数据保密解决方案精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的数据保密解决方案主题范文，仅供参考，欢迎阅读并收藏。

第1篇：数据保密解决方案范文

>> 论云计算的安全问题及其解决方案 浅析计算机网络及信息安全出现的问题及解决方案 计算机网络信息安全问题及解决方案 计算机网络安全问题及解决方案 安全解决方案的智能策略 移动办公的安全解决方案 绿盟科技云计算安全解决方案落地 计算机使用安全的解决方案的探索 基于可信计算的移动支付安全终端解决方案 基于计算机网络安全保密解决方案的分析 计算机网络安全漏洞及解决方案的研究 计算机网络安全保密解决方案的分析 完整打造多方位的系统解决方案 计算机通信网中路由问题的博弈论解决方案 计算机教学中存在的问题及解决方案 电子商务安全问题及其解决方案 社交网络安全问题及其解决方案 新时期计算机网络安全问题与解决方案探讨 食品安全检测存在的问题以及相应的解决方案 数字图书馆面临的安全问题及解决方案 常见问题解答 当前所在位置：l.

[4]DU W L， ATALLAH M J. Privacypreserving cooperative scientific computations [C]// Proceedings of the 2001 14th IEEE Computer Security Foundations Workshop. Washington， DC： IEEE Computer Society， 2001： 273-282.

[5]ATALLAH MIKHAIL J， DU W L. Secure multiparty computational geometry [C]// Proceedings of the 2001 7th International Workshop on Algorithms and Data Structures， LNCS 2125. Berlin： SpringerVerlag， 2001： 165-179.

[6]刘文，罗守山，陈萍.利用El Gamal密码体制解决安全多方多数据排序问题[J].通信学报，2007，（11）：1-5.

[7]GOLDWASSER S. Mutiparty Computations： past and present [C]// PODC 97： Proceedings of the 16th Annual ACM Symposium on Principles of Distributed Computing. New York： ACM， 1997： 1-6.

[8]GOLDREICH O. Foundations of cryptography： basic applications [M]. London： Cambridge University Press， 2004： 599-729.

[9]李顺东，王道顺.现代密码学：理论、方法与研究前沿[M].北京：科学出版社，2009：193-232.

[10]马敏耀.安全多方计算及其扩展问题的研究[D].北京：北京邮电大学，2010.

[11]廖晓峰，肖迪，程勇，等.混沌密码学原理及其应用[M].北京：科学出版社，2009：2-4.

第2篇：数据保密解决方案范文

【 关键词 】 安全操作系统；操作系统安全子系统(SSOOS)；等级保护

Analysis on General-purpose Security Operating System Solution

Li Ke

（JOWTO Technology Company Limited GuangdongShenzh 518057）

【 Abstract 】 With the continuous upgrade of attack technologies and the sharp rise in the data disclosure events, the people in the information security industry attach greater importance to the security problems of server operating system. Starting with the research on the classified protection security operating system, this article introduced the solutions of two kinds of security operating systems and analyzed the advantages of the general purpose security operating system over the traditional independently developed security operating system. In this article, we give full priority to represent the technical advantages of general purpose security operating system solution and the principles for achieving such solution. In combination with three enhanced type access control security models, namely DTE, RBAC and BLP, we reconstructed the security subsystem of operating system (SSOOS) and promote the security class of operating system in dynamic and transparent manner, so as to achieve the solution of general-purpose security operating system.

【 Keywords 】 security operating system；security Subsystem of operating system（SSOOS）；classification protection

0 引言

随着网络安全威胁的日益严重，用户对信息安全的建设越来越重视。而现阶段的安全威胁不仅种类越发丰富，攻击形式也日趋多样。从早期的病毒蠕虫到现在非常普遍的恶意代码、盗号木马、间谍软件、网络钓鱼以及大量的垃圾邮件等，无一不给用户的正常应用带来严重的安全威胁。受到攻击的用户轻则黑屏死机，重则造成个人经济利益损失。

同时，针对服务器的Web应用层攻击(包括SQL注入、跨站脚本攻击等)已成为目前流行的方式，造成大量对外提供业务的服务器网页被篡改，或者服务器瘫痪等问题。近期发生的大规模数据泄露事件，涉及多个大型网站，信息泄露数量高达1亿多条用户信息，严重侵害了互联网用户的合法权益、危害了互联网安全。

1 安全操作系统需要解决的问题

人们对网络安全问题及造成的危害早已认识，对其防范措施也是多种多样，虽煞费苦心但效果并不理想。其实防火墙、防病毒、入侵检测、UTM等网络层和应用层的防护手段已趋于成熟，信息系统产生安全问题的最基本原因在于操作系统的结构和机制的不安全。其根源在于PC 机硬件结构的简化，系统不分执行“态”，内存无越界保护等等，使操作系统难以建立真正的TCB（可信计算基）。这样就导致资源配置被篡改、恶意程序被植入执行、利用缓冲区溢出攻击、非法接管系统管理员权限等安全事故的发生。

随着病毒在全球范围内的泛滥传播、黑客利用各种漏洞发起的攻击、非授权者任意窃取信息资源等各类安全风险的激增，使得传统的信息安全产品“老三样”（防火墙、防病毒、入侵检测）、IPS等构筑的防护体系日趋显得被动。

信息安全问题的根本解决，需要从系统工程的角度来考虑，通过建立安全操作系统构建可信计算基(TCB)，建立动态、完整的安全体系。没有安全操作系统的保护，就不可能有网络系统的安全，也不可能有应用软件信息处理的安全性。

信息安全框架的构造如果只停留在网络防护的层面上, 而忽略了操作系统内核安全这一基本要素,就如同将坚固的堡垒建立在沙丘之上,安全隐患极大。

根据国家《GB/T 20272-2006 信息安全技术 操作系统安全技术要求》，安全操作系统需要解决几个问题：第一，身份鉴别；第二，访问控制，包括自主访问控制和强制访问控制要求；第三，数据流控制；第四，安全审计；第五，用户数据完整性保护；第六，用户数据保密性保护；第七，SSOOS自身安全保护。

如何解决上述七点问题成为安全操作系统开发的难点。

3 提升操作系统安全等级的主要方式

当前国内使用的服务器操作系统主要来自国外（如AIX、HP-UX、Solaris、Windows Server、Linux Server等），由于多数商用服务器操作系统不开源，所以现阶段要提升操作系统安全等级主要有两种方式：一是依靠使用开源的Linux源代码自主研发安全操作系统；二是通过重构操作系统安全子系统（SSOOS）提升现有操作系统的安全等级，从而实现安全操作系统。

基于Linux开源代码研究的基础上，对Linux操作系统进行安全改造，重新构建一个新的安全的操作系统，可以保证操作系统的可控性、可信性。通过重构开源操作系统内核，虽然可以实现操作系统安全等级的提升，但不足之处是其对上层应用软件、配套硬件、网络支持上还不够完善。我国的服务器操作系统高端市场基本是IBM AIX、HP HP-UX、Sun Solaris，而中低端基本上都采用的是Windows Server。这种方式只限于公开内核源代码的操作系统，对部分商用服务器操作系统（包括Windows Server、Solaris、AIX等）不适用。

