数据泄漏防护系统的设计与实施本科毕业论文完整版.docx
- 文档编号:14405870
- 上传时间:2023-06-23
- 格式:DOCX
- 页数:34
- 大小:57.64KB
数据泄漏防护系统的设计与实施本科毕业论文完整版.docx
《数据泄漏防护系统的设计与实施本科毕业论文完整版.docx》由会员分享,可在线阅读,更多相关《数据泄漏防护系统的设计与实施本科毕业论文完整版.docx(34页珍藏版)》请在冰点文库上搜索。
数据泄漏防护系统的设计与实施本科毕业论文完整版
HENsystemofficeroom【HEN16H-HENS2AHENS8Q8-HENH1688】
数据泄漏防护系统的设计与实施本科毕业论文
毕业设计(论文)
数据泄漏防护系统的设计与实施
学院名称
软件与信息工程学院
专业名称
数字媒体技术
学生姓名
指导教师
2010年5月
数
据
泄
漏
防
护
系
统
的
设
计
与
实
施
数据泄漏防护系统的设计与实施
学生姓名:
指导老师:
摘要
随着计算机和网络技术的飞速发展,越来越多的信息以电子形式存储在个人和商用电脑中,并且通过网络进行广泛地传递。
但是,网络所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。
一旦网络系统安全受到严重威胁,甚至处于瘫痪状态,将会给企业、社会、乃至整个国家带来巨大的经济损失。
在大量的信息存储和交换中,保护信息的安全成为首要任务。
信息安全成为二十一世纪的重要安全主题。
本设计重点以信息安全的角度在应用层面上设计一个数据泄漏防护系统,为企业的安全现状和发展需要提供解决方案。
全文共分为绪论、相关理论与技术、总体设计、项目的实施阶段和任务四个章节。
关键字:
信息安全,数据泄漏,防护
DataLeakageProtectionSystemDesignandImplementation
.Author:
Tutor:
Abstract
Alongwiththecomputerandnetworktechnologyrapiddevelopment,moreandmoreinformationonelectronicformstoredonapersonalandcommercialcomputer,andthroughthenetworktransmissionwidely.However,thenetworkisopen,internationalandfreedominincreasingapplicationoffreedom,securityputforwardhigherrequest.Oncethenetworksystemthreatensthesafety,evenintheparalyzed,willgivetheenterprise,society,andeventhewholecountrybringhugeeconomiclosses.Inlargeamountsofinformationstorageandexchangeofinformationsecurityandprotectionbecomesthemaintask.Informationsecurityhasbecomeanimportanttopicofsafetyinthe21stcentury.
ThedesignemphasisoninformationsecurityAngleofc++inapplication-layerusedesignanddevelopmentonadataleakageprotectionsystemfortheenterprise,thesecuritysituationanddevelopmentneedstoprovidesolutions.Theintroductionandrelatedtheoryanddividedintotechnical,overalldesign,projectimplementationstageandthetaskoffoursections.
Keywords:
Informationsecurity,Dataleakage,Protective
第1章绪论............................................................................................1
背景..................................................................................................1
企业文档安全管理现状..........................................................................2
文档安全保护技术的发展.......................................................................3
第2章相关理论与技术
C++相关简介.......................................................................................4
第3章总体设计
需求分析............................................................................................6
设计理念............................................................................................9
功能详情............................................................................................11
运行环境............................................................................................14
架构及实现原理....................................................................................15
连接支持............................................................................................17
第4章项目实施阶段和任务.
项目准备阶段......................................................................................18
流程体系实施阶段................................................................................20
加密系统实施阶段................................................................................22
系统上线阶段......................................................................................23
知识转移阶段......................................................................................24
结论.......................................................................................................26
致谢.......................................................................................................27
参考文献.................................................................................................28
第1章绪论
背景
随着计算机和网络技术的飞速发展,越来越多的信息以电子形式存储在个人和商用电脑中,并且通过网络进行广泛地传递,在大量的信息存储和交换中,信息的安全问题越来越引起人们的重视。
企业一般有着完善的书面文档涉密管理制度,并且由单独的文控中心负责制订、监督、审计企业内部重要情报信息使用状况,亦达到了很好的效果。
而电子文档却都以明文方式存储在计算机硬盘中,电子格式存储的重要情报信息却由于传播的便利性和快捷性,对分发出去的文档无法控制,极大的增加了管理的复杂程度,这部分的资产极易于受到损害,那就是明文泄密!
