登录管理

俗话说“三分技术、七分管理”，各行各业都有技术信息的安全问题，为什么科研设计院特别提出这个问题呢?因为设计院企业资本就是技术，而广大科研人员则是所有策略、技术、工具的使用者。从管理层面上把握信息安全才是科研设计院企业的一个挑战!

设计院信息安全需求分析

设计院所研究的技术就是综合技术，任何实用工程都是多领域技术的复合成果。所以，设计院的技术掌握，不仅反映在拥有几名知名专家上，还反映在整个技术团队上，同时反映在把众多技术成果安全保护的一系列管理上。

科研人员是设计院企业资本的载体，技术人员是设计院相互争夺的对象。如同一般企业融资一样，千方百计地去争取。对于科研人员来说，他们是设计院管理的核心，他们掌握大量的产品文档、图纸及各类红头文件等涉密信息，这些信息要求在严格保密的情况下使用。要确保设计院内部与外部之间重要电子文档、内部数据的传输安全保密。

技术人员携带重要文档出差时造成的移动存储设备的丢失

国家保密检查对科研设计院企业的严格管理

人员交流会议频繁造成保密文件的易扩散

科研设计院在信息安全领域面临的挑战很多，因此一套安全可靠的数据防泄漏管理方案是科研机构急需的!

山丽网安的解决方案

针对科研设计院面临的信息安全的问题，山丽网安提供防水墙数据防泄漏系统多种授权管理方案和多种登录管理解决方案。立足解决科研行业涉密文档及研发文档的安全管理、各类文档的外带安全控制等问题。

山丽网安多种授权方式管理模块保证接入系统电脑合法性的管理模块。用户电脑初次安装的时候数量巨大，需要自动授权;常规管理中不能自动授权的，需要手动授权;异地办公也需要安装防水墙，无法和内部网络连接，需要离线授权。综上，授权方式管理模块分为以下三点：

在线授权：通过控制台的内网扫描，将扫描到的计算机进行手动授权。

离线授权：通过生成“环境指纹”的文件，获取到对方的环境指纹文件，通过这个文件授权该计算机。

自动授权：安装好山丽网安防水墙系统客户端后，直接登录防水墙系统，系统会自动授权，不需要手动授权才能登录。

山丽网安授权方式管理模块可以通过防水墙控制台实现手动、自动和离线授权。该授权方式管理模块体现了山丽防水墙是一个综合安全管理系统。采用“环境指纹”技术对硬件信息进行甄别，授权过程就是不断收集计算机硬件信息的过程。

山丽网安的加密软件有多种登录方式的管理，不同的登录方式针对文档的安全管理及外带安全的问题有不同的解决策略。如图1所示：

图1 防水墙系统登录结构图

山丽网安防水墙数据防泄漏系统的在线登录方式是针对设计院企业办公室工作的员工。其中的第一种方式是手动登录，分为三种模式：一般模式、标准模式、强制模式。如表1所示：

针对目前科研设计院的内部办公共享企业资料的管理问题，山丽网安防水墙数据防泄漏系统的手动登录为企业内部信息安全提供了多方位保护。

在线登录方式第二种方式是域登录。该登录模式的前提是企业计算机引入了域的概念。在没有域控的前提下，公司内部的计算机开机时均需输入账号密码，然后再登录防水墙数据防泄漏系统的客户端。需要用户输入两次用户名和密码。加上域控之后，输入域控的账号密码，即可进入操作系统和防水墙数据防泄漏系统。

还有第三种登录方式是触发登录。在防水墙的控制台设置进程，例如word，CAD等进程，员工在客户端打开一些其他进程不会跳出防水墙登录提示。一旦使用word、CAD等设置触发的进程，就会跳出登录防水墙系统的提示框，不然该类文件无法打开使用。这两种登录模式都是针对设计院内部资料的一种安全管理。

科研设计院的设计图纸和相关文档重点关注的是如何杜绝敏感性数据面临的各种主动泄密和被动泄密风险，通过山丽网安防水墙数据防泄漏系统的在线登录管理，简单有效，使得企业的管理统筹兼顾!

