企業(yè)局域網(wǎng)中數(shù)據(jù)存儲與轉(zhuǎn)發(fā)中的安全部署論文

　　引言

　　在企業(yè)局域網(wǎng)中，信息泄密是令企業(yè)老總和 CIO 們十分頭痛的問題。數(shù)據(jù)被泄密的途徑很多，數(shù)據(jù)流動是個主要的方面，在企業(yè)中數(shù)據(jù)流動的主要形式是局域網(wǎng)中存儲和分發(fā)。那如何從存儲和分發(fā)的角度來保護數(shù)據(jù)在流動中的安全呢?筆者結(jié)合自己的工作實際和大家探討企業(yè)局域網(wǎng)中數(shù)據(jù)存儲和轉(zhuǎn)發(fā)中的安全部署。

　　1 數(shù)據(jù)保護策略和技術(shù)

　　1.1 制定數(shù)據(jù)保護策略

　　作為企業(yè)的 CIO，要根據(jù)企業(yè)對信息安全的需求，制定數(shù)據(jù)安全策略，這些策略主要是:保護敏感的信息避免被未經(jīng)授權(quán)的用戶訪問或共享;不僅控制數(shù)據(jù)訪問也控制如何使用和分發(fā)數(shù)據(jù)的能力，提供立體的全方位的數(shù)據(jù)保護;規(guī)定數(shù)據(jù)生命周期，對于過期的數(shù)據(jù)釆取相應的安全措施，防止垃圾數(shù)據(jù)滯留或被非法獲取;企業(yè)中要合理地對移動介質(zhì)中的敏感文件采取保護策略，數(shù)據(jù)必須被加密，防止存儲介質(zhì)丟失后造成數(shù)據(jù)的泄露;企業(yè)中的電腦和服務器中的數(shù)據(jù)，應該提供物理層面的縱深保護，防止數(shù)據(jù)的泄密。

　　1.2 數(shù)據(jù)的縱深保護

　　制定數(shù)據(jù)保護的策略后，就應該考慮如何在技術(shù)上進行部署，這種保護技術(shù)應該是縱深的、立體的，大致應有如下的加密要求:

　　基于軟件的加密，利用系統(tǒng)提供的或者第三方軟件進行文件的加密;基于硬件的加密，從硬件的角度加固數(shù)據(jù)的安全性;啟動前加密，數(shù)據(jù)的保護從操作系統(tǒng)啟動時就開始，以防系統(tǒng)被劫持，造成數(shù)據(jù)的泄密;啟動后加密，杜絕在進入系統(tǒng)后，信息被非法利用，造成泄露;應用程序級加密，比如利用 Office的加密功能對數(shù)據(jù)進行加密處理;文件(文件夾)級加密，有針對性地對敏感文件進行系統(tǒng)級(EFS)的加密保護措施;全卷加密，就某個卷中的所有文件進行加密保護;按用戶加密，文件的權(quán)限與用戶相關(guān)，預防不被授權(quán)的用戶非法利用數(shù)據(jù)，造成數(shù)據(jù)的泄密。

　　1.3 數(shù)據(jù)保護技術(shù)

　　基于以上數(shù)據(jù)保護的策略和縱深保護的要求，可以釆取如下的解決方案:

　　RMS:基于策略和定義實現(xiàn)的文檔內(nèi)容保護，防止信息被越權(quán)、超地域范圍使用。

　　EFS:用戶文件的加密，防止非授權(quán)用戶非法獲得數(shù)據(jù)，造成數(shù)據(jù)的泄密。

　　BitLocker:基于硬件實現(xiàn)的物理加密措施，數(shù)據(jù)安全與物理硬件相關(guān)，防止數(shù)據(jù)外漏。

　　2 解決方案及其具體應用

　　2.1 RMS(RightsManagementService)方案

　　RMS 的主要特點，權(quán)限伴隨文檔，規(guī)定信息使用的權(quán)限和條件，并且權(quán)限信息加密。它的應用領(lǐng)域，保護企業(yè)環(huán)境下的電子郵件通信，防止用戶非法轉(zhuǎn)發(fā);強制實施文檔權(quán)限，未經(jīng)授權(quán)，該文檔就不能修改、復制，不能打印、分發(fā)，即使拷貝出去，也不能打開。RMS 還可以按用戶區(qū)分權(quán)限，防止未授權(quán)者查看，加密受保護的內(nèi)容，提供內(nèi)容過期，按信息內(nèi)容、用途控制為閱讀、轉(zhuǎn)發(fā)、保存、修改或打印、將保護擴展到初始發(fā)布位置以外的地方。使用 RMS 的目的在于，輔助行政和法律措施實施安全策略，防止失誤操作造成的信息泄露。

