企业信息安全系统研究应用

　　摘要：随着计算机应用的不断深入，企业越来越多的信息以数字的形式存放在网络的各个节点上，成为关系企业生存发展的重要数字资产，如何对这些数字信息实施有效保护，已成为当务之急。本文对当前国内外安全技术进行了全面分析，然后结合某企业的网络安全现状、应用系统情况等对企业信息安全系统的实施和部署进行了阐述。
关键词：信息安全；文档加密；文档权限；入侵检测

1、国内外安全技术分析
根据目前国内外企业实施信息安全项目的特点和技术实现的难易程度，将信息安全技术归为如下几类：
1.1防火墙、入侵检测技术
以防火墙、入侵检测等为代表的信息安全保护方案，主要采用以“堵”、“防”等为主要特点的技术措施，对网络设备、服务器、PC机等进行边界防护，将各种可能的威胁拒之门外，在保证企业内网与互联网联通的前提下，创造了一个相对安全的内网环境，有效的保护了企业内部网络的安全，从而得到了广泛的应用。但是，由于这类技术是以边界防护为重点，已不能满足目前以终端作为信息泄露主要途径的新的安全需求，不能防止企业内部人员有意无意泄漏企业重要信息。
1.2内网管理技术
内网管理技术最主要的特点就是通过技术手段，实现对终端的控制和行为管理。其主要功能包括：
硬件管理：对客户端鼠标、键盘、网卡、打印机、端口（1394、USB等）的控制；
软件管理：允许或禁止用户使用某些方面的软件、获取当前进程列表并可远程终止部分进程；
网络管理：通过黑白名单方式，允许或禁止用户的网络访问；
行为监控：包括邮件监控、聊天内容监控（MSN、QQ等），并可根据记录的进程信息，生成分析报告；
补丁管理：确保企业内所有的机器都安装了最新的操作系统补丁程序；
资产管理：根据客户端程序返回的终端软、硬件信息，生成固定资产报表。
内网管理技术本质上讲是属于防火墙、入侵检测等产品功能对内网的延伸，还是通过“防”、“堵”的思路来保护内部信息不会外流，信息安全泄露后只能事后补救。目前内网管理技术在国内外都有大量成熟的产品和成功部署的实例。
1.3数据防泄漏技术
数据防泄漏产品部署于客户端和服务器，通过监控数据流来判断机密信息是否外泄。系统管理员首先根据企业自身的电子文档特点，制定需要过滤的特征码（如源代码、图纸等）及规则，当部署在网络上的探测设备检测到数据流中包含有特征码数据时，则按预先制定的规则，对这些内容进行处理（如删除、拒绝等）。
数据防泄漏技术像是内网管理技术的升级版，它是在内网管理技术的基础上，增加了内容分析模块，比传统的内网管理技术一刀切式的硬件、网络、软件控制方式更智能，但由于信息本身没有经过加密，因此本质上还是使用“堵”和“防”的方式来保护重要信息。
1.4文档加密技术
通过使用密码技术，对需要保护的重要信息进行保护，是目前比较好的信息安全保护手段，它从根本上解决了信息的安全问题。经过加密的信息，不论通过何种存储介质（硬盘、U盘、光盘等）、何种传输方式（邮件、MSN、QQ等）或何种端口（USB口、红外、网络等），信息始终以密文形式存储，在使用者没有通过身份识别前，用户不能以任何方式获得明文。
1.5企业文档权限管理系统
文档加密技术不能实现按文件对不同用户的不同授权。企业文档权限管理系统，在实现对电子文档自动加密的基础上，实现了对文档的权限控制功能。
用户在将自己的文件共享给他人时，必须首先对共享文件进行授权，只有获得授权的用户才能按指定的权限对文件进行访问，其他用户即使获得了该文件，也因没有授权而无法使用。
企业文档权限管理技术是目前国内外信息安全保护的最佳方案，但由于其技术实现难度较大，因此仅有少数有实力的厂商能够提供成熟的产品，并提供完整的咨询、实施、支持等服务。
综上所述，文档加密技术比内网管理技术具有本质上的安全优势，能够达到保护企业信息安全的目标，而且由于其不改变用户对文档操作的习惯和流程，因此，适合企业初始实施信息安全项目的要求，在成功实施后可根据需要，将文档加密升级为企业文档权限系统，从而在实现文档安全保护的前提下，实现了对文档的权限管理。
2、信息内、外网安全建设情况
某企业已完成信息内、外网的建设，信息内网是指：内部业务应用系统承载网络和内部办公网络。信息外网是指：对外业务服务网络和访问互联网用户终端网络。
随着计算机技术的发展和应用的不断深入，目前对网络安全的要求越来越高，如果不能保证网络安全，势必将影响到企业的生产、影响职工的工作和学习。目前信息内网装设有方正防火墙3000-FG-6340、入侵检测系统、Trendmicro企业版防病毒系统等，有效地抵御了病毒、黑客等对整个网络系统的攻击，同时内网采用科来网络分析系统，进行网络监测、故障定位、安全隐患排查等。信息外网装设有华为H3CF100E防火墙、卡巴斯基反病毒系统、天玥网络安全审计系统等，特别是天玥安全审计系统，不仅具有上网管理功能，还具有安全审计功能（包括实时封堵互联网不良信息、URL地址关键字过滤、收发邮件控制、实时查看上网情况、日志备份与恢复、自定义封堵站点、内容审计功能等），同时在信息外网实施了虚网（VLAN）划分和MAC地址绑定等安全措施，优化了整体网络运行环境，提升了网络运行可靠性。
3、企业信息防泄密系统的研究和部署
3.1计算机网络系统
目前该企业信息内、外网完全物理隔离，全面实现“双网双机”工作方式，极大地提高了网络速度和安全性能。