既然有针对设计院办公室工作的登录方式，那么有没有针对文档外带的登录方式呢?不得不说，山丽网安的加密软件真正做到了运筹帷幄。

针对科研设计院文档外带的安全问题，山丽网安防水墙数据防泄漏系统的离线管理对不同科研设计院之间共享交流的数据，提供安全防护。离线管理具体分为硬件与软件两个方面。如表2所示：

山丽网安还有一种灵活的登录方式，那就是自动登录。这种方式可以与在线、离线任意结合。其中与离线登录结合，第一次离线登录成功，重启就能自动登录，这点与在线登录的域登录模式比较像。

科研设计院行业的各类研究成果或设计图纸在官方正式发布之前，必须控制数据的访问权限(如使用时间，使用次数，使用范围，打印控制等)，保障终端数据的离线安全，员工外出办公的授权控制。山丽网安防水墙数据防泄漏系统的离线管理对数据的生命周期进行全程的管理。

经典案例分析

清华大学科研院是负责清华大学科研活动的组织、管理和服务的职能部门。根据学校的办学目标，科研院按照“四个面向”，即面向中央、面向地方(包括企业)、面向海外、面向国防。50多年来，清华大学科研院取得了大量重要科研成果。

成功研制了燃料电池城市客车，并交付奥运会使用

建成世界上第一座模块式高温气冷实验堆，完成满功率运行和并网发电实验，“高温气冷堆核电站”被列为国家科技重大专项

“清华一号”微小卫星和“纳星一号”成功发射，进行了一系列科学试验

……

在拥有众多重要科研成果的科研院，内部机密图纸、文件的保密工作就显得尤为重要。山丽网安防水墙数据防泄漏系统为清华大学科研院提供了全面的安全解决方案。

在清华大学科研院内的工作环境引入了域的概念，山丽网安根据域控，设计了AD域结合单点登录模块。通过和域控的绑定，实现防水墙客户端的域自动登录。域控服务器端进行认证并设置权限，将合法用户的信息反馈给客户端后，登录成功后，山丽防水墙检测到AD登录，防水墙系统随之登录并从服务器上获取相关加密策略。提高清华大学科研院的工作效率。

清华大学科研院的科研人员出差在外，电脑无法连接山丽防水墙服务器。山丽防水墙系统的离线登录就是针对这种情况。此时的电脑需要安装离线证书或者智能卡进行认证。在系统控制台上设置使用时间段等方式，严格把控外带资料的安全。

科研资料在人员交流会议上容易扩散，泄露机密数据。面对这种情况，山丽网安提供多种登录方式中的绑定登录。在控制台端设置主讲人的用户资料，在交流会议上只有主讲人用自己的用户名和密码登录山丽防水墙系统方可查看加密资料。其他人就算拿到主讲人的电脑也无法查看资料。

山丽网安可以为企业提供安全策略，策制安全方案，提供并实施安全产品，提供无忧的安全服务。事实上，山丽网安的目的只有一个，就是不断提升客户的安全性，以此为企业创造更多的收益。

审批管理

　　管理，无论在哪，都是客观的存在着。

　　管理，就是制定，执行，检查和改进。

　　现在很多的大型企业都会选择加密软件，来保护企业的信息安全，把企业的机密文件全都统统上把“锁”。但这样又牵扯到，既然有加密，就肯定有解密、有审批，那企业又该如何使用已经加密的文件？审批的流程又是如何？

　　零售大型行业特征：

　　1.组织结构形态复杂;

　　2.具有多极下属分支机构 ;

　　3.员众多且隶属关系复杂 ;

　　4.企业业务可能分布在多个行业，经营地域分布广;

　　5.经营、管理模式多样;全方位的协同工作;随时可能的变化;

