摘要：隨著計(jì)算機(jī)應(yīng)用的不斷深入，企業(yè)越來越多的信息以數(shù)字的形式存放在網(wǎng)絡(luò)的各個(gè)節(jié)點(diǎn)上，成為關(guān)系企業(yè)生存發(fā)展的重要數(shù)字資產(chǎn)，如何對(duì)這些數(shù)字信息實(shí)施有效保護(hù)，已成為當(dāng)務(wù)之急。本文對(duì)當(dāng)前國內(nèi)外安全技術(shù)進(jìn)行了全面分析，然后結(jié)合某企業(yè)的網(wǎng)絡(luò)安全現(xiàn)狀、應(yīng)用系統(tǒng)情況等對(duì)企業(yè)信息安全系統(tǒng)的實(shí)施和部署進(jìn)行了闡述。
關(guān)鍵詞：信息安全；文檔加密；文檔權(quán)限；入侵檢測

1、國內(nèi)外安全技術(shù)分析
根據(jù)目前國內(nèi)外企業(yè)實(shí)施信息安全項(xiàng)目的特點(diǎn)和技術(shù)實(shí)現(xiàn)的難易程度，將信息安全技術(shù)歸為如下幾類：
1.1防火墻、入侵檢測技術(shù)
以防火墻、入侵檢測等為代表的信息安全保護(hù)方案，主要采用以“堵”、“防”等為主要特點(diǎn)的技術(shù)措施，對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器、PC機(jī)等進(jìn)行邊界防護(hù)，將各種可能的威脅拒之門外，在保證企業(yè)內(nèi)網(wǎng)與互聯(lián)網(wǎng)聯(lián)通的前提下，創(chuàng)造了一個(gè)相對(duì)安全的內(nèi)網(wǎng)環(huán)境，有效的保護(hù)了企業(yè)內(nèi)部網(wǎng)絡(luò)的安全，從而得到了廣泛的應(yīng)用。但是，由于這類技術(shù)是以邊界防護(hù)為重點(diǎn)，已不能滿足目前以終端作為信息泄露主要途徑的新的安全需求，不能防止企業(yè)內(nèi)部人員有意無意泄漏企業(yè)重要信息。
1.2內(nèi)網(wǎng)管理技術(shù)
內(nèi)網(wǎng)管理技術(shù)最主要的特點(diǎn)就是通過技術(shù)手段，實(shí)現(xiàn)對(duì)終端的控制和行為管理。其主要功能包括：
硬件管理：對(duì)客戶端鼠標(biāo)、鍵盤、網(wǎng)卡、打印機(jī)、端口（1394、USB等）的控制；
軟件管理：允許或禁止用戶使用某些方面的軟件、獲取當(dāng)前進(jìn)程列表并可遠(yuǎn)程終止部分進(jìn)程；
網(wǎng)絡(luò)管理：通過黑白名單方式，允許或禁止用戶的網(wǎng)絡(luò)訪問；
行為監(jiān)控：包括郵件監(jiān)控、聊天內(nèi)容監(jiān)控（MSN、QQ等），并可根據(jù)記錄的進(jìn)程信息，生成分析報(bào)告；
補(bǔ)丁管理：確保企業(yè)內(nèi)所有的機(jī)器都安裝了最新的操作系統(tǒng)補(bǔ)丁程序；
資產(chǎn)管理：根據(jù)客戶端程序返回的終端軟、硬件信息，生成固定資產(chǎn)報(bào)表。
內(nèi)網(wǎng)管理技術(shù)本質(zhì)上講是屬于防火墻、入侵檢測等產(chǎn)品功能對(duì)內(nèi)網(wǎng)的延伸，還是通過“防”、“堵”的思路來保護(hù)內(nèi)部信息不會(huì)外流，信息安全泄露后只能事后補(bǔ)救。目前內(nèi)網(wǎng)管理技術(shù)在國內(nèi)外都有大量成熟的產(chǎn)品和成功部署的實(shí)例。
1.3數(shù)據(jù)防泄漏技術(shù)
