办公系统信息安全措施
2022-03-01
来源:我们爱旅游
维普资讯 http://www.cqvip.com 科研与管理 水利规划与设计 2007年第5期 办公系统信息安全措施 李果 (新疆水利水电勘测设计研究院 乌鲁木齐830000) 【摘要】 随着信息化的发展,企业越来越多地利用计算机进行日常的事务处理并产生了大量的电子数据信息及重 要资料。如何能更好地保证企业内部重要数据及信息的安全性、保密性,防止重要资料被非法扩散造成信息泄密,又 能使得这些电子文档被合法人员合理、高效地使用,是许多企业关注和急需要解决的问题。文中介绍了相应的信息安 全措施。 【关键词】 计算机网络信息安全加密 【中图分类号】TP393.08 【文献标识码】 B 【文章编号】 1672—2469(2OO7)05-0049-03 1网络安全的需要 此对于大型企业、政府机关等保密单位,信息保密安 全防范尤为重要。 一般来讲,大型企业在网络化过程中面临的安全 保密技术工作是保密防范工作的重要组成部份, 问题可分为网络系统安全和数据安全两个方面。针对 随着现代科学技术的发展,国与国之间的窃密与反 网络系统安全方面,企业需要解决网络系统遭到没有 窃密斗争越来越带有高科技抗衡的特点,发展保密 授权的存取或破坏以及非法入侵等问题;在数据安全 技术已成为防止泄密的重要保障。在科学技术高度 方面,企业则需要解决机要、敏感数据被窃取或非法 发达的今天,保密技术对泄密防范成败起到了决定 复制、使用等问题。如何搭建安全的网络架构,如何 性的作用。 将非法入侵者拒之门外、如何防止内部信息外泄,这 些都是企业在进行网络安全方面必须解决的问题。 2加密技术与产品的比对 目前,企业仅仅利用Firew ̄l在网络的边缘设置 2.1 目前市场上加密方式分类 了快速有效的网络防火墙及网络巡警系统,可以对网 目前市场上加密方式分为三类。 络入侵进行监控和防护,抵御外部攻击、防止对主机 第一类,对外设及网络协议控制、监控。采取 及个人电脑的入侵、检测恶意的可执行程序。 的技术手段是对外设及网络协议控制、监控。其运 较之外部入侵防范的多样化和严密化,企业内部 行环境是网络必须畅通,可适时对客户机实施监 信息保密安全管理却显得缺少和匮乏。通常由于以下 控,代表产品为防水墙。优点为,不影响用户对文 几种原因泄密:(1)内部员工因为离职等原因,把秘 档的使用方式。缺点是:①一旦有新的传输协议或 密文件拷贝到磁盘等储存介质带走;或通过网络向外 传输介质出现,就必须升级。②可用性损失。③禁 传递;(2)网络黑客通过网络攻击等非法手段取得访 用所有的计算机外部端口,用户使用不便。④脱离 问权限,并把文件复制带走;(3)员工没有保密观念 网络环境无法对数据进行保护。⑤设备遗失后数据 造成无意识地泄露,如电子文档传给了没有阅读权限 无法保护。⑥一旦遇到网络瘫痪或客户机特意脱离 的阅读者,造成秘密信息公开;(4)计算机病毒自动 环境,管理端无法对客户端进行限制拷贝等各种操 发送电子文档;(5)各类存储设备(如笔记本电脑、 作,加密软件将发挥不了任何作用。 u盘、光盘、移动硬盘)等遗失和旧设备报废,但没 有对设备进行有效的数据擦除处理情况时有发生。因 作者简介:李果(1972年一),女,工程师。 ・49・ 维普资讯 http://www.cqvip.com 科研与管理 水利规划与设计 2007年第5期 第二类,硬加密。采取的手段是硬加密,通过 加密锁对文件进行加密。适合单机加密,不太适用 于网络。此类软件适合单方面的加密,即无法控制 客户端用户自行解密。对保密需求高的环境不适 合。 第三类,对文件直接进行自动加密。加密手段 是对文件直接进行自动加密。此类加密软件又分为 两类,a、文件格式转换类;b、实时透明加解密 类。文件格式转换类的优点为,可以只对需要加密 的文件进行加密。缺点是:①无法防止内部用户主 动泄密。②使用不方便,需要采用特定的阅读器或 阅读前进行手动解密。③用户的使用习惯被更改, 需要对最终用户进行培训。