摘要：隨著計算機應用的不斷深入，企業越來越多的信息以數字的形式存放在網絡的各個節點上，成為關系企業生存發展的重要數字資產，如何對這些數字信息實施有效保護，已成為當務之急。本文對當前國內外安全技術進行了全面分析，然后結合某企業的網絡安全現狀、應用系統情況等對企業信息安全系統的實施和部署進行了闡述。
關鍵詞：信息安全；文檔加密；文檔權限；入侵檢測

1、國內外安全技術分析
根據目前國內外企業實施信息安全項目的特點和技術實現的難易程度，將信息安全技術歸為如下幾類：
1.1防火墻、入侵檢測技術
以防火墻、入侵檢測等為代表的信息安全保護方案，主要采用以“堵”、“防”等為主要特點的技術措施，對網絡設備、服務器、PC機等進行邊界防護，將各種可能的威脅拒之門外，在保證企業內網與互聯網聯通的前提下，創造了一個相對安全的內網環境，有效的保護了企業內部網絡的安全，從而得到了廣泛的應用。但是，由于這類技術是以邊界防護為重點，已不能滿足目前以終端作為信息泄露主要途徑的新的安全需求，不能防止企業內部人員有意無意泄漏企業重要信息。
1.2內網管理技術
內網管理技術最主要的特點就是通過技術手段，實現對終端的控制和行為管理。其主要功能包括：
硬件管理：對客戶端鼠標、鍵盤、網卡、打印機、端口（1394、USB等）的控制；
軟件管理：允許或禁止用戶使用某些方面的軟件、獲取當前進程列表并可遠程終止部分進程；
網絡管理：通過黑白名單方式，允許或禁止用戶的網絡訪問；
行為監控：包括郵件監控、聊天內容監控（MSN、QQ等），并可根據記錄的進程信息，生成分析報告；
補丁管理：確保企業內所有的機器都安裝了最新的操作系統補丁程序；
資產管理：根據客戶端程序返回的終端軟、硬件信息，生成固定資產報表。
內網管理技術本質上講是屬于防火墻、入侵檢測等產品功能對內網的延伸，還是通過“防”、“堵”的思路來保護內部信息不會外流，信息安全泄露后只能事后補救。目前內網管理技術在國內外都有大量成熟的產品和成功部署的實例。
1.3數據防泄漏技術
數據防泄漏產品部署于客戶端和服務器，通過監控數據流來判斷機密信息是否外泄。系統管理員首先根據企業自身的電子文檔特點，制定需要過濾的特征碼（如源代碼、圖紙等）及規則，當部署在網絡上的探測設備檢測到數據流中包含有特征碼數據時，則按預先制定的規則，對這些內容進行處理（如刪除、拒絕等）。
數據防泄漏技術像是內網管理技術的升級版，它是在內網管理技術的基礎上，增加了內容分析模塊，比傳統的內網管理技術一刀切式的硬件、網絡、軟件控制方式更智能，但由于信息本身沒有經過加密，因此本質上還是使用“堵”和“防”的方式來保護重要信息。
1.4文檔加密技術
通過使用密碼技術，對需要保護的重要信息進行保護，是目前比較好的信息安全保護手段，它從根本上解決了信息的安全問題。經過加密的信息，不論通過何種存儲介質（硬盤、U盤、光盤等）、何種傳輸方式（郵件、MSN、QQ等）或何種端口（USB口、紅外、網絡等），信息始終以密文形式存儲，在使用者沒有通過身份識別前，用戶不能以任何方式獲得明文。
1.5企業文檔權限管理系統
文檔加密技術不能實現按文件對不同用戶的不同授權。企業文檔權限管理系統，在實現對電子文檔自動加密的基礎上，實現了對文檔的權限控制功能。
用戶在將自己的文件共享給他人時，必須首先對共享文件進行授權，只有獲得授權的用戶才能按指定的權限對文件進行訪問，其他用戶即使獲得了該文件，也因沒有授權而無法使用。
企業文檔權限管理技術是目前國內外信息安全保護的最佳方案，但由于其技術實現難度較大，因此僅有少數有實力的廠商能夠提供成熟的產品，并提供完整的咨詢、實施、支持等服務。
