企業(yè)電子文檔的安全調(diào)查報告模板_第1頁
企業(yè)電子文檔的安全調(diào)查報告模板_第2頁
企業(yè)電子文檔的安全調(diào)查報告模板_第3頁
企業(yè)電子文檔的安全調(diào)查報告模板_第4頁
企業(yè)電子文檔的安全調(diào)查報告模板_第5頁
已閱讀5頁,還剩45頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

企業(yè)電子文檔的安全調(diào)查報告資料內(nèi)容僅供參考,如有不當(dāng)或者侵權(quán),請聯(lián)系本人改正或者刪除。企業(yè)電子文檔安全調(diào)查報告摘要:當(dāng)前,中國的計算機安全防護能力處于發(fā)展的初級階段,許多計算機基本上處于不設(shè)防狀態(tài)。這種情形加劇了企業(yè)內(nèi)部各種電子文檔面臨的危險,文檔信息泄密現(xiàn)如今已成為各大企業(yè)面臨的重大問題。企業(yè)文檔在日常使用過程中,容易被員工無意中泄露,或者被競爭對手獲取,特別是一些無形資產(chǎn)(如設(shè)計圖紙、企劃方案、客戶方案、客戶信息等)和企業(yè)的一些秘密文檔(如企業(yè)內(nèi)部財務(wù)數(shù)據(jù)、工資文檔)。無紙化的辦公使文件都在內(nèi)部網(wǎng)絡(luò)中,本文經(jīng)過對當(dāng)前企業(yè)電子文檔所面臨的安全隱患問題分析,列舉企業(yè)電子文檔泄密的重大案例,分析電子文檔泄密的危害,經(jīng)過分析當(dāng)前國內(nèi)企業(yè)電子文檔安全保護的解決方案的優(yōu)缺點,提出電子文檔的保護的思路及策略。關(guān)鍵詞:電子文檔,安全問題,保護;引言現(xiàn)代企業(yè)在發(fā)展過程中不但積累了大量的電子文檔,而且還在加速不斷產(chǎn)生新的文檔。這些文檔涉及企業(yè)的核心技術(shù)資產(chǎn)和敏感信息,需要安全可靠的存放。隨著各行業(yè)在生產(chǎn)、管理上日益信息化,計算機和網(wǎng)絡(luò)已經(jīng)成為政府、企事業(yè)單位日常辦公不可缺少的重要工具,長期以來,由于缺少有效的管理模式和技術(shù)手段,文檔被分散存放在個人PC機上,產(chǎn)生了各種信息安全問題和一致性問題。Internet和移動終端日益普及,在給人們帶來便利的同時,也帶來信息安全方面的隱患。由于電子文檔極易復(fù)制且復(fù)制后不留任何痕跡,企業(yè)的信息化安全也面臨巨大的挑戰(zhàn)。因此對于企業(yè)來說,了解電子文檔安全存在的安全風(fēng)險,能夠更好的選擇符合自己的企業(yè)電子文檔防護系統(tǒng)。當(dāng)前,國內(nèi)的企業(yè)用重金購置防火墻,防病毒軟件來防止外界威脅的同時,往往忽視了對內(nèi)部安全威脅的對策。而企業(yè)文檔的泄密主要來自于多方面,因此研究企業(yè)文檔泄密的類型能為企業(yè)文檔安全防患于未然。當(dāng)前市場上存在許多的電子文檔安全防護產(chǎn)品,然而怎么為企業(yè)選購合適的安全產(chǎn)品,這也是企業(yè)面臨的一個重要問題。針對這一系列存在的問題,我們展開了對企業(yè)電子文檔安全的調(diào)查,本文將從以下方面進行研究并論述。1、調(diào)查背景1.1電子文檔的定義及特征所謂電子文檔是指人們在社會活動中形成的,以計算機盤片、磁盤和光盤等化學(xué)磁性材料為主要載體的文字材料。它主要包括電子文書、電子信件、電子報表、電子圖紙等。在企業(yè)內(nèi)部,具體的企業(yè)電子文檔主要是指企業(yè)的戰(zhàn)略決策、營銷策劃、重大會議紀(jì)要、客戶信息、市場信息、財務(wù)預(yù)算、財務(wù)報表、工程圖紙、設(shè)計圖紙、設(shè)計方案、涉及企業(yè)秘密/企業(yè)機密的機要文件等。電子文檔主要有以下六個特點:存儲介質(zhì)多樣、容易編輯修改、容易傳遞、容易復(fù)制、容易損壞丟失、容易還原再生。(1)存儲介質(zhì)多樣。電子文檔存儲介質(zhì)很多,當(dāng)前主要有計算機硬盤、各種光盤、U盤、閃盤,甚至手機和娛樂用的數(shù)碼產(chǎn)品也能夠用來存儲電子文檔。(2)容易編輯修改。借助于各種專業(yè)軟件,能夠很容易的編輯修改電子文檔,而且修改的痕跡很難發(fā)現(xiàn)。這是電子文檔有別于紙質(zhì)文件的優(yōu)點之一,可是如果不能很好的保護,就可能受到非法的修改,會破壞文檔的完整性和可讀性,給文檔所有者帶來一定程度的損失,這時候它又變成一個缺點。(3)容易傳遞。紙質(zhì)文件的傳遞必須要當(dāng)面遞送,而電子文檔的傳遞則方便很多。借助于網(wǎng)絡(luò),經(jīng)過電子郵件、即時通訊工具、FTP服務(wù)等方式能夠快捷方便的傳給有關(guān)人員。(4)容易復(fù)制。電子文檔相比紙質(zhì)文檔非常方便快捷。如果不采取技術(shù)手段限制拷貝,經(jīng)過點擊幾下電腦鼠標(biāo)就能輕松完成復(fù)制。這樣,人們就能夠非常方便地進行信息共享。(5)容易損壞丟失。一是存儲介質(zhì)物理損壞或者丟失。電子文件對保存場地的面積要求不高,而對環(huán)境的溫濕度、防磁性等條件的要求很高,磁盤不能長期保存。磁盤、光盤、U盤等存儲介質(zhì)如果損壞,那么相應(yīng)存儲的電子文檔也就不能讀取使用。一些U盤、閃盤體積很小,容易丟失,相應(yīng)會造成電子文檔丟失。二是電子文檔容易被誤操作刪除,或者被病毒破壞。如果文件被刪除不及時恢復(fù),有可能永遠(yuǎn)無法恢復(fù)。(6)容易還原恢復(fù)。電子文檔誤刪后,能夠經(jīng)過數(shù)據(jù)恢復(fù)軟件還原,這原來是電子文檔的又一個優(yōu)點,可是對一些原本要刪除的機密的文件,又存在被非法還原的隱患。有研究表明,普通的刪除和格式化根本不能將數(shù)據(jù)徹底清除,硬盤被改寫12次還能將原有數(shù)據(jù)還原,只要存儲介質(zhì)未被物理損壞,進行特殊處理就能將數(shù)據(jù)還原?,F(xiàn)代企業(yè)在發(fā)展過程中不但積累了大量的電子文檔,而且還在加速不斷產(chǎn)生新的文檔。這些文檔涉及企業(yè)的核心技術(shù)資產(chǎn)和敏感信息,需要安全可靠的存放。隨著各行業(yè)在生產(chǎn)、管理上日益信息化,計算機和網(wǎng)絡(luò)已經(jīng)成為政府、企事業(yè)單位日常辦公不可缺少的重要工具,長期以來,由于缺少有效的管理模式和技術(shù)手段,文檔被分散存放在個人PC機上,產(chǎn)生了各種信息安全問題和一致性問題。Internet是一個開放的網(wǎng)絡(luò),同其高速發(fā)展相關(guān)的負(fù)面結(jié)果就是嚴(yán)重的網(wǎng)絡(luò)安全問題。根據(jù)FBI和CSI對484家公司調(diào)查,發(fā)現(xiàn):·有超過85%的安全威脅來自企業(yè)內(nèi)部?!