數(shù)據(jù)防泄漏產(chǎn)品部署于客戶端和服務(wù)器，通過監(jiān)控?cái)?shù)據(jù)流來判斷機(jī)密信息是否外泄。系統(tǒng)管理員首先根據(jù)企業(yè)自身的電子文檔特點(diǎn)，制定需要過濾的特征碼（如源代碼、圖紙等）及規(guī)則，當(dāng)部署在網(wǎng)絡(luò)上的探測設(shè)備檢測到數(shù)據(jù)流中包含有特征碼數(shù)據(jù)時(shí)，則按預(yù)先制定的規(guī)則，對(duì)這些內(nèi)容進(jìn)行處理（如刪除、拒絕等）。
數(shù)據(jù)防泄漏技術(shù)像是內(nèi)網(wǎng)管理技術(shù)的升級(jí)版，它是在內(nèi)網(wǎng)管理技術(shù)的基礎(chǔ)上，增加了內(nèi)容分析模塊，比傳統(tǒng)的內(nèi)網(wǎng)管理技術(shù)一刀切式的硬件、網(wǎng)絡(luò)、軟件控制方式更智能，但由于信息本身沒有經(jīng)過加密，因此本質(zhì)上還是使用“堵”和“防”的方式來保護(hù)重要信息。
1.4文檔加密技術(shù)
通過使用密碼技術(shù)，對(duì)需要保護(hù)的重要信息進(jìn)行保護(hù)，是目前比較好的信息安全保護(hù)手段，它從根本上解決了信息的安全問題。經(jīng)過加密的信息，不論通過何種存儲(chǔ)介質(zhì)（硬盤、U盤、光盤等）、何種傳輸方式（郵件、MSN、QQ等）或何種端口（USB口、紅外、網(wǎng)絡(luò)等），信息始終以密文形式存儲(chǔ)，在使用者沒有通過身份識(shí)別前，用戶不能以任何方式獲得明文。
1.5企業(yè)文檔權(quán)限管理系統(tǒng)
文檔加密技術(shù)不能實(shí)現(xiàn)按文件對(duì)不同用戶的不同授權(quán)。企業(yè)文檔權(quán)限管理系統(tǒng)，在實(shí)現(xiàn)對(duì)電子文檔自動(dòng)加密的基礎(chǔ)上，實(shí)現(xiàn)了對(duì)文檔的權(quán)限控制功能。
用戶在將自己的文件共享給他人時(shí)，必須首先對(duì)共享文件進(jìn)行授權(quán)，只有獲得授權(quán)的用戶才能按指定的權(quán)限對(duì)文件進(jìn)行訪問，其他用戶即使獲得了該文件，也因沒有授權(quán)而無法使用。
企業(yè)文檔權(quán)限管理技術(shù)是目前國內(nèi)外信息安全保護(hù)的最佳方案，但由于其技術(shù)實(shí)現(xiàn)難度較大，因此僅有少數(shù)有實(shí)力的廠商能夠提供成熟的產(chǎn)品，并提供完整的咨詢、實(shí)施、支持等服務(wù)。
綜上所述，文檔加密技術(shù)比內(nèi)網(wǎng)管理技術(shù)具有本質(zhì)上的安全優(yōu)勢，能夠達(dá)到保護(hù)企業(yè)信息安全的目標(biāo)，而且由于其不改變用戶對(duì)文檔操作的習(xí)慣和流程，因此，適合企業(yè)初始實(shí)施信息安全項(xiàng)目的要求，在成功實(shí)施后可根據(jù)需要，將文檔加密升級(jí)為企業(yè)文檔權(quán)限系統(tǒng)，從而在實(shí)現(xiàn)文檔安全保護(hù)的前提下，實(shí)現(xiàn)了對(duì)文檔的權(quán)限管理。
2、信息內(nèi)、外網(wǎng)安全建設(shè)情況
某企業(yè)已完成信息內(nèi)、外網(wǎng)的建設(shè)，信息內(nèi)網(wǎng)是指：內(nèi)部業(yè)務(wù)應(yīng)用系統(tǒng)承載網(wǎng)絡(luò)和內(nèi)部辦公網(wǎng)絡(luò)。信息外網(wǎng)是指：對(duì)外業(yè)務(wù)服務(wù)網(wǎng)絡(luò)和訪問互聯(lián)網(wǎng)用戶終端網(wǎng)絡(luò)。
