文档安全系统技术白皮书.doc

文档安全系统技术白皮书前言随着企业全面信息化时代的到来，人们越来越多地借助以计算机、互联网等先进技术为代表的信息手段，将企业的经营及管理流程在线实现，所有业务数据经由系统处理，快速形成管理层所需商业智能，以KPI（关键绩效指标）、图表以及可追溯的报表形式呈现。这样，电子文档就成为企业信息的主要存储方式及企业内、外部之间进行信息交换的重要载体。如何保护电子文档的安全问题，作为信息安全领域的一个重要内容，必将越来越受到重视。 公司有很多重要的信息资料，比如说财务报表、技术档案、公司内部文件等，公司不希望这些资料离开企业的网络环境，甚至不允许在企业网络内部传递与交流，公司该采取什么防范措施？现代企业不能拒绝互联网的交互，不能将公司封闭在一个信息孤岛许多企业，例如：会计事务所、学校、政府、金融机构、高科技研究所等企事业单位，必需通过使用网络来提高工作效率。但使用者在这样的环境下，在随意上传下载和发行网络中的文件的同时，可能会把企业的许多重要信息流通到网络外部，从而使企业重要的知识产权受到严重侵害。知识产权的保护仅仅依靠法律和行政手段是不够的，使用必要的技术手段对文档进行访问控制、安全管理，从技术上杜绝机密信息的泄漏，才是解决问题的根本办法，才能防患于未然。文档安全加密系统的现状及存在问题Internet是一个开放的网络，当用户享受其高速发展所带来的大量的信息流通和前所未有的工作效率，可曾注意过伴随网络所产生的严重的网络安全问题。目前，各企业都拥有自己的品牌或各自的业务范围，都利用信息化手段进行高效管理。随着计算机、互联网的广泛应用，信息的交流和共享已经成为各企业自身发展必要的手段。企业内部竞争性情报信息也就自然成为广受关注、为企业所青睐的重要活动，成为企业进行无形资产管理的重要部分。俗话说“知己知彼，百战不殆”，如何保护企业自身重要情报不被竞争对手窃取，使企业在使用网络来提高工作效率的同时避免企业重要的知识产权遭受侵害，将是文档安全管理的一个重要课题。 企业内部竞争性情报类型主要有： 企业的机密技术文件、产品研发资料 设计图稿 会计账目、财务报表资 战略计划书 外购竞标信息和供应链合作伙伴信息 重要研究成果 研究论文 市场营销策划资料 其他：如董事会、投融资等方面管理类资料，客户资料 大中型企业一般有着完善的书面文档涉密管理制度，并且由单独的文控中心负责制订、监督、审计企业内部重要情报信息使用状况，亦达到了很好的效果。但是这些电子文档存储的方式为明文方式存储在计算机硬盘中，电子格式存储的重要情报信息却由于传播的便利性和快捷性，对分发出去的文档无法控制，极大的增加了管理的负责程度，这部分的资产极易于受到损害。 安全漏洞分析 隐藏的安全漏洞主要有文档明文存放、粗放的权限控制、无限期的文件权限、不可靠的身份认证和无法追踪文件的使用情况等五类，下面一一阐述。 1.明文保存 目前，多数企业内部的文件都是以明文保存，仅限制浏览文件的用户。如果不加密，则进行再多的防范都是不可靠的，同样会泄密。现在有很多手段防止文档非法拷贝，如堵塞电脑的USB接口，检查电子邮件发送，但是，只要是明文的文档，泄密的途径就防不胜防，变换明文为密文后通过邮件传输、手机红外线传输、拷屏、录屏、拆开计算机直接挂上硬盘拷贝等。 泄密的方式 对明文情报的危害 黑客侵入不法分子通过各种途径获取商业机密。如侵入内部网络，电子邮件截获等； 防不胜防，特别终端由个人掌控。 互联网泄密 通过EMail，FTP，BBS等方式传递情报； 内部局域网泄密自带笔记本电脑接入网络，从而拷贝数据； 移动终端泄密 将工作用笔记本电脑带到外界，通过笔记本电脑的相关通讯设备（软驱、光驱、刻录机、磁带驱动器、USB存储设备）、存储设备（串口、并口、调制解调器、USB、SCSI、1394总线、红外通讯设备、以及笔记本电脑使用的PCMCIA卡接口）将信息泄漏到外界。 固定终端泄密 通过台式电脑的相关通讯设备（软驱、光驱、刻录机、磁带驱动器、USB存储设备）、存储设备（串口、并口、调制解调器、USB、SCSI、1394总线、红外通讯设备、以及笔记本电脑使用的PCMCIA卡接口）将信息泄漏到外界。2.