び?6%來自內(nèi)部未授權(quán)的存取;·有14%專利信息被竊取;·有12%內(nèi)部人員的財務(wù)欺騙;·有11%資料或網(wǎng)絡(luò)的破壞;·中國國內(nèi)80%的網(wǎng)站存在安全隱患,20%的網(wǎng)站有嚴(yán)重安全問題。1.2-的十大泄密事件盤點(1)富士康”內(nèi)鬼”泄密富士康公司內(nèi)部員工林某將iPAD2平板電腦后殼的3D數(shù)據(jù)圖泄露,給富士康造成重大損失。(2)中國考研泄題案犯以非法獲取國家秘密罪獲刑周文勝、歐陽澤輝(中南大學(xué)湘雅三醫(yī)院技師)、段宏博(中南大學(xué)人事處聘用人員)、陳龍(貴州省遵義醫(yī)學(xué)院研究生)等人為謀取經(jīng)濟利益,利用職務(wù)之便,從湘潭市教育考試院保密室竊取了考試試卷,并復(fù)印轉(zhuǎn)賣。(3)三星電子泄露機密三星電子生活家電部的A某在面臨合同屆滿并難再續(xù)約的情況下,將公司的技術(shù)開發(fā)戰(zhàn)略等機密下載到自己的筆記本電腦里,企圖向中國某家電企業(yè)泄密。(4)臺企前高管被控向大陸企業(yè)”泄密”臺灣友達(dá)光電前高階主管連水池、王宜凡,涉嫌受大陸TCL集團面板大廠華星光電年薪百萬美金利誘,相繼”帶槍”投靠,并移轉(zhuǎn)友達(dá)光電AMOLED等”敏感科技”。(5)前蘋果員工承認(rèn)出賣機密信息前蘋果員工PaulDevine泄露蘋果公司的機密信息,例如新產(chǎn)品的預(yù)測、計劃藍(lán)圖、價格和產(chǎn)品特征,還有一些為蘋果公司的合作伙伴、供應(yīng)商和代工廠商提供的關(guān)于蘋果公司的數(shù)據(jù),這使得這些供應(yīng)商和代工廠商更好的與蘋果進行談判。作為回報,Devine得到了經(jīng)濟利益,而蘋果這些信息而虧損了240.9萬美元。(6)東軟集團遭商業(yè)秘密外泄東軟公司前副總經(jīng)理李某某為謀取暴利,伙同公司CT機研發(fā)部負(fù)責(zé)人張某、采購負(fù)責(zé)人岳某等人,以許諾高額經(jīng)濟利益為手段,相繼讓CT機研發(fā)部17名核心技術(shù)人員竊取公司核心技術(shù)資料后,相繼離職。犯罪嫌疑人竊取技術(shù)價值總計2400余萬元,造成公司研發(fā)項目延遲,損失高達(dá)1470余萬元。(7)南開經(jīng)濟數(shù)據(jù)泄密國家統(tǒng)計局辦公室局長秘書室副主任孫振,先后多次將國家統(tǒng)計局尚未對外公布的涉密的統(tǒng)計數(shù)據(jù)共計27項,經(jīng)過MSN聊天工具泄露給國金證券股份有限公司工作人員付某、中信建設(shè)證券有限公司資產(chǎn)管理部工作人員張某。(8)3.15晚會多家銀行被曝內(nèi)部員工私售客戶個人信息央視”315”晚會曝光招商銀行、工商銀行等內(nèi)部員工泄露客戶信息,非法獲取利益。(9)1號店客戶信息泄露1號店內(nèi)部員工與離職、外部人員內(nèi)外勾結(jié),泄露90萬用戶信息。(10)HTC被曝員工泄密HTC被曝泄密,副總兼首席設(shè)計師簡志霖、處長吳建宏、設(shè)計師黃弘毅3人,借委外設(shè)計NEWHTCONE機殼為由,詐領(lǐng)1000余萬元新臺幣公款。簡志霖更涉嫌竊取HTCSENSE6.0之UI接口程序的商業(yè)機密,計劃在離職后攜往她在臺灣所開設(shè)的手機設(shè)計公司或與其它業(yè)者研發(fā)。信息產(chǎn)業(yè)如電腦、手機、通訊,本身就處于電子信息的前端,泄密風(fēng)險也就水漲船高。而制造業(yè)泄密案則發(fā)生是在中國制造業(yè)轉(zhuǎn)型的當(dāng)下,隨著兩化融合的推進,越來越多的制造業(yè)部署信息化,但信息安全工作并沒有同步完善,造成大量泄密風(fēng)險存在。泄密案給企業(yè)不但造成經(jīng)濟名譽損失,更會影響其轉(zhuǎn)型升級步伐,給企業(yè)造成不可估量的損失。1.3企業(yè)電子文檔泄密的危害隨著企業(yè)信息化程度的逐步提高,越來越多的企業(yè)信息資料、工作報表、業(yè)務(wù)文檔等都用電子文檔的形式存儲和傳輸。雖然電子文檔減少了信息資料存儲傳輸?shù)某杀?提高了企業(yè)工作和溝通的效率,但安全性問題隨之而來。比如,公司的商業(yè)計劃、業(yè)務(wù)報表等重要機密數(shù)據(jù),不但面臨著企業(yè)外部的黑客攻擊和竊取,還面臨企業(yè)內(nèi)部人員有意或無意的外泄。重要數(shù)據(jù)文檔一旦失竊,輕則給企業(yè)帶來重大損失,重則威脅到企業(yè)的生存。另外,企業(yè)發(fā)生信息泄露事件會導(dǎo)致企業(yè)在公眾中的威望和信任度下降,會直接使她們改變原有選擇傾向。從這里不難推斷,信息泄密事件可能會使企業(yè)失去一大批已有的或者潛在的客戶。近日,瑞星公司發(fā)布網(wǎng)絡(luò)漏洞預(yù)警,包括7天連鎖酒店(以下簡稱7天)在內(nèi)的多家連鎖酒店存在嚴(yán)重的系統(tǒng)安全漏洞。此前(今年5-6月份),有黑客在互聯(lián)網(wǎng)網(wǎng)上公布了某連鎖酒店的數(shù)據(jù)庫信息,其中萬用戶的身份證、手機、住址及開房時間等敏感信息遭到泄露。除此之外,在12月21日,國內(nèi)最大的程序員網(wǎng)站CSDN網(wǎng)站被曝600萬用戶的數(shù)據(jù)庫信息被黑客公開,隨后網(wǎng)上出現(xiàn)嘟嘟牛、7K7K、多玩網(wǎng)、178游戲網(wǎng)等多家網(wǎng)站用戶數(shù)據(jù)庫泄露的消息。繼CSDN網(wǎng)站的600多萬用戶被泄露后,51CTO、CNZZ、eNet、U-UU9、YY語音、百合網(wǎng)、開心網(wǎng)、人人網(wǎng)、美空網(wǎng)、珍愛網(wǎng)等眾多知名網(wǎng)站也相繼陷入用戶數(shù)據(jù)泄露丑聞。在數(shù)據(jù)信息的作用與地位日益顯要的今天,數(shù)據(jù)信息的安全問題是關(guān)乎企業(yè)聲譽、公眾信任感、經(jīng)濟利益、生死存亡的問題,如果企業(yè)機密技術(shù)資料與客戶資料等文件的泄露,則可能會導(dǎo)致企業(yè)投資的失敗、競爭力的下降及客戶的流失等嚴(yán)重后果。企業(yè)數(shù)據(jù)信息的安全程度也會影響企業(yè)的外部競爭力。因此,企業(yè)電子文檔的安全能夠說是不得不高度重視的。2、企業(yè)電子文檔泄密的主要原因企業(yè)信息化程度的不斷提高,由于許多機密電子文檔是以電子形態(tài)存在于計算機中的,因此別人特別是那些商業(yè)間諜是有很多種途徑和方式進行電子文檔的竊取的。比如經(jīng)過U盤拷貝、電子郵件發(fā)送、向目標(biāo)電腦上植入木馬并借助網(wǎng)絡(luò)進行電子文檔傳輸?shù)榷际悄軌驅(qū)C密電子文檔竊取出去的。如果是企業(yè)內(nèi)部員工有意識的進行機密電子文檔竊取,那么她們將會有更多、更便利的條件和手段,這對于企業(yè)來說,能夠說是防不勝防。