E新能源公司图纸保密方案案例分析.docx

DevonIT图纸保密方案案例分析DevonIT图纸保密方案典型用户案例分析（E新能源公司）2011-09目 录1.E新能源公司- 1 -2.项目背景- 1 -3.现状分析- 2 -4.DevonIT图纸保密方案保护企业核心机密- 3 -5.方案部署情况概述- 4 -1. E新能源公司E新能源公司是风力发电系统解决方案的供应商，业务涵盖风电设备的设计和制造，风电场的开发和销售，智能化的远程诊断和运行维护。公司年销售额二十亿，在丹麦，芝加哥，上海，无锡等地拥有研发团队和生产基地，设计了全球首条风电组装流水线，产品包括1.5、2.3、3.6兆瓦风力机组等。 业务类型风电设备设计制造，风电场开发销售、风电场远程运维主要产品1.5兆瓦、2.3兆瓦、3.6兆瓦等风力发电机公司规模全球部署，年销售额超20亿人民币业务范围全国/亚太地区主要研发及应用工具Pro/E、AutoCAD、PDM、SAP、Office等保密电子文档类型各种类型的设计图纸、电子文档2. 项目背景E新能源公司拥有强大的技术、研发、工程队伍和卓有成效的产品技术创新、研发体系，公司在数据的安全方面非常重视，因此，戴闻公司为其提供了据有针对性的机密数据集中管控解决方案。E新能源公司核心图纸管理平台要求将研发环境和图纸共享查看需求进行集中统一管理，通过应用、数据大集中的模式，允许授权用户安全高效地进行Pro/E、CAD图纸绘制；远程用户可安全快速地访问共享资源等工作。设计人员可在瘦客户机上流畅地进行Pro/E、CAD等图纸的绘制工作；其他员工可随时查阅所需资料，同时根据需要使用互联网搜索资料，使用邮箱收发信息；供应商、合作伙伴可根据权限远程的访问所需查看的图纸资料而以上这些操作均不能把设计图纸等涉密信息以任何形式（硬盘、内存、缓存、剪贴板等）下载、保存至用户桌面的终端设备。要做到尽可能低的影响员工工作效率，尽可能小的影响使用习惯。整个系统应具有较强的可扩展性以适应业务需求的扩大。可通过负载均衡等方式提高系统资源利用和整体系统的稳定性。3. 现状分析在部署DevonIT图纸保密方案之前，E新能源公司采用传统保密方式，未能对涉密图纸等电子信息进行切实有效的安全防护。在研发团队内部，设计人员桌面摆放两台电脑，其中一台为CAD设计专用的工作站，该工作站只能连接研发团队内网的图纸管理服务器（图纸集中存储），通过软件或物理方式封闭USB端口；另外一台笔记本电脑可以连接互联网用以收发邮件，查阅资料，使用OA/ERP等企业应用。两台电脑所处的网络不能互相访问。在公司之外，需要将某些CAD图纸发给供应商以方便其加工生产，公司将CAD图纸转存为PDF文档，加密后E-mail给供应商。出差员工、分公司、办事处查阅图纸则采用FTP用户分配权限的方式实现。在信息化程度越来越高的今天，传统的保密方式已经越来越无法满足公司对知识产权的保密需求，通过对E新能源公司现阶段保密工作的分析，我们发现公司现有的保密措施基本无法实现对涉密电子图纸的安全防护。在公司内部，很容易便可以通过插拔网线的方式将一台外来的笔记本电脑连入内部网络；也可以通过网线直接连接或小型集线器将外来的笔记本电脑和某台已获得访问权限的内网工作站组成小型网络，笔记本电脑可轻而易举地对工作站硬盘上的所有资料进行拷贝，内网中的图纸存储服务器也因此暴露在窃密者的面前。试想，窃密者仅仅需要几元到几十元人民币投入，便可借助公司内网的高速网络和廉价的海量存储设备威胁价值数十亿元的图纸资料安全，这恐怕不是任何一个公司希望看到的结果！同时，由于USB端口已被屏蔽，某些USB输入设备如扫描仪、触摸屏、手写板等外设均无法正常使用。