若采用此种方案需要放弃现在使用的操作系统，而使用一个全新的操作系统，这将严重影响企业的业务连续性和业务逻辑，也因此多数企业不愿采用而无法得到普及。可以看出，这种方式并不适合当前通用安全操作系统解决方案。

相对于使用Linux源代码自主研发安全操作系统，采用重构操作系统安全子系统（SSOOS）实现安全操作系统的方法，是在内核层面上对操作系统进行重构和扩充。这种方式对安装在操作系统之上的合法应用软件和数据库的正常使用不会造成任何影响，对底层硬件驱动也是透明发生，其不会影响现有业务的连续性，甚至不用重启服务器，就能对整个操作系统的安全级别进行动态提升，以达到解决操作系统安全隐患的目的，是目前较为理想的通用安全操作系统解决方案。

在操作系统中，SSOOS是构成一个安全操作系统的所有安全保护装置的组合体。一个SSOOS可以包含多个SSF（SSOOS安全功能模块）,每个SSF是一个或多个SFP（安全功能策略）的实现。SSP（SSOOS安全功能策略）是这些SFP的总称，构成一个安全域，以防止不可信主体的干扰和篡改。实现SSF有两种方法，一种是设置前端过滤器，另一种是设置访问监控器。

以下解决方案为采用设置访问监控器实现SSF的方法，是通过在SSOOS中设置多个资源访问监控器，控制的客体范围包括文件、进程、服务、共享资源、磁盘、端口、注册表(仅Windows)等；主体包括用户、进程和IP，同时支持用户与进程的绑定，可以控制到指定用户的指定进程。将主机资源各个层面紧密的结合，可以根据实际需要对资源进行合理控制，实现权限最小原则。并结合增强型DTE、RBAC、BLP三种访问控制安全模型，重构操作系统的安全子系统（SSOOS）,用重构后的“强化安全子系统监控器”监控资源访问的行为，遵循增强型DTE、RBAC、BLP模型来实现系统的安全策略。通过三种模型的相互作用和制约，确保系统中信息和系统自身安全性，以保障操作系统的保密性、完整性、可用性、可靠性。

4 增强型安全模型与传统安全模型的区别

4.1 增强型DTE模型

DTE （Domain and Type Enforcement）模型是有效实施细粒度强制访问控制的安全策略机制。其中安全域隔离技术作为构建可信系统的基本要求之一，是操作系统核心强制执行的一种访问控制机制，特点是通过严格的隔离，阻止安全域内、外部主体对客体的越权访问，实现保密性、完整性、最小特权等安全保护。

增强型DTE是在传统DTE模型基础之上进行扩充，实现域内不仅分配主体也可以分配客体，使不同域内的主客体访问达到多对多的访问关系。通过定义不同域的主客体访问权限，解决现有DTE模型存在的安全目标不准确、系统的安全性难以控制等问题。

通过配置严格的隔离策略，阻止安全域内、外部主体对客体的越权访问，从而实现保密性、完整性、最小特权等安全保护。为域间通信提供安全可靠的可信管道机制，从而得出系统处于可信状态的形式定义。采用增强型DTE安全域可以根据安全需求将应用和功能划分到不同的域，使进入域的主体权限得到有效控制，离开域的主体权限最小化。对比如图1所示。

4.2 增强型RBAC模型

基于角色的访问控制（Role-Based Access Control）因为有着替代传统访问控制（自主访问、强制访问）的前景而受到广泛关注。在RBAC中，权限与角色相关联，用户通过成为适当角色成员而得到这些角色的权限，这就极大地简化了权限的管理。

在一个组织中，角色是为了完成各种工作而创造的，用户则依据它的责任和资格来被指派相应的角色，用户可以很容易地从一个角色被指派到另一个角色。角色可依据新的需求和系统的合并而赋予新的权限，而权限也可根据需要从某角色中回收。角色与角色的关系可以建立起来以囊括更广泛的客观情况。

增强型RBAC模型可以支持细粒度的配置，其主客体对应关系如图2所示。

4.3 增强型BLP模型

BLP模型的基本安全策略是“上读下写”，高安全级别主体只可以读安全级别比它低的客体，低安全级别主体只可以写安全级别比它高的客体，同级别主客体间可读写。“上读下写”的安全策略保证了数据流向中的所有数据只能按照安全级别从低到高的流向流动，从而保证了敏感数据不被泄露。

增强型BLP模型读和写的权限更注重细粒度的控制，读权限包括读数据、读ACL等。写权限包括写数据、追加写、写ACL 等。BLP模型示意如图3。

椒图科技以上述解决方案为基础进行深入的技术研究和拓展，率先研发出了新一代的椒图主机安全环境系统，简称：JHSE（JOWTO Host Security Environment的字母缩写）。JHSE以国家等级保护标准为依据，是针对服务器操作系统存在的安全隐患而提供的通用型安全操作系统解决方案，解决操作系统层面所面临的恶意代码执行、越权访问、数据泄露、破坏数据完整性等各种攻击行为。

5 总结

椒图科技JHSE能够通过可视虚拟化技术将每个应用或者功能单独划分成安全域，各安全域之间如同独立的主机相互隔离；利用增强型DTE所生成的每个安全域中均具备增强型RBAC安全机制，可对域内资源进行强制访问控制，让每个域的安全性非常健壮；而增强型DTE则隔离了域与域之间的访问，即便管理员忘记对某个域进行安全配置，出现了安全事故，所产生的影响也仅局限在该域内，不会影响和扩散到其他域。

这种默认的最小化安全访问机制，有效地隔离了已知、未知攻击和恶意代码对系统与应用资源的访问，确保了系统资源的保密性和完整性，从而也提供了高可用和高可靠的业务连续性。JHSE通过对安全子系统（SSOOS）的重构和扩充，它将原有操作系统中自由型、层次型的自主访问控制模型，改变为符合《GB/T 20272-2006信息安全技术-操作系统安全技术要求》的宿主型自主访问控制模型。

JHSE严格按照三级操作系统安全标准，使操作系统安全达到身份鉴别、强制访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范，资源控制等标准，为信息系统提供纵深防御体系。

同时，JHSE适用于AIX、HP-UX、Solaris、Windows Server、Linux Server等主流商用服务器操作系统，其安装、应用都不会影响原有业务的逻辑和连续性，从而实现了对服务器操作系统安全等级的动态、透明提升。椒图科技JHSE为我国首个通过国标三级检测的通用型安全操作系统，是适用于金融、电信、海关、税务等多个领域的通用型安全操作系统解决方案。

参考文献

[1] 《GB/T20272-2006 信息安全技术 操作系统安全技术要求》.

[2] 《信息系统安全等级保护定级指南》.

[3] 《信息安全技术 信息系统安全等级保护基本要求》（GB/

T22239-2008）.

[4] 《信息安全技术 服务器安全技术要求》（GB/T21028-2007）.

