電大本科計算機論文
電大本科計算機論文
當代高校計算機信息技術(shù)是現(xiàn)代信息科學技術(shù)的基礎(chǔ),計算機信息技術(shù)的發(fā)展,對高校計算機信息技術(shù)基礎(chǔ)教育也提出了新的挑戰(zhàn)和要求。下面是學習啦小編為大家推薦的電大本科計算機論文,供大家參考。
電大本科計算機論文范文一:單位網(wǎng)絡(luò)信息安全建設(shè)思路
0引言
隨著時代的發(fā)展,在當前的勞動就業(yè)服務(wù)管理體系中,網(wǎng)絡(luò)信息技術(shù)的運用非常廣泛,但在享受信息技術(shù)便捷性的同時,網(wǎng)絡(luò)信息的安全問題也日益突出,想要真正解決這一問題,就要構(gòu)建起完善的網(wǎng)絡(luò)信息安全防護體系,因此,對單位網(wǎng)絡(luò)信息安全建設(shè)的思路進行探討非常有必要,本文主要從技術(shù)與管理兩個層面進行研究。
1當前單位網(wǎng)絡(luò)信息安全問題
在現(xiàn)階段的勞動就業(yè)服務(wù)管理體系中,主要存在的網(wǎng)絡(luò)信息安全問題有以下幾方面:
1.1技術(shù)層面
第一,核心技術(shù)欠缺。當前我國在進行信息化建設(shè)的過程中,普遍借鑒國外的成功方法與技術(shù),而欠缺自主性的核心技術(shù),也正因如此,單位在構(gòu)建信息安全防護系統(tǒng)時沒有針對性,不能以單位實際情況為基礎(chǔ),進行相關(guān)軟硬件平臺的構(gòu)建,系統(tǒng)中一部分加解密技術(shù)也大多源自我國對手國家。這便會在很大程度上降低單位的網(wǎng)絡(luò)信息安全,容易被人監(jiān)視與竊聽,甚至可以對我國網(wǎng)絡(luò)進行干擾與欺詐,使網(wǎng)絡(luò)信息安全處于危險狀態(tài)。第二,病毒感染威脅。病毒是計算機網(wǎng)絡(luò)中常見的安全威脅,實際上也是一種計算機程序,很多計算機病毒都能夠?qū)τ嬎銠C網(wǎng)絡(luò)進行破壞與傳染,且普遍具有潛伏性與隱蔽性,有些還能夠變異。計算機病毒通常會以文件或磁盤作為載體,在計算機網(wǎng)絡(luò)中傳播,隨著網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展,病毒種類與傳播方式也呈現(xiàn)出多元化趨勢,對單位網(wǎng)絡(luò)信息的威脅越來越大。絕大多數(shù)病毒在進入到計算機網(wǎng)絡(luò)中以后,都能夠?qū)崿F(xiàn)自啟動,破壞計算機的程序與系統(tǒng),并將其中的重要信息泄露出去。一旦計算機受到病毒感染,它就會成為攻擊者的控制平臺,對其硬盤這種的參數(shù)進行修改,也可以破壞網(wǎng)絡(luò)信息系統(tǒng)中的重要數(shù)據(jù),使網(wǎng)絡(luò)數(shù)據(jù)無法完成正常傳輸,進而造成整個系統(tǒng)的癱瘓,這種現(xiàn)象在勞動就業(yè)服務(wù)管理體系中并不是沒有發(fā)生過。第三,涉密信息沒有保障。在網(wǎng)絡(luò)信息傳輸?shù)倪^程中,一般會運用通信通道,而通信通道在整個安全系統(tǒng)中是相對薄弱的部分,因此,在傳輸信息時就很容易在通道中出現(xiàn)篡改與竊聽情況,從而降低網(wǎng)絡(luò)信息的安全性,侵害單位與用戶的切實利益。
1.2管理層面
