电子文档安全管理的原则包括哪些
所有的信息安全技术都是为了达到一定的安全目标,其核心包括保密性、完整性、可用性、可控性和不可否认性五个安全目标。
保密性(Confidentiality)是指阻止非授权的主体阅读信息。它是信息安全一诞生就具有的特性,也是信息安全主要的研究内容之一。更通俗地讲,就是说未授权的用户不能够获取敏感信息。对纸质文档信息,我们只需要保护好文件,不被非授权者接触即可。而对计算机及网络环境中的信息,不仅要制止非授权者对信息的阅读。也要阻止授权者将其访问的信息传递给非授权者,以致信息被泄漏。
完整性(Integrity)是指防止信息被未经授权的篡改。它是保护信息保持原始的状态,使信息保持其真实性。如果这些信息被蓄意地修改、插入、删除等,形成虚假信息将带来严重的后果。
可用性(Availability)是指授权主体在需要信息时能及时得到服务的能力。可用性是在信息安全保护阶段对信息安全提出的新要求,也是在网络化空间中必须满足的一项信息安全要求。
可控性(Controlability)是指对信息和信息系统实施安全监控管理,防止非法利用信息和信息系统。
不可否认性(Non-repudiation)是指在网络环境中,信息交换的双方不能否认其在交换过程中发送信息或接收信息的行为。
信息安全的保密性、完整性和可用性主要强调对非授权主体的控制。而对授权主体的不正当行为如何控制呢?信息安全的可控性和不可否认性恰恰是通过对授权主体的控制,实现对保密性、完整性和可用性的有效补充,主要强调授权用户只能在授权范围内进行合法的访问,并对其行为进行监督和审查。
除了上述的信息安全五性外,还有信息安全的可审计性(Audiability)、可鉴别性(Authenticity)等。信息安全的可审计性是指信息系统的行为人不能否认自己的信息处理行为。与不可否认性的信息交换过程中行为可认定性相比,可审计性的含义更宽泛一些。信息安全的可见鉴别性是指信息的接收者能对信息的发送者的身份进行判定。它也是一个与不可否认性相关的概念。 为了达到信息安全的目标,各种信息安全技术的使用必须遵守一些基本的原则。
最小化原则。受保护的敏感信息只能在一定范围内被共享,履行工作职责和职能的安全主体,在法律和相关安全策略允许的前提下,为满足工作需要。仅被授予其访问信息的适当权限,称为最小化原则。敏感信息的。知情权”一定要加以限制,是在“满足工作需要”前提下的一种限制性开放。可以将最小化原则细分为知所必须(need to know)和用所必须(need协峨)的原则。
分权制衡原则。在信息系统中,对所有权限应该进行适当地划分,使每个授权主体只能拥有其中的一部分权限,使他们之间相互制约、相互监督,共同保证信息系统的安全。如果—个授权主体分配的权限过大,无人监督和制约,就隐含了“滥用权力”、“一言九鼎”的安全隐患。
安全隔离原则。隔离和控制是实现信息安全的基本方法,而隔离是进行控制的基础。信息安全的一个基本策略就是将信息的主体与客体分离,按照一定的安全策略,在可控和安全的前提下实施主体对客体的访问。
在这些基本原则的基础上,人们在生产实践过程中还总结出的一些实施原则,他们是基本原则的具体体现和扩展。包括:整体保护原则、谁主管谁负责原则、适度保护的等级化原则、分域保护原则、动态保护原则、多级保护原则、深度保护原则和信息流向原则等。 中国信息安全测评认证中心是中国信息安全最高认证,测评及认定项目分为信息安全产品测评、信息系统安全等级认定、信息安全服务资质认定、信息安全从业人员资质认定四大类。
信息安全产品测评:对中国外信息技术产品的安全性进行测评,其中包括各类信息安全产品如防火墙、入侵监测、安全审计、网络隔离、VPN、智能卡、卡终端、安全管理等,以及各类非安全专用IT产品如操作系统、数据库、交换机、路由器、应用软件等。
根据测评依据及测评内容,分为:信息安全产品分级评估、信息安全产品认定测评、信息技术产品自主原创测评、源代码安全风险评估、选型测试、定制测试。
信息系统认定:
对中国信息系统的安全性进行测试、评估。
对中国信息系统的安全性测试、评估和认定、根据依据标准及测评方法的不同,主要提供:信息安全风险评估、信息系统安全等级保护测评、信息系统安全保障能力评估、信息系统安全方案评审、电子政务项目信息安全风险评估。
信息安全服务资质认定:
对提供信息安全服务的组织和单位资质进行审核、评估和认定。
信息安全服务资质是对信息系统安全服务的提供者的技术、资源、法律、管理等方面的资质和能力,以及其稳定性、可靠性进行评估,并依据公开的标准和程序,对其安全服务保障能力进行认定的过程。分为:信息安全工程类、信息安全灾难恢复类、安全运营维护类。
信息安全专业人员资质认定:
对信息安全专业人员的资质能力进行考核、评估和认定。
信息安全人员测评与资质认定,主要包括注册信息安全专业人员(CISP)、注册信息安全员(CISM)及安全编成等专项培训、信息安全意识培训。
电子文档安全的介绍
电子文档是指人们在社会活动中形成的,以计算机盘片、磁盘和光盘等化学磁性材料为载体的文字材料。依赖计算机系统存取并可在通信网络上传输。它主要包括电子文书、电子信件、电子报表、电子图纸等等。 电子文档安全是指电子文档在制作、传输、使用过程中的安全。电子文档安全包括电子文档文件安全和内容安全。
比较好的防泄密软件(电子文档安全系统)有哪些
随着现代化信息泄露事件越来越多,现在有好多企业都开始对数据安全进行了重视,在市场上有需求就会有对应诞生的工具,对于数据防泄密来说也不例外,那么面对市面上形形色色的安全防泄密软件,管理者该如何进行选择呢?