另一方面,企業(yè)員工無意識的把含有敏感信息的機密電子文檔泄露出去也是很常見的,而且許多時候信息泄密后,企業(yè)員工及企業(yè)管理層卻毫不知情,比如企業(yè)員工對外發(fā)送郵件時,無意中將郵件地址張冠李戴,又比如企業(yè)員工在送修存放有機密電子文檔的硬盤時沒有采取信息保護措施等,都是可能造成重大信息泄密事故的。事實上從理論上說,商業(yè)間諜、員工流失、合作伙伴參與、病毒黑客攻擊、外部員工信息交換、工作流程失控和某些高管的不良工作習(xí)慣等都是能夠造成機密電子文檔失竊及重大信息泄密事故的環(huán)節(jié)(如下圖)。企業(yè)電子文檔泄密的途徑2.1內(nèi)部泄密內(nèi)部泄密主要是指內(nèi)部人員有意或者無意將重要電子文檔泄露,在電子文檔的整個生命過程中,內(nèi)部泄密的威脅都存在,而且很難防范。其中內(nèi)部泄密又包括無意泄密和有意泄密。無意泄密是指內(nèi)部人員在不知情的情況下將涉密電子文檔泄露。無意泄密最常見的就是內(nèi)部計算機非法外聯(lián)和移動存儲介質(zhì)交叉使用。有的人缺乏安全知識,將處理過涉密電子文檔的計算機重新安全后接入互聯(lián)網(wǎng),就有可能被情報人員將涉密文檔還原。移動存儲介質(zhì)未經(jīng)授權(quán)在內(nèi)部計算機使用,內(nèi)部移動存儲介質(zhì)被帶出在外部使用,移動存儲介質(zhì)發(fā)生故障維修時,里面存儲的涉密文檔被還原,等都會造成內(nèi)部涉密文檔泄露。移動存儲介質(zhì)帶來的隱患還包括攻擊者利用移動存儲介質(zhì)對內(nèi)網(wǎng)進行擺渡攻擊,從而竊取更多的涉密電子文檔。有意泄密是指內(nèi)部人員經(jīng)過各種途徑獲得涉密電子文檔,并主動傳遞出去。內(nèi)部人員獲取電子文檔的途徑很多,文稿撰寫者能夠直接拷貝到U盤、光盤等介質(zhì)保存,其它人員能夠經(jīng)過網(wǎng)絡(luò)下載,有閱讀權(quán)限的人員甚至采用手抄、截屏等方式獲得。2.2外部泄密外部泄密主要經(jīng)過攻擊實現(xiàn)。外部泄密的威脅主要存在于電子文檔前兩個階段,即制作保存和傳遞使用過程。具體方式可分為兩種:(1)惡意代碼。如果內(nèi)網(wǎng)終端使用時不注意就有可能感染木馬、蠕蟲、僵尸網(wǎng)絡(luò)、間諜軟件等惡意代碼,這是當(dāng)前造成泄密的主要原因。比如安裝未經(jīng)檢測的軟件,使用來歷不明的存儲介質(zhì),防護軟件安裝不到位等,都有可能感染惡意代碼。一旦感染,惡意的代碼就會經(jīng)過網(wǎng)絡(luò)竊取重要信息,伺機往外部發(fā)送。(2)網(wǎng)絡(luò)入侵。攻擊者借助各種手段,對特定目標(biāo)進行滲透,最終控制目標(biāo),進而獲取所需的信息。從攻擊類型看,當(dāng)前主要有物理攻擊、主動攻擊和被動攻擊三種類型。企業(yè)電子文檔的安全除了受到來自內(nèi)外部的泄密,防火墻安全問題、病毒的防范問題、終端設(shè)備接入安全問題、終端設(shè)備管理問題等任何一個環(huán)節(jié)出錯都會導(dǎo)致企業(yè)文檔的破壞。另外大量的信息安全事件,呈現(xiàn)出商業(yè)利益驅(qū)動的現(xiàn)象。不論是木馬病毒的黑色產(chǎn)業(yè)鏈,還是銀行系統(tǒng)內(nèi)部人員的儲戶信息主動泄密,都有后面的商業(yè)利益驅(qū)動。而且隨著商業(yè)環(huán)境競爭的日益激烈,這種信息安全的威脅還會持續(xù)和加劇。其次,信息泄密正在向更加專業(yè)化犯罪的趨勢發(fā)展。從木馬病毒、釣魚網(wǎng)站的不斷出現(xiàn),再到運營商后臺密碼被攻破,這些灰色事件的背后,都有專業(yè)的人員和組織。在現(xiàn)階段網(wǎng)絡(luò)安全形式日趨復(fù)雜的情況下,企業(yè)核心信息、用戶個人數(shù)據(jù)、重要客戶需求及公司內(nèi)網(wǎng)安全都面臨著巨大風(fēng)險。2.3企業(yè)網(wǎng)絡(luò)安全漏洞電子文檔經(jīng)過網(wǎng)絡(luò)在傳輸過程中隨時存在被感染的風(fēng)險,文檔在計算機中生成處理,因此電子文檔受到網(wǎng)絡(luò)和計算機的雙重威脅??v使電子文檔能夠做到”獨善其身”,在一方面遭受網(wǎng)絡(luò)黑客、木馬、惡意插件侵犯,薄弱的防火墻根本不足以抵擋這類不請自客;另一方面文檔在儲存的時候我們習(xí)慣用U盤進行拷貝,電子郵件互發(fā),很難保證這些操作是安全的,因此文檔信息的生存環(huán)境能夠說險象環(huán)生。當(dāng)代企業(yè)網(wǎng)絡(luò)的開放性,公司利用共享服務(wù)器的方式共享企業(yè)內(nèi)部文檔,人人都能看到內(nèi)部資料,這無疑是很危險的。企業(yè)內(nèi)網(wǎng)的安全,其實質(zhì)就是企業(yè)信息的安全。2.3.1VPN網(wǎng)絡(luò)VPN(虛擬專用網(wǎng)絡(luò)VirtualPrivateNetwork)是在公眾網(wǎng)絡(luò)上所建立的企業(yè)網(wǎng)絡(luò),擁有與專用網(wǎng)絡(luò)相同的安全、管理及功能等特點。VPN是一個臨時的、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。一般是對企業(yè)內(nèi)部網(wǎng)的擴展。經(jīng)過VPN能夠幫助遠(yuǎn)程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。當(dāng)前針對VPN最為常見的攻擊行為是DoS攻擊,其根本目的是使受害主機或網(wǎng)絡(luò)無法及時接收并處理外界請求,或無法及時回應(yīng)外界請求。其具體表現(xiàn)方式有以下幾種:(1)用大流量無用數(shù)據(jù)致使企業(yè)網(wǎng)絡(luò)堵塞,使被攻擊主機無法正常和外界通信;(2)重復(fù)高頻的發(fā)出攻擊性的重復(fù)服務(wù)請求,使被攻擊主機無法及時處理其它請求。(3)重復(fù)發(fā)送畸形的攻擊數(shù)據(jù)引發(fā)系統(tǒng)錯誤的分配大量系統(tǒng)資源,使主機處于掛起狀態(tài)甚至死機。VPN的部署策略2.3.2網(wǎng)絡(luò)設(shè)備(包括數(shù)據(jù)庫等)網(wǎng)絡(luò)設(shè)備是企業(yè)用戶信息傳輸、保存的重要介質(zhì),黑客經(jīng)過入侵?jǐn)?shù)據(jù)庫,也能夠獲得用戶信息。由于黑客對于數(shù)據(jù)庫的侵襲時間可長可短,因此有些企業(yè)的數(shù)據(jù)庫已經(jīng)被攻擊和損害了相當(dāng)長的一段時間,還沒有引起企業(yè)管理者的注意。惡意的黑客會利用非常簡單的攻擊方法進入數(shù)據(jù)庫,如:不嚴(yán)謹(jǐn)?shù)呐渲谩⑽锤卵a丁的漏洞等。當(dāng)前,對于數(shù)據(jù)庫的主要攻擊類型分為:(1)破解弱口令或默認(rèn)的用戶名及口令;(2)非法權(quán)限的提升;(3)利用未及時更新漏洞;(4)SQL注入攻擊;(5)竊取備份(未加密)的信息等。