行業(yè)背景
      制造業(yè)是一個(gè)非常大的傳統(tǒng)行業(yè)，目前，國內(nèi)外的制造業(yè)都面臨著一個(gè)共同的難題：在計(jì)算機(jī)和信息時(shí)代的今天，如何追趕IT的腳步？如何再次煥發(fā)傳統(tǒng)行業(yè)的青春？為此，制造業(yè)大量地采用計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)。

       隨著工業(yè)互聯(lián)網(wǎng)和智能制造的興起和發(fā)展，工業(yè)數(shù)據(jù)分析作為智能和優(yōu)化的驅(qū)動(dòng)力，越來越引起制造業(yè)企業(yè)的重視。工業(yè)互聯(lián)網(wǎng)核心要義是通過數(shù)據(jù)應(yīng)用與智能連接，提升效率和質(zhì)量，創(chuàng)造精準(zhǔn)供給，其在提升效率的同時(shí)，也會(huì)帶來安全隱患。

       面對(duì)數(shù)據(jù)安全威脅和攻擊，制造業(yè)企業(yè)風(fēng)險(xiǎn)抵御能力較差。有統(tǒng)計(jì)表明，制造業(yè)爆發(fā)的數(shù)據(jù)泄露事件中，91%被竊取的資料都是“機(jī)密”級(jí)別，與企業(yè)的利益緊密相關(guān)。制造業(yè)數(shù)據(jù)泄露都是“有目的”、“有規(guī)劃”的，泄露的數(shù)據(jù)包括：行業(yè)秘密、商業(yè)計(jì)劃、知識(shí)產(chǎn)權(quán)等。

       因此，隨著機(jī)械制造業(yè)在信息化建設(shè)方面的不斷深入，信息的生成、流轉(zhuǎn)、傳輸變得非?？旖?，并且伴隨著行業(yè)競爭越發(fā)激烈，數(shù)據(jù)安全問題越發(fā)凸顯出來。傳統(tǒng)強(qiáng)調(diào)邊界安全的信息安全管理體系明顯不能勝任機(jī)械制造業(yè)的數(shù)據(jù)安全管理需求。為此，需要針對(duì)機(jī)械制造業(yè)信息的安全特點(diǎn)，制定完整的數(shù)據(jù)信息安全管理體系，以鞏固信息化成果，降低企業(yè)信息安全風(fēng)險(xiǎn)。

    需求分析    

     （一）核心數(shù)據(jù)的安全管理需求

       在數(shù)字化轉(zhuǎn)型的當(dāng)下，制造企業(yè)在數(shù)字主線各個(gè)環(huán)節(jié)中所收集有關(guān)產(chǎn)品的數(shù)據(jù)，如設(shè)計(jì)規(guī)格、描述其幾何形狀、材料、組件和行為的工程模型、仿真驗(yàn)證結(jié)果、工藝規(guī)程、每一個(gè)產(chǎn)品實(shí)體在制造過程中的人、機(jī)、料、法，質(zhì)量檢驗(yàn)等數(shù)據(jù)，還有部署調(diào)試、使用和維護(hù)的數(shù)據(jù)等，構(gòu)成了產(chǎn)品實(shí)體的數(shù)字模型。

       這些企業(yè)信息的存儲(chǔ)、使用、傳播、交互過程中，處于明文的狀態(tài)，任何一個(gè)環(huán)節(jié)出問題，都有可能造成；以設(shè)計(jì)圖紙為核心的企業(yè)敏感數(shù)據(jù)在生成和傳播過程中高度依賴網(wǎng)絡(luò)和各類信息處理終端，數(shù)據(jù)廣泛在設(shè)計(jì)、生產(chǎn)等部門間流轉(zhuǎn)；