实时透明加解密类软件 优点包括:①使用完全透明,不影响用户对文档的 使用方式。从创建到打开、编辑、浏览、保存、传 输直至删除的整个生命周期中始终处于加密状态。 ②易用性、灵活性比较强。可在无网络环境中运 行。③文件若脱离工作环境时或允许外界浏览时可 实行时间性加密。缺点是:①对主机速度会有一定 的影响。②部分产品防绕过功能较弱。③部分产品 与其他软件兼容性较差。 2.2 目前市场上安全类产品分类 目前市场上常见的安全类产品主要分为三类: 防火墙防病毒软件、“防水墙”、加密软件。 2.2.1 防火墙防病毒软件 防火墙通过隔离来防止外部网对内部网进行攻 击,它被动地检查所有流过的网络数据包,以阻断 违反安全策略的通信。防火墙主要用来防止外部人 员非法访问企业内部数据。但不能防止内部人员通 过E—mail或者U盘等将一些敏感文件发送给其他 人。很明显对于内部的安全问题,防火墙无能为 力。 2.2.2“防水墙”类软件 防水墙是一个内网监控系统,处于内部网络 中,随时监控内部主机的安全状况。如果说“防 火”是指防止外部威胁向内部蔓延的话,“防水” 就是指防止内部信息的泄漏。 最简单的防水墙由探针和监控中心组成。一般 由三层结构组成:高层的用户接口层,以实时更新 的内网拓扑结构为基础,提供系统配置、策略配 置、实时监控、审计报告、安全告警等功能;低层 的功能模块层,由分布在各个主机上的探针组成; 中层的安全服务层,从低层收集实时信息,向高层 汇报或告警,并记录整个系统的审计信息,以备查 ・50. 询或生成报表。 防水墙一般具有以下几大功能:(1)信息泄 漏防范,防止在内部网主机上,通过网络、存储介 质、打印机等媒介,有意或无意地扩散本地机密信 息;(2)系统用户管理,记录用户登录系统的信 息,为日后的安全审计提供依据;(3)系统资源 安全管理,限制系统软硬件的安装、卸载,控制特 定程序的运行,限制系统进入安全模式,控制文件 的重命名和删除等操作;(4)系统实时运行状况 监控,通过实时抓取并记录内部网主机的屏幕,来 监视内部人员的安全状况,威慑怀有恶意的内部人 员,并在安全问题发生后,提供分析其来源的依 据,在必要时,也可直接控制涉及安全问题的主机 的I/O设备,如键盘、鼠标等;(5)信息安全审 计,记录内网安全审计信息,并提供内网主机使用 状况、安全事件分析等报告。 防水墙是对防火墙、虚拟专用网、入侵检测系 统等多种安全系统,所提供安全服务的一种补充。 2.2.3加密软件 加密类软件分两种:(1)用密码以及权限的 方式来管理;(2)文件直接加密的方式来处理。 2.3加密类软件的基本特性和功能 2.3.1加密算法 加密算法是电子文档加密软件的核心,好的加 密算法能够保证文档加密后被暴力破解的可能性大 大降低。加密软件采用的AES、RC、DES、3DES、 AES等国际公开标准的加密算法以及经过各国数学 家、密码学家的认证和测试,是可以安全使用的。 2.3.2 应用平台 经过了解,产品的服务端和客户端能够在下列 操作系统中正常运行工作。客户端多为Windows 9x /2k/xp等操作系统,服务端多为windowsNT/2k/ xp/2k3。 2.3.3防止主动泄密 现有电子文档保护产品并不是所有的产品都支 持能够防止内部人员主动泄密,类似文档转换类的 软件,若不对文件进行手动转换,机器上仍保留有 明文的机密文件,内部人员依然可以将这些机密文 件传送出去。这项功能对于保密要求高的企事业单 位非常重要。 2.3.4防止文件泄露 直接将公司内部的文件通过电子邮件、介质拷 贝等方式发送到脱离保护环境的计算机上是基本的 泄密方式。防止这样的泄密也是电子文档保护类软 维普资讯 http://www.cqvip.com 科研与管理 水利规划与设计 库服务器。 2007年第5期 件应该实现的最基本功能。文档加密型软件允许不 受限制的带离保护环境,但脱离保护环境后未经授 权无法打开。 此类软件客户端的特点为:①设计人性化,易 于理解,易用性较强,使用者完全无需改变原有电 2.3.5是否可以通过复制粘贴等手段泄密 子文档使用习惯。