王东海 河北旭阳焦化有限公司 073000
摘要 信息资产是由政府或企业拥有的信息资源。以多种形式存在,其本质是作为一种资源参与政府或企业的活动,增加办公效率或带来经济利益。信息资产以数据为主可划分为两类:财务报表、项目合同、客户资料、电子公文等文档文件型数据;电子邮件、网上支付、电子交易、财务人事等业务系统产生的交互式动态数据;这些数据一般存储在个人电脑当中,或者通过个人电脑进行网络间的信息交互。
关键词 信息 资产保护 技术
1.信息资产保护现状
在激烈竞争的市场环境中,信息资产的安全问题至关重要,由于信息数据高附加值和传播的低成本性。使信息资产在使用过程中产生很高的风险性,任何企业都没有理由将自己的信息资产暴露在危险面前。
需求分析
存储信息的个人电脑保护措施不到位、文档无法实现访问控制以及数据信息经常又以明文处于公共的介质中或处于流动状态,从而导致企业拥有和控制信息资产的安全性很差。
那么下面针对信息资产安全进行需求分析:
针对个人电脑的安全需求个人电脑是用户接触信息资产的第一媒介,其安全性应该放在第一位。多人共用一台电脑时,可随意访问电脑上其他用户的信息,个人隐私没有保障。针对文档型数据的安全需求重要的信息一般都是以文档形式存储在个人电脑。针对交互式动态数据的安全需求电子交易、网上业务系统数据交互越来越频繁,网络上传输的数据安全性成为目前迫切需要解决的问题。传输交互数据全是明文,如在中途遭到拦截无法保证数据安全性;如何保证接收、发送的交互数据完整性;如何保证数据来源真实性;如何鉴别数据在传输过程是否被篡改。
针对电子签章需求
随着信息化参与政府和企业活动的不断增多,电子公文作为一种方便快捷的传递方式普遍为政府和企业所青睐,但电子公文只能以普通电子文本形式传递有诸多缺陷不能向传统公文盖章以示其权威性、法规性;并且在明文传递过程很容易被截获;如果经非法人员修改公文也无法辨认。
总体方案设计
从信息资产的整个需求分析来看,我们将按照不同的需求设计相应的方案,这些方案也可根据需求进行组合使用:终端防护方案;文档安全方案;数据保护方案;电子签章方案。
设计原则
建立统一的信任体系
利用公开密钥基础体系的数字证书技术,标识虚拟世界用户身份。
数字证书就是标志计算机用户、及网络用户身份信息的一系列数据,用来在通讯中识别各方的身份,即要在虚拟世界里解决"我是谁"的问题,就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样,以表明我们的身份或某种资格。
数字证书是CA中心签发,用户可自建CA证书签发中心或由权威公正的第三方机构CA中心签发证书。
终端加固。在数字证书信任体系基础上建设一系列围绕终端安全防护设施,对存储信息的终端设备,实行双因子认证登录方式加固终端安全,并且对终端设备存储重要文件进行加密存储。
数据保护。
期刊文章分类查询,尽在期刊图书馆利用数据证书非对称加密技术对存储或传输的数据进行加密和解密、数字签名和签名验证操作,确保传递信息的机密性、完整性,以及实体身份的真实性,签名信息的不可否认性,从而保障数据的安全。
对于使用信息资产行为进行审计,利于出现问题后可追溯。
方案整体围绕信息资产安全需求,以数字证书为信任体系基石,将“终端防护、文档安全、数据保护、电子签章”四个方案组成保护体系,为信息资产提供安全保护,上述四个方案也可按照相关需求进行组合形成新的方案。
终端防护方案。双因子认证用户只有插入绑定数字证书的USBKey并且输入PIN码才可以登录系统,两者缺一不可,从而大大增加了终端的安全性;文件保险箱作为公共终端来说,每个用户可以设置自己的文件保险箱对重要数据进行加密存储,其他人无法打开保险箱从而保护个人隐私;统一管理每个客户端的安全策略由服务器统一下发管理方便快捷;审计信息用户行为审计。
文档安全方案。文档加密从文档建立到传输全是密文,即使丢失也可以保护文档安全;文档授可设置相应用户对文档操作权限,只读、编辑、拷贝权限等;文档控制可控制文档打印次数、文档与终端或U盘绑定控制,文档使用期限等;行为审计对所有操作文档记录进行审计,便于事后审计。
