电子文件安全防护模型.doc

内容摘要：电子文件充满着整个世界，其安全性越来越得到重视。本文分析了电子文件面临的威胁，总结了针对这些威胁人们所从事的技术实践，勾画了未来的发展趋势。在此基础上，进一步分析了电子文件安全防护模型建立需要考虑的各种要素，最后给出了一个电子文件安全防护模型。关键词： 电子文件 安全 防护 模型一、电子文件安全威胁分析无处不在的电子文件使保密工作面临着严峻挑战，其主要威胁来自于文件自身的隐密性和完整性得不到有效保证；电子文件的传播途径没有得到有效控制，造成机密文件流失；电子文件的载体如计算机、硬盘，特别是移动存储设备的安全性受到了挑战；以及电子文件的滥用等。1. 电子文件的隐密性、完整性面临威胁。电子文件已得到广泛使用，数量庞大、类型各异，哪些文件含有机密，哪些文件需要采取安全保护，以及保护的等级是什么对于这些问题的回答，往往比较困难。这使得很多含有机密数据的电子文件暴露在无关人员面前。2. 对电子文件的传播途径缺乏有效监控，造成泄密。文件传播途径主要有网络的、打印的、计算机端口的和拷贝的几种形式。利用这些途径，人们能轻而易举地将大量的、含有完整机密信息的电子文件，神不知鬼不觉地传播出去，造成无法挽回的重大损失。3. 电子文件的存储载体不安全。最为严重的是移动存储介质的安全得不到保证。移动存储介质体积小、方便携带，内外网间交叉混用，极易造成摆渡病毒的攻击，造成重要数据流失。4. 电子文件的合法利用受到挑战。这涉及到数字知识产权保护（DRM）的问题。如设计单位的设计图纸，需要交给生产单位加工生产。设计单位会担心他们的图纸在生产单位使用过程中的安全。如果图纸含非常机密的信息，一旦流失将给设计单位造成重大损失。就如何保护涉密电子文件的安全，国家有关部门给予了高度重视。学术界和产业界投入了大量精力研究、开发了很多技术，用于防护电子文件，积累了丰富的实践经验。这些实践经验，为电子文件安全防护的模型建立提供了宝贵的材料。二、电子文件安全防护技术实践和技术趋势2.1 技术实践2电子文件的安全防护走过了几年的历程，积累了大量的实践。本文所研究的电子文件安全防护模型，是在这些大量实践的基础上总结和提炼的。这些技术实践包括主动文件加密技术、基于文件格式转换的保护、控制电子文件传播途径、全盘数据加密模式、透明文件加解密技术等。各个不同的技术实践在不同时期、不同的应用领域发挥了相应的作用。2.1.1 主动文件加密技术文件作者（Creator）或拥有者（Owner）主动对文件加密，这是最早的电子文件保护技术。这类技术需要操作者主动识别哪些文件需要加密、哪些文件不需要加密。很显然，这种技术的最大缺陷是无法防止内部用户对文件的故意泄密。这给这类技术的应用范围带来很大局限性。2.1.2 基于文件格式转换的保护方式这类技术将需要保护的文档转化为其特有的（或专有的）格式，对电子文件进行保护。格式转换后，用户可以比较方便地对电子文件实施权限控制，如访问、拷贝、黏贴、打印等。这种技术的缺点在于它需要专门的阅读器来阅读加密的文件，改变了用户使用习惯。还由于僵化的文件格式，被迫使很多文件的属性丢失，如三维图纸类的电子文件被转化成专有格式后，不再具备立体属性。这类技术借鉴了数字版权管理 (DRM）技术，更多地用在保障数字内容的合理、合法应用。2.1.3 控制电子文件的传播途径对电子文件的传播途径，如通过网络的方式将文件发出、通过拷贝的方式将文件转存后带出、通过打印的方式将文件打印后带出，或者通过各种计算机接口连接到外部设备上将文件转出，等实施强制控制和审计。由于是基于企业安全策略的，所以属于强制类安全防护，能够在一定程度上防范内部人员主动泄密。它的最大特点是采用“堵”的方式实施电子文件的安全防护，这类技术的缺陷在于文件始终处于一种不安全的“明文”状态。因此这类技术常常和文件加密类技术一起联合使用。2.1.4 全盘数据加密模式全盘加密类技术通过对逻辑磁盘卷或者整个磁盘卷进行加密，从而实现电子文件安全防护。这类技术的先天不足在于它不能对系统盘（含操作系统文件）进行加密，存在诸多漏洞：一旦登录到用户环境，所有的电子文件相当于都处于解密状态。另外，这种技术也无法防止内部人员主动泄密。2.1.5 透明加密文件方式透明加密文件技术通过对特定电子文件进行加密以保护敏感信息的泄漏。它突出的特点是加密的“强制性”和过程的“透明性”1。强制性是指文件是否加密保护不是由操作者（创建者和使用者）来判断，而是根据企业的策略强制执行，即使文档作者也无法在未授权的情况下将文件解密带出。