大數(shù)據(jù)下的電子信息的加密集中管控

李瑞萍

摘 要：隨著企業(yè)電子信息的急劇膨脹，各種數(shù)據(jù)為企業(yè)創(chuàng)造著不菲價值的同時，其安全問題也迫在眉睫，存儲、管理、控制、防泄密等成為電子信息流轉(zhuǎn)中的一道道門檻，為了實現(xiàn)安全、使用、管理電子信息，需要采取一系列的管控技術(shù)，如安全創(chuàng)建、訪問權(quán)限、存儲、使用及交換等全生命周期的全面控制管理。當前電子信息加密集中管理的主流技術(shù)包括透明加解密、用戶身份認證、集中加密存儲、權(quán)限控制、審批流轉(zhuǎn)、統(tǒng)計審計分析等，可實現(xiàn)電子信息集中管控的長治久安。

關(guān)鍵詞：電子信息 透明加解密 虛擬磁盤技術(shù)

中圖分類號：D63 文獻標識碼：A 文章編號：1674-098X（2015）11（a）-0029-02

在網(wǎng)絡(luò)相關(guān)業(yè)務和應用爆炸式發(fā)展的今天，隨著速度越來越快的信息流轉(zhuǎn)，電子信息在現(xiàn)代社會信息資源中被廣泛應用，電子信息易復制，易修改，現(xiàn)代企業(yè)在長期的應用中，積累的電子信息數(shù)據(jù)存儲量大，操作模式自由，傳播途徑廣泛，存儲分散，后期追溯性差，管理者無法進行統(tǒng)一管理，這種無序的狀況有可能造成核心資料的遺失、泄露，也為企業(yè)信息安全埋下隱患。隨著存儲成本的一降再降、以及分析技術(shù)的不斷進步，數(shù)據(jù)挖掘成為可能，推動大數(shù)據(jù)產(chǎn)生巨大價值，使安全體系可以識別更具隱蔽性的攻擊、入侵和違規(guī)。電子信息集中管控能有效地保護電子信息在全生命周期內(nèi)的安全、完整、可使用和不泄密。在管理方式上，采用數(shù)據(jù)透明加解密防護、分組分級授權(quán)，外加身份認證，審批，流轉(zhuǎn)，審計等方法，實現(xiàn)電子信息的全面管控。

1 電子信息所面臨的六大挑戰(zhàn)

電子網(wǎng)絡(luò)時代用戶所有的設(shè)備都內(nèi)置了智能芯片和操作系統(tǒng)，而成為智能終端，伴隨企業(yè)信息的安全面臨六大挑戰(zhàn)。第一，隨著各種電子設(shè)備“接入點”的不斷增多，傳統(tǒng)的安全防護已經(jīng)不能勝任；第二，互聯(lián)網(wǎng)、云計算是所有企業(yè)轉(zhuǎn)型和升級的必然；第三，透明人時代到來，用戶隱私安全更受到關(guān)注；第四，智能設(shè)備，等于更多的遠程控制的安全問題；第五，大數(shù)據(jù)的安全一旦被攻破，其后果損失不堪設(shè)想；第六，云時代的到來，機器會產(chǎn)生自我意識，通過云實現(xiàn)的設(shè)計、制造和自主行為，后果將是可怕的威脅。

因而業(yè)界認為的大數(shù)據(jù)安全3個原則，首先是，用戶信息的安全，必須明確信息的所有權(quán)；其次，安全傳輸，安全存儲，是企業(yè)的責任，必須提升企業(yè)自身安全防護水平；再次，使用用戶的信息，要讓用戶有知情權(quán)選擇權(quán)，平等交換、授權(quán)使用。

2 信息安全關(guān)鍵技術(shù)

2.1 虛擬磁盤技術(shù)

在系統(tǒng)中創(chuàng)建一個或多個虛擬的磁盤。虛擬磁盤和真實磁盤上的電子信息一一對應，通過讀寫信息中相應偏移量的數(shù)據(jù)來讀寫虛擬磁盤扇區(qū)。對所有數(shù)據(jù)在保存前經(jīng)過高強度加密，密鑰由用戶自主加密。但為了防止用戶密鑰丟失，要提供緊急恢復功能，且只有管理員可以使用系統(tǒng)惟一的USB-KEY來恢復數(shù)據(jù)。通過虛擬磁盤技術(shù)集中存儲，采用磁盤加密，形成虛擬安全工作區(qū)，用戶信息本身就具有了一定的安全性。

2.2 基于透明加解密的涉密電子信息集中存儲技術(shù)

實際應用中虛擬磁盤存儲技術(shù)還存在一些缺陷：如：未能保證電子信息的安全；也無法對電子信息進行細粒度的權(quán)限控制；缺乏完整的電子信息安全解決方案。針對以上問題，集中存儲電子信息還需加強管控：用戶身份管理，集中加密存儲，權(quán)限控制，審批流轉(zhuǎn)，自動備份，信息外發(fā)管理及強大日志審計分析。

（1）用戶身份管理。加強終端使用者的身份認證，包括用戶訪問授權(quán)、口令認證，UKEY雙因子認證等不同的認證強度，來確保終端使用者的身份，并且可以與AD域賬戶同步管理，通過對用戶身份的規(guī)范化管理，從而系統(tǒng)的管理終端使用者對計算機外設(shè)、網(wǎng)絡(luò)及敏感數(shù)據(jù)的使用權(quán)限，開放式的數(shù)字認證接口，設(shè)置不同要求的保密安全級別。

