階段，對(duì)于公文正文，自動(dòng)對(duì)下一節(jié)點(diǎn)的接收用戶授予閱讀、編輯、復(fù)制、水印打印權(quán)限；對(duì)于公文附件，自動(dòng)對(duì)下一節(jié)點(diǎn)的接收用戶授予閱讀、水印打印權(quán)限。
在成文后或收文閱辦階段，對(duì)于公文正文和附件，自動(dòng)對(duì)下一節(jié)點(diǎn)的接收用戶授予閱讀權(quán)限。

圖2: 在OA流程各節(jié)點(diǎn)中配置相應(yīng)權(quán)限示例

各級(jí)文檔管理員可以在SecureDOC文檔安全保護(hù)系統(tǒng)的管理系統(tǒng)（SDMS）中隨時(shí)追加或撤銷用戶對(duì)公文的操作權(quán)限，而無(wú)需回收公文。

對(duì)VPN遠(yuǎn)程辦公的支持

電信省公司使用VPN實(shí)現(xiàn)遠(yuǎn)程辦公，通過(guò)在VPN服務(wù)器上配置接入文檔安全服務(wù)器，實(shí)現(xiàn)員工在企業(yè)辦公環(huán)境之外，通過(guò)VPN接入企業(yè)辦公環(huán)境，對(duì)加密文檔進(jìn)行受控使用操作。

對(duì)手機(jī)/平板電腦移動(dòng)辦公的支持

為支持手機(jī)/平板電腦對(duì)OA加密公文的閱讀，在移動(dòng)辦公服務(wù)器上調(diào)用文檔安全解密接口，當(dāng)手機(jī)/平板電腦查看密級(jí)公文時(shí)，自動(dòng)解密公文推送至移動(dòng)終端并打開，當(dāng)文檔關(guān)閉時(shí)，自動(dòng)刪除移動(dòng)終端上的解密文檔，不在移動(dòng)終端上存儲(chǔ)。

對(duì)OA公文互通的支持

通過(guò)公文互通接收集團(tuán)總部向省公司下發(fā)的公文時(shí)，OA系統(tǒng)自動(dòng)調(diào)用文檔安全系統(tǒng)加密和授權(quán)接口，實(shí)現(xiàn)集團(tuán)來(lái)文的自動(dòng)加密和流轉(zhuǎn)的自動(dòng)授權(quán)，從而實(shí)現(xiàn)對(duì)集團(tuán)下發(fā)公文在省公司OA系統(tǒng)流轉(zhuǎn)各環(huán)節(jié)的保護(hù)。

用戶本機(jī)重要文檔的保護(hù)（可選）

文檔安全客戶端提供右鍵菜單，為用戶本機(jī)的重要文檔提供加密保護(hù)，加密后的文檔，用戶自己（作者）擁有所有權(quán)限，自己的操作不受任何限制。當(dāng)用戶將本機(jī)加密的文檔發(fā)送給企業(yè)內(nèi)其他人員時(shí)，需要通過(guò)右鍵菜單對(duì)接收人予以授權(quán)，文檔的發(fā)送渠道不受限制。

1.1  業(yè)務(wù)支撐類應(yīng)用數(shù)據(jù)保護(hù)

用戶信息同步與轉(zhuǎn)換

文檔安全系統(tǒng)可通過(guò)Web Service接口或LDAP接口從OA系統(tǒng)、企業(yè)目錄或統(tǒng)一用戶管理系統(tǒng)中同步用戶信息和組織機(jī)構(gòu)信息，用戶無(wú)需記憶新的帳號(hào)，直接使用現(xiàn)有帳號(hào)信息。
業(yè)務(wù)支撐類應(yīng)用如果具有獨(dú)立的用戶登錄信息，建議與統(tǒng)一用戶管理系統(tǒng)或企業(yè)目錄中存儲(chǔ)的用戶信息建立映射關(guān)系，當(dāng)調(diào)用文檔安全系統(tǒng)集成接口時(shí)，可以通過(guò)該映射關(guān)系完成用戶身份信息的轉(zhuǎn)換，得到與文檔安全系統(tǒng)一致的用戶名。