透明性是指所有的加解密工作均在后台进行，用户感觉不到加密过程的存在，不改变前端用户的使用习惯。2.2 技术趋势2.2.1 电子文件密级标识技术密级标识成为近几年来政府部门和学术界关注的焦点。电子文件除了文件本体的内容外，还包含多个安全属性，如电子文件的密级、使用时间限制、使用范围等。密级不同，电子文件的保护策略也有所不同。随着信息安全等级保护制度的出台、推广使用和逐步完善，基于密级标识的电子文件等级防护，将是未来的重要趋势。2.2.2 电子文件全程跟踪技术文件运动理论告诉我们：文件从其形成到最后销毁或作为档案永久保存是一个完整的生命过程5。根据这一理论，电子文件在其整个生命周期中的运动轨迹和变化情况都要被记录、跟踪，并据此进行事件关联分析、事件回放和审计。2.3 各种防范技术的综合利用利用密码学原理保护文件本体的内容还不够，还需要和网络访问、数据存储、用户操作、身份鉴别等协同工作，建立一套立体防护体系，保证涉密电子文件的使用和传播受到相应控制。移动存储介质的安全保护也成为电子文件防护必不可少的技术手段，且越来越得到更多的关注。三. 电子文件防护模型建立应考虑的因素如前所述，针对电子文件的安全威胁，业界提出了若干技术方案规避安全风险，并呈现出若干新的发展趋势。电子文件安全防护模型的建立，必须要针对这些威胁源，在技术实践的基础上，综合考虑各种安全因素，提出更严谨的技术体系，使其具有更普遍的指导意义。分析认为，该模型的建立要充分考虑：电子文件密级标识和基于密级标识的安全防护；电子文件全生命周期的安全防护；电子文件的存储、处理、传播环境的安全性；电子文件安全防护策略的统一性；电子文件的合法、有效利用等各个方面。3.1 密级标识所谓密级标识，就是针对受保护的电子文件划分秘密程度并给予相应的标识，针对不同密级的电子文件采取不同的安全措施。这既是信息安全等级保护制度的要求，也是长期保密实践总结出来的成果，更是保密政策的强制要求。电子文件的密级标识还涉及到使用者的密级、操作环境的密级标识问题，以及不同密级之间的访问控制规则的制定和审计。3.2 电子文件生命周期按照文件运动理论，“文件作为人类社会活动的副产品和历史记录，是有机地联系在一起组成一定的群体向前运动，经历若干历史阶段而达到自己的生命终点的”5。这个理论揭示了电子文件时刻处在不断的变化之中。在不同的历史阶段，电子文件处在不同的环境，需要不同的安全防护措施和强度。这正是在建立电子文件安全防护模型时要考虑电子文件生命周期的原因。3.3 电子文件存储、处理、传播环境文件所在环境的任何变化，都会导致文件安全性的变化。如软硬件环境的变化会影响终端的安全性，进而影响电子文件的安全性；异常的进程如木马程序等会引发敏感数据的泄漏。3用户电子文件的安全防护离不开对它的存储、处理和传播环境的防护。这些环境包括处理电子文件的终端计算机、敏感数据存储器、数据传播的通道等等。处理电子文件的终端安全性又包括操作系统的安全、防病毒安全措施、安全漏洞和补丁修复情况、身份认证等一系列影响电子文件安全的因素；敏感数据存储器安全包含存储器的使用限制（时间、此数、责任者、使用主机等）、内外使用隔离、在非法访问的情况下磁盘自锁和销毁、防止通过移动介质传播摆渡病毒等措施；数据传播通道安全包括数据传输加密、网络访问控制、打印限制、拷贝限制等。3.4 电子文件安全防护策略的统一性模型的建立是一个抽象和统一的过程。电子文件安全防护模型要对电子文件安全防护策略进行高度抽象，实行统一表达、统一解释和统一执行。由于电子文件面临的安全威胁各种各样，技术手段各异，使得这种抽象工作非常困难，策略的统一表示、解释和执行也非常复杂。3.5 电子文件的合法、有效利用这是电子文件离开安全环境引起的新问题。按照文件运动理论，这时文件处在生命周期的特殊阶段5。假如甲和乙两个企业，甲是设计单位，乙是加工企业，乙能根据甲提供的CAD图纸加工出相关零件。甲将图纸交给乙加工，乙将图纸输入，加工出的产品提交给甲。合作过程中，乙偷偷地将甲提交的所有图纸进行了备份。合作结束后，乙开始自己生产由甲花费了大量人力、物力设计的产品。四. 电子文件安全防护模型4.1 模型的图形表达该图由三个轴和三个圆组成。三个轴分别是文件密级轴、生命周期轴和安全策略轴，分别以L，C和P表示；三个圆分别是：文件本体的安全防护、文件工作（存储、处理）环境的安全防护，以及格文件传播途径的安全防护，分别以F、E和W表示。4.2 模型的解释抽象地，文件密级（L）分为若干个级别，可以用普通、秘密、机密和绝密表示，级别依次提升。