论文发表指导,期刊推荐,国际出版
论文发表指导,期刊推荐,国际出版
学术出版,国际教著,国际期刊,SCI,SSCI,EI,SCOPUS,A&HCI等高端学术咨询
来源:职称驿站所属分类:信息管理论文 发布时间:2012-09-28浏览:33次
摘要:当前我们已进入信息化时代,网络技术的飞速发展,使得信息的共享程度进一步提高。网络已经成为大部分企业工作中不可缺少的基础环境。借助网络提高工作效率的同时,信息安全问题也变得越来越突出,企业对自身重要文档的安全保护更加重要。
关键词:加密、文档保护
一、引言
我公司是一家具有百年历史的企业,目前正站新的历史起点上,建设成中国高合金中厚壁特种无缝钢管生产基地、中国高合金钢锻材生产基地、中国合金钢棒材生产基地,致力于打造最具核心竞争力的特钢强企。特钢行业具有很多科技含量高核心机密数据,因此如何保障这些作为企业核心资产数据的安全性和保密性是至关重要的,这是关乎企业生存与发展的大事,只有其核心资产得到有效的保护,才能保证企业的市场竞争力和持续创新能力。
二、公司目前文档现状
目前公司的涉密信息均以明文方式存储于各电脑终端和各类应用系统中,并根据业务需要,通过业务平台、网络、便携终端、移动存储介质等进行数据传递、存储和使用。主要存在以下问题和隐患:
1、从数据形态上
涉密信息在全生命周期过程中均为明文电子文档形式存储,存在轻易复制性和不可完整追溯性问题;
明文文档在业务流转过程中,权限管理过于粗放或归属不清晰问题;
因业务需要,将涉密信息发出到其他部门使用时,导致的数据二次泄密问题。
2、从安全意识上
涉密信息通过邮件、业务平台误发送造成泄密的问题;
涉密信息未按标准流程和保密归档随意传递给外部泄密问题;
竞争对手、黑客通过欺骗、仿冒或其他途径恶意窃取涉密信息泄密问题。
员工误装含有木马、病毒的软件时可能给公司网络带来的数据损坏或泄密的问题;
内部员工为了商业目的,违反保密规定主动泄漏涉密信息引起的泄密隐患。
三、 加密文档系统实施目标
通过实施这套系统,实现以下重要目标:
1. 文档加密保护对本企业主要应用软件(Office、EAS等)产生的各类涉密文档进高强度的透明加密保护。确保这些文档只要脱离了受控环境任何人也无法使用。而且要求操作简单,应用方便;
2. 业务系统安全性整合,对各类业务系统(文档中心、EAS报表系统)中生成的文档进行加密。只要脱离了这些系统,自动被本安全系统接管并转换为加密状态;
3. 文档访问控制,各组织单位、使用者按实际需求,分级管理,高效合理的利用权限做到细粒度的访问控制;
4. 文档外发保护,授权加密文档的使用权限、有效期和允许访问的计算机,防止重要信息泄露和非法扩散。
5. 终端介质管理,对终端使用的移动存储介质进行访问控制,防止未授权用户使用这些设备。
6. 终端软硬件资产,可集中查询、审计终端软硬件资产的变更历史,防止这些资产流失。
7. 终端安全管理,限制未授权的终端用户自行安装软件;通过服务端统一分发软件及应用,实现终端的规范化和标准化的工作环境;
8. 安全审计,实现对身份、操作行为的完整记录、查询,以便事后审计和追溯。
四、 系统部署
1、 软件支撑环境
服务端:Windos2000Server/Windows2003Server/Windows2008Server
客户端:32位版的Windows2000SP4/XP/Windows2003/WindowsVista/Windows7,64位版的WindowsXP/Windows2003/WindowsVista/Windows7
2、软件部署模型
安全管理服务器上安装安全服务、数据库服务、目录服务、Web服务等模块。文件服务器仅在安装了电子仓库模块时使用,它可以是一台包含大容量磁盘的普通计算机。服务端系统具有结构清晰,分层合理,扩展性好,安全可靠的特性。如果企业对系统有容灾处理、容错处理的等高可靠性和可用性要求,我们建议对安全服务器进行集群。这样在一台服务器出现故障的时候,另一台服务器能接替继续正常工作。
涉密的计算机终端上先安装加密系统客户端升级代理,通过升级代理来自动远程推装客户端软件及以后的客户端升级包;非涉密计算机终端上无需部署客户端,如需阅读或打印加密图纸,可使用免安装的文件外发保护程序。
五、具体实施应用
人员组织管理
构建整个企业的人员和组织单位的结构,人员组织信息存储在标准的LDAP服务器中,可以实现大型集团公司各子公司间的人员组织联邦式管理。可以直接与Windows域进行双向无缝集成,并可使用Windows域账户单点登录安全系统。
用户角色和权限管理
系统可以自行定义不同的角色对象,每种角色对象被分配了不同的权限,角色对象支持权限继承。
身份识别
本系统的身份识别是根据其系统账号或智能卡(用户证书+PIN码)为判断依据的,用户只有使用系统账号或智能卡成功登录后方可获得相应的权限。
