内网信息安全解决方案

内网信息安全解决方案前言随着企业全面信息化时代的到来，人们越来越多地借助以计算机、互联网等先进技术为代表的信息手段系统处理，快速形成管理层所需商业智能，以KPI（关键绩效指标）、图表以及可追溯的报表形式呈内、外部之间进行信息交换的重要载体。如何保护电子文档的安全问题，作为信息安全领域的一公司有很多重要的信息资料，比如说财务报表、技术档案、公司内部文件等，公司不希望这些流，公司该采取什么防范措施？现代企业不能拒绝互联网的交互，不能将公司封闭在一个信息孤高科技研究所等企事业单位，必需通过使用网络来提高工作效率。但使用者在这样的环境下，重要信息流通到网络外部，从而使企业重要的知识产权受到严重侵害。知识产权的保护仅仅依靠法律和行政手段是不控制、安全管理，从技术上杜绝机密信息的泄漏，才是解决问题的根本办法，才能防患于未然一、文档安全管理现状及问题Internet是一个开放的网络，当用户享受其高速发展所带来的大量的信息流通和前所未有的工作效率前，各企业都拥有自己的品牌或各自的业务范围，都利用信息化手段进行高效管理。随着计算机展必要的手段。企业内部竞争性情报信息也就自然成为广受关注、为企业所青睐的重要活动，不殆”，如何保护企业自身重要情报不被竞争对手窃取，使企业在使用网络来提高工作效率的同重要课题。企业内部竞争性情报类型主要有：企业的机密技术文件、产品研发资料设计图稿会计账目、财务报表战略计划书外购竞标信息和供应链合作伙伴信息重要研究成果研究论文 市场营销策划资料其他：如董事会、投融资等方面管理类资料，客户资料     大中型企业一般有着完善的书面文档泄密管理制度，并且由单独的文控中心负责制订、监果。但是这些电子文档存储的方式为明文方式存储在计算机硬盘中，电子格式存储的重要情报极大的增加了管理的复杂程度，这部分的资产极易于受到损害。安全漏洞分析隐藏的安全漏洞主要有文档明文存放、粗放的权限控制、无限期的文件权限、不可靠的身份认证1.明文保存目前，多数企业内部的文件都是以明文保存，仅限制浏览文件的用户。如果不加密，则进行再多的防范都是不可靠的法拷贝，如堵塞电脑的USB接口，检查电子邮件发送，但是，只要是明文的文档，泄密的途径就防不拷屏、录屏、拆开计算机直接挂上硬盘拷贝等。泄密的方式对明文情报的危害黑客侵入不法分子通过各种途径获取商业机密。页码，1/112010-12-11file://C:\DocumentsandSettings\Administrator\LocalSettings\Appl...表格1泄密方式2.存放的权限控制在现在的情况下，企业内部信息的权限管理是粗放的，一旦将这些重要资料交给他人，就完全失去了类： 只要交给对方后就再也不能控制信息十、十传百”3.拥有时间无拥有时间无期限指的是权，随时可以使用拥有资料的时间1）          当员工离职，就可能带走公司的很多重要资料，可以永远重复的使用；2）          与合作伙伴协同工作完成后，合作伙伴利用原有的资料用于其他项目；4.不可靠的身份认证机制身份认证是指计算机及网络系统确认操作者身份的过程。计算机和计算机网络组成了一个虚拟一组特定的数据表示，计算机只能识别用户的数字身份，给用户的授权也是针对用户数字身份题，我们从以下场景来看看身份认证的重要性。如侵入内部网络，电子邮件截获等；防不胜防，特别终端由个人掌控。互联网泄密通过EMail，FTP，BBS等方式传递情报；内部局域网泄密自带笔记本电脑接入网络，从而拷贝数据；移动终端泄密将工作用笔记本电脑带到外界，通过笔记本电脑的相关通讯设备（软驱、光驱、刻录机、磁带驱动器、USB存储设备）、存储设备（串口、并口、调制解调器、USB、SCSI、1394总线、红外通讯设备、以及笔记本电脑使用的PCMCIA卡接口）将信息泄漏到外界。固定终端泄密通过台式电脑的相关通讯设备（软驱、光驱、刻录机、磁带驱动器、USB存储设备）、存储设备（串口、并口、调制解调器、USB、SCSI、1394总线、红外通讯设备、以及笔记本电脑使用的PCMCIA卡接口）将信息泄漏到外界。