　　RMS 必須有應用程序的支持，部署 RMS 服務器，然后與啟用 RMS 的應用程序協(xié)作以避免數(shù)據(jù)未經(jīng)授權(quán)的使用�？梢钥刂莆臋n的打開、讀取、修改權(quán)限。office 文檔應該是企業(yè)中主要的信息載體，通過 RMS 可以對文檔的打幵、閱讀、修改、分發(fā)及其日期進行限定，杜絕數(shù)據(jù)因非法獲取而泄露。比如在企業(yè)中分發(fā)文檔時候，對文檔進行控制，它的特點是權(quán)限隨著文檔走，對其的整個生命周期進行管理。不管把文檔分發(fā)文秘站－您的專屬秘書！到任何地方去，文檔的權(quán)限始終和文檔捆綁在一起。另外，RMS 對于文檔權(quán)限的定義信息是加密的，這樣即使文檔被竊取，也無法打開。郵件的轉(zhuǎn)發(fā)也是企業(yè)中信息流動的一個重要方面，RMS可以控制郵件的各種權(quán)限，比如可以預防文檔被非法或者無意轉(zhuǎn)發(fā)出去，造成數(shù)據(jù)的泄露。通 RMS 權(quán)限設(shè)置 word 文檔就不能被轉(zhuǎn)發(fā)，修改等。

　　當然 RMS 也有缺陷，不能提供主動抵擋攻擊者對系統(tǒng)的攻擊，也無法抵御模擬攻擊，如使用數(shù)碼相機或第三方屏幕拷貝、記憶傳播等。

　　2.2 EFS(EncryptingFileSystem)方案

　　EFS 提供 NTFS 分區(qū)中文件級別的加密技術(shù)，基于公鑰策略，使用公鑰/私鑰密鑰對文檔進行加密。這種加密對用戶是透明的，它是用公鑰加密，用私鑰解密，安全性極高。使用智能卡上直接存儲的加密密鑰進行 EFS 加密，基于向?qū)�將舊智能卡中的文件遷移到新智能卡中，啟用 EFS 時加密系統(tǒng)頁面文件，增加了新的“組策略’’選項。EFS 可以加密系統(tǒng)的頁面文件，這樣防止系統(tǒng)被脫機攻擊，造成 EFS 加密被破解。還可以選擇EFS 密鑰的長度強制加密“我的文件夾”。

　　EFS 的限制，如果用戶的私鑰丟失，則數(shù)據(jù)將永遠丟失，私鑰很重要，千萬不能丟失。EFS 加密的強度非常高，私鑰丟失，文件無法打幵。因此要安全部署，防止惡意加密。比如，在企業(yè)中有這樣的員工，因?qū)ζ髽I(yè)不滿，在離幵前惡意加密了某些文件，然后把帳戶刪除，這樣就造成了數(shù)據(jù)的無法打開。

　　針對這種惡意的加密用以下兩個方法來解決:其一，修改注冊表，防止加密。其二，部署 DRA(數(shù)據(jù)恢復代理)。

　　在企業(yè)中基于數(shù)據(jù)的安全性考慮，應用 EFS 方案要遵循這幾點:部署盡可能少的 DRA;至少有一個 DRA;DRA 使用后刪除私鑰;加密文件夾而不是單個文件。

　　EFS 加密是基于操作系統(tǒng)的，如果系統(tǒng)在啟動前已經(jīng)被攻破的話，那他就沒法實現(xiàn)自己的功能，因此在數(shù)據(jù)縱深保護中下面這個環(huán)節(jié)非常重要。

