公務(wù)員期刊網(wǎng) 精選范文 數(shù)據(jù)保密解決方案范文

數(shù)據(jù)保密解決方案精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的數(shù)據(jù)保密解決方案主題范文,僅供參考,歡迎閱讀并收藏。

數(shù)據(jù)保密解決方案

第1篇:數(shù)據(jù)保密解決方案范文

>> 論云計(jì)算的安全問題及其解決方案 淺析計(jì)算機(jī)網(wǎng)絡(luò)及信息安全出現(xiàn)的問題及解決方案 計(jì)算機(jī)網(wǎng)絡(luò)信息安全問題及解決方案 計(jì)算機(jī)網(wǎng)絡(luò)安全問題及解決方案 安全解決方案的智能策略 移動(dòng)辦公的安全解決方案 綠盟科技云計(jì)算安全解決方案落地 計(jì)算機(jī)使用安全的解決方案的探索 基于可信計(jì)算的移動(dòng)支付安全終端解決方案 基于計(jì)算機(jī)網(wǎng)絡(luò)安全保密解決方案的分析 計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞及解決方案的研究 計(jì)算機(jī)網(wǎng)絡(luò)安全保密解決方案的分析 完整打造多方位的系統(tǒng)解決方案 計(jì)算機(jī)通信網(wǎng)中路由問題的博弈論解決方案 計(jì)算機(jī)教學(xué)中存在的問題及解決方案 電子商務(wù)安全問題及其解決方案 社交網(wǎng)絡(luò)安全問題及其解決方案 新時(shí)期計(jì)算機(jī)網(wǎng)絡(luò)安全問題與解決方案探討 食品安全檢測(cè)存在的問題以及相應(yīng)的解決方案 數(shù)字圖書館面臨的安全問題及解決方案 常見問題解答 當(dāng)前所在位置:l.

[4]DU W L, ATALLAH M J. Privacypreserving cooperative scientific computations [C]// Proceedings of the 2001 14th IEEE Computer Security Foundations Workshop. Washington, DC: IEEE Computer Society, 2001: 273-282.

[5]ATALLAH MIKHAIL J, DU W L. Secure multiparty computational geometry [C]// Proceedings of the 2001 7th International Workshop on Algorithms and Data Structures, LNCS 2125. Berlin: SpringerVerlag, 2001: 165-179.

[6]劉文,羅守山,陳萍.利用El Gamal密碼體制解決安全多方多數(shù)據(jù)排序問題[J].通信學(xué)報(bào),2007,(11):1-5.

[7]GOLDWASSER S. Mutiparty Computations: past and present [C]// PODC 97: Proceedings of the 16th Annual ACM Symposium on Principles of Distributed Computing. New York: ACM, 1997: 1-6.

[8]GOLDREICH O. Foundations of cryptography: basic applications [M]. London: Cambridge University Press, 2004: 599-729.

[9]李順東,王道順.現(xiàn)代密碼學(xué):理論、方法與研究前沿[M].北京:科學(xué)出版社,2009:193-232.

[10]馬敏耀.安全多方計(jì)算及其擴(kuò)展問題的研究[D].北京:北京郵電大學(xué),2010.

[11]廖曉峰,肖迪,程勇,等.混沌密碼學(xué)原理及其應(yīng)用[M].北京:科學(xué)出版社,2009:2-4.

第2篇:數(shù)據(jù)保密解決方案范文

【 關(guān)鍵詞 】 安全操作系統(tǒng);操作系統(tǒng)安全子系統(tǒng)(SSOOS);等級(jí)保護(hù)

Analysis on General-purpose Security Operating System Solution

Li Ke

(JOWTO Technology Company Limited GuangdongShenzh 518057)

【 Abstract 】 With the continuous upgrade of attack technologies and the sharp rise in the data disclosure events, the people in the information security industry attach greater importance to the security problems of server operating system. Starting with the research on the classified protection security operating system, this article introduced the solutions of two kinds of security operating systems and analyzed the advantages of the general purpose security operating system over the traditional independently developed security operating system. In this article, we give full priority to represent the technical advantages of general purpose security operating system solution and the principles for achieving such solution. In combination with three enhanced type access control security models, namely DTE, RBAC and BLP, we reconstructed the security subsystem of operating system (SSOOS) and promote the security class of operating system in dynamic and transparent manner, so as to achieve the solution of general-purpose security operating system.

【 Keywords 】 security operating system;security Subsystem of operating system(SSOOS);classification protection

0 引言

隨著網(wǎng)絡(luò)安全威脅的日益嚴(yán)重,用戶對(duì)信息安全的建設(shè)越來越重視。而現(xiàn)階段的安全威脅不僅種類越發(fā)豐富,攻擊形式也日趨多樣。從早期的病毒蠕蟲到現(xiàn)在非常普遍的惡意代碼、盜號(hào)木馬、間諜軟件、網(wǎng)絡(luò)釣魚以及大量的垃圾郵件等,無一不給用戶的正常應(yīng)用帶來嚴(yán)重的安全威脅。受到攻擊的用戶輕則黑屏死機(jī),重則造成個(gè)人經(jīng)濟(jì)利益損失。

同時(shí),針對(duì)服務(wù)器的Web應(yīng)用層攻擊(包括SQL注入、跨站腳本攻擊等)已成為目前流行的方式,造成大量對(duì)外提供業(yè)務(wù)的服務(wù)器網(wǎng)頁(yè)被篡改,或者服務(wù)器癱瘓等問題。近期發(fā)生的大規(guī)模數(shù)據(jù)泄露事件,涉及多個(gè)大型網(wǎng)站,信息泄露數(shù)量高達(dá)1億多條用戶信息,嚴(yán)重侵害了互聯(lián)網(wǎng)用戶的合法權(quán)益、危害了互聯(lián)網(wǎng)安全。

1 安全操作系統(tǒng)需要解決的問題

人們對(duì)網(wǎng)絡(luò)安全問題及造成的危害早已認(rèn)識(shí),對(duì)其防范措施也是多種多樣,雖煞費(fèi)苦心但效果并不理想。其實(shí)防火墻、防病毒、入侵檢測(cè)、UTM等網(wǎng)絡(luò)層和應(yīng)用層的防護(hù)手段已趨于成熟,信息系統(tǒng)產(chǎn)生安全問題的最基本原因在于操作系統(tǒng)的結(jié)構(gòu)和機(jī)制的不安全。其根源在于PC 機(jī)硬件結(jié)構(gòu)的簡(jiǎn)化,系統(tǒng)不分執(zhí)行“態(tài)”,內(nèi)存無越界保護(hù)等等,使操作系統(tǒng)難以建立真正的TCB(可信計(jì)算基)。這樣就導(dǎo)致資源配置被篡改、惡意程序被植入執(zhí)行、利用緩沖區(qū)溢出攻擊、非法接管系統(tǒng)管理員權(quán)限等安全事故的發(fā)生。

隨著病毒在全球范圍內(nèi)的泛濫傳播、黑客利用各種漏洞發(fā)起的攻擊、非授權(quán)者任意竊取信息資源等各類安全風(fēng)險(xiǎn)的激增,使得傳統(tǒng)的信息安全產(chǎn)品“老三樣”(防火墻、防病毒、入侵檢測(cè))、IPS等構(gòu)筑的防護(hù)體系日趨顯得被動(dòng)。

信息安全問題的根本解決,需要從系統(tǒng)工程的角度來考慮,通過建立安全操作系統(tǒng)構(gòu)建可信計(jì)算基(TCB),建立動(dòng)態(tài)、完整的安全體系。沒有安全操作系統(tǒng)的保護(hù),就不可能有網(wǎng)絡(luò)系統(tǒng)的安全,也不可能有應(yīng)用軟件信息處理的安全性。

信息安全框架的構(gòu)造如果只停留在網(wǎng)絡(luò)防護(hù)的層面上, 而忽略了操作系統(tǒng)內(nèi)核安全這一基本要素,就如同將堅(jiān)固的堡壘建立在沙丘之上,安全隱患極大。

根據(jù)國(guó)家《GB/T 20272-2006 信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》,安全操作系統(tǒng)需要解決幾個(gè)問題:第一,身份鑒別;第二,訪問控制,包括自主訪問控制和強(qiáng)制訪問控制要求;第三,數(shù)據(jù)流控制;第四,安全審計(jì);第五,用戶數(shù)據(jù)完整性保護(hù);第六,用戶數(shù)據(jù)保密性保護(hù);第七,SSOOS自身安全保護(hù)。

如何解決上述七點(diǎn)問題成為安全操作系統(tǒng)開發(fā)的難點(diǎn)。

3 提升操作系統(tǒng)安全等級(jí)的主要方式

當(dāng)前國(guó)內(nèi)使用的服務(wù)器操作系統(tǒng)主要來自國(guó)外(如AIX、HP-UX、Solaris、Windows Server、Linux Server等),由于多數(shù)商用服務(wù)器操作系統(tǒng)不開源,所以現(xiàn)階段要提升操作系統(tǒng)安全等級(jí)主要有兩種方式:一是依靠使用開源的Linux源代碼自主研發(fā)安全操作系統(tǒng);二是通過重構(gòu)操作系統(tǒng)安全子系統(tǒng)(SSOOS)提升現(xiàn)有操作系統(tǒng)的安全等級(jí),從而實(shí)現(xiàn)安全操作系統(tǒng)。

基于Linux開源代碼研究的基礎(chǔ)上,對(duì)Linux操作系統(tǒng)進(jìn)行安全改造,重新構(gòu)建一個(gè)新的安全的操作系統(tǒng),可以保證操作系統(tǒng)的可控性、可信性。通過重構(gòu)開源操作系統(tǒng)內(nèi)核,雖然可以實(shí)現(xiàn)操作系統(tǒng)安全等級(jí)的提升,但不足之處是其對(duì)上層應(yīng)用軟件、配套硬件、網(wǎng)絡(luò)支持上還不夠完善。我國(guó)的服務(wù)器操作系統(tǒng)高端市場(chǎng)基本是IBM AIX、HP HP-UX、Sun Solaris,而中低端基本上都采用的是Windows Server。這種方式只限于公開內(nèi)核源代碼的操作系統(tǒng),對(duì)部分商用服務(wù)器操作系統(tǒng)(包括Windows Server、Solaris、AIX等)不適用。

若采用此種方案需要放棄現(xiàn)在使用的操作系統(tǒng),而使用一個(gè)全新的操作系統(tǒng),這將嚴(yán)重影響企業(yè)的業(yè)務(wù)連續(xù)性和業(yè)務(wù)邏輯,也因此多數(shù)企業(yè)不愿采用而無法得到普及??梢钥闯?,這種方式并不適合當(dāng)前通用安全操作系統(tǒng)解決方案。

