在网络相关业务和应用爆炸式发展的今天,随着速度越来越快的信息流转,电子信息在现代社会信息资源中被广泛应用,电子信息易复制,易修改,现代企业在长期的应用中,积累的电子信息数据存储量大,操作模式自由,传播途径广泛,存储分散,后期追溯性差,管理者无法进行统一管理,这种无序的状况有可能造成核心资料的遗失、泄露,也为企业信息安全埋下隐患。随着存储成本的一降再降、以及分析技术的不断进步,数据挖掘成为可能,推动大数据产生巨大价值,使安全体系可以识别更具隐蔽性的攻击、入侵和违规。电子信息集中管控能有效地保护电子信息在全生命周期内的安全、完整、可使用和不泄密。在管理方式上,采用数据透明加解密防护、分组分级授权,外加身份认证,审批,流转,审计等方法,实现电子信息的全面管控。
网络安全技术与应用杂志应当是对具体网络安全技术及其应用的解释和概述,而不应当只是一本书的“内容简介”。全书共分11章。第1章和第2章介绍了网络安全基础知识;第3章简要介绍了密码学基础;剩余的8章主要对现有的网络安全技术,包括身份认证、防火墙技术、入侵检测技术、加密技术等进行了详细的讨论。本书可以作为高等院校信息安全、通信、计算机等专业的本科生和研究生教材,也可以作为网络安全工程师、网络管理员的参考用书,或作为网络安全培训教材。
1 、电子信息所面临的六大挑战
电子网络时代用户所有的设备都内置了智能芯片和操作系统,而成为智能终端,伴随企业信息的安全面临六大挑战。第一,随着各种电子设备“接入点”的不断增多,传统的安全防护已经不能胜任;第二,互联网、云计算是所有企业转型和升级的必然;第三,透明人时代到来,用户隐私安全更受到关注;第四,智能设备,等于更多的远程控制的安全问题;第五,大数据的安全一旦被攻破,其后果损失不堪设想;第六,云时代的到来,机器会产生自我意识,通过云实现的设计、制造和自主行为,后果将是可怕的威胁。
因而业界认为的大数据安全3个原则,首先是,用户信息的安全,必须明确信息的所有权;其次,安全传输,安全存储,是企业的责任,必须提升企业自身安全防护水平;再次,使用用户的信息,要让用户有知情权选择权,平等交换、授权使用。
2 、信息安全关键技术
2.1 虚拟磁盘技术
在系统中创建一个或多个虚拟的磁盘。虚拟磁盘和真实磁盘上的电子信息一一对应,通过读写信息中相应偏移量的数据来读写虚拟磁盘扇区。对所有数据在保存前经过高强度加密,密钥由用户自主加密。但为了防止用户密钥丢失,要提供紧急恢复功能,且只有管理员可以使用系统惟一的USB-KEY来恢复数据。通过虚拟磁盘技术集中存储,采用磁盘加密,形成虚拟安全工作区,用户信息本身就具有了一定的安全性。
2.2 基于透明加解密的涉密电子信息集中存储技术
实际应用中虚拟磁盘存储技术还存在一些缺陷:如:未能保证电子信息的安全;也无法对电子信息进行细粒度的权限控制;缺乏完整的电子信息安全解决方案。针对以上问题,集中存储电子信息还需加强管控:用户身份管理,集中加密存储,权限控制,审批流转,自动备份,信息外发管理及强大日志审计分析。
(1)用户身份管理。加强终端使用者的身份认证,包括用户访问授权、口令认证,UKEY双因子认证等不同的认证强度,来确保终端使用者的身份,并且可以与AD域账户同步管理,通过对用户身份的规范化管理,从而系统的管理终端使用者对计算机外设、网络及敏感数据的使用权限,开放式的数字认证接口,设置不同要求的保密安全级别。
(2)信息集中加密存储。在终端的本地计算机中,不存储任何形式的文件信息,所有信息均自动加密并集中保存至文件服务器中管理。存储到服务器中的信息,使用CBC(密码分组链接)模式外加扩散器算法进行加解密,该算法使得改变一个扇区中任何一个字节数据,都完全重写整个扇区的密文,有效抵抗“明文攻击”等破解手段。同时,加密策略(算法、密钥和加密文件的指定)内置在透明加密技术平台中,由系统管理员统一集中管理,文件操作者无权获取或更改。透明加解密具有强制性和透明性的特征:
①强制性:所谓透明加密的实质就是人为的强制加密。其一,认为需要保密的信息,一律加密,加密与否取决于信息本身的内容,于信息始作者性质无关,于操作者的责任心和保密意识无关;其二,经过加密的信息只有授权条件中才能打开使用,否则,信息以密文的形式打开。任何无权限的人无法有意或无意泄露机密信息。
②透明性:所谓透明加解密即是指系统在后台自动执行操作,用户身份确认后无需参与,与无密操作无任何差别。透明化功能的具体实现过程只在内存中进行,合法用户使用时毋须对信息进行解密,系统对来访进行策略判断,自动对信息进行操作。所有这些过程都是在内存中进行,信息的合法用户是感觉不出这些过程的,所以对合法用户来讲是“透明”的。例如,策略要求对Word文档强制加密,那么用户只要将信息存入加密磁盘介质,信息就一定是加密的;当合法用户从磁盘上读出信息进行编辑时,信息自动地被解密,以便其正常操作。
(3)用户权限控制。根据分组、角色、用户或IP等对用户进行身份管理,设置权限,对所有文件服务器中存储的信息,均进行细粒度的权限管理。只有被允许的用户,才能获得明文数据,否则,拒绝服务。同时,可以对某些用户设置特殊访问权限,使其可以访问某些或所有用户的加密信息。同时,系统对各用户权限可以进行控制,包括访问口令是否可修改、使用次数限制、使用范围控制、使用时间间隔、动态打印模式等,对已经分配权限的电子信息,其使用权限也可以进行动态调整。
(4)公文审批流转。集中存储的电子信息均受控于权限。用户操作权限范围内信息。如需访问范围外信息,提出申请通过审批工作流,对信息进行主动授权,同时指定具体的使用权限(只读、允许修改、允许打印模式、使用期限,是否记录使用日志等), 通过在线审批或离线申请来完成实现信息的安全流转。
(5)统计审计分析。是整个电子信息安全体系中是重要的一环,通过对用户的身份进行识别,管理用户的所有操作行为,根据用户的权限,进行访问控制、安全审计,日志审计是信息安全建设中最后也是最重要的步骤,如用户通过身份认证后访问文件服务器的行为,公文审批的流程,公文审批流转管理,均有日志记录,便于统计分析。同时,对于核心信息的流转过程,用户对该信息进行了哪些操作,系统均可追踪。
(6)环境隔离。对集中管控的电子信息软件使用智能文件重定向技术,结合虚拟磁盘和信息访问控制技术,进行安全环境与普通环境下的信息隔离。安全环境内的应用程序无权对普通环境下的数据执行写操作。同时,普通环境中的应用程序绝对禁止访问虚拟磁盘。保证安全环境和普通环境的电子信息隔离(即安全环境下的数据是“只进不出”的),智能文件重定向技术能保证不影响两种环境中应用程序的正常使用。
3 、结语
在电子信息急剧膨胀的网络世界里,使合法用户能够在不知不觉中,信息得到有效的管理和保护,该技术在不增加用户成本投入及性能消耗的基础上,以透明加解密为核心,解决信息集中存储,访问控制等一系列安全管理问题,于无声处保护用户的信息安全。
转载请注明来自:http://www.lunwencheng.com/lunwen/dzi/10417.html
