摘要：隨著計算機應用的不斷深入，企業(yè)越來越多的信息以數(shù)字的形式存放在網(wǎng)絡的各個節(jié)點上，成為關系企業(yè)生存發(fā)展的重要數(shù)字資產(chǎn)，如何對這些數(shù)字信息實施有效保護，已成為當務之急。本文對當前國內(nèi)外安全技術進行了全面分析，然后結(jié)合某企業(yè)的網(wǎng)絡安全現(xiàn)狀、應用系統(tǒng)情況等對企業(yè)信息安全系統(tǒng)的實施和部署進行了闡述。
關鍵詞：信息安全；文檔加密；文檔權(quán)限；入侵檢測

1、國內(nèi)外安全技術分析
根據(jù)目前國內(nèi)外企業(yè)實施信息安全項目的特點和技術實現(xiàn)的難易程度，將信息安全技術歸為如下幾類：
1.1防火墻、入侵檢測技術
以防火墻、入侵檢測等為代表的信息安全保護方案，主要采用以“堵”、“防”等為主要特點的技術措施，對網(wǎng)絡設備、服務器、PC機等進行邊界防護，將各種可能的威脅拒之門外，在保證企業(yè)內(nèi)網(wǎng)與互聯(lián)網(wǎng)聯(lián)通的前提下，創(chuàng)造了一個相對安全的內(nèi)網(wǎng)環(huán)境，有效的保護了企業(yè)內(nèi)部網(wǎng)絡的安全，從而得到了廣泛的應用。但是，由于這類技術是以邊界防護為重點，已不能滿足目前以終端作為信息泄露主要途徑的新的安全需求，不能防止企業(yè)內(nèi)部人員有意無意泄漏企業(yè)重要信息。
1.2內(nèi)網(wǎng)管理技術
內(nèi)網(wǎng)管理技術最主要的特點就是通過技術手段，實現(xiàn)對終端的控制和行為管理。其主要功能包括：
硬件管理：對客戶端鼠標、鍵盤、網(wǎng)卡、打印機、端口（1394、USB等）的控制；
軟件管理：允許或禁止用戶使用某些方面的軟件、獲取當前進程列表并可遠程終止部分進程；
網(wǎng)絡管理：通過黑白名單方式，允許或禁止用戶的網(wǎng)絡訪問；
行為監(jiān)控：包括郵件監(jiān)控、聊天內(nèi)容監(jiān)控（MSN、QQ等），并可根據(jù)記錄的進程信息，生成分析報告；
補丁管理：確保企業(yè)內(nèi)所有的機器都安裝了最新的操作系統(tǒng)補丁程序；
資產(chǎn)管理：根據(jù)客戶端程序返回的終端軟、硬件信息，生成固定資產(chǎn)報表。
內(nèi)網(wǎng)管理技術本質(zhì)上講是屬于防火墻、入侵檢測等產(chǎn)品功能對內(nèi)網(wǎng)的延伸，還是通過“防”、“堵”的思路來保護內(nèi)部信息不會外流，信息安全泄露后只能事后補救。目前內(nèi)網(wǎng)管理技術在國內(nèi)外都有大量成熟的產(chǎn)品和成功部署的實例。
1.3數(shù)據(jù)防泄漏技術
數(shù)據(jù)防泄漏產(chǎn)品部署于客戶端和服務器，通過監(jiān)控數(shù)據(jù)流來判斷機密信息是否外泄。系統(tǒng)管理員首先根據(jù)企業(yè)自身的電子文檔特點，制定需要過濾的特征碼（如源代碼、圖紙等）及規(guī)則，當部署在網(wǎng)絡上的探測設備檢測到數(shù)據(jù)流中包含有特征碼數(shù)據(jù)時，則按預先制定的規(guī)則，對這些內(nèi)容進行處理（如刪除、拒絕等）。
數(shù)據(jù)防泄漏技術像是內(nèi)網(wǎng)管理技術的升級版，它是在內(nèi)網(wǎng)管理技術的基礎上，增加了內(nèi)容分析模塊，比傳統(tǒng)的內(nèi)網(wǎng)管理技術一刀切式的硬件、網(wǎng)絡、軟件控制方式更智能，但由于信息本身沒有經(jīng)過加密，因此本質(zhì)上還是使用“堵”和“防”的方式來保護重要信息。