第3篇：数据保密解决方案范文

现任RIM公司中国区总裁。2005年，担任美国信息产业机构（USITO）北京办事处总裁兼执行董事。

2000年，服务于西门子和中国中信集团公司的合资公司，负责风险投资业务，与电子化学习、电子商务、移动数据软件及终端领域的新兴公司进行合作。加拿大英属哥伦比亚理科硕士，1987年以中国政府特邀外国专家身份来华。此后，他加入加拿大外交部，在韩国首尔和中国香港任职。

随着中国企业信息化系统的不断完善，信息化平台已经从固定互联网向移动互联网延伸。与此同时，信息安全问题也逐渐面临更多的挑战。

对大多数信息化企业而言，其经营计划、知识产权、生产工艺、业务流程、推广方案、客户资源等重要数据都将融入移动互联网，而这些数据不仅是企业发展的方向和动力，更关乎企业的生存与命运。

如何保证这些数据的安全，并且只容许那些拥有相应权限的企业员工方便地访问它们？这个问题已经不再像以往“收好保险柜钥匙”那么简单了。

无论是大型企业还是中小型企业，信息安全的建设都是信息化建设的首要任务之一。尽管如今的企业移动信息平台已经能够胜任电子邮件系统、视频通话系统、企业内网等大部分原有基于固定互联网的信息平台的工作，ERP、SCM、CRM、OA等系统也都可以顺利地向移动信息平台扩展，但是，在扩展之前，企业一定要制定好一套完整的移动安全策略。只有这样，才能让移动信息平台的安全策略与整个信息化系统保持一致。因此，配套而完整的移动安全策略非常重要，因为企业需要的不只是移动终端的安全，更需要企业所有信息的安全。

移动信息平台的安全性首先体现在后台管理系统对移动终端的控制力上。一套出色的后台管理系统应该不仅可以远程管理终端阅览信息的权限、调整终端的安全设置、控制终端可使用的功能，在必要时还能删除终端上的数据，以保证企业信息的安全。

那么，企业在制定移动安全策略时，具体应当考虑哪些方面的举措呢？根据RIM公司长期的实践经验来看，主要应注意企业防火墙、无线数据传输、移动终端、病毒及恶意软件、企业安全标准、安全策略和安全合规等7个方面。另外，合规安全也应作为重要因素考虑进企业的移动安全策略当中。

企业防火墙是防止企业网络遭受攻击的重要屏障。由于移动终端通常在防火墙外部使用，防火墙端口的保护就显得尤为重要。完备的移动解决方案不仅要确保智能手机正常连接企业内网，还不能影响企业防火墙设置中的现有安全策略，继而保证防火墙端口的安全。

基于移动互联网的无线数据传输是信息安全的重要一环，确保无线数据传输具备高度的保密性、完整性和真实性也非常关键。这要求移动安全策略不但要保证无线数据的安全性，同时还能验证无线数据的来源，从根本上保证数据传输的安全性。

长期以来，病毒和恶意软件都是企业IT管理部门头疼的问题，但现在，这个问题已经能够得到很好的解决。服务于世界500强的RIM公司研发的智能手机操作系统，具有的独特性和先进架构使其几乎不可能被病毒或恶意软件攻击。同时，该企业推出的移动解决方案（BES）的高度安全性也保证了整个企业移动解决方案不会给企业信息安全带来丝毫风险。

此外，移动解决方案还需与企业现有的信息化系统具备绝佳的兼容性，其中包括对企业安全标准的兼容。需要指出的是，方案的部署不应以改变企业的安全策略为代价，而是要能很好地支持现有标准。此外，完备的移动解决方案还能帮助企业网络管理员很方便地建立、增强及更新安全策略。RIM的移动解决方案不但对所有相关设备都具有很强的综合控制能力，还能够令企业的移动信息平台真正成为一个有机整体，确保安全策略的周全。

随着“萨班斯・奥克斯利”等国内外的公司治理法案对企业电子邮件管理提出明确且严苛的规定，企业的合规工作成本将大幅度上升。现在，黑莓的企业级电子服务系统得到了“萨班斯・奥克斯利法案”的认可，它能在企业加强移动信息平台建设时不再增加合规成本。

第4篇：数据保密解决方案范文

在我国，信息化建设已经有30多年的发展历程，信息安全已成为影响国民经济和社会发展的重要因素，得到了政府、行业和用户的高度重视。2011年3月的《国民经济和社会发展第十二个五年规划纲要》明确指出：“十二五”期间，我国将健全网络与信息安全法律法规，完善信息安全标准体系和认证认可体系，实施信息安全等级保护、风险评估等制度，加快推进安全可控关键软硬件的应用试点示范和推广，确保国家信息安全。

事实上，为了进一步完善国家信息安全保障体系建设，我国推出了一系列政策和措施。从2007年起，我国就在全国范围内开展信息安全保护工作，促进政府、金融、电信等各重点领域信息安全建设，并取得了良好的成果。但值得我们关注的是，当大多数人将对于信息安全的注意力更多地“盯”在计算机系统和网络领域时，重要信息在输出终端，即文件打印、复印等文印流程中的安全性却很少得到重视。在最为重要的政务信息安全领域，文印流程安全、管理的现状如何？现有的解决方案能够满足用户的管理需求吗？在对政府单位的走访中记者发现，一套基于硬件控制，辅以软件管理的解决方案，正得到政府用户越来越多的青睐。

安全与效率面临挑战

随着越来越多的敏感信息电子化，文印输出过程中信息泄密的风险大大增加，特别是共享和网络打印的快速普及，在给用户带来便捷体验的同时，也对政府机构的信息安全提出了空前严峻的挑战。

在政府机构内部，各部门一般从空间上相互独立，每个屋子也都单独配备了打印机，以确保信息保密。但是，这样的打印设备功能却很有限，且布置分散，运营成本过高，不能满足当前文印管理需要。为解决效率问题，不少部门专门设置了文印中心，但是这样的文印中心也在安全和效率两方面面临着新的挑战。

“目前我们使用文印设备的流程还是比较简单的，尤其是非窗口单位，基本上就是用自己的桌面打印机打印日常工作需要的文件，如果是大量地打印、复印文件，就去专门的文印室。我们对于日常使用的打印机并没有特别复杂的要求，主要是安全、稳定、快速、易操作。保密的重要性对于机关单位来说也非常重要，目前我们所采用的方法就是内外网隔离，文印设备基本不联网，每人使用一台桌面打印机。”国务院机关事务管理局公共机构节能管理司黄滔处长向记者介绍。

与国务院机关事务管理局(以下简称国管局)公共机构节能管理司相似，大部分的机关单位在日常办公中，内外网隔离是最基本的保密方式，对文印保密也有相关的制度和规定，比如不准随意翻印文件；凡绝密级和注明不准翻印的上级机关公文有关材料，一律不得翻印；确因工作需要翻印秘密文件时，必须经局、主管领导批准；翻印时应注明翻印机关、日期、份数和印发范围等。