      因此，如何對(duì)核心的技術(shù)機(jī)密、、設(shè)計(jì)圖紙等進(jìn)行有效安全管理；如何使商業(yè)敏感機(jī)密信息得到有效保護(hù)；如何實(shí)現(xiàn)涉密文檔在訪問、操作、關(guān)閉等使用過程中的安全防護(hù)和監(jiān)管是制造業(yè)企業(yè)普遍關(guān)心的問題。

      （二）業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全建設(shè)需求

        隨著制造業(yè)管理流程數(shù)字化的完善和深化，盡管不同的制造細(xì)分行業(yè)，同一細(xì)分行業(yè)不同的企業(yè)的管理流程存在差異，主要的流程包括以企業(yè)資源計(jì)劃 (ERP)為首的業(yè)務(wù)管理流程以及產(chǎn)品生命周期管理(PLM)這兩個(gè)流程。

        以O(shè)A、ERP、PDM的業(yè)務(wù)系統(tǒng)具有訪問群體多、訪問方式簡便、訪問數(shù)據(jù)量大等特點(diǎn)，伴隨而來的系統(tǒng)違規(guī)訪問、數(shù)據(jù)違規(guī)使用等數(shù)據(jù)安全問題凸顯。應(yīng)用服務(wù)器缺乏安全的防護(hù)手段，上傳下載過程中存在較大的風(fēng)險(xiǎn)；傳統(tǒng)的加密保護(hù)方式存在與業(yè)務(wù)系統(tǒng)兼容性差、保護(hù)目標(biāo)不明確等問題，因此需要建立一套能與現(xiàn)有業(yè)務(wù)系統(tǒng)良好集成的數(shù)據(jù)安全系統(tǒng)。

       （三）移動(dòng)辦公數(shù)據(jù)安全建設(shè)需求

        隨著都步入移動(dòng)互聯(lián)網(wǎng)時(shí)代，移動(dòng)辦公正成為制造企業(yè)的重要工作模式，但“業(yè)務(wù)先行”導(dǎo)致很多制造企業(yè)缺乏足夠的資源同步完成安全工作，造成大量漏洞和風(fēng)險(xiǎn)存在。

       員工惡意、員工設(shè)備丟失、不可信應(yīng)用用于辦公、各方不合規(guī)接入、員工隨意轉(zhuǎn)發(fā)企業(yè)敏感數(shù)據(jù)、誤操作也會(huì)導(dǎo)致的數(shù)據(jù)外泄，在制造領(lǐng)域，一部手機(jī)、一臺(tái)設(shè)備都有可能成為的源頭。需要建立一套可持續(xù)的移動(dòng)安全體系，使數(shù)據(jù)受到安全保護(hù)，真正做到事前有防范、事中有保障、事后有處置。

       （四）數(shù)據(jù)加密防護(hù)介質(zhì)管理需求

        制造業(yè)企業(yè)的數(shù)據(jù)交流除了依賴強(qiáng)大的互聯(lián)網(wǎng)，外設(shè)也是經(jīng)常使用的IT設(shè)備。移動(dòng)硬盤、U盤等移動(dòng)存儲(chǔ)介質(zhì)以其體積小、存儲(chǔ)量大、操作簡便、方便攜帶、不易損壞等優(yōu)點(diǎn)，受到制造業(yè)企業(yè)的青睞。由于介質(zhì)的不斷發(fā)展，企業(yè)管理手段往往滯后于設(shè)備的發(fā)展，導(dǎo)致管理漏洞。打印機(jī)被濫用，重要圖紙以紙質(zhì)方式被帶出企業(yè)，信息安全問題無處不在。

       （五）工作角色安全等級(jí)建設(shè)和密級(jí)管理需求

         制造業(yè)環(huán)境的數(shù)據(jù)類別多樣，使用方式復(fù)雜，涉及角色眾多，形成了不同人員角色使用不同類別數(shù)據(jù)、具有不同的數(shù)據(jù)使用方式的特點(diǎn)。多部門文檔流轉(zhuǎn)中缺乏對(duì)文檔的密級(jí)管理，容易出現(xiàn)信息泄露，因此需要根據(jù)角色的分類進(jìn)行分級(jí)的管理劃分，并對(duì)文檔產(chǎn)生的數(shù)據(jù)使用相應(yīng)的密級(jí)管理。