第一,安全意識滯后。在勞動就業(yè)服務(wù)管理體系中,一部分人沒有真正認識到網(wǎng)絡(luò)信息安全的重要意義,沒有正視當前網(wǎng)絡(luò)信息安全鎖面對的嚴峻形勢,認為網(wǎng)絡(luò)信息發(fā)展速度太快,傳統(tǒng)途徑太多,網(wǎng)絡(luò)信息泄密問題是不可避免的,而對網(wǎng)絡(luò)安全體系的投資很難見到效果,沒有建設(shè)意義,因此,只注重建設(shè)網(wǎng)絡(luò),卻輕視網(wǎng)絡(luò)安全。第二,管理機制欠缺。當前我國尚沒有構(gòu)建起健全的網(wǎng)絡(luò)安全管理機制,雖然國家已經(jīng)出臺了一些相關(guān)法規(guī),但仍然無法滿足現(xiàn)階段網(wǎng)絡(luò)安全管理的管理需求,法規(guī)建立沒有針對性、組織管理不完善、缺乏統(tǒng)一標準等問題,都阻礙了單位網(wǎng)絡(luò)信息安全的發(fā)展,使得單位網(wǎng)絡(luò)信息建設(shè)分散、功能缺乏、管理低下、資源浪費。第三,相關(guān)人才不足。隨著網(wǎng)絡(luò)信息的快速發(fā)展,勞動就業(yè)服務(wù)管理體系對相關(guān)人才與設(shè)備的要求也更高,但當前我國在這方面的人才還遠遠無法滿足發(fā)展需求,而且,由于專項資金不足,相關(guān)設(shè)備的發(fā)展也相對緩慢,絕大多數(shù)網(wǎng)絡(luò)信息系統(tǒng)都無法實現(xiàn)健全的安全保密建設(shè)。
2建設(shè)單位網(wǎng)絡(luò)信息安全思路
想要真正解決當前網(wǎng)絡(luò)信息系統(tǒng)存在的安全問題,就需要有針對性的從技術(shù)與管理兩方面進行網(wǎng)絡(luò)安全相關(guān)制度的制定。
2.1技術(shù)層面
第一,安裝病毒防護軟件。在勞動就業(yè)服務(wù)管理單位中,需要引入安裝病毒防護軟件來保證單位內(nèi)部的信息安全。防火墻是現(xiàn)階段各單位普遍運用的一種防病毒軟件,主要存在于單位的內(nèi)網(wǎng)與外網(wǎng)之間,運用相關(guān)的安全策略構(gòu)建起軟硬件的組成體,能夠?qū)崿F(xiàn)對單位內(nèi)網(wǎng)與主題的保護。另外,防火墻還能夠幫助單位系統(tǒng)實現(xiàn)網(wǎng)絡(luò)安全隔離,以安全過濾規(guī)則為依托,實現(xiàn)對非法用戶的有效控制,抑制網(wǎng)絡(luò)中的外來攻擊。另外,在系統(tǒng)中裝置防病毒軟件可以對系統(tǒng)中的病毒進行實時監(jiān)測,及時發(fā)現(xiàn)系統(tǒng)中的異常情況,將傳統(tǒng)意義上的被動殺毒轉(zhuǎn)變?yōu)橹鲃忧宄?。一般單位會運用SNMP進行防火墻管理,也就是簡單的網(wǎng)絡(luò)管理協(xié)議,將其嵌入到交換機中,便能夠從中心站對設(shè)備進行管理,還可以通過圖形的方式對信息進行查看。第二,裝置入侵檢測系統(tǒng)。在勞動就業(yè)服務(wù)管理單位中,還需要引用入侵檢測系統(tǒng)來保證單位內(nèi)部的信息安全,該系統(tǒng)主要由硬件與軟件兩部分組成,當前單位中廣泛運用的是規(guī)范濫用與靜態(tài)異常兩種模型,這兩種模型都是以網(wǎng)絡(luò)故障或服務(wù)器為基礎(chǔ)的。入侵檢測設(shè)備一般需要創(chuàng)建MySQL,通過身份驗證以后,便可以進行入侵檢測。日常管理時需要安排專門的檢測管理員,定期對設(shè)備進行重啟。根據(jù)實際網(wǎng)絡(luò)環(huán)境,對檢測接口進行定義,包括檢測策略、阻斷級別、事件報警、管理權(quán)限等。還需要進行模擬攻擊,以確保入侵檢測系統(tǒng)的性能完好。健全的入侵檢測系統(tǒng)能夠在很大程度上彌補防火墻的防護缺陷。