相對(duì)于使用Linux源代碼自主研發(fā)安全操作系統(tǒng),采用重構(gòu)操作系統(tǒng)安全子系統(tǒng)(SSOOS)實(shí)現(xiàn)安全操作系統(tǒng)的方法,是在內(nèi)核層面上對(duì)操作系統(tǒng)進(jìn)行重構(gòu)和擴(kuò)充。這種方式對(duì)安裝在操作系統(tǒng)之上的合法應(yīng)用軟件和數(shù)據(jù)庫(kù)的正常使用不會(huì)造成任何影響,對(duì)底層硬件驅(qū)動(dòng)也是透明發(fā)生,其不會(huì)影響現(xiàn)有業(yè)務(wù)的連續(xù)性,甚至不用重啟服務(wù)器,就能對(duì)整個(gè)操作系統(tǒng)的安全級(jí)別進(jìn)行動(dòng)態(tài)提升,以達(dá)到解決操作系統(tǒng)安全隱患的目的,是目前較為理想的通用安全操作系統(tǒng)解決方案。

在操作系統(tǒng)中,SSOOS是構(gòu)成一個(gè)安全操作系統(tǒng)的所有安全保護(hù)裝置的組合體。一個(gè)SSOOS可以包含多個(gè)SSF(SSOOS安全功能模塊),每個(gè)SSF是一個(gè)或多個(gè)SFP(安全功能策略)的實(shí)現(xiàn)。SSP(SSOOS安全功能策略)是這些SFP的總稱,構(gòu)成一個(gè)安全域,以防止不可信主體的干擾和篡改。實(shí)現(xiàn)SSF有兩種方法,一種是設(shè)置前端過濾器,另一種是設(shè)置訪問監(jiān)控器。

以下解決方案為采用設(shè)置訪問監(jiān)控器實(shí)現(xiàn)SSF的方法,是通過在SSOOS中設(shè)置多個(gè)資源訪問監(jiān)控器,控制的客體范圍包括文件、進(jìn)程、服務(wù)、共享資源、磁盤、端口、注冊(cè)表(僅Windows)等;主體包括用戶、進(jìn)程和IP,同時(shí)支持用戶與進(jìn)程的綁定,可以控制到指定用戶的指定進(jìn)程。將主機(jī)資源各個(gè)層面緊密的結(jié)合,可以根據(jù)實(shí)際需要對(duì)資源進(jìn)行合理控制,實(shí)現(xiàn)權(quán)限最小原則。并結(jié)合增強(qiáng)型DTE、RBAC、BLP三種訪問控制安全模型,重構(gòu)操作系統(tǒng)的安全子系統(tǒng)(SSOOS),用重構(gòu)后的“強(qiáng)化安全子系統(tǒng)監(jiān)控器”監(jiān)控資源訪問的行為,遵循增強(qiáng)型DTE、RBAC、BLP模型來實(shí)現(xiàn)系統(tǒng)的安全策略。通過三種模型的相互作用和制約,確保系統(tǒng)中信息和系統(tǒng)自身安全性,以保障操作系統(tǒng)的保密性、完整性、可用性、可靠性。

4 增強(qiáng)型安全模型與傳統(tǒng)安全模型的區(qū)別

4.1 增強(qiáng)型DTE模型

DTE (Domain and Type Enforcement)模型是有效實(shí)施細(xì)粒度強(qiáng)制訪問控制的安全策略機(jī)制。其中安全域隔離技術(shù)作為構(gòu)建可信系統(tǒng)的基本要求之一,是操作系統(tǒng)核心強(qiáng)制執(zhí)行的一種訪問控制機(jī)制,特點(diǎn)是通過嚴(yán)格的隔離,阻止安全域內(nèi)、外部主體對(duì)客體的越權(quán)訪問,實(shí)現(xiàn)保密性、完整性、最小特權(quán)等安全保護(hù)。

增強(qiáng)型DTE是在傳統(tǒng)DTE模型基礎(chǔ)之上進(jìn)行擴(kuò)充,實(shí)現(xiàn)域內(nèi)不僅分配主體也可以分配客體,使不同域內(nèi)的主客體訪問達(dá)到多對(duì)多的訪問關(guān)系。通過定義不同域的主客體訪問權(quán)限,解決現(xiàn)有DTE模型存在的安全目標(biāo)不準(zhǔn)確、系統(tǒng)的安全性難以控制等問題。

通過配置嚴(yán)格的隔離策略,阻止安全域內(nèi)、外部主體對(duì)客體的越權(quán)訪問,從而實(shí)現(xiàn)保密性、完整性、最小特權(quán)等安全保護(hù)。為域間通信提供安全可靠的可信管道機(jī)制,從而得出系統(tǒng)處于可信狀態(tài)的形式定義。采用增強(qiáng)型DTE安全域可以根據(jù)安全需求將應(yīng)用和功能劃分到不同的域,使進(jìn)入域的主體權(quán)限得到有效控制,離開域的主體權(quán)限最小化。對(duì)比如圖1所示。

4.2 增強(qiáng)型RBAC模型

基于角色的訪問控制(Role-Based Access Control)因?yàn)橛兄娲鷤鹘y(tǒng)訪問控制(自主訪問、強(qiáng)制訪問)的前景而受到廣泛關(guān)注。在RBAC中,權(quán)限與角色相關(guān)聯(lián),用戶通過成為適當(dāng)角色成員而得到這些角色的權(quán)限,這就極大地簡(jiǎn)化了權(quán)限的管理。

在一個(gè)組織中,角色是為了完成各種工作而創(chuàng)造的,用戶則依據(jù)它的責(zé)任和資格來被指派相應(yīng)的角色,用戶可以很容易地從一個(gè)角色被指派到另一個(gè)角色。角色可依據(jù)新的需求和系統(tǒng)的合并而賦予新的權(quán)限,而權(quán)限也可根據(jù)需要從某角色中回收。角色與角色的關(guān)系可以建立起來以囊括更廣泛的客觀情況。

增強(qiáng)型RBAC模型可以支持細(xì)粒度的配置,其主客體對(duì)應(yīng)關(guān)系如圖2所示。

4.3 增強(qiáng)型BLP模型

BLP模型的基本安全策略是“上讀下寫”,高安全級(jí)別主體只可以讀安全級(jí)別比它低的客體,低安全級(jí)別主體只可以寫安全級(jí)別比它高的客體,同級(jí)別主客體間可讀寫。“上讀下寫”的安全策略保證了數(shù)據(jù)流向中的所有數(shù)據(jù)只能按照安全級(jí)別從低到高的流向流動(dòng),從而保證了敏感數(shù)據(jù)不被泄露。

增強(qiáng)型BLP模型讀和寫的權(quán)限更注重細(xì)粒度的控制,讀權(quán)限包括讀數(shù)據(jù)、讀ACL等。寫權(quán)限包括寫數(shù)據(jù)、追加寫、寫ACL 等。BLP模型示意如圖3。

椒圖科技以上述解決方案為基礎(chǔ)進(jìn)行深入的技術(shù)研究和拓展,率先研發(fā)出了新一代的椒圖主機(jī)安全環(huán)境系統(tǒng),簡(jiǎn)稱:JHSE(JOWTO Host Security Environment的字母縮寫)。JHSE以國(guó)家等級(jí)保護(hù)標(biāo)準(zhǔn)為依據(jù),是針對(duì)服務(wù)器操作系統(tǒng)存在的安全隱患而提供的通用型安全操作系統(tǒng)解決方案,解決操作系統(tǒng)層面所面臨的惡意代碼執(zhí)行、越權(quán)訪問、數(shù)據(jù)泄露、破壞數(shù)據(jù)完整性等各種攻擊行為。

5 總結(jié)

椒圖科技JHSE能夠通過可視虛擬化技術(shù)將每個(gè)應(yīng)用或者功能單獨(dú)劃分成安全域,各安全域之間如同獨(dú)立的主機(jī)相互隔離;利用增強(qiáng)型DTE所生成的每個(gè)安全域中均具備增強(qiáng)型RBAC安全機(jī)制,可對(duì)域內(nèi)資源進(jìn)行強(qiáng)制訪問控制,讓每個(gè)域的安全性非常健壯;而增強(qiáng)型DTE則隔離了域與域之間的訪問,即便管理員忘記對(duì)某個(gè)域進(jìn)行安全配置,出現(xiàn)了安全事故,所產(chǎn)生的影響也僅局限在該域內(nèi),不會(huì)影響和擴(kuò)散到其他域。

這種默認(rèn)的最小化安全訪問機(jī)制,有效地隔離了已知、未知攻擊和惡意代碼對(duì)系統(tǒng)與應(yīng)用資源的訪問,確保了系統(tǒng)資源的保密性和完整性,從而也提供了高可用和高可靠的業(yè)務(wù)連續(xù)性。JHSE通過對(duì)安全子系統(tǒng)(SSOOS)的重構(gòu)和擴(kuò)充,它將原有操作系統(tǒng)中自由型、層次型的自主訪問控制模型,改變?yōu)榉稀禛B/T 20272-2006信息安全技術(shù)-操作系統(tǒng)安全技術(shù)要求》的宿主型自主訪問控制模型。

JHSE嚴(yán)格按照三級(jí)操作系統(tǒng)安全標(biāo)準(zhǔn),使操作系統(tǒng)安全達(dá)到身份鑒別、強(qiáng)制訪問控制、安全審計(jì)、剩余信息保護(hù)、入侵防范、惡意代碼防范,資源控制等標(biāo)準(zhǔn),為信息系統(tǒng)提供縱深防御體系。

同時(shí),JHSE適用于AIX、HP-UX、Solaris、Windows Server、Linux Server等主流商用服務(wù)器操作系統(tǒng),其安裝、應(yīng)用都不會(huì)影響原有業(yè)務(wù)的邏輯和連續(xù)性,從而實(shí)現(xiàn)了對(duì)服務(wù)器操作系統(tǒng)安全等級(jí)的動(dòng)態(tài)、透明提升。椒圖科技JHSE為我國(guó)首個(gè)通過國(guó)標(biāo)三級(jí)檢測(cè)的通用型安全操作系統(tǒng),是適用于金融、電信、海關(guān)、稅務(wù)等多個(gè)領(lǐng)域的通用型安全操作系統(tǒng)解決方案。

參考文獻(xiàn)

[1] 《GB/T20272-2006 信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》.

[2] 《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》.

[3] 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/

T22239-2008).

[4] 《信息安全技術(shù) 服務(wù)器安全技術(shù)要求》(GB/T21028-2007).

