需求背景

　　隨著企業信息化建設加快，各種應用系統已經成為企業提升業務規范及生產力的有力武器，各大應用系統如OA、ECM、KM、PDM/PLM、檔案管理、合同管理、企業網盤等上線后，越來越多分散的信息資產已經從終端電腦逐步向應用系統與數據中心轉移，這種變革讓企業內部信息共享更方便，內部協作更順暢，業務流程更便捷，但同時也給企業帶來了一些潛在的風險和威脅：

圖1 企業潛在風險與威脅

• 為了保障業務便利性，用戶只要具備網絡條件即可訪問系統及存取數據，尤其是“無址化”辦公場景下數據共享及分發非常靈活；
• 應用系統均具有一定的身份識別及權限訪問控制保護，但系統安全保障僅建立在身份合法基礎上，一旦用戶口令泄漏，系統資源將面臨冒用及泄密風險；
• 從應用系統中下載的數據（俗稱離線數據），在內部使用過程中，也將面臨知悉范圍無管理無控制而導致內部擴散泄密的風險；
• 供應鏈及采購業務開展也逐步通過應用系統進行流程與數據協同，如何保證通過應用系統外發至供應鏈及合作體系的數據安全，防止重要數據在第三方外部使用時非法擴散泄密等。

　　企業信息化建設越快、數據越集中所面臨的信息安全風險也逐步增大；目前很多企業在提升信息化能力的同時也加大了對數據安全體系的建設與投入，包括引入數據加密及防泄密解決方案等，其主要目標是服務于企業或組織總體信息安全戰略，具有涉及范圍廣、業務影響大、落地周期長以及持續投入高等風險，其主要影響為：

• 數據加密及防泄密方案均以獨立產品引入及部署，解決集中化數據防泄密要求的同時，對其他非集中化或未納入當前保護要求的數據帶來額外加密的影響，一定程度上影響業務的正常開展，也增加了項目落地的風險及投入；
• 由于各安全產品技術路線及產品形態的不同，應用系統開發商會面臨來自不同客戶界面所提出的數據安全二次整合需求，一定程度上增加了應用系統推廣以及后續升級服務的成本，無法快速復制與推廣；
• 應用系統與防泄密系統以相互獨立的產品進行客戶展現，對于數據安全目標明確的用戶（只對應用系統數據提出安全保護要求的用戶），將面臨采購投入、產品導入、客戶體驗以及后續維護等多重壓力。

　　因此，形成具有應用系統自有功能特性的數據防泄漏規范及服務已經成為各大應用系統提供商及應用開發者關注的重點；億賽通憑借十多年產品開發與客戶交付經驗，基于成熟數據資產內容安全管理系統（TA）開發平臺，發布了數據加解密服務中間件（DSIS）、權限集成服務中間件（RIS）與數據外發安全服務中間件（DOSI），隱藏產品屬性并采用后臺中間件方式實現與應用系統整合集成，為企業提供“按需保護、精確管控”的數據安全加解密服務。

　　實現方式與效果

　　數據安全集成中間件（簡稱TA中間件），隸屬于億賽通數據資產內容安全管理平臺，采用中間件服務結合輕量級客戶端插件技術實現與應用系統的安全集成，為應用資產提供應用集成、數據加密、權限管理、權限繼承、內容控制以及水印保護等價值：

• 應用無縫集成：TA中間件可與應用系統無縫整合，實現統一身份、統一認證、統一權限及統一審計，通過將數據安全特性納入至應用自有功能范疇，形成帶數據防泄漏價值的全新安全應用；
• 數據加密保護：明文文檔泄密的方式多種多樣，防不勝防，通過TA中間件與應用系統的安全集成，可實現內外部用戶訪問、下載及分發重要應用文檔時自動加密，防止非授權泄密；
• 精細權限控制：可以從應用中繼承或約定安全文檔的使用權限，包括只讀、修改、打印、復制、脫密，瀏覽次數、打印次數，禁止用戶屏幕拷貝、使用軟件錄屏等，既保證文檔的分發與共享便利，又可控制文檔詳細使用權限及知悉范圍；
• 有效時限控制：能實時控制應用文檔的使用期限，根據業務需要可靈活變更文檔使用期限及權限，實現對重要應用文檔的全生命周期保護；
• 可靠身份認證：用戶使用安全文檔時，允許在線或離線方式驗證用戶身份并獲取文檔解密權限及密鑰證書，確保對文檔的合法使用，并支持與AD、Ldap、DSFW、CA以及第三方認證平臺集成；
• 泄密追蹤審查：記錄安全文檔的操作行為日志，并在文檔中加入含有使用者信息的數字水印，一旦泄密事件發生，通過操作日志和提取數字水印，可以發現泄密渠道。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：談應用系統和加密的深度整合

本文網址：http://www.guhuozai8.cn/html/consultation/10839615791.html