面對紛繁復雜的內網泄密風險，層出不窮的數據泄漏事故，如何確保企業能夠構造成功的信息安全防護體系，成為了一項迫重而緊急的任務。中航工業肩負大量涉及國家核心機密的設計、研究、生產工作，在國家安全環境日異復雜、市場競爭越發激烈的大背景下，企業的核心數據、信息已然成為“眾矢之的”。當企業的核心知識產權與機密面臨風險時，中航工業選擇了迎難而上、果敢出擊。此次，北京明朝萬達科技有限公司Chinasec（安元）攜手中航工業集團，為其著力打造完整的信息安全防護體系。Chinasec（安元）注重從信息的源頭開始抓安全，對信息的存儲、交換和使用等環節實現全面保護，從而達到信息的全程安全。
 
企業概況

中國航空工業集團公司（簡稱"中航工業"）是由中央管理的國有特大型企業，是國家授權投資的機構，由原中國航空工業第一、第二集團公司重組整合而成立。集團公司設有防務、運輸機、發動機、直升機、機載設備與系統、通用飛機、航空研究、飛行試驗、貿易物流、資產管理、工程規劃建設、汽車等產業板塊，下轄近 200家子公司（分公司）、有20多家上市公司，員工約40萬人。

信息交互現狀

隨著企業業務的高速拓展與規模的不斷擴張，中航工業的各級分支機構已經遍布全國。為了解決企業核心信息的交互問題，中航工業專門搭建了“某核心辦公信息系統”，并架設了SSLVPN，以便于各地員工的遠程接入,從而有效提升了信息流通的速度與辦公效率，并實現了數據集中歸檔管理等效果。

企業“隱私”面臨風險

 以“某核心辦公信息系統”為例，其最大的正向價值在于信息交互的便捷性，最大的風險也正源于此。如果沒有專業的、針對性較強的信息安全防護體系作為依托，與系統相關的數據、文檔等隨時都可能被黑客、木馬、（惡意）主動等方式外傳、外帶至非企業區域，其危險性不言而喻。

信息安全防護體系的設計

通過對中航工業的信息交互現狀的分析，我們不難發現其中信息流動主要是圍繞“某核心辦公系統”來進行的。因此信息安全防護體系應沿著該系統的實際應用進行有針對性的部署，從而實現“對癥下藥”，將安全力度有力有節的加以施放。總體來說有以下幾點需要重點關注：
1) “某核心辦公信息系統”的準入，原“用戶名\密碼”方式安全程度有限；
2) “某核心辦公信息系統”中的文檔下載至計算機時的保密處理；
3) 人員權限管理，即根據所屬部門、職級等事先設定權限，此權限即其使用系統所屬文檔的權限；
  4) 文檔外帶\外發審批流程，需具備相關審批流程的制定功能，以保證涉密數據可以在受到審計與審批的情況下可以以適當的形式被傳遞至企業外部。

信息安全防護體系的建設

經過多輪評測與對比，中航工業最終選擇“Chinasec應用保護系統”作為體系的防護體系的建設基礎。最主要的原因是，該系統與傳統數據安全防護系統有著很大的區別，其突破了原有的圍繞文檔進行加密的“程式化思路”，轉而將數據風險控制點指向核心業務系統本身，通過精準的風險分析與定位，以期實現“加密最少化，安全最大化”的效果。結合中航工業對于信息安全防護體系的設計要求，解決方案各組件及控制過程如下：
 1)保密對象設定
鎖定保護對象為“某核心辦公信息系統”；
 2)人員身份與密級設定
從“某核心辦公信息系統”中同步用戶身份，并根據其職級與業務屬性差異化的設定其對于文檔的使用權力，如打開次數、閱讀時限、可否編輯、可否打印、可否另存等；
 3)業務系統訪問控制
“某核心辦公信息系統”服務器具備自動檢測終端上是否安裝特定的Chinasec客戶終端防護組件的功能，如未安裝則系統會自動跳轉至組件安裝頁面；
 4)數據下載加密
“某核心辦公信息系統”下載、導出至員工計算機的文檔會被自動加密，工作人員須遵照“人員身份與密級設定”來使用文檔；
 5)權限審批與文檔外帶審批
當需要超出當前用戶權限使用涉密文檔時，需經審批加臨時授權的方式進行“提權”；當需要對文檔進行外發\外帶時（通過網絡、USB存儲設備等），亦須向審批人提交申請，審批通過后系統會自動對審批內容(即文檔)進行封裝，生成可供外帶的“封裝包”，對包中內容的讀取仍然受到審批時所賦予的文檔使用權限的約束。

籍此，Chinasec應用保護系統同中航工業“某核心辦公信息系統”進行了順利的對接。從實際應用與各方面反饋來看，應用保護系統達到了中航工業對于信息安全防護系統的建設預期，取得了良好的數據安全防控效果。