随着研究院业务扩展和研发队伍的不断壮大,以及对客户端数据安全管理以及信息安全要求的不断提升,需要寻求适合于研究院现状和未来发展需求的保证数据安全的技术平台,充分利用现有网络环境和硬件、软件资源,在保证客户端应用需求的同时,实现客户端的标准化集中管理和数据安全,并能快速灵活地应对业务需求的变化。
我们知道,很多研究院的数据中心是数据资源最密集的地方,而电子文档作为数据信息的载体,并以其高效、便捷成为信息化建设发展重要的组成部分。但电子文档自身特性使得信息内容安全性面临巨大挑战,在对所有的数据泄露事件进行分析时得知,因病毒、木马、蠕虫和黑客攻击造成数据泄露的仅占21%,而由于内部员工误操作、主动泄露和软硬件故障等其它原因占据79%。一封电子邮件、一个U盘拷贝、或一台随身携带的笔记本电脑,就可以轻松将数据中心的重要机密电子文件窃取出来。网络存储作为数据中心的组成部分,其广泛的应用不仅带来了极大的便利性,同时也带了严重的安全隐患,管理员通过建立特权账号的方式,窥视和非法获取涉密文件,因此如何保护应用系统存储在后台上数据的安全,同时在不影响用户使用的情况下又能有效的与应用系统进行集成,是我们亟待解决的问题。而且从威胁性方面分析,主要源于以下两点:
(1)终端数据泄露风险
数据中心管理控制区的终端作为对服务器、存储等核心设备进行管理和维护的平台,终端上必然存储着与数据中心相关的数据资料,如果遭到人为泄露,那么后果不堪设想。因此我们需要有效的手段和措施,在既不会对工作造成影响的同时又能保证终端上数据的安全。
(2)存储数据泄露风险
数据中心存在很多的应用系统,其后台存储的数据都是集中存放在NAS上,诸如:OA、无盘工作站、个人NAS空间中存储的非结构化数据等。这些应用系统对于用户来说自己只能访问到属于自己的文件或具有权限查看的文件,而管理员则可以通过NAS存储自身的安全缺陷,可以读取到所有人的数据资料。那么管理员则成为了数据中心最大的风险所在,如何有效的防止管理员偷窥并获取他人的数据资料,又能有效的与应用系统集成,使用户应用无感知,则是我们面临的难题。
对于数据中心存储的数据进行加密保护,保障用户单位的核心利益。可以解决数据中心管理人员被动泄密,造成的数据泄密的情况(如U盘遗失,邮件转发等)。可以有效的避免在数据中心在受到黑客攻击时,电子文件始终处理加密受保护的状态,核心文件不会被盗用。
文档防扩散系统对电子文档的保护力度和产品本身的安全稳定性非常高。对于电子文档分发、打印、复制受到权限控制以及脱离了数据中心的文档有效的控制,杜绝涉密信息二次泄露、非法修改。而文档加密安全准入网关则通过上传加密下载解密的特性,保障了存储于NAS空间内的数据安全,有效的防范管理员偷窥和获取NAS上的数据。从安全管理视角分析,有如下特点:
(1)普通操作明文使用,不影响管理员在做运维工作时的操作习惯,防止管理控制区终端上的数据被违规外带或泄密。
(2)通过安全文档网关处理,对存储在NAS上文档进行加密保护,防止管理员偷窥和获取NAS上的数据资料,同时不影响普通用户使用。
因此,为提高研究院内部信息管理的安全性,实现文档内容流转安全可控,能有效防止文件的扩散和外泄,需要建立一套完善的文档安全管理系统,对内部电子文档的使用范围、用户操作、文件流转进行控制管理,防止文档内部核心信息非法授权阅览、拷贝、篡改等