Secospace DSM技术白皮书.doc

Secospace DSM文档安全管理 技术白皮书文档密级 外部公开Secospace DSM文档安全管理 技术白皮书 (仅供内部使用）拟制:李春茂日期：2008-12-15审核:日期：审核:日期：批准:日期：修订记录日期修订版本描述作者2008-12-161.00初稿完成 目 录1企业文档安全现状62华赛Secospace文档安全管理系统63华赛Secospace文档安全管理系统架构73.1系统组件73.2集中式部署83.3分级分布式部署84安全性94.1通讯安全性94.2文档安全性105用户系统106文档类型107权限模型108文档管理员分级管理介绍129日志审计1210对外接口1311产品主要指标1311.1可靠性1311.2性能13图目录 图 1华赛Secospace文档安全管理系统集中式部署8图 2华赛Secospace文档安全管理系统分级分布式部署9图 3用组织管理架构图12Secospace DSM文档安全管理 技术白皮书 关键词：文档安全、加密、权限控制摘 要：文档安全管理（DSM, Document Security Management）系统是对机密电子文档进行加密和权限控制、防止主动泄密的一款成熟产品。通过对企业的重要文档进行加密和实时权限控制，可为企业提供安全授权下的机密信息共享机制，使信息所有者能够定义信息的访问者、访问方式和时间等，并记录文档操作日志。有效控制因不受权限限制的阅读、修改、分发文件导致的信息泄密。缩略语清单：缩略语英文全名中文解释ADActive Directory微软活动目录LDAPLightweight Directory Access Protocol轻量级目录访问协议DSMDocument Security Management文档安全管理DMCDSM Management Center文档安全管理系统管理中心DSDSM Server文档安全管理服务器 DCDSM Client文档安全管理客户端 1 企业文档安全现状随着信息化程度提高，企业越来越多地利用计算机创建和处理敏感的业务电子信息， 在方便快捷的同时也增加了信息被侦听、截获及非法拷贝的危险。尤其企业在商业活动中使用的诸如企业财务数据表、客户信息、研发文档等需要保密的敏感信息资源，一旦泄密将使公司的知识产权遭受损失，带来巨大的信息资产损失成本，并给公司的声誉和业务关系带来危害。据调查显示，信息泄密已成为当前企业面临的TOP10安全威胁之一，而不受权限限制的阅读、修改、分发文件是导致信息泄密的重要原因。正是基于敏感信息资源泄密导致的严重危害性，越来越多的法律、法规对企业的信息安全行为作出了规定，要求保护公司机密信息，谨防不规范信息操作，防止未经授权造成的信息泄密和非法使用。在信息安全方面，内部泄密对公司造成的泄密尤其严重，从目前来看，内部泄密主要是通过如下途径：1、内部人员将资料通过软盘、U盘或移动硬盘从电脑中拷出带走；2、内部人员通过互联网将资料通过电子邮件发送到自己的邮箱；3、内部人员将资料打印后带出；4、将公司电脑直接带回家中或将自己的笔记本电脑带到公司，接入局域网，窃取资料；5、电脑易手后，硬盘上的资料没有及时删除，导致泄密；6、随意将文件设成共享，导致非相关人员获取资料；7、权限分发错误，给无关的人发送了文档并且把权限给了他。2 华赛Secospace文档安全管理系统解决以上问题的有效方法是结合文档安全管理系统技术进行文档权限控制：1) 将公司的机密文档加密保存在硬盘里，不允许硬盘存有明文的公司机密文档，即使硬盘丢失、转手或者被盗也不会导致文档内容丢失；2) 严格控制机密文档的权限，限制文档的离线阅读权限，即使通过邮件发送到公司外部，连接不到公司的内部服务器也无法打开文档和难以用其它方式获取文档内容；3) 对于公司的机密文档，限制普通人员的打印权限；4) 对于非法或者由于不小心导致的共享，没有权限的人获取到的只是密文，难以解密还原成明文文档；5) 使用强度大的加密算法（AES128）对文档进行加密，使丢失或者被盗的文档基本无法可解密；6) 对于机密文档，需要严格控制每个人的权限和权限的有效时间；7) 对已授权的文档权限支持实时回收，使损失降低到最小甚至无损失。3 华赛Secospace文档安全管理系统架构3.1 系统组件文档安全管理系统主要由三个组件组成，分别是DSM管理中心，DSM服务器和DSM客户端。每个组件的职责如下：DSM管理中心：DSM管理中心只有在人数较多的系统上才会使用到，使用分级分布式部署时才使用到。在分级分布式部署中，管理中心位于第一级，DSM服务器位于第二级。