如果整个图形沿斜轴（L）向左下方滑动，表示文件密级的不断上升。随着文件密级的上升，对文件的保护（文件本体防护、工作环境防护和传播途径防护）强度应该不断增强。文件密级可以表示为：L = 普通，秘密，机密，绝密，或者更抽象地表达为：L = 1，2，3，4，5，安全策略轴（P）表示的是不同单位对同一密级的语义的不同定义。例如，商业企业单位对机密级的定义和关系到国家安全的保密单位对机密级的理解是完全不一样的。整个图形从左往右滑动时，表示某单位对某一指定密级的安全要求越高。也可以理解为，任何一个给定的单位，在该轴上都能找到相应的位置：商业企业一般靠左，关系到国家安全的保密单位在最右方。生命周期轴（C）比较直观，其刻度一般是创建阶段、形成阶段、利用阶段、永久归档（或销毁）阶段。根据具体情况，每个阶段还可以划分成一系列小阶段。各阶段文件所处的环境不一样，对安全性的要求也不一样，例如，创建阶段是在内部（或个人电脑上）安全环境下操作，不涉及到其他人员访问的问题，而文件在利用阶段可能离开内部的安全环境，于是，就需要考虑文件在外部使用的次数、使用期限、使用日期等一系列安全问题。文件的利用是文件生命周期的一个阶段，因此上文提到的文件合法、有效利用的问题，在文件生命周期中统一考虑。C可以表示成：C = 创建阶段，形成阶段，利用阶段，永久归档，销毁模型中关于电子文件的安全防护有三个不同的防护策略。一是文件本体的防护，二是对文件工作（存储和处理）环境的防护，三是对电子文件传播途径的防护，这就是我们通常所说的“电子文件多层防护体系”。对文件本体的防护（F）通过加密措施使得文件本体被无关人员拿到后也无法得到明文。文件加密分为“主动”和“被动”两种。如前所述，主动加密的明显缺点是不能防止单位内部人员故意将文件外传。在“被动”加密模式下，文件加密与否是根据单位的安全策略、而不是根据文件拥有者个人的主观判断，对文件的创建者或拥有者来说，加密是强制执行的。所以，被动加密又被称为“强制”加密。如前所述，透明加密技术不仅不改变用户的行为习惯，更主要的是能保证文件的强制加密（被动加密），这对于防止内部人员故意泄密是至关重要的。F = 主动加密，被动加密主动加密 = 加密算法, 加密强度被动加密 = 加密算法, 加密强度文件工作环境的防护（E）涉及到很多方面。例如：主机的安全性（或健康性，用Health表示）、主机的运行状况（Runtime）、主机的软硬件配置(Configuation)。每个方面又包含很多因素，如主机的安全性包括系统启动的可靠性以及可靠性的传递、是否是合法接入的主机、用户身份的合法性、病毒防范措施的有效性、针对漏洞的补丁完整性和及时性等等；主机运行状况包括启动的进程是否合法，内存和CPU的使用等是否异常等；主机的软硬件配置包括操作系统及各种应用程序是否合法、版本是否正确，硬件配置是否符合“基线”，遇到异常的软硬件变更会及时报警，等等。E = Health,Runtime,ConfigurationHealth = 主机启动的可靠性，可靠性的传递，接入主机的合法性，用户身份的合法性，病毒防范措施的有效性，针对漏洞的补丁完整性，补丁的及时性，Runtime = 进程合法性，内存异常，CPU异常，Configuration = 操作系统版本，应用程序版本，操作系统补丁，应用程序补丁，应用程序是否合法，硬件配置与“基线”的一致性，文件传播途径的防护(W)分为网络传播的途径、打印带出的途径、计算端口的传播途径和拷贝带出的途径4。网络途径又包括了各种网络协议，如FTP、HTTP、SNMP等。计算机端口包括红外接口、USB接口、火线(1394)接口、Bluetooth接口等。移动存储介质，作为电子文件拷贝带出的途径之一，在模型中考虑。W = 网络途径，打印途径，计算机端口，拷贝网络途径 = FTP，TELNET，HTTP，SNMP，计算机端口 = 红外接口,USB接口,1394接口,Bluetooth接口,拷贝 = 移动硬盘，U盘，MP3设备，MP4设备，数字相机，软盘FD，MO盘，ZIP盘， JAZZ盘，Flash Device，4.3 模型的数学表示根据上面的讨论，不难看出，对电子文件的安全防护策略（Policy）是三个安全策略的和，即文件本体的防护（F）+文件工作环境的保护（E）+电子文件传播途径的防护（W），即：Policy = F+E+W其中：F = f1(L,C,P) E = f2(L,C,P) W = f