第3篇:數(shù)據(jù)保密解決方案范文

現(xiàn)任RIM公司中國(guó)區(qū)總裁。2005年,擔(dān)任美國(guó)信息產(chǎn)業(yè)機(jī)構(gòu)(USITO)北京辦事處總裁兼執(zhí)行董事。

2000年,服務(wù)于西門子和中國(guó)中信集團(tuán)公司的合資公司,負(fù)責(zé)風(fēng)險(xiǎn)投資業(yè)務(wù),與電子化學(xué)習(xí)、電子商務(wù)、移動(dòng)數(shù)據(jù)軟件及終端領(lǐng)域的新興公司進(jìn)行合作。加拿大英屬哥倫比亞理科碩士,1987年以中國(guó)政府特邀外國(guó)專家身份來華。此后,他加入加拿大外交部,在韓國(guó)首爾和中國(guó)香港任職。

隨著中國(guó)企業(yè)信息化系統(tǒng)的不斷完善,信息化平臺(tái)已經(jīng)從固定互聯(lián)網(wǎng)向移動(dòng)互聯(lián)網(wǎng)延伸。與此同時(shí),信息安全問題也逐漸面臨更多的挑戰(zhàn)。

對(duì)大多數(shù)信息化企業(yè)而言,其經(jīng)營(yíng)計(jì)劃、知識(shí)產(chǎn)權(quán)、生產(chǎn)工藝、業(yè)務(wù)流程、推廣方案、客戶資源等重要數(shù)據(jù)都將融入移動(dòng)互聯(lián)網(wǎng),而這些數(shù)據(jù)不僅是企業(yè)發(fā)展的方向和動(dòng)力,更關(guān)乎企業(yè)的生存與命運(yùn)。

如何保證這些數(shù)據(jù)的安全,并且只容許那些擁有相應(yīng)權(quán)限的企業(yè)員工方便地訪問它們?這個(gè)問題已經(jīng)不再像以往“收好保險(xiǎn)柜鑰匙”那么簡(jiǎn)單了。

無論是大型企業(yè)還是中小型企業(yè),信息安全的建設(shè)都是信息化建設(shè)的首要任務(wù)之一。盡管如今的企業(yè)移動(dòng)信息平臺(tái)已經(jīng)能夠勝任電子郵件系統(tǒng)、視頻通話系統(tǒng)、企業(yè)內(nèi)網(wǎng)等大部分原有基于固定互聯(lián)網(wǎng)的信息平臺(tái)的工作,ERP、SCM、CRM、OA等系統(tǒng)也都可以順利地向移動(dòng)信息平臺(tái)擴(kuò)展,但是,在擴(kuò)展之前,企業(yè)一定要制定好一套完整的移動(dòng)安全策略。只有這樣,才能讓移動(dòng)信息平臺(tái)的安全策略與整個(gè)信息化系統(tǒng)保持一致。因此,配套而完整的移動(dòng)安全策略非常重要,因?yàn)槠髽I(yè)需要的不只是移動(dòng)終端的安全,更需要企業(yè)所有信息的安全。

移動(dòng)信息平臺(tái)的安全性首先體現(xiàn)在后臺(tái)管理系統(tǒng)對(duì)移動(dòng)終端的控制力上。一套出色的后臺(tái)管理系統(tǒng)應(yīng)該不僅可以遠(yuǎn)程管理終端閱覽信息的權(quán)限、調(diào)整終端的安全設(shè)置、控制終端可使用的功能,在必要時(shí)還能刪除終端上的數(shù)據(jù),以保證企業(yè)信息的安全。

那么,企業(yè)在制定移動(dòng)安全策略時(shí),具體應(yīng)當(dāng)考慮哪些方面的舉措呢?根據(jù)RIM公司長(zhǎng)期的實(shí)踐經(jīng)驗(yàn)來看,主要應(yīng)注意企業(yè)防火墻、無線數(shù)據(jù)傳輸、移動(dòng)終端、病毒及惡意軟件、企業(yè)安全標(biāo)準(zhǔn)、安全策略和安全合規(guī)等7個(gè)方面。另外,合規(guī)安全也應(yīng)作為重要因素考慮進(jìn)企業(yè)的移動(dòng)安全策略當(dāng)中。

企業(yè)防火墻是防止企業(yè)網(wǎng)絡(luò)遭受攻擊的重要屏障。由于移動(dòng)終端通常在防火墻外部使用,防火墻端口的保護(hù)就顯得尤為重要。完備的移動(dòng)解決方案不僅要確保智能手機(jī)正常連接企業(yè)內(nèi)網(wǎng),還不能影響企業(yè)防火墻設(shè)置中的現(xiàn)有安全策略,繼而保證防火墻端口的安全。

基于移動(dòng)互聯(lián)網(wǎng)的無線數(shù)據(jù)傳輸是信息安全的重要一環(huán),確保無線數(shù)據(jù)傳輸具備高度的保密性、完整性和真實(shí)性也非常關(guān)鍵。這要求移動(dòng)安全策略不但要保證無線數(shù)據(jù)的安全性,同時(shí)還能驗(yàn)證無線數(shù)據(jù)的來源,從根本上保證數(shù)據(jù)傳輸?shù)陌踩浴?/p>

長(zhǎng)期以來,病毒和惡意軟件都是企業(yè)IT管理部門頭疼的問題,但現(xiàn)在,這個(gè)問題已經(jīng)能夠得到很好的解決。服務(wù)于世界500強(qiáng)的RIM公司研發(fā)的智能手機(jī)操作系統(tǒng),具有的獨(dú)特性和先進(jìn)架構(gòu)使其幾乎不可能被病毒或惡意軟件攻擊。同時(shí),該企業(yè)推出的移動(dòng)解決方案(BES)的高度安全性也保證了整個(gè)企業(yè)移動(dòng)解決方案不會(huì)給企業(yè)信息安全帶來絲毫風(fēng)險(xiǎn)。

此外,移動(dòng)解決方案還需與企業(yè)現(xiàn)有的信息化系統(tǒng)具備絕佳的兼容性,其中包括對(duì)企業(yè)安全標(biāo)準(zhǔn)的兼容。需要指出的是,方案的部署不應(yīng)以改變企業(yè)的安全策略為代價(jià),而是要能很好地支持現(xiàn)有標(biāo)準(zhǔn)。此外,完備的移動(dòng)解決方案還能幫助企業(yè)網(wǎng)絡(luò)管理員很方便地建立、增強(qiáng)及更新安全策略。RIM的移動(dòng)解決方案不但對(duì)所有相關(guān)設(shè)備都具有很強(qiáng)的綜合控制能力,還能夠令企業(yè)的移動(dòng)信息平臺(tái)真正成為一個(gè)有機(jī)整體,確保安全策略的周全。

隨著“薩班斯?奧克斯利”等國(guó)內(nèi)外的公司治理法案對(duì)企業(yè)電子郵件管理提出明確且嚴(yán)苛的規(guī)定,企業(yè)的合規(guī)工作成本將大幅度上升?,F(xiàn)在,黑莓的企業(yè)級(jí)電子服務(wù)系統(tǒng)得到了“薩班斯?奧克斯利法案”的認(rèn)可,它能在企業(yè)加強(qiáng)移動(dòng)信息平臺(tái)建設(shè)時(shí)不再增加合規(guī)成本。

第4篇:數(shù)據(jù)保密解決方案范文

在我國(guó),信息化建設(shè)已經(jīng)有30多年的發(fā)展歷程,信息安全已成為影響國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展的重要因素,得到了政府、行業(yè)和用戶的高度重視。2011年3月的《國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十二個(gè)五年規(guī)劃綱要》明確指出:“十二五”期間,我國(guó)將健全網(wǎng)絡(luò)與信息安全法律法規(guī),完善信息安全標(biāo)準(zhǔn)體系和認(rèn)證認(rèn)可體系,實(shí)施信息安全等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估等制度,加快推進(jìn)安全可控關(guān)鍵軟硬件的應(yīng)用試點(diǎn)示范和推廣,確保國(guó)家信息安全。

事實(shí)上,為了進(jìn)一步完善國(guó)家信息安全保障體系建設(shè),我國(guó)推出了一系列政策和措施。從2007年起,我國(guó)就在全國(guó)范圍內(nèi)開展信息安全保護(hù)工作,促進(jìn)政府、金融、電信等各重點(diǎn)領(lǐng)域信息安全建設(shè),并取得了良好的成果。但值得我們關(guān)注的是,當(dāng)大多數(shù)人將對(duì)于信息安全的注意力更多地“盯”在計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)領(lǐng)域時(shí),重要信息在輸出終端,即文件打印、復(fù)印等文印流程中的安全性卻很少得到重視。在最為重要的政務(wù)信息安全領(lǐng)域,文印流程安全、管理的現(xiàn)狀如何?現(xiàn)有的解決方案能夠滿足用戶的管理需求嗎?在對(duì)政府單位的走訪中記者發(fā)現(xiàn),一套基于硬件控制,輔以軟件管理的解決方案,正得到政府用戶越來越多的青睞。

安全與效率面臨挑戰(zhàn)

隨著越來越多的敏感信息電子化,文印輸出過程中信息泄密的風(fēng)險(xiǎn)大大增加,特別是共享和網(wǎng)絡(luò)打印的快速普及,在給用戶帶來便捷體驗(yàn)的同時(shí),也對(duì)政府機(jī)構(gòu)的信息安全提出了空前嚴(yán)峻的挑戰(zhàn)。

在政府機(jī)構(gòu)內(nèi)部,各部門一般從空間上相互獨(dú)立,每個(gè)屋子也都單獨(dú)配備了打印機(jī),以確保信息保密。但是,這樣的打印設(shè)備功能卻很有限,且布置分散,運(yùn)營(yíng)成本過高,不能滿足當(dāng)前文印管理需要。為解決效率問題,不少部門專門設(shè)置了文印中心,但是這樣的文印中心也在安全和效率兩方面面臨著新的挑戰(zhàn)。

“目前我們使用文印設(shè)備的流程還是比較簡(jiǎn)單的,尤其是非窗口單位,基本上就是用自己的桌面打印機(jī)打印日常工作需要的文件,如果是大量地打印、復(fù)印文件,就去專門的文印室。我們對(duì)于日常使用的打印機(jī)并沒有特別復(fù)雜的要求,主要是安全、穩(wěn)定、快速、易操作。保密的重要性對(duì)于機(jī)關(guān)單位來說也非常重要,目前我們所采用的方法就是內(nèi)外網(wǎng)隔離,文印設(shè)備基本不聯(lián)網(wǎng),每人使用一臺(tái)桌面打印機(jī)?!眹?guó)務(wù)院機(jī)關(guān)事務(wù)管理局公共機(jī)構(gòu)節(jié)能管理司黃滔處長(zhǎng)向記者介紹。

與國(guó)務(wù)院機(jī)關(guān)事務(wù)管理局(以下簡(jiǎn)稱國(guó)管局)公共機(jī)構(gòu)節(jié)能管理司相似,大部分的機(jī)關(guān)單位在日常辦公中,內(nèi)外網(wǎng)隔離是最基本的保密方式,對(duì)文印保密也有相關(guān)的制度和規(guī)定,比如不準(zhǔn)隨意翻印文件;凡絕密級(jí)和注明不準(zhǔn)翻印的上級(jí)機(jī)關(guān)公文有關(guān)材料,一律不得翻??;確因工作需要翻印秘密文件時(shí),必須經(jīng)局、主管領(lǐng)導(dǎo)批準(zhǔn);翻印時(shí)應(yīng)注明翻印機(jī)關(guān)、日期、份數(shù)和印發(fā)范圍等。

“從制度上來說,我們?cè)谖挠」芾矸矫娴谋C芎凸芾磉€是比較嚴(yán)密的,比如說文件需要簽字才能打印,電腦內(nèi)文件不能用移動(dòng)存儲(chǔ)設(shè)備帶走,不能聯(lián)網(wǎng)打印等。對(duì)于一些的部門,我們也能做到事后追溯。”國(guó)管局相關(guān)工作人員介紹。

