安全生產(chǎn)工作是一項(xiàng)系統(tǒng)工程。不僅包括各類生產(chǎn)過程中因電、水、人等因素造成的行為安全事故，也包括在作業(yè)過程中數(shù)據(jù)泄露等問題。行政部門文件泄密如今已不是什么新鮮事，特殊行業(yè)如基礎(chǔ)測繪、大型工程設(shè)計(jì)等在生產(chǎn)過程中的數(shù)據(jù)文件保密工作已成為一項(xiàng)安全生產(chǎn)任務(wù)，國家也相應(yīng)制定了相關(guān)的數(shù)據(jù)保護(hù)法案。

    由于企業(yè)機(jī)密數(shù)據(jù)泄漏不僅會(huì)給企業(yè)帶來經(jīng)濟(jì)和無形資產(chǎn)的損失。而且如果這些泄漏的機(jī)密數(shù)據(jù)是一些與人們密切相關(guān)的隱私信息，例如銀行賬號、身份證號碼等，還會(huì)帶來一系列的社會(huì)問題，成為安全隱患。

    安全管理的對象不僅是物和環(huán)境，更重要的對象是人。安全管理也不是只靠少數(shù)專、兼職安全管理人員就能做好的，而是要靠全員全面、全過程的嚴(yán)密管理。

    目前，由于企業(yè)需要加密的信息范圍很廣，使用的數(shù)據(jù)加密系統(tǒng)也各不相同，中小企業(yè)沒有足夠的人力和有效的監(jiān)控軟件來管理這些信息，以及處理信息使用過程中出現(xiàn)的問題，更何況在數(shù)據(jù)加密方案的部署過程中還會(huì)涉及其他許多安全問題。數(shù)據(jù)加密不易部署和管理。會(huì)大大降低部署加密方案的成功率。廣西國土測繪院在數(shù)據(jù)生產(chǎn)過程中部署相應(yīng)的數(shù)據(jù)加密方案用以解決機(jī)密數(shù)據(jù)泄漏問題，筆者就控制數(shù)據(jù)泄密工作作簡要探討。

    部署數(shù)據(jù)加密解決方案的步驟：

    ①確定加密日標(biāo)、選擇加密技術(shù)和產(chǎn)品。

    ②編寫數(shù)據(jù)加密項(xiàng)目的規(guī)劃和解決方案。

    ③準(zhǔn)備、安裝和配置加密軟件或硬件。

    ④測試數(shù)據(jù)加密解決方案和最終使用。

1 產(chǎn)品分析

    數(shù)據(jù)加密產(chǎn)品可以分為3類：

    ①文件，文件夾加密產(chǎn)品，此類軟件通常是用戶自己操作需要加密的文件或文件夾，如TrueCrypt、Axcrypt、Cryptainer LE、Blowfish Advced CS個(gè)人版和Free OTFE等。這類產(chǎn)品的缺陷是不能對臨時(shí)文件和交換空間進(jìn)行加密。

    ②全盤加密(FDE技術(shù))產(chǎn)品，此類產(chǎn)品主要針對整個(gè)硬盤或某個(gè)卷，如賽門鐵克推出的EndpointEnryption 6．0全盤版、McAfee的Total Protection for Data、PGP全盤加密，免費(fèi)的TrueCrypt也具有全盤加密功能。通常此類方案是在系統(tǒng)啟動(dòng)時(shí)就進(jìn)行加密驗(yàn)證，沒有授權(quán)的用戶，如果不提供正確的密碼，就不可能繞過數(shù)據(jù)加密機(jī)制獲取系統(tǒng)中的任何信息。這類產(chǎn)品的缺陷是加密速度較慢，特別是對一些容量較大的文件，密碼被竊取后所有的文件都會(huì)泄漏，且在磁盤發(fā)現(xiàn)故障或者錯(cuò)誤時(shí)。數(shù)據(jù)無法被恢復(fù)。