系統(tǒng)用戶登錄認(rèn)證信息強(qiáng)制檢測(cè)

用戶訪問(wèn)業(yè)務(wù)支撐類應(yīng)用時(shí)，強(qiáng)制檢測(cè)是否已安裝并登錄了文檔安全客戶端，如未安裝或未登錄則不允許訪問(wèn)系統(tǒng)；同時(shí)，檢測(cè)登錄用戶和登錄主機(jī)信息的一致性，如果不一致，則也不允許訪問(wèn)系統(tǒng)，從而增強(qiáng)系統(tǒng)安全認(rèn)證和訪問(wèn)控制。
（一）文檔安全客戶端登錄及主機(jī)信息的獲取
用戶主動(dòng)登錄文檔安全客戶端或者通過(guò)業(yè)務(wù)支撐類應(yīng)用單點(diǎn)登錄文檔安全客戶端成功后，文檔安全客戶端搜集用戶主機(jī)信息，包括：客戶端主機(jī)當(dāng)前生效網(wǎng)卡的IP地址、MAC地址、主機(jī)名稱、文檔安全客戶端的版本及當(dāng)前用戶名和用戶登錄時(shí)間，提交至文檔安全服務(wù)系統(tǒng)存儲(chǔ)，用戶狀態(tài)標(biāo)記為已登錄。當(dāng)用戶注銷文檔安全客戶端時(shí)，用戶狀態(tài)將更新為未登錄。
（二）業(yè)務(wù)支撐類應(yīng)用登錄認(rèn)證信息的強(qiáng)制檢測(cè)
1)         用戶通過(guò)Web瀏覽器登錄/單點(diǎn)登錄訪問(wèn)業(yè)務(wù)支撐類應(yīng)用；
2)         系統(tǒng)通過(guò)JavaScript腳本調(diào)用文檔安全客戶端的COM組件接口，檢測(cè)文檔安全客戶端是否已登錄；
如果文檔安全客戶端未安裝，則捕獲錯(cuò)誤信息，提示用戶“必須先安裝文檔安全客戶端才能登錄系統(tǒng)”，并停止登錄/單點(diǎn)登錄信息的提交；
如果COM組件接口返回值表明客戶端未登錄，則提示用戶“必須先登錄文檔安全客戶端才能登錄系統(tǒng)”，并停止登錄/單點(diǎn)登錄信息的提交；
如果COM組件接口返回值表明客戶端已登錄，則通過(guò)COM組件接口獲取主機(jī)的IP和MAC地址，并隨登錄/單點(diǎn)登錄信息一起提交至業(yè)務(wù)系統(tǒng)服務(wù)端；
3)         業(yè)務(wù)系統(tǒng)收到信息后，驗(yàn)證登錄的用戶名/密碼或單點(diǎn)登錄信息是否正確，如果不正確則拒絕登錄/單點(diǎn)登錄系統(tǒng)；
4)         如果登錄/單點(diǎn)登錄信息驗(yàn)證正確，則調(diào)用文檔安全系統(tǒng)服務(wù)端的Java服務(wù)接口，校驗(yàn)客戶端提交的當(dāng)前用戶主機(jī)的IP和MAC地址與文檔安全服務(wù)系統(tǒng)中記錄的當(dāng)前用戶最新登錄的主機(jī)IP和MAC地址以及登錄狀態(tài)是否一致；如果不一致，則拒絕登錄系統(tǒng)，否則登錄成功。
（三）通過(guò)VPN訪問(wèn)業(yè)務(wù)系統(tǒng)時(shí)的方案適應(yīng)性
在通過(guò)VPN訪問(wèn)業(yè)務(wù)系統(tǒng)時(shí)，業(yè)務(wù)系統(tǒng)服務(wù)器通過(guò)request.getRemoteAddr()方法獲取的所有客戶端訪問(wèn)IP地址均為VPN服務(wù)器IP地址，無(wú)法獲得客戶端真實(shí)IP地址，因而登錄信息的一致性檢測(cè)不能采用服務(wù)端直接獲取IP地址進(jìn)行比對(duì)的方案。
本方案采用文檔安全客戶端獲取準(zhǔn)確的主機(jī)IP地址和MAC地址，并提交至服務(wù)端進(jìn)行業(yè)務(wù)系統(tǒng)登錄用戶和登錄主機(jī)信息的記錄和比對(duì)校驗(yàn)，不受網(wǎng)絡(luò)、應(yīng)用部署和訪問(wèn)方式的影響，同時(shí)便于準(zhǔn)確追查。

