企業(yè)局域網(wǎng)中數(shù)據(jù)存儲(chǔ)與轉(zhuǎn)發(fā)中的安全部署論文

　　引言

　　在企業(yè)局域網(wǎng)中，信息泄密是令企業(yè)老總和 CIO 們十分頭痛的問題。數(shù)據(jù)被泄密的途徑很多，數(shù)據(jù)流動(dòng)是個(gè)主要的方面，在企業(yè)中數(shù)據(jù)流動(dòng)的主要形式是局域網(wǎng)中存儲(chǔ)和分發(fā)。那如何從存儲(chǔ)和分發(fā)的角度來保護(hù)數(shù)據(jù)在流動(dòng)中的安全呢?筆者結(jié)合自己的工作實(shí)際和大家探討企業(yè)局域網(wǎng)中數(shù)據(jù)存儲(chǔ)和轉(zhuǎn)發(fā)中的安全部署。

　　1 數(shù)據(jù)保護(hù)策略和技術(shù)

　　1.1 制定數(shù)據(jù)保護(hù)策略

　　作為企業(yè)的 CIO，要根據(jù)企業(yè)對信息安全的需求，制定數(shù)據(jù)安全策略，這些策略主要是:保護(hù)敏感的信息避免被未經(jīng)授權(quán)的用戶訪問或共享;不僅控制數(shù)據(jù)訪問也控制如何使用和分發(fā)數(shù)據(jù)的能力，提供立體的全方位的數(shù)據(jù)保護(hù);規(guī)定數(shù)據(jù)生命周期，對于過期的數(shù)據(jù)釆取相應(yīng)的安全措施，防止垃圾數(shù)據(jù)滯留或被非法獲取;企業(yè)中要合理地對移動(dòng)介質(zhì)中的敏感文件采取保護(hù)策略，數(shù)據(jù)必須被加密，防止存儲(chǔ)介質(zhì)丟失后造成數(shù)據(jù)的泄露;企業(yè)中的電腦和服務(wù)器中的數(shù)據(jù)，應(yīng)該提供物理層面的縱深保護(hù)，防止數(shù)據(jù)的泄密。

　　1.2 數(shù)據(jù)的縱深保護(hù)

　　制定數(shù)據(jù)保護(hù)的策略后，就應(yīng)該考慮如何在技術(shù)上進(jìn)行部署，這種保護(hù)技術(shù)應(yīng)該是縱深的、立體的，大致應(yīng)有如下的加密要求:

　　基于軟件的加密，利用系統(tǒng)提供的或者第三方軟件進(jìn)行文件的加密;基于硬件的加密，從硬件的角度加固數(shù)據(jù)的安全性;啟動(dòng)前加密，數(shù)據(jù)的保護(hù)從操作系統(tǒng)啟動(dòng)時(shí)就開始，以防系統(tǒng)被劫持，造成數(shù)據(jù)的泄密;啟動(dòng)后加密，杜絕在進(jìn)入系統(tǒng)后，信息被非法利用，造成泄露;應(yīng)用程序級加密，比如利用 Office的加密功能對數(shù)據(jù)進(jìn)行加密處理;文件(文件夾)級加密，有針對性地對敏感文件進(jìn)行系統(tǒng)級(EFS)的加密保護(hù)措施;全卷加密，就某個(gè)卷中的所有文件進(jìn)行加密保護(hù);按用戶加密，文件的權(quán)限與用戶相關(guān)，預(yù)防不被授權(quán)的用戶非法利用數(shù)據(jù)，造成數(shù)據(jù)的泄密。

　　1.3 數(shù)據(jù)保護(hù)技術(shù)

　　基于以上數(shù)據(jù)保護(hù)的策略和縱深保護(hù)的要求，可以釆取如下的解決方案:

　　RMS:基于策略和定義實(shí)現(xiàn)的文檔內(nèi)容保護(hù)，防止信息被越權(quán)、超地域范圍使用。

　　EFS:用戶文件的加密，防止非授權(quán)用戶非法獲得數(shù)據(jù)，造成數(shù)據(jù)的泄密。

　　BitLocker:基于硬件實(shí)現(xiàn)的物理加密措施，數(shù)據(jù)安全與物理硬件相關(guān)，防止數(shù)據(jù)外漏。

　　2 解決方案及其具體應(yīng)用

　　2.1 RMS(RightsManagementService)方案

　　RMS 的主要特點(diǎn)，權(quán)限伴隨文檔，規(guī)定信息使用的權(quán)限和條件，并且權(quán)限信息加密。它的應(yīng)用領(lǐng)域，保護(hù)企業(yè)環(huán)境下的電子郵件通信，防止用戶非法轉(zhuǎn)發(fā);強(qiáng)制實(shí)施文檔權(quán)限，未經(jīng)授權(quán)，該文檔就不能修改、復(fù)制，不能打印、分發(fā)，即使拷貝出去，也不能打開。RMS 還可以按用戶區(qū)分權(quán)限，防止未授權(quán)者查看，加密受保護(hù)的內(nèi)容，提供內(nèi)容過期，按信息內(nèi)容、用途控制為閱讀、轉(zhuǎn)發(fā)、保存、修改或打印、將保護(hù)擴(kuò)展到初始發(fā)布位置以外的地方。使用 RMS 的目的在于，輔助行政和法律措施實(shí)施安全策略，防止失誤操作造成的信息泄露。