    ③智能加密產(chǎn)品，此類產(chǎn)品允許管理員指定加密文件的具體類型，例如電子表格或文本文件及某些具體應(yīng)用產(chǎn)品，例如GIS、AucoCAD等專業(yè)軟件。智能加密技術(shù)確保指定的文件類型或應(yīng)用類型都能被加密．而不需要關(guān)心文件是否存在某個(gè)指定的文件夾或者磁盤，并且不會(huì)干擾備份和恢復(fù)等程序的運(yùn)行。

2 實(shí)施方案

    廣西國土測繪院以測繪及勘測設(shè)計(jì)類業(yè)務(wù)為主，數(shù)據(jù)的編輯和應(yīng)用涉及國家坐標(biāo)系統(tǒng)，以及基礎(chǔ)地理數(shù)據(jù)的應(yīng)用，數(shù)據(jù)遵循《中華人民共和國測繪成果管理?xiàng)l莎必和伽J繪成果保密管理?xiàng)l鋤條款，數(shù)據(jù)在生產(chǎn)的任何環(huán)節(jié)均受到約束，因此必須確定實(shí)施方案。對企業(yè)的需求、設(shè)備狀況等方面進(jìn)行分析，分析結(jié)果如下。

    （1)部署類型:作業(yè)過程中使用的各類測繪類應(yīng)用程序有:AutoCAD，MapGIS，Excrl，TXT文本及其生成的相關(guān)文件等。

    （2)部署范圍:數(shù)據(jù)存儲(chǔ)服務(wù)器、工作站、筆記本等可移動(dòng)的存儲(chǔ)設(shè)備。

    （3)部署人員:各生產(chǎn)部門的作業(yè)人員、系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、各部門主要負(fù)責(zé)人等。

3產(chǎn)品的選擇及應(yīng)用

    針對廣西國土測繪院生產(chǎn)涉密的特點(diǎn)，最終選擇智能加密產(chǎn)品，選購的是中國軟件和技術(shù)服務(wù)股份有限公司開發(fā)的中軟防水墻WaterBox系統(tǒng)。

    3.1軟件概況

    中軟防水墻WaterBox系統(tǒng)主要從以下幾個(gè)方面對終端桌面系統(tǒng)進(jìn)行管理。

    終端安全管理:按照企業(yè)終端計(jì)算機(jī)安全管理規(guī)定，對允許接入內(nèi)網(wǎng)的計(jì)算機(jī)進(jìn)行統(tǒng)一管理，配置終端計(jì)算機(jī)的安全策略，保證終端計(jì)算機(jī)的安全運(yùn)行。它包括安全策略管理、終端入網(wǎng)認(rèn)證、用戶身份認(rèn)證、網(wǎng)絡(luò)進(jìn)程管理、防病毒軟件監(jiān)測、補(bǔ)丁分發(fā)管理、臨時(shí)文件刪除和文件安全擦除。

    終端運(yùn)維管理:按照統(tǒng)一的安令策略監(jiān)控客戶端的運(yùn)行狀況，通過軟件自動(dòng)分發(fā)和軟硬件資產(chǎn)的統(tǒng)一管理，大大節(jié)約了企業(yè)信息系統(tǒng)的維護(hù)成本，通過系統(tǒng)遠(yuǎn)程幫助控制實(shí)現(xiàn)遠(yuǎn)程維護(hù)計(jì)算機(jī)，清除系統(tǒng)故障。它包括軟件分發(fā)管理、軟硬件資產(chǎn)管理、系統(tǒng)運(yùn)行狀況監(jiān)控和遠(yuǎn)程用戶幫助。

    用戶行為管理:通過控制信息外泄途徑的方式保護(hù)企業(yè)敏感信息的安全.防止用戶誤操作或違規(guī)行為泄漏企業(yè)的敏感信息。它包括網(wǎng)絡(luò)泄密管理、媒體介質(zhì)管理、打印機(jī)管理和硬件接口管理。

