陕西鼓风机（集团）有限公司

       陕西鼓风机（集团）有限公司（以下简称陕鼓）始建于1968年，1975年建成投产。1996年由陕西鼓风机厂改制为陕西鼓风机（集团）有限公司。目前，陕鼓集团下属有陕鼓动力（股票代码：601369）、陕鼓备件、陕鼓西仪、陕鼓西锅、陕鼓实业、陕鼓水务、陕鼓智能科技、达刚路机（股票代码：300103）八家子公司以及陕鼓能源动力与自动化工程研究院。陕鼓集团建有国家93年首批认定的国家级技术中心和国家人事部2004年批准设立的博士后科研工作站。

       陕鼓集团是主要向用户提供全方位动力设备系统问题的解决方案商和系统服务商。集团本部主要从事国有资产经营、投资管理等业务。集团范围内形成了三大业务板块：能量转换装备制造、工业服务、能源基础设施运营。

       集团范围内的产品有轴流压缩机、工业流程能量回收发电设备、离心压缩机、离心鼓风机、通风机、汽轮机及智能测控仪表、智能变送器、工业锅炉、一二类压力容器、军用改装车、路面机械等。其中，陕鼓主导产品曾三次荣获国家科学技术进步二等奖。轴流压缩机和工业流程能量回收发电设备属高效节能环保产品，在2004、2005年相继获得“中国名牌”称号。陕鼓的产品广泛应用于石油、化工、冶金、空分、电力（包括核电）、城建、环保、制药、国防等国民经济的支柱产业领域。

合作历程

      为防范核心技术流失，保护企业知识产权，陕鼓根据工种不同划分技术网和办公网，并物理隔离，阻止两个网络间互相访问，以此降低泄密风险。随着的陕鼓高速发展，加上周边诸多私营同行如雨后春笋涌现，仅有的隔离措施所起的保密效果非常有限。2006年，陕鼓决定对技术网上线文档加密系统，通过加密方式杜绝数据流失。经过招投标，最终天喻数据扩散系统InteKEY脱颖而出。技术网实施InteKEY后，对所有二维、三维设计文档进行强制加密保护，打通加密文档与分析等各类应用软件间交互障碍，同时与Teamcenter及CAXA CAPP进行无缝集成，弥补文档脱离系统之后的安全隐患。通过上线InteKEY系统，使技术网数据形成一个封闭圈，在圈内的数据可以直接自由交换，未经许可，脱离封闭圈的文档将不可用。

      陕鼓随着办公网的文档越来越多，加上办公自动化系统（OA）、知识管理系统（KM）等系统的无限制共享，文档交换、传输、转移方式五花八门等等各种安全隐患，反观技术网的加密系统成熟应用带来的显著效果，使得办公网络也迫切需要类似的加密系统，保护长期积累的无形资产。2013年，陕鼓集团决定在办公网上线加密系统，于今加密市场已不同往日，产品功能繁多，但InteKEY最终还是通过出色的稳定性及优质的服务再次携手陕鼓。

客户需求

       陕鼓集团办公网加密项目的目标是防止办公网文档随意扩散，确保敏感文档，办公自动化系统（OA）、知识管理系统（KM）中的文档达到可用可控的效果，实现办公网资源及数据的可控共享和安全访问，建立文档的安全分级管理体系和数据安全使用规范，保护核心数据，建立企业信息安全边界，降低核心信息资产如各类文档以及相关技术资料的泄密风险，从而避免由泄密事件给企业带来的损失及引发的知识产权和法律纠纷，最大程度的保障企业核心竞争力及商业利润价值。

       基于上述，此次办公网加密，主要是对管理系统中的历史积累文档进行保护，使其在企业内可以不受限制使用，私自带出将不能正常打开。从而达到既不影响在企业内部使用，又能防止随意扩散的效果。

解决方案

       数据安全是把双刃剑。不管，数据随意扩散，毫无安全可言。管，势必会给员工带来些不便，同时增加管理成本。两者间如何权衡，取得平衡，决策者应有的放矢。

       对于设计部门，核心数据主要是图纸类，这类文件均属企业无形资产，不存在个人数据，对于这类文件保护宜实行一刀切形式，对所有设计类软件加密，不论文件存放在本机、服务器还是PDM、PLM数据仓中均需加密。图纸类文档带离企业必须解密，达到内部数据可控，出去可管。