系統(tǒng)前臺(tái)導(dǎo)出數(shù)據(jù)文件的加密和授權(quán)保護(hù)

業(yè)務(wù)支撐類應(yīng)用前臺(tái)業(yè)務(wù)人員可通過(guò)Web頁(yè)面查詢數(shù)據(jù)并導(dǎo)出為文件進(jìn)行下載。文檔安全系統(tǒng)在服務(wù)端為業(yè)務(wù)支撐類應(yīng)用提供文檔的發(fā)布、加密、授權(quán)等Java服務(wù)接口，實(shí)現(xiàn)對(duì)導(dǎo)出文件的加密和對(duì)當(dāng)前用戶的文檔授權(quán)，不依賴于文檔安全客戶端。即使終端主機(jī)上未安裝文檔安全客戶端或文檔安全客戶端未登錄，導(dǎo)出下載的數(shù)據(jù)文件仍為加密文件。


圖3: 業(yè)務(wù)支撐類應(yīng)用前臺(tái)數(shù)據(jù)文件加密下載和使用控制功能流程示意

系統(tǒng)前臺(tái)導(dǎo)出數(shù)據(jù)文件的加密和授權(quán)處理過(guò)程如下：
（1）業(yè)務(wù)支撐類應(yīng)用前臺(tái)業(yè)務(wù)人員，通過(guò)Web頁(yè)面查詢系統(tǒng)數(shù)據(jù)或進(jìn)行數(shù)據(jù)分析之后，點(diǎn)擊頁(yè)面上的導(dǎo)出/下載相關(guān)功能按鈕；
（2）系統(tǒng)服務(wù)端根據(jù)請(qǐng)求，將數(shù)據(jù)生成為文件（如：Excel、CSV文件）；
（3）系統(tǒng)在服務(wù)端調(diào)用文檔安全系統(tǒng)Java服務(wù)接口，實(shí)現(xiàn)數(shù)據(jù)文件信息的發(fā)布和文件內(nèi)容加密，并調(diào)用文檔安全系統(tǒng)Java服務(wù)接口對(duì)當(dāng)前用戶進(jìn)行授權(quán)，默認(rèn)只授予閱讀權(quán)限；對(duì)于個(gè)別需要處理的數(shù)據(jù)文件，可授予閱讀和編輯權(quán)限；對(duì)于需要發(fā)送給其他人員的數(shù)據(jù)文件，可授予閱讀和分發(fā)權(quán)限；
（4）加密后的數(shù)據(jù)文件返回給客戶端進(jìn)行下載保存。

系統(tǒng)后臺(tái)導(dǎo)出數(shù)據(jù)文件的加密和授權(quán)保護(hù)