有管理才有安全

然而根據(jù)記者的深入了解,在實(shí)際工作中,政府機(jī)關(guān)的文印管理流程仍存在著漏洞,比如打印機(jī)管理長(zhǎng)期處于分散狀態(tài),打印設(shè)備缺少專人管理等。對(duì)文印流程缺少安全管理,信息安全和保密自然難以得到保障,再加上辦公室人員流動(dòng)頻繁以及人為的文件遺留等問題,信息泄露的風(fēng)險(xiǎn)依然需要處處防范。

國(guó)家食品藥品監(jiān)督管理局處長(zhǎng)姚珀表示,“出于保密的原因,我們目前都是不聯(lián)網(wǎng)打印的,這確實(shí)給我們的工作帶來了很多麻煩。比如我們現(xiàn)在打印、復(fù)印一份文件,很可能要樓上樓下跑好幾趟,工作效率難以提高。但如果聯(lián)網(wǎng)又會(huì)涉及到安全問題,這讓我們的文印管理陷入兩難局面。”

談到文印安全方面的特殊需求時(shí),姚珀說,“一些敏感數(shù)據(jù)和文件需要打印,但又不想任何無關(guān)的人看到這些打印件,以前我們?yōu)榇嗽O(shè)置機(jī)密打印室,需要打印的時(shí)候,都要提交打印申請(qǐng),非常麻煩。我們理想中的文印管理,一是要方便,不必跑上跑下就能就近取到文件。二就是要安全,要保證不從網(wǎng)絡(luò)內(nèi)部泄露信息,也不讓文件能輕易被無關(guān)人員打印出來?!?/p>

對(duì)于姚珀提出的問題,記者專門采訪了文印解決方案領(lǐng)域的專家。來自惠普的技術(shù)顧問介紹說,針對(duì)這個(gè)問題,只需借助惠普的PIN碼打印技術(shù)就可以輕松解決。用戶在打印機(jī)密文檔時(shí),可設(shè)置安全PIN碼,文檔傳輸?shù)酱蛴C(jī)后只有用戶在打印機(jī)控制面板上輸入相應(yīng)PIN碼后才能進(jìn)行檢索和打印作業(yè),確保敏感數(shù)據(jù)的安全。事實(shí)上,在日常工作中,這種PIN碼設(shè)置,不僅能有效保護(hù)機(jī)密數(shù)據(jù)安全,還能有效防止文檔被別人拿走、放錯(cuò)地方或扔掉而重復(fù)打印造成的浪費(fèi)。而借助打印管理軟件HP Web Jetadmin的打印權(quán)限設(shè)置功能,IT管理員可輕松進(jìn)行每臺(tái)設(shè)備的訪問權(quán)限設(shè)置,只有被賦予訪問權(quán)限者才能通過該打印機(jī)進(jìn)行文檔輸出,保證了各部門內(nèi)部信息不通過文印設(shè)備外泄。

根據(jù)記者了解,對(duì)于硬件購(gòu)置和耗材補(bǔ)充方面的成本,行業(yè)用戶已經(jīng)有一定程度認(rèn)識(shí),但對(duì)于設(shè)備監(jiān)控和持續(xù)管理、最終用戶使用效率提升以及工作流程改進(jìn)等問題,用戶還缺乏了解。對(duì)此問題,惠普的文印工程師介紹說,政府文印管理的問題,可以通過“優(yōu)化基礎(chǔ)架構(gòu)”、“管理文印環(huán)境”、“改善工作流程”三大解決方案來完成,進(jìn)而幫助政府保障信息安全,降低成本,節(jié)省資源并簡(jiǎn)化文檔密集型工作流程?!疤岣咝省⒔档统杀?、保障信息安全,要做到這幾點(diǎn),文印設(shè)備的管理必不可少”,惠普技術(shù)顧問表示。

軟件+硬件+服務(wù),解決政府辦公后顧之憂

“雖然政府辦公并沒有太多復(fù)雜的打印流程,但單純地購(gòu)買打印機(jī)已經(jīng)很難滿足打印需求。打印量大,而專業(yè)人員又相對(duì)較少,一旦機(jī)器出現(xiàn)問題,很難及時(shí)解決,以致降低工作效率?!币︾暾J(rèn)為?!俺鲇谔岣咝实哪康?,我們也考慮在今后實(shí)現(xiàn)聯(lián)網(wǎng)打印。一旦設(shè)備聯(lián)網(wǎng),對(duì)文印管理的專業(yè)水平的要求就會(huì)更高。我們內(nèi)部的工作人員很難解決這些問題,就需要借助專門的軟件和技術(shù)人員來實(shí)現(xiàn)相關(guān)目標(biāo)。比如在網(wǎng)絡(luò)環(huán)境中保證信息安全,以有限的人手來管理整個(gè)部門的機(jī)器,如何使打印更為高效快捷等?!?/p>

第5篇:數(shù)據(jù)保密解決方案范文

【 關(guān)鍵詞 】 集散式中小型企業(yè);遠(yuǎn)程數(shù)據(jù);安全傳輸

Distributed Small and Medium-sized Enterprise Remote Data Secure Transmission Solutions

Zhang Ding-xiang

(Guizhou Commercial College GuizhouGuizhou 550004)

【 Abstract 】 According to the demand characteristics of business of the distributed small and medium-sized enterprises(SMEs), I have researched and analyzed several common scheme about remote data transmission safety, and combined with the practical application of cases, to set in one body with variety of security technology and social free resources,Proposed a cheap solution based on the VPN. Let more similar enterprise can build up and use up, For SMEs to solve the problem of the remote data security exchange and sharing of safety.

【 Keywords 】 distributed?small and medium-sized enterprises; remote data; security transmission

0 引言

將那些在地理分布上較為分散,但在管理上卻需要敏捷集中、信息交流十分頻繁的中小型企業(yè)稱之為集散式中小型企業(yè)。而這些集散式中小型企業(yè)將越來越需要利用公眾互聯(lián)網(wǎng)平臺(tái)開展自己的業(yè)務(wù),與異地分支機(jī)構(gòu)、移動(dòng)辦公人員和商業(yè)伙伴頻繁地交換秘密信息,以降低公司的管理成本,提高公司的管理效率和應(yīng)付日益復(fù)雜的環(huán)境需求及情況變化。同時(shí)也受到來自公眾互聯(lián)網(wǎng)的各種安全威脅,如系統(tǒng)攻擊、數(shù)據(jù)竊取、數(shù)據(jù)泄露等,這些企業(yè)數(shù)據(jù)的傳輸和共享受到了網(wǎng)絡(luò)安全威脅和資金投入的限制,如果不能有效地解決這些問題,將會(huì)嚴(yán)重阻礙我國(guó)集散式中小型企業(yè)的正常發(fā)展。

1 解決方案

無論采取何種方式解決集散式中小型企業(yè)遠(yuǎn)程數(shù)據(jù)的安全傳輸問題,都要以確保數(shù)據(jù)信息的機(jī)密性、完整性、可用性、可控性、抗抵賴性等安全屬性為構(gòu)建目標(biāo)。

1.1 構(gòu)建專用線路方案

在該方案中,整個(gè)線路僅為企業(yè)專用,安全性和數(shù)據(jù)傳輸速度都很好,就是建設(shè)成本和維護(hù)成本很高,一般情況下中小型企業(yè)是無法承受這個(gè)高額費(fèi)用的。

1.2 基于防火墻的解決方案

人們通常的做法是購(gòu)置路由器、防火墻、入侵檢測(cè)系統(tǒng)等硬件設(shè)備,對(duì)它們進(jìn)行簡(jiǎn)單堆砌,造成財(cái)務(wù)負(fù)擔(dān)重,安全效果不明顯的局面。防火墻主要解決網(wǎng)絡(luò)安全隔離技術(shù),卻無法解決抗抵賴性、數(shù)據(jù)壓縮傳輸、數(shù)據(jù)加密傳輸和密鑰管理等問題。

1.3 硬件VPN方案

利用公眾互聯(lián)網(wǎng)鏈路架設(shè)企業(yè)私有的虛擬專用網(wǎng)(即VPN),VPN融合了隧道傳輸、加密解密、密鑰管理、身份認(rèn)證、訪問控制等多方面的先進(jìn)技術(shù)。建立VPN實(shí)質(zhì)上是擴(kuò)展企業(yè)內(nèi)部網(wǎng)絡(luò),為企業(yè)分支機(jī)構(gòu)、商業(yè)伙伴、移動(dòng)辦公人員等建立可信的網(wǎng)絡(luò)安全連接,實(shí)現(xiàn)數(shù)據(jù)安全傳輸和內(nèi)部資源安全共享。

VPN相對(duì)于專線方式而言,在價(jià)格上有著絕對(duì)的優(yōu)勢(shì);相對(duì)于普通PSTN撥號(hào)連接,VPN在安全性、保密性上更勝一籌。人們通常采用硬件VPN解決方案,因?yàn)樾Ч?、性能穩(wěn)定,但建設(shè)成本和維護(hù)成本較高,中小型企業(yè)難以接受。

1.省略)、88IP()等。

采用以上方案,解決了無固定公網(wǎng)IP地址主機(jī)的訪問問題,得到了免費(fèi)的公網(wǎng)IP地址和域名。

(3) 集成型VPN網(wǎng)關(guān)軟件的選用

軟件VPN除具有硬件VPN同樣的功能外,還具有價(jià)格低、壽命長(zhǎng)、靈活性和擴(kuò)展性強(qiáng)的優(yōu)點(diǎn);缺點(diǎn)是安裝配置復(fù)雜、性能一般,可采用較強(qiáng)性能的計(jì)算機(jī)作為軟件VPN的運(yùn)行支撐環(huán)境,解決軟件VPN的性能問題。這里,將基于VPN并集成防火墻、入侵檢測(cè)、計(jì)算機(jī)病毒防治、網(wǎng)絡(luò)撥號(hào)服務(wù)等重要功能于一體的VPN軟件稱為集成型VPN網(wǎng)關(guān)軟件。

雖然集成型VPN網(wǎng)關(guān)軟件在市場(chǎng)上不少,但適用的質(zhì)量好的并不多見。筆者推薦使用Injoy Firewall集成型VPN網(wǎng)關(guān)軟件,該軟件在我國(guó)也有少量用戶,并得到了中國(guó)公安部的安全認(rèn)證許可。

Injoy Firewall集成型VPN網(wǎng)關(guān)軟件可較好地解決數(shù)據(jù)安全傳輸和內(nèi)網(wǎng)資源安全共享問題。Injoy Firewall內(nèi)置了網(wǎng)絡(luò)撥號(hào)(PpoE、PSTN)、VPN、防火墻、IDS、DHCP Server、遠(yuǎn)程配置管理等功能模塊,且支持IPSec和NAT-T協(xié)議,支持多種高強(qiáng)度加密(DES、3DES、AES、AES-192/256)、多種認(rèn)證(共享密鑰、擴(kuò)展認(rèn)證、RSA數(shù)字簽名)、數(shù)據(jù)壓縮傳輸,提供隧道模式和傳輸模式兩種工作方式。

