摘要:在信息科学技术的快速发展下,计算机网络成为人们日常办公和通信交流互动的必要工具,信息系统在提升人们工作效率的同时也对信息存储、访问控制和关键信息传输提出了更高的要求,在系统应用的过程中怎样防范系统泄露成为相关人员需要思考和解决的问题。为此,文章在阐述企业数据防泄漏系统建设需求的基础上,从体系结构设计、功能模块设计、数据库设计等方面介绍了数据防泄漏系统方案,并就数据防泄漏系统应用效果进行策略分析,旨在能够更好的促进企业数据库管理,减少数据丢失问题的发生。
关键词:数据防泄漏系统;需求分析;数据库;技术应用
在信息化的深入发展下,企业传统的纸质文档逐渐被电子文档替代,企业核心商业机密也以电子文档的形式进行保存,比如企业内部规划、企业市场推广、企业财务报表数据等,这些数据信息一旦被泄露将会对企业发展带来不可估计的损失,经过相关数据调查分析发现,内部用户非授权访问和滥用导致的信息泄露占据企业信息泄露的较大比重,因而怎样保证企业发展信息的安全是企业发展建设需要思考和解决的问题。我国国内数据防泄漏技术发展起步较晚,采用的技术形式大多是传统加密类技术,即将二进制的数据转变为秘密文件,在文件信息的加密处理上具有操作简单、开发周期短的特点。在此基础上为了能够更好的提升数据信息保密成效,文章结合实际就数据防泄漏系统的构建问题进行探究。
一、企业数据防泄漏系统建设需求
(一)业务现状
企业数据信息防泄漏系统需求分析主要是对系统现状、业务需求和系统应用需求的分析,数据防泄漏系统业务的需求框架如图一所示。从防泄漏系统业务需求图可以看出企业发展建设存在技术不统一、功能不完善、保护不全面的特点。企业信息数据防泄漏系统通过对终端数据信息的识别检索和监控保护能够有效确保系统数据信息的安全。
图一:数据防泄漏系统业务的需求框架
(二)系统功能分析
第一,终端信息数据安全。①客户端登录认证。文档客户端要能够支持企业现有的USB智能卡登录认证需要,文档安全客户端要对文档信息进行驱动管理。②文档权限细粒度控制。对文档信息的细粒度权限控制包含信息的阅读、编辑、内容复制、信息打印等内容。③文档外发控制。加密之后的文档如果直接发送给外部人员,是无法打开文档信息的,而是需要通过额外设置权限来使用文档信息。第二,数据保护安全管理。首先,实现对省市地区文档信息的分级管理。其次,强化对文档信息的追加和撤销。文档授权对象包含各个用户、企业组织机构。再次,实现对文档日志的审计和备份。文档安全服务端可以对文档授权体制、文档操作日志进行审计,并对导出的相应文档信息进行备份处理。最后,终端数据和资产的管理。终端资产管理要具备收集终端资产信息的功能,且在系统使用的过程中要强化对终端信息的更新和交互处理。
(三)系统部署架构
企业信息数据防泄漏系统物理架构采用的是星形拓扑结构,服务器在公司总部机房位置上,系统的,具体访问方式分为内网和外网两种方式,其中各个省会分公司部署独属于自己的应用服务器。企业信息数据防泄漏系统总体拓扑结构如图二所示。
图二:企业信息数据防泄漏系统总体拓扑结构
二、企业信息数据防泄漏系统的设计
(一)终端数据安全模块
终端数据安全模块在使用的过程中为用户客户端数据提供了重要安全保护,字啊应用客户端移动系统之前,系统会以多样化的方式来支持客户登录,在客户登录之后系统会自动实现托盘隐藏,之后用户通过系统托盘菜单来调出客户端的主要操作界面。终端数据安全模块的工作流程表现如下:①实现文档监控器文档的变更。②安排专门的人员负责工作线程的变更,在具体操作中通知索引管理器更新索引数据库。③结合客户端策略调用关键词,实现关键词和引擎的匹配,之后生成匹配列表。④根据关键词、密级和关联信息生成指纹,将指纹信息写入到相应的操作文档。
(二)数据保护安全管理
