给企业信息加把安全锁
- 格式:pdf
- 大小:459.05 KB
- 文档页数:7
给企业信息安全加把“锁”――电子文件加密在工程设计领域的应用中冶长天国际工程有限责任公司刘克俭舒力刚【摘 要】本文通过对中冶长天国际工程有限责任公司(原长沙冶金研究设计总院)构建电子信息安全保护与管理体系的过程,着重描述大型设计研究院所在电子信息安全保护与管理建设中需要注意的各类要点和事项,以及对原有的管理模式进行调整等。
并通过在机械设计分院的具体实施内容,阐述电子信息安全保护与管理体系对现有管理模式的影响和所采取的对策。
【关键词】设计院所、信息安全、文档加密、信息安全管理。
一.前言计算机应用技术和网络技术的普及,给人们带来无穷的便利和效率,信息的共享使人类拓展了观察世界的眼界,真正实现了信息无疆界的境界。
但是,在计算机应用技术和网络技术给人类带来便利的同时,也导致大量需要控制的信息通过网络、储存设备等向外泄露,个人隐私和单位的各种机密暴露在公众之下。
因此,对计算机电子文档的安全性问题,越来越引起人们的注意和官方的关注。
作为国内冶金行业最大的冶金工程科研单位,中冶集团长天国际工程有限责任公司(原长沙冶金研究设计总院)从2000年起就开始关注计算机信息安全的问题。
通过几年的积累,无论在行政管理方面,还是计算机网络安全方面,均建立起各种“防护墙”,来保证企业的商业机密、技术机密的安全以及计算机网络的安全运行。
但是,普通的安全防护已不能满足和解决现实环境的需要,人为的“疏忽”,使得一些商务竞标资料、工程设计资源和关键工程图样落在竞争对手的手里,给企业带来不可预计和挽回的损失。
因此,引进专业的电子文件控制(加密)安全系统,是完善企业信息安全体系不可缺少的措施。
二.项目背景长天国际工程有限责任公司建于1957年,是我国冶金系统最大的冶金工程设计研究机构和大型市政设计研究机构之一,现有专业技术人员近800人,覆盖30多个工程专业,具有雄厚的工程设计和科研开发能力。
长天国际工程有限责任公司所完成的近千项工程设计项目,多次获得国家、省部级优秀工程设计奖、科技进步奖、发明奖,形成近50个专利技术,并以具备多行业、多层次、多形式的工程总承包能力而跻身全国先进行列。
长天国际工程有限责任公司自1994年全面引进计算机应用技术以来,在引进各类计算机工程设计和办公应用软件和建立覆盖全院的计算机网络的同时,按照BS7799/ISO17799标准的要求和规范,建立企业级信息安全管理体系,从计算机硬件、软件配备、操作系统配置、硬件物理隔离和行政管理制度等措施来加强计算机信息的安全管理,使计算机安全问题得到有效的控制,达到了一定的防范目的。
但是,在保证计算机安全的同时,也给企业的行政管理和工作效率带来一定的负面影响,企业内部的信息传递与技术交流受到一定的限制,特别是在项目协同设计方面更为突出,产生一些信息“孤岛”。
通过对信息安全管理体系的全面分析,传统的安全控制方法,虽然可以解决常见的安全问题,但还是存在文件泄露的漏洞,只有在文件产生的源头进行控制,才能彻底解决信息安全的问题。
因此,在经过对信息安全保障技术的技术调研,认为对电子文件进行有效的技术处理(加密),是解决这类问题的有效、方便和经济方法。
三.电子文件控制安全系统的选择目前,电子文件控制(加密)软件处于起步与完善阶段,符合和达到BS7799/ISO17799标准要求和规范的产品更少。
在对国内现有的几种电子文件控制(加密)软件进行选择时,按照我公司的实际情况,着重从以下几个方面进行选择和比较,以求得最佳软件产品和产品供应商。
1.满足复杂的网络与硬件环境我公司的计算机工作环境相对复杂,在公司的总局域网环境下,各分院还存在着自己的分局域网。
构架局域网的操作系统为Windows 2000 Server和Windows 2003 Server,而客户端的操作系统更是五花八门,几乎包含了近几年国内流行过的所有操作系统和各种版本。
客户端计算机的配置,因时代的差异,形成各式各样的硬件配置。
对于用于文字处理的计算机一般为PⅡ和PⅢ、用于工程结构设计(二维设计)与处理的计算机为PⅢ和PⅣ,结构特征三维造型、平面美术处理、有限元分析以及用于系统管理等则采用64位双核技术。
2.适应复杂的各种应用软件我公司在承接和实施工程项目过程中,将涉及到各种工程开发软件和办公软件。
目前,公司1994年至2005年之间的各种版本,Pro/E、UGⅡ等一些高档软件也存在各个时期的不同版本。
现有的电子(存档)文件也出自不同版本的软件,存在同一文件需要适应不同的版本软件。
为了提高电子文件的交流效率和可靠性,公司还涉及到一些其它软件,并通过这些软件接收和发出需要交流的文件。
这些软件为:3.有效技术服务与应急反应对电子文件进行(加密)控制是一件非常细致而严谨的行为,任何一个失误(软件自身错误)产生的“误”操作均可能给用户带来“灭顶”之灾。
因此,软件供应商的技术服务及时性、解决软件故障的手段、对(加密)控制文件的处理方法以及自恢复能力,对用户来说是十分重要的,也是选择供应商的重要条件。
4.软件模拟运行试验对电子文件控制(加密)软件需要进行一定时间的试运行,尽量模拟可能出现的各种工作环境和应急处理措施。
在对国内现有的几家开发电子文件控制(加密)软件的供应商进行技术、性能、服务和价格等方面的综合比较后,认为杭州浙大大天信息公司的GS-DES大天计算机图文档安全系统能够适应我公司信息安全管理体系中的电子文件控制(加密)需要,可以弥补我公司在信息安全管理体系中的电子文件安全管理方面的缺陷。