(4) 運(yùn)行環(huán)境

運(yùn)行環(huán)境不能要求高,能運(yùn)行于普通PC機(jī)和Windows(Linux)操作系統(tǒng)即可。

通過以上綜合分析,得出了一個(gè)6+解決方案(PC機(jī)+Windows(Linux)+ADSL撥號(hào)+DDNS+二級(jí)域名+集成型VPN網(wǎng)關(guān)軟件)。6+是一個(gè)經(jīng)濟(jì)、適用、易用、安全的遠(yuǎn)程數(shù)據(jù)傳輸方案,為集散型中小型企業(yè)構(gòu)建遠(yuǎn)程數(shù)據(jù)安全傳輸平臺(tái)是切實(shí)可行的。

2 應(yīng)用案例

上述的綜合解決方案已在貴州省幾家集散式中小型企業(yè)和政府基層管理部門得到了較好的應(yīng)用?,F(xiàn)以某醫(yī)院為例來說明該方案構(gòu)建方法。

某醫(yī)院為實(shí)現(xiàn)其異地分支機(jī)構(gòu)(分院、社區(qū)醫(yī)院、診所)與中心醫(yī)院的業(yè)務(wù)系統(tǒng)互聯(lián),數(shù)據(jù)統(tǒng)一集中存儲(chǔ)、處理和管理,做到病人的刷卡和結(jié)算同步,構(gòu)建了如圖1所示的遠(yuǎn)程數(shù)據(jù)安全傳輸平臺(tái)。在圖1的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖中,實(shí)線為物理連接線路,虛線為邏輯上的VPN隧道。在中心醫(yī)院及其分支機(jī)構(gòu)(A和B)的網(wǎng)絡(luò)接入處都安裝集成型網(wǎng)關(guān)(PC機(jī)+Windows 2000+ADSL撥號(hào)+DDNS花生殼客戶端軟件+二級(jí)域名+I(xiàn)njoy Firewall),集成型網(wǎng)關(guān)負(fù)責(zé)內(nèi)網(wǎng)與ADSL Modem的連接,ADSL Modem的另一端與公眾網(wǎng)絡(luò)連接。其中,中心醫(yī)院和分支機(jī)構(gòu)B的集成型網(wǎng)關(guān)還額外配置了普通電話Modem,它們通過PSTN公眾電話網(wǎng)進(jìn)行電話撥號(hào)連接,作為ADSL的備用線路。中心醫(yī)院和各分支機(jī)構(gòu)都無固定的公網(wǎng)IP地址,通過ADSL撥號(hào)上網(wǎng)獲得動(dòng)態(tài)的免費(fèi)公網(wǎng)IP地址。借助DDNS花生殼客戶端軟件和Injoy Firewall提供的NAT-T技術(shù),使得各分支機(jī)構(gòu)內(nèi)網(wǎng)的任一臺(tái)計(jì)算機(jī)均可安全地訪問中心醫(yī)院網(wǎng)絡(luò)中的業(yè)務(wù)服務(wù)器或其它計(jì)算機(jī)。

該遠(yuǎn)程數(shù)據(jù)安全傳輸平臺(tái)從2004年建成使用至今,仍然在穩(wěn)定、安全、可靠地運(yùn)行,實(shí)現(xiàn)了預(yù)期的業(yè)務(wù)需求和低成本的建設(shè)目標(biāo)。

3 應(yīng)用效果及展望

多家單位多年運(yùn)用結(jié)果表明,采用本文提出的“6+”解決方案構(gòu)建的信息交互平臺(tái)運(yùn)行效果良好,原有投資也得到了保護(hù)。這就為集散式中小型企業(yè)和政府基層管理部門找到了一個(gè)安全、夠用、好用、價(jià)廉的遠(yuǎn)程數(shù)據(jù)安全傳輸解決方案。

但是,“6+”解決方案不適合傳輸大流量的視頻數(shù)據(jù),還有待于進(jìn)一步的研究。

參考文獻(xiàn)

[1] 曾慶凱.信息安全體系結(jié)構(gòu)[M].北京:電子工業(yè)出版社,2010.

[2] 戴彬.基于IPSec的VPN技術(shù)穿越NAT的研究與設(shè)計(jì)[D].重慶:西南大學(xué),2006.

[3] F/X Communications公司.InJoy Firewall - IPSec VPN Features [OL].fx.dk.

第6篇:數(shù)據(jù)保密解決方案范文

在鼎普科技有限公司技術(shù)總監(jiān)陳廣輝看來,企業(yè)內(nèi)網(wǎng)安全防護(hù)一個(gè)突出的問題是:在網(wǎng)絡(luò)安全形勢(shì)日益復(fù)雜的今天,單純依靠軟件防護(hù)保護(hù)企業(yè)重要信息并不可靠,只有通過基于基礎(chǔ)硬件級(jí)的防護(hù)措施,才能抓住內(nèi)網(wǎng)安全的根本。

軟件方案隱患重重

“以軟件為主要形式來實(shí)現(xiàn)安全防護(hù)就像在沙地上蓋房子,根基不夠牢固。這些安全防護(hù)軟件雖然也能發(fā)揮一定的作用,但對(duì)于所需保護(hù)的敏感信息數(shù)據(jù)而言,安全隱患依然明顯?!标悘V輝認(rèn)為。

所謂信息泄漏,就是故意或偶然地獲得(截獲、竊取、分析破譯)目標(biāo)系統(tǒng)中的信息,特別是秘密信息或敏感信息,從而造成泄密事件。如終端計(jì)算機(jī)沒有及時(shí)安裝防病毒軟件造成病毒感染或泄密,沒有及時(shí)安裝系統(tǒng)補(bǔ)丁致使惡意代碼入侵造成泄密,以及內(nèi)部人員有意無意地泄密、外部人員惡意竊取等,這些安全隱患都是造成失泄密事件的重要原因。

應(yīng)該說,對(duì)于企業(yè)以及有保密需求的單位或個(gè)人來說,保證重要信息不通過任何途徑外泄已經(jīng)成為網(wǎng)絡(luò)安全維護(hù)的首要目標(biāo)。目前,市場(chǎng)上已有針對(duì)信息泄漏的安全防護(hù)軟件。這些安裝運(yùn)行于操作系統(tǒng)之上的軟件,自身安全性主要依賴于操作系統(tǒng)的安全,而事實(shí)上,操作系統(tǒng)也是病毒時(shí)常攻擊的目標(biāo)。

另外,由于無法控制計(jì)算機(jī)用戶私自外掛光驅(qū)或從盤來非法使用主機(jī)硬盤數(shù)據(jù),隨意重裝操作系統(tǒng)等敏感行為,計(jì)算機(jī)常常面臨失控風(fēng)險(xiǎn),導(dǎo)致已部署的安全防護(hù)軟件完全失效,嚴(yán)重影響計(jì)算機(jī)的數(shù)據(jù)安全和運(yùn)維管理,甚至還存在安全軟件經(jīng)常與操作系統(tǒng)或者計(jì)算機(jī)硬件不兼容等現(xiàn)象。

從底層構(gòu)建硬件防護(hù)體系

需要指出的是,以上提到的信息泄漏風(fēng)險(xiǎn),更多涉及操作系統(tǒng)或基礎(chǔ)硬件,絕非一般防護(hù)軟件所能解決。所以,采用基于硬件的安全防護(hù)措施,防護(hù)效果就會(huì)顯著增強(qiáng)。

相比安全軟件解決方案而言,目前能夠推出基于硬件安全防護(hù)方案的廠商比較少。作為其中之一,鼎普科技推出的計(jì)算機(jī)安全防護(hù)卡解決方案比較典型。該方案可以在不改變當(dāng)前計(jì)算機(jī)安全架構(gòu)的情況下,在BIOS級(jí)別實(shí)現(xiàn)計(jì)算機(jī)的信息安全防護(hù),從最底層為計(jì)算機(jī)提供可靠的硬件保護(hù),從根本上解決計(jì)算機(jī)的軟件安全防護(hù)的隱患,有效防止信息泄漏事件的發(fā)生。

具體來說,硬件級(jí)登錄認(rèn)證、數(shù)據(jù)全硬盤保護(hù)、指定軟件開機(jī)檢測(cè)是其中的幾項(xiàng)主要功能。首先,該防護(hù)卡系統(tǒng)提供BIOS級(jí)終端系統(tǒng)啟動(dòng)的安全認(rèn)證功能,可先于操作系統(tǒng)提供計(jì)算機(jī)終端啟動(dòng)的密碼口令保護(hù),同時(shí)通過強(qiáng)制插入智能Key才能進(jìn)入認(rèn)證登入系統(tǒng)。該防護(hù)卡系統(tǒng)附帶的便攜智能Key與主卡分離保存,保證安全性。

第7篇:數(shù)據(jù)保密解決方案范文

【關(guān)鍵詞】移動(dòng)辦公 身份認(rèn)證 SSL VPN 數(shù)字簽名 PKI/CA體系

1 引言

移動(dòng)辦公作為傳統(tǒng)辦公系統(tǒng)的無線擴(kuò)展,可以與現(xiàn)有的辦公系統(tǒng)無縫結(jié)合,使外出辦公人員無論身處何地都如同在自己的辦公室一樣,可以高效率地開展工作。智能終端所擁有的運(yùn)算能力,可以支持郵件收發(fā)、公文審批及個(gè)人事務(wù)處理等各種內(nèi)部辦公應(yīng)用。隨著全球經(jīng)濟(jì)一體化的發(fā)展,移動(dòng)辦公已成為現(xiàn)代企業(yè)信息化的重要標(biāo)志,是繼無紙化辦公之后企業(yè)信息化的第二次浪潮。隨著無線應(yīng)用的發(fā)展,各種安全威脅也接踵而至。如何讓人們?cè)谙硎芤苿?dòng)辦公帶來的方便快捷的同時(shí),有效地應(yīng)對(duì)各種安全威脅,正是大家所關(guān)心的話題。本文從安全可信的角度介紹一種移動(dòng)辦公的安全解決方案,以供企業(yè)在部署移動(dòng)辦公應(yīng)用時(shí)進(jìn)行參考。

2 移動(dòng)辦公面臨的安全威脅

從互聯(lián)網(wǎng)的誕生開始,網(wǎng)絡(luò)安全威脅就應(yīng)運(yùn)而生;隨著互聯(lián)網(wǎng)的發(fā)展,網(wǎng)絡(luò)安全威脅也在發(fā)展升級(jí)。移動(dòng)辦公作為一個(gè)非常成熟的互聯(lián)網(wǎng)應(yīng)用,同樣面臨著各類網(wǎng)絡(luò)安全威脅,移動(dòng)辦公的安全威脅潛伏在業(yè)務(wù)的身份認(rèn)證、數(shù)據(jù)安全、數(shù)據(jù)完整性和事后追蹤等各個(gè)環(huán)節(jié)。