隨著計(jì)算機(jī)技術(shù)的發(fā)展和應(yīng)用的不斷深入，目前對(duì)網(wǎng)絡(luò)安全的要求越來越高，如果不能保證網(wǎng)絡(luò)安全，勢必將影響到企業(yè)的生產(chǎn)、影響職工的工作和學(xué)習(xí)。目前信息內(nèi)網(wǎng)裝設(shè)有方正防火墻3000-FG-6340、入侵檢測系統(tǒng)、Trendmicro企業(yè)版防病毒系統(tǒng)等，有效地抵御了病毒、黑客等對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)的攻擊，同時(shí)內(nèi)網(wǎng)采用科來網(wǎng)絡(luò)分析系統(tǒng)，進(jìn)行網(wǎng)絡(luò)監(jiān)測、故障定位、安全隱患排查等。信息外網(wǎng)裝設(shè)有華為H3CF100E防火墻、卡巴斯基反病毒系統(tǒng)、天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)等，特別是天玥安全審計(jì)系統(tǒng)，不僅具有上網(wǎng)管理功能，還具有安全審計(jì)功能（包括實(shí)時(shí)封堵互聯(lián)網(wǎng)不良信息、URL地址關(guān)鍵字過濾、收發(fā)郵件控制、實(shí)時(shí)查看上網(wǎng)情況、日志備份與恢復(fù)、自定義封堵站點(diǎn)、內(nèi)容審計(jì)功能等），同時(shí)在信息外網(wǎng)實(shí)施了虛網(wǎng)（VLAN）劃分和MAC地址綁定等安全措施，優(yōu)化了整體網(wǎng)絡(luò)運(yùn)行環(huán)境，提升了網(wǎng)絡(luò)運(yùn)行可靠性。
3、企業(yè)信息防泄密系統(tǒng)的研究和部署
3.1計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)
目前該企業(yè)信息內(nèi)、外網(wǎng)完全物理隔離，全面實(shí)現(xiàn)“雙網(wǎng)雙機(jī)”工作方式，極大地提高了網(wǎng)絡(luò)速度和安全性能。
信息內(nèi)網(wǎng)采用二層扁平化的網(wǎng)絡(luò)方式架構(gòu)，由核心層、接入層組成，并且整個(gè)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)為星形連接方式。星型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)簡單，管理集中于網(wǎng)絡(luò)中心，可以保證網(wǎng)絡(luò)的安全性和易維護(hù)性，有效地降低網(wǎng)絡(luò)維護(hù)管理成本。網(wǎng)絡(luò)骨干采用基于光纖的千兆以太網(wǎng)，全交換快速以太網(wǎng)端口到桌面，網(wǎng)絡(luò)規(guī)模1700點(diǎn)左右，有效地保證了帶寬和多媒體的需要。信息內(nèi)網(wǎng)以路由器+防火墻的方式通過100M光纖和省電力公司相連接。為了提高網(wǎng)絡(luò)整體的安全可靠性，接入交換機(jī)與兩臺(tái)核心交換機(jī)之間均采用千兆光纖鏈路互聯(lián)。
信息外網(wǎng)骨干采用基于光纖的千兆以太網(wǎng)，全交換快速以太網(wǎng)端口到桌面，網(wǎng)絡(luò)規(guī)模1700點(diǎn)左右，通過路由器+防火墻以100M光纖接入網(wǎng)通公司。
3.2應(yīng)用系統(tǒng)
目前在計(jì)算機(jī)信息內(nèi)網(wǎng)中運(yùn)行著100多套信息應(yīng)用系統(tǒng)和有關(guān)專業(yè)應(yīng)用軟件。主要有：管理信息系統(tǒng)（MIS）、檔案管理系統(tǒng)、辦公自動(dòng)化（OA）、PowerOn項(xiàng)目管理集成系統(tǒng)、數(shù)字檔案館、遠(yuǎn)光財(cái)務(wù)軟件、Autocad繪圖軟件、電力設(shè)計(jì)標(biāo)準(zhǔn)化信息管理系統(tǒng)、電力系統(tǒng)分析軟件等。這些應(yīng)用系統(tǒng)全面覆蓋了該企業(yè)各個(gè)業(yè)務(wù)部門的日常管理和設(shè)計(jì)工作，這些系統(tǒng)的可靠、穩(wěn)定、安全運(yùn)行，有力地促進(jìn)了該企業(yè)各項(xiàng)工作的科學(xué)化、規(guī)范化和高效化。