粗放的权限控制 在现在的情况下，企业内部信息的权限管理是粗放的，一旦将这些重要资料交给他人，就完全失去了对资料的控制，一般的资料（电子文档格式）权限有以下分类： 编号 权限 控制危害 1根据公司保密制度传递情报 有 情报交给对方就完全控制不了他如何使用，包括是否交给非设密的第三方； 2打印，打印次数 无 接受方可不受限制的打印情报； 3保存和另存 无 接受方可保留情报的副本； 4复制和拷贝 无 接受方可保留情报的副本或某部分； 5屏幕拷贝 无 接受方可通过计算机提供的屏幕拷贝按键和截屏软件获取情报内容； 6阅览次数 无 接受方可无限次的读取情报； 7控制阅读的条件指定机器、指定USB锁、指定IP区域 无 对于绝密情报，不能控制接受方阅读地点有可能他正在和竞争对手一起观看！只要交给对方后就再也不能控制信息资料的使用方式，这是非常危险的，“一传十、十传百”，只要拥有资料的人多了，泄密就不可避免。 3. 拥有时间无期限 拥有时间无期限指的是资料递交给接授方后，接授方就永远拥有此资料的所有权，随时可以使用资料。 拥有资料的时间无期限，会产生如下危害： 1） 当员工离职，就可能带走公司的很多重要资料，可以永远重复的使用； 2） 与合作伙伴协同工作完成后，合作伙伴利用原有的资料用于其他项目； 4. 不可靠的身份认证机制 身份认证是指计算机及网络系统确认操作者身份的过程。计算机和计算机网络组成了一个虚拟的数字世界。在数字世界中，一切信息包括用户的身份信息都是由一组特定的数据表示，计算机只能识别用户的数字身份，给用户的授权也是针对用户数字身份进行的。在网络环境中，辨认网络另一端的身份就是一个复杂的问题，我们从以下场景来看看身份认证的重要性。 场景一：不法分子打开我的电脑，将我的XX产品技术方案拿走了，而我茫然不知； 场景二：我忘了我已经将电脑里面的目录设为共享，别人很容易就拷贝走了我的资料； 场景三：我传递了一份资料给分公司的同事，而此时这位同事恰巧离开位置，其他人看得到这份资料。 身份认证有三个层次：一种为证明你知道什么即现在广泛的用户名/密码方式；其二为证明你拥有什么即给你一个独一无二的设备，如印章，每次需要出示才能确定你的身份；最后一种为证明你是什么即通过生物技术，如指纹、面貌等确定。 目前，身份认证手段主要有密码认证、PKI认证、指纹认证、USB硬件认证等几种方法。 用户名/密码方式:简单易行,保护非关键性的系统，通常用容易被猜测的字符串作为密码，容易造成密码泄漏；由于密码是静态的数据，很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。是极不安全的身份认证方式； IC卡认证:简单易行,很容易被内存扫描或网络监听等黑客技术窃取； 动态口令：一次一密，安全性较高，但使用烦琐，有可能造成新的安全漏洞； 生物特征认证：安全性最高，但技术不成熟，准确性和稳定性有待提高； USB Key认证： 安全可靠，成本低廉 但依赖硬件的安全性。 5. 使用追踪 如果出现了泄密事故，那么我们关心的就是损失有多大，有哪些人参与，由于哪些操作导致泄密，需要追查事故责任人。而现在，由于没有采用有效的手段，只能通过人工方式调查取证，使得追查周期过长，损失加大，追查到真相的几率极低。 我们也不知道哪些人关注过哪些信息，某些信息被哪些人关注过，不能及时查出泄密的渠道，不能在第一时间估算出泄密所带来的损失。 文档安全加密系统的对策网络的普及让信息的获取、共享和传播更加方便，同时也增加了重要信息泄密的风险。调查显示：有超过85%的安全威胁来自组织内部，有16%来自内部未授权的存取，各种安全漏洞造成的损失中，30%-40%是由电子文件的泄露造成的，而在Fortune排名前1000家的公司中，每次电子文件泄露所造成的损失平均是50万美元。如何解决在网络互连互通的情况下，交换信息的同时，加强网络内部的安全，防止企业的关键数据从网络流失就成为网络安全领域内一个重要的课题。大中型企业如何在享受互联网所带来的便利以及高效率的工作的同时保护自身企业重要信息资源，防止泄密给竞争对手，保证自身在行业中的地位，文档安全管理至关重要的。文档的安全管理不仅需要提高企业自身的网络安全意识、建立一系列文档安全管理规则，更重要的是应用功能完善的文档保护系统从计算机内部彻底地对重要资料进行安全管理。 从现状分析而知，如果要改善现有的竞争性情报管理模式，首先需要树立安全保密的意识，然后制订针对电子信息保密的规范，并且在日常中贯彻执行。 