2.2管理層面
第一、針對人為可控因素的管理。從某種意義上講,缺少安全管理是造成系統(tǒng)不安全的最直接因素。因此,必須制定一套完全的安全管理制。
(1)專注內(nèi)部管理—對內(nèi)網(wǎng)的監(jiān)控。內(nèi)部局域網(wǎng)的監(jiān)控是通過監(jiān)控服務(wù)器對網(wǎng)絡(luò)中所有主機數(shù)據(jù)進行檢測,并將網(wǎng)絡(luò)中的數(shù)據(jù)收集到服務(wù)器,對正常數(shù)據(jù)流服務(wù)器不采取動作,當發(fā)現(xiàn)有敏感數(shù)據(jù)時即迅速將其隔離保存,再報警,網(wǎng)絡(luò)管理員通過操作和檢驗后對用戶電腦進行處理。
(2)兼顧外部管理—對外網(wǎng)的監(jiān)控。除了要監(jiān)控局域網(wǎng)內(nèi)的數(shù)據(jù),更需要對廣域網(wǎng)和互聯(lián)網(wǎng)的控制。要對單位內(nèi)部的各種應(yīng)用和流量實施不同的區(qū)分和限制,對FTP和BT等應(yīng)用嚴格監(jiān)管。第二,建立網(wǎng)絡(luò)安全領(lǐng)導小組。成立安全管理領(lǐng)導監(jiān)督小組,安全管理領(lǐng)導監(jiān)督小組監(jiān)督網(wǎng)絡(luò)安全項目的建設(shè)并參與管理,負責貫徹國家有關(guān)網(wǎng)絡(luò)安全的法律、法規(guī),落實各項網(wǎng)絡(luò)安全措施。建立完善的安全保障體系,如管理人員安全培訓、可靠的數(shù)據(jù)備份、緊急事件相應(yīng)措施、定期系統(tǒng)的安全評估及更新升級系統(tǒng),確保系統(tǒng)一直處于最佳的安全狀態(tài)。第三,啟用相關(guān)科技與人才。在單位進行網(wǎng)絡(luò)信息安全建設(shè)的過程中,要運用先進的科學技術(shù),構(gòu)建起高水平的網(wǎng)絡(luò)信息安全體系,以提升單位中重要信息與數(shù)據(jù)的安全性。而二十一世紀的發(fā)展中,人才是單位中必不可少的發(fā)展要素,啟用具有法律知識、網(wǎng)絡(luò)知識、管理能力的綜合性人才能夠起到事半功倍的效果,單位還需要對相關(guān)人才進行定期培訓,保證人才學習最前沿的網(wǎng)絡(luò)安全技術(shù),從而使單位中的網(wǎng)絡(luò)信息更安全。
3結(jié)論
綜上所述,隨著信息時代的到來,網(wǎng)絡(luò)技術(shù)在勞動就業(yè)服務(wù)管理體系中的運用也越來越普遍,網(wǎng)絡(luò)安全問題也層出不窮,在面對各種問題的過程中,單位需要從技術(shù)與管理兩個角度出發(fā),建設(shè)單位網(wǎng)絡(luò)信息安全體系,提升單位網(wǎng)絡(luò)系統(tǒng)的安全水平,運用先進技術(shù)、提升思想認識、啟用相關(guān)人才、構(gòu)建健全機制,真正意義上使網(wǎng)絡(luò)信息得到保障,促進勞動就業(yè)服務(wù)管理體系的進一步發(fā)展。