3.3信息防泄密系統(tǒng)的實(shí)施
將該企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀、應(yīng)用系統(tǒng)情況等調(diào)查完成并進(jìn)行全面的整理和分析后，結(jié)合當(dāng)前國內(nèi)外安全技術(shù)的最新發(fā)展，本著先進(jìn)適用的原則，采用北京Sagetech公司的思智ERM產(chǎn)品（ERM:EnterpriseRightMangement,企業(yè)權(quán)限管理）來部署該企業(yè)的“企業(yè)信息防泄密系統(tǒng)”，它是一個(gè)全面整合數(shù)據(jù)保護(hù)和應(yīng)用權(quán)限管理的電子數(shù)據(jù)安全管理體系，對(duì)數(shù)據(jù)本身進(jìn)行安全保護(hù)，將企業(yè)的權(quán)限管理融入到數(shù)據(jù)信息的具體應(yīng)用之中。
3.3.1思智ERM主要功能
1）用戶身份認(rèn)證
用戶身份認(rèn)證是整個(gè)ERM安全體系的管理基礎(chǔ)，它將數(shù)據(jù)信息的使用對(duì)象由所有人變成了被授權(quán)的用戶，縮小了數(shù)據(jù)信息使用者的范圍，提升了信息管理的安全性。思智ERM支持多種身份認(rèn)證方式，確保只有授權(quán)的用戶可以使用被保護(hù)的數(shù)據(jù)信息。
2）文件加密保護(hù)
思智ERM支持所有標(biāo)準(zhǔn)公開算法，可以對(duì)核心數(shù)據(jù)信息進(jìn)行安全的加密保護(hù)，它能夠在系統(tǒng)后臺(tái)自動(dòng)完成對(duì)電子文件的透明加密操作，整個(gè)過程對(duì)用戶的操作沒有影響。
3）應(yīng)用權(quán)限細(xì)分
通過加密技術(shù)，思智ERM將數(shù)據(jù)的潛在用戶“區(qū)分”為授權(quán)用戶和非授權(quán)用戶，只有授權(quán)用戶可以使用被保護(hù)的數(shù)據(jù)信息，同時(shí)對(duì)應(yīng)用權(quán)限進(jìn)行了細(xì)分，全面支持只讀、編輯、打開時(shí)間、打開次數(shù)、解密等多種權(quán)限。
4）支持企業(yè)業(yè)務(wù)流程
思智ERM能夠根據(jù)企業(yè)的業(yè)務(wù)流程來設(shè)定數(shù)據(jù)的共享和應(yīng)用。通過思智ERM的共享審批功能，企業(yè)所有的信息共享行為都要經(jīng)過相關(guān)責(zé)任人的審批才可以實(shí)施，提升了信息共享行為的合法性，真正做到了數(shù)據(jù)信息的安全共享。
5）離線支持功能
離線狀態(tài)指的是客戶端沒有與認(rèn)證服務(wù)器建立有效連接的狀態(tài)。在實(shí)際應(yīng)用中，它往往發(fā)生在網(wǎng)絡(luò)中斷、人員出差以及回家加班等情況下，思智ERM提供了完善的離線授權(quán)功能。
當(dāng)客戶端處于離線狀態(tài)時(shí)，員工仍然按照已設(shè)定好的文件應(yīng)用策略進(jìn)行文件應(yīng)用。比如：當(dāng)員工出差在外時(shí)，可根據(jù)在出差前已設(shè)定好的文件應(yīng)用策略，在離線的狀態(tài)下按照要求進(jìn)行文件的應(yīng)用，確保企業(yè)核心機(jī)密信息不會(huì)在這個(gè)過程中泄露。
6）全面的日志審計(jì)功能