綜上所述，文檔加密技術比內網管理技術具有本質上的安全優勢，能夠達到保護企業信息安全的目標，而且由于其不改變用戶對文檔操作的習慣和流程，因此，適合企業初始實施信息安全項目的要求，在成功實施后可根據需要，將文檔加密升級為企業文檔權限系統，從而在實現文檔安全保護的前提下，實現了對文檔的權限管理。
2、信息內、外網安全建設情況
某企業已完成信息內、外網的建設，信息內網是指：內部業務應用系統承載網絡和內部辦公網絡。信息外網是指：對外業務服務網絡和訪問互聯網用戶終端網絡。
隨著計算機技術的發展和應用的不斷深入，目前對網絡安全的要求越來越高，如果不能保證網絡安全，勢必將影響到企業的生產、影響職工的工作和學習。目前信息內網裝設有方正防火墻3000-FG-6340、入侵檢測系統、Trendmicro企業版防病毒系統等，有效地抵御了病毒、黑客等對整個網絡系統的攻擊，同時內網采用科來網絡分析系統，進行網絡監測、故障定位、安全隱患排查等。信息外網裝設有華為H3CF100E防火墻、卡巴斯基反病毒系統、天玥網絡安全審計系統等，特別是天玥安全審計系統，不僅具有上網管理功能，還具有安全審計功能（包括實時封堵互聯網不良信息、URL地址關鍵字過濾、收發郵件控制、實時查看上網情況、日志備份與恢復、自定義封堵站點、內容審計功能等），同時在信息外網實施了虛網（VLAN）劃分和MAC地址綁定等安全措施，優化了整體網絡運行環境，提升了網絡運行可靠性。
3、企業信息防泄密系統的研究和部署
3.1計算機網絡系統
目前該企業信息內、外網完全物理隔離，全面實現“雙網雙機”工作方式，極大地提高了網絡速度和安全性能。
信息內網采用二層扁平化的網絡方式架構，由核心層、接入層組成，并且整個網絡的拓撲結構為星形連接方式。星型網絡拓撲結構簡單，管理集中于網絡中心，可以保證網絡的安全性和易維護性，有效地降低網絡維護管理成本。網絡骨干采用基于光纖的千兆以太網，全交換快速以太網端口到桌面，網絡規模1700點左右，有效地保證了帶寬和多媒體的需要。信息內網以路由器+防火墻的方式通過100M光纖和省電力公司相連接。為了提高網絡整體的安全可靠性，接入交換機與兩臺核心交換機之間均采用千兆光纖鏈路互聯。
信息外網骨干采用基于光纖的千兆以太網，全交換快速以太網端口到桌面，網絡規模1700點左右，通過路由器+防火墻以100M光纖接入網通公司。
3.2應用系統
目前在計算機信息內網中運行著100多套信息應用系統和有關專業應用軟件。主要有：管理信息系統（MIS）、檔案管理系統、辦公自動化（OA）、PowerOn項目管理集成系統、數字檔案館、遠光財務軟件、Autocad繪圖軟件、電力設計標準化信息管理系統、電力系統分析軟件等。這些應用系統全面覆蓋了該企業各個業務部門的日常管理和設計工作，這些系統的可靠、穩定、安全運行，有力地促進了該企業各項工作的科學化、規范化和高效化。
3.3信息防泄密系統的實施
將該企業網絡安全現狀、應用系統情況等調查完成并進行全面的整理和分析后，結合當前國內外安全技術的最新發展，本著先進適用的原則，采用北京Sagetech公司的思智ERM產品（ERM:EnterpriseRightMangement,企業權限管理）來部署該企業的“企業信息防泄密系統”，它是一個全面整合數據保護和應用權限管理的電子數據安全管理體系，對數據本身進行安全保護，將企業的權限管理融入到數據信息的具體應用之中。
3.3.1思智ERM主要功能
1）用戶身份認證
用戶身份認證是整個ERM安全體系的管理基礎，它將數據信息的使用對象由所有人變成了被授權的用戶，縮小了數據信息使用者的范圍，提升了信息管理的安全性。思智ERM支持多種身份認證方式，確保只有授權的用戶可以使用被保護的數據信息。