　　零售大型行业需求分析：

　　由于企业内大量信息散落在不同子公司、不同部门、人员等处，信息的来源非常繁杂，信息量非常庞大 ，信息上传的速度差别很大，信息的整合性很差，信息的安全性很低。

　　1.企业员工如何使用已经加密的文件？

　　2.企业如何判断该文件是否可以审批，审批的流程又是如何？

　　3.企业的高层管理员如何快速、灵活的使用已经加密的文件？

　　4.如果企业的文件机密性很高，而当企业员工需要使用这个文件时，用户可以设置多少人去审批这个文件？

　　5.当企业员工需要通过聊天工具、邮箱等多种渠道，与客户交流，企业该如何确保文件的安全性。

　　山丽网安数据防泄漏功能模块

　　在山丽网安的解密审批中，有很多更为灵活，选择性更多的审批流程。山丽网安的防水墙系统数据防泄漏投入到零售行业中，客户选择一种适合自己的审批文件的流程，深入自身的业务流程，帮助科研企业搭建一个更为高效、科学的企业信息安全管理体系。

　　一、标准审批流程：以山丽网安技术人员专业的解释为：实现密文解密为明文需要经过的审批流程，该流程是系统初始化定义的流程，即标准流程，与之对应的是自定义流程。

　　其中标准审批可以分为三种审批流程：

　　1.二级审批--由防水墙客户端提出解密申请，然后首先经过系统管理员审批，当审批通过后系统会自动提交到安全管理员端，由安全管理员审批，审批通过后文件才可以解密外发。

　　2.自动审批--若相关审批人员不在时，可以采用自动审批功能，即客户端提交申请，系统自动通过审批。

　　3.离席委托--若审批人员不在公司，或者临时有事时，可以委托给另一个管理员来进行代理审批解密文件。

　　二、多级审批：以山丽网安技术人员专业的解释为：实现对解密流程按照用户管理结构、管理需要进行设置的管理模块。

　　此种审批模式要求更为灵活，选择性高，也是加密软件比较融合的一种审批模式，是在客户端的一种多级审批的模式，设一个，二个，甚至N个，都是可以的。当下面的人到工作台提交申请的时候，可以选择不同的审批组，与二级审批最大的区别就是，这种模式比较适合按照企业的管理架构进行自定义设置。

　　三、自主批量解密模块--特定用户对文件具有自主解密权限但会被记录审计的管理模块。

　　案例分析：

　　上海丰野体育用品有限公司是专业从事高尔夫球场设备、个人用品、球场工程的一家高尔夫公司。有着很多种高尔夫运动用品。因该公司有销售部门，存在很多客户的信息;在和客户交流时，也会与客户之间交流，例如通过聊天工具、邮箱发送报价等机密信息。所以，如果企业没有做好防范意识，在与客户交流时，就很容易将信息泄露。

　　第一种解决方案：

　　用户就可以选择标准审批流程，用户可以进行多项选择，根据文件的安全高低，来选择审批的流程。选择适用于用户的审批流程，可以为企业提高工作效率，节约审批流程的时间。更能有效的、安全的使用企业机密文件。

　　第二种解决方案：

　　用户可以选择多级审批流程，此流程更为灵活，快捷，选择性更多，该审批流程可以设置多人审批，可分为两种：

　　串行--一定要通过第一个审批人，才会转到第二个审批人这里，如果第一个不审批。那么就无法审批文件，适用于企业的高机密文件。

　　平行--第一审批人，可以选择3个人做为同一级别的审批人，如果有一个人不在公司时，其余的审批人，也可以审批文件，这样就大大的解决了等待审批人回来审批文件的时间。

　　第三种解决方案：

　　用户可以选择自主批量解密模块,此模块因解密流程总有等待审核的过程，希望对特定的用户，可以设置可以自行将文件进行解密，但解密的行为能被审计、解密的内容能被审计。

　　同行对比：普遍的加密软件厂商的审批流程就只有第一种解决方案，为企业的审批流程带来单一的解决方案，审批流程不够灵活，审批方式选择少。有加密就有解密，一般企业往往只在意了如何加密，却都忽略了解密审批也是很重要的一点，而山丽网安的审批，给客户带来的就是一样的效果，具有多种审批流程，可供用户自行的选择。

