一、引言
在当今的信息社会时代,计算机信息系统已在中广泛应用,大大提高了企业的生产效率和管理水平。企业使得很多企业已经高度依赖于信息系统,其所采集到得庞也成为了企业的重要资产。企业也都高度重视数据安全管理,并不断努力采取更先进和安全的措施来保障数据安全。但是,计算机技术是把“双刃剑”,在飞速发展的信息技术带来的巨大价值同时,其破坏性也是巨大。企业数据安全管理成为保障企业必然选择和重要举措。
当前,企业数据安全最大的问题就是,数据保存、传输、调阅等各个环节的安全保障。针对数据的保存归档、传输管理等也产生了多种的安全保障措施,不同的企业会根据自身需求采取不同的措施。但是大部分由于无法承受高额的安全系统投入成本和维护费用,它们需要一种功能完备、价格低廉的系统来保证企业数据的安全。企业数据包括历史数据、代码、资、业务系统数据等,本文分别阐述了对这些数据的管理方法和技术。
二、历史数据归档
数据归档的目的是实现历史数据和信息被系统、科学、长期地保存,以被公司决策管理、上级或第三方机构监管等用途。
在技术实现上,早期,磁带库是主要的备份技术。如今,硬盘越来越便宜,技术也日趋成熟。但是,由于磁盘阵列的技术特性所决定,在其中的资料都处在热状态,也就是说,用于数据归档的不应该关机。而在提倡绿色环保的今天,长期开机很不利于能耗的降低。而且,几年、几十年前的历史资料,使用频度不一定很高,因此资料长期处于热状态实非必要。所以,对于数据归档来说,磁带库仍然是不可替代的最佳选择。
光盘存储也被认为是数据归档的一种手段,其特点是价格低廉,技术含量低,而且便于大范围分发。但是,其容量无法与磁带和磁盘相比,能够支持的应用也比较受限,因此并不适用于企业级别的数据归档应用。
随着应用的成熟与现实的需求,我们发现数据加密、身份认证、等技术也逐步走进数据归档的应用中,并且有效地提高了数据归档应用的效率,增强了数据安全性,大大降低了操作的复杂性和成本。
根据国家标准,在实际数据归档工作中要严格执行电子文档的鉴定、检测、归档、保存的环节。文档鉴定主要包括对电子文件的真实性、完整性、有效性的鉴定及确定密级、归档范围和划定保管期限。归档前应由文件形成单位按照规定的项目对电子文件的真实性、完整性和有效性进行检验,并由负责人签署审核意见,检验和审核结果填入《归档电子文件移交、接收检验登记表》。在进行电子文件归档工作时,应对归档电子文件的基本技术条件进行检测,检测内容包括:硬件环境的有效性,软件环境的有效性及其信息记录格式、有无感染等。电子文件的归档,按照鉴定标识进行。电子文件的归档可分两步进行,对实时进行的归档先做逻辑归档,然后定期完成物理归档。归档时,应充分考虑电子文件的技术环境、相关软件、版本、数据类型、格式、被操作数据、检测数据等技术因素。把带有归档标识的电子文件集中,拷贝至耐久性好的载体上,一式3套,一套封存保管,一套供查阅使用,一套异地保存。对于加密电子文件,则应在解密后再制作拷贝。最后归档电子文件应以盘为单位填写《归档电子文件登记表》,将相应的电子文件机读目录、相关软件、其他说明等一同归档。
三、代码管理
对于计算机信息企业来说,代码的安全存储、共享、协同开发是一个很重要的问题。随着软件开发过程的变迁,单一程序员的独立开发被软件开发团队的协同工作所取代。协同开发过程中,需要对文档、程序源文件进行版本控制,以避免各自为政之后带来的冲突与风险。
常用的代码版本控制软件有:(1)VSS( Visual SourceSafe),是公司出品的版本控制系统。(2)CVS(Concurrent Version System)版本控制系统,是一种GNU软件包,主要用于在多人开发环境下的源码的维护。实际上CVS可以维护任意文档的开发和使用,例如共享文件的编辑修改,而不仅仅局限于程序设计。CVS维护的文件类型可以是文本类型也可以是二进制类型。(3)SVN(Subversion),是一个开源的版本控制工具,不仅可以管理程序源代码,也可以应用于其它协作管理数据的工作。
SVN作为新一代的版本控制系统,已经得到越来越广泛的使用。它支持Windows和,可以用客户端,也可以用命令行模式。如果安装客户端,可以在Windows的资源管理器中直接使用SVN的相关功能,通过资源管理器进行团队项目文件的协同管理等操作,十分方便。因为它开源、免费,因此有众多其它软件与之支持配合。如开发环境Eclipse,只要安装一个插件,就可以让SVN和开发环境紧密地集成到一起。
