電子文檔的加密安全產(chǎn)品分析

周泰來

（海南核電有限公司 海南昌江）

在信息時代，大量的信息在創(chuàng)建、存儲、交換、復(fù)制、利用和銷毀的生命周期中循環(huán)。對于電子郵件、電子文件此類承載企業(yè)關(guān)鍵信息的文件數(shù)據(jù)，其保密性、完整性、可用性、可控性的要求，隨著信息化在企業(yè)運作活動中逐步深入，變得日趨關(guān)鍵。但是，產(chǎn)品的局限性特點，往往不能夠很好的控制電子郵件、文件文件，在其存儲、傳遞、利用、銷毀的整個生命周期內(nèi)，進行面面俱到的控制。產(chǎn)品可以控制文件在本地的安全，卻管理不到傳輸過程中不會被捕獲；可以做到不非法獲取后，被防止閱讀，但是在對合理獲得，卻又缺少權(quán)限的控制。為此，在存儲、傳遞和授權(quán)等3個方面，通過利用 Bitlocker、PGP、CA、RMS進行了較為深入的功能測試，初步設(shè)想了一套可行的、易于操作的電子文檔傳遞流程中的加密體系。

一、文件存儲加密：Bitlocker

Windows BitLocker驅(qū)動器加密是一種全新的安全功能，該功能通過加密Windows操作系統(tǒng)卷上存儲的所有數(shù)據(jù)可以更好地保護計算機中的數(shù)據(jù)。它是在Windows Vista高版本中新增的一種數(shù)據(jù)保護功能，在Windows 7和Windows 2008中都可以使用此加密驅(qū)動。BitLocker可使用受信任的平臺模塊（TPM）幫助保護Windows操作系統(tǒng)和用戶數(shù)據(jù)。TPM是一個支持高級安全功能的特殊微芯片，它安裝在計算機的主板上，通過硬件總線與系統(tǒng)其余部分通信。合并了TPM的計算機能夠創(chuàng)建加密密鑰并對其進行加密，以便只可以由TPM解密，可以加強密鑰安全，避免泄露密鑰。

1.加密要求

使用BitLocker對磁盤分區(qū)加密可分為兩種情況，一是對操作系統(tǒng)驅(qū)動器加密，二是對固定數(shù)據(jù)和可移動數(shù)據(jù)驅(qū)動器加密。

（1）對操作系統(tǒng)驅(qū)動器加密的要求。計算機必須具有受信任的平臺模塊（TPM）或可移動USB設(shè)備。

計算機BIOS與TPM兼容，或支持USB設(shè)備啟動。安裝系統(tǒng)的磁盤至少有兩個分區(qū)（系統(tǒng)分區(qū)和操作系統(tǒng)分區(qū)），必須用NTFS格式化磁盤。分區(qū)容量至少要有1.5G。

（2）對固定數(shù)據(jù)和可移動數(shù)據(jù)驅(qū)動器加密沒有硬件要求要求，只須對驅(qū)動器格式化，并具有一點剩余空間就可。另外，可移動驅(qū)動器以BitLocker To Go加密。

2.加密與解密

BitLocker提供三種解鎖方式：使用密碼解鎖驅(qū)動器，使用智能卡解鎖驅(qū)動器，在此計算機上自動解鎖此驅(qū)動器。以“密碼解鎖驅(qū)動器”為例，加密完成之后，在下次開機后，必須通過輸入密碼才能訪問此驅(qū)動器。這里可根據(jù)不同的需要，選擇不同的加密方式和密鑰保存方式。對于安全性要求高的數(shù)據(jù)存儲驅(qū)動器和系統(tǒng)加密時，建議將密鑰文件保存在移動U盤上，這樣在每次重啟開機時，都必須先將此U盤連接上才能訪問。解除方面，對于BitLocker加密功能的解除非常簡單，只需打開“控制面板-系統(tǒng)和安全-管理BitLocker”界面，單擊要解除功能的驅(qū)動器右側(cè)的“關(guān)閉BitLocker”，再點擊“解密驅(qū)動器”，進入解密過程，等待解密完成即可。

