XX项目_项目可行性研究_v1

XX公司【文档安全项目】
项目可行性研究报告
版本 <V 1.0>
拟制李康琳日期
审核日期
批准日期
目录
1.项目概况 (3)
2.项目建设的必要性和依据 (3)
3.关键业务需求 (4)
3.1文档加密保护需求分析 (4)
3.2文档权限控制需求 (5)
3.3角色管理需求 (5)
3.4对加密文件操作的限制需求 (6)
3.5对文件文档访问日志的需求 (6)
3.6对系统集成需求 (6)
4.建设内容和规模 (7)
5.项目建设条件分析 (8)
5.1服务器端硬件配置 (8)
5.2数据库服务器配置 (8)
6.项目进度安排和资源 (8)
7.综合评价 (9)
1.项目概况
XX公司是我国信息通信行业中规模最大的省级公司、也是广东省最大的通信运营商，网络覆盖了广东所有的行政区，网络人口覆盖率99.24%，城区达到99.71%，国道覆盖率99.80%，城区主要道路覆盖率99.71%，高速公路实现100%无缝覆盖，全省三星级以上酒店实现100%覆盖，在全国率先进行电梯和地下车库覆盖，重要场所实现100%覆盖。

截至目前，XX公司拥有移动电话客户总数超过5000万户。

2.项目建设的必要性和依据
现今XX公司已经进入了利用计算机办公的时代。

员工们用计算机代替了传统的笔和计事本，各种应用格式的电子文档也代替了传统的纸制文件。

目前机关单位的政务信息、设计机构的工程图纸、企业的企划方案和财务报表都制作成了电子文档。

与纸制文件相比电子文档的优势非常明显：编辑功能强大、制作方便、易于修改、便于编目存储与查阅。

电子文档给大家带来方便的同时也带来了重大的安全隐患。

由于电子文档便于携带和传播，一台笔记本电脑、一张软盘、一个U盘、甚至一封电子邮件都有可能将绝密的电子文档轻易的复制、非法带离。

XX公司作为国家电力系统重要的集团性公司，担负着南方核心电力输送的重要职责，其文档安全防护的重要性是不言而喻的，建立好的文档安全防护系统，制订良好的文档安全防护策略将为XX公司的健康运转起到不可估量的作用。

XX公司需要建立一套合国家保密政策，可实现按文件密级、人员涉密级进行针对性保护的文档安全系统，构建起XX公司的文档安全保护平台。

本期招标的系统就是要建立XX公司的文档安全系统，具体需求可分为：文档加密保护需求、文档授权使用需求、文档流转需求三个大部分。

3.关键业务需求
3.1文档加密保护需求分析
重要文档作为核心信息的载体是必须通过加密进行保护的，加密保护与使用授权的结合使得重要文档的内容不会泄露。

但是，将单位内所有的文档不加以区分全部进行加密的方式是不可取的，这样做会限制需要公开流转的文档、需以明文方式外发的文档以及员工个人文档的使用。

特别是如果将员工的所有个人文档（比如学习资料、个人记录）都加密的话会引发员工的不满，导致系统推行困难、员工工作积极性降低，对企业文化造成不良的影响。

因此前沿科技认为文档加密应该力求做到尽量精确需要加密保护的文档的范围，让加密做到有的放矢。

根据标书所示，XX公司本期需要保护的电子文档格式为：
●办公类：MS Word/Excel/PowerPoint、Adobe Acroreader、MS Project和Visio。

●电路设计类Protel、Cadence、LabView。

●机械设计类UG、ProE 、Catia 、SolidWorks、SolidEdge、CAXA、I-DEAS。

●图形图像处理类：3DMax、Photoshop、Core Draw。

●源程序类：VC/VB/Java等。

本期的要求几乎包括了所有主流的文档格式，在XX公司17个部门中各个部门对这些应用格式的应用情况各有不同，如：技术研究中心主要应用到设计类格式，而人事部、财务部主要应用到办公类格式的文档。

这就决定了各部门所需要加密保护的文档格式各有不同，对不同格式文档的保密程度各有不同。

针对这一情况XX公司在标书中对加密提出了明确的要求，在标准书中指明要在加密功能上必须实现：由系统按照规则进行的自动加解密、由文档使用者进行选择所需加密文档的手动加解密，并且实现手动加解密与自动加解密的整合。

要求自动加密和手动加密能够并存，即同一部门的不同用户可以分别采用自动加密和手动加密，不同的用户组也可以分别采用自动加密和手动加密两种混合模式。

3.2文档权限控制需求
1)按照访问策略对用户群组或用户进行授权访问；
2)单独授权方式可以确定阅读文档的读者范围，限定用户群组或用户名；
3)可以设置只读、打印、编辑、复制等权限；
4)可以设定离线文档使用有效期限（如从YY年M月D日到YY年M月D日或X
天）；
3.3角色管理需求
●用户管理：
XX公司的用户数量众多，对员工的管理必须实现授权、日志、审计等功能落实到员工（员工账号），实现员工不管在哪台计算机上登录，其文档使用权限、行为日志记录始终一致。

杜绝在多人轮流使用一台计算机时或者一台计算机被多人使用时由于无法将管理落实到人而产生文档泄秘的可能。

同时按照标准书要求用户管理需实现和其他认证系统包括PKI/CA、AD、LDAP、Domino等进行整合，可根据实际情况灵活配置认证模式，并能够满足用户名与密码、证书同时并存的管理模式。