信息内网采用二层扁平化的网络方式架构，由核心层、接入层组成，并且整个网络的拓扑结构为星形连接方式。星型网络拓扑结构简单，管理集中于网络中心，可以保证网络的安全性和易维护性，有效地降低网络维护管理成本。网络骨干采用基于光纤的千兆以太网，全交换快速以太网端口到桌面，网络规模1700点左右，有效地保证了带宽和多媒体的需要。信息内网以路由器+防火墙的方式通过100M光纤和省电力公司相连接。为了提高网络整体的安全可靠性，接入交换机与两台核心交换机之间均采用千兆光纤链路互联。
信息外网骨干采用基于光纤的千兆以太网，全交换快速以太网端口到桌面，网络规模1700点左右，通过路由器+防火墙以100M光纤接入网通公司。
3.2应用系统
目前在计算机信息内网中运行着100多套信息应用系统和有关专业应用软件。主要有：管理信息系统（MIS）、档案管理系统、办公自动化（OA）、PowerOn项目管理集成系统、数字档案馆、远光财务软件、Autocad绘图软件、电力设计标准化信息管理系统、电力系统分析软件等。这些应用系统全面覆盖了该企业各个业务部门的日常管理和设计工作，这些系统的可靠、稳定、安全运行，有力地促进了该企业各项工作的科学化、规范化和高效化。
3.3信息防泄密系统的实施
将该企业网络安全现状、应用系统情况等调查完成并进行全面的整理和分析后，结合当前国内外安全技术的最新发展，本着先进适用的原则，采用北京Sagetech公司的思智ERM产品（ERM:EnterpriseRightMangement,企业权限管理）来部署该企业的“企业信息防泄密系统”，它是一个全面整合数据保护和应用权限管理的电子数据安全管理体系，对数据本身进行安全保护，将企业的权限管理融入到数据信息的具体应用之中。
3.3.1思智ERM主要功能
1）用户身份认证
用户身份认证是整个ERM安全体系的管理基础，它将数据信息的使用对象由所有人变成了被授权的用户，缩小了数据信息使用者的范围，提升了信息管理的安全性。思智ERM支持多种身份认证方式，确保只有授权的用户可以使用被保护的数据信息。
2）文件加密保护
思智ERM支持所有标准公开算法，可以对核心数据信息进行安全的加密保护，它能够在系统后台自动完成对电子文件的透明加密操作，整个过程对用户的操作没有影响。
3）应用权限细分
通过加密技术，思智ERM将数据的潜在用户“区分”为授权用户和非授权用户，只有授权用户可以使用被保护的数据信息，同时对应用权限进行了细分，全面支持只读、编辑、打开时间、打开次数、解密等多种权限。
4）支持企业业务流程
思智ERM能够根据企业的业务流程来设定数据的共享和应用。通过思智ERM的共享审批功能，企业所有的信息共享行为都要经过相关责任人的审批才可以实施，提升了信息共享行为的合法性，真正做到了数据信息的安全共享。
5）离线支持功能
离线状态指的是客户端没有与认证服务器建立有效连接的状态。在实际应用中，它往往发生在网络中断、人员出差以及回家加班等情况下，思智ERM提供了完善的离线授权功能。
当客户端处于离线状态时，员工仍然按照已设定好的文件应用策略进行文件应用。比如：当员工出差在外时，可根据在出差前已设定好的文件应用策略，在离线的状态下按照要求进行文件的应用，确保企业核心机密信息不会在这个过程中泄露。
6）全面的日志审计功能
思智ERM提供全面的日志审计功能，通过记录终端、服务器和控制台中的用户操作过程以及对突发安全事件的详细记录、分析，可以做到对企业信息的安全保护，同时为企业安全事件调查提供强有力的追踪依据。
3.3.2思智ERM主要技术特点
1）驱动级透明加解密技术
与应用级透明加解密技术相比，驱动级透明加解密技术具有工作效率高、独立性好、安全性强等特点。
2）剪贴板防护技术
作为防止用户主动泄密的重要环节，剪贴板保护技术是必不可少的重要组成部分。
3）软件特征码指纹识别技术
目前文档安全产品常用的进程识别技术为：识别进程名与识别窗口标题技术，二者均有一定漏洞。思智ERM采用了更为安全可靠的软件特征码技术。软件特征码技术是对进程采用指定算法进行计算，提取一组唯一的数据作为该进程的唯一身份识别，即使有相同名称的进程调用了机密数据，只要其运算取得的进程特征码不同，则调用将被禁止。只有拥有合法特征码的进程才能够使用机密数据。
4、结束语
该项目完成以后，不但能够对MicrosoftOffice、CAD、JPG等任意格式的电子文档及设计图纸进行加密保护，并且能够对加密的文件进行权限设置和备份保护。确保企业的机密信息只能够被经过授权的人，在授权的环境中，在指定的时间内，进行指定的应用操作，并且整个过程会被详细、完整的记录下来，同时文档在创建、存储、应用、传输等过程中均以加密形式存在，杜绝黑客工具的窃取和监听。一旦脱离授权环境，加密电子文档也无法解密和应用。该项目的实施将为该企业机密信息资料提供安全维护和管理，构建强大的安全防线和数据信息保护策略，从而协助该企业实现信息安全保护的战略目标。

参考文献
[1]袁博赵越编著WindowsServer2003局域网组建与配置手册中国青年出版社2004
[2]王达编著网管员必读-网络安全电子工业出版社2006
[3]北京启明星辰信息技术有限公司编著网络信息安全技术基础电子工业出版社2002