在人数较多、地区较大的系统上面，将会部署多套DSM服务器系统，每套DSM服务器系统都可以独立工作，但是如果这些系统之间的存在文档需要给两套系统上面的用户都授权，那么就需要用管理中心把这两套系统都接管起来，接管后DSM管理中心的系统管理员可以管理每套DSM系统的文档管理员，进行全局的组策略分配。在管理中心的帮助下，各个二级DSM系统的用户可以相互授权，使得整个系统所支持用户非常容易扩展。DSM管理节点：DSM管理节点由一个数据库组件和一到四台DSM服务器组成。DSM服务器的核心功能是处理客户端的业务，进行文档密钥和权限管理。在DSM系统中，所有文档的权限都保存在DSM服务器，客户端在线打开文档前都必须向服务器请求密钥和权限，服务器只有在客户端具有打开文档的权限的时候才会给客户端下发文档密钥。DSM服务器支持负载均衡和热备功能，完全避免单点故障。DSM服务器还提供了Web管理功能，普通用户可以在Web界面上登录进行文档的权限管理，系统管理员可以进行系统管理。DSM客户端：DSM客户端的核心功能是加密解密安全文档，并实现安全文档的权限控制。客户端从服务器获取到文档的权限信息后，通过对编辑器和操作系统的一系列控制来实现文档权限的控制，权限控制是整个DSM系统的核心内容之一，客户端通过各种技术保证了不具备修改权限的用户无法对文档进行修改，无打印权限的用户无法打印权限等。客户端使用了透明加密的技术，使得安全文档在磁盘时永远都是以加密了的密文形式存在，只有在编辑器显示文档内容时才进行动态的对显示的内容进行解密。透明加密技术保证了文档在磁盘上的安全性。3.2 集中式部署华赛Secospace文档安全管理系统集中式部署架构如下图所示：图 1 华赛Secospace文档安全管理系统集中式部署在人数不多（不超过2万人）的情况下，一般只部署一个DSM管理节点，这个情况下，DSM系统主要由DSM服务器、客户端组成。另外，DSM系统还具备Web界面提供给系统管理员、文档管理员和普通用户使用。DSM服务器群由至少一台服务器组成，当由三台或以上服务器组成时，DSM系统可以实现数据库热备、服务器冗余备份、负载均衡的功能。DSM服务器用于处理终端用户的请求，进行文档权限的统一管理。3.3 分级分布式部署华赛Secospace文档安全管理系统分级分布式部署架构如下图所示：图 2 华赛Secospace文档安全管理系统分级分布式部署在大规模企业应用时，Secospace DSM文档安全管理系统在部署上主要分两级架构，第一级为管理中心，第二级为DSM管理节点，管理中心统一对下面的二级DSM管理几点的DSM服务器进行系统管理，指派二级DSM管理节点的文档管理员等。DSM服务器用于处理终端用户的请求，进行文档权限的统一管理。分级架构理论上提供了无限的人数扩展功能，支持用户的漫游和权限的跨系统（二级DSM服务器系统）授权。在分级部署中，每一套二级DSM服务器就是一个完整的独立部署方式下的DSM系统，只是为了支持大规模的应用把各个DSM系统使用一个一级的DSM管理中心进行统一的管理而已，另外，跨DSM二级系统授权和用户漫游也需要DSM管理中心的支持。4 安全性4.1 通讯安全性DSM系统中，客户端跟服务器之间的通讯协议是https协议，所以客户端和服务器之间的通讯报文都是经过加密的。服务器之间也会进行通讯，跟客户端一样，也是使用了https协议。对于Web页面登录的，也使用了https协议，保证通讯的安全性。4.2 文档安全性文档安全主要体现在下面的几个方面：1 使用强度大的加密算法进行文档加密，DSM目前使用的是128位的AES加密。2 保证存储在硬盘上面的安全文档都是以密文的形式存储。客户端使用了透明加密技术，使得DSM安全文档的明文不会出现在磁盘上。3 在没有任何权限的情况下无法打开文档。在DSM系统中，密钥是由服务器统一保存和管理的，如果没有任何权限，客户端是连密钥都无法获取到的，所以无法打开文档。4 有效的权限控制。客户端使用各种windows底层技术对打开的文档进行权限控制，防止用户越权使用功能。5 实时的权限控制，因为权限是保存在服务器的，所以修改权限后可以马上生效，防止出现无法回收权限的情况。5 用户系统在Secospace DSM的用户系统中，可以支持三种类型的用户，一种是本地创建的用户，一种是从AD同步过来的用户，一种是从普通LDAP服务器（目前主要是novell的ED）同步过来的用户，可以同时支持三种类型的用户同时存在于DSM中。对于本地创建的用户，用户和密码都是经过加密保存在数据库里面的，用户认证时使用本地数据库的密码进行认证，对于AD和ED的用户，当用户认证的时候，DSM系统通过跟AD或者ED通讯实现用户的身份认证。