编号权限控制危害1根据公司保密制度传递情报有情报交给对方就完全控制不了他如何使用，包括是否交给非设密的第三方；2打印，打印次数无接受方可不受限制的打印情报；3保存和另存无接受方可保留情报的副本；4复制和拷贝无接受方可保留情报的副本或某部分；5屏幕拷贝无接受方可通过计算机提供的屏幕拷贝按键和截屏软件获取情报内容；6阅览次数无接受方可无限次的读取情报；7控制阅读的条件——指定机器、指定USB锁、指定IP区域无对于绝密情报，不能控制接受方阅读地点——有可能他正在和竞争对手一起观看！页码，2/112010-12-11file://C:\DocumentsandSettings\Administrator\LocalSettings\Appl...场景一：不法分子打开我的电脑，将我的《XX产品技术方案》拿走了，而我茫然不知；场景二：我忘了我已经将电脑里面的目录设为共享，别人很容易就拷贝走了我的资料；场景三：我传递了一份资料给分公司的同事，而此时这位同事恰巧离开位置，其他人看得到这身份认证有三个层次：一种为证明你知道什么——即现在广泛的用户名/密码方式；其二为证明出示才能确定你的身份；最后一种为证明你是什么——即通过生物技术，如指纹、面貌等确定目前，身份认证手段主要有密码认证、PKI认证、指纹认证、USB硬件认证等几种方法。◇用户名/密码方式:简单易行,保护非关键性的系统，通常用容易被猜测的字符串作为密码，机内存中的木马程序或网络中的监听设备截获。是极不安全的身份认证方式；◇IC卡认证:简单易行,很容易被内存扫描或网络监听等黑客技术窃取；◇动态口令：一次一密，安全性较高，但使用烦琐，有可能造成新的安全漏洞；◇生物特征认证：安全性最高，但技术不成熟，准确性和稳定性有待提高；◇USBKey认证：安全可靠，成本低廉但依赖硬件的安全性。5.使用追踪如果出现了泄密事故，那么我们关心的就是损失有多大，有哪些人参与，由于哪些操作导致泄密能通过人工方式调查取证，使得追查周期过长，损失加大，追查到真相的几率极低。我们也不知道哪些人关注过哪些信息，某些信息被哪些人关注过，不能及时查出泄密的渠道，                               二、文档安全管理问题之对策网络的普及让信息的获取、共享和传播更加方便，同时也增加了重要信息泄密的风险。调查显存取，各种安全漏洞造成的损失中，30%-40%是由电子文件的泄露造成的，而在Fortune排名前元。如何解决在网络互连互通的情况下，交换信息的同时，加强网络内部的安全，防止企业的型企业如何在享受互联网所带来的便利以及高效率的工作的同时保护自身企业重要信息资源，关重要的。文档的安全管理不仅需要提高企业自身的网络安全意识、建立一系列文档安全管理地对重要资料进行安全管理。从现状分析而知，如果要改善现有的竞争性情报管理模式，首先需要树立安全保密的意识，然后制在讨论如何实施才能防止出现情报泄漏之前，我们先讨论成功实施情报安全管理的关键要素，1）明确商务目标的安全方针、目标和活动：围绕着竞争性情报安全保障这个目标，通过各种行2）实施方式要与组织文化一致：企业的文化要融入安全管理中。从集团的CI理念、公司使命、3）来自管理层的有形支持和承诺：需要一把手或指定的安全管理负责人全力负责项目实施，监使大家充分认可，充分参与；4）对安全要求、风险评估和风险管理的良好理解：对竞争性情报资产要有明确的认识，不要盲目的5）向所有管理者及员工推行安全意识：意识到位，才能很好的遵守各项制度、程序；页码，3/112010-12-11file://C:\DocumentsandSettings\Administrator\LocalSettings\Appl...6）向所有员工和合作伙伴分发有关信息安全方针和标准的导则：让所有参与者知道工作方式；7）提供适当的培训和教育：对领导层、对员工都要有相应的、有针对性的培训教育，使得大家接受8）用于评价信息安全管理绩效及反馈改进建议的综合平衡的测量系统；通过测量系统才能验证1. 