“从制度上来说，我们在文印管理方面的保密和管理还是比较严密的，比如说文件需要签字才能打印，电脑内文件不能用移动存储设备带走，不能联网打印等。对于一些的部门，我们也能做到事后追溯。”国管局相关工作人员介绍。

有管理才有安全

然而根据记者的深入了解，在实际工作中，政府机关的文印管理流程仍存在着漏洞，比如打印机管理长期处于分散状态，打印设备缺少专人管理等。对文印流程缺少安全管理，信息安全和保密自然难以得到保障，再加上办公室人员流动频繁以及人为的文件遗留等问题，信息泄露的风险依然需要处处防范。

国家食品药品监督管理局处长姚珀表示，“出于保密的原因，我们目前都是不联网打印的，这确实给我们的工作带来了很多麻烦。比如我们现在打印、复印一份文件，很可能要楼上楼下跑好几趟，工作效率难以提高。但如果联网又会涉及到安全问题，这让我们的文印管理陷入两难局面。”

谈到文印安全方面的特殊需求时，姚珀说，“一些敏感数据和文件需要打印，但又不想任何无关的人看到这些打印件，以前我们为此设置机密打印室，需要打印的时候，都要提交打印申请，非常麻烦。我们理想中的文印管理，一是要方便，不必跑上跑下就能就近取到文件。二就是要安全，要保证不从网络内部泄露信息，也不让文件能轻易被无关人员打印出来。”

对于姚珀提出的问题，记者专门采访了文印解决方案领域的专家。来自惠普的技术顾问介绍说，针对这个问题，只需借助惠普的PIN码打印技术就可以轻松解决。用户在打印机密文档时，可设置安全PIN码，文档传输到打印机后只有用户在打印机控制面板上输入相应PIN码后才能进行检索和打印作业，确保敏感数据的安全。事实上，在日常工作中，这种PIN码设置，不仅能有效保护机密数据安全，还能有效防止文档被别人拿走、放错地方或扔掉而重复打印造成的浪费。而借助打印管理软件HP Web Jetadmin的打印权限设置功能，IT管理员可轻松进行每台设备的访问权限设置，只有被赋予访问权限者才能通过该打印机进行文档输出，保证了各部门内部信息不通过文印设备外泄。

根据记者了解，对于硬件购置和耗材补充方面的成本，行业用户已经有一定程度认识，但对于设备监控和持续管理、最终用户使用效率提升以及工作流程改进等问题，用户还缺乏了解。对此问题，惠普的文印工程师介绍说，政府文印管理的问题，可以通过“优化基础架构”、“管理文印环境”、“改善工作流程”三大解决方案来完成，进而帮助政府保障信息安全，降低成本，节省资源并简化文档密集型工作流程。“提高效率、降低成本、保障信息安全，要做到这几点，文印设备的管理必不可少”，惠普技术顾问表示。

软件+硬件+服务，解决政府办公后顾之忧

“虽然政府办公并没有太多复杂的打印流程，但单纯地购买打印机已经很难满足打印需求。打印量大，而专业人员又相对较少，一旦机器出现问题，很难及时解决，以致降低工作效率。”姚珀认为。“出于提高效率的目的，我们也考虑在今后实现联网打印。一旦设备联网，对文印管理的专业水平的要求就会更高。我们内部的工作人员很难解决这些问题，就需要借助专门的软件和技术人员来实现相关目标。比如在网络环境中保证信息安全，以有限的人手来管理整个部门的机器，如何使打印更为高效快捷等。”

第5篇：数据保密解决方案范文

【 关键词 】 集散式中小型企业；远程数据；安全传输

Distributed Small and Medium-sized Enterprise Remote Data Secure Transmission Solutions

Zhang Ding-xiang

(Guizhou Commercial College GuizhouGuizhou 550004)

【 Abstract 】 According to the demand characteristics of business of the distributed small and medium-sized enterprises(SMEs), I have researched and analyzed several common scheme about remote data transmission safety, and combined with the practical application of cases, to set in one body with variety of security technology and social free resources,Proposed a cheap solution based on the VPN. Let more similar enterprise can build up and use up, For SMEs to solve the problem of the remote data security exchange and sharing of safety.

【 Keywords 】 distributed?small and medium-sized enterprises; remote data; security transmission

0 引言

将那些在地理分布上较为分散，但在管理上却需要敏捷集中、信息交流十分频繁的中小型企业称之为集散式中小型企业。而这些集散式中小型企业将越来越需要利用公众互联网平台开展自己的业务，与异地分支机构、移动办公人员和商业伙伴频繁地交换秘密信息，以降低公司的管理成本，提高公司的管理效率和应付日益复杂的环境需求及情况变化。同时也受到来自公众互联网的各种安全威胁，如系统攻击、数据窃取、数据泄露等，这些企业数据的传输和共享受到了网络安全威胁和资金投入的限制，如果不能有效地解决这些问题，将会严重阻碍我国集散式中小型企业的正常发展。

1 解决方案

无论采取何种方式解决集散式中小型企业远程数据的安全传输问题，都要以确保数据信息的机密性、完整性、可用性、可控性、抗抵赖性等安全属性为构建目标。

1.1 构建专用线路方案

在该方案中，整个线路仅为企业专用，安全性和数据传输速度都很好，就是建设成本和维护成本很高，一般情况下中小型企业是无法承受这个高额费用的。

1.2 基于防火墙的解决方案

人们通常的做法是购置路由器、防火墙、入侵检测系统等硬件设备，对它们进行简单堆砌，造成财务负担重，安全效果不明显的局面。防火墙主要解决网络安全隔离技术，却无法解决抗抵赖性、数据压缩传输、数据加密传输和密钥管理等问题。

1.3 硬件VPN方案

利用公众互联网链路架设企业私有的虚拟专用网（即VPN），VPN融合了隧道传输、加密解密、密钥管理、身份认证、访问控制等多方面的先进技术。建立VPN实质上是扩展企业内部网络，为企业分支机构、商业伙伴、移动办公人员等建立可信的网络安全连接，实现数据安全传输和内部资源安全共享。

VPN相对于专线方式而言，在价格上有着绝对的优势；相对于普通PSTN拨号连接，VPN在安全性、保密性上更胜一筹。人们通常采用硬件VPN解决方案，因为效果好、性能稳定，但建设成本和维护成本较高，中小型企业难以接受。

1.省略）、88IP（）等。

采用以上方案，解决了无固定公网IP地址主机的访问问题，得到了免费的公网IP地址和域名。

(3) 集成型VPN网关软件的选用

软件VPN除具有硬件VPN同样的功能外，还具有价格低、寿命长、灵活性和扩展性强的优点；缺点是安装配置复杂、性能一般，可采用较强性能的计算机作为软件VPN的运行支撑环境，解决软件VPN的性能问题。这里，将基于VPN并集成防火墙、入侵检测、计算机病毒防治、网络拨号服务等重要功能于一体的VPN软件称为集成型VPN网关软件。