       而对于不涉及设计的办公类人员，情况可能要复杂些，他们接触的大多是办公类Office、PDF文档，这些文档可能五花八门，有涉及企业机密的合同、经营、制度、管理等文档，也有可能是自己写的一篇旅游感想、随笔，也有可能是网上下载的学习资料等等，这种情况如采用一刀切，势必会给大家带来很多不便，并带来大量的解密工作量，无形中也会给员工带来一些负面情绪。如果能有选择性的，对归属企业涉及经营性的文件加密，而员工个人的非涉密文件及从网络上下载的公共文件不加密，如此既能达到数据防护，又能减小对员工的影响，有助于项目实施和系统的长久运营。

       陕鼓办公网加密项目遵循源头管控，不加密客户端文件使用的方针。通过对存放在管理系统中的文档进行加密，然后将陕鼓受信的计算机列入涉密范围，安装加密客户端，允许其查看加密文档。不安装加密客户端即使在企业内部也不能使用服务器中的涉密文档。

【服务器端】

● 历史数据加密

       使用批量扫描工具，对OA、KM系统服务器中存放的历史数据执行扫描加密操作，一次性对所有历史文档加密。

● 新上传数据加密

       服务器中的文档有个时间累积过程，随着时间的推进，文档随之增多，对服务器中历史文件加密后，后续新上传的文件也不能忽视。使用目录监控加密，对管理系统数据仓目录进行监控，一旦有新的文档写入即自动加密。管理系统集成效果图如下：

【客户端】

           所有办公网涉密计算机均安装Office特定加密系统，可以直打开服务器上的加密文件。对加密文件执行编辑、保存操作不受影响，加密的文件编辑保存后仍为加密状态。新建文件不会加密，打开本机未加密的文件操作保存也不会加密。

       为规范客户端的管理，防止随意安装，采用内网服务器标识识别及安装密码验证双重措施。同时，所有客户端安装完成后，必须要管理员推送策略方可正常打开密文，未经许可自行安装将不能打开密文。客户端使用效果图如下：

【文档外发】

       文档外发分两种类型，一种是受控外发，另一种是解密外发。根据不同部门及应用场景选择相应的外发方式。

● 受控外发

       企业对外交流必不可少，需要将加密文档带出企业环境时，如果希望其仍受管控，使用外发模块InteDOC对其设置相应的权限后再外发。例如，只读、禁止打印、禁止拷贝粘贴、设置打开次数，限制使用时间、逾期删除等。

● 解密外发

       有时对外交流的文档是不能作任何控制的，如与政府相关部门交互的文档，这类文档应解密后以原始状态外发，而需要完全解密，还原到加密前的状态。经解密后的文档完全处于失控状态，没有任何限制。所有解密操作均详细写入系统日志，保密办定期审核。

实施效果

       通过对办公网管理系统中的文档进行加密，从源头上对存放企业经营管理的OA系统及企业知识积累的KM系统中的文档进行了强制加密保护，使从系统中下载的文档均为密文。通过Office特定加密系统，使其在保密的同时，不给日常工作增加额外负担。而且不会对客户端本机文件加密，有效平衡安全性与方便性，实现可用可控的效果。

       由于技术网与办公网在物理隔离，业务上已具有成熟的中转方式。通过密钥策略，不但没破坏原有管理模式，而且加密后更加深化，实现技术网与办公网物理逻辑双隔离。

项目意义

       陕鼓办公网管理系统上线多年，积累了大量的经营管理及知识经验积累数据，这些无形资产是保障陕鼓这些年稳步发展的有力后盾。上线加密系统前，对这些数据没有任何防护，有权限的人可以直接从系统中将文档下载到本机。没有权限下载的人也可以通过这样那样的途径从其它已下载的计算机上获取。如何解密办公网集中数据的安全问题，一直是领导头疼的事。上线InteKEY加密系统后，所有的顾虑都迎刃而解，让企业管理者回归本位，全心投入到企业经营管理中。