在讨论如何实施才能防止出现情报泄漏之前，我们先讨论成功实施情报安全管理的关键要素，只有这样，一切的行为活动才能达到效果： 1）明确商务目标的安全方针、目标和活动：围绕着竞争性情报安全保障这个目标，通过各种行为、活动达到目标； 2）实施方式要与组织文化一致：企业的文化要融入安全管理中。从集团的CI理念、公司使命、经营理念和核心价值观的认识入手，指导我们的实施方法； 3）来自管理层的有形支持和承诺：需要一把手或指定的安全管理负责人全力负责项目实施，监督。从而让制订的政策、使用的工具能深入到集团的各个角落，使大家充分认可，充分参与； 4）对安全要求、风险评估和风险管理的良好理解：对竞争性情报资产要有明确的认识，不要盲目的扩大安全范畴，加大管理复杂性，也不要有所遗漏； 5）向所有管理者及员工推行安全意识：意识到位，才能很好的遵守各项制度、程序； 6）向所有员工和合作伙伴分发有关信息安全方针和标准的导则：让所有参与者知道工作方式； 7）提供适当的培训和教育：对领导层、对员工都要有相应的、有针对性的培训教育，使得大家接受这套管理体系； 8）用于评价信息安全管理绩效及反馈改进建议的综合平衡的测量系统；通过测量系统才能验证投资获得了应有的回报。 3.1. 对策及方法 从现状分析而知，如果要改善现有的竞争性情报管理模式，首先需要树立安全保密的意识，然后制订针对电子信息保密的规范，并且在日常中贯彻执行。 我们既要有完整的、可靠的信息安全理论指导我们的方向，也要有经过验证的、实用的方案实现我们的想法，下面将分别介绍所遵循的体系及使用的方案。 3.1.1. 体系理论 我们参考BS7799信息安全管理标准，执行PDCA的持续改进的管理模式为大中型企业提供情报安全保护。 根据ISMS（信息安全管理体系），我们在计划（Plan）阶段通过风险评估来了解安全需求，然后根据需求设计解决方案；在实施（Do）阶段将解决方案付诸实现；解决方案是否有效？是否有新的变化？应该在检查（Check）阶段予以监视和审查；一旦发现问题，需要在措施（Act）阶段予以解决，以便改进ISMS。 此处不过多介绍理论知识，如想深入理解，请查询相关的BS7799书籍。 3.2. 安全漏洞理想的解决方案 3.2.1. 文档加密保存 “企业内部情报信息一定要加密保存”是文档安全保护的首要条件。只要是明文保存文件，无论运用任何手段进行防范，同样会泄密。泄密的方式多种多样，不法分子获取商业机密的手段更是多种多样，我们防不胜防。所以治本的方法就是对情报信息加密，使得拿到也没用。 3.2.2. 权限实时控制 文档做成就必须要给别人看，给别人用。为了避免将资料交给对方后就再也不能控制信息资料的使用方式，可以对用户的权限加以控制。例如：设定哪些人可以浏览哪些文件、可以打印文件、保存文件，设定文件使用时效，用户可以浏览、打印的次数或时间范围，禁止用户屏幕拷贝、使用其它辅助软件录屏、拷屏，限制用户阅读条件如：指定机器，IP区域限制。这样，既保证文档在共享状态下的安全使用，又可以完全控制文档的使用权限，有效防止电子文档的非法传播，即使传播出去，也不能看。 3.2.3. 时间期限控制 控制文档的使用时间是文档安全管理重要的一部分。通常将文档分发出去后，接受方就永远拥有此文档的所有权，随时可以使用资料。对文档使用时间加以控制，例如员工离职后，文件使用到期，即使拥有此文件也不能用。与合作伙伴协同工作完成后，合作伙伴无法将原有的资料用于其他项目。能够随时随地控制文件的使用期限，根据实际情况追加使用时间或缩短期限收回文件。 3.2.4. 可靠的用户认证 身份认证是整个信息安全体系的基础，身份认证不仅定义用户是谁，而且把“谁”与“什么”直接联系在一起。例如用户在组织中的角色是什么？用户需要访问什么资源和信息？他/她能够对信息进行什么操作，不能进行什么操作？身份认证提供了一个整体视图，使企业的策略和流程一致地应用于整个企业当中。 身份认证能够密切结合企业的业务流程，阻止对重要资源的非法访问。 身份认证可以用于解决访问者的物理身份和数字身份的一致性问题，给其他安全技术提供权限管理的依据。 建立信息安全体系的目的就是要保证存储在计算机及网络系统中的数据只能够被有权操作的人访问，所有未被授权的人无法访问到这些数据。这里说的是对“人”的权限的控制，即对操作者物理身份的权限控制。不论安全性要求多高的数据，它存在就必然要有相对应的授权人可以访问它，否则，保存一个任何人都无权访问的数据有什么意义？