（计算机软件与理论专业论文）文档安全保护系统中防主动泄密关键技术研究与实现.pdf

文档安全保护系统中防主动泄密关键技术 研究与实现 计算机软件与理论专业 研究生金容波导师王玲教授 摘要随着网络技术的发展，越来越多的机密信息被存储到企业内部网络的 计算机上。虽然企业在保障信息安全上投入了大量的资金，但因为信息泄漏而 给企业带来的损失仍呈逐年上升趋势。美国计算机安全学会的调查结果显示， 现实的威胁主要为信息泄漏和内部人员犯罪，而非病毒和外来黑客。随着这种 认识的深入，防止内部人员主动泄密的内网安全技术受到越来越多的重视，涌 现出一大批内网文档安全保护产品。 文档安全保护系统必须保证文档在存储、传输和使用三个环节中的安全。 现有的产品采用加密存储和加密传输，防止了存储和传输过程的泄密。但是， 不管如何加密存储和传输，这些文档最终始终会以明文的形式呈现给用户。用 户在使用文档的过程中，完全可能通过剪贴板、打印机等渠道，将这些机密文 档中的信息泄漏出去。因此，防止内部用户在使用机密文档的过程中的主动泄 密行为，对整个文档安全保护系统具有重要意义。 本文分析了文档在w i n d o w s 主机上的使用过程中存在的几个关键泄漏点， 设计并实现了相应的防止用户主动泄密的监控模块。首先，本文在软件架构思 想的指导下，设计了系统的开发架构视图。然后，通过分析w i n d o w s 剪贴板和 o f f i c e 内置剪贴板的运行机制，成功实现了对剪贴板的控制，防止了复制粘贴 和拖拽等操作泄密；通过对w i n d o w s 打印原理的分析，设计并实现了打印监控 模块，阻止了非法打印；为了防止用户通过拷屏泄密，实现了对屏幕拷贝操作 的禁止；为了防止用户对保密文档的另存为等操作，实现了应用程序菜单控制； 为了保证安全地从控制中心获取监控的策略，在策略配置模块实现了s s l 通信 模块；为了保证监控程序不被用户恶意停止或删除，本文对监控程序本身进行 保护，包括注册表隐藏、文件隐藏、监控程序防杀等。最后，对本文的研究和 开发工作做了总结，并对下一步工作提出了展望。 关键词：文档安全保护主动泄密监控剪贴板打印菜单 i i r e s e a r c ha n d d e v e l o p m e n t o fp r e v e n t i n gi n i t i a t i v ei n f o r m a t i o n l e a k i n gi nd o c u m e n t ss e c u r i t yp r o t e c t i n gs y s t e m m a j o r ：c o m p u t e rs o f t w a r ea n dt h e o r y p o s t g r a d u a t e ：j i nr o n g b os u p e r v i s o r ：w a n gl i n g a b s t r a c tw i t ht h ed e v e l o p m e n to fn e t w o r kt e c h n i q u e ，m o r ea n dm o r es e c r e t i n f o r m a t i o na r es a v e do nt h ei n t r a n e t e n t e r p r i s e sh a v es p e n tm u c hm o n e yo n s a f e g u a r d i n gt h es e c u r i t yo ft h e i ri n t r a n e t ；h o w e v e r , t h el o s sc a u s e db yi n f o r m a t i o n l e a k i n gi sg o i n gu py e a ra f t e ry e a r t h er e p o r to fc s is h o w st h a t ，t h eb i g g e rt h r e a t e n c o m e sn o tf r o mv i r u sa n dh a c k e rb u tf r o mi n f o r m a t i o nl e a k i n ga n di n n e ru s e r s c r i m e s f o r t u n a t e l y , e n t e r p r i s e sb e c o m ea w a r eo ft h a ta n da t t a c hm o r ea n dm o r e i m p o r t a n c eo ni n n e rs e c u r i t yo fi n f o r m a t i o n t h e r ec o m e sa l o to fi n n e rd o c u m e n t s s e c u r i t yp r o t e c t i