一、背景情况
数据安全是汽车行业日益关注的问题,特别是随着企业存储和使用越来越多的数据来驱动联网汽车功能。随着车企行业向软件定义车辆过渡,并采用新技术实现数字化和个性化客户体验,保护敏感信息变得越来越重要。国家对于汽车行业发布了明确的数据安全管理规定,既是对目前智能汽车发展过程中的数据安全问题的监管回应,也是对汽车行业的合规要求。
此前,某新能源车企由于此前使用的加密系统在运行中存在着诸如虚拟打印机打印文件格式、大型文件通过smb上传到liunx服务器无法自动解密,下载自动加密等问题,影响员工办公使用,因此需要进行加密产品的更换。
为建立核心数据安全管理系统,针对数据安全性、平台易用性、系统扩展性等问题,结合该公司现有的系统环境,制定一整套完善的解决方案,在公司内实现图纸、代码等数据的安全,防止重要资源外泄,提高公司数据安全保护能力,保护公司资源和效益,同时不对日常办公、开发产生负面影响,达到安全与效率的双向平衡。
二、需求分析
为了加强公司对终端电脑电子文档的保护,防止公司重要数据泄漏,电子文档资料是公司核心资产,需要有系统管理举措,确保其完整、安全、有效、保密。需要符合以下几项要求:
1、符合相关法律法规合规要求;
2、对知识产权、 专利数据资产进行有效保护;
3、对敏感数据进行强保护,防止内部员工有意和无意的数据外泄行为;
4、对外发敏感数据设置特定权限策略和审批流程,有效保证只有授权人员能够获取并阅读外发文件;
5、采用的防泄密技术不会降低工作效率;
6、安全策略可根据部门或组分别定义,灵活管理;
7、可与现有的业务系统等进行集成;
8、旧加密文件可以无缝替换;
9、文件操作审计记录,可进行事后追溯。
三、解决方案
(一)域用户导入
通过域信息配置,实现将AD域中的组织关系以及用户同步导入到加密系统的数据库中,与域控服务器关联,客户端登录时自动去域服务器中做认证。
(二)无缝替换
通过技术手段,可将历史加密文件自动转换为新加密文件,当历史的旧加密文件所在的文件夹被打开时,当前窗口所显示的文件会自动被替换为新加密文件,并且同步替换加密厂商信息。
(三)流程审批
域同步时会将AD域组织关系同步到加密系统管理后台,审批员可以按此组织结构进行设置审批关系,当有文件需要外发时,可以通过设定的审批关系提交流程解密文件。
(四)策略放开限制
加密客户端和服务器端可以配合项目实施放开限定策略的限制。
(五) 自动加密
通过加密策略统一控制,可实现上传到HPC服务器、OA系统中的数据上传时自动解密上传,下载时自动加密下发,即保证数据库的可靠性与安全性的同时,也可以兼顾正常的业务流转。
(六)多终端配置
安装手机客户端、MAC端和Linux客户端,其中手机客户端适配安卓系统、苹果系统,鸿蒙系统。
(七)网关准入
通过软硬一体化结合的方式为应用系统提供安全保障,应用安全网关可以为SVN、PLM系统提供安全准入防护,安全准入通过终端身份识别、传输隧道加密等多方面进行应用数据安全访问控制,使得未安装客户端的用户无法访问SVN 、PLM。
四、项目价值
服务器和客户端都完成加密软件安装,客户端实现单点登录,确认收取到部门策略,对文件进行自动加密;
服务器可查看用户操作日志和审批流日志,查看具体时间等信息;
服务器数据库定期自动备份,和密钥一起保存在其他服务器中,保证系统可及时被灾难恢复;
用户了解并能自己使用加密软件,熟悉解密审批和外发审批流程,知晓加密文件和非加密文件的区别;
通过网关做准入控制实现未安装加密客户端的用户无法访问指定的业务系统,保障业务系统的安全;
通过中间件与OA系统做集成,实现文件的上传自动解下载自动加,保证系统正常运行。
五、项目成果
通过一体化部署,不改变集团现有使用习惯,零感知替换原有加密软件,通过对数据进行识别解析,内置规则策略进行智能加密;在项目中对接人才培养、业务集成等重要环节,并对第三方系统实行上传解密、下载加密等手段,及时有效识别用户异常行为并进行防控。
项目实施后,从技术层面帮助车企实现对于数据的加密防护,规避各类风险,满足企业合规及自身数据管理要求,全方位提高公司数据安全管控和风险防御能力。
新能源智能图纸文档管理系统:选择【彩虹图纸管理系统】是一款图纸文档全生命周期管理系统,用于图纸集中管理、归档、分类、权限、收发、打印、研发协同、无纸化等。它支持多种文件格式,并允许用户在异地共享和在线浏览技术图纸资料。