数据保护方案。对于电子支付、电子邮件、电子交易等业务系统流动传输数据进行签名操作。为了保证此数据来源真实性、完整性、接收方在接到数据后可进行验证签名以证实来源真实性,完整性和不可抵赖性,如传输过程数据被篡改,验签会提示数据经过修改。
电子签章方案
总体功能
终端防护。为用户提供高强度数据安全保护的桌面应用软件,将硬件加密设备(USB Key)、数字证书技术、操作系统登录与高强度加密技术结合,从操作系统的安全登录、数据的安全存贮及数据安全交换等方面为终端用户提供一个高强度高强靠性的安全环境
文档安全。可以保证公司内部文档(包括Office文档,设计图纸,软件源码,账务报表,战略计划等等)安全、正常、高效的流通。 根据公司的文档重要级别不同,可以选定文档加密并且授权给相应人员查看,包抱:修改,只读,打印,复印,外带,甚至期限的控制等等。 可设置文档与终端机的或U盘的绑定,脱机查看等,另外设备丢失也不会使信息外泄。可设置离线查看或发送给合作伙伴文件的授权功能。
数字保护。提供基于数字证书签名技术,主要用来保障信息的完整性、私密性以及不可否认性。数据在进行传输前可签名或加密处理,接收方经过验签获得对方身份信息,确认信息来源真实性。
经过签名后的数据,如经过修改那么在验签时会提示失败,表示数据经过更改。已发送经过签名的数据方,不能否认自己的动作,因为只有发送信息本人才可以进行签名动作。
电子签章。通过数字签名保证文件或公文流转的安全可靠,在网络环境中实现了对电子文档的盖章和验章功能。全面支持Office、WPS、PDF、CAD、TIFF、各种网页和图片等几乎所有文档格式的电子印章和手写签名。记录印章的所有操作日志,并提供强大的审计和查询功能。支持手写,采用数字签名技术,防止笔迹伪造与抵赖,安全可靠。印章可存储在服务器或钥匙盘中,提供灵活的印章存储方式方案总体特点与价值
方案的特点:基于PKI安全技术体系PKI(Public Key Infrastructure ) 即“公开密钥体系”,是一种遵循既定标准的密钥管理平台,能够为数据信息提供加、解密和数字签名等密码服务。简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施,是信息安全技术的核心。虚拟用户与现实人员绑定通过利用基于PKI技术的数字证书,将使用终端或业务系统的用户与现实身份绑定,加固信息安全的同时更利于管理。细粒度授权可实现对单个文件或某一类型文件进行授权管理,如:对某一文件设置防拷屏功能,但对其它文件进行拷屏操作是没有影响的,而不是将设备终端的拷屏功能锁死,最大限度为用户提供细粒度授权功能。方案设计模块化将整个方案划分为终端防护、文档安全、数据保护、电子签章四部分,彼此相互联系又相对独立,可按照实际用户需求组合形成新的方案。安全防护整体化方案设计的安全防护,从用户登录开始进行身份验证、通过后在访问业务系统或操作文档时,只能在用户访问控制权限范围内操作,即使脱离网络范围也是安全的,用户传送给业务系统数据是经过加密和签名处理,防泄漏、防篡改、防抵赖,用户所有操作的行为记录会生在审计信息。便于管理。
总结方案的价值:终端更安全对于使用终端的用户,只有经过双因子身份认证(USB Key +Pin码)才可以登录终端,两者缺一不可。文档更放心对于业务系统或终端内的文档信息,可进行针对人员的访问控制设置,包括:文档的浏览、拷贝、打印、移动等操作。数据更保密数据传输过程经过加密和签名处理,如果信息泄漏对方得到的信息也是密文,没有密钥也无法进行解密。同时可以通过验证签名查看数据是否被篡改。公文更美观但解决了电子公文传输安全性的问题,而且也同传统文件盖章样式一样,即安全又美观。
论文作者:王东海
论文发表刊物:《中国科技教育·理论版》2013年第11期供稿
论文发表时间:2014-1-9
标签:数据论文; 信息论文; 终端论文; 文档论文; 方案论文; 资产论文; 用户论文; 《中国科技教育·理论版》2013年第11期供稿论文;