n gp r o d u c t s t h ed o c u m e n t s s e c u r i t yp r o t e c t i n gs y s t e mm u s t e n s u r et h es e c u r i t yo f d o c u m e n t sd u r i n gs t o r a g e ，t r a n s m i s s i o na n du s i n g t h ee x i s t e dp r o d u c t sh a v e a d o p t e dt h et e c h n i q u et h a te n c r y p t st h e s ed o c u m e n t sd u r i n gt h es t o r a g ea n d t r a n s m i s s i o n ；h o w e v e r , t h ec y b e rm u s tb ed e c r y p t e dw h e ni ti su s e db yt h el e g a l t e r m i n a lu s e r s o t h el e g a lu s e rw i mt h ec r i m i n a li d e ac a nl e a kt h ed e c r y p t e d i n f o r m a t i o no nh i so w ni n i t i a t i v e i n f o r m a t i o nc a nb el e a k e dv i ac l i p b o a r d , p r i n t e r s a n ds o m eo t h e rt o o l s n o ww ec a ns e eh o wi m p o r t a n td o e si tm e a nt ot h ed o c u m e n t s s e c u r i t yp r o t e c t i n gs y s t e mt h a tp r e v e n t i n gl e g a lu s e ro fi n t r a n e tf r o ml e a k i n go r s t e a l i n gi n f o r m a t i o n t h i sp a p e rh a sd i s c u s s e ds e v e r a lp o s s i b l el e a k i n gp o i n t sd u r i n gt h ed o c u m e n t s a r eu s i n go nw i n d o w ss y s t e m ，a n dh a sd e s i g n e da n dd e v e l o p e dt h ec o r r e s p o n d i n g m o n i t o rm o d u l e st op r e v e n ti n n e ru s e r sl e a k i n ga c t i o n s f i r s t ，f o l l o w i n gt h eg u i d e o fs o f t w a r ea r c h i t e c t u r ei d e a ，a l la r c h i t e c t u r ev i e wo fd e v e l o p m e n tf o rt h ew h o l e s y s t e mi sg i v e n t h e n , a f t e rr e s e a r c h i n go i lt h em e c h a n i s mo fw i n d o w sc l i p b o a r d a n do f f i c ec l i p b o a r d , t h em o d u l eo fp r e v e n t i n gl e a k i n gv i ac l i p b o a r di sd e s i g n e d , w h i c hc a ns t o pi l l e g a lo p e r a t i o no fc o p y , c u ta n dp a s t ea n di l l e g a lo p e r a t i o no fd r a g a n dd r o p a t t e rs t u d y i n gt h ep r i n c i p l eo fw i n d o w sp r i n t i n g ，am e t h o dt oc o n t r o la l l i i i p r i n t i n ga c t i o n si sp r o p o u n d e d a ne f f o r tt op r e v e n tu s e rc