对于数据安全防泄密来说,域之盾防泄密以电子文档安全为中心,泄漏风险为驱动,依靠员工泄密的方式和途径去设置对应的管理策略,达到数据安全防护的目的。比如很多企业都在用域之盾来进行数据安全防护,并且都取得了不错的效果,可以从文档外发和拷贝资料等方面进行综合考量设置,如:
1.文档加密
可以多个员工电脑设置文档透明加密,经过透明加密的文档只可以在企业局域网内的电脑使用,私自外发和拷贝都会使外发出去的文档变成乱码的情况;
2.U盘管理
可以通过usb存储设置禁止员工在电脑使用U盘的权限,或者设置仅读取、仅写入和允许使用权限,或者是通过usb特殊存储管理设置员工在电脑只能使用哪个U盘;
3.外设管理
通过外设管理可以设置员工在电脑禁止使用便携式存储设备、usb外接移动设备、红外设备和蓝牙等,能够对员工电脑usb接口进行全面管理;
4.文件操作审计
可以对员工在电脑上打开或修改的文件进行审计记录,管理者可随时查看员工在电脑打开修改或删除了哪些文件;
5.文档备份
能够对电脑上多种文档类型进行备份,可以在文档打开修改或删除时进行文档自动备份,还能够在进行本地备份的同时把文件备份到服务器端,以此来更好保护数据安全性;
6.文件外发限制
对加密后的文件外发,管理者在审批的时候可以进行外发次数和打开次数的限制,超过次数限制后文件打开就是乱码的情况,而且还能通过文档安全限制员工使用聊天工具、邮件和其他网页形式对文件进行外发,增大管理者对员工的管理范围。
电子文档安全问题如何解决
电子文档一般都是公司存放资料或者个人信息存放的载具,具有一定的保密性,所以,除了自己养成良好的安全保护意识外,更加应该利用安全加密措施来保证真实内容补外泄。
建议选择红线防泄密系统,采用AES256,512,SM2、SM3等高强度加密算法,结合透明加密技术,有价值的商业机密资料被高强度加密存放,文件主人无须解密成明文即可对高强度加密过的文档进行查看、编辑、修改、打印等操作(电脑授权绑定和账户登录前提),文档始终以高强度加密方式存放,因此文件无论以何种方式,何种途径泄露,始终是密文,从而保障机密电子文档不被非法窃取或直接泄露。
怎么保护电子文档的安全
电子文件的安全,一是指电子文件的使用价值不受到破坏,即文件的真实性、完整性和有效性不因文件的删除、篡改等原因而受毁坏;二是指文件不被非授权用户使用,即不被泄密。确保电子文件的安全有设置密码、限制修改、内容保护、文件隐含等方式。以下我们用WORD 2003为例,分别介绍电子文件安全保护的一般方法。
(一)设置密码
电子文件的加密有利于防止文件内容的泄密或被人为地修改,从而维护文件的原始性和安全性。
方法一:1、打开电子文件后,选择WORD界面中的【工具】菜单,单击【选项】;
2、在弹出的【选项】对话框上方,选择【安全性】选项卡单击;
3、在【安全性】选项卡的“打开文件时的密码”框中键入适当的密码,再单击【确定】按钮;
4、在弹出的“请再键入打开文件时的密码”框中再次键入该密码,单击【确定】按钮;
然后关闭文件,此时已经完成了文件加密,再打开文件时,就需要键入密码。
方法二:1、打开文件后,选择菜单命令【文件】中的【另存为】,单击;
针对企业的电子文档安全,要怎么做?
电子文档安全,首先可以采用加密软件,避免资料的外泄密;其次如果担心文档误删、丢失等,可采用智能备份;文档安全全方位保护可了解天锐绿盾:
1.文件加密模块采用驱动级动态加解密技术,实现文件在创建、编辑以及复制时透明加密,公司内部文件流转依旧畅通无阻。
2.为了保障外发文件的安全管控,可根据需要设置不同的操作权限,包括浏览次数、使用时间、打印、修改、禁止复制/拷贝、自动销毁等。
3.细节决定成败,习惯成就未来。天锐绿盾内外网安全管控不但规范了终端软硬件环境,同时更加规范了员工的行为管理,让员工潜移默化地形成良好的工作习惯,降低泄密概率。
4.支持移动设备(IOS、Android)在线处理审批工作,实现在线阅读加密文件,方便移动办公。
5.支持Windows、Linux、Mac系统,文档可相互流转。
