企业数据资产安全保护解决方案

2003-12-14　发布方：香港B2B　网友评论 0 条　点击进入论坛

现在随着使用电脑的人越来越多、网络化越来越普及，个人使用的电子邮件或者与其他人之间文件的传送就逐渐增多；而对于企业方面，无论是企业内部使用的办公系统OA的文件传送，还是企业对外界传送的电子邮件或者是通过网上的商务平台进行数据交流，这些信息的交换是越来越频繁。而随之带来的问题就是数据信息是否是在安全的状态下进行交流的呢？所以现在越来越多的企业和个人都开始关注自己的数据在传送过程中或者在平时的使用的时候是否安全，利用怎样的方法，数据才不会被人盗取或者窥探呢？

而对于媒体数据，就例如一些视频或者音频的数据。还有，现在很多的网站都希望对一些需要收费的数据能够提供实现货币化的形式，比如教育网站中提供的一些教育的资料能够向注册的用户收费，怎样去保护这些商业化的信息和数据不外漏，都是现在市场急需解决的问题。

而在实际操作方面，您现在使用的系统中对存取权限的管理是否足够呢？管理是不是方便，就是说管理者是不是能很清晰的知道每一个用户的存取权限，而且还可以很方便的更改它的权限设定。有这样方便的管理存取权限的系统而随之带来的就是降低企业系统的运作成本，并且还是不降低工作效率。

谈到网络安全，人们立刻就会想到防火墙。作为网络信息安全策略的重要组成部分，各种安全产品如防火墙，VPN设备在安全体系中的作用和重要性已经逐步被人们所认识，但是，在部署和使用安全产品时，很多人还存在一些认识上的误区。人们以为有了防火墙就有了一切，实际上，防火墙作为网络安全策略中的一个组成部分，不能保证安全，只能加强安全性，难以抵御黑客的攻击及内部员工的偷窃。原因有下面几点：

1. 防火墙难以防范网络内部的入侵行为。安全威胁往往并不全来自外部，很大一部分来自内部，据统计，80%以上的攻击来自于内部网络。而防火墙通常只能对内外网之间的通信进行过滤，而不干预内部网上的数据流，因此对内部入侵行为它无能为力。

2. 防火墙对网络外部入侵的防护作用是有限的。现在防火墙阻止外部入侵的主要方法是基于对IP地址和服务端口等等的访问控制，通常不对内容过滤，这样可以禁止“非法”连接，抵御多数攻击手段。但是，这种方法对于现在大量出现的针对IIS服务器的攻击毫无用处，因为防火墙无法将针对IIS服务器的攻击行为与普通用户的浏览行为相区分。

3. 防火墙不能完全保证内外网络的隔离。防火墙充当了外部网和内部网的一个屏障，但是并不能保证所有的外部访问都是通过防火墙的。比如，一个未经认证的调制解调器把内部网连到了外部网，就对系统的安全构成了威胁。

4. 防火墙本身可能存在安全问题，有可能被黑客攻破。这个问题有两个层面：首先，导致其它网络软件出现安全漏洞（如缓冲区溢出）的程序编写错误，在防火墙软件自身上也可能出现；其次，防火墙软件也要运行在一定的操作系统上，操作系统的安全漏洞也将被防火墙系统继承。实际上，防火墙系统本身，也是安全评估的对象。

也就是说，虽然防火墙是很有用处，但是如果你的机器总是采用一些不够安全的方式接收和发送数据，而你又仅仅依靠一些附加的程序提供安全，这就等于把所有的蛋放在一个篮子里，一旦防火墙软件出现bug或者有漏洞，那你很危险了。另外，防火墙对于病毒一类的软件完全没有防范能力，尤其是那些带有恶意的悄悄地向你的机器发送或提取数据的程序。最后，一些防火墙软件还可能帮倒忙，因为它们的厂商在广告中把产品的特点介绍出去，可能招致一些专门针对它们弱点的攻击。一但你的网络被恶意攻击者非法进入，那么你内部的一切数据都将得不到保护，任由别人窃取，修改，对外发布，那么企业所遭受的损失将不可估量。

因此在布署企业网络安全计划的时候，我们就要全方位考虑，综合利用防火墙，防病毒产品及信息访问控制及加密产品，尤其是在保护企业或政府的机密信息，商业秘密这些珍贵数据的时候，对信息本身的认证授权及加密就显得尤其重量。ViaSeal 就是这样一种产品，专门用来保护计算机系统内重要数据的一个安全平台，全面保护内部信息及对外共享的数据信息安全。

一. 先进的访问控制系统ViaSeal（威锁）
基于以上的市场需求，Viaquo公司开发出了一种世界领先的数据访问控制管理系统，这就是ViaSeal(威锁)。它是由美国著名安全软件公司VIAQUO开发的，ViaSeal的主要功能就是对计算机中的数据和信息进行加锁和保护，并为这些数据分配访问权限。ViaSeal使用软令牌（Soft Token）来传递认证信息及用户信息，并使用先进的对称算法AES及3DES对数据进行加密保护，密钥位数可高于128位。