ODS系統(tǒng)后臺(tái)管理維護(hù)人員可以根據(jù)省市相關(guān)部門提交的數(shù)據(jù)導(dǎo)出申請(qǐng)和審批結(jié)果，通過(guò)數(shù)據(jù)庫(kù)客戶端工具（如：PLSQL或SQL Plus）直接連接系統(tǒng)數(shù)據(jù)庫(kù)，進(jìn)行數(shù)據(jù)查詢并導(dǎo)出為文件（如：Excel、CSV、TXT），然后再發(fā)送給相關(guān)申請(qǐng)人員進(jìn)行處理。
由于部分維護(hù)人員可能是外部代維人員，因此需要在文檔安全系統(tǒng)中為這部分人員建立帳號(hào)。
（一）無(wú)堡壘主機(jī)情況下的保護(hù)方案（改成云桌面加文件中轉(zhuǎn)站方式）
需要結(jié)合制度規(guī)定，要求管理維護(hù)人員對(duì)數(shù)據(jù)庫(kù)客戶端工具導(dǎo)出的數(shù)據(jù)文件進(jìn)行手工加密和授權(quán)工作：
（1）管理維護(hù)人員在數(shù)據(jù)庫(kù)客戶端工具導(dǎo)出的數(shù)據(jù)文件上，點(diǎn)擊右鍵，從彈出的右鍵菜單中選擇“加密”，完成對(duì)數(shù)據(jù)文件的手工加密操作；
（2）管理維護(hù)人員在加密后的數(shù)據(jù)文件上，點(diǎn)擊右鍵，從彈出的右鍵菜單中選擇“授權(quán)”，并在彈出的授權(quán)界面中的企業(yè)組織機(jī)構(gòu)/用戶目錄樹中選擇相應(yīng)的接收人員，設(shè)置具體的操作權(quán)限；
對(duì)于接收到數(shù)據(jù)文件后，需要將數(shù)據(jù)導(dǎo)入數(shù)據(jù)庫(kù)進(jìn)行分析的情況，在授權(quán)時(shí)，可對(duì)接收人員授予閱讀和解密權(quán)限，并綁定主機(jī)信息；接收人員只有在綁定的主機(jī)上登錄文檔安全客戶端，才能解密數(shù)據(jù)文件，導(dǎo)入數(shù)據(jù)庫(kù)，同時(shí)文檔安全系統(tǒng)將記錄操作日志。
（二）有堡壘主機(jī)情況下的保護(hù)方案
通過(guò)堡壘主機(jī)防護(hù)，限定管理維護(hù)人員只有在堡壘主機(jī)上才能通過(guò)數(shù)據(jù)庫(kù)客戶端工具對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行導(dǎo)出操作，限定地市業(yè)務(wù)人員只有在堡壘主機(jī)上才能將數(shù)據(jù)導(dǎo)入到地市數(shù)據(jù)分析數(shù)據(jù)庫(kù)中并進(jìn)行相關(guān)分析工作。
對(duì)于地市申請(qǐng)導(dǎo)出的數(shù)據(jù)，管理維護(hù)人員在堡壘機(jī)上導(dǎo)出后，通過(guò)文檔安全系統(tǒng)，將數(shù)據(jù)文件加密上傳至文檔安全系統(tǒng)文檔中轉(zhuǎn)站，并由管理維護(hù)人員對(duì)地市業(yè)務(wù)人員進(jìn)行授權(quán)，通過(guò)文檔安全系統(tǒng)高級(jí)權(quán)限設(shè)置中的IP/MAC/機(jī)器碼綁定功能，實(shí)現(xiàn)地市業(yè)務(wù)人員只能在指定的堡壘主機(jī)上進(jìn)行數(shù)據(jù)文件解密和導(dǎo)入地市數(shù)據(jù)分析數(shù)據(jù)庫(kù)的操作。