1.4文檔加密技術
通過使用密碼技術，對需要保護的重要信息進行保護，是目前比較好的信息安全保護手段，它從根本上解決了信息的安全問題。經(jīng)過加密的信息，不論通過何種存儲介質(zhì)（硬盤、U盤、光盤等）、何種傳輸方式（郵件、MSN、QQ等）或何種端口（USB口、紅外、網(wǎng)絡等），信息始終以密文形式存儲，在使用者沒有通過身份識別前，用戶不能以任何方式獲得明文。
1.5企業(yè)文檔權(quán)限管理系統(tǒng)
文檔加密技術不能實現(xiàn)按文件對不同用戶的不同授權(quán)。企業(yè)文檔權(quán)限管理系統(tǒng)，在實現(xiàn)對電子文檔自動加密的基礎上，實現(xiàn)了對文檔的權(quán)限控制功能。
用戶在將自己的文件共享給他人時，必須首先對共享文件進行授權(quán)，只有獲得授權(quán)的用戶才能按指定的權(quán)限對文件進行訪問，其他用戶即使獲得了該文件，也因沒有授權(quán)而無法使用。
企業(yè)文檔權(quán)限管理技術是目前國內(nèi)外信息安全保護的最佳方案，但由于其技術實現(xiàn)難度較大，因此僅有少數(shù)有實力的廠商能夠提供成熟的產(chǎn)品，并提供完整的咨詢、實施、支持等服務。
綜上所述，文檔加密技術比內(nèi)網(wǎng)管理技術具有本質(zhì)上的安全優(yōu)勢，能夠達到保護企業(yè)信息安全的目標，而且由于其不改變用戶對文檔操作的習慣和流程，因此，適合企業(yè)初始實施信息安全項目的要求，在成功實施后可根據(jù)需要，將文檔加密升級為企業(yè)文檔權(quán)限系統(tǒng)，從而在實現(xiàn)文檔安全保護的前提下，實現(xiàn)了對文檔的權(quán)限管理。
2、信息內(nèi)、外網(wǎng)安全建設情況
某企業(yè)已完成信息內(nèi)、外網(wǎng)的建設，信息內(nèi)網(wǎng)是指：內(nèi)部業(yè)務應用系統(tǒng)承載網(wǎng)絡和內(nèi)部辦公網(wǎng)絡。信息外網(wǎng)是指：對外業(yè)務服務網(wǎng)絡和訪問互聯(lián)網(wǎng)用戶終端網(wǎng)絡。
隨著計算機技術的發(fā)展和應用的不斷深入，目前對網(wǎng)絡安全的要求越來越高，如果不能保證網(wǎng)絡安全，勢必將影響到企業(yè)的生產(chǎn)、影響職工的工作和學習。目前信息內(nèi)網(wǎng)裝設有方正防火墻3000-FG-6340、入侵檢測系統(tǒng)、Trendmicro企業(yè)版防病毒系統(tǒng)等，有效地抵御了病毒、黑客等對整個網(wǎng)絡系統(tǒng)的攻擊，同時內(nèi)網(wǎng)采用科來網(wǎng)絡分析系統(tǒng)，進行網(wǎng)絡監(jiān)測、故障定位、安全隱患排查等。信息外網(wǎng)裝設有華為H3CF100E防火墻、卡巴斯基反病毒系統(tǒng)、天玥網(wǎng)絡安全審計系統(tǒng)等，特別是天玥安全審計系統(tǒng)，不僅具有上網(wǎng)管理功能，還具有安全審計功能（包括實時封堵互聯(lián)網(wǎng)不良信息、URL地址關鍵字過濾、收發(fā)郵件控制、實時查看上網(wǎng)情況、日志備份與恢復、自定義封堵站點、內(nèi)容審計功能等），同時在信息外網(wǎng)實施了虛網(wǎng)（VLAN）劃分和MAC地址綁定等安全措施，優(yōu)化了整體網(wǎng)絡運行環(huán)境，提升了網(wǎng)絡運行可靠性。
3、企業(yè)信息防泄密系統(tǒng)的研究和部署
3.1計算機網(wǎng)絡系統(tǒng)