a p t u r et h es c r e e nw h e n u s i n gs e c r e td o c u m e n t sb yp r e s st h ek e y “p r i n t s c r e e n i sm a d e b e c a u s eh s e t c a l l s a v et h es e c r e td o c u m e n t sa so t h e rd o c u m e n t si no t h e rt y p e ，aw a yt oc o n t r o l “s a v e a s ，m e n ui ns o m es o r w a r ei sg i v e n b e s i d e st h e s ek e r n e lm o d u l e s ， ah i g h p e r f o r m a n c ec o m m u n i c a t i o ns e r v e ri sd e s i g n e d ，w h i c hs u p p o r t ss s l a n de n s u r e st h e s e c u r i t yo fe x c h a n g ec o n f i g u r a t i o ni n f o r m a t i o nb e t w e e no u r m o n i t o rs y s t e ma n dt h e c e n t r a lc o n t r o ls e r v e r t h ew a yt op r o t e c tt h es y s t e mi t s e l fi s a l s od e s i g n e d , i n c l u d i n gr e g i s t r yh i d i n g ，f i l e sh i d i n ga n dp r o g r a ma n t i - k i l l i n g f i n a l l ya s u m m a r y t o t h ee f f o r to ft h i sp a p e ri sg i v e n k e yw o r d s ：d o c u m e n t ss e c u r i t yp r o t e c t i n g ，i n i t i a t i v el e a k i n gi n f o r m a t i o n ，m o n i t o r , c l i p b o a r d ，p r i n t ，m e n u i v 图表清单 图2 1 架构和系统关系图1 8 图2 2 架构和框架关系图。1 8 图2 35 种视图和需求类型图。2 0 图2 4 防主动泄密系统的开发架构视图2 2 图3 1 钩子安装过程示意图2 8 图3 2 a p i 钩子钩挂前后调用情况图3 0 图3 3w i n d o w s2 0 0 0s e r v e r 系统服务钩子示意图31 图3 4p e 文件结构总体层次分布3 3 图3 5 替换i a t 相关的关键数据结构3 4 图3 6o l e 剪贴板工作原理图3 6 图3 7 剪贴板监控系统架构示意图3 8 图3 8 规则中心功能示意图3 9 图3 9s e t c l i p b o a r d v i e w e r 代理函数伪代码4 0 图3 1 0 加入新观察者前后剪贴板链条示意图4 1 图3 1 1 拖拽编辑原理图4 l 图3 1 2d o d r a g d r o p 和q u e r y c o n t i n u e d r a g 代理函数的伪代码4 2 图3 1 3o f f i c e 剪贴板示意图4 3 图3 1 4 剪贴板消息钩子回调函数伪代码4 5 图3 1 5 微软w o r d 文档打印流程图4 7 图3 1 6s t a r t d o c p r i n t e r 代理函数伪代码5 0 图3 1 7 键盘钩子处理函数5 2 图3 1 8o f f i c e 菜单控制开发步骤5 4 图3 1 9p d f 菜单控制开发步骤图5 5 图4 1 完成端口模型图5 8 图4 2 服务器体系层次5 9 图4 3 工作线程封包处理流程图6 2 图5 1 注册表设置开机自动运行6 5 图5 2 三线程防杀原理图6 9 图5 3 在d l l 入口例程中创建远程监控线程一7 l 表i 1 国内文档安全保护产品简表7 表1 2 部分产品对防止主动泄密的支持情况表9 表1 3 部分产品对防止拖拽支持情况表l o 表1 4 部分产品对细粒度权限控制支持情况表l l 表3 1 钩子类型一览表。2 7 表3 2 监控剪贴板所勾挂的函数列表3 7 v i i 四川师范大学学位论文独创性及 使用授权声明 本人声明：所呈交学位论文，是本人在导师王主! 釜麴砭指导下， 独立进行研究工作所取得的成果。