電大本科計算機論文范文二:企業(yè)信息安全管理中數(shù)據(jù)加密技術(shù)應(yīng)用
對于生產(chǎn)企業(yè)來說,最為重要的無疑是設(shè)計文檔的安全。一個企業(yè)投入巨大的人力物力成本,產(chǎn)生了大量的無形資產(chǎn)和成果,而這些資產(chǎn)和成果與傳統(tǒng)的紙質(zhì)文檔、紙質(zhì)藍圖、固定資產(chǎn)不同的是,它們普遍以數(shù)字的形式保存在企業(yè)的各種信息載體中。而這些數(shù)字化的信息資源具有易復(fù)制和易傳播的弱點,很容易造成信息的流失。這些信息中包含的關(guān)鍵技術(shù)、核心工藝、研究成果關(guān)系整個企業(yè)的生存競爭。除重要的設(shè)計文檔、文件外,企業(yè)的客戶資料、采購成本、合同文書、商業(yè)計劃等也是承載著有關(guān)商業(yè)秘密的信息資料。
1單一文檔加密技術(shù)應(yīng)用的不足
國家干燥技術(shù)及裝備工程技術(shù)研究中心是由國家科技部批準專門從事干燥技術(shù)及裝備工程化研發(fā)的國家級專業(yè)科研中心。該中心主要從事干燥、焙燒、粉塵回收、尾氣處理、重力摻混及氣力輸送、塔器、壓力容器、成套裝置的工程設(shè)計及制造。工程中心國產(chǎn)化大型干燥技術(shù)和裝備成功取代進口設(shè)備,提升了我國干燥行業(yè)技術(shù)進步。中心很早就采用了文檔加密系統(tǒng)用于保護自身的數(shù)據(jù)安全。該系統(tǒng)主要使用應(yīng)用層加密技術(shù)將重要的CAD、DOC、XLS、PPT、TXT等技術(shù)文檔進行加密處理,保證了相關(guān)數(shù)據(jù)資源不被泄露。隨著時間的推移和技術(shù)的進步,這一系統(tǒng)也暴露出了諸多問題和不足。
(1)該系統(tǒng)嚴重依賴于應(yīng)用程序,保密策略必須區(qū)別不同的文檔類型、版本進行逐一單獨加密,當遇到應(yīng)用程序不斷增多或升級變化時,保密策略的二次開發(fā)性變得愈加復(fù)雜和不可控。
(2)當用戶使用多種應(yīng)用程序交互工作(如在CAD和WORD文檔間進行復(fù)制、粘貼操作)時,加密系統(tǒng)對不同文檔類型的強制保護阻止應(yīng)用程序間的聯(lián)系,從而進一步妨礙了多個用戶(組)進行協(xié)同工作的需求,而這種需求在近些年來變得日益頻繁。
(3)由于操作失誤、計算機錯誤(如意外斷電)而造成的加密文檔錯誤迫使管理人員投入大量的時間去處理加密系統(tǒng)的不穩(wěn)定和故障頻發(fā)。
(4)由于文檔加密本身針對單一文檔進行加密和解密,隨著技術(shù)文件數(shù)量呈指數(shù)性增長,以上問題和整個系統(tǒng)的維護工作量日漸龐雜。為解決以上問題,工程中心于2014年采用了Chi-nasec(安元)可信網(wǎng)絡(luò)安全平臺,全面升級和改造了原有的單一文檔加密系統(tǒng),有利的保障了關(guān)鍵信息數(shù)據(jù)和內(nèi)網(wǎng)安全,取得了良好的應(yīng)用效果。
2網(wǎng)絡(luò)安全平臺的技術(shù)特點
2.1系統(tǒng)的體系結(jié)構(gòu)