2.1 移動(dòng)辦公的身份認(rèn)證

早期的網(wǎng)絡(luò)身份認(rèn)證采用靜態(tài)的用戶名/口令的方式進(jìn)行,這種方式簡(jiǎn)單易行,安全強(qiáng)度不高,易被破解或截獲。手機(jī)普及以后,在靜態(tài)用戶名/密碼的基礎(chǔ)上增加了手機(jī)號(hào)碼、手機(jī)IMEI號(hào)、用戶名/密碼的組合認(rèn)證方式。這種組合方式的安全強(qiáng)度有所提高,但在用戶更換手機(jī)或手機(jī)號(hào)碼時(shí)需要重新進(jìn)行綁定,使用不太方便;而且SIM卡、手機(jī)號(hào)碼、手機(jī)IMEI號(hào)也可以克隆仿制,可破解,手機(jī)丟失后易造成身份泄露。于是又出現(xiàn)了短信動(dòng)態(tài)密碼的身份認(rèn)證方式,和將短信動(dòng)態(tài)密碼與靜態(tài)用戶名/口令組合成雙因素的身份認(rèn)證方式。這種方式雖然解決了更換手機(jī)重新綁定的麻煩,但仍然沒有解決SIM卡克隆和手機(jī)丟失后易造成身份泄露的問題,同時(shí)帶來了因短信攔截而導(dǎo)致泄密和網(wǎng)絡(luò)質(zhì)量不高或國(guó)際漫游時(shí)無法及時(shí)接收短信的問題。

2.2 移動(dòng)辦公的數(shù)據(jù)安全

移動(dòng)辦公系統(tǒng)的數(shù)據(jù)傳輸過程包括無線傳輸和有線傳輸兩個(gè)部分,無傳輸部分采用現(xiàn)有的GSM、CDMA或3G網(wǎng)絡(luò),空口部分有加密標(biāo)準(zhǔn)和規(guī)范,但由于SIM卡、手機(jī)號(hào)碼、手機(jī)IMEI號(hào)可能被克隆,所以空口加密也存在數(shù)據(jù)被解密的安全隱患;有線傳輸部分,一般的網(wǎng)絡(luò)協(xié)議均為明文協(xié)議,不提供任何保密功能,因此敏感信息很有可能在傳輸過程中被非法竊取而造成泄密。目前常見的APN組網(wǎng)方式,解決了手機(jī)移動(dòng)終端到互聯(lián)網(wǎng)入口之間的認(rèn)證和加密,但在互聯(lián)網(wǎng)中的數(shù)據(jù)仍以明文方式傳輸。

2.3 移動(dòng)辦公的數(shù)據(jù)完整性

辦公信息在傳輸過程中有可能因攻擊者通過攔截、轉(zhuǎn)發(fā)等手段惡意篡改,導(dǎo)致信息發(fā)送與接收的不一致性。目前有些應(yīng)用系統(tǒng)中雖然通過數(shù)據(jù)摘要方式防止信息發(fā)送和接收不一致,但由于此類解決方案中未采用數(shù)字簽名技術(shù),若惡意篡改者將發(fā)送方的原文和數(shù)據(jù)摘要同時(shí)替換掉,那么接收方會(huì)誤認(rèn)為信息未被篡改。

2.4 移動(dòng)辦公責(zé)任的事后追蹤

傳統(tǒng)方式下,事故或糾紛可以通過蓋章或簽名來實(shí)現(xiàn)責(zé)任認(rèn)定。而在電子化的網(wǎng)絡(luò)環(huán)境中,對(duì)于數(shù)據(jù)處理時(shí)的意外差錯(cuò)或欺詐行為,如果沒有相應(yīng)的取證措施,則當(dāng)事各方可以隨便否認(rèn)各自的行為,避免承擔(dān)相應(yīng)的責(zé)任。目前普遍通過用戶名/口令、手機(jī)號(hào)碼、手機(jī)IEMI號(hào)、IP地址等確認(rèn)用戶行為,這些信息易被篡改、復(fù)制,并且都不是實(shí)名信息,沒有簽名機(jī)制,無法追查到人,不受法律保護(hù)。

由此看出,在移動(dòng)辦公應(yīng)用中缺少完整的安全解決方案,更重要的是無法解決事后追溯,一旦出現(xiàn)安全泄密等重大安全事件,無法做到責(zé)任認(rèn)定,更得不到國(guó)家法律保護(hù)。

3 安全可信的移動(dòng)辦公解決方案

通過上述的分析可知,目前的移動(dòng)辦公安全威脅無處不在,但還沒有完整的解決方案,以下介紹一個(gè)安全可信的移動(dòng)辦公整體解決方案。所謂“安全”,是指通過互聯(lián)網(wǎng)訪問內(nèi)部的OA辦公系統(tǒng)、其他業(yè)務(wù)系統(tǒng)以及內(nèi)部核心信息資源時(shí),采取適當(dāng)?shù)男畔踩呗?在為合法的訪問提供方便的同時(shí),又能嚴(yán)格防止企業(yè)信息資源被非法竊取。所謂“可信”,就是對(duì)每個(gè)用戶操作行為都能做到事后追蹤,根據(jù)國(guó)家相關(guān)的法律,依法防止抵賴行為的發(fā)生。

如圖1所示,通過在企業(yè)側(cè)部署SSL VPN網(wǎng)關(guān)保證內(nèi)網(wǎng)接入通道的安全,并通過第三方CA認(rèn)證中心給SSL VPN網(wǎng)關(guān)、各種終端用戶簽發(fā)數(shù)字證書;另外采用USBKey、SDKey、PKI SIM卡硬件方式保存用戶密鑰和數(shù)字證書,確保了移動(dòng)辦公中所遇到的身份認(rèn)證、傳輸保密、信息完整性、防篡改等安全問題得以解決;并且用戶的各種操作行為都有數(shù)字簽名,具備法律效力,可以做到防止冒名頂替,對(duì)各種公文處理、合同審批等行為做到不可否認(rèn)。這些信息安全方面的顯著特點(diǎn)通過以下技術(shù)手段實(shí)現(xiàn):

(1)通過硬件保證密鑰安全來實(shí)現(xiàn)身份認(rèn)證

在移動(dòng)辦公方案中,使用數(shù)字證書作為用戶身份的惟一標(biāo)識(shí)。數(shù)字證書是互聯(lián)網(wǎng)應(yīng)用中標(biāo)識(shí)用戶真實(shí)身份的電子文件,與用戶公私鑰對(duì)綁定,確保了每對(duì)公私鑰都會(huì)和惟一的自然人個(gè)體或單位存在一一對(duì)應(yīng)的關(guān)系,從而保證了用戶身份的真實(shí)性和惟一性。

在移動(dòng)辦公業(yè)務(wù)中,使用USBKey、SDKey、PKI SIM卡等硬件介質(zhì)終端保存用戶私鑰,保證私鑰不可導(dǎo)出,無法克隆。移動(dòng)OA等應(yīng)用系統(tǒng)在調(diào)用私鑰進(jìn)行數(shù)字簽名時(shí),都需要用戶輸入密鑰保護(hù)口令,才能執(zhí)行簽名操作,這樣就確保了私鑰的安全性,從而保證了移動(dòng)辦公業(yè)務(wù)中用戶身份認(rèn)證的可靠性。

(2)基于SSL VPN的通道加密機(jī)制

SSL VPN技術(shù)保證了移動(dòng)終端至企業(yè)內(nèi)網(wǎng)之間網(wǎng)絡(luò)傳輸通道的數(shù)據(jù)安全。SSL VPN技術(shù)采用SSL協(xié)議,同時(shí)用到了非對(duì)稱加密技術(shù)和對(duì)稱加密技術(shù),充分利用了兩種加密技術(shù)的優(yōu)點(diǎn)。移動(dòng)終端與SSL VPN網(wǎng)關(guān)之間通過密鑰協(xié)商生成會(huì)話密鑰(對(duì)稱密鑰)后,將建立數(shù)據(jù)加密通道,并且這種技術(shù)實(shí)現(xiàn)的是端到端的加密,同時(shí)解決了無線和有線傳輸通道的數(shù)據(jù)安全問題。SSL VPN網(wǎng)關(guān)部署快速,并且不需要調(diào)整企業(yè)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu),實(shí)施成本較低。可見SSL VPN是實(shí)現(xiàn)遠(yuǎn)程用戶訪問公司敏感數(shù)據(jù)既簡(jiǎn)單又安全的解決辦法。

(3)數(shù)字簽名技術(shù)確保數(shù)據(jù)完整性

數(shù)字簽名是一種確保數(shù)據(jù)完整性和原始性的方法。發(fā)送方對(duì)數(shù)據(jù)進(jìn)行數(shù)字摘要并用自己的私鑰對(duì)摘要信息進(jìn)行加密生成簽名信息,然后將數(shù)據(jù)的簽名信息、數(shù)據(jù)原文以及發(fā)送方公鑰同時(shí)傳送給接收方,接收方即可驗(yàn)證數(shù)據(jù)原文是否缺失或被篡改。數(shù)字簽名可以提供有力的證據(jù),表明數(shù)據(jù)自從被移動(dòng)終端簽名以來未發(fā)生變化??梢?數(shù)字簽名技術(shù)解決了數(shù)據(jù)完整性的問題。

(4)PKI/CA體系保證用戶行為不可否認(rèn)

在移動(dòng)應(yīng)用中,保證用戶身份認(rèn)證、數(shù)據(jù)安全傳輸和數(shù)據(jù)完整性的同時(shí),還需要解決用戶行為不可否認(rèn)的問題。從技術(shù)角度,數(shù)字簽名技術(shù)保證移動(dòng)用戶操作行為的不可否認(rèn);從管理角度,基于PKI和第三方CA中心的管理體系可以很好地解決這方面的問題。而且,2005年4月1日實(shí)施的《電子簽名法》,確定了電子簽名的合法地位,使數(shù)字簽名真正具備了法律效力,為移動(dòng)辦公業(yè)務(wù)中產(chǎn)生的法律糾紛提供了有效的法律依據(jù)。

4 結(jié)束語(yǔ)

上述方案從技術(shù)、管理、法律等多個(gè)層面解決了當(dāng)前移動(dòng)辦公業(yè)務(wù)中所遇到的各種安全問題,是一個(gè)比較完整的移動(dòng)辦公安全解決方案。該方案滿足了用戶迫切的移動(dòng)辦公需求,又解決了傳統(tǒng)業(yè)務(wù)模式所面臨的信息安全和責(zé)任認(rèn)定問題,為移動(dòng)行業(yè)應(yīng)用的推廣和普及提供了安全保障,增強(qiáng)了電信運(yùn)營(yíng)商拓展行業(yè)客戶市場(chǎng)的競(jìng)爭(zhēng)力。

參考文獻(xiàn)

[1]唐雄燕,侯玉華,潘海鵬,編. 第3代移動(dòng)通信業(yè)務(wù)及其技術(shù)實(shí)現(xiàn)[M]. 北京: 電子工業(yè)出版社,2008.

[2](美)Rudolf Tanner, Jason Woodard,編. 葉銀法,王月珍,陸健賢,等譯. WCDMA原理與開發(fā)設(shè)計(jì)[M]. 北京: 機(jī)械工業(yè)出版社,2007.

[3](美)Andrew Nash, William Duane, Celia Joseph, et al. 張玉清,陳建奇,楊波,等譯. 公鑰基礎(chǔ)設(shè)施(PKI):實(shí)現(xiàn)和管理電子安全[M]. 北京: 清華大學(xué)出版社,2002.