按照对电子信息的使用密级程度和传播方式的不同,我们将信息泄密的途径简单归纳为如下几方面:
.1由电磁波辐射泄漏泄密(传导辐射、设备辐射等)
这类泄密风险主要是针对国家机要机构、重要科研机构或其他保密级别非常高的企、事业单位或政府、军工、科研场所等,由于这类机构具备有非常严密的硬保密措施,只需要通过健全的管理制度和物理屏蔽手段就可以实现有效的信息保护。
网络化造成的泄密(网络拦截、黑客攻击、病毒木马等)
网络化造成的泄密成为了目前企业重点关注的问题,常用的防护手段为严格的管理制度加访问控制技术,特殊的环境中采用网络信息加密技术来实现对信息的保护。
访问控制技术能一定程度的控制信息的使用和传播范围,但是,当控制的安全性和业务的高效性发生冲突时,信息明文存放的安全隐患就会暴露出来,泄密在所难免。
存储介质泄密(维修、报废、丢失等)
便携机器、存储介质的丢失、报废、维修、遭窃等常见的事件,同样会给企业带来极大的损失,在监管力量无法到达的场合,泄密无法避免。
内部工作人员泄密(违反规章制度泄密、无意识泄密、故意泄密等)
目前由于内部人员行为所导致的泄密事故占总泄密事故的70%以上,内部人员的主动泄密是目前各企业普遍关注的问题,通过管理制度规范、访问控制约束再加上一定的审计手段威慑等防护措施,能很大程度的降低内部泄密风险,但是,对于终端由个人灵活掌控的今天,这种防护手段依然存在很大的缺陷,终端信息一旦脱离企业内部环境,泄密依然存在。
传统防御手段的不足
对于核心电子信息的防护,传统方法为完善的管理制度和人性感化,同时也采用终端防御类技术配合,如:
防水墙、终端安全平台、审计平台、行为管理等,这类技术和方法的主要缺陷在于无法防止内部员工的有意识、主动泄密!
如重新安装操作系统、从盘引导、破坏防御平台运行环境等带来的泄密隐患。
信息的安全保护,必须从源头做起,即信息加密;只有对信息进行加密,才能有效的实现信息全生命周期保护。
企业文档安全管理现状
文档作为一个企业运作过程中不可缺少的交流媒介,在企业中的数量、种类非常多。
随着企业的发展,文档的共享、快速分发等需求非常迫切。
各企业都在利用各种IT手段使信息能快速共享和分发,以提高企业的运作效率。
如:
使用专门的文档共享服务器,使用专门的文档发布系统等。
这些手段为文档的使用提供便捷的同时,也为文档的安全保密工作带来了困难。
但中国在知识产权保护,互联网应用,计算机犯罪等方面的立法相对落后。
同时,国民的守法意识也有待提高。
这些都给企业保护自己的知识产权,保护自身经营的核心机密带来了挑战。
从2000开始,国内很多企业就开始在文档安全保护方面进行探索,利用当时可以得到的最新技术对电子文档进行保护。
例如:
华为技术,从2000年开始和微软合作,进行电子文档保护体系的开发。
但由于技术的局限性,微软为华为定制的文档保护系统只能保护Office文档,并且需要很多的管理手段来弥补技术的不足。
例如:
华为的研发部门采用物理隔离的手段保护核心资料,管理成本非常高。
这样给文档安全管理的普及带来了很大的阻碍。
近些年,由于企业、政府对文档保护需求的增多,国内涌现出大量的文档保护产品,随着技术的成熟,文档保护产品在企业的应用越来越广泛。
文档安全保护技术的发展
文档安全保护的方法有很多,使用的复杂性、保护效果、投入的资金有很大的差别。
随着技术的逐步成熟,文档加密保护的技术成为主流。
下面简单介绍文档保护手段的发展历程。
1、网络以及物理隔离方式
网络以及物理隔离方式,是将受保护区域的网络和企业的内网、互联网完全隔离,文档不能通过网络传播到隔离区域以外。
为了防止文件通过U盘,纸张等移动介质带出,往往辅以物理区域的隔离,这样的管理成本非常高,工作效率低下。
2、文档口令保护方式
口令保护方式是将文件打开设一个口令保护,使用者只有正确输入打开口令时才能阅读文档。
这种手段对文件的保护效果很弱,首先口令可以相互转告,容易流传出去,其次,各种猜测口令的工具,可以很容易地破解这样的口令,或者绕过口令直接打开文档。
3、文档加密方式
近几年由于文档加密技术的的快速发展,文档加密保护的方式已经成为文档保护的主流和首选。
文档加密的技术可以分成文档权限管理技术,文档核心加密技术,以及文档核心加密及权限管理技术三种。
不同的企业应该根据自身的业务需求,选择适当的技术。
第2章相关理论与技术
C++相关简介
发展简介
美国AT&T贝尔实验室的本贾尼·斯特劳斯特卢普(BjarneStroustrup)博士在20世纪80年代初期发明并实现了C++(最初这种语言被称作“CwithClasses”)。
一开始C++是作为C语言的增强版出现的,从给C语言增加类开始,不断的增加新特性。
虚函数(virtualfunction)、运算符重载(operatoroverloading)、多重继承(multipleinheritance)、模板(template)、异常(exception)、RTTI、命名空间(namespace)逐渐被加入标准。