虽然集成型VPN网关软件在市场上不少，但适用的质量好的并不多见。笔者推荐使用Injoy Firewall集成型VPN网关软件，该软件在我国也有少量用户，并得到了中国公安部的安全认证许可。

Injoy Firewall集成型VPN网关软件可较好地解决数据安全传输和内网资源安全共享问题。Injoy Firewall内置了网络拨号（PpoE、PSTN）、VPN、防火墙、IDS、DHCP Server、远程配置管理等功能模块，且支持IPSec和NAT-T协议，支持多种高强度加密（DES、3DES、AES、AES-192/256）、多种认证（共享密钥、扩展认证、RSA数字签名）、数据压缩传输，提供隧道模式和传输模式两种工作方式。

(4) 运行环境

运行环境不能要求高，能运行于普通PC机和Windows（Linux）操作系统即可。

通过以上综合分析，得出了一个6＋解决方案（PC机＋Windows（Linux）＋ADSL拨号＋DDNS＋二级域名＋集成型VPN网关软件）。6＋是一个经济、适用、易用、安全的远程数据传输方案，为集散型中小型企业构建远程数据安全传输平台是切实可行的。

2 应用案例

上述的综合解决方案已在贵州省几家集散式中小型企业和政府基层管理部门得到了较好的应用。现以某医院为例来说明该方案构建方法。

某医院为实现其异地分支机构（分院、社区医院、诊所）与中心医院的业务系统互联，数据统一集中存储、处理和管理，做到病人的刷卡和结算同步，构建了如图1所示的远程数据安全传输平台。在图1的网络拓扑结构图中，实线为物理连接线路，虚线为逻辑上的VPN隧道。在中心医院及其分支机构（A和B）的网络接入处都安装集成型网关（PC机＋Windows 2000＋ADSL拨号＋DDNS花生壳客户端软件＋二级域名＋Injoy Firewall），集成型网关负责内网与ADSL Modem的连接，ADSL Modem的另一端与公众网络连接。其中，中心医院和分支机构B的集成型网关还额外配置了普通电话Modem，它们通过PSTN公众电话网进行电话拨号连接，作为ADSL的备用线路。中心医院和各分支机构都无固定的公网IP地址，通过ADSL拨号上网获得动态的免费公网IP地址。借助DDNS花生壳客户端软件和Injoy Firewall提供的NAT-T技术，使得各分支机构内网的任一台计算机均可安全地访问中心医院网络中的业务服务器或其它计算机。

该远程数据安全传输平台从2004年建成使用至今，仍然在稳定、安全、可靠地运行，实现了预期的业务需求和低成本的建设目标。

3 应用效果及展望

多家单位多年运用结果表明，采用本文提出的“6＋”解决方案构建的信息交互平台运行效果良好，原有投资也得到了保护。这就为集散式中小型企业和政府基层管理部门找到了一个安全、够用、好用、价廉的远程数据安全传输解决方案。

但是，“6＋”解决方案不适合传输大流量的视频数据，还有待于进一步的研究。

参考文献

[1] 曾庆凯.信息安全体系结构[M].北京：电子工业出版社，2010.

[2] 戴彬.基于IPSec的VPN技术穿越NAT的研究与设计[D].重庆：西南大学，2006.

[3] F/X Communications公司.InJoy Firewall - IPSec VPN Features [OL].fx.dk.

第6篇：数据保密解决方案范文

在鼎普科技有限公司技术总监陈广辉看来,企业内网安全防护一个突出的问题是:在网络安全形势日益复杂的今天,单纯依靠软件防护保护企业重要信息并不可靠,只有通过基于基础硬件级的防护措施,才能抓住内网安全的根本。

软件方案隐患重重

“以软件为主要形式来实现安全防护就像在沙地上盖房子,根基不够牢固。这些安全防护软件虽然也能发挥一定的作用,但对于所需保护的敏感信息数据而言,安全隐患依然明显。”陈广辉认为。

所谓信息泄漏,就是故意或偶然地获得(截获、窃取、分析破译)目标系统中的信息,特别是秘密信息或敏感信息,从而造成泄密事件。如终端计算机没有及时安装防病毒软件造成病毒感染或泄密,没有及时安装系统补丁致使恶意代码入侵造成泄密,以及内部人员有意无意地泄密、外部人员恶意窃取等,这些安全隐患都是造成失泄密事件的重要原因。

应该说,对于企业以及有保密需求的单位或个人来说,保证重要信息不通过任何途径外泄已经成为网络安全维护的首要目标。目前,市场上已有针对信息泄漏的安全防护软件。这些安装运行于操作系统之上的软件,自身安全性主要依赖于操作系统的安全,而事实上,操作系统也是病毒时常攻击的目标。

另外,由于无法控制计算机用户私自外挂光驱或从盘来非法使用主机硬盘数据,随意重装操作系统等敏感行为,计算机常常面临失控风险,导致已部署的安全防护软件完全失效,严重影响计算机的数据安全和运维管理,甚至还存在安全软件经常与操作系统或者计算机硬件不兼容等现象。

从底层构建硬件防护体系

需要指出的是,以上提到的信息泄漏风险,更多涉及操作系统或基础硬件,绝非一般防护软件所能解决。所以,采用基于硬件的安全防护措施,防护效果就会显著增强。

相比安全软件解决方案而言,目前能够推出基于硬件安全防护方案的厂商比较少。作为其中之一,鼎普科技推出的计算机安全防护卡解决方案比较典型。该方案可以在不改变当前计算机安全架构的情况下,在BIOS级别实现计算机的信息安全防护,从最底层为计算机提供可靠的硬件保护,从根本上解决计算机的软件安全防护的隐患,有效防止信息泄漏事件的发生。

具体来说,硬件级登录认证、数据全硬盘保护、指定软件开机检测是其中的几项主要功能。首先,该防护卡系统提供BIOS级终端系统启动的安全认证功能,可先于操作系统提供计算机终端启动的密码口令保护,同时通过强制插入智能Key才能进入认证登入系统。该防护卡系统附带的便携智能Key与主卡分离保存,保证安全性。

第7篇：数据保密解决方案范文

【关键词】移动办公 身份认证 SSL VPN 数字签名 PKI/CA体系

1 引言

移动办公作为传统办公系统的无线扩展,可以与现有的办公系统无缝结合,使外出办公人员无论身处何地都如同在自己的办公室一样,可以高效率地开展工作。智能终端所拥有的运算能力,可以支持邮件收发、公文审批及个人事务处理等各种内部办公应用。随着全球经济一体化的发展,移动办公已成为现代企业信息化的重要标志,是继无纸化办公之后企业信息化的第二次浪潮。随着无线应用的发展,各种安全威胁也接踵而至。如何让人们在享受移动办公带来的方便快捷的同时,有效地应对各种安全威胁,正是大家所关心的话题。本文从安全可信的角度介绍一种移动办公的安全解决方案,以供企业在部署移动办公应用时进行参考。