　　2.3 BitLocker 方案

　　Windows BitLocker 驅(qū)動器加密通過加密 Windows 操作系統(tǒng)卷上存儲的所有數(shù)據(jù)可以更好地保護計算機中的數(shù)據(jù)。

　　BitLocker 使用 TPM 幫助保護 Windows 操作系統(tǒng)和用戶數(shù)據(jù)，并幫助確保計算機即使在無人參與、丟失或被盜的情況下也不會被篡改。

　　Windows 8.1 必定是未來系統(tǒng)的主流，在企業(yè)中部署Windows 8.1 就能在很大程度上加固數(shù)據(jù)的安全，防止泄密。

　　Windows 8.1 提供的 BitLocker 技術(shù)是基于硬件的加密技術(shù)，它能為計算機提供脫機數(shù)據(jù)和操作系統(tǒng)保護，很好地解決了對EFS 加密的脫機攻擊。另外 BitLocker 是一種全卷加密技術(shù)，能夠確保早期啟動組件的完整性，能通過加密整個卷來幫助防止數(shù)據(jù)被盜或未經(jīng)授權(quán)查看。

　　BitLocker 很好地解決了企業(yè)環(huán)境下的來自于硬件的泄密，它給予數(shù)據(jù)

　　操作系統(tǒng)之下的安全屏障，啟動時自動提供解密密鑰，保護系統(tǒng)分區(qū)，保護用戶數(shù)據(jù)，保護注冊表，與操作系統(tǒng)無縫的集成，保護引導分區(qū)，杜絕離線攻擊，提供系統(tǒng)啟動前蕋于數(shù)據(jù)的保護。

　　比如現(xiàn)代企業(yè)中每年都會淘汰一部分電腦，如果處理不當，這部分電腦就成了信息的泄露源，利用 BitLocker 技術(shù)可以通過銷毀 RootKey 的方式快速地使電腦上的數(shù)據(jù)失效，防止了數(shù)據(jù)的泄露。系統(tǒng)啟動故障，也容易造成數(shù)據(jù)的泄密，BitLocker 可以確保啟動過程的完整性。因為在系統(tǒng)啟動時驗證各個啟動組件的完整性，防止對啟動組件的惡意修改;任何以其他途徑啟動，都無法訪問和修改被加密的系統(tǒng)卷;如果竊密者保護的卷做了改動，會導致系統(tǒng)無法正常啟動。桌面安全也是企業(yè)信息泄露的一個途徑，BitLocker 在離線狀態(tài)下保證系統(tǒng)和數(shù)據(jù)的安全，加密整個 Windows 的安裝卷和其中所有用戶的數(shù)據(jù)，該卷在未正常啟動的情況下不可讀。

　　在企業(yè)數(shù)據(jù)存儲和分發(fā)的流動過程中，會面臨來自各方面的威脅。本文討論的 RMS、EFS、BitLocker 都是從技術(shù)的角度來保護數(shù)據(jù)的安全，防止泄密。要更好地保護企業(yè)的數(shù)據(jù)，只有技術(shù)和制度互相結(jié)合，才能發(fā)揮更大威力。

【企業(yè)局域網(wǎng)中數(shù)據(jù)存儲與轉(zhuǎn)發(fā)中的安全部署論文】相關(guān)文章：

淺談存儲局域網(wǎng)技術(shù)在數(shù)字圖書館中的應用04-29

生活中的數(shù)據(jù)05-02

消防滅火救援中數(shù)據(jù)挖掘的應用論文05-02

在數(shù)據(jù)中探究04-30

網(wǎng)絡營銷中數(shù)據(jù)挖掘技術(shù)的應用論文11-27

大數(shù)據(jù)分析在互聯(lián)電網(wǎng)中的應用論文05-02

信息管理中數(shù)據(jù)庫技術(shù)的研究論文05-02

信息管理中數(shù)據(jù)庫技術(shù)的應用論文05-02

水利工程管理中數(shù)據(jù)挖掘技術(shù)的運用論文05-02

數(shù)據(jù)整合技術(shù)在水利設(shè)計中的重要性論文04-30