圖4: 基于堡壘主機(jī)的系統(tǒng)后臺(tái)導(dǎo)出數(shù)據(jù)文件保護(hù)功能流程示意

系統(tǒng)后臺(tái)導(dǎo)出數(shù)據(jù)文件的加密和授權(quán)處理過(guò)程如下：
（1）管理維護(hù)人員登錄堡壘主機(jī)；
（2）管理維護(hù)人員在堡壘主機(jī)上，通過(guò)數(shù)據(jù)庫(kù)客戶端工具查詢系統(tǒng)數(shù)據(jù)庫(kù)導(dǎo)出數(shù)據(jù)文件；
（3）管理維護(hù)人員通過(guò)文檔安全系統(tǒng)客戶端的文檔中轉(zhuǎn)站功能，選擇導(dǎo)出的數(shù)據(jù)文件，將自動(dòng)加密上傳至文檔中轉(zhuǎn)站；
管理維護(hù)人員從企業(yè)組織機(jī)構(gòu)/用戶目錄樹中選擇地市業(yè)務(wù)人員進(jìn)行文檔授權(quán)，授予閱讀和解密權(quán)限，并在高級(jí)權(quán)限設(shè)置中綁定地市業(yè)務(wù)人員可登錄使用的堡壘機(jī)的IP/MAC/機(jī)器碼（也可通過(guò)在文檔安全系統(tǒng)服務(wù)端設(shè)置，完成自動(dòng)綁定）
（4）地市業(yè)務(wù)人員登錄相關(guān)的堡壘主機(jī)；
（5）地市業(yè)務(wù)人員在堡壘主機(jī)上，登錄文檔安全系統(tǒng)，從文檔中轉(zhuǎn)站中下載接收到的數(shù)據(jù)文件（由于綁定了堡壘主機(jī)信息，如果在其他主機(jī)上下載該數(shù)據(jù)文件，則無(wú)法打開）；
（6）地市業(yè)務(wù)人員在堡壘主機(jī)上，解密數(shù)據(jù)文件（文檔安全客戶端校驗(yàn)綁定信息和權(quán)限并記錄日志），導(dǎo)入地市數(shù)據(jù)分析數(shù)據(jù)庫(kù)并進(jìn)行分析。

1.  建設(shè)效果

通過(guò)電子文檔安全系統(tǒng)的建設(shè)，以及與MBOSS相關(guān)應(yīng)用系統(tǒng)的集成，實(shí)現(xiàn)對(duì)含有商業(yè)秘密的流轉(zhuǎn)公文與系統(tǒng)生成的敏感數(shù)據(jù)文件的加密保護(hù)、權(quán)限控制和使用審計(jì)，防止敏感數(shù)據(jù)文件的非授權(quán)訪問(wèn)和違規(guī)使用，有效保各類用戶信息和企業(yè)重要經(jīng)營(yíng)信息的安全。
具體目標(biāo)主要包括：
（1）實(shí)現(xiàn)與省公司OA系統(tǒng)的無(wú)縫集成，對(duì)于OA系統(tǒng)中的所有公文進(jìn)行自動(dòng)加密、自動(dòng)授權(quán)；
（2）實(shí)現(xiàn)OA公文在流轉(zhuǎn)過(guò)程中以及本地操作過(guò)程中的全程受控操作和日志審計(jì)；
（3）增強(qiáng)EDA域相關(guān)系統(tǒng)登錄和訪問(wèn)控制機(jī)制，不安裝文檔安全客戶端則不允許登錄訪問(wèn)業(yè)務(wù)支撐類應(yīng)用，并檢查登錄人員及客戶端主機(jī)信息的一致性；
（4）對(duì)前臺(tái)人員導(dǎo)出的數(shù)據(jù)文件自動(dòng)進(jìn)行加密和授權(quán)處理，控制當(dāng)前人員對(duì)數(shù)據(jù)文件的閱讀、編輯、復(fù)制、打印、截屏等操作權(quán)限并記錄日志；
（5）前臺(tái)人員將下載的加密數(shù)據(jù)文件帶至企業(yè)外部，或者直接發(fā)送給任何內(nèi)部或外部人員，均無(wú)法打開閱讀，必須經(jīng)過(guò)許可授權(quán)；
（6）后臺(tái)人員根據(jù)申請(qǐng)審批結(jié)果導(dǎo)出的數(shù)據(jù)文件，由后臺(tái)人員按要求進(jìn)行加密，并授權(quán)給相關(guān)接收人員，接收人員只能在許可范圍內(nèi)受控操作數(shù)據(jù)文件，如需解密需經(jīng)許可授權(quán)。
（7）實(shí)現(xiàn)“事前加密保護(hù)、事中授權(quán)控制、事后跟蹤審計(jì)”的文檔安全體系；
（8）既保證內(nèi)部合法用戶對(duì)重要文檔的合理使用，又控制文檔的傳播范圍和使用權(quán)限，防范企業(yè)內(nèi)部和外部的各種泄密風(fēng)險(xiǎn)；

