安全生產(chǎn)工作是一項系統(tǒng)工程。不僅包括各類生產(chǎn)過程中因電、水、人等因素造成的行為安全事故,也包括在作業(yè)過程中數(shù)據(jù)泄露等問題。行政部門文件泄密如今已不是什么新鮮事,特殊行業(yè)如基礎(chǔ)測繪、大型工程設(shè)計等在生產(chǎn)過程中的數(shù)據(jù)文件保密工作已成為一項安全生產(chǎn)任務(wù),國家也相應(yīng)制定了相關(guān)的數(shù)據(jù)保護(hù)法案。
由于企業(yè)機密數(shù)據(jù)泄漏不僅會給企業(yè)帶來經(jīng)濟(jì)和無形資產(chǎn)的損失。而且如果這些泄漏的機密數(shù)據(jù)是一些與人們密切相關(guān)的隱私信息,例如銀行賬號、身份證號碼等,還會帶來一系列的社會問題,成為安全隱患。
安全管理的對象不僅是物和環(huán)境,更重要的對象是人。安全管理也不是只靠少數(shù)專、兼職安全管理人員就能做好的,而是要靠全員全面、全過程的嚴(yán)密管理。
目前,由于企業(yè)需要加密的信息范圍很廣,使用的數(shù)據(jù)加密系統(tǒng)也各不相同,中小企業(yè)沒有足夠的人力和有效的監(jiān)控軟件來管理這些信息,以及處理信息使用過程中出現(xiàn)的問題,更何況在數(shù)據(jù)加密方案的部署過程中還會涉及其他許多安全問題。數(shù)據(jù)加密不易部署和管理。會大大降低部署加密方案的成功率。廣西國土測繪院在數(shù)據(jù)生產(chǎn)過程中部署相應(yīng)的數(shù)據(jù)加密方案用以解決機密數(shù)據(jù)泄漏問題,筆者就控制數(shù)據(jù)泄密工作作簡要探討。
部署數(shù)據(jù)加密解決方案的步驟:
①確定加密日標(biāo)、選擇加密技術(shù)和產(chǎn)品。
②編寫數(shù)據(jù)加密項目的規(guī)劃和解決方案。
③準(zhǔn)備、安裝和配置加密軟件或硬件。
④測試數(shù)據(jù)加密解決方案和最終使用。
1 產(chǎn)品分析
數(shù)據(jù)加密產(chǎn)品可以分為3類:
①文件,文件夾加密產(chǎn)品,此類軟件通常是用戶自己操作需要加密的文件或文件夾,如TrueCrypt、Axcrypt、Cryptainer LE、Blowfish Advced CS個人版和Free OTFE等。這類產(chǎn)品的缺陷是不能對臨時文件和交換空間進(jìn)行加密。
②全盤加密(FDE技術(shù))產(chǎn)品,此類產(chǎn)品主要針對整個硬盤或某個卷,如賽門鐵克推出的EndpointEnryption 6.0全盤版、McAfee的Total Protection for Data、PGP全盤加密,免費的TrueCrypt也具有全盤加密功能。通常此類方案是在系統(tǒng)啟動時就進(jìn)行加密驗證,沒有授權(quán)的用戶,如果不提供正確的密碼,就不可能繞過數(shù)據(jù)加密機制獲取系統(tǒng)中的任何信息。這類產(chǎn)品的缺陷是加密速度較慢,特別是對一些容量較大的文件,密碼被竊取后所有的文件都會泄漏,且在磁盤發(fā)現(xiàn)故障或者錯誤時。數(shù)據(jù)無法被恢復(fù)。
③智能加密產(chǎn)品,此類產(chǎn)品允許管理員指定加密文件的具體類型,例如電子表格或文本文件及某些具體應(yīng)用產(chǎn)品,例如GIS、AucoCAD等專業(yè)軟件。智能加密技術(shù)確保指定的文件類型或應(yīng)用類型都能被加密.而不需要關(guān)心文件是否存在某個指定的文件夾或者磁盤,并且不會干擾備份和恢復(fù)等程序的運行。
2 實施方案
廣西國土測繪院以測繪及勘測設(shè)計類業(yè)務(wù)為主,數(shù)據(jù)的編輯和應(yīng)用涉及國家坐標(biāo)系統(tǒng),以及基礎(chǔ)地理數(shù)據(jù)的應(yīng)用,數(shù)據(jù)遵循《中華人民共和國測繪成果管理條莎必和伽J繪成果保密管理條鋤條款,數(shù)據(jù)在生產(chǎn)的任何環(huán)節(jié)均受到約束,因此必須確定實施方案。對企業(yè)的需求、設(shè)備狀況等方面進(jìn)行分析,分析結(jié)果如下。
(1)部署類型:作業(yè)過程中使用的各類測繪類應(yīng)用程序有:AutoCAD,MapGIS,Excrl,TXT文本及其生成的相關(guān)文件等。
(2)部署范圍:數(shù)據(jù)存儲服務(wù)器、工作站、筆記本等可移動的存儲設(shè)備。
(3)部署人員:各生產(chǎn)部門的作業(yè)人員、系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、各部門主要負(fù)責(zé)人等。
3產(chǎn)品的選擇及應(yīng)用
針對廣西國土測繪院生產(chǎn)涉密的特點,最終選擇智能加密產(chǎn)品,選購的是中國軟件和技術(shù)服務(wù)股份有限公司開發(fā)的中軟防水墻WaterBox系統(tǒng)。
3.1軟件概況