在供应商、驻外人员处，加密的PDF文档并不能阻止图纸被越权使用，使用网络上的免费工具可轻易将加密的PDF文档转成明文格式；同时，由于CAD等图纸的特殊性，某些功能（如测量、使用第三方CAD插件进行的图纸标注）无法在PDF格式中正确使用和体现，很大程度上影响了图纸使用者的工作习惯和工作效率。4. DevonIT图纸保密方案保护企业核心机密通过DevonIT图纸保密方案，将HC-12图形工作站、图纸存储服务器等高敏感度设备与设计人员桌面进行完全的物理隔离，设计人员只能通过专用的TC10终端机连接后台的IGTA图像压缩卡进行CAD设计工作，IGTA图像压缩卡只接受指定的TC10终端的连接请求，任何其他的设备或软件均无法连接，也不能接入到HC-12图形工作站与图纸存储服务器组成的内部工作网络。同时，HC-12图形工作站和TC10终端允许管理员自定义USB权限策略，如只允许USB输入设备接入（如键盘、鼠标、扫描仪、手写板等），禁止USB输出及存储设备接入（如打印机、U盘、移动硬盘、智能手机、多功能读卡器等）。供应商、办事处等远程用户可通过NTA安全应用网关远程访问图纸存储服务器，在线浏览CAD图纸，内网服务器和远程计算机被NTA安全应用网关网络隔离。在整个使用过程中，CAD图纸等机密文件的打开、读取、修改等操作都在公司内部的服务器上进行，远程用户的本地硬盘或内存中不会以任何形式（如缓存、剪贴板、缩略图等）保存CAD图纸或文档信息。为了解决公司对CAD图纸和远程用户的访问权限管理需求，在内网部署了NTADS文档管理系统（软件），将图纸按照策略进行归档，将访问者的访问权限明确分配，管理者通过Web控制台集中统一进行管理。在确保安全的大前提下极大的提高了整体系统的可用性和人员的工作效率。DevonIT图纸保密方案上线一年多来，凭借其强大的安全保密能力和极高的整体可用性，得到了E新能源公司及其国外投资者的高度评价，为E新能源公司的高速发展保驾护航。5. 方案部署情况概述在现有网络基础上，为数据中心划分机密区网络，从办公网络访问机密区网络需进行严格控制，原则上不允许任何办公网络中的终端设备连接至机密区网络中的服务器。在数据中心部署HC-12远程图形工作站，HC-12远程图站通过主机网卡接入机密区网络以进行日常设计工作；IGTA压缩卡网卡接入现有的办公网络，与设计人员工作位置上的TC10终端连接形成图形图像传输网络。由于IGTA压缩卡与HC-12主机网卡分属从物理上隔离的两个网络，所以无需担心办公网络中的PC等终端设备通过网络获得HC-12主机上的机密信息。在机密区网络，添加NTA安全应用网关和若干台应用服务器，其中一台服务器安装NTADS文档管理系统服务器端，用做权限划分、管理图纸之用；一至二台作为客户端服务器（终端服务器）之用。通过NTA安全应用网关，公司员工可以按照自身享有的权限，安全快捷受控地访问所需图纸资料。通过防火墙，也可将NTA安全应用网关的内网IP转换成一个互联网IP，出差在外的员工、供应商、合作伙伴通过任意互联网连接，使用绿色的NTA客户端软件登录NTA安全应用网关，受控的访问、使用在数据中心机密区网络的图纸资料，而这些图纸等机密信息，不会以任何形式被保存在桌面终端上。在客户端服务器上安装应用系统客户端软件（如Office、PDF Reader、CAD Viewer等）并连接后台的图纸存储服务器，通过NTA安全应用网关发布应用系统客户端软件的用户界面，授权用户经过域控制器或身份认证服务器验证身份合法后登陆NTA使用应用系统。用户端PC再无需安装应用系统客户端