目前該企業(yè)信息內(nèi)、外網(wǎng)完全物理隔離，全面實現(xiàn)“雙網(wǎng)雙機”工作方式，極大地提高了網(wǎng)絡速度和安全性能。
信息內(nèi)網(wǎng)采用二層扁平化的網(wǎng)絡方式架構(gòu)，由核心層、接入層組成，并且整個網(wǎng)絡的拓撲結(jié)構(gòu)為星形連接方式。星型網(wǎng)絡拓撲結(jié)構(gòu)簡單，管理集中于網(wǎng)絡中心，可以保證網(wǎng)絡的安全性和易維護性，有效地降低網(wǎng)絡維護管理成本。網(wǎng)絡骨干采用基于光纖的千兆以太網(wǎng)，全交換快速以太網(wǎng)端口到桌面，網(wǎng)絡規(guī)模1700點左右，有效地保證了帶寬和多媒體的需要。信息內(nèi)網(wǎng)以路由器+防火墻的方式通過100M光纖和省電力公司相連接。為了提高網(wǎng)絡整體的安全可靠性，接入交換機與兩臺核心交換機之間均采用千兆光纖鏈路互聯(lián)。
信息外網(wǎng)骨干采用基于光纖的千兆以太網(wǎng)，全交換快速以太網(wǎng)端口到桌面，網(wǎng)絡規(guī)模1700點左右，通過路由器+防火墻以100M光纖接入網(wǎng)通公司。
3.2應用系統(tǒng)
目前在計算機信息內(nèi)網(wǎng)中運行著100多套信息應用系統(tǒng)和有關專業(yè)應用軟件。主要有：管理信息系統(tǒng)（MIS）、檔案管理系統(tǒng)、辦公自動化（OA）、PowerOn項目管理集成系統(tǒng)、數(shù)字檔案館、遠光財務軟件、Autocad繪圖軟件、電力設計標準化信息管理系統(tǒng)、電力系統(tǒng)分析軟件等。這些應用系統(tǒng)全面覆蓋了該企業(yè)各個業(yè)務部門的日常管理和設計工作，這些系統(tǒng)的可靠、穩(wěn)定、安全運行，有力地促進了該企業(yè)各項工作的科學化、規(guī)范化和高效化。
3.3信息防泄密系統(tǒng)的實施
將該企業(yè)網(wǎng)絡安全現(xiàn)狀、應用系統(tǒng)情況等調(diào)查完成并進行全面的整理和分析后，結(jié)合當前國內(nèi)外安全技術的最新發(fā)展，本著先進適用的原則，采用北京Sagetech公司的思智ERM產(chǎn)品（ERM:EnterpriseRightMangement,企業(yè)權(quán)限管理）來部署該企業(yè)的“企業(yè)信息防泄密系統(tǒng)”，它是一個全面整合數(shù)據(jù)保護和應用權(quán)限管理的電子數(shù)據(jù)安全管理體系，對數(shù)據(jù)本身進行安全保護，將企業(yè)的權(quán)限管理融入到數(shù)據(jù)信息的具體應用之中。
3.3.1思智ERM主要功能
1）用戶身份認證
用戶身份認證是整個ERM安全體系的管理基礎，它將數(shù)據(jù)信息的使用對象由所有人變成了被授權(quán)的用戶，縮小了數(shù)據(jù)信息使用者的范圍，提升了信息管理的安全性。思智ERM支持多種身份認證方式，確保只有授權(quán)的用戶可以使用被保護的數(shù)據(jù)信息。
2）文件加密保護
思智ERM支持所有標準公開算法，可以對核心數(shù)據(jù)信息進行安全的加密保護，它能夠在系統(tǒng)后臺自動完成對電子文件的透明加密操作，整個過程對用戶的操作沒有影響。
3）應用權(quán)限細分
通過加密技術，思智ERM將數(shù)據(jù)的潛在用戶“區(qū)分”為授權(quán)用戶和非授權(quán)用戶，只有授權(quán)用戶可以使用被保護的數(shù)據(jù)信息，同時對應用權(quán)限進行了細分，全面支持只讀、編輯、打開時間、打開次數(shù)、解密等多種權(quán)限。
4）支持企業(yè)業(yè)務流程