4.1加密文件的使用控制和審計(jì)

文檔的透明加解密


圖5: 文檔透明加解密和操作權(quán)限控制

文檔安全客戶端對(duì)文檔采用驅(qū)動(dòng)級(jí)透明加解密：
（1）加密后的文檔，文檔擴(kuò)展名不變、文檔圖標(biāo)不變（只在原圖標(biāo)右下角自動(dòng)加上“鎖”圖標(biāo)，以方便用戶區(qū)別明文文檔和密文文檔）、文檔的關(guān)聯(lián)程序不變、用戶對(duì)文檔的操作方式不變；
（2）加密后的文檔，有權(quán)限的用戶在打開時(shí)自動(dòng)在內(nèi)存中解密，不在磁盤上產(chǎn)生明文文檔；用戶再次編輯保存時(shí)，文檔自動(dòng)加密；
支持Office系列、WPS系列、Acrobat、福昕、記事本、寫字板等常見(jiàn)軟件的文檔格式。

文檔權(quán)限的細(xì)粒度控制

SecureDOC企業(yè)文檔安全保護(hù)系統(tǒng)以文檔加密為基礎(chǔ)，實(shí)現(xiàn)文檔操作權(quán)限的細(xì)粒度控制。加密文檔和權(quán)限分離，在操作加密文檔時(shí)，首先需要通過(guò)身份認(rèn)證，然后根據(jù)當(dāng)前用戶身份從文檔安全服務(wù)器獲取當(dāng)前用戶對(duì)該文檔的操作權(quán)限。因此，加密的文檔在未被授權(quán)或未經(jīng)許可脫離企業(yè)辦公環(huán)境時(shí)將無(wú)法使用。
SecureDOC企業(yè)文檔安全保護(hù)系統(tǒng)客戶端在用戶終端的操作系統(tǒng)層面控制文檔的操作權(quán)限，不依賴于具體的應(yīng)用軟件。對(duì)文檔操作權(quán)限的具體控制如下：
閱讀——控制文檔是否可以打開閱讀
編輯——控制文檔內(nèi)容是否可以被編輯保存
復(fù)制——控制系統(tǒng)剪貼板，防止文檔內(nèi)容通過(guò)剪貼板復(fù)制/剪切
打印——控制文檔是否可以打印，包括虛擬打印
水印打印——控制文檔打印時(shí)自動(dòng)加入水印信息
截屏——對(duì)常用的截屏軟件和屏幕錄像軟件進(jìn)行控制
分發(fā)——控制對(duì)文檔是否可以再授權(quán)，從而控制文檔的傳播范圍
離線——控制文檔是否可以脫離指定的企業(yè)辦公環(huán)境使用
外發(fā)——控制文檔是否可以發(fā)送到企業(yè)外部機(jī)構(gòu)、客戶、合作伙伴
解密——控制文檔是否可以被解密為明文
 
文檔閱讀權(quán)限控制
用戶未安裝文檔安全客戶端時(shí)，無(wú)法打開加密文檔或打開只能看到亂碼。
用戶安裝了文檔安全客戶端并登錄，但對(duì)文檔無(wú)權(quán)限，雙擊文檔時(shí)提示“您沒(méi)有該文檔的閱讀權(quán)限”，拒絕打開文檔或打開只能看到亂碼。
 
