信息泄露与信息安全分析

摘要：首先描述了电子信息内容管理现状，存在的问题，然后介绍了信息泄露三要素，紧接着给出了信息内容保护的技术思路，技术平台建设的策略，最后给予了总结。

毕业论文网 /2/view—12021593.htm　　关键词：信息泄露；信息安全；技术思路 　　中图分类号：TB 　　文献标识码：A 　　文章编号：1672—3198（2015）06—0195—02 　　1电子信息内容管理现状。

存在的问题 　　1.1信息未集中、未分级 　　信息包括有经营信息：战略规划、管理方法、商业模式、改制上市、并购重组、产权交易、财务信息、投融资决策、产购销策略、资源储备、客户信息、招投标事项等。

技术信息：设计、程序、产品配方、制作工艺、制作方法、技术诀窍等。

这些信息大都存在这些方面的问题：（1）部署了企业文件共享系统用于信息共享，但不是强制性，各种级别的信息混乱存放于服务器或个人计算机。

（2）信息未分级。

不同级别的信息未建立相应的操作处理制度和流程。

（3）技术资源不足，无法实现灾难情况下的信息保护。

1.2操作未规范 　　（1）对文档类信息的操作都由用户独立完成。

因没有制度和规范，用户有完全的操作（修改、拷贝、复制、删除、发送）自由度。

（2）用户计算机存储有需保护的信息（你有，我也有）。

（3）有些信息可能存储在员工计算机上，但公司服务器上没有（你有，我没有）。

没有制度、规范约束员工的信息处理行为，未有有效的技术保证员工按制度和规范实施信息处理。

1.3传递途径多样无法控制 　　（1）员工对个人计算机有完全的操作权限，可以利用所有方式将信息带离计算机。

（2）大多数员工有上网的权限，可以通过邮件、聊天工具、其他特殊的方式将信息传递出公司。

部署了域管理系统意欲控制个人计算机的数据接口和数据传递，但实施中制度保障不够，控制力没有体现。

正在测试行为管理系统意欲记录个人所有向外网传递的信息。

还无法记录所有类型的用户网络信息！ 　　2信息泄露三要素 　　2.1从信息角度（泄露的是什么内容） 　　从国家层面，信息分为绝密、机密、秘密三种类型，通过《中华人民共和国保守国家秘密法》制度执行。

从企业层面，信息分为核心商秘、普通商秘、公开信息。

通过《中央企业商业秘密保护暂行规定》制度执行。

2.2从用户角度（谁泄露的？目的？） 　　从主动泄密方向分为：主动窃取和违反操作规范。

从被动泄密方向分为：黑客窃取和病毒木马。

2.3从泄密途径角度（怎么泄露的？） 　　从本人计算机方面有：电磁辐射、本机打印、刻录、数据&通信接口、USB—存储、3G、蓝牙、红外、SD。

2.4网络传输 　　从邮件方面有：IM（QQ、MSN）、各种FTP、P2P。

3信息内容保护的技术思路 　　3.1隐藏、保护秘密信息 　　（1）隐藏：信息对用户完全不可见！信息失去了价值，此类方法在企业中不可用。

（2）保护：信息受保护，只有授权用户才可见、可操作。

（3）技术支撑――数据加密。

3.2控制、记录用户操作 　　（1）用户对信息的操作（拷贝、复制、打印、发送等）受控，只能按授权操作。

（2）用户对信息的操作被记录，可事后审计、追查。

（3）技术支撑――授权访问和控制。

3.3控制信息传输途径 　　（1）如信息存储在后端，控制信息传输途径就是控制系统管理员。

（2）如信息存储在PC端，就要控制PC的所有信息传输端口和途径。

所有的逻辑控制手段都可被突破，只能采用物理手段（PC端口全部硅胶封闭、网络全部物理隔离）。

最佳的方法：用户可使用操作信息，但信息本身无需传输到用户端。

（3）技术支撑平台――虚拟化和云计算。

4技术平台建设的策略 　　技术平台建设的策略如图1所示。

（1）数据集中—信息在终端生成和存储，但至少在数据中心后台要有副本。

数据集中如图2所示。

（2）数据集中说明：采用TB级NAS存储系统作为数据集中的存储池。

研发体系的数据（代码、过程文档）向各种版本管理器集中。

版本管理器中的数据通过备份的方式向数据池集中和归档。

非研发体系的数据（一般为Office文档）直接向数据池集中。

非研发体系的数据（一般为Office文档）在数据池中备份和归档。

定期做数据恢复演练！ 　　（3）数据集中效果：实现非研发数据的集中和保护，研发数据的集中保护。

研发体系数据在版本管理器、数据池中保存两份。

非研发数据在数据池中也至少保存两份。

（4）数据集中实施种可能存在的问题：研发体系数据集中已有基础，比较容易实现。

但要解决二次保护和灾难回复问题。

非研发体系数据集中可能需要强制执行，周期较长。

（5）数据集中实施计划：数据集中覆盖公司所有部门。

需集中的数据未集中率小于25%。

同时有相应的制度措施保障其持续有效。

（6）数据加密和授权访问：终端需要保护的信息都是客观来的，按授权使用数据加密推进策略的选择。

（7）深入测试：解决各部门已提出的问题，待有结果后，再做决策。

在研发体系中深入测试源代码管理、集中编译等问题。

条件允许抽取技术开发部做用户以上的测试，已验证数据加密和授权访问平台对研发环境的适用性。

在市场&客服体系深入测试技术平台对市场、客服用户移动办公、快速服务相应环境的适用性，测试对传递给用户、外包服务部门的文件控制的适用性。

再次分析测试结果，做是否在公司推广应用、部门推广应用、项目组推广应用的决策。

缺点：测试周期长，如果坚持某些应用场景（例如文件安全网关），目前所有的产品技术都不成熟，无法应用。

（8）边测试、边推广应用：在研发体系中深入测试源代码管理、集中编译等问题，抽取技术开发部做100用户以上的测试，已验证数据加密和授权访问平台对研发环境的适用性。

在市场&客服体系深入测试技术平台对市场、客服用户移动办公、快速服务相应环境的适用性，测试对传递给用户、外包服务部门的文件控制的适用性。

再次分析测试结果，做是否在公司推广应用、部门推广应用、项目组推广应用的决策。

在某些业务相对独立或保密性强的部门先推广应用。

优点：在具备应用条件的部门推广应用，迅速提升这些部门的信息安全保护水平。

缺点：用户应用环境和特点不同，可能造成先应用的部门与后应用的部门使用的技术平台不一致。

（9）虚拟化—所有数据都在后台，用户按需使用，但接触不到载体。

虚拟化是最终模式，但执行周期长，成本高，至少5—7年才能全部实现。

虚拟化推进的设想如图3所示。

依据虚拟化应用的效果、公司发展、新研发基地建设、虚拟化和云计算技术发展因素是加速推广还是逐步推进也是一个非常重要的问题所在。

5结束语 　　经过对电子信息内容管理现状，存在的问题，信息泄露三要素，信息内容保护的技术思路及技术平台建设的策略研究。

最后总结建议现阶段数据集中、加密、虚拟化小步快跑的方式同步并行推进。

参考文献 　　[1]PELTIER T R. Information Security Risk Analysis[Z].Rothstein Associates Inc，2001. 　　[2]冯登国，张阳，张玉清.安全风险评估综述信息[J].通信学报，2004，7（25）. 　　[3]科飞管理咨询公司.信息安全管理概论―BS7799理解与实施[M].北京：机械工业出版社，2002.