二、文件傳遞加密：PGP

PGP可應(yīng)用于文檔加密、郵件加密、文件夾/磁盤加密，它通過PKI公鑰加密體系保證了文檔的安全性。

1.創(chuàng)建公鑰、私鑰

使用PKI公鑰加密體系作為加密基礎(chǔ)的PGP，在其使用的第一步則須創(chuàng)建用戶的公鑰、私鑰。

（1）步驟1。安裝完P(guān)GP后輸入個人信息，包括姓名和E-Mail地址（ 圖 1）。

圖1 步驟1畫面

（2）步驟2。點擊“下一步”，會要求為你的必要輸入一個密碼，該密碼會在沒一次調(diào)用密鑰時都要求輸入（圖2）。

圖2 步驟2畫面

（3）步驟 3。完成后選擇自己的密鑰，然后點擊“File”→“ Export”→“ Keyring”，公鑰和私鑰導(dǎo)出（ 圖 3）。

圖3 步驟3畫面

（4）步驟4?？蓪⒆约旱墓€和他人交換，但是私鑰一定要妥善保存。自己獲得他人的公鑰后，可以將公鑰導(dǎo)入，并對其簽名，以確認其可用。導(dǎo)入公鑰的操作見圖4。

圖4 步驟4畫面

（5）步驟5。導(dǎo)入選擇對方公鑰后，需用自己的身份為對方密鑰進行簽名，以確認可用（圖5）。

2.文件加密

PGP用對方公鑰加密后，只有對方用自己的密鑰才能解密，這樣確保了文檔不會被盜取、篡改。其方法如下。

圖5 步驟5畫面

（1）步驟1。選擇準備發(fā)送的文檔，選擇使用密鑰加密（圖6）。

（2）步驟2。選擇對方的密鑰（圖7）。

圖6 步驟1畫面

圖7 步驟2畫面

加密完成后，原來的文件變?yōu)镻GP格式的加密文檔，用txt打開顯示為亂碼。對方獲得加密的文檔后，選擇解密操作。對方使用自己的私鑰完成解密，于是得到原有文本（圖8）。

圖8 加密、解密文檔示意

3.郵件加密

PGP郵件加密具有代理功能，如果開啟PGP，當(dāng)要將郵件通過郵件客戶端（非Web郵箱）發(fā)送給他人時，PGP會根據(jù)收件人郵箱，選擇收件人密鑰，然后用密鑰對郵件的正文進行加密，但是不能代理加密附件。如果未在密鑰庫中找到對方密鑰，則會讓用戶判斷是否以非加密的方式發(fā)送。郵件接收方一旦通過郵件客戶端，獲得用其密鑰加密的郵件，則PGP會自動代理完成解密。如果使用的是Web作為接受，可以獲得郵件加密的文件，再使用PGP Viewer解密郵件進行閱讀。如果是使用Web進行郵件往來，可使用PGP對當(dāng)前對話框的內(nèi)容進行加密、解密，即可閱讀（ 圖 9）。