　　扩展：山丽网安的六种解密方式

　　1.申请导出--是指该企业的销售人员与客户在交流时，是通过聊天工具，那用户就可以通过这个功能申请导出变成明文，之后再发给客户。

　　2.申请邮件发送--是指该企业的销售人员与客户在交流时，是通过邮件发送，那用户就可以通过这个功能申请导出变成明文，之后再发给客户。(注：此功能只针对邮件功能。)

　　3..申请外设导出--当企业员工需要上门与客户交流时，员工肯定会用到移动设备，那么用户就可以通过这个功能，将需要的文件申请好之后，在拷贝到移动设备里。

　　4.永久明文邮箱--此邮箱与第二个邮箱的概念是不同的，这个是指，用户专门设置一个邮箱为可信邮箱，那么当我们发送密文到这个邮箱时，文件就会自动解密，变成明文，不用在申请导出。此功能，适用于企业的高层管路员，可以为企业的高层管理员节约更多的时间。

　　5.密文明送--申请文件发给用户，但同时用户还可以设置，当客户收到文件时，文件的使用权限，例如：打开文件时的密码、次数、时间、时间段、是否能复制、是否能打印、可以指定某一台计算机打开，用其他的机器是无法打开文件的。

　　申请共享--用户申请一个文件，该文件的使用权限有哪些，而企业的高层管理员也可以指定哪些人可以使用这些权限。

　　以上六点是指：当用户在什么样的情况下，均可能用到以上六点解密方式。这无疑又是为用户提供多种的解密方式。

　　加密与审批是紧紧相连的，是无法分开的，企业不应该只注重加密方式，企业忽略的那一点往往就会给企业的管理带来严重的困扰，阿喀琉斯之踵是也。加密就是为了保护文件，在使用已经被解密的文件同时，企业更应该注重文件的安全性。山丽网安以审批管理为着重点，教企业如何选择适用于自己企业的审批管理模式，来保障企业的信息安全。

