第一章 前言
随着计算机和网络技术的迅猛发展和广泛普及,企业经营活动的各种业务系统都立足于Internet/Intranet环境中。但是,Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。一旦网络系统安全受到严重威胁,甚至处于瘫痪状态,将会给企业、社会、乃至整个国家带来巨大的经济损失。随着网络安全技术的飞速发展,企业在如何防止机密信息免被黑客窃取﹑保证内部网络免受入侵及数据安全方面取得了长足的进步,但是随着黑客技术的快速发展和更新,黑客与病毒无孔不入,这极大地影响了企业内部数据的安全,据不完全统计,2008年全球企业因数据安全泄露所造成的损失达数百亿美元,如何保证企业核心数据安全,已成为企业健康发展所要考虑的重要事情之一。
一般企业网络的应用系统,主要有WEB、E-mail、OA、MIS、ERP、财务系统、人事系统等。通过大量的网络技术应用,极大的提高了企业的核心竞争力,而且随着企业的发展,网络体系结构也会变得越来越复杂,应用系统也会越来越多。从整个网络系统的管理上来看,既有内部用户,也有外部用户,因此,整个企业的网络系统存在两个方面的安全问题:
Internet的安全性:目前互联网应用越来越广泛,黑客与病毒无孔不入,这极大地影响了Internet的可靠性和安全性,保护Internet、对企业数据加密建设已经迫在眉捷 。
企业内网的安全性:企业内部的网络安全同样需要重视,存在的安全隐患主要有未授权访问、破坏数据完整性、拒绝服务攻击、计算机病毒传播、缺乏完整的安全策略、缺乏监控和防范技术手段、缺乏有效的手段来评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等,一旦企业核心数据被外部窃取,那么企业机密文件将赤裸裸的展现在企业外部。
企业在保护数据安全方面已经做了大量的工作,如部署防火墙、IDS、IPS、身份认证系统、数据备份系统等,提高员工的安全素质等,但是还是不能完全阻挡来自外部或内部的窃密行为,因此,如何保证数据被盗后使窃密者无法读取信息成了一种有效的防护手段。
综上所述,企业数据加密是保证企业利益不受黑客威胁的最后一道闸门。通过数据加密来保护数字资产,是防止未经授权泄漏重要电子信息的终极手段。 保存有机密数据的移动设备非常容易丢失或被盗窃,而通过公司网络或Internet传输的数据则有可能会遭到截取。 这会给敏感数据带来巨大风险。 虽然网络非常坚固,但对于一些网上黑客或恶意员工而言,由于他们了解如何来突破部署在网络周边的安全措施,因而,最终他们仍然会通过最后防线窃取到机密数据。这样,唯一可对其形成阻碍的手段就是:数据加密。
巨石安全科技有限公司自主开发的巨石企业文件加密系统HS-Key,旨在通过对企业重要的文件数据进行加密处理,从根本上有效地保护企业的知识产权和商业机密。在数据通讯和文件存储手段高速发展、人员流动更为频繁的今天,经过加密的文件不再担心被复制或外传,企业的管理者也可以不用再为了企业技术机密的泄漏而头疼不已。
HS-Key采用国际最先进的Windows底层文件驱动过滤技术,通过计算机底层操作系统实现对计算机本身及外围存储设备的数据进行严格的加解密控制。HS-Key采用透明加解密技术,在不改变企业用户原有工作习惯和工作流程的情况下,对指定的应用程序和指定后缀的文件进行自动加解密密处理,不需要人工输入加解密密码。同时,通过灵活的加密策略的配置、分组和分级权限控制,完全达到企业对文件安全性和管理人性化的双重要求。
第二章 加密技术的发展过程和趋势
随着国内加密技术的不断发展,其技术性也有简单向复杂、安全、稳定、成熟发展,从目前情况看,加密技术走过了:虚拟磁盘加密、应用层加密、驱动钩子加密及驱动层加密,在安全、可扩展性等方面驱动层加密将引领未来的加密市场。