[4]張炯明,編. 安全電子商務(wù)實(shí)用技術(shù)[M]. 北京: 清華大學(xué)出版社,2002.

[5]楊義先,鈕心忻,編. 應(yīng)用密碼學(xué)[M]. 北京: 北京郵電大學(xué)出版社,2005.

[6]中華人民共和國(guó)電子簽名法[S]. 2005.

【作者簡(jiǎn)介】

第8篇:數(shù)據(jù)保密解決方案范文

正如電腦正在逐漸地代替手寫,現(xiàn)代科技對(duì)辦公環(huán)境的影響隨處可見??梢哉f許多人都無時(shí)無刻不在經(jīng)歷著一場(chǎng)手動(dòng)到E化的變革。

這樣的變革也不可避免地出現(xiàn)在了以公共服務(wù)為主要目的政府部門之中。這無疑是一件讓民眾興奮的事。因?yàn)檎实奶岣咭馕吨鐣?huì)公共服務(wù)的改善,而政府對(duì)高科技辦公設(shè)備日漸增長(zhǎng)的需求正是他們服務(wù)和效率意識(shí)的見證。作為政府采購(gòu)清單中必備的一員,多功能數(shù)碼復(fù)合機(jī)的廣泛應(yīng)用便是一個(gè)典型的例子。

背景

浦東新區(qū)政府區(qū)人大文印中心是政府的職能部門之一,原來?yè)碛袃膳_(tái)一體機(jī)、一臺(tái)數(shù)碼復(fù)合機(jī)和一批獨(dú)立的分頁(yè)、裝訂、裁切設(shè)備。在平時(shí)工作過程中月印量不均勻。在有政府會(huì)議以及活動(dòng)期間,對(duì)印量需求會(huì)突然增加。最大可達(dá)到每月5萬張以上。打印文件的類型通常是公函、通知、報(bào)告、制作成套的會(huì)議文件以及需要套印的紅頭文件。

在成套文件的打印過程中,需要工作人員在分頁(yè)、裝訂、裁切等不同功能的設(shè)備上分工合作。大型會(huì)議期間常常需要投入非常多的人力物力,或者進(jìn)行業(yè)務(wù)外包。長(zhǎng)期下來,不僅人力消耗很大,各種設(shè)備也造成了空間和耗材上的大量消耗。有時(shí)對(duì)只有三個(gè)工作人員的文印中心來說工作負(fù)荷過大。無論是成本還是效率都達(dá)不到理想效果。

另外,由于政府的文檔多以機(jī)密文檔為主,主要通過打印、復(fù)印、掃描、傳真或電子郵件發(fā)送等形式輸入或輸出,如果數(shù)據(jù)資料管理手段不完善,就可能引發(fā)輸出、存儲(chǔ)、調(diào)用等風(fēng)險(xiǎn),帶來嚴(yán)重的數(shù)據(jù)泄漏或者經(jīng)濟(jì)損失。

由于工作的特殊性,浦東新區(qū)人大文印中心需要的解決方案不僅要能提高工作效率,也要最大限度保障數(shù)據(jù)安全。

解決方案

考慮到各個(gè)方面的需求,浦東新區(qū)政府區(qū)人大文印中心使用了致力于為客戶提供品質(zhì)超群的產(chǎn)品、服務(wù)和解決方案的柯尼卡美能達(dá)所提供的bizhub 600黑白多功能數(shù)碼復(fù)合機(jī)。

在bizhub 600多種功能的支持下,浦東新區(qū)政府實(shí)現(xiàn)了輸入輸出裝訂一氣呵成。高速打印和大容紙量在有海量打印任務(wù)的情況下提高了效率。同時(shí),人力投入也大量減少。使用了Simitri聚合碳粉技術(shù)的bizhub 600保證了打印質(zhì)量的同時(shí)也降低了能耗。廢粉還可通過特殊技術(shù)循環(huán)使用,成就了政府環(huán)保辦公的榜樣的形象和需求。

針對(duì)政府工作對(duì)安全性要求非常高的特性,bizhub 600實(shí)現(xiàn)了多功能傳送,單步操作便可將掃描數(shù)據(jù)或硬盤數(shù)據(jù)通過傳真和電子郵件發(fā)送至不同類型的目的地。同時(shí),政府可采用密碼保護(hù)防止未經(jīng)授權(quán)的訪問。在完成作業(yè)后,其數(shù)據(jù)完全從硬盤上刪除。而且所有網(wǎng)絡(luò)通訊都受SSL加密保護(hù),機(jī)器中的安全日志可以追蹤設(shè)備的故障。并且未經(jīng)授權(quán),他人無法訪問記錄。其硬盤鎖定功能還可以保護(hù)硬盤移除后的數(shù)據(jù)安全。多種措施,解除了數(shù)據(jù)安全這一后顧之憂。

浦東新區(qū)政府在使用過程中還對(duì)每個(gè)用戶設(shè)定頁(yè)面輸入和輸出的限制,從而達(dá)到了部門內(nèi)部管理、成本控制以及簡(jiǎn)化費(fèi)用核算的目的。

實(shí)施效果

第9篇:數(shù)據(jù)保密解決方案范文

論文摘要:互聯(lián)網(wǎng)技術(shù)給我們帶來很大的方便,同時(shí)也帶來了許多的網(wǎng)絡(luò)安全隱患,諸如陷門、網(wǎng)絡(luò)數(shù)據(jù)竊密、木馬掛馬、黑客侵襲、病毒攻擊之類的網(wǎng)絡(luò)安全隱患一直都威脅著我們。計(jì)算機(jī)網(wǎng)絡(luò)信息管理工作面臨著巨大的挑戰(zhàn),如何在計(jì)算機(jī)網(wǎng)絡(luò)這個(gè)大環(huán)境之下,確保其安全運(yùn)行,完善安全防護(hù)策略,已經(jīng)成為了相關(guān)工作人員最亟待解決的問題之一。該文首先分析了計(jì)算機(jī)網(wǎng)絡(luò)信息管理工作中的安全問題,其次,從多個(gè)方面就如何有效加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)進(jìn)行了深入的探討,具有一定的參考價(jià)值。

1概述

互聯(lián)網(wǎng)技術(shù)給我們帶來很大的方便,同時(shí)也帶來了許多的網(wǎng)絡(luò)安全隱患,諸如陷門、網(wǎng)絡(luò)數(shù)據(jù)竊密、木馬掛馬、黑客侵襲、病毒攻擊之類的網(wǎng)絡(luò)安全隱患一直都威脅著我們。為了確保計(jì)算機(jī)網(wǎng)絡(luò)信息安全,特別是計(jì)算機(jī)數(shù)據(jù)安全,目前已經(jīng)采用了諸如服務(wù)器、通道控制機(jī)制、防火墻技術(shù)、入侵檢測(cè)之類的技術(shù)來防護(hù)計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理,即便如此,仍然存在著很多的問題,嚴(yán)重危害了社會(huì)安全。計(jì)算機(jī)網(wǎng)絡(luò)信息管理工作面臨著巨大的挑戰(zhàn),如何在計(jì)算機(jī)網(wǎng)絡(luò)這個(gè)大環(huán)境之下,確保其安全運(yùn)行,完善安全防護(hù)策略,已經(jīng)成為了相關(guān)工作人員最亟待解決的問題之一。

2計(jì)算機(jī)網(wǎng)絡(luò)信息管理工作中的安全問題分析

計(jì)算機(jī)網(wǎng)絡(luò)的共享性、開放性的特性給互聯(lián)網(wǎng)用戶帶來了較為便捷的信息服務(wù),但是也使得計(jì)算機(jī)網(wǎng)絡(luò)出現(xiàn)了一些安全問題。在開展計(jì)算機(jī)網(wǎng)絡(luò)信息管理工作時(shí),應(yīng)該將管理工作的重點(diǎn)放在網(wǎng)絡(luò)信息的和訪問方面,確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)免受干擾和非法攻擊。

2.1安全指標(biāo)分析

(1)保密性

通過加密技術(shù),能夠使得計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)自動(dòng)篩選掉那些沒有經(jīng)過授權(quán)的終端操作用戶的訪問請(qǐng)求,只能夠允許那些已經(jīng)授權(quán)的用戶來利用和訪問計(jì)算機(jī)網(wǎng)絡(luò)信息數(shù)據(jù)。

(2)授權(quán)性

用戶授權(quán)的大小與其能夠在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中能夠利用和訪問的范圍息息相關(guān),我們一般都是采取策略標(biāo)簽或者控制列表的形式來進(jìn)行訪問,這樣做的目的就在于能夠有效確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)授權(quán)的正確性和合理性。

(3)完整性

可以通過散列函數(shù)或者加密的方法來防治非法信息進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng),以此來確保所儲(chǔ)存數(shù)據(jù)的完整性。

(4)可用性

在計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的設(shè)計(jì)環(huán)節(jié),應(yīng)該要確保信息資源具有可用性,在突然遇到攻擊的時(shí)候,能夠及時(shí)使得各類信息資源恢復(fù)到正常運(yùn)行的狀態(tài)。

(5)認(rèn)證性

為了確保權(quán)限所有者和權(quán)限提供者都是同一用戶,目前應(yīng)用較為廣泛的計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)認(rèn)證方式一般有兩種,分別是數(shù)據(jù)源認(rèn)證和實(shí)體性認(rèn)證兩種,這兩種方式都能夠得到在當(dāng)前技術(shù)條件支持。

2.2計(jì)算機(jī)網(wǎng)絡(luò)信息管理中的安全性問題

大量的實(shí)踐證明,計(jì)算機(jī)網(wǎng)絡(luò)信息管理中存在的安全性問題主要有兩種類型,第一種主要針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息管理工作的可用性和完整性,屬于信息安全監(jiān)測(cè)問題;第二種主要針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息管理工作的抗抵賴性、認(rèn)證性、授權(quán)性、保密性,屬于信息訪問控制問題。

(1)信息安全監(jiān)測(cè)

有效地實(shí)施信息安全監(jiān)測(cè)工作,可以在最大程度上有效消除網(wǎng)絡(luò)系統(tǒng)脆弱性與網(wǎng)絡(luò)信息資源開放性二者之間的矛盾,能夠使得網(wǎng)絡(luò)信息安全的管理人員及時(shí)發(fā)現(xiàn)安全隱患源,及時(shí)預(yù)警處理遭受攻擊的對(duì)象,然后再確保計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)中的關(guān)鍵數(shù)據(jù)能夠得以恢復(fù)。

(2)信息訪問控制問題

整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)信息管理的核心和基礎(chǔ)就是信息訪問控制問題。信息資源使用方和擁有方在網(wǎng)絡(luò)信息通信的過程都應(yīng)該有一定的訪問控制要求。換而言之,整個(gè)網(wǎng)絡(luò)信息安全防護(hù)的對(duì)象應(yīng)該放在資源信息的和個(gè)人信息的儲(chǔ)存。

3如何有效加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)