外发控制

　　外发控制是指当有文件需要提供给合作伙伴，同时需要对该文件做一定的限制。此时，山丽网安的加密软件中密文明送的功能可满足。
　　设计行业是通过品牌上对竞争对手的否定、差异、距离来引导目标群体的选择。是在与外部市场对应的内部市场（心理市场）上的竞争。
　　设计行业更注重的是意识形态和心理描述，即对消费者的心理市场进行规划、引导和激发。设计行业本身并非是一个无中生有的过程，而是把人们对品牌的模糊认识清晰化的过程。
　　设计行业行业特征：
　　设计行业行业要根据企业的特征来写策划方案，因企业的不同制作的策划方案也是不同的。
　　1.策划方案都是独一无二的；
　　2.与用户交流的次数多；
　　设计行业需求分析：
　　要做好一个设计行业，首先需了解企业产品信息，由于是对企业做设计行业，所以需企业提供机密文件，那当机密信息不在加密软件环境内，我们该如何保障文件的安全性？该如何设置：
　　1.做设计行业时，需用到企业用户的资料多，其中企业的机密文件占大多数，如何确保文件发送给对方后的安全性？
　　2.文件外发后，不在环境内，可否对文件设置权限，例如使用文件的次数？
　　3.文件外发后，不在环境内，可否对文件设置权限，例如使用文件的时间段？
　　山丽网安数据防泄漏功能模块
　　在加密软件中，当用户需要外发文件时，我们可以通过密文明送这个功能来进行设置，以确保公司机密信息安全。此功能无论在环境内还是环境外都可使用。
　　密文明送
　　文档口令设置--我们可以设置一个密码，不在环境内的，打开文件时需要输入密码。
　　打开次数--我们可以限制不在环境内打开文件的次数。
　　累计时间--我们可以限制不在环境内打开文件的累计的使用时间。
　　打印权限--我们可以限制不在环境内，文件的打印权限，例如可打印或不可打印。
　　环境设置--我们可以指定一台计算机能够打开文件；该设置需添加打开密文明送计算机的“环境指纹”文件。
　　使用限制：文件不可另存为，文件里面的内容不能复制粘贴。
　　案例分析：
　　厚夫设计顾问公司创始人是著名的专家陈厚夫先生，厚夫先生始终专注于设计事务，公司在其主持和带领下稳健成长，并在国际领域取得骄人成绩。厚夫设计顾问公司成为首家在美国泛酒店设计大赛 (HospitalityDesign Awards)上夺魁的中国公司，同时也是本次赛事夺得唯一夺魁的亚洲设计公司。
　　山丽网安解决之道：
　　当厚夫设计公司需要外发文件但又要同时保障文件的安全，用户就可以通过山丽网安的加密软件中的密文明送功能进行安全设置。以下是具体功能设置：
　　1.文档口令设置--我们可以在控制台设置一个文件的独立密码，当文件外发之后，用户打开文件时，是需要密码的。否则无法打开。
　　2.打开次数--一个文件的打开次数，我们也是可以限制的，例如一次、二次、三次等。这样有效的保障的企业信息安全。
　　3.累计时间--文件的使用时间，例如总共十分钟，我第一次打开五分钟，第二次打开五分钟。总共十分钟，那么第三次打开，我们打开的就是乱码。
　　4.打印权限--就是设置这个文件是否可以打印，我们可以根据外发文件的重要性来设置。
　　5.环境设置--就是我们可指定某一个计算机可以打开这个文件，而其他的计算机无法打开这个文件，打开也是乱码。
　　6.时间段限制--例如我们设置的是6.25和6.26号是可以打开这个文件的，而当6.27号我们就无法打开文件了，这时，如果我们把电脑的时间改到了6.25号，我们也是无法打开文件的，因为山丽网安的此功能同步的网络上的时间段，不是电脑上的时间段，所以不用担心有漏洞的问题。
　　7.当设置好以上几点后，我们已经打开了文件，那么同时我们也可以设置禁止对这个文件进行另存，也不可以复制粘贴。同时，剪贴板的功能也可以限制，限制是否可以使用剪贴板这个功能。
　　以上7点可同时使用也可单独使用，这样大大的确保的企业信息的安全。不仅如此，这7点不单只针对外发的情况下，也针对内部发送文件的情况，为企业构建出一个全方面的文件权限系统和数据防泄漏系统。
　　同行对比：山丽网安的加密软件中密文明送（外发控制）文件可以实现和文件格式无关的控制；而一般的加密软件只能实现特定格式的外发控制。同时，山丽网安对于权限设置选择性更多，一般的加密软件只能实现1至2种的权限设置。
　　山丽网安数据防泄漏系统充分的保护了企业文件在外发后的安全！在加密软件中剪贴板功能和密文明送功能两者相结合之后，达到的效果是能百分之百的保障企业信息安全！
　密级管理

　　现在我们每天都使用很多的软件，例如QQ、微博、网络游戏、人人等，而这些往往都有等级之分。数字越高代表这个等级也越高。

　　在企业中，文件的安全级别都是有分等级的。在山丽网安的加密软件中，是根据企业员工的密级等级和文档等级来进行设置员工拥有什么权限。

　　中型行业特征：

　　1.生产规模中等，因而投资较省，建设周期短，收效较快；

　　2.对市场变化的适应性强；

　　3.经营范围的广泛性，行业齐全，点多面广；

　　4.成本较高，提高经济效益的任务艰巨；

　　中型行业需求分析：

　　竞争的压力促使中型企业开发具有竞争力的产品，占领各种市场缝隙，从而使不少中型企业成为新技术开发的重要来源，这样也迫使中型企业的信息容易泄漏，在中型企业中，如何根据员工的级别和文件级别来安全的使用企业文件？

