Chinasec内网安全系统 保护宏大纺机数字知识产权

　　1.用户背景

　　天津宏大纺机机械有限公司（以下简称宏大纺机），从属于上市公司经纬纺织机械股份有限公司。全公司占地面积32720平方米，现有职工1000余人，其中大专以上学历393人，高、中级专业技术人员149人。拥有各种加工设备530台套，固定资产12578.82万元。全公司设有五个机加工、冷作和装配车间，七个职能部门。主要研制、生产各类粗纱机和络筒机两大系列产品。是我国生产时间最早、品种规格最齐、市场占有率最高的知名企业。产品不仅畅销全国各地，而且出口30多个国家和地区。

　　2.数字知识产权威胁

　　宏大纺机的核心竞争力在于其不断升级的产品档次和不断提高的加工精度。公司投入1500 多万元，建设了现代化的研发中心和装配生产车间，对产品从设计到生产的过程进行全面的信息化管理。研发部门全部采用Proe和CAPP软件进行图纸设计，通过PDM系统进行全程跟踪控制。

　　信息化为宏大纺机构建了先进的管理体系和高效的生产流程，同时也带来了数字知识产权的威胁。竞争对手纷纷通过各种手段，意图窃取公司的机密信息，设计图纸和相关文档成为这些人觊觎的主要对象。

　　由于公司内部计算机众多，业务系统复杂，数字知识产权的保护成为了网络管理人员极其重视却又十分头痛的问题。员工每天从服务器下载图纸进行设计的同时，又通过互联网获取最新的技术信息，重要数据面存在多种泄漏的途径。公司曾经采用了一些监控软件对外设端口和存储设备进行控制，但都因为存在太多漏洞而放弃。具备了一定计算机知识的员工往往通过光盘启动或重装系统轻易的绕过控制，甚至有些怀有恶意的员工将硬盘带出，拷贝数据。

　　在尝试过多种内网安全软件之后，宏大纺机选择了北京明朝万达科技有限公司的Chinasec可信网络安全平台产品，配合安全管理制度的完善和体系的建设，逐步构建起比较完整的内网安全、桌面安全保障体系，完满的解决了困挠很久的数字知识产权保护问题。

　　3.Chinasec的内网安全之道－DMS解决方案

　　宏大纺机的数字知识产权保护问题反映了当前研发和制造型企业的普遍需求。这类企业有如下的共同特点：信息化程度高，业务系统复杂，重要数据分散在员工的计算机和应用服务器上，保密难度很大。

　　Chinasec可信网络安全平台产品系列中的可信数据管理系统（DMS）正是桌面安全的类似问题而设计。DMS系统的核心设计理念在于“模式“的概念。”模式“是计算机的一种权限控制的运行状态，包括可以使用的软件，硬件，网络，本地存储空间，服务器资源等。DMS以软件的形式将Windows操作系统划分成多个不同的模式，在一台计算机上同时满足员工个人使用和企业数据保密的双重需求。

　　DMS系统最基本的两种模式称为“普通模式“和”工作模式“，表1是根据宏大纺机实际情况制定的两种模式：

	普通模式	工作模式
应用程序权限	不能使用Proe，CAPP设计软件	不限制
外设权限	不限制	不能使用所有外设，包括移动存储设备
本地存储空间	不能访问个人工作区（workspace）	不能在个人工作区以外存储数据
网络资源权限	不能访问CAPP和PDM服务器	不能访问CAPP，PDM服务器以外的网络

表1 普通模式和工作模式的对比

　　从表1可以看出，普通模式下员工可以自由的访问Internet，完成自己的个人事务，但是不能接触到任何本地和远程的企业数据信息，不能使用设计软件。个人工作区（workspace）是员工自定义的一个或多个文件夹，任何写入其中的数据都以加密的形式在硬盘上存储。普通模式下，个人工作区无法访问。

　　员工从Windows桌面上切换进入工作模式后，设计类软件被允许使用，个人工作区打开，并获得访问ERP，PDM服务器的权限，这样，员工拥有了工作所需的全部资源和存储空间，但无法将设计图纸等数据带出：具体表现为：

　　―――CAPP，PDM服务器以外的网络不能连通，并且，计算机和CAPP，PDM服务器之间网络通道加密，避免收到窃听；

　　―――个人工作区内数据加密存储，个人工作区外进入只读状态，所有写入数据在计算机重启之后全部消失；

　　―――包括移动存储设备在内的所有外设使用被禁止。