除文中已经注明引用的内容外，本论文不含 任何其他个人或集体已经发表或撰写过的作品或成果。对本文的研究做出重要 贡献的个人和集体，均己在文中以明确方式标明。 本人承诺：已提交的学位论文电子版与论文纸本的内容一致。如因不符而 引起的学术声誉上的损失由本人自负。 本人同意所撰写学位论文的使用授权遵照学校的管理规定： 学校作为申请学位的条件之一，学位论文著作权拥有者须授权所在大学拥 有学位论文的部分使用权，即：1 ) 已获学位的研究生必须按学校规定提交印刷 版和电子版学位论文，可以将学位论文的全部或部分内容编入有关数据库供检 索；2 ) 为教学、科研和学术交流目的，学校可以将公开的学位论文或解密后的 学位论文作为资料在图书馆、资料室等场所或在有关网络上供阅读、浏览。 论文作者签名：漱 ) 阳g 年4 月i o 日 第一章绪论 第一章绪论 1 1 课题背景 2 0 0 6 年1 0 月，陕西省高级人民法院对一起影响巨大的商业秘密侵权案做出 终审裁定【1 1 ：被告人原西安某重点企业研究所高级工程师裴) 【) 【犯侵犯商业秘密 罪，判处有期徒刑3 年，并处罚金5 万元；裴x x 及附带民事责任的中冶x x 技 术工程有限公司，共同赔偿原告西安重型机械研究所经济损失1 7 8 2 万元。据悉， 裴x x 在“跳槽”后，将原单位的近万张商业秘密技术设计图纸“剽窃 到新单 位中冶) 【) 【技术工程有限公司，并利用这些图纸为其他单位设计了连铸机。原研 究所党群工作部副部长陈x x 说，上述被窃图纸( 电子文档) 是该所历经二十余 年、投入大量人力物力自主开发的逐步完善成熟的成套装备图纸，涉及图纸近 万张，是该所几代科技工作者数十年心血汗水的结晶。这些图纸资料是属于国 家所有的财产。自裴) 【) 【等人到中冶x x 公司以来，该公司先后用他盗窃的技术 资料为数家企业做了多套机器设备，合同总额达二亿三千多万元人民币，使原 本不具备连铸机设计能力的中冶x x 公司屡次中标，使原单位研究所失去应有的 市场份额，经济上蒙受了巨大损失【l 】。 与上述研究所类似，随着计算机网络技术、i n t e r n e t 、i n t r a n e t 和数字通 信技术飞速发展，信息网络技术的应用层次不断深入，越来越多的企业为了提 高信息处理的速度和效率，把纸质文档转化为电子文档的形式，许多企业甚至 把9 0 以上的企业机密信息以电子文档的形式存储在企业内网中。同时，企业也 大量使用e r p 、c r m 等电子信息管理方案。这些新型管理手段的使用，在给企业 带来更高的生产效率的同时也给企业的信息安全管理带来了新的挑战。随着大 量的专业技术和业务机密存储在计算机和网络中，因信息泄密造成的损失也越 来越大。 根据c s i ( 美国计算机安全学会) 和f b i 每年的联合调查报告【2 1 显示：在2 0 0 0 年信息安全事件造成的损失当中，3 0 4 0 是由电子文件的泄漏造成的，而在 财富杂志排名前1 0 0 0 位的公司每年因电子文件泄漏造成的损失平均为5 0 万 美元。2 0 0 2 年，有超过8 3 的安全威胁来自于企业内部，包括内部未被授权的 第一章绪论 文件存取、专利信息的窃取以及内部人员的财务欺骗等。c s i 在其2 0 0 7 年度的调 查报告【2 】中称，平均每个受访机构因安全突破造成的损失从2 0 0 6 年的1 6 8 0 0 0 美 元上升多j 3 5 0 4 2 4 美元。检测到的内部人员对网络和资源的滥用事件，在五年来， 首次超过了病毒侵害事件，达至u 5 9 。电脑及手持设备遗失等带来损失的事件， 与病毒侵害造成损失的事件基本持平，都在5 0 上下。在c s i 关于内部威胁造成 的损失所占比例的调查中，虽然调查结果数据比上一年有所改观，但仍有1 0 的被调查者认为6 0 - - - 8 0 的损失来自内部人员，5 的被调查者认为8 1 , - - , 1 0 0 的损失来自内部人员【2 】。 从上述数据中，我们可以看出，企业面对的网络安全威胁主要来自内部。 针对来自于公司内部的安全威胁，采取必要的内网安全措施对企业是相当紧迫 的一件事情。一方面，随着企业内网安全意识的增强，他们已经采取了一些积 极的措施，如制定了严格的信息保密管理制度，引入了一些内网信息安全系统， 在员工拷贝或者打印机密文件的时候进行必要的审查和登记等，这些措施的有 效性得到了证明，对防止信息泄漏起到了一定的遏制作用。另一方面，即使在 企业已经意识到内网安全的重要性并采取了对应措施，但来自内网的泄密行为 造成的损失仍然巨大，内网安全形式仍然严峻。 一个来自内部的普通员工的主动泄密，远胜于一个来自外部的顶级黑客的 恶意盗取。来自外部的黑客和病毒的入侵只是外伤，而内部的泄密，则会伤及 五脏六腑。和外网攻击相比，内部泄密通常是由具有合法权限的员工，正常登 录到内网终端上，在使用机密信息过程中的无意泄漏或者有意盗取造成的，因 而具有更隐蔽、更难侦测和更具破坏性等特点。侦测和阻止这些泄漏行为，对 所使用的内网信息安全系统有很高的技术要求。