安全生產工作是一項系統工程。不僅包括各類生產過程中因電、水、人等因素造成的行為安全事故,也包括在作業過程中數據泄露等問題。行政部門文件泄密如今已不是什么新鮮事,特殊行業如基礎測繪、大型工程設計等在生產過程中的數據文件保密工作已成為一項安全生產任務,國家也相應制定了相關的數據保護法案。
由于企業機密數據泄漏不僅會給企業帶來經濟和無形資產的損失。而且如果這些泄漏的機密數據是一些與人們密切相關的隱私信息,例如銀行賬號、身份證號碼等,還會帶來一系列的社會問題,成為安全隱患。
安全管理的對象不僅是物和環境,更重要的對象是人。安全管理也不是只靠少數專、兼職安全管理人員就能做好的,而是要靠全員全面、全過程的嚴密管理。
目前,由于企業需要加密的信息范圍很廣,使用的數據加密系統也各不相同,中小企業沒有足夠的人力和有效的監控軟件來管理這些信息,以及處理信息使用過程中出現的問題,更何況在數據加密方案的部署過程中還會涉及其他許多安全問題。數據加密不易部署和管理。會大大降低部署加密方案的成功率。廣西國土測繪院在數據生產過程中部署相應的數據加密方案用以解決機密數據泄漏問題,筆者就控制數據泄密工作作簡要探討。
部署數據加密解決方案的步驟:
①確定加密日標、選擇加密技術和產品。
②編寫數據加密項目的規劃和解決方案。
③準備、安裝和配置加密軟件或硬件。
④測試數據加密解決方案和最終使用。
1 產品分析
數據加密產品可以分為3類:
①文件,文件夾加密產品,此類軟件通常是用戶自己操作需要加密的文件或文件夾,如TrueCrypt、Axcrypt、Cryptainer LE、Blowfish Advced CS個人版和Free OTFE等。這類產品的缺陷是不能對臨時文件和交換空間進行加密。
②全盤加密(FDE技術)產品,此類產品主要針對整個硬盤或某個卷,如賽門鐵克推出的EndpointEnryption 6.0全盤版、McAfee的Total Protection for Data、PGP全盤加密,免費的TrueCrypt也具有全盤加密功能。通常此類方案是在系統啟動時就進行加密驗證,沒有授權的用戶,如果不提供正確的密碼,就不可能繞過數據加密機制獲取系統中的任何信息。這類產品的缺陷是加密速度較慢,特別是對一些容量較大的文件,密碼被竊取后所有的文件都會泄漏,且在磁盤發現故障或者錯誤時。數據無法被恢復。
③智能加密產品,此類產品允許管理員指定加密文件的具體類型,例如電子表格或文本文件及某些具體應用產品,例如GIS、AucoCAD等專業軟件。智能加密技術確保指定的文件類型或應用類型都能被加密.而不需要關心文件是否存在某個指定的文件夾或者磁盤,并且不會干擾備份和恢復等程序的運行。
2 實施方案
廣西國土測繪院以測繪及勘測設計類業務為主,數據的編輯和應用涉及國家坐標系統,以及基礎地理數據的應用,數據遵循《中華人民共和國測繪成果管理條莎必和伽J繪成果保密管理條鋤條款,數據在生產的任何環節均受到約束,因此必須確定實施方案。對企業的需求、設備狀況等方面進行分析,分析結果如下。
(1)部署類型:作業過程中使用的各類測繪類應用程序有:AutoCAD,MapGIS,Excrl,TXT文本及其生成的相關文件等。
(2)部署范圍:數據存儲服務器、工作站、筆記本等可移動的存儲設備。
(3)部署人員:各生產部門的作業人員、系統管理人員、網絡管理人員、各部門主要負責人等。
3產品的選擇及應用
針對廣西國土測繪院生產涉密的特點,最終選擇智能加密產品,選購的是中國軟件和技術服務股份有限公司開發的中軟防水墻WaterBox系統。
3.1軟件概況
中軟防水墻WaterBox系統主要從以下幾個方面對終端桌面系統進行管理。
終端安全管理:按照企業終端計算機安全管理規定,對允許接入內網的計算機進行統一管理,配置終端計算機的安全策略,保證終端計算機的安全運行。它包括安全策略管理、終端入網認證、用戶身份認證、網絡進程管理、防病毒軟件監測、補丁分發管理、臨時文件刪除和文件安全擦除。
終端運維管理:按照統一的安令策略監控客戶端的運行狀況,通過軟件自動分發和軟硬件資產的統一管理,大大節約了企業信息系統的維護成本,通過系統遠程幫助控制實現遠程維護計算機,清除系統故障。它包括軟件分發管理、軟硬件資產管理、系統運行狀況監控和遠程用戶幫助。
用戶行為管理:通過控制信息外泄途徑的方式保護企業敏感信息的安全.防止用戶誤操作或違規行為泄漏企業的敏感信息。它包括網絡泄密管理、媒體介質管理、打印機管理和硬件接口管理。
數據安全管理:從多個方面和層次實現對用戶數據的安全管理。它包括:用戶桌面安全保險箱.實現了終端用戶對個人、小組等需要防護的數據的主動加密要求;安全文檔管理,該功能從底層實現了企業對某類型的敏感數據的強制加密要求;可信移動存儲介質管理,該功能幫助企業實現了對移動介質數據的防護,實現了外部的U盤進來用不了,里面的U盤出去不能用。
終端接入管理:通過終端接入認證和非法主機掃描實現對接入網絡的客戶端進行認證,認證通過的可以連接網絡,對通過其他非法途徑進入網絡的非法主機,掃描工具發現后警告。
系統的體系結構如圖1所示。
①客戶端:安裝在受保護的終端計算機上,實時監測客戶端的用戶行為和安全狀態,實現客戶端安全策略合規性管理。
②服務器:安裝在專業的數據服務器上,需要數據庫的支持。通過安全認證建立與多個客戶端系統的信任連接,實現客戶端策略的存儲和下發及日志的收集和存儲。
③控制臺:人機交互界面是管理員實現對系統管理的工具。通過安全認證建立與服務器的信任連接,實現策略的制定下發及數據的審計和管理。
圖1 體系結構圖
3.2軟件試運行情況
3.2.1測試環境
服務器配置:CPU為P41.3G,內存為640M,40G硬盤.操作系統為windows server 2003 sp1。
客戶機配置:CPU為迅馳1.5C,內存為786M,1206硬盤.操作系統為windows xp sp3。
3.2.2軟件需求
(1)數據庫軟件:SQL Server 2000或SQL Serve 2005(選用)。
(2)Java虛擬機j2re-1_4_2_06。
(3)dotnetfx-Microsoh .NET Framework Version 2.0。
3.2.3軟件運行情況
打開服務器端。控制臺界面如圖2所示。
(1)文件進程加密:下達“AutoCad進程監控”策略,并應用至客戶機,在客戶機上打開CAD文件,編輯并保存文件,此時文件被自動加密,并且其生成的臨時文件也會被加密,文件在有許可客戶端的筆記本上可以被正常打開,將文件拷貝至其他沒有加密策略及未安裝客戶端的計算機上時,無法正常打開該文件,系統提示“無效文件錯誤”(如圖3、圖4所示)。
(2)外部接口管理:在“外設接口控制”策略中,提供了包括筆記本獨特接口的一些接口控制,如PCMCIA、藍牙、無線網絡等,均在可控制范圍內(如圖5所示)。
圖2控制臺界面圖
圖3文件進程加密界面圖
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.lukmueng.com/
本文標題:數據安全在安全生產工作中的應用(上)
相關文章