然而，如果没有有效的身份认证手段，这个有权访问者的身份就很容易被伪造，那么，不论投入再大的资金，建立的再坚固安全防范体系都形同虚设。就好像我们建造了一座非常结实的保险库，安装了非常坚固的大门，却没有安装门锁一样。所以身份认证是整个信息安全体系的基础，是信息安全的第一道关隘。 在网络环境中，很难确定网络的另一端就是我们所期望的用户。如果我们在应用服务器之前安装认证服务器，而认证服务器主要负责身份认证。当认证服务器认证通过以后，将信息通知到后台的应用系统。后台应用系统将此用户的权限返回给客户端，用户可以按照相应权限进行操作。也就是说当用户使用文档时，在线通过身份验证获取使用权限，保证了文档的安全使用。 3.2.5. 全维日志追踪 能够监督、跟踪、记录所有用户的全部操作，实时查看系统的使用情况，实现最高的系统安全。可以从庞大的记录数据中抽取有用的信息，对用户的某些操作进行分类整理，通过操作记录，回溯历史活动，从而发现泄密渠道。通过跟踪目前用户操作，能及时发现用户的危险操作，在泄密事件发现前就获得警报，制止泄密事件的发生。一旦泄密事件发生，通过用户操作记录, 可以第一时间拿出最有力的证据。 仅拥有以上功能的安全管理系统还不足以满足现代化企业对文档安全管理的要求。在实际工作中，各企业、一个企业中不同部门对安全管理的要求都不尽相同。这就需要一款不仅是功能强大，而且要功能全面，能够应用于不同领域中的文档安全管理系统。除了能够解决一些常见的安全漏洞问题，对于一些文档安全的基本功能同样要满足，例如： 能够无任何数据损失地还原为源文件； 对做成文件有绝对控制权，防止二次泄密； 支持所有通用文件格式； 支持所有流行的操作系统； 客户端适用于多种平台； 加密文件可通过所有文件传输方式分发； 系统符合信息保护与管理法规。 软件主要功能列表类别主要功能模块说明服务器端加密文档格式定义加密文档格式自定义用户组管理用户组管理 策略设定用户密钥自动产生用户密钥软驱审计可关闭或打开本功能光驱审计可关闭或打开本功能邮件审计可关闭或打开本功能U盘审计可关闭或打开本功能屏幕审计可关闭或打开本功能时效管理权限的有效时间状态管理启用或关闭本客户控制台加密文件任意格式文件加密解密文件任意格式文件解密加密目录目录加密解密目录目录解密文档加密状态文档状态客户端客户端配置指向服务器端客户端自动加密客户端的隐形自动加密执行策略执行服务端策略产品特色 支持简体中文、繁体中文产品既能满足大陆客户，也能满足港台客户的需要，根据操作系统的中文语言自动适配系统。 符合国际、国内最新安全加密的规范 高强度的加密技术符合国际信息安全管理体系标准和技术工程标准，BS7799、ISO17799、SSE-CMM等，符合中华人民共和国国家标准GB17895-1999计算机信息系统安全保护等级划分准则。本系统采用了当今流行的PKI PMI以及数字签名的技术，并在此基础上创新，开发了自主知识产权的非对称加密技术，具有先进和不可逆的技术特点。 客户密钥的全球唯一性 系统根据每个客户的网络环境信息和服务器信息自动产生客户密钥，任何客户密钥信息是不同，同时根据格式不一的文件也可随机产生不同的密钥，密钥一旦丢失，文档无法解密。 分散集中的软件架构和部署策略系统分控制台和服务器端以及客户端三部分构成，既能满足分散式部署，同时可满足统一的策略制定和授权管理，极大方便了客户的使用，客户可以根据需要安装多个控制台，以适应管理的方便，但是服务器端在网络中必须是唯一的。 解密加密完全隐形 不改变客户使用习惯客户端的加密解密是完全隐形的和不可卸载的，客户没有觉察，但是一旦离开网路环境，文档便无法打开，客户在完全不改变操作习惯的情况下被强制加密. 复制，粘贴严格控制，单向使用允许从不支持的软件中向金盾文档安全系统能支持的软件中复制东西，但是不能从金盾文档安全系统能支持的软件中向金盾文档安全系统不能支持的软件中复制东西。比如说金盾文档安全系统不加密QQ聊天工具，但加密WORD和TXT。这时候可以把QQ中的聊天内容向WORD或TXT里复制东西，但不能从WORD和TXT中复制内容到QQ。但由于金盾能加密WORD和EXCEL，那么WORD和EXCEL中就能互相复制东西。 全面加密 Office系列软件。 在很多时候设计人员做标书或者产品说明书时，经常需要将一些 CAD软件中的图形数据复制到Word、Excel和PPt等软件