    數(shù)據(jù)安全管理:從多個(gè)方面和層次實(shí)現(xiàn)對用戶數(shù)據(jù)的安全管理。它包括:用戶桌面安全保險(xiǎn)箱.實(shí)現(xiàn)了終端用戶對個(gè)人、小組等需要防護(hù)的數(shù)據(jù)的主動(dòng)加密要求;安全文檔管理，該功能從底層實(shí)現(xiàn)了企業(yè)對某類型的敏感數(shù)據(jù)的強(qiáng)制加密要求;可信移動(dòng)存儲(chǔ)介質(zhì)管理，該功能幫助企業(yè)實(shí)現(xiàn)了對移動(dòng)介質(zhì)數(shù)據(jù)的防護(hù)，實(shí)現(xiàn)了外部的U盤進(jìn)來用不了，里面的U盤出去不能用。

    終端接入管理:通過終端接入認(rèn)證和非法主機(jī)掃描實(shí)現(xiàn)對接入網(wǎng)絡(luò)的客戶端進(jìn)行認(rèn)證，認(rèn)證通過的可以連接網(wǎng)絡(luò)，對通過其他非法途徑進(jìn)入網(wǎng)絡(luò)的非法主機(jī)，掃描工具發(fā)現(xiàn)后警告。

    系統(tǒng)的體系結(jié)構(gòu)如圖1所示。

    ①客戶端:安裝在受保護(hù)的終端計(jì)算機(jī)上，實(shí)時(shí)監(jiān)測客戶端的用戶行為和安全狀態(tài)，實(shí)現(xiàn)客戶端安全策略合規(guī)性管理。

    ②服務(wù)器:安裝在專業(yè)的數(shù)據(jù)服務(wù)器上，需要數(shù)據(jù)庫的支持。通過安全認(rèn)證建立與多個(gè)客戶端系統(tǒng)的信任連接，實(shí)現(xiàn)客戶端策略的存儲(chǔ)和下發(fā)及日志的收集和存儲(chǔ)。

    ③控制臺:人機(jī)交互界面是管理員實(shí)現(xiàn)對系統(tǒng)管理的工具。通過安全認(rèn)證建立與服務(wù)器的信任連接，實(shí)現(xiàn)策略的制定下發(fā)及數(shù)據(jù)的審計(jì)和管理。

圖1 體系結(jié)構(gòu)圖

    3.2軟件試運(yùn)行情況

    3.2.1測試環(huán)境

    服務(wù)器配置:CPU為P41.3G，內(nèi)存為640M，40G硬盤.操作系統(tǒng)為windows server 2003 sp1。

    客戶機(jī)配置:CPU為迅馳1.5C，內(nèi)存為786M，1206硬盤.操作系統(tǒng)為windows xp sp3。

    3.2.2軟件需求

    (1)數(shù)據(jù)庫軟件:SQL Server 2000或SQL Serve 2005(選用)。

    (2)Java虛擬機(jī)j2re-1_4_2_06。

    (3)dotnetfx-Microsoh .NET Framework Version 2.0。

    3.2.3軟件運(yùn)行情況

    打開服務(wù)器端�？刂婆_界面如圖2所示。

    (1)文件進(jìn)程加密:下達(dá)“AutoCad進(jìn)程監(jiān)控”策略，并應(yīng)用至客戶機(jī)，在客戶機(jī)上打開CAD文件，編輯并保存文件，此時(shí)文件被自動(dòng)加密，并且其生成的臨時(shí)文件也會(huì)被加密，文件在有許可客戶端的筆記本上可以被正常打開，將文件拷貝至其他沒有加密策略及未安裝客戶端的計(jì)算機(jī)上時(shí)，無法正常打開該文件，系統(tǒng)提示“無效文件錯(cuò)誤”(如圖3、圖4所示)。

    (2)外部接口管理:在“外設(shè)接口控制”策略中，提供了包括筆記本獨(dú)特接口的一些接口控制，如PCMCIA、藍(lán)牙、無線網(wǎng)絡(luò)等，均在可控制范圍內(nèi)(如圖5所示)。

圖2控制臺界面圖 

圖3文件進(jìn)程加密界面圖

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：數(shù)據(jù)安全在安全生產(chǎn)工作中的應(yīng)用(上)

本文網(wǎng)址：http://www.oesoe.com/html/support/1112158323.html