     （六）數(shù)據(jù)溯源審計(jì)需求

        制造企業(yè)傳統(tǒng)管理制度不能約束和追蹤審計(jì)員工行為，發(fā)生事件后無法進(jìn)行事后追溯，需要建立數(shù)據(jù)安全監(jiān)督管理機(jī)制，實(shí)現(xiàn)對(duì)內(nèi)部文件全生命周期的追根溯源，為各種違規(guī)行為取證督查提供手段。

    解決方案
      基于制造行業(yè)的信息安全需求，我們?yōu)槠淞可泶蛟炝艘豢罘现圃煨袠I(yè)特點(diǎn)的。
      1、保障研發(fā)設(shè)計(jì)圖紙等企業(yè)核心資料在生產(chǎn)過程中的安全
      該模塊采用高效、的文件內(nèi)核驅(qū)動(dòng)層加密技術(shù)，實(shí)現(xiàn)對(duì)內(nèi)部設(shè)計(jì)研發(fā)資料、生產(chǎn)數(shù)據(jù)等的實(shí)時(shí)、強(qiáng)制、透明加密，如文件加密，圖紙加密等。同時(shí)為了解決用戶擔(dān)心購買了加密軟件后，對(duì)后續(xù)增加新的應(yīng)用程序所產(chǎn)生的文件無法加密的問題，系統(tǒng)采用“自定義添加受控應(yīng)用程序”，自動(dòng)枚舉應(yīng)用程序安裝目錄下的所有exe進(jìn)程，操作方便、快捷，滿足對(duì)所有的應(yīng)用程序產(chǎn)生的文件進(jìn)行加密。此外，嚴(yán)密的途徑控制也為文件安全防護(hù)增添了更多保障。當(dāng)加密文件通過非正常渠道流轉(zhuǎn)至外部，文件就無法正常訪問，確保文件安全。

      2、防止設(shè)計(jì)圖紙等研發(fā)資料在企業(yè)內(nèi)部二次擴(kuò)散
      由于企業(yè)內(nèi)部機(jī)密文件（比如：設(shè)計(jì)圖紙等研發(fā)資料機(jī)密性要求高），通常會(huì)因?qū)嶋H業(yè)務(wù)需要涉及到不同部門的相關(guān)人員，或者相關(guān)查閱。但是又為了防止內(nèi)部人員越權(quán)訪問，需要對(duì)這些機(jī)密文件的訪問權(quán)限進(jìn)行詳細(xì)控制，進(jìn)一步保障數(shù)據(jù)安全。

      3、不改變應(yīng)用服務(wù)器現(xiàn)狀，保障數(shù)據(jù)安全
      系統(tǒng)對(duì)企業(yè)內(nèi)部所有的終端數(shù)據(jù)透明加密后，為了確保與應(yīng)用系統(tǒng)的無縫兼容，并確保應(yīng)用系統(tǒng)上的數(shù)據(jù)安全，系統(tǒng)提供服務(wù)器白名單功能來解決這一問題。
      如果要求終端數(shù)據(jù)上傳到企業(yè)某些應(yīng)用服務(wù)器（比如：PDM、OA）的數(shù)據(jù)是明文，那么可以將這些應(yīng)用服務(wù)器配置添加到白名單隊(duì)列中，終端上傳的數(shù)據(jù)會(huì)被自動(dòng)解密成明文后保存在服務(wù)器上。如果上傳到其他服務(wù)器則還是密文存儲(chǔ)；
      員工將服務(wù)器上明文數(shù)據(jù)下載到企業(yè)內(nèi)部終端時(shí)，數(shù)據(jù)被自動(dòng)加密，避免數(shù)據(jù)，保障數(shù)據(jù)安全。