安全策略配置
安全策略分成平台安全策略、文件安全策略及设备安全策略三大类几十种策略项,而且这些策略项随着软件的升级还将不断扩充。比如我们关心的要对哪些应用程序、哪些文档类型进行自动加密,就是通过安全策略中的“信任应用程序列表”策略项来配置完成的。
安全审计
使用了本系统后,企业内网中所有客户机均是在一个受控的环境下进行工作的,客户机的运行状况、文件操作事件均会记录在服务端的日志数据库中。通过这些日志信息,安全管理人员可以搜索查询特定的安全日志,分析网络安全状况。
客户端自动部署管理
为了简化客户端的部署过程,本系统采用了类似Windows自动更新的技术。在客户机上安装了升级代理模块后,升级代理将自动检查和安装服务器上设定的最新的客户端软件或补丁程序。
安全管理控制台
安全管理控制台对人员组织管理、权限管理、证书管理、安全策略配置、安全审计等全部服务端模块进行集中控制,提供了一个统一的图形操作界面。多个管理员可以同时登录到管理控制台上进行管理。安全管理控制台可以方便地查询加密文件操作日志、移动设备使用日志、授权变更等信息,帮助安全管理人员分析进行安全审计。
终端软硬件资产管理
通过安全管理控制台,可以集成查看各受控终端上软件安装清单和硬件配置清单,一旦硬件配置发生改变,在控制台上可以自动显示红色警告,等待管理员审核变更。可以对比变更历史,生成Excel报表。
终端软件安装控制
禁止未授权的终端用户在终端上安装各种软件(非安装型的绿色工具除外),避免一些非企业规定的软件安装后带来的病毒入侵的危害或影响工作效率等后果。
移动存储设备访问控制
该模块根据服务端的授权对客户端的移动设备(软盘、CD-ROM、U盘/MP3、内存卡(如手机、相机用)、移动硬盘、ZIP盘等)进行严格控制,没有得到服务端授权的用户,无法使用移动存储设备。移动存储设备的访问权限分为:可读和可写两级。
文件透明加解密
文件加解密是客户端的核心功能,对于加解密这项功能而言,不仅可靠性、执行效率是十分重要的,操作过程的便捷性同样也是非常关键的。本系统的文件加解密过程对用户而言完全是“透明”的。所谓“透明”,就是用户感觉不到这个过程的存在,一切都是客户端系统在后台自动、快速地完成。对什么类型的文件进行加密,什么类型的文件不加密,完全取决于服务器上的安全策略的设定。本系统的加解密模块运行在操作系统的内核态环境中,具有非常高的可靠性和执行效率。
本地加密文件访问控制
本地加密文件是指所有存储在各个客户机上的加密文件。任何人要访问(读取或打印)这些加密文件,必须得到系统的授权,包括作者本人。为了简化授权操作,SecureOne还提供了多种相关的安全策略,通过安全策略和角色授权可以轻松地实现按行政组织层次结构分级管理。
边界拷贝保护
边界拷贝保护策略规定:任何受信任计算机的机器上的任何文件,拷贝到边界外时自动加密。这里的边界外是指:移动存储设备、网络上非信任的计算机。通过与网络访问控制模块的结合,还可防止用户从非受信任计算机上拷贝受信任计算机上的共享文档。
内容拷贝保护
内容拷贝保护是指对用户通过剪贴板、拖拽、OLE插入等方法拷贝已打开的加密文档中的内容(包括文字、图片等)进行保护。系统将应用程序分成信任和非信任两种类型,信任程序是指位于信任应用程序列表中,文件保存时自动加密的应用程序,反之则属于非信任程序。内容拷贝保护策略规定:信任程序自身或之间可以自由使用剪贴板、拖拽等方法拷贝数据,非信任程序中的数据也可拷贝到信任程序中,但信任程序中的数据无法拷贝到非信任程序中。
出差用户的离线保护
对于移动办公和出差在外的笔记本电脑用户,我们提供了基于智能卡(USBKey)的离线文档控制。每个智能卡根据特定的计算机设备刷写,实现一机一卡,混用无效。卡内包含了加/解密处理芯片、数字证书和密钥(加密态存储)。用户将该卡插入计算机的USB口,正确输入智能卡密码后,方能打开计算机中加密的文件。还可设定智能卡的有效期。该智能卡采用了先进的防篡改技术,用户无法对卡内数据进行修改和物理复制。通过我们的智能卡,可以十分有效地解决“离线”加密文件安全访问控制这一棘手的问题。
六、结束语
该系统采用文件加密RC4或AES高强度加密算法,这些算法在国际上广泛流行使用,其安全性和可靠性是经过长期的实践检验得到各界广泛认可的。加密密钥由用户自定义的密钥串和企业加密锁两部分构成,可有效防止开发商或内部雇员盗用密钥库,加密文件破解代价非常高,在商用领域基本不具有可操作性。因此有效的保护了公司的文档资源,防止了文件的非法流失,达到了设计效果。
《浅谈加密文档在本企业中的应用》
本文由职称驿站首发,您身边的高端学术顾问
文章名称: 浅谈加密文档在本企业中的应用
下一篇:浅谈测绘工程的质量管理与系统控制
扫码关注公众号
微信扫码加好友
职称驿站 www.zhichengyz.com 版权所有 仿冒必究 冀ICP备16002873号-3