　　1.级别高的用户如何给级别低的用户文件？

　　2.用户在互相查看文件时，可以使用哪些权限？

　　3.如何防止离职员工恶意删除文件？

　　山丽网安数据防泄漏功能

　　山丽防水墙产品可以实现密文的权限管理，满足平级关系、上下级关系文档权限管理；产品可以实现对企业标准化文件的精细化管理，可以实现特定的标准化文件只能在特定的服务器上只读，不能修改，不能下载到本地可以读取；

　　对公司的管理方法，就是把一个个公司当作一个组来进行管理即可，组内的用户就是公司的员工。

　　密级分发管理--对不同级别的密文分发给不同级别用户时候的功能模块。

　　密文图标管理--不同级别的文件，文件上显示的级别数字也是不同，分为1~3，从低到高。

　　文档权限管理--防水墙用户相互流转密文，对方是否可以阅读取决于文档权限控制。

　　案例分析：

　　昊理文律师事务所（简称“昊理文”）是一家从事中国以及跨境商事法律服务的综合性律师事务所，成立于2003年，拥有中国政府颁发的从事中国法律服务的正式许可，设有北京、上海及都柏林办公室。

　　昊理文法律服务几乎涵盖了公司事务、投资、贸易、融资以及其他商务活动的所有方面。其中公司与并购业务是昊理文的核心业务，其中还包括外商直接投资、以及日常法律顾问咨询等。昊理文的客户主要包括跨国公司、中国国有企业以及民营企业等。所涉及到用户的信息也是非常多，所以保护用户信息不被泄漏成为了昊理文律师事务首要的安全任务。

　　山丽网安解决之道：

　　密级分发管理模块

　　1.内部（最低）--用户的级别、同时也是文件的级别。

　　2.秘密（中等）--用户的级别、同时也是文件的级别。

　　3.机密（最高）--用户的级别、同时也是文件的级别。

　　效果：用户可以通过山丽网安的密级分发功能进行设置，首先因为用户也是分等级的，所以机密用户创建出来的文件也是最高密级的。所以当级别高的用户给级别低的用户文件时，机密用户就需要修改文件的级别，从高到低。

　　密级高的用户不能分发文件给密级低的用户，反之，密级低的用户是可以分发文件给密级高的用户。当用户在分发高级别文件时，一定要通过分发的流程来打开文件，否则是无法打开文件的。

　　同时，山丽网安防水墙可以给文件分级别，以数字来标明。这样用户一看到文件的上的数字就知道这个文件的级别。级别越高，文件就越机密。

　　文档权限管理功能可分为三块：

　　1.发布：发布数据的用户对赋予其他用户的文件拥有哪些权限；

　　2.上级：上级用户对被设置的用户创建的文件拥有哪些权限；

　　3.作者：用户对自己创建的文件拥有哪些权限；

　　权限具体介绍：

　　只读：文件对特定用户而言只能阅读，并且不能编辑、另存、修改。对没有只读权限的人显示的就是乱码了。

　　编辑：文件可以采用各种方式被修改。文件修改后，文件的作者将变成了修改者本人。

　　复制：文件可以在特定的地方打开，不能copy到另外的地方使用。

　　打印：文件没有打印权限，用户打印即提示没有特定的权限。用户需要打印，必须经过一个审批流程。

　　截屏：用户可以对文件进行合法操作，但无法通过截屏的方式将文件通过QQ等方式泄密。

　　下载：文件只能在特定的服务器上使用，复制到本地无法使用。

　　离线：文件仅仅能在组织内部使用，带出组织环境（即使在合法的离线笔记本上）也无法使用。

　　次数：文件有打开时间的限制。

　　时间：文件有打开此次数的限制。

　　效果：企业的管理人员在控制台设置好策略之后，员工访问文件时所可以使用的权限。当用户创建的文件，需要给其他用户使用时，他只想给别人查看的权限，其他都不可以，这时，我们就可以使用文档权限管理中的发布功能来实现，这样就有效的保障了文件的安全。