首先，在保护企业或者个人的电子邮件的安全上，使用ViaSeal能够对电子邮件正文，包括它的附件进行加/解锁，而且ViaSeal不仅仅只针对电子邮件的使用，而且还可以作用于对各种类型的文件。尤其是企业内部的数据、报表等都是非常重要的资料，ViaSeal使用的是对每个文件都加锁保护的方法。而这种方法就与其他安全保护不同，一般的网络安全保护是一种对企业外围的保护，像防火墙这种网络保护，它并没有内部安全机制，而大部分的黑客攻击和窥探数据都可以由内部发起的。ViaSeal则是对每一位用户的文件或者电子邮件逐个进行保护，就算外面的屏障被攻破，内部数据仍然像装在一个带锁的保险柜里，不会暴露在外面。

第二个方面，对于视频、音频的这种信息或者教育培训的资料都是要向接受者收费的数据，ViaSeal的这种数据加锁的方式就提供给这些数据的拥有者一种收费的机制，通过集成在流媒体播放器中的插件如Media Player插件，令这些信息变成货币化的形式。用户客户得到已经加锁的资料后就可以通过ViaSeal SERVER 拿到TOKEN，直接在本地来解锁，是非常的易用和方便的。

第三个方面，说的是管理存取权限的方面，ViaSeal的管理存取权限是面向角色的，所以管理不同的角色就等于管理不同权限的用户。另外，ViaSeal采用是分布式的系统结构，就是说加锁、解锁的过程都是在装有客户端软件的电脑上，这种方式不但加、解锁的方便快捷，而且客户端与服务器之间只是TOKEN的传输，在令牌的有效期内，即使机器与网络脱离，也可以在本地进行验证，不再需要向服务器提出验证请求，这样可以大大减轻服务器的负担，从而降低了用户的系统运行成本。

二.   ViaSeal产品的优势
    ViaSeal对保护文件的安全性方面有它几个独有的优势：
    1.“面向角色”的权限管理,简单易用
    ViaSeal对用户分配不同的角色，而且可以是一对多的关系，即一个用户可以担当几个角色，接近实际工作岗位，易于被用户接受；
    2.可与硬件信息捆绑,确保唯一性
    ViaSeal客户端软件可与用户计算机中的硬件信息捆绑，如CPU序列号，硬盘信息等。确保用户名及口令丢失时受保护的信息仍然是安全的。
    3.可离线验证,相对独立于网络
    对于获取TOKEN（令牌），当TOKEN仍然是有效期内，客户端软件可以在离线的状态下加解锁数据，而如果是在线的时候，TOKEN超过了有效期，客户端软件就会自动向服务器获取一个新的TOKEN；
    4.可集成于任何办公软件
    规范易用的SDK二次开发工具包使第三方厂商可将ViaSeal集成于任何办公软件.现在ViaSeal提供的办公软件(Notes和Outlook)的插件组，就是在不改变软件操作的同时，对文件加锁，不需要其他复杂的操作。日后，ViaSeal还会提供其他的插件；
    5.分布式结构,易于扩展
    系统的结构使用分布的形式，客户端会自动完成加、解锁的过程，这种形式适用于多用户的环境，它减轻了服务器的负担，也就是降低了系统安装和维护的成本；并且客户端支持多个帐户共存，可在不同的服务器或安全域之间进行切换，方便日后扩展。
    6.支持数字签名
    最新推出的1.2版本支持数字签名功能，对文件安全更多一层保护；
    7.强大的兼容性
    由于基于JAVA内核的产品,ViaSeal的兼容性很强，适用各种类型的文件和WINDOWS平台。

三. ViaSeal应用方案的网络拓朴

缺图

ViaSeal服务器通常位于防火墙的DMZ区（也可位于内部网或IDC数据中心），可对邮件/各类文件/共享信息进行加锁保护，确保邮件，文件服务器中的数据及WWW/FTP中的共享信息等在存储与传输过程中均是安全的。企业内部各部门之间的权限相互独立，分别采用不同的密钥保护不同等级的文件。员工想要对文件加锁保护时，需要先通过认证获得令牌TOKEN，并且选择一个或多个的角色指定哪些用户可以访问此文件。然后电子邮件或文件即可以被发送出去或上传至文件服务器，在这个发送的过程中，文件是在安全的加锁状态，所以很安全。文件接收方拿到这封邮件或文件后，就可通过客户端软件身份认证后向服务器获取TOKEN，有了这个令牌以后就可以对文件解锁，还原成最初的原始文件。

四. ViaSeal (威锁) 产品典型应用案例:
在企业或单位用ViaSeal建立自己的信息安全保护机制之前，我们需要收集一些相关的信息以利于建立比较合理的安全架构,并最大限度地降低管理员的管理工作量。这些信息包括：公司行政结构图，需要被保护的文件类型，各部门的权力划分。

首先我们要考虑一下企业或单位的结构图，通常情况下我们按照行政功能来划分公司的结构并赋予员工相应的角色。下面我们以公司Viaquodemo为例，首先我们需要了解公司的组成结构及ViaSeal成员在公司中的职位。下图是该公司的树状结构图：