思智ERM提供全面的日志審計(jì)功能，通過記錄終端、服務(wù)器和控制臺(tái)中的用戶操作過程以及對(duì)突發(fā)安全事件的詳細(xì)記錄、分析，可以做到對(duì)企業(yè)信息的安全保護(hù)，同時(shí)為企業(yè)安全事件調(diào)查提供強(qiáng)有力的追蹤依據(jù)。
3.3.2思智ERM主要技術(shù)特點(diǎn)
1）驅(qū)動(dòng)級(jí)透明加解密技術(shù)
與應(yīng)用級(jí)透明加解密技術(shù)相比，驅(qū)動(dòng)級(jí)透明加解密技術(shù)具有工作效率高、獨(dú)立性好、安全性強(qiáng)等特點(diǎn)。
2）剪貼板防護(hù)技術(shù)
作為防止用戶主動(dòng)泄密的重要環(huán)節(jié)，剪貼板保護(hù)技術(shù)是必不可少的重要組成部分。
3）軟件特征碼指紋識(shí)別技術(shù)
目前文檔安全產(chǎn)品常用的進(jìn)程識(shí)別技術(shù)為：識(shí)別進(jìn)程名與識(shí)別窗口標(biāo)題技術(shù)，二者均有一定漏洞。思智ERM采用了更為安全可靠的軟件特征碼技術(shù)。軟件特征碼技術(shù)是對(duì)進(jìn)程采用指定算法進(jìn)行計(jì)算，提取一組唯一的數(shù)據(jù)作為該進(jìn)程的唯一身份識(shí)別，即使有相同名稱的進(jìn)程調(diào)用了機(jī)密數(shù)據(jù)，只要其運(yùn)算取得的進(jìn)程特征碼不同，則調(diào)用將被禁止。只有擁有合法特征碼的進(jìn)程才能夠使用機(jī)密數(shù)據(jù)。
4、結(jié)束語
該項(xiàng)目完成以后，不但能夠?qū)�MicrosoftOffice、CAD、JPG等任意格式的電子文檔及設(shè)計(jì)圖紙進(jìn)行加密保護(hù)，并且能夠?qū)�加密的文件進(jìn)行權(quán)限設(shè)置和備份保護(hù)。確保企業(yè)的機(jī)密信息只能夠被經(jīng)過授權(quán)的人，在授權(quán)的環(huán)境中，在指定的時(shí)間內(nèi)，進(jìn)行指定的應(yīng)用操作，并且整個(gè)過程會(huì)被詳細(xì)、完整的記錄下來，同時(shí)文檔在創(chuàng)建、存儲(chǔ)、應(yīng)用、傳輸?shù)冗^程中均以加密形式存在，杜絕黑客工具的竊取和監(jiān)聽。一旦脫離授權(quán)環(huán)境，加密電子文檔也無法解密和應(yīng)用。該項(xiàng)目的實(shí)施將為該企業(yè)機(jī)密信息資料提供安全維護(hù)和管理，構(gòu)建強(qiáng)大的安全防線和數(shù)據(jù)信息保護(hù)策略，從而協(xié)助該企業(yè)實(shí)現(xiàn)信息安全保護(hù)的戰(zhàn)略目標(biāo)。

參考文獻(xiàn)
[1]袁博趙越編著WindowsServer2003局域網(wǎng)組建與配置手冊(cè)中國青年出版社2004
[2]王達(dá)編著網(wǎng)管員必讀-網(wǎng)絡(luò)安全電子工業(yè)出版社2006
[3]北京啟明星辰信息技術(shù)有限公司編著網(wǎng)絡(luò)信息安全技術(shù)基礎(chǔ)電子工業(yè)出版社2002
 

　　中國致力于為需要刊登論文的人士提供相關(guān)服務(wù),提供迅速快捷的論文發(fā)表、寫作指導(dǎo)等服務(wù)。具體發(fā)表流程為：客戶咨詢→確定合作，客戶支付定金→文章發(fā)送并發(fā)表→客戶接收錄用通知，支付余款→雜志出版并寄送客戶→客戶確認(rèn)收到。系學(xué)術(shù)網(wǎng)站，對(duì)所投稿件無稿酬支付，謝絕非學(xué)術(shù)類稿件的投遞！

---

轉(zhuǎn)載請(qǐng)注明來自：http://www.jinnzone.com/jisuanjiyingyonglw/7675.html