安元携中海油以信息化巩固能源市场地位

　　日前，中海油与Chinasec(安元)正式签约，共同建设集团内网信息管理系统。双方希望借助Chinasec(安元)丰富的行业实施经验，建立一个稳固、高效的内网管理平台，实现对现有各分支机构、业务模式集中、全面、有效的管理，以管理技术和手段创新，持续提升企业竞争实力。

　　企业概况

　　中国海洋石油有限公司于1999年8月在香港注册成立，并于2001年2月27日和28 日分别在纽约证券交易所和香港联合交易所挂牌上市。集团为中国最大之海上石油及天然气生产商，亦为全球最大独立油气勘探及生产集团之一，主要业务为勘探、开发、生产及销售石油和天然气。目前，集团在中国海上拥有四个主要产油地区：渤海湾、南海西部、南海东部和东海。集团是印度尼西亚最大的海上原油生产商之一，同时，集团还在尼日利亚、澳大利亚和其他国家拥有上游资产。

　　1 信息现状

　　随着中海油的发展，人员数目的不断增加，中海油有限公司总部机关(北京)、研究中心(北京)、天津分公司、湛江分公司、深圳分公司、上海分公司全部员工，约4000人左右。这些办公场所涉及到的人员众多，都能够连接核心内部专网各核心业务系统，包括重点业务公开系统、文档管理系统、Filenet业务系统等，这些数据被在使用过程中都会被分散到具体的终端。

　　2 面临风险

　　数据的应用过程中不管在服务器上还是在终端计算机上，都是处于明文存储状态，任何人只要能够看到这个文件既可以进行不限制的传播。一旦把重要资料交给他人，就完全失去了对文档的管理控制，接收方获取文件后可以进行任意的传播，并且是无限期拥有，可以随时使用资料。虽然系统本身提供很多系统运行相关的日志，但是对于敏感信息保存在各终端计算机以后就完全失去了监控权，信息即使出现泄密也无法准确的找到泄密的源头，无法追究相关的责任。

　　3 信息化动因

　　依据中海油的实际业务情况，参考行业相关和国际的相关标准和规范，通过与有关部门领导以及骨干使用人员的访谈，总结出中海油对文档安全管理原始需求，即“区域内透明，区域外保护。尽量在不改变现有工作模式、尽量少影响现有工作效率的前提下，展开文档安全管理系统的建设工作。”采用对核心业务系统进行重点保护的方式，在数据的访问、传输、存储、交换过程进行分析和判断，根据泄密点和风险点，采用加密、控制、授权、审计等方式组合而成的文档安全管理体系。文档安全管理体系的建设实现对文档的全生命周期管理，建立起数据从建立到数据的销毁整个过程的管控体系。同时系统应该充分的考虑到网络的稳定性要求和大规模部署要求，能够支持中海油大规模管理。

　　4 信息化应用

　　Chinasec(安元)的专家团队通过多次对中海油的深入调研，针对中海油遇到的内网安全问题，结合其他用户的服务经验，最终提出了一份适合中海油的内网信息化改造方案。

　　由于现在核心文档数据没有任何的安全保障机制，应提供对文档的加密和解密功能，且加解密功能应在操作系统的内核驱动层实现。项目前期为实现文件的主动加密为主，同时支持文件夹加解密和批量文件加解密功能。需要提供系统内所有的密钥有完善的保护和备份机制。并且保证加密前后文档的后缀名不变，图标不变(除了添加加密标识),工作模式不变。对于没有安全保护要求的文档不采取加密，所有授权用户都可以查看、下载，客户端不对这类文档采取任何控制。对于有安全保护要求的文档，文档在网络上传输时、在服务器和客户端存储时必须是加密状态。

　　为了有效保障文档在使用过程中的安全性，防范各种非法手段获取重要文档信息，在具体的文档使用过程中应该可以设置对文档的权限1、加密文件的权限控制;2、加密文件离线管理;3、Filenet业务系统的数据保护。

　　在实际使用过程中，会遇到其他用户接受实际应用文档权限和文件发起人配置的默认权限不符合，在这种应该下，系统应该具备灵活的权限变更机制，满足实际使用中的权限不同变换，具体的要求有1、文档权限提升/外带;2、文件外带审批;3、文件外带权限控制。

　　系统应该提供丰富的日志信息，以便能够在事后对系统的运行，和运行工作中的情况进行监督，系统应包括两方面的日志：1、用户文档操作日志;2、管理员操作日志

　　5 应用价值企业概况

　　基于Chinasec终端安全与文件保护系统而设计的文档安全方案不仅仅能提供对文档的加密和解密功能及文档的生命周期管理，而且还能够对敏感数据的识别更具针对性，与所保护Filenet系统内的数据紧密相关，保护Filenet系统内数据线上、线下安全，除所保护的Filenet系统外的其他数据均不受影响。系统安全管理更趋灵活，平台扩展性强，提供基于同一个安全平台提供不同应用的文档加密解决方案。同时系统提供文档权限管理、审批管理、日志管理等多种管理手段，通过组合各种管理手段，更有效的对重要文档的权限、数据交换、数据操作等方式进行多维度管理;并且本系统不仅仅支持AD、数字证书用户，还支持与应用系统身份系统进行集成，提供更丰富的的用户管理体系。

　　此次应用Chinasec(安元)可信网络安全平台在大幅提高工作效率与数据安全保障的基础上，实现事前控制到事中监视与事后审计，从粗放管理向精细管理的职能转变。信息主管部门将实现利用透视全局架构的优势，协助管理层制定不同状态下的策略，规范控制管理流程，持续改进业绩，创造企业价值的最大化，能有效支持中海油的管理创新与发展，将进一步巩固该集团在能源板块的领导地位。