第一,用户访问内网办公服务器的认证、授权、审计。①应用SSL VPN设备。通过应用这项设备来提升整个操作系统的安全稳定性,在条件允许的范围内,设备的部署需要应用双机热备的方式,在一台设备出现问题的时候无缝切换到另外一个设备上。②完成所有员工办公电脑的接入,由此使得整个项目在后续操作中仅仅需要接入授权即可。③通过SSL VPN接入来更好的浏览数据信息。第二,优化终端资产管理模块。在终端资产被接入到系统网络的时候,终端数据安全客户端提交终端数据至终端自动发现功能,从而将终端信息输入到资产表中。
(三)网络数据安全检测模块
网络数据安全检测模块主要是对网络边界传输文件或者数据的安全审计和管理控制,在发现数信息流入外网的时候可以通过敏感数据阻断功能来强化对明暗数据的保护,实现对网络行为的有效记录。
(四)数据防泄漏软件系统
第一,文档保护。文档加密保护应用微软标准文件过滤驱动框架来进行加密处理,在文档写入之后对其进行自动加密,在读取的时候自动解密。基于加密功能是以内核拦截方式实现的,在使用的过程中不会受到其他文件的干扰,因而具备良好的加密性能。第二,透明加密技术。通过在操作系统中嵌入文档系统过滤驱动程序能够实现对所有读写文档的过滤操作,在机密文档被读出的时候,驱动程序对文档信息进行解密处理,从而确保机密文档被永久保存。第三,基于角色的策略配置。通过对访问者的控制转变为对角色的控制来提升授权管理效率,降低授权策略管理的复杂性。
三、数据防泄漏系统技术应用效果分析
第一,减少非法用户的进入。系统利用可信终端网络接入认证系统,严格控制接入局域网终端,由此使得非法用户无法进入局域网络。系统通过在ekey证书中存储用户身份识别标识来实现对用户登录系统的身份认证。第二,规范网络行为。通过上网行为管理部署、防泄漏系统安排能够有效规范不同部门员工的工作行为,减少违法操作行为的出现。第三,确保有效信息不被拿走。在对防泄漏系统进行加密之后能够确保终端数据无法被拷贝、防泄漏系统的使用能够有效检测并控制终端设备、从而防止终端非法外联和传输机械数据。第四,严格打击非法行为。整个数据防泄漏系统通过网络行为审计、主机行为审计和功能审计能够实现对信息使用的全过程跟踪,并详细的记录终端用户对文件系统的操作行为,严格监测移动存储介质在系统内部的使用情况,从而确保在出现非法行为的时候严格控制操作。
结束语
综上所述,文章结合实际就企业信息数据防泄漏系统的设计和实现问题做出了详细的介绍分析,通过对终端数据安全模块、数据保护安全模块、网络数据安全模块的设计和实现来增强系统的强大功能。从实际应用情况来看,数据防泄漏体系是一个庞杂、系统化的工程,在工程建设的过程中为了预防数据信息丢失,不管数据信息存储、复制和传输位置在哪里,都需要相关人员准确的检测到所有类型的机密数据,漏报会掩盖安全漏洞,导致数据丢失、潜在财务损失、法律风险并有损组织声誉。因此需要准确的检测技术来做保障。为了确保最高的准确性需要相关人员通过准确检测数据信息来减少系统信息错报、漏报现象的发生,确保整个系统的应用安全,实现对各类网络系统资源的安全利用。
参考文献:
[1]田强.数据防泄漏系统若干关键技术研究[D].2010.
[2]蔡雨佳.敏感数据防泄漏技术研究与实现[D].2014.
[3]陈勋.虚拟专用终端体系结构及若干关键技术研究[D].2017.
[4]孙奕.数据安全交换若干关键技术研究[D].2016.
[5]陈朋超.长输管道安全预警系统若干关键技术研究[D].天津大学,2010.
论文作者:叶军辉1,吴嘉腾1,王立军1,白练1,李长军2
论文发表刊物:《电力设备》2018年第25期
论文发表时间:2019/1/16
标签:数据论文; 系统论文; 终端论文; 文档论文; 信息论文; 企业信息论文; 需求论文; 《电力设备》2018年第25期论文;