　　昊理文律师事务所也担心离职员工对自己创建的文件进行删除。这样企业的信息就没了，但使用了山丽防水墙的文档权限管理功能就不必担心，因为此功能可以针对员工自己创建的文件进行权限设置，那么这样就能保障企业的机密的安全。

　　同行对比：山丽防水墙产品可以实现密文的权限管理，满足平级关系、上下级关系文档权限管理；产品可以实现对企业标准化文件的精细化管理，可以实现特定的标准化文件只能在特定的服务器上只读，不能修改，不能下载到本地可以读取；而一般加密软件需要将文件赋予权限的时候往往需要将密文文件上传到服务器去设置权限，增加了用户操作的复杂度，而且无法实现对文件的权限依据角色的判断、特定用户对文件的自主设置权限。

　　山丽网安的此解决方案，针对所有中型企业上下级别使用文件的权限进行了说明，让用户更简单、明了的理解该如何使用文档权限管理功能和密级分发管理功能，才能达到保护企业信息安全。让用户看的清楚，用的放心。

　　外设管理

　　在《山丽网安谈析数据防泄漏十大必备功能》之前的系列文章中，都描述了“无纸化”办公的信息安全问题，而如今的政府基于“节能减排”的原则，也推行了“电子政务”的工作模式。那么政府部门在加快信息化步伐的同时如何保障信息安全呢？

　　政府行业特点：

　　政府机构从事的行业性质是跟国家紧密联系的，所涉及信息可以说都带有机密性，所以其信息安全问题，如敏感信息的泄露等，都将对政府机构信息安全构成威胁。

　　政府行业安全需求：

　　一般而言，网络安全更为重视如何防范外部的入侵，如建立网关和防火墙，内外网的物理隔离，涉及防病毒软件等。但是堡垒是最容易从内部被攻破的，政务信息更容易从内部窃取。不仅因为人员的操作问题造成信息安全问题，政务内网移动设备使用不当也会出现泄密问题。

　　1.内外网交叉共用，存在失密隐患

　　2.将外设存储介质介入外网，甚至接入互联网如此存在严重泄密隐患。

　　3.多人共用，容易造成信息泄密

　　因政务人员出差到外地办公或参加会议，外出需使用移动存储设备用于工作。这样存储到设备中的信息存在泄漏的可能。另外，如使用者没有养成及时清除使用信息的良好习惯，那么就会造成再次使用该硬盘的人得知处于保密阶段的资料或相关数据，便会出现信息失密情况。

　　4.公私混用，存在一定的安全隐患

　　由于移动存储设备具有体积小，存储量大，便于携带和使用方便的特点，因此不少人将其随身携带和在不同环境下使用。这样造成政府单位的资料和个人的资料混杂在一起，容易出现使用上的差错。另外当存储设备被他人借用是，存储在移动介质中的一些重要信息资料存在泄漏的风险。

　　以上这些问题与政府部门对于外设存储介质防护管理不严有关，因此政府机构应该依据以下要求加大对外设介质管理的力度。

　　应严格大容量存储介质的管理，采取技术措施防范外联风险，确保存储数据安全。

　　应对移动存储介质进行集中统一管理，记录存储介质的领用、认证、维修、报废、销毁等情况。

　　非涉密移动存储介质不得存储涉及国家秘密信息，不得在涉密计算机上使用。

　　构建政府移动存储介质安全管理系统，技术手段在如今的保密工作中扮演着越来越重要的角色。山丽网安为政府机构提供完整性的防护手段。

　　山丽网安的解决之道：

　　一般的客户希望限制电脑外设的使用，如禁止使用U盘。但是山丽网安的外设介质管理模块可以做到不仅限制电脑外设的使用，还可以特定U盘只能在特定的部门使用，对通过U盘拷贝的数据进行内容的记录，不再是使用日志的记录。政府机构可以根据需求严格控制移动存储设备并统一管理。