黑客對數(shù)據(jù)庫發(fā)動襲擊2.3.3數(shù)據(jù)傳輸信道一般企業(yè)所存在的數(shù)據(jù)傳輸信道問題為:(1)網(wǎng)絡(luò)布線不規(guī)范企業(yè)一般在數(shù)據(jù)主干道上(如單位多棟大樓之間)使用光纖傳輸,而在相同樓層之間采用雙絞線。由于企業(yè)網(wǎng)絡(luò)信息化一般都是逐步實施的,在網(wǎng)絡(luò)綜合布線上的可能會存在嚴(yán)重滯后以及規(guī)劃不合理的現(xiàn)象,例如,數(shù)據(jù)線纜與電話線纜、電源線纜之間互相造成干擾;布線施工質(zhì)量差;網(wǎng)絡(luò)硬件設(shè)備無安全防護等;而對于雙線線的連接時常會出現(xiàn)不規(guī)范的線序打法,造成”串繞”現(xiàn)象并產(chǎn)生干擾而造成局部網(wǎng)絡(luò)訪問緩慢的問題。(2)網(wǎng)絡(luò)設(shè)備參差不齊企業(yè)在網(wǎng)絡(luò)建設(shè)中未能及時淘汰一些安全性差的路由設(shè)備,造成網(wǎng)絡(luò)中某一節(jié)點出現(xiàn)安全漏洞從而置整個網(wǎng)絡(luò)于危險之中。(3)無線局域網(wǎng)絡(luò)監(jiān)控不利一些企業(yè)往往只經(jīng)過簡單開啟無線網(wǎng)絡(luò)的WEP、WPA或WPA-PSK等加密方式來進行身份驗證而授權(quán)用戶進入網(wǎng)絡(luò),很容易造成因密碼泄露而使非授權(quán)用戶非法訪問企業(yè)內(nèi)部網(wǎng)絡(luò)的問題。2.3.4操作系統(tǒng)大多數(shù)網(wǎng)絡(luò)入侵是因為操作系統(tǒng)(如Windows,Unix,Linux等)的漏洞。完善安全操作系統(tǒng)的保護策略,以用戶控制、進程控制及對象控制為主,使其具備有效的安全體系結(jié)構(gòu)、提供實時的權(quán)限訪問控制、信息加密保護及完整性鑒定等安全機制實現(xiàn)數(shù)據(jù)安全,并經(jīng)過系統(tǒng)配置以確保操作系統(tǒng)盡量避免實現(xiàn)時的缺陷和具體應(yīng)用環(huán)境因素而產(chǎn)生的不安全因素。但無一例外的是,由于漏洞修復(fù)的滯后性,使基于操作系統(tǒng)漏洞的入侵、通信端口的惡意掃描,以及利用通信和共享功能設(shè)置(如遠(yuǎn)程登錄、文件及設(shè)備共享等)而進行的非法訪問等,為黑客攻擊和病毒感染留下了”可乘之機”。操作系統(tǒng)一般存在的安全隱患為:(1)操作系統(tǒng)結(jié)構(gòu)體系的缺陷無論是哪種操作系統(tǒng),其本身均有內(nèi)存管理、CPU管理和外設(shè)的管理,這些管理模塊的缺陷一般會造成系統(tǒng)崩潰而受到攻擊。(2)文件傳輸及應(yīng)用程序加載隱患操作系統(tǒng)所支持的網(wǎng)絡(luò)文件傳輸、加載或安裝程序時出現(xiàn)的漏洞,可能就會造成系統(tǒng)崩潰或被非法監(jiān)控。(3)遠(yuǎn)程進程調(diào)用操作系統(tǒng)支持遠(yuǎn)程創(chuàng)立、激活進程,并對進程的創(chuàng)立進行繼承,使在遠(yuǎn)端服務(wù)器上安裝”間諜”軟件成為可能。從而使企業(yè)網(wǎng)絡(luò)內(nèi)數(shù)據(jù)被非法監(jiān)控、盜用、以及篡改等嚴(yán)重問題。(4)操作系統(tǒng)的后門和漏洞后門程序是指那些繞過安全控制而獲取對程序或系統(tǒng)訪問權(quán)的程序方法。程序員可能會在軟件開發(fā)階段利用軟件的后門程序得以便利修改程序設(shè)計中的不足,但一旦后門被黑客利用,或在發(fā)布軟件前沒有刪除后門程序,容易被黑客當(dāng)成漏洞進行攻擊,造成信息泄密和丟失。特別是操作系統(tǒng)的無口令的入口,也是信息安全的重大隱患,其極易被黑客利用并進行攻擊,造成信息泄密和丟失。2.3.5網(wǎng)絡(luò)通信協(xié)議通俗地講,網(wǎng)絡(luò)通信協(xié)議是計算機在網(wǎng)絡(luò)中實現(xiàn)通信時必須遵守的規(guī)則,它為連接不同操作系統(tǒng)和不同硬件體系結(jié)構(gòu)的互聯(lián)網(wǎng)絡(luò)引提供通信支持,是一種網(wǎng)絡(luò)通用語言。當(dāng)前大多數(shù)企業(yè)網(wǎng)絡(luò)系統(tǒng)所采用的網(wǎng)絡(luò)通信協(xié)議是TCP/IP、HTTP、HTTPS、FTP、SMTP及Telnet等,這些協(xié)議大多先天不足或帶有安全漏洞。例如,當(dāng)前廣泛使用的TCP/IP協(xié)議在實現(xiàn)上力求簡單高效,缺乏安全因素的考慮,由于它脆弱的TCP/IP服務(wù)、缺乏足夠的安全策略及配置的復(fù)雜性等因素,使其數(shù)據(jù)容易被實施竊聽、劫持、電子欺騙及IP地址欺騙等非法行為,網(wǎng)絡(luò)攻擊者們也往往利用這些安全漏洞或技術(shù)來對企業(yè)網(wǎng)絡(luò)行地攻擊。2.3.6Web服務(wù)器WEB服務(wù)器主要是面向互聯(lián)網(wǎng)的,是內(nèi)外部網(wǎng)絡(luò)連接的紐帶和堡壘,它在企業(yè)眾多信息化應(yīng)用中最容易受到攻擊的。而現(xiàn)在企業(yè)的WEB應(yīng)用越來越多,特別是其也逐漸在成為其它信息化應(yīng)用的入口,如企業(yè)的郵件系統(tǒng)、SCM、SRM或CRM等系統(tǒng)入口一般都捆綁在WEB服務(wù)器上,且Web后端連接著。Web面臨的威脅主要有信息泄露、拒絕服務(wù)(DoS)、系統(tǒng)崩潰及跳板等。2.3.7計算機病毒計算機病毒是指編制者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù),影響計算機使用而且能夠自我復(fù)制的一組計算機指令或者程序代碼。它們經(jīng)過程序、網(wǎng)絡(luò)、即時通訊軟件以及郵件等多種形式進行傳播。由于其繁殖性、傳染性、潛伏性、隱蔽性、破壞性及可觸發(fā)性等特點,由其造成的數(shù)據(jù)清空、網(wǎng)絡(luò)連接中斷及系統(tǒng)崩潰等,往往會企業(yè)造成巨大的損失。特別是一些經(jīng)過網(wǎng)絡(luò)傳播的木馬及蠕蟲類型的流行性病毒,成千上萬地肆虐在網(wǎng)絡(luò)環(huán)境中,這些病毒不但危害性大,而且傳播速度非???傳播形式多樣,它們一旦發(fā)作便會肆意竊取企業(yè)數(shù)據(jù)并可能造成系統(tǒng)癱瘓,會給企業(yè)網(wǎng)絡(luò)造成巨大的威脅。2.3.8防火墻安全問題防火墻是企業(yè)安全防護的第一道閘門,然而,在考察中國企業(yè)網(wǎng)絡(luò)的安全現(xiàn)狀時,我們依然發(fā)現(xiàn),有相當(dāng)一部分網(wǎng)絡(luò),雖然安裝了硬件防火墻防護設(shè)備,但由于管理員的水平有限,在防火墻的使用和配置上存在一些問題,并沒有能最大程度的發(fā)揮防火墻的安全防護作用。