●管理员管理：
在XX公司这样大规模的公司中，不可能仅由某个部门的几位员工就可以管理文档安全系统所有的运维、授权、审批等工作，必须实现管理员多层分级、多种角色，可按级别设置全公司的总管理员和各个部门的分级管理员，也可按角色设置系统管理员（负责系统正常运行的管理）、文档管理员（负责文档的授权）、审计管理员（负责对日志审计与监督工作）。

同时前沿科技建议设置审批管理员，审批管理员是专门对员工就文档使用问题所提出的申请进行审批的人，审批管理员可以与其他管理员身份重叠。

同时各级管理员也应采用证书的方式进行安全登录，提供分级部署和分级分配不同的系统管理员、文档管理员、审计管理员功能。

系统管理员只能对文档加密系统中角色进行权限分配和管理，并可设置系统管理员分级管理。

系统管理员不能对任何加解密文档和终端的计算机进行操作和查看。

审计管理员只能查看系统日志、文档的访问日志、操作日志等信息。

文档管理员可以根据公司的组织架构进行设置，文档管理员仅可以对所在用户组（包含子组）和部门内部产生的受控文档进行可控授权，但被授权对象不限制为本组织内部人员或组，对于其他组所产生的受控文档不能授权。

3.4对加密文件操作的限制需求
(1)没有登录文档安全客户端无法打开加密文档，超过设定的时间无法打开加密文
档。

(2)打开加密文档时，只能按照预先设置的只读、打印、编辑、复制等权限进行操
作；
(3)用户无法对加密文档的内容进行屏幕拷贝（锁住键盘上的PrintScreen键）、
抓图软件对屏幕进行抓图操作、屏幕电影录制软件的录制操作等；
3.5对文件文档访问日志的需求
(1)文档的访问日志要包含的项目有：文件名称、用户名称、访问时间、访问操
作、使用权限、阅读机器的主机名、IP地址;
(2)访问日志要具有统计和报表功能;
3.6对系统集成需求
（1）和LDAP系统的集成
可以从XX公司现有的LDAP系统中导入具有唯一性的用户及组织信息，并据此生成系统的组织结构，与LDAP系统能每天定时进行同步。

（2）和统一认证系统的集成
可以与XX公司现有的统一认证系统进行集成，使用统一认证的用户名和密码进行用户身份识别，文档安全客户端可以根据XX公司的UI要求进行定制。

（3）和OA系统的集成
根据XX公司的实际情况可以实现与OA系统的集成，OA系统中依旧保存原文档，集成后的文档的授权可以随公文的流转自动进行，被授权用户会收到邮件通知，根据通知中的链接从OA系统中打开和下载加密文档，并与用户的个人ID绑定，用户只能
在本人的电脑中使用，用户不能把这些文档传给其他用户或带出公司使用。

用户在公司对这些文档的访问根据预先设置的权限只能进行只读、打印或编辑的操作。

4.建设内容和规模
希望通过本期的文档安全建设，建立起XX公司的文档安全体系，使XX公司的涉密文档在使用、保护、授权等方面符合国家保密政策，实现按文件密级、人员密级的安全使用机制。

一方面应该建设出一套稳定、高效的文档安全系统，另一方面制订出XX公司的文档安全规章制度。

在文档加密方面，将所有需加密的加密。

通过手动、自动、手自一体（手动自动结合）的加密方式真正的做到精确定位所有涉密、重要的电子文档，为不同部门、不同员工制订出有针对性的加密方式，实现文档安全与使用灵活的统一。

既不放过任何需要加密的文档，又不过分限制非涉密的文档和员工个人文档。

同时保护XX公司和所有员工的权益，兼顾安全防护和以人为本。

在授权方面遵循国家保密政策，按文件密级、涉密人员的密级，建立一套完整的授权体系，为公司公开文档、各部门文档、个人涉密文档、特殊文档等各种不同类型、不同内容、不同阅读人群的文档有针对性的建立文档授权使用策略。

还应实现，一旦文档使用需求发生改变，系统可即时调整文档授权策略。

在用户管理、用户组管理、管理员管理上实现多权限、日志跟踪不受登录地点、登录计算机的限制，做到授权、监督锁定到人。

同时提供多级管理员、多角色管理员的功能，将管理角色细化。

实现与XX公司PKI/CA、AD、LDAP、Domino等进行整合，并且可灵活选择整合对象与登录方式。

在部署方面，系统要能够适应XX公司现有的网络环境与应用系统环境，在将来的系统建设中可以通过分布式部署实现系统的扩容，使之成为能服务XX公司总公司与多个分、子公司的大型文档加密管理平台。

前沿科技在满足用户所提出的功能的基础上，将强调系统的安全性、稳定性、灵活性和扩展性。

全力为XX公司建立适合其需要的文档加密系统。

5.项目建设条件分析
5.1服务器端硬件配置
IBM BC_8853 intel（R） Xeon（R）*****************.83GHz，3.25GB 的内存，160G硬盘
5.2数据库服务器配置
intel（R） Xeon（R）*****************.93GHz，16.0GB的内存，硬盘3.5TB
考虑到数据库中记录比较重要，数据库硬件服务器为两台，并采用盘阵系统确保数据安全
6.项目进度安排和资源
7.综合评价
综上所述，本项目满足以下条件：
（1）现有产品已能满足XX公司的基本需求；
（2）针对XX公司定制化需求，现有产品已经可以提供完整的集成方案及接口；（3）XX公司属于通信行业龙头企业，其需求极其具有行业代表性和可复制性因此，可以开始对此项目的需求进行设计及开发。