項目背景
總院建于1957年,是我國冶金系統最大的冶金工程設計研究機構和大型市政設計研究機構之一,現有專業技術人員近800人,覆蓋30多個工程專業,具有雄厚的工程設計和科研開發能力。總院所完成的近千項工程設計項目,多次獲得國家、省部級優秀工程設計獎、科技進步獎、發明獎,形成近50個專利技術,并以具備多行業、多層次、多形式的工程總承包能力而躋身全國先進行列。
總院自1994年全面引進計算機應用技術以來,在引進各類計算機工程設計和辦公應用軟件和建立覆蓋全院的計算機網絡的同時,按照BS7799/ISO17799標準的要求和規范,建立企業級信息安全管理體系,從計算機硬件、軟件配備、操作系統配置、硬件物理隔離和行政管理制度等措施來加強計算機信息的安全管理,使計算機安全問題得到有效的控制,達到了一定的防范目的。但是,在保證計算機安全的同時,也給企業的行政管理和工作效率帶來一定的負面影響,企業內部的信息傳遞與技術交流受到一定的限制,特別是在項目協同設計方面更為突出,產生一些信息“孤島”。目前,電子文件控制(加密)軟件處于起步與完善階段,符合和達到BS7799/ISO17799標準要求和規范的產品更少。在對國內現有的幾種電子文件控制(加密)軟件進行選擇時,按照總院的實際情況,著重從以下幾個方面進行選擇和比較,以求得最佳軟件產品和產品供應商。
滿足復雜的網絡與硬件環境客戶端計算機的配置,因時代的差異,形成各式各樣的硬件配置。對于用于文字處理的計算機一般為PⅡ和PⅢ、用于工程結構設計(二維設計)與處理的計算機為PⅢ和PⅣ,結構特征三維造型、平面美術處理、有限元分析以及用于系統管理等則采用64位雙核技術。
適應復雜的各種應用軟件總院在承接和實施工程項目過程中,將涉及到各種工程開發軟件和辦公軟件。目前,總院主要應用的計算機軟件為:
在這些軟件中,還存在同一軟件不同版本的現象,例如:AutoCAD有1994年至2005年之間的各種版本,Pro/E、UGⅡ等一些高檔軟件也存在各個時期的不同版本。現有的電子(存檔)文件也出自不同版本的軟件,存在同一文件需要適應不同的版本軟件。為了提高電子文件的交流效率和可靠性,總院還涉及到一些其它軟件,并通過這些軟件接收和發出需要交流的文件。這些軟件為:
有效技術服務與應急反應對電子文件進行(加密)控制是一件非常細致而嚴謹的行為,任何一個失誤(軟件自身錯誤)產生的“誤”操作均可能給用戶帶來“滅頂”之災。因此,軟件供應商的技術服務及時性、解決軟件故障的手段、對(加密)控制文件的處理方法以及自恢復能力,對用戶來說是十分重要的,也是選擇供應商的重要條件。
軟件模擬運行試驗在確定軟件產品的提供商和商務合同后,總院電子文件控制(加密)項目進入實施階段。為了保證項目實施工作達到最終效果,整個項目實施分為三個階段進行,即內部系統整理、小批安裝驗證和全面展開。
內部系統整理為了防止其他應用軟件(包括工作人員擅自安裝的應用軟件)所形成的文件失控,在確定AutoCAD、Inventor、MS Office、Photoshop、Protel和Mapgis等應用軟件為主要控制軟件的基礎上,增加了一些國內常見的圖形設計與文字編輯應用軟件的控制,盡量堵住可能出現的技術“漏洞”。因此,還對下列應用軟件進行了控制
小批安裝驗證● 在已安裝加密系統客戶端上,同一文件加密前、加密后和解密后的不同狀態,進行顯示和輸出打印,其內容和頁面格式保持一致;
● 在未安裝加密系統客戶端上,同一文件加密前和解密后的不同狀態,進行顯示和輸出打印,其內容和頁面格式保持一致;
● 在未安裝加密系統客戶端上,同一文件加密后的狀態,進行顯示和輸出打印,其內容為“亂碼”。
B)文件交換效果● 在已安裝加密系統客戶端的計算機上,用MS Office系統的Word程序打開該文件并可以進行編輯;
● 在未安裝加密系統客戶端的計算機上,用MS Office系統的Word程序打開該文件后,其內容為“亂碼”。
C)受控軟件效果● 在已安裝加密系統客戶端的計算機上,打開該文件并可以進行編輯;