Chinasec(安元)可信網(wǎng)絡(luò)安全平臺,是基于內(nèi)網(wǎng)安全和可信計算理論研發(fā)的內(nèi)網(wǎng)安全管理產(chǎn)品,以密碼技術(shù)為支撐,以身份認證為基礎(chǔ),以數(shù)據(jù)安全為核心,以監(jiān)控審計為輔助,可靈活全面的定制并實施各種安全策略,實現(xiàn)對內(nèi)網(wǎng)中用戶、計算機和信息的安全管理,達到有效的用戶身份管理、計算機設(shè)備管理、數(shù)據(jù)安全保密存儲和防止機密信息泄漏等目標。整個平臺體系包括網(wǎng)絡(luò)認證系統(tǒng)(TIS)、網(wǎng)絡(luò)保密系統(tǒng)(VCN)、數(shù)據(jù)管理系統(tǒng)(DMS)、應(yīng)用保護系統(tǒng)(APS)和移動存儲設(shè)備管理系統(tǒng)(RSM)六大子系統(tǒng)。這些子系統(tǒng)均采用模塊化設(shè)計,根據(jù)安全機制的需求既可以單獨使用,又可以靈活組合。國家干燥工程中心采用的該保密系統(tǒng)主要由兩個子系統(tǒng),分別是可信網(wǎng)絡(luò)認證系統(tǒng)(TIS)、可信網(wǎng)絡(luò)保密系統(tǒng)(VCN)。在該系統(tǒng)中,子系統(tǒng)擁有共同的工作平臺和基礎(chǔ),其基本結(jié)構(gòu)分為服務(wù)器(Server)、客戶端代理(Agent)和控制臺(ManagementConsole)三部分,全部為軟件系統(tǒng)。其它各個子系統(tǒng)都運行在這個共同的平臺上,使用共同的服務(wù)器、共同的控制臺和共同的核心客戶端代理。它們的通信體系和通道也是共同的,從而保證了占用最少的系統(tǒng)資源和網(wǎng)絡(luò)資源。Server是可信網(wǎng)絡(luò)安全平臺的核心組成部分,是所有策略的存儲中心,也是系統(tǒng)運行和維護的中心。在Server上,存儲著用戶信息、計算機信息、組織體系、策略信息及日志信息。服務(wù)器軟件需要一個授權(quán)的硬件USB令牌,才能夠正常運行。Agent運行在可信網(wǎng)絡(luò)安全平臺需要控制的計算機終端上,該代理采用安全的方式接收服務(wù)器的統(tǒng)一管理,接收服務(wù)器下發(fā)的策略,并通知相應(yīng)的功能模塊執(zhí)行,其功能模塊都通過平臺的核心代理引擎與服務(wù)器進行通信。Console是可信網(wǎng)絡(luò)安全平臺的用戶界面,用于實現(xiàn)對服務(wù)器端的遠程管理,它是整個平臺的控制中心,平臺中的各個系統(tǒng)都可以集中體現(xiàn)在該控制臺中。網(wǎng)絡(luò)認證子系統(tǒng)(TIS)是一套基于PKI技術(shù)和公開密鑰技術(shù)實現(xiàn)的網(wǎng)絡(luò)資源認證的軟件機制,是整個系統(tǒng)中的安全管理機構(gòu),其主體架構(gòu)與可信網(wǎng)絡(luò)安全平臺相似,其安全性也得到了該平臺的有力支撐。它主要采用口令(或USB令牌)的方式,對被控計算機終端的登錄和使用權(quán)限進行“雙因素認證”管理;可以對服務(wù)器進行訪問控制和保護,只有經(jīng)過授權(quán)的客戶端和用戶才能夠訪問受保護的服務(wù)器。