黑客技術(shù)日益公開化,職業(yè)化,各種攻擊日益頻繁,病毒日益泛濫,使得企業(yè)文檔資料安全受到嚴(yán)重威脅。防火墻作為一種邊界防護類型的網(wǎng)絡(luò)安全設(shè)備,必須部署在受保護網(wǎng)絡(luò)的邊界處,只有這樣,防火墻才能控制所有出入網(wǎng)絡(luò)的數(shù)據(jù)通信,達(dá)到將入侵者拒之門外的目的。如果被保護網(wǎng)絡(luò)的邊界不惟一,有額外的出入口,那么入侵者會經(jīng)過其它途徑先入侵我們的主機,然后進一步攻擊我們整個網(wǎng)絡(luò)。

3、企業(yè)電子文檔安全防護解決辦法

由于傳輸方式的多樣化和企業(yè)終端設(shè)備的復(fù)雜化,企業(yè)電子文檔的安全保護是一個綜合性的系統(tǒng)工程,普通的防火墻、網(wǎng)絡(luò)控制、郵件控制等方法無法全方位地保護企業(yè)信息安全,企業(yè)用戶需要一個綜合性的、防護周到的安全解決方案,來保護企業(yè)的電子文檔安全。

文檔是各種機密信息最普遍的載體,在內(nèi)網(wǎng)建立一套完善的文檔安全防護機制,在\o"終端"終端直接對文檔的行為進行監(jiān)控和審計,是防止文檔泄露的最佳解決方案之一。對文檔的監(jiān)控和審計,能杜絕很大一部分泄密事件的發(fā)生。即使泄密事件發(fā)生,也能夠很快找到泄密途徑,追究責(zé)任,挽回?fù)p失。同時,經(jīng)過對大量行為數(shù)據(jù)的分析,能夠為管理者找到安全管理漏洞,不斷完善安全管理機制。然而根據(jù)權(quán)威數(shù)據(jù)顯示,幾乎所有的中國企業(yè)對電子文檔都沒有任何防護措施,企業(yè)對于信息有保護措施的不到3%。一些機密性的資料,電子文檔輕易就能夠的經(jīng)過電子郵件和移動硬盤泄密到網(wǎng)絡(luò)外部。從當(dāng)前的防護手段上來看,企業(yè)抵御黑客盜竊用戶信息的防御方式主要為網(wǎng)關(guān)防護、終端防護和軟件防護,而在實際應(yīng)用中,軟硬件相結(jié)合的防護方式,才能從根本上保護信息安全。3.1針對企業(yè)用戶信息的泄露,