2 移动办公面临的安全威胁

从互联网的诞生开始,网络安全威胁就应运而生;随着互联网的发展,网络安全威胁也在发展升级。移动办公作为一个非常成熟的互联网应用,同样面临着各类网络安全威胁,移动办公的安全威胁潜伏在业务的身份认证、数据安全、数据完整性和事后追踪等各个环节。

2.1 移动办公的身份认证

早期的网络身份认证采用静态的用户名/口令的方式进行,这种方式简单易行,安全强度不高,易被破解或截获。手机普及以后,在静态用户名/密码的基础上增加了手机号码、手机IMEI号、用户名/密码的组合认证方式。这种组合方式的安全强度有所提高,但在用户更换手机或手机号码时需要重新进行绑定,使用不太方便;而且SIM卡、手机号码、手机IMEI号也可以克隆仿制,可破解,手机丢失后易造成身份泄露。于是又出现了短信动态密码的身份认证方式,和将短信动态密码与静态用户名/口令组合成双因素的身份认证方式。这种方式虽然解决了更换手机重新绑定的麻烦,但仍然没有解决SIM卡克隆和手机丢失后易造成身份泄露的问题,同时带来了因短信拦截而导致泄密和网络质量不高或国际漫游时无法及时接收短信的问题。

2.2 移动办公的数据安全

移动办公系统的数据传输过程包括无线传输和有线传输两个部分,无传输部分采用现有的GSM、CDMA或3G网络,空口部分有加密标准和规范,但由于SIM卡、手机号码、手机IMEI号可能被克隆,所以空口加密也存在数据被解密的安全隐患;有线传输部分,一般的网络协议均为明文协议,不提供任何保密功能,因此敏感信息很有可能在传输过程中被非法窃取而造成泄密。目前常见的APN组网方式,解决了手机移动终端到互联网入口之间的认证和加密,但在互联网中的数据仍以明文方式传输。

2.3 移动办公的数据完整性

办公信息在传输过程中有可能因攻击者通过拦截、转发等手段恶意篡改,导致信息发送与接收的不一致性。目前有些应用系统中虽然通过数据摘要方式防止信息发送和接收不一致,但由于此类解决方案中未采用数字签名技术,若恶意篡改者将发送方的原文和数据摘要同时替换掉,那么接收方会误认为信息未被篡改。

2.4 移动办公责任的事后追踪

传统方式下,事故或纠纷可以通过盖章或签名来实现责任认定。而在电子化的网络环境中,对于数据处理时的意外差错或欺诈行为,如果没有相应的取证措施,则当事各方可以随便否认各自的行为,避免承担相应的责任。目前普遍通过用户名/口令、手机号码、手机IEMI号、IP地址等确认用户行为,这些信息易被篡改、复制,并且都不是实名信息,没有签名机制,无法追查到人,不受法律保护。

由此看出,在移动办公应用中缺少完整的安全解决方案,更重要的是无法解决事后追溯,一旦出现安全泄密等重大安全事件,无法做到责任认定,更得不到国家法律保护。

3 安全可信的移动办公解决方案

通过上述的分析可知,目前的移动办公安全威胁无处不在,但还没有完整的解决方案,以下介绍一个安全可信的移动办公整体解决方案。所谓“安全”,是指通过互联网访问内部的OA办公系统、其他业务系统以及内部核心信息资源时,采取适当的信息安全策略,在为合法的访问提供方便的同时,又能严格防止企业信息资源被非法窃取。所谓“可信”,就是对每个用户操作行为都能做到事后追踪,根据国家相关的法律,依法防止抵赖行为的发生。

如图1所示,通过在企业侧部署SSL VPN网关保证内网接入通道的安全,并通过第三方CA认证中心给SSL VPN网关、各种终端用户签发数字证书;另外采用USBKey、SDKey、PKI SIM卡硬件方式保存用户密钥和数字证书,确保了移动办公中所遇到的身份认证、传输保密、信息完整性、防篡改等安全问题得以解决;并且用户的各种操作行为都有数字签名,具备法律效力,可以做到防止冒名顶替,对各种公文处理、合同审批等行为做到不可否认。这些信息安全方面的显著特点通过以下技术手段实现:

(1)通过硬件保证密钥安全来实现身份认证

在移动办公方案中,使用数字证书作为用户身份的惟一标识。数字证书是互联网应用中标识用户真实身份的电子文件,与用户公私钥对绑定,确保了每对公私钥都会和惟一的自然人个体或单位存在一一对应的关系,从而保证了用户身份的真实性和惟一性。

在移动办公业务中,使用USBKey、SDKey、PKI SIM卡等硬件介质终端保存用户私钥,保证私钥不可导出,无法克隆。移动OA等应用系统在调用私钥进行数字签名时,都需要用户输入密钥保护口令,才能执行签名操作,这样就确保了私钥的安全性,从而保证了移动办公业务中用户身份认证的可靠性。

(2)基于SSL VPN的通道加密机制

SSL VPN技术保证了移动终端至企业内网之间网络传输通道的数据安全。SSL VPN技术采用SSL协议,同时用到了非对称加密技术和对称加密技术,充分利用了两种加密技术的优点。移动终端与SSL VPN网关之间通过密钥协商生成会话密钥(对称密钥)后,将建立数据加密通道,并且这种技术实现的是端到端的加密,同时解决了无线和有线传输通道的数据安全问题。SSL VPN网关部署快速,并且不需要调整企业现有网络结构,实施成本较低。可见SSL VPN是实现远程用户访问公司敏感数据既简单又安全的解决办法。

(3)数字签名技术确保数据完整性

数字签名是一种确保数据完整性和原始性的方法。发送方对数据进行数字摘要并用自己的私钥对摘要信息进行加密生成签名信息,然后将数据的签名信息、数据原文以及发送方公钥同时传送给接收方,接收方即可验证数据原文是否缺失或被篡改。数字签名可以提供有力的证据,表明数据自从被移动终端签名以来未发生变化。可见,数字签名技术解决了数据完整性的问题。

(4)PKI/CA体系保证用户行为不可否认

在移动应用中,保证用户身份认证、数据安全传输和数据完整性的同时,还需要解决用户行为不可否认的问题。从技术角度,数字签名技术保证移动用户操作行为的不可否认;从管理角度,基于PKI和第三方CA中心的管理体系可以很好地解决这方面的问题。而且,2005年4月1日实施的《电子签名法》,确定了电子签名的合法地位,使数字签名真正具备了法律效力,为移动办公业务中产生的法律纠纷提供了有效的法律依据。

4 结束语

上述方案从技术、管理、法律等多个层面解决了当前移动办公业务中所遇到的各种安全问题,是一个比较完整的移动办公安全解决方案。该方案满足了用户迫切的移动办公需求,又解决了传统业务模式所面临的信息安全和责任认定问题,为移动行业应用的推广和普及提供了安全保障,增强了电信运营商拓展行业客户市场的竞争力。

参考文献

[1]唐雄燕,侯玉华,潘海鹏,编. 第3代移动通信业务及其技术实现[M]. 北京: 电子工业出版社,2008.

