如何对涉密电子文件进行管理,防止核心信息泄露,已引起国家及企事业单位的高度重视。2007年中央军委5号文件《关于进一步加强新形势下保密工作的意见》中也进一步强调了加强涉密电子文件的保密管理。目前,在涉密电子文件管理方面,多集中于文件加密方面的研究。文件加密存储,能够达到防止内部泄密的目的,但由于涉密文件分散存储在各计算机中,管理者无法对数据进行统一管理。这种无序的状况有可能造成核心资料的遗失,也为电子文件的安全埋下隐患。这里针对涉密电子文件的管理,以透明加解密为核心,提出了一套集中存储涉密电子文件的管控技术。该技术通过对用户各类数据的集中存储,使得在终端不存储任何形式的数据;对存储到服务器中的数据进行加密防护,分组分级的授权管理,防止泄密及越权访问;结合身份认证、审批、外发及审计等方法,实现涉密电子文件全面的管控。

1、涉密电子文件集中存储

集中存储,指建立一个庞大的数据库,把各种信息存入其中,各种功能模块围绕信息库的周围并对信息库进行录入、修改、查询和删除等操作的组织方式。涉密电子文件集中存储,是指终端用户产生的数据均存储到服务器中,在终端不保存任何形式的电子文件,其架构如图1所示。图1中,服务器存储终端产生的所有涉密电子文件,提供文件保存、修改、检索和删除等服务。

\

终端按照已分配的权限访问服务器,获取相应的涉密电子文件并进行操作。所有过程均在服务器中完成,不在本地存储文件。

2、集中存储的技术方向

目前,关于集中存储的研究方向主要包括云计算技术和虚拟磁盘技术。

(1)云计算技术

云计算以互联网为中心,使各资源协同工作。通过云计算技术实现集中存储的方法,主要是桌面虚拟化,如图2所示,但该方式存在如下缺点:

桌面虚拟化架构

①所有操作集中在数据中心进行,增加了数据中心的建设成本,而且不能充分发挥终端性能,造成资源浪费。

②一些特定数据如大型图纸文件,集中显示时性能较差,业务支持比较薄弱,无法支持大型应用。

③云计算本身存在安全漏洞,且文件是非加密存储,给数据安全埋下隐患。

(2)虚拟磁盘技术

通过虚拟磁盘技术实现集中存储的方法,由于虚拟磁盘被加密,形成虚拟安全工作区,因此,此方式本身具有一定的安全性。但该方式也存在很大的缺点:

①无法对文件进行细粒度的控制,如控制用户对指定文件具有使用次数的限制,为每个文件标定密级等。

②虚拟磁盘技术本身的一些安全性问题,如图3所示。

 

虚拟磁盘存储技术架构

3、基于透明加解密的涉密电子文件集中存储技术

目前对于文件集中存储的实现,主要存在以下不足之处:未能解决电子文件安全问题;无法对电子文件进行权限等细粒度的控制;缺乏完整的解决方案。这里针对以上问题,提出一套集中存储涉密电子文件的管控方法,存储模型如图4所示。

涉密文件集中存储模型

该模型对涉密电子文件进行如下管控。

(1)用户身份认证

用户身份认证,是该系统的安全基础。身份认证采用USBKey双因子认证方式,保证访问者的物理身份与数字身份的一致性。每一个USBKey都具有硬件PIN码保护,PIN码和硬件构成了用户使用USBKey的两个必要因素,即所谓“双因子认证”。用户只有同时取得了USBKey和用户PIN码,才可以登录系统。即使用户的PIN码被泄漏,只要用户持有的USBKey不被盗取,合法用户的身份就不会被仿冒;如果用户的USBKey遗失,拾到者由于不知道用户PIN码,也无法仿冒合法用户的身份。身份认证流程如图5所示。用户访问文件服务器时,必须使用合法的USBKey通过文件安全网关对用户身份进行认证。只有认证通过的用户(合法用户),才能获取到服务器中对应的个人文件,其他非法访问服务器的操作,均被系统拒绝。

\

(2)文件集中加密存储

在用户的本地计算机中,不存储任何形式的文件信息,所有文件均自动加密并保存至文件服务器。存储到服务器中的文件,通过透明加解密进行加密,其原理如图6所示。所有的文件系统操作都是向操作系统I/O管理器提出的,再由操作系统I/O管理器将操作定位到具体的某个文件系统来完成。文件的操作者和平常一样,对文件进行正常操作,他们不会感觉到Windows及底层发生的一切变化。文件经过WindowsI/O管理器、透明加密技术平台和Windows文件系统的处理,最后存放在磁盘上的文件是经过加密的。同时,加密策略(算法、密钥和加密文件的指定)内置在透明加密技术平台中,由系统管理员集中管理,文件操作者无权获取或更改。透明加解密具有以下特征:

①强制性。透明加解密的实质是强制加密。一方面,只要单位认为是需要保密的信息,一律都要加密,加密与否不取决于文件作者或使用者的个人主观判断,也和文件操作者的责任心和保密意识无关;另一方面,经过加密的文件只有符合授权条件才可以打开使用,否则,文件无法打开,即使打开也是以密文的形式打开,只能看到乱码。

②透明性。透明化是指系统在后台自动执行加解密操作,用户无需参与,与正常操作无任何差别。透明化功能的具体实现过程都是在内存中进行,不会在磁盘上产生任何文件,在文件被打开时,合法用户毋须事先对文件进行解密,系统根据策略判断对授权进程访问,自动对文件进行解密。所有这些过程是在不改变用户行为习惯的基础上,即文件的操作者是感觉不出以上这些过程的,所以对用户来讲足“透明”的。例如,策略规定对所有的Excel文档都要强制加密,那么用户只要将文件存入磁盘介质,文件在介质上就一定是加密的;当用户将文件从磁盘上读出来编辑时,文件自动被解密,以便用户可对其正常操作。

 
 

透明加解密技术工作原理


(3)文件权限控制

所有存储到文件服务器中的文件,均对权限进行细粒度的控制,只有符合权限所允许范围内的用户,才能获得明文数据,否则,当前用户对文件的访问被拒绝。该系统可以根据分组、角色、用户或IP等进行权限控制,使加密文件只允许某小组或某限制范围内的用户可正常使用。同时又可以对某些用户设置特殊访问权限,使其可以访问某些或所有用户的加密文件,使得只能在某小组或某范围内才能正常使用的加密文件可以被小组或范围外的该特殊用户正常使用。同时,系统对电子文件使用过程中各个权限维度进行控制,包括访问口令、使用范围、使用次数、使用时间、是否可修改、是否可打印及动态打印水印等。对已经分配权限的电子文件,其使用权限还可以动态调整。

(4)公文审批流转

存储在文件服务器中的文件,均对权限进行控制。除特权用户,一般用户只允许访问已分配权限的文件。对于不同分组、不同角色的用户,若需访问其他用户的文件,可通过审批工作流提出申请,对文件进行主动授权,限制该文件只能被某些用户或小组使用,同时指定具体的使用权限(只读、允许修改、允许打印、带打印水印、使用时间,以及是否记录使用日志等等1。该授权过程通过在线审批或离线申请来完成。在线审批过程使用了完善的审批工作流,该审批工作流可以支持一级或多级审批,与企业现有审批流程无缝结合。离线申请需要事先给具体终端或用户配置允许离线申请的策略,这样该用户才能在离线环境下制作主动授权文件。通过该方式,实现文件在内部及外协终端中的安全流转。主动授权过程及使用场景如图7所示。

公文审批流转

(5)文件外发管理

对于需带出到外部的文件,通过外发管理对文件进行审批。在文件服务器中加密存储的文件只能在内部由授权用户进行使用。企业有时需要与外部进行文档形式的交流或合作,为了不影响这种对外交流,该系统对外发文件进行授权管理,由用户向管理者提出申请,审批通过后,方可带出文档。在企业外部使用外发数据时,其使用范畴及生命周期均受到严格的控制,并对数据安全进行全面防护。外发的文件其访问权限的控制包括使用范围、使用时间、使用次数、打印控制和打印水印等。

(6)统计审计分析

对于用户的所有操作行为,如用户通过身份认证后访问文件服务器的行为、公文审批的流程和外发审批管理,系统均记录日志,以便以后统计分析。同时,对于核心文件的使用过程,如流转给哪个用户,用户对文件进行了哪些操作,系统均可追踪有关文件的详细信息,从而为管理者把握整体的文件使用情况提供便利。

4、结语

针对当前涉密电子文件难以管控的问题,这里提出一种涉密电子文件集中管控技术。该技术以透明加解密为核心,在不改变用户使用习惯、不增加用户成本投入及性能消耗的同时,解决文件集中存储和访问控制等一系列安全管理问题,为进一步深入研究涉密电子文件的管理奠定了基础。