热电企业的信息安全化管理

摘要：本文基于笔者多年信息管理工作经验的积累。在分析了企业信息管理需求的基础上，提出引入EDRM企业信息管理方法，应用动态授权的信息管理机制，并给出具体的操作流程，希望一方面能规范化企业信息管理，同时也能进一步提升企业内部信息产权的保护机制。

关键词：企业信息管理；安全；授权

中图分类号：TP29 文献标识码：A文章编号：1007-9599 (2011) 10-0000-01

Information Security Management of Thermal Enterprise

Ma Liang

(Comprehensive Plan of Nanjing No.2 Thermal Power Plant Computer Center,Nanjing210038,China)

Abstract:Based on my years of accumulated experience in information management.In the analysis of enterprise information management needs,based on the proposed introduction of EDRM enterprise information management,information management,application of dynamic authorization mechanism, and gives the specific operational procedures,I hope the one hand the standardization of enterprise information management,but also to further enhance property rights protection mechanisms within the information.

Keywords:Enterprise information management;Security;Authorized

近年来随着互联网的流行以及电子邮件的普遍使用，实体文件逐渐信息化，信息外泄的手法越来越多样化。如何采取有效的信息安全控制，一直是让政府、企业以及相关使用者成为大伤脑筋的议题。就本热电企业而言，如何有效管理好日常办公、生产所涉及的企业内部敏感信息同样面临着挑战。

有鉴于此，本文提出运用信息管理技术，提出关于企业内部以授权为基础的企业信息产权管理系统（EDRM）。

一、EDRM需求分析

在考虑一种良好设计的EDRM系统，某些需求条件已经被前人研究提出，依照企业的特殊需求，我们认为在企业内部应该要符合以下的需求条件。

（一）永久保护。一种EDRM系统必须保证永久安全地保护某一信息内容，这意味着存取控制和信息资料的存放位置是无关的，如果无法满足具有永久保护信息内容的需求条件，则此系统将被认为是失败的。（二）完整性。对于接收者而言，应该容易验证在传送信息过程中是否遭受入侵者篡改成假信息。（三）验证性。对于接收者而言，容易能确定其所接收到的信息来源，亦即入侵者不能假冒某人。（四）EDRM工作流程是可追踪的。企业若想监视保密性的资料，对安全问题造成危害时，存取记录是一项有用的可追踪信息。（五）后仍可允许改变存取权限的机制。对某企业内员工初始赋予之权限可能不足或过高时，EDRM系统必须允许能够在后仍可变更对保护资料的存取权。（六）整合既有的应用系统。能整合既有的应用系统将是列为选择EDRM的重要决定因素。（七）机动性。关于机动性，有以下两项重要的要点被提出：存取时间不受限：使用者能够随时存取数字内容；空间不受限：使用者能够利用任何设备随时存取数字内容。

二、EDRM系统构架

典型的EDRM信息产权管理系统架构，在概念上由三个主要部分所组成，分别是内容服务器、授权服务器以及信息产权管理客户端。

（一）内容服务器。内容服务器的基本功能是用来将被保护的内容档案储存在一个安全处所，它基本上是一个档案服务器或是一个资料库系统，信息内容本身被转成EDRM格式后就被存放在内容服务器中，而EDRM封装器则是负责加密及封装这些敏感性的信息内容、相关多媒体及产生内容的产权规格。

（二）授权服务器。负责保管信息内容使用授权的机构。这些被EDRM封装器所产生的产权规格及解密密匙会被储存在授权服务器中。授权包含的信息有产权规格，内容识别码和可以使用产权内容的使用者身份识别。授权服务器是负责核发适当的权限给合法的使用者。

（三）信息产权管理客户端。整个系统中，客户端是最不被信任的，因为任何一个使用者都有可能想要破解受保护的信息内容。所以为了要确保整个系统能够安全运作，客户端的信息产权执行是软硬件必须具备不可篡改的特性，不至于让恶意使用者能够篡改软硬件，确保信息内容仅能依其权限使用。

三、EDRM管理流程

经过以上管理论述，这种企业内信息位产权管理系统授权方式，我们将分成以下两个阶段做更进一步的說明。

（一）内容封装以及密钥产生阶段。此阶段主要由封装服务器将信息内容做封装、加密；并依照企业内部安全需求，产生安全等级不一的保密方式，所需要的授权级别依企业内部安全需求，动态地调整其安全等级，并将产生的密钥送给授权组成员。

步骤1：作者创造某种有价值的信息内容，然后把信息内容送到封装服务器储存。步骤2：封装服务器把信息内容编码成EDRM内容格式的档案，同时封装服务器产生一对称的加密密匙，然后密匙就会被安全地储存在企业内部封装服务器的一个目录之下供相关使用者下载。步骤3：依照企业内部的安全政策，封装服务器定义信息内容的安全等级。

（二）获取解密密匙阶段。使用者必须提出其个人身份凭证供授权成员（企业管理层）。验证决定是否同意发出其本身所握有的密钥，再由EDRM重组这些次密钥成解密密匙，解开信息内容。

步骤1：使用者从封装服务器公开的目录下载加密文档，依据信息内容表头的指示下载对应的信息产权执行软件，将其安装到使用者的计算机中，负责解密被加密过的内容。步骤2：一旦EDRM每次尝试开启被保护的信息内容之后，获取解密密钥的必要验证步骤就自动被启动，导引使用者必须执行身份验证的程序，此时使用者必须提出其个人身份凭证向授权机构成员提出获取解密密钥的需求，要求授权者赋予存取权利。步骤3：一旦收到客户端的需求后，那些控制次密钥的授权机构成员就会以使用者的公钥验证使用者的身份及需求是否正确。

四、讨论

本文首先介绍EDRM的定义、概况和基本要求，并且对EDRM的优劣进行评价，基于这种评价我们构建EDRM基本构架和管理流程，并针对目前企业存在的问题，提出基于EDRM企业信息管理解决方案，为企业信息管理提供参考。在将来的研究中，我们一方面希望能为用户提供无所不在的EDRM授权服务，另一方面又能确保存取企业内部信息内容的安全性，以此作为我们未来研究方向。

参考文献：

[1]陈宝国，李为.信息安全产业与信息安全经济分析[J].中国安全科学学报,2004,12

[2]BSI.信息安全管理.信息安全管理规范[S],2009

[3]胡英本报.信息安全管理将有标准可依[N].计算机世界