　　RMS 必須有應(yīng)用程序的支持，部署 RMS 服務(wù)器，然后與啟用 RMS 的應(yīng)用程序協(xié)作以避免數(shù)據(jù)未經(jīng)授權(quán)的使用�？梢钥刂莆臋n的打開、讀取、修改權(quán)限。office 文檔應(yīng)該是企業(yè)中主要的信息載體，通過 RMS 可以對文檔的打幵、閱讀、修改、分發(fā)及其日期進(jìn)行限定，杜絕數(shù)據(jù)因非法獲取而泄露。比如在企業(yè)中分發(fā)文檔時(shí)候，對文檔進(jìn)行控制，它的特點(diǎn)是權(quán)限隨著文檔走，對其的整個(gè)生命周期進(jìn)行管理。不管把文檔分發(fā)文秘站－您的專屬秘書！到任何地方去，文檔的權(quán)限始終和文檔捆綁在一起。另外，RMS 對于文檔權(quán)限的定義信息是加密的，這樣即使文檔被竊取，也無法打開。郵件的轉(zhuǎn)發(fā)也是企業(yè)中信息流動(dòng)的一個(gè)重要方面，RMS可以控制郵件的各種權(quán)限，比如可以預(yù)防文檔被非法或者無意轉(zhuǎn)發(fā)出去，造成數(shù)據(jù)的泄露。通 RMS 權(quán)限設(shè)置 word 文檔就不能被轉(zhuǎn)發(fā)，修改等。

　　當(dāng)然 RMS 也有缺陷，不能提供主動(dòng)抵擋攻擊者對系統(tǒng)的攻擊，也無法抵御模擬攻擊，如使用數(shù)碼相機(jī)或第三方屏幕拷貝、記憶傳播等。

　　2.2 EFS(EncryptingFileSystem)方案

　　EFS 提供 NTFS 分區(qū)中文件級別的加密技術(shù)，基于公鑰策略，使用公鑰/私鑰密鑰對文檔進(jìn)行加密。這種加密對用戶是透明的，它是用公鑰加密，用私鑰解密，安全性極高。使用智能卡上直接存儲(chǔ)的加密密鑰進(jìn)行 EFS 加密，基于向?qū)�將舊智能卡中的文件遷移到新智能卡中，啟用 EFS 時(shí)加密系統(tǒng)頁面文件，增加了新的“組策略’’選項(xiàng)。EFS 可以加密系統(tǒng)的頁面文件，這樣防止系統(tǒng)被脫機(jī)攻擊，造成 EFS 加密被破解。還可以選擇EFS 密鑰的長度強(qiáng)制加密“我的文件夾”。

　　EFS 的限制，如果用戶的私鑰丟失，則數(shù)據(jù)將永遠(yuǎn)丟失，私鑰很重要，千萬不能丟失。EFS 加密的強(qiáng)度非常高，私鑰丟失，文件無法打幵。因此要安全部署，防止惡意加密。比如，在企業(yè)中有這樣的員工，因?qū)ζ髽I(yè)不滿，在離幵前惡意加密了某些文件，然后把帳戶刪除，這樣就造成了數(shù)據(jù)的無法打開。

　　針對這種惡意的加密用以下兩個(gè)方法來解決:其一，修改注冊表，防止加密。其二，部署 DRA(數(shù)據(jù)恢復(fù)代理)。

　　在企業(yè)中基于數(shù)據(jù)的安全性考慮，應(yīng)用 EFS 方案要遵循這幾點(diǎn):部署盡可能少的 DRA;至少有一個(gè) DRA;DRA 使用后刪除私鑰;加密文件夾而不是單個(gè)文件。

　　EFS 加密是基于操作系統(tǒng)的，如果系統(tǒng)在啟動(dòng)前已經(jīng)被攻破的話，那他就沒法實(shí)現(xiàn)自己的功能，因此在數(shù)據(jù)縱深保護(hù)中下面這個(gè)環(huán)節(jié)非常重要。