中軟防水墻WaterBox系統(tǒng)主要從以下幾個方面對終端桌面系統(tǒng)進(jìn)行管理。
終端安全管理:按照企業(yè)終端計算機安全管理規(guī)定,對允許接入內(nèi)網(wǎng)的計算機進(jìn)行統(tǒng)一管理,配置終端計算機的安全策略,保證終端計算機的安全運行。它包括安全策略管理、終端入網(wǎng)認(rèn)證、用戶身份認(rèn)證、網(wǎng)絡(luò)進(jìn)程管理、防病毒軟件監(jiān)測、補丁分發(fā)管理、臨時文件刪除和文件安全擦除。
終端運維管理:按照統(tǒng)一的安令策略監(jiān)控客戶端的運行狀況,通過軟件自動分發(fā)和軟硬件資產(chǎn)的統(tǒng)一管理,大大節(jié)約了企業(yè)信息系統(tǒng)的維護(hù)成本,通過系統(tǒng)遠(yuǎn)程幫助控制實現(xiàn)遠(yuǎn)程維護(hù)計算機,清除系統(tǒng)故障。它包括軟件分發(fā)管理、軟硬件資產(chǎn)管理、系統(tǒng)運行狀況監(jiān)控和遠(yuǎn)程用戶幫助。
用戶行為管理:通過控制信息外泄途徑的方式保護(hù)企業(yè)敏感信息的安全.防止用戶誤操作或違規(guī)行為泄漏企業(yè)的敏感信息。它包括網(wǎng)絡(luò)泄密管理、媒體介質(zhì)管理、打印機管理和硬件接口管理。
數(shù)據(jù)安全管理:從多個方面和層次實現(xiàn)對用戶數(shù)據(jù)的安全管理。它包括:用戶桌面安全保險箱.實現(xiàn)了終端用戶對個人、小組等需要防護(hù)的數(shù)據(jù)的主動加密要求;安全文檔管理,該功能從底層實現(xiàn)了企業(yè)對某類型的敏感數(shù)據(jù)的強制加密要求;可信移動存儲介質(zhì)管理,該功能幫助企業(yè)實現(xiàn)了對移動介質(zhì)數(shù)據(jù)的防護(hù),實現(xiàn)了外部的U盤進(jìn)來用不了,里面的U盤出去不能用。
終端接入管理:通過終端接入認(rèn)證和非法主機掃描實現(xiàn)對接入網(wǎng)絡(luò)的客戶端進(jìn)行認(rèn)證,認(rèn)證通過的可以連接網(wǎng)絡(luò),對通過其他非法途徑進(jìn)入網(wǎng)絡(luò)的非法主機,掃描工具發(fā)現(xiàn)后警告。
系統(tǒng)的體系結(jié)構(gòu)如圖1所示。
①客戶端:安裝在受保護(hù)的終端計算機上,實時監(jiān)測客戶端的用戶行為和安全狀態(tài),實現(xiàn)客戶端安全策略合規(guī)性管理。
②服務(wù)器:安裝在專業(yè)的數(shù)據(jù)服務(wù)器上,需要數(shù)據(jù)庫的支持。通過安全認(rèn)證建立與多個客戶端系統(tǒng)的信任連接,實現(xiàn)客戶端策略的存儲和下發(fā)及日志的收集和存儲。
③控制臺:人機交互界面是管理員實現(xiàn)對系統(tǒng)管理的工具。通過安全認(rèn)證建立與服務(wù)器的信任連接,實現(xiàn)策略的制定下發(fā)及數(shù)據(jù)的審計和管理。
圖1 體系結(jié)構(gòu)圖
3.2軟件試運行情況
3.2.1測試環(huán)境
服務(wù)器配置:CPU為P41.3G,內(nèi)存為640M,40G硬盤.操作系統(tǒng)為windows server 2003 sp1。
客戶機配置:CPU為迅馳1.5C,內(nèi)存為786M,1206硬盤.操作系統(tǒng)為windows xp sp3。
3.2.2軟件需求
(1)數(shù)據(jù)庫軟件:SQL Server 2000或SQL Serve 2005(選用)。
(2)Java虛擬機j2re-1_4_2_06。
(3)dotnetfx-Microsoh .NET Framework Version 2.0。
3.2.3軟件運行情況
打開服務(wù)器端。控制臺界面如圖2所示。
(1)文件進(jìn)程加密:下達(dá)“AutoCad進(jìn)程監(jiān)控”策略,并應(yīng)用至客戶機,在客戶機上打開CAD文件,編輯并保存文件,此時文件被自動加密,并且其生成的臨時文件也會被加密,文件在有許可客戶端的筆記本上可以被正常打開,將文件拷貝至其他沒有加密策略及未安裝客戶端的計算機上時,無法正常打開該文件,系統(tǒng)提示“無效文件錯誤”(如圖3、圖4所示)。
(2)外部接口管理:在“外設(shè)接口控制”策略中,提供了包括筆記本獨特接口的一些接口控制,如PCMCIA、藍(lán)牙、無線網(wǎng)絡(luò)等,均在可控制范圍內(nèi)(如圖5所示)。
圖2控制臺界面圖
圖3文件進(jìn)程加密界面圖
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://m.hanmeixuan.com/
本文標(biāo)題:數(shù)據(jù)安全在安全生產(chǎn)工作中的應(yīng)用(上)
本文網(wǎng)址:http://m.hanmeixuan.com/html/support/1112158323.html
相關(guān)文章
