地质资料安全管理技术研究与实践.docVIP

地质资料安全管理技术研究与实践 　　摘要：随着信息化时代的到来，数据安全面临着越来越大的挑战。地质资料做为各大油公司的重要资产，如何既最大限度地提供便捷的利用途径，又有效地防止数据未经授权的外泄与扩散，是摆在我们面前的一个急需解决的问题。本文针对地质资料中文档、图件类数据结合文档防扩散技术及水印技术的应用，保障资料数据安全。 　　关键词：地质资料 数据安全 文档防扩散 　　中图分类号：TP315 文献标识码：A 文章编号：1007-9416（2014）04-0187-01 　　1 数据外泄的背景分析 　　《InformationWeek》研究部和埃森哲咨询公司合作进行的第十年度“全球信息安全调查”显示，美国1，101位受访者中的三分之二和中国1，991位受访者中的89%觉得针对公司内部数据的丢失与偷窃问题是企业所面临的最大安全挑战而且现状不容乐观。公司数据的移动设备的丢失和被窃、通过U盘以及打印输出内部???据、通过即时通信软件外发内部文件等，公司对这些安全隐患还普遍缺乏防范措施，而且现实中已有大量案例发生，对企业的知识产权、商业机密、信用信誉形成严重威胁，所照成的损失不可估量。 　　2 目前的一些解决方案 　　2.1 网络准入控制（NAC）方案 　　网络准入控制是一项由思科发起、多家厂商参加的计划，其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借助NAC，客户可以只允许合法的、值得信任的终端设备（例如PC、服务器、PDA）接入网络，而不允许其它设备接入。 　　优点：控制范围大――它能够检测主机用于与网络连接的所有接入方法，包括园区网交换、无线接入、路由器WAN链路、IPSec远程接入和拨号接入； 　　2.2 基于微软的AD域控管理的方案 　　Active Directory（AD）的结构是一种由对象构成的分级框架结构。其中的对象分为三大类――资源（如印表机）、服务（如电子邮件）、和人物（即帐户或用户，以及组）。AD提供这些对象的信息，组织这些对象，控制访问，并且设置安全等级。 　　微软基于AD的域模式，最大的优点是实现了集中式管理。AD是一个大的安全边界，用户只要在登录时验证了身份，这个域林中所有允许访问资源都可以直接访问，不用再做身份验证，也提高的效率减少了维护成本。 　　上述解决方案，在对防止数据外泄方面起到很好的预防作用，但是无法做到对数据外泄后的追根溯源和降低企业损失。 　　3 地质资料数据现状分析 　　地质资料中成果报告及图件图册数据多以PDF、TIF、JGD、word、excel等格式文件为主。由于上述文件均可通过数字化手段转化为PDF文件，所以如何防止PDF格式文件的泄露成为重中之重。 　　笔者结合上述解决方案及我院地质资料全文数据库的数据现状，提出一套：基于微软AD域用户认证结合文档防扩散技术和水印技术的解决方案，并实现下述三个目标：（1）实现按企业内部用户和外部用户做到灵活授权；（2）实现文档阅读期限限制；防止PDF被拷贝到未授权机器上阅读；过期文件自动销毁。（3）实现电子文档泄露后的追根溯源。 　　4 关键技术 　　4.1 PDF文档防扩散技术及水印保护技术 　　为实现该技术，首先，笔者对PDF文档结构进行了分析： 　　PDF的文件结构（即物理结构）包括四个部分：文件头、文件体、交叉引用表和文件尾。 　　（1）文件头指明了该文件所遵从的 PDF规范的版本号。它出现在 PDF文件的第一行。如%PDF-1.2，表示该文件符合PDF-1.2规范。 　　（2）文件体由一系列的PDF间接对象（InDirect object）组成。这些间接对象构成了PDF文件的具体内容如字体、页面、图像等等。 　　（3）交叉引用表则是为了能对象接对象进行随机存取，而设立的一个间接对象地址索引表。 　　（4）文件尾声明了交叉引用表的地址，指明文件体的根对象（catalog），还保存了加密等安全信息。根据文件尾提供的信息，PDF的应用程序可以找到交叉引用表和整个PDF文件的根对象，从而控制整个PDF文件。 　　针对该结构，笔者提出将该技术的实现分为两部分组件：服务器端组件和客户端组件。 　　具体机制如图1： 　　4.2 服务器端 　　通过调用Adobe公司提供的针对PDF文件格式的程序接口，对PDF文件进行加密，并针对管理员对该用户的授权内容增加阅读许可证，对PDF内容增加水印。 　　许可证中包含：阅读时限、本地机器ID等信息。 　　水印包含：用户姓名，下载日期等信息。 　　4.3 客户端 　　当用户打开PDF对PDF文件进行解密，读取许可证等信息，判定是否符合许可证内容，如相符则打开PDF文件，如不符则删除该文件。 　　5 实施效果 　　pdf文件通过文档