目前的内网安全系统在技术发 展水平、功能以及易用性等方面尚还不能满足企业应用的需求，成熟的内网安 全产品还有很长的路要走。 据i d c 最新发布的报告【3 】，2 0 0 5 年中国i t 安全市场总量为3 7 8 1 亿美元， 比i d c 在2 0 0 5 年初预测的3 6 3 亿美元高出1 5 1 0 万美元其主要原因是身份管 理和访问控制软件、安全内容管理软件的市场表现良好，超过了预期。2 0 0 6 年 中国网络安全市场仍保持比较好的成长趋势，预计未来五年内，中国i t 安全市 场的复合增长率为2 0 9 【3 】。从这些数据，可以看到，信息安全越来越被人重 2 第一章绪论 视，而安全内容管理的份额也越来越大。其相关技术也在不断进步。这些技术 并不能完全符合对企业文档进行保护的安全需求，要实现相对更加安全的企业 文档安全保护系统还有很多的技术难关需要攻克。 1 2 国内外研究的现状 1 2 1 内网机密文档可能的泄漏途径 通过对公司的信息化管理系统的分析发现，公司内部网络中的重要文档， 可能在三个不同的过程中被泄漏：存储过程、传输过程和使用过程。具体来说， 存在以下一些可能的泄漏途径： 1 存储过程泄密。如今越来越多的敏感信息、秘密数据和档案资料被存贮 在计算机里，大量的机密文件和资料变为磁性介质、光学介质，存贮在无保护 的介质里，媒体( 外设) 的泄密隐患相当大。如内部员工可以轻松地通过计算机 主板的各种端口如u s b c d r o m 几p ，r c o m p c i 等，使用优盘、移动硬盘、刻录机、 磁盘以及其它外部存储设备将计算机本机或者网络内部的信息非法复制出去， 造成信息泄漏；甚至于计算机或硬盘被盗了也会造成泄漏。在磁盘报废时，存 贮过秘密信息的磁盘，员工认为已经清除了信息，而给其他人使用；计算机出 故障时，存有秘密信息的硬盘不经处理或无人监督就带出修理，或修理时没有 懂技术的人员在场监督，而造成泄密；媒体管理不规范，将机密信息和非机密 信息放在同一媒体上，明密不分，磁盘不标密级，不按有关规定管理保存秘密 信息的媒体。这些行为都容易造成严重的后果和不可弥补的损失。 2 传输过程泄密。公司的内网一般都是用防火墙等产品和外部网络隔离， 这使得大家错认为内网就是绝对安全的。而因协同办公需要在内部网络上传送 的重要文档，都是以明文的格式传输。一旦外部黑客突破内网的防线，这些传 输中的机密文档将唾手可得。 3 使用过程中的泄密。使用过程中的泄密行为应该是最难防范的。对于前 两个过程的泄密，只需要将文档加密存储和加密传输，然后加固内网的防范措 施，防范外部黑客的攻击就基本可以防止泄密。但是，使用过程中的泄密行为， 第一章绪论 是由公司内部的有权限的员工无意甚至处心积虑恶意而为的，因此相当难防范。 内部员工有太多的机会可以恶意泄漏和盗取公司的机密信息，包括： a 复制、剪切、粘贴等剪贴板操作。公司员工在使用办公软件对文档进行 编辑的时候，可以通过复制、剪贴等操作，通过系统剪贴板，将机密文档内的 部分或者全部的内容复制出来，粘贴到一个新的不受控制的文档中去，或者将 机密文档的内容拖拽到其他的非机密文档中去。然后，他可以躲过监管，任意 使用这个看似非机密的文档。 b 非法打印。公司对内部打印机缺乏管理，公司员工可以方便的使用本地 打印机或者网络打印机，将公司的重要资料打印成纸质文档带出公司，造成信 息泄漏。 c 屏幕拷贝。不管是机密图纸还是机密文档，只需要有只读的权限，能够 打开阅读，用户都可以采用屏幕拷贝的方式，将其转化为图片带出公司。 d “另存为”操作。公司员工在使用一个机密文档的过程中，可以将这个 文档另存为另外一种格式、另外一个名字的文档，以偷梁换柱的方式盗取机密 文档。 4 人脑记忆泄密。从技术上来看，要防止这个泄密途径是不可能的。毕竟， 我们不可能给最终用户看加密后的文档。要防止人脑的记忆泄密，只能通过公 司的规章制度，尽量限制这些恶意的大脑不要接触机密的文档资料。 我们知道，任何一个环节的泄漏，对公司来说，其损失都是一样的，都是 无法弥补的。因此，一个好的文档安全保护系统，需要全面考虑对这些可能泄 密途径的防范。在后续两个小节中，我们将对现有文档安全保护系统的产品进 行介绍，并介绍这些产品在防止用户主动泄密方面的研究工作。 1 2 - 2 文档安全保护系统研究状况 从横向来看，围绕着文档安全，各种技术层出不穷。共享权限和n t f s 【4 1 技 术是为了限制特定目录或文档的读取；为了防止网络造成的信息泄漏，防火墙 被提出来；为了保证传输中数据的安全性，i p s e c 5 1 ，v p n 5 1 ，s s l 6 1 等技术开始 被广泛使用；g p g 6 1 ，s m i m e 6 1 则是为了保证电子邮件的安全。但是这些技术都 4 第一章绪论 是在防止外部或者非法用户对文档的使用，都是以周边防御为基础的文档保护 方法。而根据统计，组织内部的重要敏感数据的外泄8 3 是由于内部合法用户恶 意使用所造成【2 】。