②从文档创建、传递直至销毁全 过程完全控制,全程保障。无论存储设备或网络均 在保护范畴,施行透明加密。③通过手动加密、自 将受保护的电子文档内容通过复制粘贴等手 段,绕过受保护进程导出明文也是内部人员主动泄 密的最常用手段之一。多数加密类软件允许在受保 动加密或者两者相结合的方式对文件进行加密。④ 护的进程内相互拷贝和粘贴,禁止从受保护的进程 拷贝到非受保护进程。 2.3.6 易用性 防止机密文件泄露同时不改变用户的使用习 惯,为企业减少人力培训的费用和时间。透明加解 密类软件做得较好。最终用户使用的时候几乎无法 感觉到自己的机器是安装了文档保护系统。 2.3.7 离线阅读 文档的离线阅读是一项很重要的功能,如部署 产品后用户不能离线阅读,将会给正常的工作带来 很多的麻烦。多数加密软件均支持离线阅读,且离 线时文档继续受保护。 2、3.8 离线的实现方式 各企业都存在出差等需要离线的可能,离线多 由客户端提出离线申请,管理员或管理机审批并设 置离线。 2、3、9解密实现方式 在很多情况下,我们需要对已经加密的文件进 行解密操作,多数加密软件由客户端提出解密申 请,服务端进行解密指派。文档被临时解密后,不 应该永远保持在明文状态,否则将产生泄露的可能 性。加密类软件多数在对该文档进行过修改或重新 启动计算机后重新加密。 3功能测试针对市场进行调研之后,在对各类产品了解的 基础上,对实时透明加解密类软件进行了功能性等 测试。 测试结果表明,该类软件通常具备如下特点: 此类加密软件多采取C/S的管理方式。服务 器支持Windows NT、2000、XP、2003操作系统, 用户终端支持Windows 2000、XP等操作系统,支 持Microsoft Office 2000、XP、2003、2007等office 版本,支持AutoCAD 2002—2007、Pro—E、Mi— crostation等二维、三维制图软件工业制图软件版 本,支持包括Adobe PDF、PageMaker、Photoshop 等图形处理应用程序,部分软件支持MySQL数据 用户创建、拷贝、编辑的文档均被透明加密,只允 许用户在受控和可信进程问的相互拷贝和托拽,防 止插入对象,控制截屏、控制打印机,用户较难对 外传递未经加密的文档,较好地做到防止用户主动 泄密。⑤防止被黑客、病毒或间谍软件攻击终端后 泄密。即便黑客或病毒攻击或者数据被盗,也全部 都是密文,不会被破解与泄露。⑥防止笔记本电 脑、U盘等移动设备遗失后泄密。存储在这些介质 中的所有文档均是加密存放,因此即便这些介质遗 失后,数据都不会泄露。⑦针对出差等离线的特殊 情况,由管理人员进行离线的时间设置或使用us— Bkey的方式保证在离线状态仍然可以工作,文件 也处于加密状态,保证数据的安全性。 管理端的特点为:①集中控制,采用软件分发 或者域推送的部署方式安装。②允许按照部门组织 结构进行管理、支持分级审批申请、设置管理密 码。③终端接入控制、动态刷新用户终端状态、远 程升级、卸载用户终端、批量管理操作(发送消 息、升级、卸载)。④服务器端留有各管理员操作 日志,以便今后追溯。⑤客户端对驱动层注册表等 进行自我保护,用户无法中断或删除。 该类软件兼容瑞星、金山、江民以及天网、绿 色警戒等杀毒软件和防火墙。 4结语 防火墙、防病毒软件、防水墙类软件都是采取 防的被动手段,而实时透明加解密软件采用的是一 种主动的加密方式,实现透明加密,不改变用户的 使用习惯。管理成本较低,管理效率较高。 经过此次产品调研和测试对比可知,采用加密 软件透明加解密,不影响用户使用;防泄密功能较 强;具有例外处理功能;管理比较方便、简单;对 网络性能影响较小;应用软件支持较多;具有自身 安全性较强的特点,且这种软件可以根据具体的需 求定制模块,较为灵活,同时该类软件不断推陈出 新也使之日趋成熟。这类软件的运用将对涉密单位 的信息安全起到保驾护航的作用。 .51・