企業(yè)用戶信息安全的技術(shù)防護3.1.1注意數(shù)據(jù)庫漏洞首先,企業(yè)網(wǎng)絡(luò)管理者要為數(shù)據(jù)庫起個無規(guī)律且不易記錄的名字,并放在幾層目錄下,這樣能夠增加黑客入侵難度;某品牌的數(shù)據(jù)庫漏洞掃描部署3.1.2后臺管理程序及權(quán)限的規(guī)范對于后臺管理程序的入口鏈接一定要慎重體現(xiàn),管理員的用戶名和密碼不能設(shè)置過于簡單,并應(yīng)定期更換。另外,在權(quán)限上應(yīng)及時予以相關(guān)工作人員的更新及收回,對于不同工作職能的瀏覽內(nèi)容應(yīng)予以區(qū)分。3.1.3部署加密系統(tǒng)加密技術(shù)長久以來都代表著技術(shù)含量及不菲的應(yīng)用,但近年來眾多加密產(chǎn)品的問世,能夠使企業(yè)網(wǎng)絡(luò)安全管理者以較低的成本實現(xiàn)電子郵件、磁盤等系統(tǒng)的加密。3.1.4、部署VPN由于企業(yè)員工具有流動性及變更新性,因此設(shè)置VPN系統(tǒng)能使企業(yè)較為安全的在互聯(lián)網(wǎng)擴展網(wǎng)絡(luò)共享或在公司外部訪問系統(tǒng)文件。一些基本的簡單保護,也能夠選擇價格低廉甚至免費的VPN軟件,免費的VPN產(chǎn)品能夠作為企業(yè)部署更高級VPN的試驗,以決定是否真的有效及成本投入部署。3.1.5、采用專業(yè)的防止數(shù)據(jù)泄漏工具用戶數(shù)據(jù)信息泄露給企業(yè)所帶來的損失及震蕩在近期的索尼"黑客門"事件已經(jīng)得到深刻的詮釋,企業(yè)用戶在感嘆"民意"強大的同時也應(yīng)完成企業(yè)網(wǎng)絡(luò)系統(tǒng)安全部署,選擇專業(yè)工具。在數(shù)據(jù)泄漏預(yù)防工具市場,Vontu、Reconnex與Vericept是較為知名的品牌,它們很容易進行部署,能對企業(yè)內(nèi)部的關(guān)鍵數(shù)據(jù)文件實行監(jiān)控和強制加密保護。當(dāng)然,經(jīng)過專業(yè)的工具部署,也不完全代表企業(yè)的信息系統(tǒng)能夠百分百安全,能夠一勞永逸的保護用戶數(shù)據(jù)信息。3.1.6、全員的創(chuàng)新及解決方案建立完善的獎懲制度,并公布企業(yè)信息安全防御方案,調(diào)動公司全員樹立積極的防護意識,也能夠減少企業(yè)用戶信息泄露事件的發(fā)生。幫助企業(yè)提高風(fēng)險管理控制、且不需要投入很高的資金及人力資源、在最短時間內(nèi)實現(xiàn)提高安全性目的的用戶信息安全防御才是企業(yè)真正需要的?,F(xiàn)階段知名的信息科技巨頭掌控了動輒數(shù)以百萬計的用戶個人信息,這些信息是互聯(lián)網(wǎng)產(chǎn)業(yè)增長的基礎(chǔ),但也可能成為惡意侵襲者實施犯罪行為的踏板,給企業(yè)用戶甚至社會都帶來損失。3.2文件加密、磁盤加密和遠(yuǎn)程映射。文件加密即對文件實體本身在產(chǎn)生、使用、存儲、使用、歸檔、銷毀整個生命周期進行全維的加密控制。文件加密技術(shù)又分為驅(qū)動層和應(yīng)用層兩種:應(yīng)用層加密技術(shù)是經(jīng)過調(diào)用應(yīng)用系統(tǒng)的windowsAPI函數(shù)來對文件進行讀寫的加密控制;驅(qū)動層加密技術(shù)是經(jīng)過攔截操作系統(tǒng)文件過濾驅(qū)動的讀寫動作對文件進行加解密控制。對比這兩種技術(shù),應(yīng)用層技術(shù)相對簡單,更容易控制,但由于需要調(diào)用每個應(yīng)用程序的API函數(shù),擴展能力較差;驅(qū)動層技術(shù)難度高,由于和操作系統(tǒng)底層驅(qū)動打交道,藍(lán)屏、死機,甚至和殺毒軟件等驅(qū)動層產(chǎn)品兼容性差,但其集成性和擴展性更好。磁盤加密即對物理磁盤的單個扇區(qū)進行加密,任何文件寫入磁盤即受控保護,正常使用時文件被調(diào)入內(nèi)存變成明文。磁盤加密主要為國外廠商所采用,例如:macfee、趨勢等,國內(nèi)明朝萬達(dá)等部分廠商也是采用的這個技術(shù)。遠(yuǎn)程映射的主要特點是終端無痕,所有涉密信息均存放在遠(yuǎn)端服務(wù)器,本地?zé)o文件實體,更有利于解決當(dāng)前最難控制的終端泄密問題;可是涉密信息過于集中帶來的安全風(fēng)險以及終端合法開放時造成涉密隱患尚無好的技術(shù)手段解決,因此無法適合設(shè)計人員自身的安全文檔需要,更無法大面積在企業(yè)等行業(yè)推廣。就當(dāng)前來說,較通用的技術(shù)是文件加密,即驅(qū)動層透明加解密技術(shù)是當(dāng)前文檔安全防護市場的主流。巨大的市場潛力和隨之帶來高額的市場回報,促使越來越多的企業(yè)涉獵這個領(lǐng)域,當(dāng)前國內(nèi)包括時代億信、億賽通、國富安、思智泰克、巨石等均采用的驅(qū)動層技術(shù),前沿、華途、智金等則采用的是應(yīng)用層技術(shù)。面對競爭如此激烈的市場環(huán)境,眾多的安全廠商如何保持強大的競爭力,并在競爭中脫穎而出是每個文檔安全廠商的管理員都要面正確問題。3.3國內(nèi)企業(yè)的文檔安全管理解決方案3.3.1企業(yè)電子文檔保護的解決方案市場現(xiàn)狀當(dāng)前企業(yè)級電子文檔保護的整體解決方案而言,盡管可供用戶選擇的產(chǎn)品有很多,但大都功能比較單一,純單機的電子文檔加密系統(tǒng)或遠(yuǎn)程”鎖”定電子文檔存放目錄及電子文檔單一格式類型的聯(lián)機電子文檔加密系統(tǒng)顯然是無法滿足企業(yè)需求;而對于那些大型的企業(yè)級電子文檔加密系統(tǒng),無論是資金和人力投入還是實際運作的操作難度,也都是一般企業(yè)所望塵莫及的。3.3.2傳統(tǒng)電子文檔安全解決方案的不足之處在企業(yè)對信息安全的需求之下,市場上相關(guān)的安全解決方案琳瑯滿目,防火墻、防水墻、VPN、IDS、郵件內(nèi)容過濾、權(quán)限控制等各種產(chǎn)品應(yīng)接不暇。雖然這些產(chǎn)品在防止企業(yè)外部的攻擊方面有著不錯的效果,但它們幾乎都有如下幾個不足之處:(1)無法防止企業(yè)內(nèi)部人員的主動泄密:企業(yè)內(nèi)部員工用移動設(shè)備、網(wǎng)絡(luò)等方式將機密資料拷貝或外發(fā),造成重要數(shù)據(jù)和文檔泄密;(2)無法為電子文檔提供全方位的安全防護:電子文檔有創(chuàng)立、存儲、傳輸和使用等不同的使用階段,大多數(shù)安全產(chǎn)品只能在某個階段提供安全防護,在其它階段則無法提供全方位的安全防護;(3)操作復(fù)雜、使用難度高:傳統(tǒng)的安全產(chǎn)品一般來說對用戶的使用要求高,需要具備專業(yè)知識,而且往往操作復(fù)雜,用戶無法在短時間內(nèi)熟悉并上手3.3.3鐵卷電子文檔安全系統(tǒng)鐵卷電子文檔安系統(tǒng)是針對企業(yè)保密需求研發(fā)的內(nèi)核級透明加解密電子文檔安全軟件。內(nèi)核級加解密使受保護文檔不易被破解,使用透明加解密技術(shù),不改變使用戶正常工作時的工作習(xí)慣,既不影響工作效率、又不影響員工工作情緒、同時又節(jié)省系統(tǒng)應(yīng)用時的培訓(xùn)過程。保密環(huán)境建立簡單、管理方便。是企業(yè)文件防泄密、圖紙安全、數(shù)據(jù)保密理想的解決方案。鐵卷(TotalFileGuard)電子文檔安全系統(tǒng)的優(yōu)點:”鐵卷(TotalFileGuard)電子文檔安全系統(tǒng)”融合了多項具有自主知識產(chǎn)權(quán)的先進電子文檔保護技術(shù),能夠在企業(yè)”不足掛齒”的綜合成本投入條件下,獲得最安全而完美的企業(yè)電子文檔保護整體解決方案,它能夠從全局出發(fā)保障企業(yè)內(nèi)網(wǎng)的信息安全和數(shù)據(jù)安全,特別是該軟件系統(tǒng)所獨創(chuàng)的電子文檔加解密過程”透明”操作的全新理念,更是將這款軟件的操作難度降低到了極限”鐵卷電子文檔安全系統(tǒng)”盡管功能先進且非常全面強大,但它在使用上用戶一點也不會感到復(fù)雜,總體來說,在軟件的電子文檔管理體系中,由統(tǒng)一的”管理中心”調(diào)度和控制所有聯(lián)入該電子文檔管理體系的客戶終端電腦,而所有的客戶終端安全程序,也都將由”管理中心”軟件來自動生成。鐵卷安全系統(tǒng)保護電子文檔思路:由于可能造成機密電子文檔失竊和重大信息泄密事故的環(huán)節(jié)有多種多樣,只針對某一個或某幾個環(huán)節(jié)進行機密電子文檔的保護顯然是不科學(xué)也是不規(guī)范的,機密電子文檔失竊的風(fēng)險依然存在?!辫F卷電子文檔安全系統(tǒng)”正好抓住了電子文檔企業(yè)內(nèi)網(wǎng)保護的這一條主線,因此它能夠很好的”扯斷”可能造成機密電子文檔失竊和重大信息泄密事故的所有環(huán)節(jié)。那么”鐵卷電子文檔安全系統(tǒng)”究竟是怎樣為企業(yè)保護電子文檔的呢?其實這款軟件采用的是一臺”管理中心”電腦控制企業(yè)內(nèi)網(wǎng)所有客戶終端電腦的機制,在”管理中心”電腦上安裝有軟件的控制程序,并提供有配套的操作界面,而所有客戶終端電腦上沒有該軟件的任何操作界面,即完全”透明化”的,這樣由”管理中心”對所有客戶終端電腦上的機密電子文檔進行即時控制和管理,客戶終端電腦上的機密文檔一旦脫離了企業(yè)內(nèi)網(wǎng)的內(nèi)部環(huán)境,電子文檔即馬上失效,無法正常使用,軟件這種獨特加密方式的一個最大好處就是不論電子文檔竊取者采用何種方式和環(huán)節(jié)竊取電子文檔,只要電子文檔脫離了企業(yè)內(nèi)網(wǎng),相關(guān)信息都不會泄露出去;而對于部分確實需要將機密電子文檔帶出企業(yè)內(nèi)網(wǎng)并進行合理合法用途的情況,經(jīng)過”管理中心”的授權(quán),電子文檔又會被自動解密,使用上能夠在兼顧安全的同時,又兼顧了靈活。鐵卷保護機密電子文檔流程病毒入侵造成機密電子文檔泄密經(jīng)過盜竊電腦設(shè)備竊取電子文檔3.3.4DocGuarder華途文檔安全管理系統(tǒng)DocGuarder華途文檔安全管理系統(tǒng)能夠全面解決該類信息資產(chǎn)安全問題。DocGuarder文檔安全管理系統(tǒng)無須另外增添硬件設(shè)備的限制,同時也不會影響用戶使用習(xí)慣,真正做到透明加密。DocGuarder華途文檔安全管理系統(tǒng)(以下簡稱DocGuarder)采用256位高強度加密算法實時加密文件,綜合集成了動態(tài)文檔加密技術(shù)、身份認(rèn)證技術(shù)、硬件綁定技術(shù)等多種技術(shù)來對企業(yè)內(nèi)部機密文檔進行全方位的保護。在安裝DocGuarder的客戶終端,使用者所生成的重要文件將自動加密保存。企業(yè)管理者可控制使用者對文檔的讀取、存儲、復(fù)制、輸出的權(quán)限。從而防止使用者之間非法復(fù)制、外部發(fā)行、光盤拷貝。杜絕利用U盤、軟盤、光盤、電子郵件等輕易地帶走公司的技術(shù)文件、設(shè)計圖稿、財務(wù)賬目、戰(zhàn)略計劃、事業(yè)計劃、研究論文等機密文件。DocGuarder加解密操作完全是動態(tài)的,無需用戶手動操作。這樣既節(jié)省了用戶時間,同時也達(dá)到了保護文件的目的。整個加解密操作完全是后臺透明實現(xiàn)的,不會改變用戶原來的任何習(xí)慣。只要用戶有改寫磁盤的操作,則預(yù)先選定的文件類型就會被自動加密或是解密,用戶感覺不到加解密過程的存在。這樣不但節(jié)省了用戶手動加解密的操作,而且這種加密方式并不影響文件的固有屬性(如只讀,創(chuàng)立/修改/訪問時間等)。DocGuarder采用等級管理模式,系統(tǒng)管理員能夠設(shè)定不同的子管理員(如:超級管理員、文件管理員、等級管理員等)??蛻舳说卿洉r,可直接使用Windows當(dāng)前登錄的域用戶賬號或者本機賬號作為DocGuarder文檔安全系統(tǒng)的賬號進行校驗。能夠針對公司內(nèi)部域管理模式設(shè)置系統(tǒng)的權(quán)限,也能夠根據(jù)公司架構(gòu)設(shè)定多個子管理員進行管理。3.3.5明朝萬達(dá)Chinasec(安元)文檔安全管理解決方案Chinasec(安元)文檔安全解決方案從客戶端的身份認(rèn)證管理、電子文檔的手動/自動加密、電子文檔的密級權(quán)限控制、日志審計等環(huán)節(jié)進行綜合安全防護,構(gòu)成多層次、全方位的文檔終端安全管理體系。為提供安全的移動信息安全服務(wù),為用戶提供了強有力的文檔信息安全支撐。