从工作模式看,VSS采用锁定一修改一解锁工作模式,用户必须线性单用户工作,并发协作性差,工作效率比较低,适合小团队进行开发。SVN默认采用复制一修改一合并工作模式,多用户可以同时协作开发,并行性好;同时支持锁定一修改一解锁工作模式。
四、资源安全共享
当前,计算机和计算机网络已经成为企业、政府和其它各种组织的重要信息载体和传输渠道。很多单位都组建了内部,用于共享单位内部的一些重要文件等,以方便员工的访问、修改、信息交换、协同工作。计算机网络和其所带来的信息数字化大幅度提高了工作效率,也使得海量的信息存储和处理成为了现实。然而在享受到计算机以及计算机网络所带来的方便性的同时,也出现了目前受到广泛关注的信息资源共享的安全性问题,如近年出现的多起企业机密信息外泄事件。据统计,80%的企业信息泄漏事件都是由内部员工造成的。保护企业内部数据的安全已迫在眉睫。
所谓信息资源的共享必然是有限范围的共享,即给某个特定信息资源的访问者赋予一定的权限,访问者对该信息资源的操作只能限定在已设有的权限范围内,这样就可以达到资源信息有限共享的目的。此外,必须有效地对数据进行监控、管理,知道是哪些人对哪些数据进行了怎样的操作,并从中发现安全威胁和隐患。
为了实现信息资源的安全传输、存储和共享,我们采用数字证书技术设计和开发了自有产品——安全型文件共享系统。安全型文件共享系统是一个以数据安全为核心,通过采用PKI技术、操作系统核心技术和自有创新技术,从服务端对客户端用户身份认证、客户端对的远程配置、客户端对用户和用户组权限管理等方面,对数据的存储、传输和使用整个生命周期进行控制、保护和审计,确保数据的完整性和保密性,从而达到资源信息安全共享的目的。
安全型文件共享系统结构如下:
系统包括如下两大部分:
(1)安全型文件共享系统服务端。服务端使用专业文件服务器,安全稳定的Linux操作系统。为方便管理,提供了服务器管理工具,对服务器用户及用户组进行远程管理,服务器远程配置以及用户及用户组访问权限的管理等。
(2)安全型文件共享系统客户端。安全资源管理器,以Windows名字空间方式将服务器客户端浏览工具加入到Windows资源管理器中,操作服务器端文件如同操作Windows本地文件系统一般方便。
用户使用个人数字证书,由服务器对该证书进行认证管理。如果认证通过,则用户可以根据所分配的权限对相应服务器文件目录进行管理。
系统功能包括:
(1)用户身份认证:通过数字签名技术,实现了对客户端用户身份的有效认证,同时将用户身份和其所持有的资源实现了无缝的关联。
(2)访问权限管理:访问权限的管理体现在对服务器上某个共享目录文件具有“完全控制”权限的访问者可以对该目录文件设定拥有者以及设定他所具有的权限值,只有拥有对应权限的用户才能对目录进行服务器允许的操作。目录文件的权限包括:“完全控制”、“读取”、“写入”、“更改”、“列表”。
(3)用户及用户组管理:系统管理员可以对所有本系统的访问人员进行综合管理。(4)文件及目录管理:用户对服务器上被访问的文件及目录具有一定访问权限的前提下,才能通过客户端对它们进行有效地管理,如对目录或文件进行增加、删除和修改以及操作,上传与下载操作,复制、粘贴和剪切操作等。(5)数据传输加密:采用高强度的加密算法对客户端与服务端之间的通讯传输数据进行加密,保证传输数据的安全性。(6)数据备份与恢复:在数据存储上采用技术,把由于网络灾害和硬件故障造成的损失点。(7)系统日志管理:可以把用户和管理员对系统所作的各种操作行为进行详细的日志记录,保证对系统使用者进行全方位的监控和审计。
使用安全型文件共享系统,在很大程度上能够满足各个企业、政府机构或者其它各种组织对信息资源的安全共享所提出的需求。
五、业务系统数据安全
目前,随着的飞速发展,移动办公和分布式办公越来越普及,越来越多的企业或机构都有多个办公地点,因此需要解决远程办公的安全性问题,业务系统必须对远程接人的员工、代理商或服务商进行身份认证,以保障业务系统数据的安全。使用数字证书技术,可以实现: (1)基于数字证书的身份认证机制,确保系统访问控制的高安全性和高可靠性。(2)对重要操作环节和重要数据实现基于数字证书的数字签名功能,保护数据的完整性、真实性,并为后期纠纷处理及责任认定提供合法电子证据。(3)对敏感信息实现基于数字证书的数据加密功能,确保敏感信息在传输和存储阶段的安全性。
六、结论
本文阐述了企业数据安全管理常用的方法和手段。特别地,将数字证书技术应用于数据安全管理中,从客户端到服务端系统地对数据的存储、传输和使用整个生命周期进行控制、保护和审计,确保数据的完整性和保密性,可以更好地满足企业数据安全管理的需求。