[2](美)Rudolf Tanner, Jason Woodard,编. 叶银法,王月珍,陆健贤,等译. WCDMA原理与开发设计[M]. 北京: 机械工业出版社,2007.

[3](美)Andrew Nash, William Duane, Celia Joseph, et al. 张玉清,陈建奇,杨波,等译. 公钥基础设施(PKI):实现和管理电子安全[M]. 北京: 清华大学出版社,2002.

[4]张炯明,编. 安全电子商务实用技术[M]. 北京: 清华大学出版社,2002.

[5]杨义先,钮心忻,编. 应用密码学[M]. 北京: 北京邮电大学出版社,2005.

[6]中华人民共和国电子签名法[S]. 2005.

【作者简介】

第8篇：数据保密解决方案范文

正如电脑正在逐渐地代替手写，现代科技对办公环境的影响随处可见。可以说许多人都无时无刻不在经历着一场手动到E化的变革。

这样的变革也不可避免地出现在了以公共服务为主要目的政府部门之中。这无疑是一件让民众兴奋的事。因为政府效率的提高意味着社会公共服务的改善，而政府对高科技办公设备日渐增长的需求正是他们服务和效率意识的见证。作为政府采购清单中必备的一员，多功能数码复合机的广泛应用便是一个典型的例子。

背景

浦东新区政府区人大文印中心是政府的职能部门之一，原来拥有两台一体机、一台数码复合机和一批独立的分页、装订、裁切设备。在平时工作过程中月印量不均匀。在有政府会议以及活动期间，对印量需求会突然增加。最大可达到每月5万张以上。打印文件的类型通常是公函、通知、报告、制作成套的会议文件以及需要套印的红头文件。

在成套文件的打印过程中，需要工作人员在分页、装订、裁切等不同功能的设备上分工合作。大型会议期间常常需要投入非常多的人力物力，或者进行业务外包。长期下来，不仅人力消耗很大，各种设备也造成了空间和耗材上的大量消耗。有时对只有三个工作人员的文印中心来说工作负荷过大。无论是成本还是效率都达不到理想效果。

另外，由于政府的文档多以机密文档为主，主要通过打印、复印、扫描、传真或电子邮件发送等形式输入或输出，如果数据资料管理手段不完善，就可能引发输出、存储、调用等风险，带来严重的数据泄漏或者经济损失。

由于工作的特殊性，浦东新区人大文印中心需要的解决方案不仅要能提高工作效率，也要最大限度保障数据安全。

解决方案

考虑到各个方面的需求，浦东新区政府区人大文印中心使用了致力于为客户提供品质超群的产品、服务和解决方案的柯尼卡美能达所提供的bizhub 600黑白多功能数码复合机。

在bizhub 600多种功能的支持下，浦东新区政府实现了输入输出装订一气呵成。高速打印和大容纸量在有海量打印任务的情况下提高了效率。同时，人力投入也大量减少。使用了Simitri聚合碳粉技术的bizhub 600保证了打印质量的同时也降低了能耗。废粉还可通过特殊技术循环使用，成就了政府环保办公的榜样的形象和需求。

针对政府工作对安全性要求非常高的特性，bizhub 600实现了多功能传送，单步操作便可将扫描数据或硬盘数据通过传真和电子邮件发送至不同类型的目的地。同时，政府可采用密码保护防止未经授权的访问。在完成作业后，其数据完全从硬盘上删除。而且所有网络通讯都受SSL加密保护，机器中的安全日志可以追踪设备的故障。并且未经授权，他人无法访问记录。其硬盘锁定功能还可以保护硬盘移除后的数据安全。多种措施，解除了数据安全这一后顾之忧。

浦东新区政府在使用过程中还对每个用户设定页面输入和输出的限制，从而达到了部门内部管理、成本控制以及简化费用核算的目的。

实施效果

第9篇：数据保密解决方案范文

论文摘要：互联网技术给我们带来很大的方便，同时也带来了许多的网络安全隐患，诸如陷门、网络数据窃密、木马挂马、黑客侵袭、病毒攻击之类的网络安全隐患一直都威胁着我们。计算机网络信息管理工作面临着巨大的挑战，如何在计算机网络这个大环境之下，确保其安全运行，完善安全防护策略，已经成为了相关工作人员最亟待解决的问题之一。该文首先分析了计算机网络信息管理工作中的安全问题，其次，从多个方面就如何有效加强计算机网络信息安全防护进行了深入的探讨，具有一定的参考价值。

1概述

互联网技术给我们带来很大的方便，同时也带来了许多的网络安全隐患，诸如陷门、网络数据窃密、木马挂马、黑客侵袭、病毒攻击之类的网络安全隐患一直都威胁着我们。为了确保计算机网络信息安全，特别是计算机数据安全，目前已经采用了诸如服务器、通道控制机制、防火墙技术、入侵检测之类的技术来防护计算机网络信息安全管理，即便如此，仍然存在着很多的问题，严重危害了社会安全。计算机网络信息管理工作面临着巨大的挑战，如何在计算机网络这个大环境之下，确保其安全运行，完善安全防护策略，已经成为了相关工作人员最亟待解决的问题之一。

2计算机网络信息管理工作中的安全问题分析

计算机网络的共享性、开放性的特性给互联网用户带来了较为便捷的信息服务，但是也使得计算机网络出现了一些安全问题。在开展计算机网络信息管理工作时，应该将管理工作的重点放在网络信息的和访问方面，确保计算机网络系统免受干扰和非法攻击。

2.1安全指标分析

（1）保密性

通过加密技术，能够使得计算机网络系统自动筛选掉那些没有经过授权的终端操作用户的访问请求，只能够允许那些已经授权的用户来利用和访问计算机网络信息数据。

（2）授权性

用户授权的大小与其能够在计算机网络系统中能够利用和访问的范围息息相关，我们一般都是采取策略标签或者控制列表的形式来进行访问，这样做的目的就在于能够有效确保计算机网络系统授权的正确性和合理性。

（3）完整性

可以通过散列函数或者加密的方法来防治非法信息进入计算机网络信息系统，以此来确保所储存数据的完整性。

（4）可用性

在计算机网络信息系统的设计环节，应该要确保信息资源具有可用性，在突然遇到攻击的时候，能够及时使得各类信息资源恢复到正常运行的状态。

（5）认证性

为了确保权限所有者和权限提供者都是同一用户，目前应用较为广泛的计算机网络信息系统认证方式一般有两种，分别是数据源认证和实体性认证两种，这两种方式都能够得到在当前技术条件支持。

2.2计算机网络信息管理中的安全性问题

大量的实践证明，计算机网络信息管理中存在的安全性问题主要有两种类型，第一种主要针对计算机网络信息管理工作的可用性和完整性，属于信息安全监测问题；第二种主要针对计算机网络信息管理工作的抗抵赖性、认证性、授权性、保密性，属于信息访问控制问题。

（1）信息安全监测

有效地实施信息安全监测工作，可以在最大程度上有效消除网络系统脆弱性与网络信息资源开放性二者之间的矛盾，能够使得网络信息安全的管理人员及时发现安全隐患源，及时预警处理遭受攻击的对象，然后再确保计算机网络信息系统中的关键数据能够得以恢复。

