谈谈计算机电子文档安全管理系统的设计.docVIP

谈谈计算机电子文档安全管理系统的设计 　　摘 要：现在大家谈论到信息安全，首先想到的就是病毒、黑客入侵，在媒体的宣传下，病毒、黑客已经成为危害信息安全的罪魁祸首。然而，对计算机系统造成重大破坏的往往不是病毒、黑客，而是组织内部人员有意或无意对信息的窥探或窃取。从技术上来讲，内部人员更易获取信息，因为内部人员可以很容易地辨识信息存储地，且无需拥有精深的IT知识，只要会操作计算机，就可以轻易地获取自己想要得资料，相对而言，黑客从外部窃取资料就比较困难，首先，他们要突破防火墙等重重关卡，其次，还要辨别哪些是他们想要的信息。 　　关键词：电子文档；泄密；传统控制方案；有效控制方案 　　一、电子文档泄密途径主要有以下几点 　　（1）通过软盘驱动器、光盘驱动器、光盘刻录机、磁带驱动器等存储设备泄密； 　　（2）通过COM、LPT端口、调制解调器、USB存储设备、1394、红外线等通讯设备泄密； 　　（3）通过邮件、FTP等互联网方式 泄密； 　　（4）接入新的通讯或存储设备，如：硬盘； 　　（5）通过添加打印机、使用网络打印机将资料打印后带出； 　　（6）通过便携式电脑进入局域网窃取信息，带离单位； 　　（7）随意将文件设成共享，导致不相关人员获取资料； 　　（8）将自己的笔记本电脑带到单位，连上局域网，窃取资料。 　　此外，还有很多其他途径可以被别有用心的内部人员利用以窃取资料。 　　二、传统解决方案的弊端 　　传统方案一：“我们已经部署了防火墙或专网” 　　防火墙或专网可以防止外部人员非法访问，但不能防止内部人员有意或无意地通过邮件或者移动存储设备将敏感文件泄露。 　　传统方案二：“我们给文档设置了访问口令” 　　口令并不能从根本上解决问题：先口令可以随着文档一起传播； 　　其次即使设置了口令只能简单的区分用户是否可以访问该文档，而不能限制用户对该文档的操作权限（如复制、另存和打印等操作）。 　　传统方案三：“我们安装内网安全管理系统封住电脑USB接口、拆掉光驱、软驱、内网与外网断开、不允许上互连网络 ” 　　文档的原始作者泄密；文档在二次传播的过程中失、泄密。 　　三、电子文档安全有效控制方案 　　为了更有效防止文件的非法访问和输入、输出。就需要一套合理有效的电子文档安全管理方案。以犯罪行为心里学为理论指导，以安全事件过程管理为主线，实现事前预防，事中控制，事后审计的安全管理。 　　1.制定周详的事前预防策略 　　（1） 控制信息传递途径，如通讯设备、存储设备； 　　（2） 通过网络接入保护，限制外来电脑接入局域网； 　　（3） 报警策略能够提示非法接入； 　　（4） 互联网信息传递阻断策略能够阻断非法信息传递。 　　2.对泄密行为事中记录和控制，并及时启动控制和报警策略 　　（1） 对泄密过程进行屏幕记录，方便现场查看，事后回放； 　　（2） 详尽的电子文档操作痕迹记录，包括访问、创建、复制、改名、删除、打印等操作，便于信息泄密事后追查； 　　（3） 集中审查终端共享，防止共享泄密行为。 　　3.详尽的日志信息，提高了事后追查的准确率 　　（1） 进行电子文档操作及屏幕记录； 转贴于 233网校论文中心 　　（2） 对互联网信息传递进行记录，便于信息泄密事后追查； 　　（3） 审计系统用户日志。 　　四、电子文档安全系统功能及技术阐述 　　1.禁用设备 　　程序功能：可按某台、某组或整个网络禁止使用哪些设备，包括：存储设备、通讯设备、打印设备、新加入的设备及其它属性。 　　管理作用：根据风险评估，制定事前预防策略，根据策略对相应的设备进行禁止，预防文件泄密。可以灵活的开启，不影响正常使用。 　　2.报警规则 　　程序功能：设置某个或某类文件的各种操作报警规则。 　　管理作用：对泄密者添加泄密设备（如：闪存、移动硬盘等）实现及时报警，对相应的文件或某个类型文件的操作实现及时报警，为安全事件发生后进行及时管理提供帮助。 　　3.网络端口管理（接入保护） 　　程序功能：通过设置禁用139和445端口，控制共享端口。 　　管理作用：可根据需要灵活的设置外来计算机跟网内计算机的通讯方向。 　　4.网络共享 　　程序功能：可以及时查看和删除网络内任意计算机的网络共享文件夹。 　　管理作用：员工往往因为工作需要设置共享文件夹，却容易被别有用心的员工或外来计算机窃取。 　　5.文档操作 　　程序功能：可以详细的记录每个员工在本机及网络上操作过的文件，包括访问、创建、复制、移动、改名、删除、恢复以及文档打印等记录。 　　管理作用：让泄密行为的痕迹得到监控，为泄密行为的事中发现，事后追查提供了帮助，弥补了电子文档安全管理中的最薄弱环节。