比如：员工跳槽会带走重要资料，员工利用公司数据满足自己 的利益，等等。这是目前以周边防御为基础的安全技术面临的最大问题。正因 为如此，对内网进行监控和管理的技术逐渐得到重视。 目前国外内网安全的研究主要集中在内网管理、内网审计、内网监控三个 方面。但是，由于企业文化和思维方式的不同，其内网监控大部分都是集中在 网络流量的监控，而对用户直接接触的内网计算机终端的监控不是很多。内网 信息审计和监控作为保障内网信息安全有效手段之一，在内网安全应用中也起 到了不少的积极作用。基于网络访问控制( n a c ) 技术的产品比较多。n a c 是一种 软件技术和硬件技术的混合体，可根据系统策略对客户访问网络的能力进行动 态控制。目前市场上可列入此类的产品包括c i s c o 公司n e t w o r ka d m i s s i o n c o n t r o l 架构【7 】和j u n i p e r 公司统一访问控制环境中的各个组件。可以列入此类 的单一设备包括c o n s e n t r yn e t w o r k s 、s t i l l s e c u r e 和v e r n i e rn e t w o r k s 等公司 的产品。其他的n a c 厂商，如l o c k d o w nn e t w o r k s 和m i r a g en e t w o r k s 也在通过各 自的伙伴进行此类产品的研究与推广工作。微软公司也推出了类似的网络访问 控制架构，名为n e t w o r ka c c e s sp r o t e c t i o n ( n a p ) 【7 】。由于该架构具备微软的 支持，并且可以利用微软公司无处不在的服务器和桌面软件，因此n a p 也是网络 访问控制领域中一个非常重要的角色。 从纵向来看，直接对内网中机密文档的内容进行保护，也有许多不同的技 术： l 、在文档上加入读取密码或编辑密码，这样不知道密码的用户即便得到文 档也是打不开的，这里存在的问题是，任何用户取得文档密码后就可以把文档 无限制的分发出去，文档不再受到安全保护，而且这种技术需要特定文档编辑 器的支持。 2 、e f s 是微软推出的加密文件系统【8 】，在n t f s 磁盘格式下使用，不需要文 档编辑器的支持，就可以通过e f s 可以对任何文件或者整个目录进行加密，并且 实现了合法用户的透明使用。但是e f s 没有很好的授权机制，不适合企业使用， 而且对权限没有进行划分，只有使用和不可以使用两种，对权限的有效期也没 5 第一章绪论 有定义。 3 、d r m ( d i g i t a lr i g h t sm a n a g e m e n t ，数字版权管理) 技术。这种技术自 产生以来，被视为是数字内容交易和传播的关键技术【9 】【10 1 它将使用电子资源 的全部过程，包括分发、使用、描述、鉴定、交易，全部保护起来，实现对其 进行保护、监控和跟踪【9 】【1 0 】【l l 】，d r m 技术为电子文档的合理使用提供技术上的保 障。基于d r m 技术的产品有以下一些： a d o b e 公司的e m e r c h a n t 是和a d o b e 的a c r o b a t 电子图书阅读器相配合的电子 图书交易和版权管理系统；a d o b ec o n t e n ts e r v e r 是一个专门的电子图书版权 管理服务软件，提供电子图书的制作、存储、发布，和a d o b e 的a c r o b a t 或者是 g l a s s b o o k 的g l a s s b o o kr e a d e r 相配合；微软公司的m e d i ar i g h t ss e r v e r 是和 微软公司的m e d i ap l a y e r 相配合使用的流媒体授权系统；微软在2 0 0 3 年2 月发布 了它的w i n d o w sr m ( r i g h t sm a n a g e m e n t ) 解决方案。此外，a i r z i p 公司的f i l e s e c u r e 系统、方正a p a b i 重要文档防扩散系统、上海前沿计算机科技有限公司的 前沿文档安全管理系统( e d o c g u a r d ) 、通信标准化推进中心的d o c s h i e l d 电子文 档保护系统，也都是采用d r m 技术的产品。 这么多优秀的d r m 产品在它们所针对的领域里起到了应有的作用，但并不适 合用来保护企业文档。这些产品是针对版权管理来开发的，其目标使用者是电 子资源的发布方和消费方，而不是企业文档的制作者和使用者。因此这里有一 些不同之处，首先版权管理产品只需要管理某个特定的文档类型即可，而企业 文档却又很多种；其次版权管理着重对消费者的监管，而对企业文档保护来说， 文档制作者和使用者应该受到相同级别的监管。 4 、基于加密和权限管理的文档安全保护技术。这是国内内网安全产品的主 力军。