虚拟磁盘技术是国内加密技术所采用的最原始的技术,该项技术目前基本被淘汰,该项技术需要用户内部网络完全无力隔离,包括外部网络接口和USB接口等,因为采用该技术加密类似于在用户磁盘外面加入一把锁,用户访问磁盘需要密码,而用户磁盘上的文件是以明文存在的,只要外部用户获得合法的口令就能够任意的操作磁盘上的文件,因此其安全性不高。
应用层加密技术:所有Windosw应用程序都是通过windows API函数对文件进行读写的。程序在打开或新建一个文件时,一般要调用windows的CreateFile或OpenFile、ReadFile等Windows API函数;而在向磁盘写文件时要调用WriteFile函数。
同时windows提供了一种叫钩子(Hook)的消息处理机制,允许应用程序将自己安装一个子程序到其它的程序中,以监视指定窗口某种类型的消息。当消息到达后,先处理安装的子程序后再处理原程序。这就是钩子。
应用层加密技术就是将上述两种技术组合而成的。通过windows的钩子技术,监控应用程序对文件的打开和保存,当打开文件时,先将密文转换后再让程序读入内存,保证程序读到的是明文,而在保存时,又将内存中的明文加密后再写入到磁盘中。
应用层加密技术与应用程序密切相关,它是通过监控应用程序的启动而启动的。一旦应用程序名更改,则无法挂钩。同时,由于不同应用程序在读写文件时所用的方式方法不尽相同,同一个软件不同的版本在处理数据时也有变化,钩子透明加密必须针对每种应用程序、甚至每个版本进行开发。而且该技术不支持vista系统。
目前不少应用程序为了限止黑客入侵设置了反钩子技术,这类程序在启动时,一旦发现有钩子入侵,将会自动停止运行。
驱动钩子加密技术:该项技术在原理上和应用层加密技术类似,只不过该技术是在驱动层实施钩子技术,其可扩展性比应用层加密要高一些,但是如果采用反钩子技术同样能够对文件的安全造成很大的威胁,因此它并没有解决应用层加密技术的安全性问题。
驱动加密技术基于windows的文件系统(过滤)驱动(IFS)技术,工作在windows的内核层。我们在安装计算机硬件时,经常要安装其驱动,如打印机、U盘的驱动。文件系统驱动就是把文件作为一种设备来处理的一种虚拟驱动。当应用程序对某种后缀文件进行操作时,文件驱动会监控到程序的操作,并改变其操作方式,从而达到透明加密的效果。
驱动加密技术与应用程序无关,他工作于windows API函数的下层。当API函数对指定类型文件进行读操作时,系统自动将文件解密;当进入写操作时,自动将明文进行加密。由于工作在受windows保护的内核层,运行速度更快,加解密操作更稳定。
但是,驱动加密要达到文件保密的目的,还必须与用户层的应用程序打交道。通知系统哪些程序是合法的程序,哪些程序是非法的程序。
驱动加密工作在内核层。驱动加密技术虽然有诸多的优点,但由于涉及到windows底层的诸多处理,开发难度很大。如果处理不好与其它驱动的冲突,应用程序白名单等问题,将难以成为一个好的透明加密产品。驱动加密相比其他加密技术,其安全性更高,和用户应用的程序无关,无需用户二次开发,稳定性较好。
综上所述,应用层加密技术开发容易,但存在技术缺陷,而且容易被反Hook所破解。正如杀毒软件技术从Hook技术最终走向驱动技术一样,相信加密技术也终将归于越来越成熟应用的驱动技术,为广大用户开发出稳定、可靠的透明加密产品来。
第三章 文档安全需求分析
3.1 问题分析
Internet是一个开放的网络,当用户享受其高速发展所带来的大量的信息流通和前所未有的工作效率,可曾注意过伴随网络所产生的严重的网络安全问题。目前,昆明诺仕达集团的业务范围,不断的利用信息化手段进行高效管理。随着计算机、互联网的广泛应用,信息的交流和共享已经成为企业自身发展必要的手段。企业内部竞争性情报信息也就自然成为广受关注、为企业所青睐的重要活动,成为企业进行无形资产管理的重要部分。俗话说“知己知彼,百战不殆”,如何保护企业自身重要情报不被竞争对手窃取,使企业在使用网络来提高工作效率的同时避免企业重要的知识产权遭受侵害,将是文档安全管理的一个重要课题。
企业内部竞争性情报类型主要有:
n 企业的机密技术文件、产品研发资料
n 设计图稿、源代码
n 会计账目、财务报表
n 战略计划书
n 供应链合作伙伴信息
n 重要研究成果
n 研究论文
n 市场营销策划资料
n 客户资料
大中型企业一般有着完善的书面文档涉密管理制度,并且由单独的文控中心负责制订、监督、审计企业内部重要情报信息使用状况,亦达到了很好的效果。但是这些电子文档存储的方式为明文方式存储在计算机硬盘中,电子格式存储的重要情报信息却由于传播的便利性和快捷性,对分发出去的文档无法控制,极大的增加了管理的负责程度,这部分的资产极易于受到损害。
隐藏的安全漏洞主要有文档明文存放、粗放的权限控制、无限期的文件权限、不可靠的身份认证和无法追踪文件的使用情况等五类,下面一一阐述。
1.明文保存
目前,多数企业内部的文件都是以明文保存,仅限制浏览文件的用户。如果不加密,则进行再多的防范都是不可靠的,同样会泄密。现在有很多手段防止文档非法拷贝,如堵塞电脑的USB接口,检查电子邮件发送,但是,只要是明文的文档,泄密的途径就防不胜防,如通过邮件传输、手机红外线传输、拷屏、录屏、拆开计算机直接挂上硬盘拷贝等。
表1.1 泄密方式
|
泄密的方式 |
对明文情报的危害 |
|
黑客侵入 |
不法分子通过各种途径获取商业机密。如侵入内部网络,电子邮件截获等; |
防不胜防,特别终端由个人掌控。 |
|
互联网泄密 |
通过EMail,FTP,BBS等方式传递情报; |
|
内部局域网泄密 |
自带笔记本电脑接入网络,从而拷贝数据; |
|
移动终端泄密 |
将工作用笔记本电脑带到外界,通过笔记本电脑的相关通讯设备(软驱、光驱、刻录机、磁带驱动器、USB存储设备)、存储设备(串口、并口、调制解调器、USB、SCSI、1394总线、红外通讯设备、以及笔记本电脑使用的PCMCIA卡接口)将信息泄漏到外界。 |
|
固定终端泄密 |
通过台式电脑的相关通讯设备(软驱、光驱、刻录机、磁带驱动器、USB存储设备)、存储设备(串口、并口、调制解调器、USB、SCSI、1394总线、红外通讯设备、以及笔记本电脑使用的PCMCIA卡接口)将信息泄漏到外界。 |
2.粗放的权限控制
在现在的情况下,企业内部信息的权限管理是粗放的,一旦将这些重要资料交给他人,就完全失去了对资料的控制,一般的资料(电子文档格式)权限有以下分类:
表1.2 权限类型及在不受控情况下产生的危害
|
编号 |
权限 |
控制 |
危害 |
|
1 |
根据公司保密制度传递情报 |
有 |
情报交给对方就完全控制不了他如何使用,包括是否交给非设密的第三方; |
|
2 |
打印,打印次数 |
无 |
接受方可不受限制的打印情报; |
|
3 |
保存和另存 |
无 |
接受方可保留情报的副本; |
|
4 |
复制和拷贝 |
无 |
接受方可保留情报的副本或某部分; |
|
5 |
屏幕拷贝 |
无 |
接受方可通过计算机提供的屏幕拷贝按键和截屏软件获取情报内容; |
|
6 |
阅览次数 |
无 |
接受方可无限次的读取情报; |
|
7 |
控制阅读的条件——指定机器、指定USB锁、指定IP区域 |
无 |
对于绝密情报,不能控制接受方阅读地点——有可能他正在和竞争对手一起观看! |
只要交给对方后就再也不能控制信息资料的使用方式,这是非常危险的,“一传十、十传百”,只要拥有资料的人多了,泄密就不可避免。
3. 拥有时间无期限
拥有时间无期限指的是资料递交给接收方后,接收方就永远拥有此资料的所有权,随时可以使用资料。
拥有资料的时间无期限,会产生如下危害:
n 当员工离职,就可能带走公司的很多重要资料,可以永远重复的使用;
n 与合作伙伴协同工作完成后,合作伙伴利用原有的资料用于其他项目。
4. 不可靠的身份认证机制
身份认证是指计算机及网络系统确认操作者身份的过程。计算机和计算机网络组成了一个虚拟的数字世界。在数字世界中,一切信息包括用户的身份信息都是由一组特定的数据表示,计算机只能识别用户的数字身份,给用户的授权也是针对用户数字身份进行的。在网络环境中,辨认网络另一端的身份就是一个复杂的问题。