　　严格大容量存储设备介质的管理，山丽网安的外设介质管理模块对于U盘分为以下几种分类，不同种类的USB有不一样的使用效果。

　　认证USB：政府机构利用山丽网安防水墙数据防泄漏系统构建一个安全保密的环境，对于工作需要使用的USB，可以通过山丽网安的加密软件控制台认证该工作使用的USB，这样认证过后的移动存储设备只能在安全保密的环境内使用，对于未安装防水墙数据防泄漏系统客户端的计算机是无法使用的。山丽网安针对政府机构的外设要求，将认证USB在认证的同时可以与特定计算机绑定或者与一个部门的办公计算机绑定。这样就避免了交叉使用带来的泄密威胁。

　　注册USB：这是山丽网安可以掌控权限的通过政府机构认可的USB。这样可以区别于员工私人的USB。也可以理解为政府机构认可的。

　　一般USB：未做过处理的USB。该USB是区分注册USB，也可以理解为是员工私人的USB。

　　山丽网安通过对这三种USB进行管理，分为禁止、只读、读写和加密四种管理策略。对于除移动存储设备之外的管理策略包括禁止和允许。对所有引动存储设备以及其他终端均可以执行在线策略和离线策略。

　　在线策略

　　选择认证USB会有关闭、只读、读写等在线权限。其中“关闭”就是不允许使用;“只读”是单向使用USB，不能将政府内部信息拷贝到U盘中，但是可以将U盘中的文件拷贝出来;“读写”则是双向使用USB，可以复制文件到U盘中，也可将U盘中的文件拷贝出来。但是，山丽网安在设定该策略时，特别设置了不允许修改U盘中的文件并保存。

　　离线策略

　　与在线策略相对应，“关闭”就是不允许使用，“保持原状”则与在线策略的设置一致。

　　山丽网安的外设介质管理模块还有一个内容审计的功能。在控制台设置文件传输大小，这样从办公计算机本地拷贝到U盘里的文件不能超过控制台设置的文件大小，而拷贝的同时，后台会自动将文件上传到服务器，以备安全管理员查看。山丽网安的内容审计审核的是文件内容，而不是单纯的使用日志。做到谁看过，看过什么有据可查。

　　经典案例分析：

　　上海杨浦区人民政府部门包括民政局、教育局、街道等与社会大众息息相关的有关职能部门。这些部门的数据资料对于杨浦区的民众来说，若发生泄漏事件，不仅个人信息遭到暴漏，也会给社区建设带来不好的影响。

　　山丽网安的外设管理模块将杨浦区政府内部资料从标识识别到安全审计，做到非涉密介质介入进不来;涉密计算机存储的数据拿不走;非授权用户在盗取数据资料时看不懂;详细的内容审计让泄密者逃不掉!

　　设备及身份认证：利用山丽网安的认证USB实现计算机与用户设备间的身份认证，保证没有标识的设备不能再杨浦政务内网的计算机上使用，有标识的设备不能在外网计算机上使用。

　　安全管理员端负责杨浦政务内网的信息拷贝追踪工作。提取在移动存储设备的使用过程中包括注册信息、使用人、使用计算机、使用时间和文件内容等，对移动存储设备的整个使用过程进行监督和审计。

　　山丽网安的外设介质管理模块通过认证和加密技术，提高了移动存储介质使用的安全性。与政府机构内部的严格管理形成“制度保障、组织管理、技术防范”的整体合力，从而构建了一个安全可信赖的政府内部工作环境。