在国内，从2 0 0 0 年左右内网安全开始得到重视，很多企业和研究机构就 开始全力研发文档安全保护产品。随着市场需求的增加，从事内网信息安全保 护产品开发的公司如雨后春笋，其推出的产品也有几十个之多。为了便于表述， 本文将这类系统统一命名为“文档安全保护系统 。这类系统大多利用密码技术、 访问控制、检测、审计等技术手段，对涉密信息、重要的业务数据、技术专利 等敏感信息、其存储、传输及其使用过程等实施安全保护，使之不被非法或违 规的入侵、外传、破坏、拷贝。希望用技术的方法，从本质上阻止除人类大脑 6 第一章绪论 记忆以外的任何机密信息泄漏事件的发生。 以下是国内文档安全保护类产品的不完全统计表： 表1 1 国内文档安全保护产品简表 产品名称公司名称 官方网站 亿赛通c d g 文档安全管理系统北京亿赛通 h t t p ： l 琢豫e s a f e n e t c o m 铁卷电子文档保护系统深圳大成天下h t t p ： 搠u n n o o c o m 睿锁电子文档安全管理系统北京中科网航h t t p ： 删r e d c o r e c o m 。c n 前沿文档安全管理系统 上海前沿h t t p ： 硼d r m n e t c n 天盾文档安全系统江阴天恒h t t p ： 礞强j y c a d n e t 汇源防信息泄漏系统( l p s )四川汇源h t t p ： 删。s c h y c o m c n 中软防水墙系统w a t e r b o x中软h t t p ： 删c s s t o m c n 守望者2 0 0 6江阴安腾h t t p ： | 椭i t e n s o f t t o m 思智n e t - l o c k思智泰克h t t p ：? 榔s a g e t e c h t o m c n 智能防信息泄漏系统华御信息h t t p ： 恻c h i n a s e c u r c o m 商业机密保护系统北京书生h t t p ： 恻s u r s e n c o m 图文档卫士新模式软件 h t t p ： 焉鞭幂c m o d e s c o m 信息安全保护系统上海网伦 h t t p ：w w w j i a m i t o m c n t e f s 透明加密文件系统易核软件 h t t p ：w , 哪e c o r e s o f t c o m c n d o c u m e n ts a f e r m a r k a n yh t t p ： f 棚。m a r k a n y c o m c h i n a f il e s e c u r e a i r z i p h t t p ： ! 飞鞭礓a i r z i p 。c o m c n s e f s 安全加密内核 s e f s t e r m h t t p ： 恻s e f s n e t 金盾文档安全加密系统济南华软 h t t p ：w 唧w n e i w a n g c n 重要文档防扩散解决方案北大方正 h t t p ：w w w a p a b i a n 通过上表，我们对国内文档安全相关产品市场的激烈竞争应该有所了解。 这些开发文档安全保护产品的公司自然深知技术方案的保密对公司生存发展的 重要意义。因此，要想获取某个产品的具体实现方案，比登天还难。在人气颇 旺的华安信达( c h i n ac i s s p ) 信息安全论坛内网安全版块【1 2 】上，在内网安全 第一章绪论 技术讨论的同时，也充斥着枪手对自己公司产品的吹捧和对竞争对手公司产品 的诋毁。此外，相对权威一点的资料就是来自各个公司官方网站的产品技术白 皮书，从中可以对产品的功能和特点有所了解。通过查阅部分产品技术白皮书 以及对部分产品的资料收集和试用【1 3 1 【1 4 】【1 5 1 【1 6 1 ，本文归纳了目前这些产品对应于 前一节所介绍的三个主要泄漏途径而采用的主要技术的特征： 1 存储环节： 多采用透明加解密技术，在应用层、驱动层或者内核层对文件进行加密存 储；包括应用层加密技术、文件过滤驱动技术、磁盘加密技术等。使文档在存 储过程中是密文，即使硬盘失窃，机密信息也不会丢失。 存储格式上，有的先给文件加壳，将文件转换为特定格式进行存储：更多 的是保留文件本来的后缀和格式。 存储位置上，主要有上传到文件服务器集中存储、在本机划分出保密磁盘 分区或指定保密文件夹等几种方式。 2 传输环节： 文档在传输过程中始终是密文状态。采用s s l 或者t s l 进行数据传输。有 的系统为每次传输协商了一个临时会话密钥，提高了安全性。即使非法用户在 传输过程中窃取了文档，他拿到的也是无法使用的密文。 3 使用环节： 采用集中存储方式的系统，在用户获取文档时进行身份认证，根据用户所 属的不同角色，授予其对文档的不同的使用权限。这些权限信息伴随机密文档 被传送到客户端。部分系统实现了对用户使用文档的细粒度的权限控制，控制 用户的阅读、复制、剪切、粘贴、另存为、打印等操作。但实现这种细粒度权 限控制的系统并不多，在实现方案上也还不完善。 