1998年国际标准组织(ISO)颁布了C++程序设计语言的国际标准ISO/IEC1488-1998。
C++是具有国际标准的编程语言,通常称作ANSI/ISOC++。
1998年是C++标准委员会成立的第一年,以后每5年视实际需要更新一次标准,下一次标准更新将是在2009年,目前我们一般称该标准C++0x。
遗憾的是,由于C++语言过于复杂,以及他经历了长年的演变,直到2009年,只有VisualC++2010CTP开发环境的编译器完全符合这个标准。
C++语言发展大概可以分为三个阶段:
第一阶段从80年代到1995年。
这一阶段C++语言基本上是传统类型上的面向对象语言,并且凭借着接近C语言的效率,在工业界使用的开发语言中占据了相当大份额;第二阶段从1995年到2000年,这一阶段由于标准模板库(STL)和后来的Boost等程序库的出现,泛型程序设计在C++中占据了越来越多的比重性。
当然,同时由于Java、C#等语言的出现和硬件价格的大规模下降,C++受到了一定的冲击;第三阶段从2000年至今,由于以Loki、MPL等程序库为代表的产生式编程和模板元编程的出现,C++出现了发展历史上又一个新的高峰,这些新技术的出现以及和原有技术的融合,使C++已经成为当今主流程序设计语言中最复杂的一员。
C++的设计原则
C++设计成静态类型、和C同样高效且可移植的多用途程序设计语言。
C++设计成直接的和广泛的支援多种程序设计风格(程序化程序设计、资料抽象化、面向对象程序设计、泛型程序设计)。
C++设计成给程序设计者更多的选择,即使可能导致程序设计者选择错误。
C++设计成尽可能与C兼容,籍此提供一个从C到C++的平滑过渡。
C++避免平台限定或没有普遍用途的特性。
C++不使用会带来额外开销的特性。
C++设计成无需复杂的程序设计环境。
出于保证语言的简洁和运行高效等方面的考虑,C++的很多特性都是以库(如STL)或其他的形式提供的,而没有直接添加到语言本身里。
C++内嵌汇编
内联汇编的用途包括:
(1)使用汇编语言编写特定的函数;
(2)编写对速度要求非常较高的代码;
(3)在设备驱动程序中直接访问硬件;
(4)编写naked函数的初始化和结束代码。
C++支持数据封装
支持数据封装就是支持数据抽象。
在C++中,类是支持数据封装的工具,对象则是数据封装的实现。
面向过程的程序设计方法与面向对象的程序设计方法在对待数据和函数关系上是不同的,在面向对象的程序设计中,将数据和对该数据进行合法操作的函数封装在一起作为一个类的定义,数据将被隐藏在封装体中,该封装体通过操作接口与外界交换信息。
对象被说明具有一个给定类的变量,类类似于C语言中的结构,在C语言中可以定义结构,但这种结构中包含数据,而不包含函数。
C++中的类是数据和函数的封装体。
在C++中,结构可作为一种特殊的类,它虽然可以包含函数,但是它没有私有或保护的成员。
第3章总体设计
需求分析
***集团文档管理现状
***集团大量机密信息以电子文档形式存在,集团内部各单位之间,集团与外部之间的电子文档交换也很频繁,这些电子文档如果外泄(如通过拷贝,发送电子邮件等方式),极有可能造成重大商业机密或技术成果的外泄,给集团带来不必要的损失;近来,电子文档的外泄事件也时有发生。
我们通过调研,对***集团的文档管理现状进行分析和整理。
电子文档的类型和格式:
表
单位
文档类型
文档格式
***
设计图纸、技术规范、调研报告等
OFFICE文档PDFCADPROECAE 照片(JPEG,GIF,BMP等)、录像
***
红头文件,设计图纸,企业战略发展方面文件,企业管理方面文件,市场方面文件,采购方面文件(招标文件,价格信息,定单,合同等)
OFFICE文档PDF
***
企业战略发展方面文件,产权管理文件
OFFICE文档PDF
***
设计图纸,设计规范,材料成本
OFFICE文档PDFCAD
***
董事会文件、涉及公司在资本市场方面的文件等
OFFICE文档PDF
***
商务类:
合同、报价、
技术类:
SOW、技术方案、系统架构等商务类:
合同、报价、
技术类:
SOW、技术方案、系统架构等
部门内部事务:
考核、薪资
OFFICE文档PDF
***
红头文件,设计图纸,财务报表,企业战略发展方面文件,企业管理方面文件,市场方面文件,采购方面文件
OFFICE文档PDFCADPROECAE,MDS、SOLIDWORK、图案类等
***
红头文件,设计图纸,财务报表,企业战略发展方面文件,企业管理方面文件,市场方面文件,采购方面文件
OFFICE文档PDFCADPROE
***
红头文件,设计图纸,财务报表,企业战略发展方面文件,企业管理方面文件,市场方面文件,采购方面文件
OFFICE文档PDFCADPROE
从上表可见,电子文档安全项目管理的文档类型涉及到了公司的业务和内部管理的方方面面,电子文档的格式主要为OFFICE,PDF文档。
技术部门由于其特点还有CAD,PROE等图片类和设计类文档.