2）文件加密保護
思智ERM支持所有標準公開算法，可以對核心數據信息進行安全的加密保護，它能夠在系統后臺自動完成對電子文件的透明加密操作，整個過程對用戶的操作沒有影響。
3）應用權限細分
通過加密技術，思智ERM將數據的潛在用戶“區分”為授權用戶和非授權用戶，只有授權用戶可以使用被保護的數據信息，同時對應用權限進行了細分，全面支持只讀、編輯、打開時間、打開次數、解密等多種權限。
4）支持企業業務流程
思智ERM能夠根據企業的業務流程來設定數據的共享和應用。通過思智ERM的共享審批功能，企業所有的信息共享行為都要經過相關責任人的審批才可以實施，提升了信息共享行為的合法性，真正做到了數據信息的安全共享。
5）離線支持功能
離線狀態指的是客戶端沒有與認證服務器建立有效連接的狀態。在實際應用中，它往往發生在網絡中斷、人員出差以及回家加班等情況下，思智ERM提供了完善的離線授權功能。
當客戶端處于離線狀態時，員工仍然按照已設定好的文件應用策略進行文件應用。比如：當員工出差在外時，可根據在出差前已設定好的文件應用策略，在離線的狀態下按照要求進行文件的應用，確保企業核心機密信息不會在這個過程中泄露。
6）全面的日志審計功能
思智ERM提供全面的日志審計功能，通過記錄終端、服務器和控制臺中的用戶操作過程以及對突發安全事件的詳細記錄、分析，可以做到對企業信息的安全保護，同時為企業安全事件調查提供強有力的追蹤依據。
3.3.2思智ERM主要技術特點
1）驅動級透明加解密技術
與應用級透明加解密技術相比，驅動級透明加解密技術具有工作效率高、獨立性好、安全性強等特點。
2）剪貼板防護技術
作為防止用戶主動泄密的重要環節，剪貼板保護技術是必不可少的重要組成部分。
3）軟件特征碼指紋識別技術
目前文檔安全產品常用的進程識別技術為：識別進程名與識別窗口標題技術，二者均有一定漏洞。思智ERM采用了更為安全可靠的軟件特征碼技術。軟件特征碼技術是對進程采用指定算法進行計算，提取一組唯一的數據作為該進程的唯一身份識別，即使有相同名稱的進程調用了機密數據，只要其運算取得的進程特征碼不同，則調用將被禁止。只有擁有合法特征碼的進程才能夠使用機密數據。
4、結束語
該項目完成以后，不但能夠對MicrosoftOffice、CAD、JPG等任意格式的電子文檔及設計圖紙進行加密保護，并且能夠對加密的文件進行權限設置和備份保護。確保企業的機密信息只能夠被經過授權的人，在授權的環境中，在指定的時間內，進行指定的應用操作，并且整個過程會被詳細、完整的記錄下來，同時文檔在創建、存儲、應用、傳輸等過程中均以加密形式存在，杜絕黑客工具的竊取和監聽。一旦脫離授權環境，加密電子文檔也無法解密和應用。該項目的實施將為該企業機密信息資料提供安全維護和管理，構建強大的安全防線和數據信息保護策略，從而協助該企業實現信息安全保護的戰略目標。

參考文獻
[1]袁博趙越編著WindowsServer2003局域網組建與配置手冊中國青年出版社2004
[2]王達編著網管員必讀-網絡安全電子工業出版社2006
[3]北京啟明星辰信息技術有限公司編著網絡信息安全技術基礎電子工業出版社2002
 

　　搜論文知識網致力于為需要刊登論文的人士提供相關服務,提供迅速快捷的論文發表、寫作指導等服務。具體發表流程為：客戶咨詢→確定合作，客戶支付定金→文章發送并發表→客戶接收錄用通知，支付余款→雜志出版并寄送客戶→客戶確認收到。鳴網系學術網站，對所投稿件無稿酬支付，謝絕非學術類稿件的投遞！