另外，防止内部用户在使用中主动泄密始终是这些系统竭力想解决的问题。 恶意内网用户可能通过更改文件名、另存为或者通过剪贴板操作、屏幕拷贝工 具等泄漏信息。但是，由于涉及到w i n d o w s 系统复杂的底层原理和特定的应用 软件的运行机制，要防止用户主动泄密具有相当的难度，在目前的文献中，还 没有发现成熟的方案。 8 第一章绪论 1 2 3 机密文档使用环节防主动泄密的开发现状 能否防止终端用户主动泄密是评价文档安全保护系统是否安全的重要指 标。主动泄密行为，肯定是发生在机密文档的使用环节。由于w i n d o w s 系统的 复杂性，以及用户操作的多样性和不确定性，防止使用过程中的主动泄密具有 相当的难度。早期的文档保护系统专注于加密存储和传输，而对用户使用过程 的控制更多依赖于企业的规章制度。随着认识的深入和企业要求的提高，现有 的产品已经开始重视防范用户使用文档过程的主动泄密，并将其视为自己产品 的重大卖点。 但是，并不是所有的产品都支持防止内部人员主动泄密。表1 2 来自业内 人士所撰写的国内电子文档保护产品对比【1 7 】。它对部分产品是否能够防止 内部人员主动泄密进行了比较： 表1 2 部分产品对防止主动泄密的支持情况表 产品名称是否支持防止内部人员主动泄密 亿赛通c o g 文档安全管理系统 否 铁卷电子文档安全系统是 睿锁电子文档安全管理系统是 前沿文档安全管理系统否 天盾文档安全系统 是 索远d o c s e c u r i t y 否 山丽防水墙系统否 汇源防信息泄漏系统( l p s )不完全是 中软防水墙系统w a t e r b o x不完全是 守望者2 0 0 6 是 剪贴板是使用过程中主动泄密的一个重要途径。用户把一个机密文档直接 复制到另外一个目录下，这个文档仍然是密文- 但是，用户完全可以采用另外 一种方式：他把机密文档打开，在编辑软件中用复制、剪切等操作，新建另外 9 第一章绪论 一个保密策略范围外的文件，将机密文档内复制剪切得到的内容粘贴进去。这 样，他就创造了一个和机密文档内容完全相同、但不再是机密文档的全新文件。 拖拽编辑也能造成同样的泄密。表1 3 同样来自国内电子文档保护产品 对比【1 7 1 ，统计了这些产品对拖拽编辑操作的防范情况。 表1 3 部分产品对防止拖拽支持情况表 产品名称 防止鼠标拖拽文档中的机密数据 亿赛通c d g 文档安全管理系统是 铁卷电子文档安全系统否 睿锁电子文档安全管理系统是 前沿文档安全管理系统是 天盾文档安全系统否 索远d o c s e c u r i t y是 山丽防水墙系统否 汇源防信息泄漏系统( l p s )否 中软防水墙系统w a t e r b o x否 守望者2 0 0 6否 对于机密文档中的复制粘贴、屏幕拷贝软件等泄密手段，大部分的文档保 护系统都有所实现。但从表1 3 可以看出，类似w o r d 中的鼠标拖拽复制的方式， 只有少数产品明确禁止。 公司中的员工，职位不同，所属的角色不同，那他们对同一份文档的使用 权限就不应该相同。同一份文档，可能规定a 只能阅读，b 能阅读和打印，而c 能阅读和修改但是不能打印。细粒度的权限控制对一个完整的文档安全保护系 统具有重要意义。表1 4 比较了部分产品对细粒度权限控制的支持情况旧。 支持细粒度的权限控制，必然要结合应用程序的菜单，根据其所具有的权 限，对应用程序菜单进行相应的修改，将用户无权操作的菜单项禁用掉，阻止 用户的一些非法操作。 1 0 第一章绪论 表1 。4 部分产品对细粒度权限控制支持情况表 产品名称 是否支持详纽的文档权限控制 亿赛通c d g 文档安全管理系统是 铁卷电子文档安全系统否 睿锁电子文档安全管理系统是 前沿文档安全管理系统是 天盾文档安全系统否 索远d o c s e c u r i t y 是 山丽防水墙系统否 汇源防信息泄漏系统( l p s )否 中软防水墙系统w a t e r b o x否 守望者2 0 0 6否 由于行业内的激烈竞争，所有这些产品的技术实现方案，都是公司的核心 竞争力，作为公司的核心机密被严加保密。因此，获取他们的技术实现方案十 分困难。现有的文献讨论这一问题的屈指可数。任建华等人在终端文件安全 保障系统中剪贴板监控技术的应用 1 8 】一文中，讨论了_ 种基于文件保密区和 划分保密级别的剪贴板监控技术，通过h o o ka p i 和文件过滤驱动来实现对用户 剪贴板操作的监控。但划分文件保密区的方案，对使用的使用造成了不便，并 且容易泄密，目前并不被看好。同时，该文中所实现的剪贴板监控方案设计复 杂，并且在对e d i t 等控件里面的复杂粘贴的监控存在漏洞，并不能在实际产品 中应用。 1 3 课题的意义 信息安全产品最符合木桶原理，最短的那块木板决定了木桶的容积，最薄 弱的环节决定了整个文档安全保护系统的安全性。 在文档安全保护系统的三个环节中，使用环节中的主动泄密是最难防范的。 能否防止主动泄密是整个系统是否安全的关键。我们虽然能够保证文档在存储