（2）信息访问控制问题

整个计算机网络信息管理的核心和基础就是信息访问控制问题。信息资源使用方和拥有方在网络信息通信的过程都应该有一定的访问控制要求。换而言之，整个网络信息安全防护的对象应该放在资源信息的和个人信息的储存。

3如何有效加强计算机网络信息安全防护

（1）高度重视，完善制度

根据单位环境与特点制定、完善相关管理制度。如计算机应用管理规范、保密信息管理规定、定期安全检查与上报等制度。成立领导小组和工作专班，完善《计算机安全管理制度》、《网络安全应急预案》和《计算机安全保密管理规定》等制度，为规范管理夯实了基础。同时，明确责任，强化监督。严格按照保密规定，明确涉密信息录入及流程，定期进行安全保密检查，及时消除保密隐患，对检查中发现的问题，提出整改时限和具体要求，确保工作不出差错。此外，加强培训，广泛宣传。有针对性组织开展计算机操作系统和应用软件、网络知识、数据传输安全和病毒防护等基本技能培训，利用每周学习日集中收看网络信息安全知识讲座，使信息安全意识深入人心。 　（2）合理配置，注重防范

第一，加强病毒防护。单位中心机房服务器和各基层单位工作端均部署防毒、杀毒软件，并及时在线升级。严格区分访问内、外网客户端，对机房设备实行双人双查，定期做好网络维护及各项数据备份工作，对重要数据实时备份，异地储存。同时，严格病毒扫描。针对网络传输、邮件附件或移动介质的方式接收的文件，有可能携带病毒的情况，要求接收它们之前使用杀毒软件进行病毒扫描。第二，加强强弱电保护。在所有服务器和网络设备接入端安装弱电防雷设备，在所有弱电机房安装强电防雷保护器，保障雷雨季节主要设备的安全运行。第三，加强应急管理。建立应急管理机制，完善应急事件出现时的事件上报、初步处理、查实处理、责任追究等措施，并定期开展进行预演，确保事件发生时能够从容应对。第四，加强“两个隔离”管理。即内、外网物理彻底隔离和通过防火墙进行“边界隔离”，通过隔离实现有效防护外来攻击，防止内、外网串联。第五，严格移动存储介质应用管理。对单位所有的移动存储介质进行登记，要求使用人员严格执行《移动存储介质管理制度》，杜绝外来病毒的入侵和泄密事件的发生。同时，严格安全密码管理。所有工作用机设置开机密码，且密码长度不得少于8位，定期更换密码。第六，严格使用桌面安全防护系统。每台内网计算机都安装了桌面安全防护系统，实现了对计算机设备软、硬件变动情况的适时监控。第七，严格数据备份管理。除了信息中心对全局数据定期备份外，要求个人对重要数据也定期备份，把备份数据保存在安全介质上。

（3）坚持以信息安全等级保护工作为核心

把等级保护的相关政策和技术标准与自身的安全需求深度融合，采取一系列有效措施，使等级保护制度在全局得到有效落实，有效的保障业务信息系统安全。

第一，领导高度重视，组织保障有力。单位领导应该高度重视信息化和信息安全工作，成立专门的信息中心，具体负责等级保护相关工作，统筹全局的信息安全工作。建立可靠的信息安全基础设施，重点强化第二级信息系统的合规建设，加强了信息系统的运维管理，对重要信息系统建立了灾难备份及应急预案，有效提高了系统的安全防护水平。

第二，完善措施，保障经费。一是认真组织开展信息系统定级备案工作。二是组织开展信息系统等级测评和安全建设整改。三是开展了信息安全检查活动。对信息安全、等级保护落实情况进行了检查。

第三，建立完善各项安全保护技术措施和管理制度，有效保障重要信息系统安全。一是对网络和系统进行安全区域划分。按照《信息系统安全等级保护基本要求》，提出了“纵向分层、水平分区、区内细分”的网络安全区域划分原则，对网络进行了认真梳理、合理规划、有效调整。二是持续推进病毒治理和桌面安全管理。三是加强制度建设和信息安全管理。本着“预防为主，建章立制，加强管理，重在治本”的原则，坚持管理与技术并重的原则，对信息安全工作的有效开展起到了很好的指导和规范作用。

（4）采用专业性解决方案保护网络信息安全

大型的单位，如政府、高校、大型企业由于网络信息资源庞大，可以采用专业性解决方案来保护网络信息安全，诸如锐捷网络门户网站保护解决方案。锐捷网络门户网站保护解决方案能提供从网络层、应用层到Web层的全面防护；其中防火墙、IDS分别提供网络层和应用层防护，ACE对Web服务提供带宽保障；而方案的主体产品锐捷WebGuard（WG）进行Web攻击防御，方案能给客户带来的价值：

防网页篡改、挂马

许多大型的单位作为公共信息提供者，网页被篡改、挂马将造成不良社会影响，降低单位声誉。目前客户常用的防火墙、IDS/ IPS、网页防篡改，无法解决通过80端口、无特征库、针对动态页面的Web攻击。WebGuard DDSE深度解码检测引擎有效防御SQL注入、跨站脚本等。

高性能，一站式保护各院系网站

对于大型单位客户，往往拥有众多部门，而并非所有大型单位都将各部门网站统一管理。各部门网站技术运维能力相对较弱，经常成为攻击重点。WebGuard利用高性能多核架构，提供并行处理。支持在网络出口部署，一站式保护各部门网站。

“零配置”运行，简化部署

WebGuard针对用户，集成默认配置模板，支持“零配置”运行。一旦上线，即可防护绝大多数攻击。后续用户可以根据网络情况，进行优化策略。避免同类产品常见繁琐配置，毋须客户具备专业的安全技能，即可拥有良好的体验。

满足合规性检查要求

继08年北京奥运、09年国庆60周年后，10年上海世博会、广州亚运会先后举行。在重大活动前后，各级主管单位和公安部门，纷纷发文，要求针对网站安全采取措施。WebGuard恰好能很好的满足合规性检查的需求，帮助用户顺利通过检查。

4结束语

新时期的计算机网络信息管理工作正向着系统化、集成化、多元化的方向发展，但是网络信息安全问题日益突出，值得我们大力关注，有效加强计算机网络信息安全防护是极为重要的，具有较大的经济价值和社会效益。

参考文献

[1]段盛.企业计算机网络信息管理系统可靠性探讨[J].湖南农业大学学报:自然科学版，2000(26):134-136.

[2]李晓琴.张卓容.医院计算机网络信息管理的设计与应用[J].医疗装备，2003.(16):109-113.

[3]李晓红.妇幼保健信息计算机网络管理系统的建立与应用[J].中国妇幼保健，2010(25):156-158.

[4]罗宏俭.计算机网络信息技术在公路建设项目管理中的应用[J].交通科技，2009.(1):120-125.

[5] Bace Rebecca.Intrusion Detection[M].Macmillan Technical Publishing，2000.