(1)高度重視,完善制度

根據(jù)單位環(huán)境與特點(diǎn)制定、完善相關(guān)管理制度。如計(jì)算機(jī)應(yīng)用管理規(guī)范、保密信息管理規(guī)定、定期安全檢查與上報(bào)等制度。成立領(lǐng)導(dǎo)小組和工作專班,完善《計(jì)算機(jī)安全管理制度》、《網(wǎng)絡(luò)安全應(yīng)急預(yù)案》和《計(jì)算機(jī)安全保密管理規(guī)定》等制度,為規(guī)范管理夯實(shí)了基礎(chǔ)。同時(shí),明確責(zé)任,強(qiáng)化監(jiān)督。嚴(yán)格按照保密規(guī)定,明確涉密信息錄入及流程,定期進(jìn)行安全保密檢查,及時(shí)消除保密隱患,對(duì)檢查中發(fā)現(xiàn)的問題,提出整改時(shí)限和具體要求,確保工作不出差錯(cuò)。此外,加強(qiáng)培訓(xùn),廣泛宣傳。有針對(duì)性組織開展計(jì)算機(jī)操作系統(tǒng)和應(yīng)用軟件、網(wǎng)絡(luò)知識(shí)、數(shù)據(jù)傳輸安全和病毒防護(hù)等基本技能培訓(xùn),利用每周學(xué)習(xí)日集中收看網(wǎng)絡(luò)信息安全知識(shí)講座,使信息安全意識(shí)深入人心。 ?。?)合理配置,注重防范

第一,加強(qiáng)病毒防護(hù)。單位中心機(jī)房服務(wù)器和各基層單位工作端均部署防毒、殺毒軟件,并及時(shí)在線升級(jí)。嚴(yán)格區(qū)分訪問內(nèi)、外網(wǎng)客戶端,對(duì)機(jī)房設(shè)備實(shí)行雙人雙查,定期做好網(wǎng)絡(luò)維護(hù)及各項(xiàng)數(shù)據(jù)備份工作,對(duì)重要數(shù)據(jù)實(shí)時(shí)備份,異地儲(chǔ)存。同時(shí),嚴(yán)格病毒掃描。針對(duì)網(wǎng)絡(luò)傳輸、郵件附件或移動(dòng)介質(zhì)的方式接收的文件,有可能攜帶病毒的情況,要求接收它們之前使用殺毒軟件進(jìn)行病毒掃描。第二,加強(qiáng)強(qiáng)弱電保護(hù)。在所有服務(wù)器和網(wǎng)絡(luò)設(shè)備接入端安裝弱電防雷設(shè)備,在所有弱電機(jī)房安裝強(qiáng)電防雷保護(hù)器,保障雷雨季節(jié)主要設(shè)備的安全運(yùn)行。第三,加強(qiáng)應(yīng)急管理。建立應(yīng)急管理機(jī)制,完善應(yīng)急事件出現(xiàn)時(shí)的事件上報(bào)、初步處理、查實(shí)處理、責(zé)任追究等措施,并定期開展進(jìn)行預(yù)演,確保事件發(fā)生時(shí)能夠從容應(yīng)對(duì)。第四,加強(qiáng)“兩個(gè)隔離”管理。即內(nèi)、外網(wǎng)物理徹底隔離和通過防火墻進(jìn)行“邊界隔離”,通過隔離實(shí)現(xiàn)有效防護(hù)外來攻擊,防止內(nèi)、外網(wǎng)串聯(lián)。第五,嚴(yán)格移動(dòng)存儲(chǔ)介質(zhì)應(yīng)用管理。對(duì)單位所有的移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行登記,要求使用人員嚴(yán)格執(zhí)行《移動(dòng)存儲(chǔ)介質(zhì)管理制度》,杜絕外來病毒的入侵和泄密事件的發(fā)生。同時(shí),嚴(yán)格安全密碼管理。所有工作用機(jī)設(shè)置開機(jī)密碼,且密碼長(zhǎng)度不得少于8位,定期更換密碼。第六,嚴(yán)格使用桌面安全防護(hù)系統(tǒng)。每臺(tái)內(nèi)網(wǎng)計(jì)算機(jī)都安裝了桌面安全防護(hù)系統(tǒng),實(shí)現(xiàn)了對(duì)計(jì)算機(jī)設(shè)備軟、硬件變動(dòng)情況的適時(shí)監(jiān)控。第七,嚴(yán)格數(shù)據(jù)備份管理。除了信息中心對(duì)全局?jǐn)?shù)據(jù)定期備份外,要求個(gè)人對(duì)重要數(shù)據(jù)也定期備份,把備份數(shù)據(jù)保存在安全介質(zhì)上。

(3)堅(jiān)持以信息安全等級(jí)保護(hù)工作為核心

把等級(jí)保護(hù)的相關(guān)政策和技術(shù)標(biāo)準(zhǔn)與自身的安全需求深度融合,采取一系列有效措施,使等級(jí)保護(hù)制度在全局得到有效落實(shí),有效的保障業(yè)務(wù)信息系統(tǒng)安全。

第一,領(lǐng)導(dǎo)高度重視,組織保障有力。單位領(lǐng)導(dǎo)應(yīng)該高度重視信息化和信息安全工作,成立專門的信息中心,具體負(fù)責(zé)等級(jí)保護(hù)相關(guān)工作,統(tǒng)籌全局的信息安全工作。建立可靠的信息安全基礎(chǔ)設(shè)施,重點(diǎn)強(qiáng)化第二級(jí)信息系統(tǒng)的合規(guī)建設(shè),加強(qiáng)了信息系統(tǒng)的運(yùn)維管理,對(duì)重要信息系統(tǒng)建立了災(zāi)難備份及應(yīng)急預(yù)案,有效提高了系統(tǒng)的安全防護(hù)水平。

第二,完善措施,保障經(jīng)費(fèi)。一是認(rèn)真組織開展信息系統(tǒng)定級(jí)備案工作。二是組織開展信息系統(tǒng)等級(jí)測(cè)評(píng)和安全建設(shè)整改。三是開展了信息安全檢查活動(dòng)。對(duì)信息安全、等級(jí)保護(hù)落實(shí)情況進(jìn)行了檢查。

第三,建立完善各項(xiàng)安全保護(hù)技術(shù)措施和管理制度,有效保障重要信息系統(tǒng)安全。一是對(duì)網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全區(qū)域劃分。按照《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》,提出了“縱向分層、水平分區(qū)、區(qū)內(nèi)細(xì)分”的網(wǎng)絡(luò)安全區(qū)域劃分原則,對(duì)網(wǎng)絡(luò)進(jìn)行了認(rèn)真梳理、合理規(guī)劃、有效調(diào)整。二是持續(xù)推進(jìn)病毒治理和桌面安全管理。三是加強(qiáng)制度建設(shè)和信息安全管理。本著“預(yù)防為主,建章立制,加強(qiáng)管理,重在治本”的原則,堅(jiān)持管理與技術(shù)并重的原則,對(duì)信息安全工作的有效開展起到了很好的指導(dǎo)和規(guī)范作用。

(4)采用專業(yè)性解決方案保護(hù)網(wǎng)絡(luò)信息安全

大型的單位,如政府、高校、大型企業(yè)由于網(wǎng)絡(luò)信息資源龐大,可以采用專業(yè)性解決方案來保護(hù)網(wǎng)絡(luò)信息安全,諸如銳捷網(wǎng)絡(luò)門戶網(wǎng)站保護(hù)解決方案。銳捷網(wǎng)絡(luò)門戶網(wǎng)站保護(hù)解決方案能提供從網(wǎng)絡(luò)層、應(yīng)用層到Web層的全面防護(hù);其中防火墻、IDS分別提供網(wǎng)絡(luò)層和應(yīng)用層防護(hù),ACE對(duì)Web服務(wù)提供帶寬保障;而方案的主體產(chǎn)品銳捷WebGuard(WG)進(jìn)行Web攻擊防御,方案能給客戶帶來的價(jià)值:

防網(wǎng)頁(yè)篡改、掛馬

許多大型的單位作為公共信息提供者,網(wǎng)頁(yè)被篡改、掛馬將造成不良社會(huì)影響,降低單位聲譽(yù)。目前客戶常用的防火墻、IDS/ IPS、網(wǎng)頁(yè)防篡改,無法解決通過80端口、無特征庫(kù)、針對(duì)動(dòng)態(tài)頁(yè)面的Web攻擊。WebGuard DDSE深度解碼檢測(cè)引擎有效防御SQL注入、跨站腳本等。

高性能,一站式保護(hù)各院系網(wǎng)站

對(duì)于大型單位客戶,往往擁有眾多部門,而并非所有大型單位都將各部門網(wǎng)站統(tǒng)一管理。各部門網(wǎng)站技術(shù)運(yùn)維能力相對(duì)較弱,經(jīng)常成為攻擊重點(diǎn)。WebGuard利用高性能多核架構(gòu),提供并行處理。支持在網(wǎng)絡(luò)出口部署,一站式保護(hù)各部門網(wǎng)站。

“零配置”運(yùn)行,簡(jiǎn)化部署

WebGuard針對(duì)用戶,集成默認(rèn)配置模板,支持“零配置”運(yùn)行。一旦上線,即可防護(hù)絕大多數(shù)攻擊。后續(xù)用戶可以根據(jù)網(wǎng)絡(luò)情況,進(jìn)行優(yōu)化策略。避免同類產(chǎn)品常見繁瑣配置,毋須客戶具備專業(yè)的安全技能,即可擁有良好的體驗(yàn)。

滿足合規(guī)性檢查要求

繼08年北京奧運(yùn)、09年國(guó)慶60周年后,10年上海世博會(huì)、廣州亞運(yùn)會(huì)先后舉行。在重大活動(dòng)前后,各級(jí)主管單位和公安部門,紛紛發(fā)文,要求針對(duì)網(wǎng)站安全采取措施。WebGuard恰好能很好的滿足合規(guī)性檢查的需求,幫助用戶順利通過檢查。

4結(jié)束語(yǔ)

新時(shí)期的計(jì)算機(jī)網(wǎng)絡(luò)信息管理工作正向著系統(tǒng)化、集成化、多元化的方向發(fā)展,但是網(wǎng)絡(luò)信息安全問題日益突出,值得我們大力關(guān)注,有效加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)是極為重要的,具有較大的經(jīng)濟(jì)價(jià)值和社會(huì)效益。

參考文獻(xiàn)

[1]段盛.企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)信息管理系統(tǒng)可靠性探討[J].湖南農(nóng)業(yè)大學(xué)學(xué)報(bào):自然科學(xué)版,2000(26):134-136.

[2]李曉琴.張卓容.醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)信息管理的設(shè)計(jì)與應(yīng)用[J].醫(yī)療裝備,2003.(16):109-113.

[3]李曉紅.婦幼保健信息計(jì)算機(jī)網(wǎng)絡(luò)管理系統(tǒng)的建立與應(yīng)用[J].中國(guó)婦幼保健,2010(25):156-158.

[4]羅宏儉.計(jì)算機(jī)網(wǎng)絡(luò)信息技術(shù)在公路建設(shè)項(xiàng)目管理中的應(yīng)用[J].交通科技,2009.(1):120-125.

[5] Bace Rebecca.Intrusion Detection[M].Macmillan Technical Publishing,2000.