电子文档的传播途径:
目前电子文档的主要传播途径为:
OA系统、PDM系统、EMAIL系统、网络共享、USB、硬盘拷贝等,其中OA系统和PDM系统已有自己的权限控制体系,如果文件通过此方式传播,可以保证合适的有权限的人看到该文档,EMAIL系统也可以发给指定人员,但是,不能防止发送EMAIL的人员通过EMAIL主动泄密,网络共享如果用户自觉做了权限设置,也能确保合适人员才能访问共享信息,USB、硬盘拷贝可迅速带走大量信息。
目前总部已部署桌面安全系统,现在对USB、硬盘拷贝都进行了审计,如果有必要,可以完全禁止这些行为。
另外,潜在的传播途径还有FTP、红外、1394端口等,如果加入黑客手段,如破解EMAIL密码窃取邮件,窃取OA、PDM系统密码,监听网络流量,安装木马软件等,则泄密的可能性依旧存在。
技术功能需求
技术功能是保证技术支撑平台能对***集团的业务需求有效的支撑,并且提供易用性保证。
根据企业的业务特点和现状,要求技术产品具备以下功能:
1、内核加密方面
(1)做到主动加密,强制加密,用户无感知加密;
(2)可以和PDM、OA系统等管理系统整合;
(3)可以和AutoCAD、ProE等常用的设计系统整合;
2、权限管理方面
(1)能和标准的LDAP兼容,如:
AD,提供授权及认证的人员信息;
(2)能做读、写、打印、修改,时限、打开次数等使用权限的控制;
(3)能按组、个人对文件进行授权;
(4)可针对某一文件授权,也可针以某一组文件授权;
(5)文档权限可以再次授权;
3、其它方面
(1)加密可靠、安全,符合国家相关要求;
(2)文档格式支持***集团常用的文件类型;
(3)产品能有效地对临时文件、进程、内存等提供安全保护机制;
(4)提供详细的日志记录,跟踪用户登录及文件使用情况;
(5)防止OFFICE文件系列中宏的破解;
(6)可以实现PC的离线策略;
(7)可以绑定单个文件到锁或台式机;
(8)可以把用户的密钥,权限与指定台式机,笔记本电脑或USB锁进行绑定;
(9)可以实现主动加密到权限控制的平滑过度;
(10)提供数据备份和恢复功能;
(11)用户角色定位的合理性,至少有系统管理,日志管理员,文档管理员,普通用户等角色;
(12)提供友善的加密出口管理功能和界面。
培训需求
对用户、系统管理员等的培训要求如下:
表
培训内容
要求
文档安全常识培训
***集团文档安全管理基本环境、创建、传输、使用、修改、归档、销毁等处理制度和基本操作
文档安全管理流程培训
文档安全重要环节的处理流程,如:
加密、解密、审批、授权等操作流程
文档安全处理流程、工具使用培训
日常操作方案、工具使用方法
文档安全管理员岗位操作流程、工具使用培训
文档安全管理员操作、工具使用,如:
解密、PC绑定操作工具使用,审计工具使用
文档安全系统维护人员的岗位培训培训
技术人员对系统的日常维护、日常问题解决、用户支持等
基础数据需求
***已有的历史文档的处理策略、员工计算机上已有的文档的处理策略以及各应用系统中文档的处理策略是文档安全体系实施的重要考虑问题。
要求提供以下数据处理标准并能对相关人员进行培训和指导:
表
制度
要求
数据处理策略及规范
历史文档的处理规范及原则
数据备份方案及操作指导书
文件服务器、个人计算机文档备份方案
数据恢复及还原方案及操作指导书
文件服务器、个人计算机文档恢复及还原方案
设计理念
事前主动防御
企业对于信息资产的保护,传统保护模式均为被动式防御:
出现泄密事件后才引起信息资产的保护重视,紧急调整管理制度并采用硬屏蔽手段来约束泄密再次发生,无法快速锁定泄密对象和途径来降低泄密损失。
要打破传统的保护思路,采用对企业信息资产主动设防的理念,一旦设定保护策略,将对核心信息进行全生命
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 数据 泄漏 防护 系统 设计 实施 本科毕业 论文 完整版