      4、保障企業(yè)自身信息的交互安全
      針對(duì)制造行業(yè)供應(yīng)鏈管理設(shè)計(jì)合作單位非常多，在信息化過程中與外單位的來往人員交流也比較頻繁。為了保障外發(fā)文件的安全，對(duì)于一些安全性要求比較高的重要文件，可以把它們制作成受控外發(fā)文件。受控條件包括：打開次數(shù)、生存周期、密碼驗(yàn)證、修改限制、截屏限制、打印限制、過期自毀等，超出限制將無法打開文件，防止外發(fā)文檔二次擴(kuò)散，確保信息安全。
      此外，針對(duì)長期合作可信賴的客戶，可以通過郵件白名單功能把他們的郵件地址添加到白名單列表中，當(dāng)發(fā)送加密文件到白名單的郵箱地址后，加密文件將自動(dòng)解密成明文，無需審批。

      5、防止內(nèi)部重要文件轉(zhuǎn)化為紙質(zhì)資料
      對(duì)員工是否可打印、可使用哪臺(tái)打印、打印何類型文檔，做到事前控制；
      對(duì)打印的內(nèi)容進(jìn)行記錄，并提供詳細(xì)打印日志報(bào)表，便于審計(jì)；
      提供水印功能起到防偽的作用。

    方案優(yōu)勢(shì)
      1.安全方面
      文件加密采用Windows內(nèi)核的文件過濾驅(qū)動(dòng)實(shí)現(xiàn)數(shù)據(jù)加密與解密，安全、穩(wěn)定、效率高。嚴(yán)密的途徑控制，為文件安全防護(hù)增添了更多保障。
      2.易用方面
      對(duì)用戶透明，不改變用戶的操作習(xí)慣，文檔流轉(zhuǎn)權(quán)限可以自由分配，加密文檔在公司內(nèi)部允許的部門或個(gè)人之間流轉(zhuǎn)順暢。
      3.靈活方面
      支持用戶根據(jù)外發(fā)文檔的重要性不同授予不同的認(rèn)證方式和閱讀權(quán)限。
      4.整體方面
      經(jīng)過多年的不斷完善，產(chǎn)品在同行業(yè)具備優(yōu)勢(shì)，可穩(wěn)定應(yīng)對(duì)絕大部分應(yīng)用環(huán)境。

    用戶收益      

      1、制造業(yè)企業(yè)轉(zhuǎn)型升級(jí)過程中產(chǎn)生的智能制造數(shù)據(jù)得到集中管控的同時(shí)，實(shí)現(xiàn)安全可靠管理，制造業(yè)企業(yè)的核心資產(chǎn)、知識(shí)產(chǎn)權(quán)及其它相關(guān)數(shù)據(jù)得到有效管控，加速制造業(yè)企業(yè)安全數(shù)字化轉(zhuǎn)型。

      2、部署的數(shù)據(jù)加密系統(tǒng)與OA、ERP、PDM等業(yè)務(wù)系統(tǒng)良好集成，對(duì)客戶端、移動(dòng)端、介質(zhì)的數(shù)據(jù)實(shí)行安全管控，不改變員工的正常操作模式。在確保企業(yè)數(shù)據(jù)安全的同時(shí)，提高了客戶文檔協(xié)同效率。

      3、通過對(duì)每一份電子文件實(shí)行限制操作行為、跟蹤流轉(zhuǎn)過程、阻斷非法拷貝等設(shè)置，確保企業(yè)電子文件按照管理規(guī)范使用，并對(duì)該文件全生命周期的追根溯源，最終實(shí)現(xiàn)電子文件可控、可查、可溯、可審。

      4、角色的層次化使客戶在現(xiàn)實(shí)世界中的等級(jí)化與系統(tǒng)資源的等級(jí)之間形成了對(duì)照，不同的企業(yè)角色享有對(duì)應(yīng)的分級(jí)管理權(quán)限，確保系統(tǒng)管理的安全性。