身份认证有三个层次:一种为证明你知道什么——即现在广泛的用户名/密码方式;其二为证明你拥有什么——即给你一个独一无二的设备,如印章,每次需要出示才能确定你的身份;最后一种为证明你是什么——即通过生物技术,如指纹、面貌等确定。
目前,身份认证手段主要有密码认证、PKI认证、指纹认证、USB硬件认证等几种方法。
用户名/密码方式:简单易行,保护非关键性的系统,通常用容易被猜测的字符串作为密码,容易造成密码泄漏;由于密码是静态的数据,很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。是极不安全的身份认证方式;
n IC卡认证:简单易行,很容易被内存扫描或网络监听等黑客技术窃取;
n 动态口令:一次一密,安全性较高,但使用烦琐,有可能造成新的安全漏洞;
n 生物特征认证:安全性最高,但技术不成熟,准确性和稳定性有待提高 ;
n USB Key认证: 安全可靠,成本低廉 但依赖硬件的安全性。
5. 使用追踪
如果出现了泄密事故,那么我们关心的就是损失有多大,有哪些人参与,由于哪些操作导致泄密,需要追查事故责任人。而现在,由于没有采用有效的手段,只能通过人工方式调查取证,使得追查周期过长,损失加大,追查到真相的几率极低。我们也不知道哪些人关注过哪些信息,某些信息被哪些人关注过,不能及时查出泄密的渠道,不能在第一时间估算出泄密所带来的损失。
3.2 需求分析
根据企业的需求,结合通用的风险分析(Risk Analysis)方法,可以将上述需求归结为保护对象、使用效果和管理手段三个方面。
保护对象
1.保护内部重要电子类资源不被泄密
n 防止内部人员未经许可非法获得公司内部重要生产、管理以及财务信息资源;
n 防止不同部门的人员之间,超越自身权限获取公司重要信息资源;
n 保护文件在与外部交流中的知识产权、技术文档;
n 防止外部非法入侵者非法盗取公司内部重要信息资源;
2.保护重要信息的合法使用
n 确保公司内部之间和公司内部与外部之间重要电子类资源的畅通、安全的交流;
n 实现重要电子类资源使用权限、使用范围、使用期限的灵活实时安全可控;
使用效果
1.保持现有工作模式和操作习惯
n 尽量不改变使用者对协同工作中的信息文件的使用操作习惯(如:使用习惯的应用程序完成设计、浏览信息文件;信息文件的加解密操作对于使用者来说是透明的等);
n 对于必要的信息文件的安全操作与设定等必要的操作,需要以人性化的、易操控的方式实现。
2.保证工作效率
n 由于保障信息安全所增加的可视(权限管理)或不可视(加、解密)的操作,不能过多的占用资源,或降低工作效率。
n 保证领导自己所创建的文件不会被加密,但能正常审阅加密的文档。
管理手段
1.管理对象
n 用户:建立合理的用户角色体系,不同角色的用户行使不同权利;
n 环境:确认合法的使用环境,如指定的计算机或指定的计算机集群(IP范围);
n 信息:建立信息安全等级,并根据安全等级来限定信息的访问和使用。
2.事前防御、管理
n 安全策略的制定与分发;
n 信息流向的制定(出口设定管理);
n 硬件密钥(USB eKey)的管理和分发。
3.事中控制
n 安全策略的调整与同步;
n 授权管理的调整控制。
4.事后审计
n 提供追查手段,提高追查能力。
5.容灾机制
当灾害发生时,能够对重要信息进行
第四章 解决方案
解决文件安全的根本方案就是对这些重要的文件进行加密。经过加密的文件只能在企业内部经过授权的机器上读取,离开企业网络环境后则无法被正确打开。本方案以巨石安全科技有限公司开发的HS-Key所提供的文件加密防盗功能为技术底层,结合深圳市博巨兴实业发展有限公司的安全管理需求,提供一个具有行业特点的专业文件安全解决方案。
4.1 HS-Key功能简介