缺图

根据上图，我们可以看出该公司主要有四个部门，每个部门之间相互独立，各自有不同的职能划分，因此各部门内部及部门之间均有一些重要的资料及数据需要得到安全的保护，要求这些资料不被与部门或公司无关的人窃取或阅读到。这些敏感资料可划分如下几类：

    市场部绝密：
    ·商务计划
    ·定价单
    ·生产成本
    ·部门预算
    ·客户问题
    ·商务回顾
    ·发展回顾

    销售部绝密：
    ·区域销售预测
    ·销售经理佣金
    ·区域客户列表
    ·销售部预算
    ·区域销售计划
    ·区域客户目标

    工程技术部绝密：
    ·源代码汇总
    ·设计规范汇总
    ·服务器备份记录
    ·详细开发计划

    财务/人力资源部绝密：
    ·诉讼明细
    ·董事会备忘录
    ·人事数据
    ·薪资数据
    ·基金文档
    ·员工健康信息

    市场部机密：
    ·生产计划
    ·报价单
    ·产品需求文档
    ·促销计划
    ·预备性手册
    ·市场调查
    ·对比性数据

    销售部机密：
    ·个人销售预测
    ·佣金计划
    ·个人客户列表
    ·费用报告
    ·个人销售计划
    ·个人客户目标

    工程技术部机密：
    ·部分源代码
    ·部分设计说明
    ·功能性说明
    ·产品测试报告
    ·产品说明书
    ·开发日程安排
    ·工程部预算

    财务/人力资源部机密：
    ·客户合同
    ·采购合同
    ·招聘计划
    ·员工评估
    ·部门预算
    ·公司财务数据

最后我们需要从公司的高级领导层那里获得各部门的权力范围，即某个部门的人员有权对哪些敏感文件进行操作，包括读和写两种操作方式，读就是解锁的权限，写就是加锁的权限。

在了解了这些情况以后，我们就可以着手建立相应的权限组及权限，并为用户建立相应的角色，不同的用户根据他们的职位可以访问不同的权限。我们按部分划分建立四个权限组，即市场部，销售部，工程技术部，财务/人力资源部，每个权限组设立两个基本权限，即机密和绝密。并按成员职位划分出八个角色，即首席执行官，市场部经理，市场部员工，销售部经理，销售部员工，工程技术部经理，工程技术部员工和财务/人力资源部。最后按员工所属部门划分出五个工作组，即VIAQUO中国，市场部，销售部，工程技术部，合作伙伴。

缺图

    在图中我们可以看到不同的角色对应了不同的访问权限，具体配置如下:
    1.市场部绝密权限，CEO及市场部经理拥有完全的读写权限，而市场部员工，工程部经理和财务人力部的员工只有读的权限，其它部门及员工无权访问用该权限加锁的文档。
    2.市场部机密权限，CEO，市场部经理及市场部员工拥有读写权限，其它部门拥有读的权限。
    3.销售部绝密权限，CEO，销售部经理拥有读写权限，市场部经理有只读权限。其它部门无权访问。
    4.销售部机密权限，CEO，销售部经理及员工有读写权限，其它部门人员有只读权限。
    5.工程技术部绝密权限，工程技术部经理有读写权限，其它人员无权访问。
    6.工程技术部机密权限，工程技术部经理及员工有读写权限，其它人员有只读权限。
    7.财务/人力资源部绝密权限，CEO及财务/人力资源部人员有读写权限。
    8.财务/人力资源部机密权限，CEO，财务/人力资源部，各部门经理有读写权限，其它人员无权访问。

如果域内成员比较多的话，我们可以建立一些权限较低的管理员来分担SO的管理工作。通常情况下，SO的权限一般由公司高层领导如CEO，CTO或董事等掌握或指定人员拥有，域管理员的权限一般分配给信息技术管理员或首席财务官，工作组管理员的权限分配给各部门经理或主管，这样他们可以单独管理自己的部门。

至此我们基本上就有了一个相对完整的内部信息安全解决方案。

ViaSeal这种面向角色管理的系统对在网络上的应用可以说是非常的广泛，除了上面所讲的电子邮件和文件的加锁外，还可以应用在很多方面，比如，对于电子商务平台，能够保护电子帐单的传送，使网上的商务信息更加安全。 ViaSeal提供了数据信息的收费机制给提供商使用，数据的共享、控制音频/视频在线点播、对收费的资料进行加锁，或者可以对一些在线的网络游戏的用户登陆进行权限管理。可集成于任何办公自动化软件及电子政务软件中，对发文，收文及相关数据均可提供严密的安全保护。总之，ViaSeal将使广大的电子商务及应用程序提供商受益。欲了解更多解决方案及产品详情，请访问我们的网站www.viaquo.cn 。

已有 0 位对此文章感兴趣的网友发布了看法　

我来评两句	登录邮箱：密码：
请您在这里发表您的个人看法，发言时请各位遵纪守法并注意语言文明！
	匿名发表