四.项目实施在确定软件产品的提供商和商务合同后,长天国际工程有限责任公司电子文件控制(加密)项目进入实施阶段。
为了保证项目实施工作达到最终效果,整个项目实施分为三个阶段进行,即内部系统整理、小批安装验证和全面展开。
1.内部系统整理由于我公司应用计算机技术历史较长,计算机硬件和操作系统相对复杂,因此,在项目实施之前,首先对计算机硬件、操作系统和网络环境进行必要的整理,形成以Windows 2003 Server 为服务端、Windows 2000/XP Professional为客户端和支持TCP/IP协议的10/100M的企业局域网,并通过“域”对操作人员进行身份识别与控制。
图形设计与文字编辑应用软件是电子文件产生的源头。
在内部系统整理过程中,重点把现有的应用软件进行统一,形成以AutoCAD/Inventor为工程设计软件、以MS Office/金山WPS系列为文字处理软件的图形设计与文字编辑环境、以Photoshop/CorelDraw为图像处理软件,并对软件的版本作了相应的控制。
为了防止其他应用软件(包括工作人员擅自安装的应用软件)所形成的文件失控,在确定AutoCAD、Inventor、MS Office、Photoshop、Protel和Mapgis等应用软件为主要控制软件的基础上,增加了一些国内常见的图形设计与文字编辑应用软件的控制,尽量堵住可能出现的技术“漏洞”。
因此,还对下列应用软件进行了控制:●三维工程设计软件:Solid Works、Pro/E、UGⅡ、I-DEAS、CATIA、Solid Edge;●二维工程设计软件: GS-ICAD、CAXA、OpenCAD、ZW-CAD、PI-CAD、KM-CAD;●文字编辑处理软件:金山WPS、Acrobat;●图像编辑处理软件: CorelDraw、3D max;●Windows操作系统:记事簿、写字板、画图。
2.小批安装验证电子文件控制(加密)项目的实施是一件涉及面广,又具有风险性的工作。
为了保证实施效果,避免或把风险降到最低限度,在项目实施过程中,严格按照先试点后展开的原则,利用节假日,选定具有典型意义的十余台计算机,进行GS-DES系统的小批量安装,并在满负荷工作状态下进行运行,并按照下列内容对GS-DES系统的技术性能和系统稳定性进行验证:1)文件显示、打印效果在不改变文件内容的情况下(以Word文档为例):●在已安装GS-DES系统客户端上,同一文件加密前、加密后和解密后的不同状态,进行显示和输出打印,其内容和页面格式保持一致;●在未安装GS-DES系统客户端上,同一文件加密前和解密后的不同状态,进行显示和输出打印,其内容和页面格式保持一致;●在未安装GS-DES系统客户端上,同一文件加密后的状态,进行显示和输出打印,其内容为“乱码”。
2)文件交换效果在已安装GS-DES系统客户端上,在金山WPS环境中,将金山WPS的文本文档保存为MS Office 系统的Word文档(加密状态的DOC文件格式):●在已安装GS-DES系统客户端的计算机上,用MS Office系统的Word程序打开该文件并可以进行编辑;●在未安装GS-DES系统客户端的计算机上,用MS Office系统的Word程序打开该文件后,其内容为“乱码”。
3)受控软件效果在已安装GS-DES系统客户端上,文件经过编辑和保存后(以AutoCAD系统为例):●在已安装GS-DES系统客户端的计算机上,打开该文件并可以进行编辑;●在未安装GS-DES系统客户端的计算机上,打不开该文件,或经过解密后能正常打开该文件;●利用供应商提供的加密文档,在安装了GS-DES客户端的计算机上,用相应的应用程序打开该文档,该文档不能被打开或者打开后文档中文字是“乱码”。
4)文件内容复制(复制/剪切、粘贴、OLE功能)在安装GS-DES客户端的计算机上:●受控应用程序(AutoCAD系统)内的文件内容无法“粘贴”或“OLE”到未受控应用程序内(Word系统)的文件中;●未受控应用程序内(Word系统)的文件内容能“粘贴”或“OLE”到受控应用程序(AutoCAD系统)内的文件中;●二个受控的应用程序(AutoCAD系统与Word系统)之间的文件内容可以相互“粘贴”或“OLE”链接。
5)其它控制在已安装GS-DES系统客户端的计算机上:●在受控应用程序中进行文件“拷屏”、文件“另存”等操作所形成的文件应处于加密状态;●限制受控应用程序的FTP访问、邮件发送等功能的使用。
6)GS-DES系统运行状态:●安装GS-DES系统的计算机上,在计算机右下角应出现“”标识;●安装GS-DES系统的计算机与GS-DES系统服务端联系处于“中断”时,标识“”将变为“”;●在与服务器“中断”时,不能启动受控应用程序,并出现报警和提醒“窗口”,如联系恢复后,重新“登录”;●在与服务器“中断”后,正在受控应用程序中进行编辑的文件,保存后应处于加密状态。
7)文件解密●在安装了GS-DES系统服务端的计算机上,通过身份密码登录到服务窗口(界面),查看文件加密、解密状态;●在服务窗口,对本地或者通过局域网,“框选”或“单选”需要加密或解密的文件,进行批量加密或解密;●在服务窗口,通过“日志”,查看文件加密或解密的操作过程记录。