HS-Key采用先进的底层文件驱动过滤技术,通过计算机底层操作系统实现对计算机本身及外围存储设备的数据进行严格的加解密控制。只要用户对存储介质有改写操作,系统就会对指定文件格式的文件进行自动加密,与应用程序无关,也不需要人工进行干预。同时,通过灵活的加密策略的配置,完全达到企业对文件安全性和管理人性化的双重要求。HS-Key主要分文件透明加解密、文件手动加解密、加解密策略配置管理、分组授权管理、身份认证管理、日志管理等模块和工具。可以在不改变企业现有工作习惯和工作效率的情况下实现对企业重要文件资料的安全管理。
4.2安全管理解决方案
1. 加密软件部署框架图如下
n 加密系统的用户组和用户可以与公司的AD域集成,组织结构可直接采用AD域的组织结构,客户端用户可以直接采用AD域用户和AD域密码,方便管理;也可以自定设置。
n 针对一般用户加密软件客户端开机自动运行、不可卸载、不可关闭;如有特殊情况个别用户,可以设置客户端开机不自动运行。用户可以选择是否绑定计算机,防止用户非法在别的计算机登录,做非法操作。
n 远程查看客户机的加密软件是否正常安装、是否正常运行等;
2.加密策略的制订
n 强制加密策略制定:加密策略可以由企业自行设定,具体到个人,可以指定 Office文件(.doc、.xls、.ppt)、PDF文件、VC、VB等源代码文件为需要加密的文件类型。加密策略一旦制订并下发到客户端后,该客户端生成的该类型的文件会自动进行加密。加密后的文件在编辑、复制和传输过程中都会处于加密状态,并得到控制。针对芯片烧录,可以通过策略实现芯片烧录时候文件自动解密,保证烧录文件始终是密文,并且不影响芯片烧录的工作效率。
n 对于领导可以设置特殊的策略,领导自己所创建的文档不加密,但是可以正常的审阅公司加密的文档;另外可以设置发送邮件自动解密、QQ/MSN发送文件自动解密等策略,方便领导与外界客户的文件交流,不会对领导增加工作量。
3.服务器文件加密管理
n 保存项目文件的服务器在安装了HS-Key手动加解密工具后,可以利用空闲时间通过该工具进行批量加密。经过加密后的文件,只能在合法安装了HS-Key客户端并经过授权后的机器上才能被正确读取。
4.客户端文件加密管理
n 如果需要对客户端机器上已有的文件进行加密,也可以使用HS-Key手动加解密工具进行批量处理。在安装了加密客户端的机器上编辑并保存后的文件,如果在加密策略控制范围内,则会自动完成加密。
5.离线客户端的加密管理
加密文件的离线工作主要由加密软件的脱机管理功能来设定。
n 普通用户设定为不允许脱机,为了防止网络不稳定带来的短期断线的可能性,可以设定在1小时为允许的脱机时间,只要在一个小时内能够恢复网络连通,即可保证加密文件始终可以正常打开阅读,此设置可以视公司的具体情况而定。
n 对于临时出差需要带计算机外出,同时需要在出差期间正常查看加密文件,可以在出差之前进行申请,经过批准后,由管理员设定允许脱机时间,如1个月。1个月后,出差携带的计算机上的加密文件将无法再打开。
n 未经脱机授权的计算机,在离开公司网络环境后,计算机上的文件无法打开。
n 对于部分公司领导,可以设定为允许永久脱机,即不限定脱机时间。
n 一旦公司的计算机被盗,由于设定了脱机时间,计算机上的加密文件将无法再打开,从而保证了机密文件不会被泄漏。
6.企业内部的文件交流
n 由于在企业内部的计算机上都安装了加密客户端,因此通过内部网络进行拷贝时,文件始终处于加密状态,由于巨石HS-Key加密系统可以实现分组分级管理,把以企业内部文件交流时主要有以下几种情况:
1、 相同独立组下所有继承组的客户机都可以对加密后的文件进行正确读取,工作方式和未安装加密软件前完全相同。
2、 不同独立组的用户无法阅读对方的文件,如需阅读对方文件则需要有权限有用户对该文件进行追加授权,或需要阅读该文件的用户同时挂接多少组,通过设为组管理员或切换工作组的方式实现。
3、 领导可以打开员工加密的所有文档,员工不能打开领导加密的文件,领导要把自己加密的文件给员工查看,则需要对该文件进行追加授权。