文檔編輯權(quán)限控制
通過(guò)客戶端文件過(guò)濾驅(qū)動(dòng)實(shí)現(xiàn)對(duì)文檔寫權(quán)限的控制，當(dāng)用戶有編輯權(quán)限時(shí)，可以對(duì)文件進(jìn)行編輯，編輯后可以保存或者另存，同時(shí)客戶端文件過(guò)濾驅(qū)動(dòng)對(duì)保存或另存的文檔實(shí)現(xiàn)自動(dòng)加密。
當(dāng)用戶沒(méi)有編輯權(quán)限時(shí)，即使對(duì)文件進(jìn)行了修改操作，通過(guò)客戶端文件過(guò)濾驅(qū)動(dòng)也將禁止保存和另存。
 
文檔復(fù)制權(quán)限控制
對(duì)文檔復(fù)制權(quán)限的控制方式有兩種：一種是如果沒(méi)有權(quán)限，則完全禁用復(fù)制功能，系統(tǒng)剪貼板中將無(wú)任何內(nèi)容；另一種則允許在受控進(jìn)程之間復(fù)制內(nèi)容。
 
文檔打印權(quán)限控制
用戶對(duì)文檔無(wú)打印權(quán)限時(shí)，將禁止對(duì)文檔的打印和虛擬打印操作；
用戶對(duì)文檔有打印權(quán)限時(shí)，也可以在打印時(shí)根據(jù)當(dāng)前用戶信息強(qiáng)制加入水印信息（比如，公司名稱、當(dāng)前用戶、打印時(shí)間等）。
 
文檔截屏權(quán)限控制
實(shí)現(xiàn)對(duì)鍵盤截屏的阻止，同時(shí)阻止常用截屏軟件（如：QQ等）、屏幕錄像軟件（如：紅蜻蜓、屏幕錄像專家等）對(duì)加密文檔的截屏操作，保護(hù)文檔內(nèi)容。
 
文檔離線權(quán)限的控制
用戶如果擁有離線權(quán)限，在無(wú)法連接網(wǎng)絡(luò)或無(wú)法連接企業(yè)辦公環(huán)境時(shí)，可以在離線策略許可的權(quán)限范圍內(nèi)，操作加密文檔。
文檔客戶端定時(shí)從服務(wù)器自動(dòng)同步離線策略到用戶本機(jī)并加密存儲(chǔ)；用戶也可以向文檔管理員申請(qǐng)?jiān)诠芾硐到y(tǒng)中導(dǎo)出自己的離線策略，并在文檔安全客戶端中導(dǎo)入離線策略。
 
文檔外發(fā)權(quán)限控制
用戶如果擁有外發(fā)權(quán)限，可以將相應(yīng)的加密文檔發(fā)送給企業(yè)外部機(jī)構(gòu)、客戶、合作伙伴，但需要通過(guò)文檔安全客戶端制作文檔外發(fā)包。
制作文檔外發(fā)包時(shí)，可以設(shè)定密碼，可以設(shè)定閱讀的時(shí)間段和次數(shù)，以及其它操作權(quán)限。
文檔外發(fā)包為雙擊自解壓文檔，接收方無(wú)需手工安裝任何客戶端，即可受控操作文檔。

文檔權(quán)限的高級(jí)策略設(shè)置

SecureDOC企業(yè)文檔安全保護(hù)系統(tǒng)對(duì)合法用戶的文檔操作權(quán)限可以設(shè)置高級(jí)策略進(jìn)一步進(jìn)行限定，具體策略如下：
使用期限——控制文檔只能在有效起止時(shí)間內(nèi)使用；
IP地址/地址段——控制文檔只能在指定IP地址/地址段的主機(jī)上使用；
MAC地址——控制文檔只能在指定MAC地址的主機(jī)上使用；
機(jī)器碼——控制文檔只能在指定機(jī)器碼的主機(jī)上使用。