思智ERM能夠根據(jù)企業(yè)的業(yè)務流程來設定數(shù)據(jù)的共享和應用。通過思智ERM的共享審批功能，企業(yè)所有的信息共享行為都要經(jīng)過相關責任人的審批才可以實施，提升了信息共享行為的合法性，真正做到了數(shù)據(jù)信息的安全共享。
5）離線支持功能
離線狀態(tài)指的是客戶端沒有與認證服務器建立有效連接的狀態(tài)。在實際應用中，它往往發(fā)生在網(wǎng)絡中斷、人員出差以及回家加班等情況下，思智ERM提供了完善的離線授權(quán)功能。
當客戶端處于離線狀態(tài)時，員工仍然按照已設定好的文件應用策略進行文件應用。比如：當員工出差在外時，可根據(jù)在出差前已設定好的文件應用策略，在離線的狀態(tài)下按照要求進行文件的應用，確保企業(yè)核心機密信息不會在這個過程中泄露。
6）全面的日志審計功能
思智ERM提供全面的日志審計功能，通過記錄終端、服務器和控制臺中的用戶操作過程以及對突發(fā)安全事件的詳細記錄、分析，可以做到對企業(yè)信息的安全保護，同時為企業(yè)安全事件調(diào)查提供強有力的追蹤依據(jù)。
3.3.2思智ERM主要技術特點
1）驅(qū)動級透明加解密技術
與應用級透明加解密技術相比，驅(qū)動級透明加解密技術具有工作效率高、獨立性好、安全性強等特點。
2）剪貼板防護技術
作為防止用戶主動泄密的重要環(huán)節(jié)，剪貼板保護技術是必不可少的重要組成部分。
3）軟件特征碼指紋識別技術
目前文檔安全產(chǎn)品常用的進程識別技術為：識別進程名與識別窗口標題技術，二者均有一定漏洞。思智ERM采用了更為安全可靠的軟件特征碼技術。軟件特征碼技術是對進程采用指定算法進行計算，提取一組唯一的數(shù)據(jù)作為該進程的唯一身份識別，即使有相同名稱的進程調(diào)用了機密數(shù)據(jù)，只要其運算取得的進程特征碼不同，則調(diào)用將被禁止。只有擁有合法特征碼的進程才能夠使用機密數(shù)據(jù)。
4、結(jié)束語
該項目完成以后，不但能夠?qū)�MicrosoftOffice、CAD、JPG等任意格式的電子文檔及設計圖紙進行加密保護，并且能夠?qū)�加密的文件進行權(quán)限設置和備份保護。確保企業(yè)的機密信息只能夠被經(jīng)過授權(quán)的人，在授權(quán)的環(huán)境中，在指定的時間內(nèi)，進行指定的應用操作，并且整個過程會被詳細、完整的記錄下來，同時文檔在創(chuàng)建、存儲、應用、傳輸?shù)冗^程中均以加密形式存在，杜絕黑客工具的竊取和監(jiān)聽。一旦脫離授權(quán)環(huán)境，加密電子文檔也無法解密和應用。該項目的實施將為該企業(yè)機密信息資料提供安全維護和管理，構(gòu)建強大的安全防線和數(shù)據(jù)信息保護策略，從而協(xié)助該企業(yè)實現(xiàn)信息安全保護的戰(zhàn)略目標。

參考文獻
[1]袁博趙越編著WindowsServer2003局域網(wǎng)組建與配置手冊中國青年出版社2004
[2]王達編著網(wǎng)管員必讀-網(wǎng)絡安全電子工業(yè)出版社2006
[3]北京啟明星辰信息技術有限公司編著網(wǎng)絡信息安全技術基礎電子工業(yè)出版社2002
 

　　搜論文知識網(wǎng)致力于為需要刊登論文的人士提供相關服務,提供迅速快捷的論文發(fā)表、寫作指導等服務。具體發(fā)表流程為：客戶咨詢→確定合作，客戶支付定金→文章發(fā)送并發(fā)表→客戶接收錄用通知，支付余款→雜志出版并寄送客戶→客戶確認收到。鳴網(wǎng)系學術網(wǎng)站，對所投稿件無稿酬支付，謝絕非學術類稿件的投遞！