以上几种情况,可根据公司的具体情况制定具体的分组管理。
7.和外界的文件交流
n 普通文件外发不受限制,可以和外部用户自由的沟通;加密文件外发时,如果没有经过授权,邮件接收者收到的文件将是乱码,无法打开。
n 普通加密文件正常外发时,接收者可以采用以下方式查看:
1、通过正常渠道进行文件解密审批流程或使用专门的加密文件手工解密工具进行解密,文件解密审批和手工解密都会有详细的日志记录,日志将保存在服务器中;
2、接收者安装与贵公司相同的加密客户端,并得到贵公司的授权后,就可以正常打开加密文件。
3、授权的计算机发送邮件时,自动将文件进行解密,接收者收到解密后的明文文件。
n 秘密和机密文件一般不会发送到外界,如果确实有这种需求,而又希望控制文件的打开的时限、打开的次数、复制、打印和截屏等,可以采用文件外发打包功能进行控制,接收者需要安装安全权限模块并得到授权方可正常阅读。
8.打印控制管理
n 普通文件的打印不做控制;
n 通过加解密软件的打印策略的制定,可以限定某台计算机对指定的加密文件的类型(如*.doc文件)的打印权限,受限的计算机将无法打印相应的加密文件;
n 通过安全管理模块,可以指定某人(或者一组人),是否对该打包的文件拥有打印权限。
n 可以设置文件打印水印,所有打印的文件都会附带有公司所设置的水印信息,保护公司的知识产权。
9.移动存储介质拷贝的控制
目标:防止使用U盘、移动硬盘或者其他存储介质非法拷贝公司数据;
实现方式:
n 可以限制任何文件在拷贝到移动存储介质(U盘、移动硬盘等)时,都强制进行加密;也可设定要保护的文件类型,在拷贝到移动存储介质时,会自动进行加密;
n 也可以限制指定的计算机禁止使用移动存储介质,只有部分获得授权的计算机可以使用U盘。{注释:禁止使用移动存储介质(U盘、移动硬盘、手机存储卡等)并不是封堵USB口,只是禁止把文件拷贝到移动存储介质里面,并不会影响其他非移动存储设备(如鼠标、打印机、烧录芯片仪器等)正常使用。}
n 针对领导,可以开放把加密文件拷贝到使用移动存储介质(U盘、移动硬盘等)自动解密,方便领导使用。
10.文件权限的控制
n 针对word与excel的文件,可以在追加授权给用户使用的时候,同时增加只读、 是否允许修改以及是否允许打印的权限控制 。
11.日志追溯
n 所有的文件解密操作都将记录到服务器的日志文件中,一旦发现文件泄密,可以从日志中追溯到责任人、解密文件及解密日期。
12.系统备份与恢复
n 在所有的加密策略和权限设定完成后,可以将存储这些信息的数据库文件备份一份到其他的存储介质,一旦出现系统崩溃或硬件的损坏,可以重装加密系统后,将此文件恢复到加密系统中,即可保证整个加密系统的正常运行。
n 可以采用硬件加密狗设备,给最高领导设置为超级解密员,即使数据库文件真的丢失,也可以用加密狗把加密文件进行解密。
第五章 应用效果
实施该安全方案后,可以达到以下应用效果:
n 设计图纸和重要的文件只能在公司内部传阅,离开企业后无法打开;
n 原有的QQ、MSN等即时通讯工具和邮件发送工具仍然可以正常使用但是如果发送的文件是加密文件,将无法打开;
n 文件的解密必须在一定的审批流程下才能进行;
n U盘、移动硬盘等存储介质可以进行有效的控制;
n 打印机受到监控,既能防止重要文件泄密,又能有效地控制成本。
总的来说,在应用中使用者不知不觉、不改变任何使用习惯、文件格式、应用程序,文件落地即加密,在硬盘上保存的数据是加密状态。没有合法的使用身份、访问权限、正确的安全通道,所有重要的文件都是密文状态,确保了重要信息数据无论采取任何技术手段拿到的也只是加密后的乱码文件,确保了数据无论在何时、何地、何种状态下都是安全的。需要交流的文件可以根据需要设定一定的数量和文件大小的限制来实现控制对外交流文件的使用可控性。一旦出现文件的泄漏,可以从日志中找到答案。
咨询邮箱:404397954@qq.com 
咨询热线:0755-88844416 