文檔自動(dòng)增加閱讀水印

加密文檔通過(guò)SecureDOC企業(yè)文檔安全保護(hù)系統(tǒng)的細(xì)粒度權(quán)限控制功能，已經(jīng)可以在很大程度上控制合法用戶對(duì)文檔內(nèi)容的使用權(quán)限，但對(duì)于使用電腦技術(shù)以外手段獲取文檔內(nèi)容的方法，例如采用手機(jī)、相機(jī)拍攝已經(jīng)打開加密文檔的屏幕手段，卻無(wú)法起到作用。
為此，SecureDOC企業(yè)文檔安全保護(hù)系統(tǒng)特別提供了加密文檔自動(dòng)增加閱讀水印功能，在合法用戶打開加密文檔時(shí)水印信息自動(dòng)浮現(xiàn)在文檔內(nèi)容中，水印信息可由管理系統(tǒng)定義，顯示當(dāng)前閱讀者的身份信息等，從而有效阻止對(duì)屏幕內(nèi)容的拍攝，保護(hù)文檔內(nèi)容的安全。

文檔操作的日志記錄

用戶在線對(duì)加密文檔進(jìn)行操作時(shí)，文檔安全客戶端將實(shí)時(shí)記錄各項(xiàng)操作日志并上傳至服務(wù)器。
用戶離線對(duì)加密文檔進(jìn)行操作時(shí)，文檔安全客戶端將記錄各項(xiàng)操作日志，并在客戶端加密存儲(chǔ)；當(dāng)用戶下次在線登錄時(shí)，將自動(dòng)上傳離線操作日志至服務(wù)器。
日志內(nèi)容包括：客戶端IP地址、操作用戶、操作時(shí)間、操作的文檔、具體操作等。
 

4.2加密文件的動(dòng)態(tài)權(quán)限管理

文檔權(quán)限的追加和撤銷

文檔管理員在服務(wù)端可以隨時(shí)追加或撤銷授權(quán)對(duì)象的文檔操作權(quán)限，而無(wú)需回收或重發(fā)加密文檔。

文檔授權(quán)對(duì)象的管理

文檔的授權(quán)對(duì)象可以支持用戶、組織機(jī)構(gòu)、用戶組，以方便精確快速授權(quán)。

文檔權(quán)限的存儲(chǔ)和查詢

文檔安全服務(wù)端為客戶端提供文檔權(quán)限的接收存儲(chǔ)和查詢服務(wù)，所有對(duì)用戶的文檔授權(quán)信息，將在服務(wù)端進(jìn)行集中存儲(chǔ)；當(dāng)用戶操作文檔時(shí)，客戶端可以從服務(wù)端實(shí)時(shí)獲取當(dāng)前用戶對(duì)所操作文檔的權(quán)限列表，以按照該列表控制用戶對(duì)文檔的操作。

文檔日志審計(jì)與備份

文檔安全服務(wù)端接收客戶端上傳的文檔操作日志信息并存儲(chǔ)，并對(duì)文檔授權(quán)日志、文檔操作日志等進(jìn)行審計(jì)，并可以導(dǎo)出成EXCEL文檔以進(jìn)行備份。
 
關(guān)于時(shí)代億信
北京時(shí)代億信科技有限公司是一家致力于企業(yè)應(yīng)用整合及信息安全整體解決方案的專業(yè)技術(shù)服務(wù)公司。公司依托首都科技產(chǎn)業(yè)優(yōu)勢(shì)，專注于數(shù)字證書應(yīng)用、企業(yè)應(yīng)用安全、企業(yè)應(yīng)用整合及相關(guān)領(lǐng)域的軟件研發(fā)與技術(shù)服務(wù)，為客戶提供整體的應(yīng)用安全解決方案。憑借團(tuán)隊(duì)優(yōu)勢(shì)和綜合技術(shù)能力，公司相繼獨(dú)立完成了身份認(rèn)證、統(tǒng)一身份管理與訪問(wèn)控制、文檔安全保護(hù)、SSLVPN等一系列創(chuàng)新產(chǎn)品的研發(fā)和推廣，積累了豐厚的專業(yè)技術(shù)實(shí)力和成熟的客戶服務(wù)經(jīng)驗(yàn)，經(jīng)過(guò)不斷努力，已經(jīng)成為企業(yè)應(yīng)用安全及整合領(lǐng)域領(lǐng)先的解決方案提供商。