● 在未安裝加密系統客戶端的計算機上,打不開該文件,或經過解密后能正常打開該文件;
● 利用供應商提供的加密文檔,在安裝了加密客戶端的計算機上,用相應的應用程序打開該文檔,該文檔不能被打開或者打開后文檔中文字是“亂碼”。
D)文件內容復制(復制/剪切、粘貼、OLE功能)● 受控應用程序(AutoCAD系統)內的文件內容無法“粘貼”或“OLE”到未受控應用程序內(Word系統)的文件中;
● 未受控應用程序內(Word系統)的文件內容能“粘貼”或“OLE”到受控應用程序(AutoCAD系統)內的文件中;
● 二個受控的應用程序(AutoCAD系統與Word系統)之間的文件內容可以相互“粘貼”或“OLE”鏈接。=
其它控制● 在受控應用程序中進行文件“拷屏”、文件“另存”等操作所形成的文件應處于加密狀態;
● 限制受控應用程序的FTP訪問、郵件發送等功能的使用。
A)加密系統運行狀態:● 安裝加密系統的計算機上,在計算機右下角應出現“ ”標識;
● 安裝加密系統的計算機與加密系統服務端聯系處于“中斷”時,標識“ ”將變為“ ”;
● 在與服務器“中斷”時,不能啟動受控應用程序,并出現報警和提醒“窗口”,如聯系恢復后,重新“登錄”;
● 在與服務器“中斷”后,正在受控應用程序中進行編輯的文件,保存后應處于加密狀態。
B)文件解密● 在安裝了加密系統服務端的計算機上,通過身份密碼登錄到服務窗口(界面),查看文件加密、解密狀態;
● 在服務窗口,對本地或者通過局域網,“框選”或“單選”需要加密或解密的文件,進行批量加密或解密;
● 在服務窗口,通過“日志”,查看文件加密或解密的操作過程記錄。
全面展開通過一周時間的已安裝加密系統計算機的滿負荷試運行和技術驗證,認為加密系統運行穩定可靠,達到預期的效果與目的,可以投入全面的裝機使用。圖1為總院加密系統配置拓撲圖。
任何一個管理體系必須有一個相應的行政管理方法來配套,通過行政手段規范員工的日常操作行為,保證體系的正常運轉。總院實行總院領導下的分院責任目標管理制,每個分院形成較獨立的行政、技術管理體系。各分院之間除項目、技術等相互聯系外,相對比較封閉。在實施加密系統后,各分院針對自身的管理特點和業務特征,分別建立適合自身的管理配套措施。以機械分院為例來說明行政管理配套的意義。
機械分院基本情況機械分院是公司電子文件控制(加密)項目的首批實施單位,并參與了項目的調研與分析工作。機械分院在實施過程和實際應用中,建立了針對電子文件控制(加密)項目的各種行政管理配套措施,規范工作程序,達到項目實施的要求和體系正常運行的目的。機械分院的實施成功為總院的全面實施,建立了實施樣板,并積累了豐富的經驗。
機械分院數據安全傳輸規則規范電子數據安全傳輸流程,更好地維護電子數據的安全性,防止工程數據的流失與擴散。機械分院針對分院管理特點建立分院級數據傳輸流程模型,從而規范普通工作人員傳輸文件的行為,圖2為機械分院電子數據安全傳輸流程示意圖。
a)在分院文件管理服務器上,建立內部文件交流(共享)和文件輸出確認兩個工作區域,分別放置不同性質的電子文件,分院工作人員可根據實際情況在交流或輸出區域內,放置相應的電子文件。b)外部數據(來自總院內部其他分院和總院外部的電子文件)可以直接輸入,內部數據(分院內部產生的電子文件)在分院內可以共享。在電子文件需要輸出時,必須經過相關人士的正式確認后,方可輸出。圖3為機械分院電子數據輸出確認流程圖。
c)除分院領導和分院系統管理員外,其他人員均無權對分院電子文件輸出進行確認。分院領導和分院系統管理員因各種原因,不能行使確認輸出的職能時,其他確認人進行替補,具體替補次序見下表。
d)分院普通設計人員需要輸出電子文件時,先將需要輸出的電子文件放置在輸出確認區內,通知確認人進行解密;確認人對輸出電子文件進行解密后,通知相應的設計人員;設計人員將解密的電子文件通過中間介質(如U盤、Internet等)輸出到電子文件需要方,并確認接收情況。圖4為機械分院數據輸出操作流程圖。
結束語