（2）信息集中加密存儲。在終端的本地計算機中，不存儲任何形式的文件信息，所有信息均自動加密并集中保存至文件服務器中管理。存儲到服務器中的信息，使用CBC（密碼分組鏈接）模式外加擴散器算法進行加解密，該算法使得改變一個扇區(qū)中任何一個字節(jié)數(shù)據(jù)，都完全重寫整個扇區(qū)的密文，有效抵抗“明文攻擊”等破解手段。同時，加密策略（算法、密鑰和加密文件的指定）內(nèi)置在透明加密技術(shù)平臺中，由系統(tǒng)管理員統(tǒng)一集中管理，文件操作者無權(quán)獲取或更改。透明加解密具有強制性和透明性的特征：

①強制性：所謂透明加密的實質(zhì)就是人為的強制加密。其一，認為需要保密的信息，一律加密，加密與否取決于信息本身的內(nèi)容，于信息始作者性質(zhì)無關(guān)，于操作者的責任心和保密意識無關(guān)；其二，經(jīng)過加密的信息只有授權(quán)條件中才能打開使用，否則，信息以密文的形式打開。任何無權(quán)限的人無法有意或無意泄露機密信息。

②透明性：所謂透明加解密即是指系統(tǒng)在后臺自動執(zhí)行操作，用戶身份確認后無需參與，與無密操作無任何差別。透明化功能的具體實現(xiàn)過程只在內(nèi)存中進行，合法用戶使用時毋須對信息進行解密，系統(tǒng)對來訪進行策略判斷，自動對信息進行操作。所有這些過程都是在內(nèi)存中進行，信息的合法用戶是感覺不出這些過程的，所以對合法用戶來講是“透明”的。例如，策略要求對Word文檔強制加密，那么用戶只要將信息存入加密磁盤介質(zhì)，信息就一定是加密的；當合法用戶從磁盤上讀出信息進行編輯時，信息自動地被解密，以便其正常操作。

（3）用戶權(quán)限控制。根據(jù)分組、角色、用戶或IP等對用戶進行身份管理，設(shè)置權(quán)限，對所有文件服務器中存儲的信息，均進行細粒度的權(quán)限管理。只有被允許的用戶，才能獲得明文數(shù)據(jù)，否則，拒絕服務。同時，可以對某些用戶設(shè)置特殊訪問權(quán)限，使其可以訪問某些或所有用戶的加密信息。同時，系統(tǒng)對各用戶權(quán)限可以進行控制，包括訪問口令是否可修改、使用次數(shù)限制、使用范圍控制、使用時間間隔、動態(tài)打印模式等，對已經(jīng)分配權(quán)限的電子信息，其使用權(quán)限也可以進行動態(tài)調(diào)整。

（4）公文審批流轉(zhuǎn)。集中存儲的電子信息均受控于權(quán)限。用戶操作權(quán)限范圍內(nèi)信息。如需訪問范圍外信息，提出申請通過審批工作流，對信息進行主動授權(quán)，同時指定具體的使用權(quán)限（只讀、允許修改、允許打印模式、使用期限，是否記錄使用日志等）， 通過在線審批或離線申請來完成實現(xiàn)信息的安全流轉(zhuǎn)。

（5）統(tǒng)計審計分析。是整個電子信息安全體系中是重要的一環(huán)，通過對用戶的身份進行識別，管理用戶的所有操作行為，根據(jù)用戶的權(quán)限，進行訪問控制、安全審計，日志審計是信息安全建設(shè)中最后也是最重要的步驟，如用戶通過身份認證后訪問文件服務器的行為，公文審批的流程，公文審批流轉(zhuǎn)管理，均有日志記錄，便于統(tǒng)計分析。同時，對于核心信息的流轉(zhuǎn)過程，用戶對該信息進行了哪些操作，系統(tǒng)均可追蹤。

（6）環(huán)境隔離。對集中管控的電子信息軟件使用智能文件重定向技術(shù)，結(jié)合虛擬磁盤和信息訪問控制技術(shù)，進行安全環(huán)境與普通環(huán)境下的信息隔離。安全環(huán)境內(nèi)的應用程序無權(quán)對普通環(huán)境下的數(shù)據(jù)執(zhí)行寫操作。同時，普通環(huán)境中的應用程序絕對禁止訪問虛擬磁盤。保證安全環(huán)境和普通環(huán)境的電子信息隔離（即安全環(huán)境下的數(shù)據(jù)是“只進不出”的），智能文件重定向技術(shù)能保證不影響兩種環(huán)境中應用程序的正常使用。

3 結(jié)語

在電子信息急劇膨脹的網(wǎng)絡(luò)世界里，使合法用戶能夠在不知不覺中，信息得到有效的管理和保護，該技術(shù)在不增加用戶成本投入及性能消耗的基礎(chǔ)上，以透明加解密為核心，解決信息集中存儲，訪問控制等一系列安全管理問題，于無聲處保護用戶的信息安全。

參考文獻

[1] 陳尚義.透明加解密技術(shù)及其應用[J].信息安全與通信保密，2007（11）：75-77.

[2] 張小梅，龍虎，吳福生.大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)信息加密與認證研究[J].凱里學院學報，2015（6）：90-92.

[3] 戴玲，彭延國，彭長根.大數(shù)據(jù)環(huán)境下的電子檔案信息安全問題及對策[J].蘭臺世界，2015（29）：25-26.