安全生产工作是一项系统工程。不仅包括各类生产过程中因电、水、人等因素造成的行为安全事故,也包括在作业过程中数据泄露等问题。行政部门文件泄密如今已不是什么新鲜事,特殊行业如基础测绘、大型工程设计等在生产过程中的数据文件保密工作已成为一项安全生产任务,国家也相应制定了相关的数据保护法案。
由于企业机密数据泄漏不仅会给企业带来经济和无形资产的损失。而且如果这些泄漏的机密数据是一些与人们密切相关的隐私信息,例如银行账号、身份证号码等,还会带来一系列的社会问题,成为安全隐患。
安全管理的对象不仅是物和环境,更重要的对象是人。安全管理也不是只靠少数专、兼职安全管理人员就能做好的,而是要靠全员全面、全过程的严密管理。
目前,由于企业需要加密的信息范围很广,使用的数据加密系统也各不相同,中小企业没有足够的人力和有效的监控软件来管理这些信息,以及处理信息使用过程中出现的问题,更何况在数据加密方案的部署过程中还会涉及其他许多安全问题。数据加密不易部署和管理。会大大降低部署加密方案的成功率。广西国土测绘院在数据生产过程中部署相应的数据加密方案用以解决机密数据泄漏问题,笔者就控制数据泄密工作作简要探讨。
部署数据加密解决方案的步骤:
①确定加密日标、选择加密技术和产品。
②编写数据加密项目的规划和解决方案。
③准备、安装和配置加密软件或硬件。
④测试数据加密解决方案和最终使用。
1 产品分析
数据加密产品可以分为3类:
①文件,文件夹加密产品,此类软件通常是用户自己操作需要加密的文件或文件夹,如TrueCrypt、Axcrypt、Cryptainer LE、Blowfish Advced CS个人版和Free OTFE等。这类产品的缺陷是不能对临时文件和交换空间进行加密。
②全盘加密(FDE技术)产品,此类产品主要针对整个硬盘或某个卷,如赛门铁克推出的EndpointEnryption 6.0全盘版、McAfee的Total Protection for Data、PGP全盘加密,免费的TrueCrypt也具有全盘加密功能。通常此类方案是在系统启动时就进行加密验证,没有授权的用户,如果不提供正确的密码,就不可能绕过数据加密机制获取系统中的任何信息。这类产品的缺陷是加密速度较慢,特别是对一些容量较大的文件,密码被窃取后所有的文件都会泄漏,且在磁盘发现故障或者错误时。数据无法被恢复。
③智能加密产品,此类产品允许管理员指定加密文件的具体类型,例如电子表格或文本文件及某些具体应用产品,例如GIS、AucoCAD等专业软件。智能加密技术确保指定的文件类型或应用类型都能被加密.而不需要关心文件是否存在某个指定的文件夹或者磁盘,并且不会干扰备份和恢复等程序的运行。
2 实施方案
广西国土测绘院以测绘及勘测设计类业务为主,数据的编辑和应用涉及国家坐标系统,以及基础地理数据的应用,数据遵循《中华人民共和国测绘成果管理条莎必和伽J绘成果保密管理条锄条款,数据在生产的任何环节均受到约束,因此必须确定实施方案。对企业的需求、设备状况等方面进行分析,分析结果如下。
(1)部署类型:作业过程中使用的各类测绘类应用程序有:AutoCAD,MapGIS,Excrl,TXT文本及其生成的相关文件等。
(2)部署范围:数据存储服务器、工作站、笔记本等可移动的存储设备。
(3)部署人员:各生产部门的作业人员、系统管理人员、网络管理人员、各部门主要负责人等。
3产品的选择及应用
针对广西国土测绘院生产涉密的特点,最终选择智能加密产品,选购的是中国软件和技术服务股份有限公司开发的中软防水墙WaterBox系统。
3.1软件概况
中软防水墙WaterBox系统主要从以下几个方面对终端桌面系统进行管理。
终端安全管理:按照企业终端计算机安全管理规定,对允许接入内网的计算机进行统一管理,配置终端计算机的安全策略,保证终端计算机的安全运行。它包括安全策略管理、终端入网认证、用户身份认证、网络进程管理、防病毒软件监测、补丁分发管理、临时文件删除和文件安全擦除。
终端运维管理:按照统一的安令策略监控客户端的运行状况,通过软件自动分发和软硬件资产的统一管理,大大节约了企业信息系统的维护成本,通过系统远程帮助控制实现远程维护计算机,清除系统故障。它包括软件分发管理、软硬件资产管理、系统运行状况监控和远程用户帮助。
用户行为管理:通过控制信息外泄途径的方式保护企业敏感信息的安全.防止用户误操作或违规行为泄漏企业的敏感信息。它包括网络泄密管理、媒体介质管理、打印机管理和硬件接口管理。
数据安全管理:从多个方面和层次实现对用户数据的安全管理。它包括:用户桌面安全保险箱.实现了终端用户对个人、小组等需要防护的数据的主动加密要求;安全文档管理,该功能从底层实现了企业对某类型的敏感数据的强制加密要求;可信移动存储介质管理,该功能帮助企业实现了对移动介质数据的防护,实现了外部的U盘进来用不了,里面的U盘出去不能用。
终端接入管理:通过终端接入认证和非法主机扫描实现对接入网络的客户端进行认证,认证通过的可以连接网络,对通过其他非法途径进入网络的非法主机,扫描工具发现后警告。
系统的体系结构如图1所示。
①客户端:安装在受保护的终端计算机上,实时监测客户端的用户行为和安全状态,实现客户端安全策略合规性管理。
②服务器:安装在专业的数据服务器上,需要数据库的支持。通过安全认证建立与多个客户端系统的信任连接,实现客户端策略的存储和下发及日志的收集和存储。
③控制台:人机交互界面是管理员实现对系统管理的工具。通过安全认证建立与服务器的信任连接,实现策略的制定下发及数据的审计和管理。
图1 体系结构图
3.2软件试运行情况
3.2.1测试环境
服务器配置:CPU为P41.3G,内存为640M,40G硬盘.操作系统为windows server 2003 sp1。
客户机配置:CPU为迅驰1.5C,内存为786M,1206硬盘.操作系统为windows xp sp3。
3.2.2软件需求
(1)数据库软件:SQL Server 2000或SQL Serve 2005(选用)。
(2)Java虚拟机j2re-1_4_2_06。
(3)dotnetfx-Microsoh .NET Framework Version 2.0。
3.2.3软件运行情况
打开服务器端。控制台界面如图2所示。
(1)文件进程加密:下达“AutoCad进程监控”策略,并应用至客户机,在客户机上打开CAD文件,编辑并保存文件,此时文件被自动加密,并且其生成的临时文件也会被加密,文件在有许可客户端的笔记本上可以被正常打开,将文件拷贝至其他没有加密策略及未安装客户端的计算机上时,无法正常打开该文件,系统提示“无效文件错误”(如图3、图4所示)。
(2)外部接口管理:在“外设接口控制”策略中,提供了包括笔记本独特接口的一些接口控制,如PCMCIA、蓝牙、无线网络等,均在可控制范围内(如图5所示)。
图2控制台界面图
图3文件进程加密界面图
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:数据安全在安全生产工作中的应用(上)
相关文章