?用戶身份管理,經(jīng)過加強終端使用者的身份認(rèn)證,包括口令認(rèn)證,UKEY認(rèn)證等不同的認(rèn)證強度來確保終端當(dāng)前使用者的身份,而且能夠與AD域賬戶同步管理,按公司部門建立用戶管理樹,可設(shè)置用戶職位信息與職位關(guān)系;

?文檔密級管理,可控制文檔的各種操作權(quán)限,支持多種文件密級策略,可靈活的針對部門、操作、密級進行文檔安全設(shè)置。例如,對文檔劃分”秘密”、”機密”、”絕密”等密級,用戶只有系統(tǒng)賦予相應(yīng)密級使用權(quán)限后,才能查看對應(yīng)密級的文檔,有效保證了文檔的分級保密管理安全;

?文檔權(quán)限管理,對于各密級的文檔可賦予不同的管理權(quán)限,權(quán)限策略靈活可控,包括讀、寫、另存、復(fù)制、截屏、打印、打印水印、使用次數(shù)、使用時間等。

?文檔使用權(quán)限提權(quán)管理,當(dāng)使用者在文檔使用中需要提升權(quán)限時,提供簡便流暢的文件提權(quán)審批流程;

?文檔加密(手動/自動),系統(tǒng)提供手動和自動兩種加密模式。手動加密模式如下:由文檔的作者對文檔主動進行加密,文檔作者能夠根據(jù)需求選擇哪些文檔需要加密,哪些不需要加密。加密權(quán)限和密級由系統(tǒng)下發(fā)策略提供;

?文檔自動加密,由系統(tǒng)下發(fā)策略,可設(shè)置對特定存儲環(huán)境下(如整個硬盤、某個分區(qū)、某個文件夾等)的常見電子文檔進行自動加密,并可根據(jù)需要對不同文檔賦予不同密級和權(quán)限。

?文檔外帶審批,當(dāng)加密電子文檔需要外發(fā)至第三方人員處進行交流時,系統(tǒng)提供一套簡單流暢的文檔審批外帶流程,可對文檔進行解密審批,并可控制文檔外發(fā)后的第三方人員使用該文檔的權(quán)限(包括身份認(rèn)證、讀、寫、另存、復(fù)制、截屏、打印、打印水印、使用次數(shù)、使用時間等);

審計記錄,系統(tǒng)可自動記錄客戶端電腦加密并使用電子文檔的記錄,管理員能夠隨時查找文檔訪問信息,可用來追蹤泄密渠道,也可用作電子取證。同時,系統(tǒng)管理員的操作也會被完整記錄下來,監(jiān)督員能夠進行查詢和分析。4、企業(yè)電子文檔安全加密產(chǎn)品比較加密軟件,有的公司叫數(shù)據(jù)防泄漏軟件,如國際上也叫DLP,本質(zhì)上是采用加密或者控制的方法,進行數(shù)據(jù)防護,文檔安全管理。在國際上,加密主要采用的是手動加密的方法,如美國的Airzip;放到了國內(nèi),全部都變成了強制透明加密。下面就按照功能性、拓展性、安全性、兼容性、先進性、覆蓋性、規(guī)范性對國內(nèi)幾家公司的產(chǎn)品做個簡單的比較。比較對象包括:山麗網(wǎng)安、明朝萬達(dá)、易賽通等。4.1產(chǎn)品功能性比較功能多往往意味著該廠商的用戶類型比較多,產(chǎn)品的適用面廣,功能多,還往往意味著產(chǎn)品的年代也比較久了,產(chǎn)品的穩(wěn)定性有了一定的保證。更主要的,表象的功能往往意味著軟件的底層架構(gòu)和設(shè)計,以及底層技術(shù)。因此,重視功能是選擇產(chǎn)品的一個基本法寶。既然是加密軟件,我們來比較一下加密方法、策略、文檔權(quán)限這三個方面。首先,加密方法都是”透明加密”,也就是”強制、實時、動態(tài)”的加密。明朝萬達(dá)使用的是磁盤加密的方法,但實際上明朝萬達(dá)的產(chǎn)品被加密的數(shù)據(jù)在磁盤上都是明文,只是在將數(shù)據(jù)復(fù)制到u盤等其它盤里面的時候才進行一個加密處理。明朝萬達(dá)的技術(shù)人員采用一個非常簡潔方式:引導(dǎo)區(qū)加密,使得產(chǎn)品保存在本地非系統(tǒng)盤上看起來是加密的,這里產(chǎn)生的結(jié)果就是不采用明朝萬達(dá)的產(chǎn)品無法讀取數(shù)據(jù),因此引導(dǎo)區(qū)本身是識別的,起到了一定的防范作用。明朝萬達(dá)的單機版產(chǎn)品在卸載的時候,能夠在瞬間將磁盤上的數(shù)據(jù)進行解密。但因此采用磁盤加密(引導(dǎo)區(qū)加密)的方式,能夠給人保存在磁盤上全部的文件都是加密的效果,因此,明朝萬達(dá)的產(chǎn)品同時支持綠色軟件的加密。易賽通的加密軟件需要將所有被加密的文件轉(zhuǎn)化為.CDG格式。經(jīng)過這種格式,來控制文件的加密。當(dāng)電腦中沒有了打開這種特定的格式程序后,文件就是亂碼了。隨著市場需求的不斷發(fā)展,易賽通對產(chǎn)品也進行著升級,當(dāng)前已經(jīng)能夠不需要轉(zhuǎn)換為特定的格式了。但正是因為易賽通原來是需要將文件轉(zhuǎn)化為特定的格式,因此,在文檔的權(quán)限控制上,易賽通產(chǎn)品還留有需要將加密后的文檔上傳到服務(wù)器上來設(shè)置其它用戶使用權(quán)限的痕跡。易賽通的產(chǎn)品因為是格式類加密,因此不支持綠色軟件的加密。年山麗網(wǎng)安公司推出山麗防水墻產(chǎn)品,產(chǎn)品支持對全磁盤文件的加密。而且這個加密是文件內(nèi)容的加密,不是引導(dǎo)區(qū)的加密。因此,山麗防水墻也支持綠色軟件的加密,同時,加密文件的權(quán)限是和文件存在一起的,不需要上傳到服務(wù)器上,文件的讀取權(quán)限能夠基于腳色設(shè)置。同樣是對文件的內(nèi)容都進行了加密,山麗防水墻是將所有應(yīng)用程序在磁盤上產(chǎn)生的數(shù)據(jù)文件都進行了加密處理,對某一種特定的文件格式并不需要進行任何的格式分析,對用戶將來安裝的新程序產(chǎn)生文件也是一樣能夠加密,而且不需要任何的二次開發(fā)工作。易賽通需要對文件的格式一個一個分析,隨著市場的發(fā)展,山麗防水墻也支持了特定格式的加密,如支持用戶自行設(shè)置office文件、CAD文件加密,支持用戶自行設(shè)定目錄加密,支持用戶自行設(shè)定特定格式文件不加密、特定目錄解密等功能。4.2產(chǎn)品拓展性比較所謂產(chǎn)品的拓展性,意思是這種產(chǎn)品對能夠不斷發(fā)展、變化的環(huán)境的的適應(yīng)性問題。環(huán)境的變化包括了:用戶客戶端軟件的變化;客戶端軟件的變化,就是客戶端新裝了設(shè)計軟件、或者office類文檔處理軟件。用戶使用的應(yīng)用系統(tǒng)的變化;客戶應(yīng)用系統(tǒng)的變化,主要體現(xiàn)在用戶希望上傳到應(yīng)用系統(tǒng)服務(wù)器上的文件希望是密文或者明文。這個情況的處理,明朝萬達(dá)采取了一種處理方案:在用戶的網(wǎng)路中安全一個硬件的”安全網(wǎng)關(guān)”,用戶需要上傳到應(yīng)用服務(wù)器上的數(shù)據(jù)全部經(jīng)過這個中轉(zhuǎn)網(wǎng)關(guān)進行通訊。從而實現(xiàn)了數(shù)據(jù)上傳解密、下載加密的效果,這充分說明,朝萬達(dá)的加密方式不是全盤的磁盤加密模式;更讓人難以決策的是,增加了一個硬件網(wǎng)關(guān)。將會改變用戶的網(wǎng)絡(luò)結(jié)構(gòu),增加單點故障。用戶下載到本地的數(shù)據(jù),也跟據(jù)用戶的加密策略而定,如果采用的是全盤加密模式,則完全是加密的,不論這個時候從服務(wù)器下載到本地硬盤的數(shù)據(jù)是什么格式的;如果客戶端采用的加密策略是空加密,則下載下來的數(shù)據(jù)就不是加密的。4.3產(chǎn)品安全性比較安全性自然指的是數(shù)據(jù)加密后被破解的可能性。產(chǎn)品的安全性是企業(yè)在選擇文檔加密產(chǎn)品時需要重視關(guān)鍵。(1)在互聯(lián)網(wǎng)上已經(jīng)出現(xiàn)了對一些加密軟件如易賽通的破解工具了;破解的原理很簡單,將內(nèi)存中的明文轉(zhuǎn)化為客戶端不加密的格式保存即可。(2)加密算法RSA位我們國家在年之后將完全不再采用;在美國已經(jīng)停用。易賽通和明朝萬達(dá)都是采用的固定密鑰加密文件。當(dāng)前,采用對稱加密和非對稱加密相結(jié)合的加密產(chǎn)品,也就是Adobe、微軟、和山麗防水墻。4.4產(chǎn)品兼容性比較產(chǎn)品的兼容性和產(chǎn)品使用系統(tǒng)的廣泛性有關(guān);也和采用的加密方式有關(guān);但同時和產(chǎn)品的設(shè)計、代碼質(zhì)量也有關(guān)系。在這一個方面,明朝萬達(dá)因為僅僅對引導(dǎo)區(qū)加密,因此基本的兼容性不應(yīng)該有問題,如果有,那可就是產(chǎn)品的質(zhì)量問題了。易賽通天然因為使用的方法,在兼容性方面必然會有些問題。4.5技術(shù)先進性比較技術(shù)先進性不好比較,因為所有的廠家都說自己的先進。因為先進代表者節(jié)省用戶的重復(fù)投資。當(dāng)前調(diào)研知道,山麗防水墻有中國大陸的創(chuàng)造專利和美利堅合眾國的創(chuàng)造專利(已經(jīng)授權(quán)),具有一定的先進性。4.6系統(tǒng)覆蓋性比較4.7產(chǎn)品穩(wěn)定性比較這里的穩(wěn)定性,指的是程序運行中”崩潰”的可能性。因為崩潰就意味著不加密了,還有可能產(chǎn)生文件破壞。當(dāng)前,在南方市場,一批使用早的客戶已經(jīng)在尋找新的供應(yīng)商,已經(jīng)不愿再使用有些公司的產(chǎn)品。在規(guī)避文件破壞的可能性中,山麗防水墻有明確的技術(shù)手段能夠防范。4.8研發(fā)規(guī)范性比較5、結(jié)論:在信息價值日益突出的時代,電子文檔的安全面臨著嚴(yán)峻的挑戰(zhàn)。隨著計算機存儲技術(shù)不斷發(fā)展和計算機病毒種類的日新月異,電子文檔安全將面臨新的威脅和問題,現(xiàn)代化企業(yè)各種信息系統(tǒng)使用,特別是計算機輔助軟件的使用,給企業(yè)帶來了大量的數(shù)字技術(shù)文檔;作為企業(yè)技術(shù)直接載體的電子技術(shù)文檔,在新的市場競爭特點下比以往更為重要;新的企業(yè)生產(chǎn)模式要求企業(yè)跨部門、跨地區(qū)、跨企業(yè)進行多方合作設(shè)計生產(chǎn),因此對企業(yè)電子文檔管理的共享與保護提出信息的囂求。本文以企業(yè)信息泄密十大事件為背景,開展了對企業(yè)電子文檔的安全保護綜述,并進行了以下主要研究工作:(1)分析了當(dāng)前企業(yè)電子文檔的管理現(xiàn)狀,企業(yè)電子文檔的泄密危害。(2)分析了企業(yè)對電子文檔安全管理的需要,具體介紹了鐵卷電子文檔安全系統(tǒng)、DocGuarder華途文檔安全管理系統(tǒng)、明朝萬達(dá)Chinasec(安元)文檔安全管理解決方案。(3)研究了山麗網(wǎng)安、明朝萬達(dá)、易賽通三家文檔加密技術(shù)的區(qū)別。(4)針對企業(yè)電子文檔安全管理的需要,如防病毒技術(shù),防火墻技術(shù),虛擬專用網(wǎng)技術(shù)??墒菍τ谄髽I(yè)來說,如何做好企業(yè)電子文檔安全建設(shè)尚存在很多不足,安全之路長路漫漫。沒有絕正確安全,只有絕正確評估。只有不斷地進行安全檢查,及時發(fā)現(xiàn)問題并解決,才是長久的安全之道。5.1企業(yè)電子文檔防泄密系統(tǒng)選購應(yīng)遵循的六原則