網(wǎng)絡(luò)保密子系統(tǒng)(VCN)是基于密碼技術(shù)、網(wǎng)絡(luò)驅(qū)動技術(shù)和系統(tǒng)文件核心驅(qū)動技術(shù),針對內(nèi)部網(wǎng)絡(luò)和主機信息保密開發(fā)的軟件機制,也是整個系統(tǒng)中最重要的應(yīng)用和執(zhí)行機構(gòu)。同樣基于可信網(wǎng)絡(luò)安全平臺進行開發(fā),其主體架構(gòu)依賴安全平臺,主要用于構(gòu)造內(nèi)網(wǎng)保密網(wǎng)絡(luò),隔離內(nèi)外網(wǎng)間的數(shù)據(jù)傳輸,對網(wǎng)絡(luò)傳輸和存儲設(shè)備兩個主要數(shù)據(jù)交換途徑進行有效控制和管理。能夠提供網(wǎng)絡(luò)傳輸加密和控制、本地磁盤加密、外設(shè)控制和U盤管理等功能,并可以對需要外發(fā)的文件提供文件審批和本地終端的文件加密功能,從而防止機密信息從網(wǎng)絡(luò)途徑或者存儲設(shè)備的途徑泄漏出去,這里的存儲設(shè)備,包括移動硬盤、固定硬盤、U盤和軟盤等。
2.2存儲加密技術(shù)特點
加密技術(shù)在該系統(tǒng)中占有重要的組成部分。其加密體系分為網(wǎng)絡(luò)加密體系和存儲加密體系,其中,網(wǎng)絡(luò)加密體系通過對IP層數(shù)據(jù)包的改造和特殊保密格式的封裝,實現(xiàn)了網(wǎng)絡(luò)途徑的保密,客戶端代理(Agent)對所有IP包采用特殊格式進行封裝,然后才發(fā)送到網(wǎng)絡(luò)中進行傳輸。而對于存儲加密體系考慮更加周全,采用了目前主流的驅(qū)動級加密技術(shù),很大程度上提高了系統(tǒng)的運行效率。驅(qū)動級技術(shù)與單一文檔加密技術(shù)的區(qū)別在于前者采用透明加解密技術(shù),用戶感覺不到系統(tǒng)的存在,不改變用戶的操作習慣;而數(shù)據(jù)一旦脫離安全環(huán)境,則無法使用,有效的提高了數(shù)據(jù)的安全性。
2.3加密算法技術(shù)特點
對于加密技術(shù)來說,加密算法是整個技術(shù)體系賴以運作的關(guān)鍵核心。Chinasec可信網(wǎng)絡(luò)平臺在數(shù)據(jù)存儲控制中支持DES、3DES、AES和SMS4多種算法。DES算法是分組密碼的典型代表,也是第一個被公布出來的加密標準算法。在1976年11月被美國國家標準和技術(shù)研究所(NIST)采納為美國聯(lián)邦標準,并被批準用于非軍事場合的各個政府機構(gòu)。DES同時采用了代換和置換兩種技巧,用56位密鑰加密64位明文,最后輸出64位密文,整個過程由兩大部分組成,一個是加密過程,另一個是子密鑰產(chǎn)生過程,見圖1所示。DES加密過程共迭代16輪,每輪用一個不同的48位子密鑰。這些子密鑰由算法的56位密鑰產(chǎn)生。DES算法的輸入密鑰長度是64位,但只用了其中的56位,其余位數(shù)主要用于奇偶校驗。由于DES將Lucifer算法作為基礎(chǔ),而Lucifer算法的密鑰長度為128位,但DES將密鑰長度改為56位,因此密鑰共有256=7.2×1016個可能值,這不能抵抗窮盡密鑰搜索攻擊和破解。由于DES算法本身的缺陷和安全問題,NIST在1999年發(fā)布了新版本的DES標準(FIPSPUB46-3),即通常所說的三重DES(3DES)標準。3DES的密鑰長度是128位,足以抵抗窮舉攻擊和破解。其次,3DES的底層加密算法與DES的加密算法相同,該加密算法比任何其他加密算法受到分析的時間要長得多,但迄今為止卻沒有發(fā)現(xiàn)有比窮舉攻擊更有效的密碼分析方法。當然,由于3DES迭代的輪數(shù)是DES的3倍,因此運行速度要慢很多。為了彌補DES在安全性上的不足和3DES的運行效率問題,NIST在2000年公布了新的高級加密標準(AdvancedEncryptionStandards,AES)。AES標準支持新的準則:
(1)安全性:由于AES最短的密鑰長度是128位,在現(xiàn)有技術(shù)條件下,窮舉攻擊和破解是無法實現(xiàn)的;
(2)代價:由于AES具有很高的計算效率,因此可以廣泛應(yīng)用于各種實際應(yīng)用中;
(3)算法和執(zhí)行特征:算法的靈活性、簡潔性以及硬件與軟件平臺的適應(yīng)性方面遠比DES和3DES更高。SMS4算法是中國國家商用密碼管理辦公室于2006年公布的用于無線局域網(wǎng)的分組對稱密碼算法,是國內(nèi)官方公布的第一個商用密碼算法,具有較好的抗破解能力。它的分組長度和密鑰長度為128Bit,具有較好的平衡性和非線性。
3應(yīng)用中的安全特性和優(yōu)點
3.1系統(tǒng)的安全特性
整個系統(tǒng)總的來說就是提供了一種有效的資源控制手段,根據(jù)管理需要和規(guī)則對內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的各種資源進行有效的控制。具體來說,計算機系統(tǒng)本身就是一種資源,計算機里面的各種外設(shè)、硬盤空間、應(yīng)用程序、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)連接和文件等,而服務(wù)器系統(tǒng)本身也是資源。系統(tǒng)對所有這些有價值的資源都進行控制,采用了授權(quán)使用、違規(guī)記錄及審計等多種手段結(jié)合,確保了所有資源的可控性,從而提高了內(nèi)網(wǎng)信息系統(tǒng)的安全性和可管理性。授權(quán)使用是指所有資源必須是經(jīng)過管理員授權(quán)的用戶在指定的狀態(tài)下才能使用。例如,要使用某臺計算機,必須是經(jīng)過管理員授權(quán)的用戶才能進入該計算機操作系統(tǒng);又如要使用一臺計算機上的USB端口,那么也只有經(jīng)過管理員授權(quán)。違規(guī)記錄則是將用戶違反管理規(guī)則,試圖使用沒經(jīng)過授權(quán)的資源。比如一個用戶在一臺計算機上沒有被授權(quán)使用光驅(qū),該計算機上的光驅(qū)在該用戶登錄系統(tǒng)后會被禁用,如果用戶試圖從設(shè)備管理器強行啟用該設(shè)備(當然其行為會失敗),保密系統(tǒng)將記錄該用戶的違規(guī)行為。審計則是對用戶行為和信息系統(tǒng)的一些重要信息進行記錄。記錄的信息包括了詳細描述、用戶、計算機及時間等要素,可以作為以后查證使用。整個系統(tǒng)資源控制,都以策略的方式實現(xiàn),包括了用戶、計算機、資源授權(quán)內(nèi)容和狀態(tài)幾個要素。尤其是可信網(wǎng)絡(luò)保密子系統(tǒng)(VCN)由于同時使用了存儲加密和網(wǎng)絡(luò)加密傳輸,部署VCN的所有計算機,啟用網(wǎng)絡(luò)策略后,其傳輸?shù)臄?shù)據(jù)都經(jīng)過加密,且每兩臺計算機使用的通信密鑰都不一樣,從而有效防止了網(wǎng)內(nèi)使用惡意偵聽軟件的行為。