用户系统在DSM中是独立的模块，使得DSM很容易的经过简单的定制就可以跟其它第三方的用户系统进行联动，这对于已经存在自己的用户系统的企业来说，避免了企业新建一套用户系统的复杂性。6 文档类型DSM系统支持的文档类型包括Office Word 2003文档，Office Excel 2003文档，Office PowerPoint 2003文档，PDF文档。Office文档只支持使用微软的Office编辑软件打开，PDF文档只支持使用Adobe Reader 7.0、8.0和9.0打开。7 权限模型Secospace DSM所支持的权限比较多，权限继承关系比较复杂，不过并没有影响到产品的易用性，相反的，详细的权限控制加强了企业文档的安全。DSM支持下面的基本权限。基本权限名描述阅读可以打开文档。打印可以对受控文档进行打印操作编辑允许编辑修改；在当前文档内部复制粘贴；将外部数据复制粘贴到当前文档内；保存自动覆盖原文档，且维持原有的授权和作者信息。 复制拥有复制权限后，受控文档的内容才能够复制到外部文档分发拥有分发权限的用户才能对受控文档授权给其他的用户，遵循最小授权原则，授给其他用户的基本权限不能超过再授权用户自身拥有的基本权限（只有分发权限的用户不能给其它人授予分发权限），对次数和时间不进行权限分发的越权限制。离线离线权限使用户在连接不上服务器的情况下可以使用文档。完全控制打开文档后可以像正常文档一样进行操作为了方便用户进行授权操作，DSM系统对权限进行分级，分成只读、编辑、完全控制三种级别。只读：固定添加了阅读的基本权限，不能对文档进行编辑，可以附加的基本权限有打印，分发和离线。编辑：固定添加了阅读和编辑的基本权限，可以附加的基本权限有打印，复制，分发和离线。完全控制：具有所有权限，包括还原文档。次数和时间控制：可以对文档设置打开次数限制，用户打开次数用完后无法再打开文档。可以对有打印权限的文档设置打印次数限制，超过打印次数后系统自动取消用户的打印权限。可以给权限设置有效时间，包括开始和结束时间，超出时间范围对应权限失效。授权对象在DSM系统中，每一条权限信息由三个字段标识，这些字段为文档唯一标识（每个加密文档不同），被授权对象唯一标识和授权者唯一标识，不同的授权人可以给同一个被授权人进行授权。DSM中的可以授权的对象如下：用户：用户是使用最频繁的授权类型，也是授权的最小单位。部门：给部门授权后，部门下面的所有用户（包括子部门用户）都具有对应的权限。EveryOne：就是所有人，只要通过身份认证的用户都具备此权限。组策略：组策略是一系列权限集合，可以包含用户权限，部门权限和EveryOne权限。权限叠加原则在DSM系统中，权限可以叠加的，一个用户对一个文档所具有的权限是该文档的EveryOne的权限，被授权对象为用户所属部门的权限，被授权对象为用户本身的权限和组策略权限中适合用户的权限的叠加。例如对于某个文档，用户所在的部门被授予了只读打印权限，用户直接被授予编辑权限，那么用户就会具有编辑和打印权限。对于次数控制，采取使用最大次数的原则，例如用户所在部门被授予10次打印次数限制，用户本身被授予20次打印次数限制，那么用户能打印的次数为20次。8 文档管理员分级管理介绍权限的分级管理主要包括文档管理员在部门上面的分级管理和权限的继承。图 3 用组织管理架构图每个部门（可以是一级部门以是更小的部门）都可以具有多个文档管理员（也可以没有文档管理员），文档管理员可以管理部门中的所有用户（包括下级部门用户）的文档权限，也可以给更小的部门分配和取消文档管理员，这样，从管理的角度上就形成了分级管理的概念。例如，用组织管理架构图举例，用户A是一级部门n的文档管理员，那么他就可以管理这个部门下（包括所有子部门）的所有用户制作的文档的权限，但是如果让用户A去管理那么多人的文档权限，可能会无法应付过来，为了减轻其身工作，他给下面的二级部门1分配一个文档管理员AA，那么AA就可以管理二级部门1下面的用户的文档权限。另外，A用户也可以把AA的文档管理员权限取消，取消后AA就无法再管理部门的文档权限了。9 日志审计DSM提供了详细的日志记录，为了更加容易管理日志，DSM把日志划分为两种，一种是操作日志，一种是文档日志。操作日志包括：用户登录、添加部门、修改部门、删除部门、添加人员、修改密码等等。文档日志包括：制作安全文档、打开文档、修改文档、添加权限、修改权限、删除权限、离线打开文档、打印等。10 对外接口DSM客户端组件提供了对外API，第三方软件可以通过调用DSM客户端提供的API实现跟DSM服务器的联动，实现安全文档的制作，文件权限的设置和修改。11 产品主要指标11.1 可靠性Secospace DSM服务器使用了完全热备和负载均衡技术，一套DSM系