对策及方法从现状分析而知，如果要改善现有的竞争性情报管理模式，首先需要树立安全保密的意识，然后制我们既要有完整的、可靠的信息安全理论指导我们的方向，也要有经过验证的、实用的方案实现1.1.         体系理论我们参考BS7799信息安全管理标准，执行PDCA的持续改进的管理模式为大中型企业提供情报安全保 根据ISMS（信息安全管理体系），我们在计划（Plan）阶段通过风险评估来了解安全需求，然后根据需求现；解决方案是否有效？是否有新的变化？应该在检查（Check）阶段予以监视和审查；一旦此处不过多介绍理论知识，如想深入理解，请查询相关的BS7799书籍。1.2.安全漏洞理想的解决方案1.2.1.         文档加密保存“企业内部情报信息一定要加密保存”是文档安全保护的首要条件。只要是明文保存文件，无法分子获取商业机密的手段更是多种多样，我们防不胜防。所以治本的方法就是对情报信息加密1.2.2.         权限实时控制文档做成就必须要给别人看，给别人用。为了避免将资料交给对方后就再也不能控制信息资料的使用方式浏览哪些文件、可以打印文件、保存文件，设定文件使用时效，用户可以浏览、打印的次数或制用户阅读条件如：指定机器，IP区域限制。这样，既保证文档在共享状态下的安全使用，又可以完全控制文使传播出去，也不能看。1.2.3.         时间期限控制控制文档的使用时间是文档安全管理重要的一部分。通常将文档分发出去后，接受方就永远拥制，例如员工离职后，文件使用到期，即使拥有此文件也不能用。与合作伙伴协同工作完成后件的使用期限，根据实际情况追加使用时间或缩短期限收回文件。1.2.4.         可靠的用户认证身份认证是整个信息安全体系的基础，身份认证不仅定义用户是谁，而且把“谁”与“什么”什么资源和信息？他/她能够对信息进行什么操作，不能进行什么操作？身份认证提供了一个整体◇身份认证能够密切结合企业的业务流程，阻止对重要资源的非法访问。◇身份认证可以用于解决访问者的物理身份和数字身份的一致性问题，给其他安全技术提供权页码，4/112010-12-11file://C:\DocumentsandSettings\Administrator\LocalSettings\Appl...建立信息安全体系的目的就是要保证存储在计算机及网络系统中的数据只能够被有权操作的人“人”的权限的控制，即对操作者物理身份的权限控制。不论安全性要求多高的数据，它存在就必然要有相无权访问的数据有什么意义？然而，如果没有有效的身份认证手段，这个有权访问者的身份就很容易被范体系都形同虚设。就好像我们建造了一座非常结实的保险库，安装了非常坚固的大门，却没息安全的第一道关隘。在网络环境中，很难确定网络的另一端就是我们所期望的用户。如果我们在应用服务器之前安证通过以后，将信息通知到后台的应用系统。后台应用系统将此用户的权限返回给客户端，用通过身份验证获取使用权限，保证了文档的安全使用。1.2.5. 全维日志追踪能够监督、跟踪、记录所有用户的全部操作，实时查看系统的使用情况，实现最高的系统安全行分类整理，通过操作记录，回溯历史活动，从而发现泄密渠道。通过跟踪目前用户操作，能及密事件的发生。一旦泄密事件发生，通过用户操作记录,可以第一时间拿出最有力的证据。仅拥有以上功能的安全管理系统还不足以满足现代化企业对文档安全管理的要求。在实际工作中这就需要一款不仅是功能强大，而且要功能全面，能够应用于不同领域中的文档安全管理系统本功能同样要满足，例如：n        能够无任何数据损失地还原为源文件；n        对做成文件有绝对控制权，防止二次泄密；n        支持所有通用文件格式；n        支持所有流行的操作系统；n        客户端适用于多种平台