防泄密系統(tǒng)雖然對企業(yè)發(fā)展至關(guān)重要,可是只要企業(yè)用戶能夠遵循以下六方面的采購原則,就一定能夠選擇并采購到最適合自己企業(yè)的企業(yè)級電子文檔防泄密系統(tǒng)。原則一:所有可能造成泄密途徑整體防御

在當(dāng)前出現(xiàn)的各類企業(yè)泄密事件中,經(jīng)過病毒、木馬、黑客攻擊、內(nèi)部員工夾帶、企業(yè)高管販賣以及電腦存儲介質(zhì)在維修、移動過程中的惡意竊取等都有可能成為企業(yè)核心機密電子信息的泄密途徑,因此企業(yè)防泄密系統(tǒng)如果只能對某個或某幾個泄密途徑進行防御應(yīng)該是遠(yuǎn)遠(yuǎn)不夠的。現(xiàn)在許多企業(yè)都會選擇一款叫做”鐵卷”的專業(yè)級防泄密系統(tǒng),它能夠針對企業(yè)整個內(nèi)部網(wǎng)絡(luò)提供機密電子信息的實時保護,能夠讓脫離企業(yè)內(nèi)網(wǎng)環(huán)境的所有機密電子文檔自動無法使用或在未經(jīng)合法授權(quán)打開時呈現(xiàn)出一堆無法閱讀的亂碼。事實上對于企業(yè)中產(chǎn)品研發(fā)報告、設(shè)計文檔、圖紙、配方、源代碼等數(shù)字化知識產(chǎn)權(quán)文檔及客戶資料、項目資料、招投標(biāo)方案等商業(yè)機密信息文檔一般會分散于企業(yè)內(nèi)部多臺電腦終端,員工對電腦的濫用和對重要數(shù)據(jù)的泄密途徑越來越多,企業(yè)內(nèi)部核心數(shù)據(jù)被泄密的風(fēng)險越來越大?!辫F卷”基于企業(yè)內(nèi)網(wǎng)的防泄密系統(tǒng)保護,能夠說既治標(biāo)又治本。原則二:防泄密系統(tǒng)防自身破解等級要高

一款好的企業(yè)級防泄密系統(tǒng)既要能夠防堵企業(yè)中所有可能造成泄密的途徑和環(huán)節(jié),又要防范自身的加解密機制和技術(shù)被第三方破解,因為一旦防泄密系統(tǒng)被強行破解,企業(yè)的”防泄密”也就等于形同虛設(shè)了,因此企業(yè)在采購防泄密系統(tǒng)時,產(chǎn)品研發(fā)機構(gòu)的技術(shù)實力是非常關(guān)鍵的。這里同樣能夠以當(dāng)前國內(nèi)性價比十分出眾的”鐵卷”為例:”鐵卷”由國內(nèi)終端與數(shù)據(jù)安全產(chǎn)品的領(lǐng)先企業(yè)深圳大成天下自主研發(fā),進入行業(yè)市場六年多以來與國內(nèi)上百家知名龍頭企業(yè)、眾多政府以及金融行業(yè)機構(gòu)建立了長期而穩(wěn)定的戰(zhàn)略合作,所有合作方的政企機構(gòu)并沒有發(fā)生一起有惡劣影響的泄密事件,”鐵卷”自身從技術(shù)上說也沒有任何被強制破解的可能。原則三:要有自身核心加密技術(shù)彰顯實力

對于一套相對成熟的防泄密系統(tǒng)來說,具有完全自主知識產(chǎn)權(quán)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論