　　2.3 BitLocker 方案

　　Windows BitLocker 驅(qū)動(dòng)器加密通過加密 Windows 操作系統(tǒng)卷上存儲(chǔ)的所有數(shù)據(jù)可以更好地保護(hù)計(jì)算機(jī)中的數(shù)據(jù)。

　　BitLocker 使用 TPM 幫助保護(hù) Windows 操作系統(tǒng)和用戶數(shù)據(jù)，并幫助確保計(jì)算機(jī)即使在無人參與、丟失或被盜的情況下也不會(huì)被篡改。

　　Windows 8.1 必定是未來系統(tǒng)的主流，在企業(yè)中部署Windows 8.1 就能在很大程度上加固數(shù)據(jù)的安全，防止泄密。

　　Windows 8.1 提供的 BitLocker 技術(shù)是基于硬件的加密技術(shù)，它能為計(jì)算機(jī)提供脫機(jī)數(shù)據(jù)和操作系統(tǒng)保護(hù)，很好地解決了對EFS 加密的脫機(jī)攻擊。另外 BitLocker 是一種全卷加密技術(shù)，能夠確保早期啟動(dòng)組件的完整性，能通過加密整個(gè)卷來幫助防止數(shù)據(jù)被盜或未經(jīng)授權(quán)查看。

　　BitLocker 很好地解決了企業(yè)環(huán)境下的來自于硬件的泄密，它給予數(shù)據(jù)

　　操作系統(tǒng)之下的安全屏障，啟動(dòng)時(shí)自動(dòng)提供解密密鑰，保護(hù)系統(tǒng)分區(qū)，保護(hù)用戶數(shù)據(jù)，保護(hù)注冊表，與操作系統(tǒng)無縫的集成，保護(hù)引導(dǎo)分區(qū)，杜絕離線攻擊，提供系統(tǒng)啟動(dòng)前蕋于數(shù)據(jù)的保護(hù)。

　　比如現(xiàn)代企業(yè)中每年都會(huì)淘汰一部分電腦，如果處理不當(dāng)，這部分電腦就成了信息的泄露源，利用 BitLocker 技術(shù)可以通過銷毀 RootKey 的方式快速地使電腦上的數(shù)據(jù)失效，防止了數(shù)據(jù)的泄露。系統(tǒng)啟動(dòng)故障，也容易造成數(shù)據(jù)的泄密，BitLocker 可以確保啟動(dòng)過程的完整性。因?yàn)樵谙到y(tǒng)啟動(dòng)時(shí)驗(yàn)證各個(gè)啟動(dòng)組件的完整性，防止對啟動(dòng)組件的惡意修改;任何以其他途徑啟動(dòng)，都無法訪問和修改被加密的系統(tǒng)卷;如果竊密者保護(hù)的卷做了改動(dòng)，會(huì)導(dǎo)致系統(tǒng)無法正常啟動(dòng)。桌面安全也是企業(yè)信息泄露的一個(gè)途徑，BitLocker 在離線狀態(tài)下保證系統(tǒng)和數(shù)據(jù)的安全，加密整個(gè) Windows 的安裝卷和其中所有用戶的數(shù)據(jù)，該卷在未正常啟動(dòng)的情況下不可讀。

　　在企業(yè)數(shù)據(jù)存儲(chǔ)和分發(fā)的流動(dòng)過程中，會(huì)面臨來自各方面的威脅。本文討論的 RMS、EFS、BitLocker 都是從技術(shù)的角度來保護(hù)數(shù)據(jù)的安全，防止泄密。要更好地保護(hù)企業(yè)的數(shù)據(jù)，只有技術(shù)和制度互相結(jié)合，才能發(fā)揮更大威力。

【企業(yè)局域網(wǎng)中數(shù)據(jù)存儲(chǔ)與轉(zhuǎn)發(fā)中的安全部署論文】相關(guān)文章：

淺談存儲(chǔ)局域網(wǎng)技術(shù)在數(shù)字圖書館中的應(yīng)用04-29

生活中的數(shù)據(jù)05-02

消防滅火救援中數(shù)據(jù)挖掘的應(yīng)用論文05-02

在數(shù)據(jù)中探究04-30

網(wǎng)絡(luò)營銷中數(shù)據(jù)挖掘技術(shù)的應(yīng)用論文11-27

大數(shù)據(jù)分析在互聯(lián)電網(wǎng)中的應(yīng)用論文05-02

信息管理中數(shù)據(jù)庫技術(shù)的研究論文05-02

信息管理中數(shù)據(jù)庫技術(shù)的應(yīng)用論文05-02

水利工程管理中數(shù)據(jù)挖掘技術(shù)的運(yùn)用論文05-02

數(shù)據(jù)整合技術(shù)在水利設(shè)計(jì)中的重要性論文04-30