網(wǎng)絡(luò)加密的密鑰由VCN服務(wù)器統(tǒng)一管理。VCN強制加密所有本地磁盤保存的文件,只能在VCN系統(tǒng)啟動的情況下才能正常使用本地磁盤,有效防止了因為硬盤丟失、多操作系統(tǒng)和光盤啟動等造成的數(shù)據(jù)泄密事件的發(fā)生。有效防止了非法外連和非法接入,VCN內(nèi)的計算機不能與VCN外的計算機進行網(wǎng)絡(luò)通信,阻止了各種形式的非法接入。
3.2實際應(yīng)用中的優(yōu)點
3.2.1開機認證保護即用戶和安全平臺之間的認證是優(yōu)先于操作系統(tǒng)啟動之前發(fā)生。在BIOS啟動后通過密碼進行認證,合法授權(quán)才能啟動您的電腦正常使用本地磁盤數(shù)據(jù),等于是在底層控制,確保硬盤數(shù)據(jù)的安全性是萬無一失。
3.2.2加密方式靈活存儲磁盤加密的實際運用手段分為快速加密和深度加密??焖偌用芊绞絻H加密磁盤分區(qū)表,特點是部署時間短;深度加密方式加密全盤數(shù)據(jù),特點是安全性高。企業(yè)可根據(jù)自身的實際情況來采取更合理的加密方式。
3.2.3后臺無感知自動加解密所有加密過程均在后臺全自動完成,對硬盤的每一個扇區(qū)加密,全面而徹底;而對用戶完全透明,整個過程用戶毫無感知。用戶查看文件時將不會看到文件帶有任何與“加密”有關(guān)的屬性;但如果換個角度,將裝有系統(tǒng)的硬盤拆掉,連接到其他計算機上,在試圖訪問應(yīng)用了硬盤加密的系統(tǒng)所在的分區(qū)時,則只能看到未經(jīng)格式化的硬盤分區(qū)信息。
3.2.4支持斷點加解密客戶端在加密或解密過程中,發(fā)生系統(tǒng)關(guān)機、斷電等異常操作后,重啟計算機,客戶端仍繼續(xù)執(zhí)行相應(yīng)的加解密動作。
3.2.5集中部署,統(tǒng)一安全的策略系統(tǒng)集中下發(fā)安全策略,客戶端統(tǒng)一受控于管理端。策略在運行時,使用者沒有修改安全策略的控制權(quán)限,在客戶端強制性設(shè)置安全策略變得更容易,后期維護更簡單方便。
3.2.6數(shù)據(jù)恢復(fù)措施完善服務(wù)器會實時記錄當前客戶端狀態(tài),當發(fā)生客戶端斷電、使用者忘記密碼、遺失或者離開本單位后,客戶端都能安全的恢復(fù)到當前狀態(tài);還可建立網(wǎng)上恢復(fù)工具的幫助桌面,通過幫助桌面遠程重新設(shè)定使用者密碼。
4結(jié)束語
大數(shù)據(jù)時代,無論是政府還是企業(yè)都離不開數(shù)據(jù)的采集、存儲和使用,數(shù)據(jù)資產(chǎn)是企業(yè)發(fā)展的生命線,捍衛(wèi)數(shù)據(jù)安全成為企業(yè)的重要任務(wù)。網(wǎng)絡(luò)安全平臺的投入使用,通過存儲強制加密、保護控制策略、記錄審計等多種手段相結(jié)合,可以達到外部入侵進不來、非法外接出不去、內(nèi)外勾結(jié)拿不走、拿走東西看不懂的效果,有效防止機密敏感信息的泄漏。它的投入使用,全面提升了國家干燥技術(shù)及裝備工程技術(shù)研究中心的數(shù)據(jù)安全性和綜合信息管理的水平,保護了企業(yè)的智力資產(chǎn)。這一系統(tǒng)的成功應(yīng)用,為其他企業(yè)的信息數(shù)據(jù)安全管理也有很好的借鑒。