4.文件夾加密

PGP使用密鑰對文件夾進行加密時，當(dāng)加載（mount）此文件夾后，會自動以一個分區(qū)的形式顯示出來，便可進行正常的文件讀寫。其操作方式如下。

（1）步驟1。選擇一個文件夾，將其創(chuàng)建為PGP的Virtual Disk（ 圖 10） 。

（2）步驟2。配置完成后點擊“Create”，邊生成一個虛擬的磁盤空間，用以存放數(shù)據(jù)（圖11）。

（3）步驟3。當(dāng)不希望啟用此設(shè)備時，可直接郵件虛擬磁盤選擇 unmount Disk（ 圖 12）。

圖9 加密、解密郵件示意

圖10 步驟1畫面

（4）步驟4。加密后的文件夾里的數(shù)據(jù)，變成一個PGP格式文件（圖13）。點擊該文件，在彈出的對話窗口中輸入密碼，則PGP DISK又被加載。

三、文件使用授權(quán)：AD RMS

圖11 步驟2畫面

圖12 步驟3畫面

雖然可以通過NTFS權(quán)限來設(shè)置用戶的訪問權(quán)限，但NTFS權(quán)限還是有功能不足之處，例如若允許用戶可以讀取某個內(nèi)含機密數(shù)據(jù)的文件，此時用戶便可以復(fù)制文件內(nèi)容或另外將文件存儲到其他地方，如此便有可能讓這份機密文件泄露出去，尤其現(xiàn)在便攜式存儲媒體流行（例如U盤），因此用戶可以輕易地將機密文件帶離公司。WindowsServer2008之后的系統(tǒng)自帶服務(wù)Active Directory Right Management Services（AD RMS）是一種信息保護技術(shù)，在搭配支持AD RMS的應(yīng)用程序（以下簡稱AD RMS-enabled應(yīng)用程序）后，文件的所有者可以將其設(shè)置為版權(quán)保護文件，并授予其他用戶讀取、復(fù)制或打印文件等權(quán)限。如用戶只被授予讀權(quán)限的話，則將無法復(fù)制文件內(nèi)容，也無法打印文件。郵件發(fā)送人也可以限制收件人發(fā)送此郵件。每一個版權(quán)保護文件內(nèi)都存儲著保護信息，不論這個文件移動、復(fù)制到何處，這些保護信息都仍然存在文件內(nèi)，因此可以確保文件不會被未經(jīng)授權(quán)的用戶來訪問。AD RMS可以保護企業(yè)內(nèi)部的機密文件與知識產(chǎn)權(quán)，例如財務(wù)報表、技術(shù)文件、客戶數(shù)據(jù)、法律文件與電子郵件等。

圖13 步驟4畫面

1.AD RMS的環(huán)境

一個基本的AD RMS環(huán)境包含：（1）域控制器。需要一個Active Directory域環(huán)境。（2）AD RMS服務(wù)器?？蛻舳诵枰C書與許可證才可以進行文件版權(quán)保護的工作，以及訪問版權(quán)保護文件，而AD RMS服務(wù)器就是負責(zé)證書（cerificate）與許可（license）的發(fā)放。用戶可以架設(shè)多臺AD RMS服務(wù)器，以便提供故障轉(zhuǎn)移與負載平衡功能，其中第一臺服務(wù)器被稱為AD RMS根集群服務(wù)器（root cluster server）。由于客戶端是通過HTTP或HTTPS跟AD RMS服務(wù)器通信，因此AD RMS服務(wù)器必須架設(shè)IIS網(wǎng)站。（3）數(shù)據(jù)庫服務(wù)器。用來存儲AD RMS的設(shè)置與策略等信息，用戶可以使用Microsoft SQL Server來架設(shè)數(shù)據(jù)庫服務(wù)器，也可以直接使用AD RMS服務(wù)器的內(nèi)置數(shù)據(jù)庫，不過此時只能夠架設(shè)一臺AD RMS服務(wù)器。（4）運行AD RMS－enabled應(yīng)用程序的客戶端。用戶運行AD RMS-enable應(yīng)用程序（如Microsoft Office Word 2007），并用它來創(chuàng)建、編輯和將文件設(shè)置為受保護的文件，然后將此文件存儲到其他用戶可以訪問的地方，例如網(wǎng)絡(luò)共享文件夾、U盤等。

2.AD RMS的運行

（1）當(dāng)文件所有者第一次執(zhí)行保護文件工作事，他會從AD RMS服務(wù)器取得證書，擁有證書后便可以執(zhí)行保護文件的工作。

（2）文件擁有者利用AD RMS-enabled應(yīng)用程序創(chuàng)建文件，并且執(zhí)行保護文件的步驟，也就是設(shè)置此文件的使用權(quán)限與使用條件。同時該應(yīng)用程序會將此文件加密并創(chuàng)建發(fā)布許可證（publish license），發(fā)布許可證內(nèi)包含的權(quán)限、使用條件與解密密鑰。

（3）文件所有者將保護的文件（內(nèi)含發(fā)布許可證）存儲到可供文件接受者訪問的地方，或是將它直接傳送給文件接受者。

（4）文件接受者利用AD RMS-enabled應(yīng)用程序來打開文件時，會向AD RMS服務(wù)器送出索取使用許可證（use license）的要求（其內(nèi)包含發(fā)布許可證）。

（5）AD RMS服務(wù)器通過發(fā)布許可證內(nèi)的信息來確認文件接受者有權(quán)訪問此文件后，會創(chuàng)建用戶所要求的使用許可證（內(nèi)含使用權(quán)限、使用條件與解密密鑰），然后將使用許可證傳給文件接收者。

（6）文件接收者的AD RMS-enabled應(yīng)用程序收到使用許可證后，利用使用許可證內(nèi)的解密密鑰來將受保護的文件解密并訪問該文件。

3.權(quán)限管理

RMS可以控制的文檔權(quán)限分兩類：只讀和更改。對這兩類的權(quán)限描述見表1。

表1 RMS可以控制的文檔權(quán)限

4.郵件權(quán)限管理

郵件的版權(quán)管理主要是限制郵件是否可以復(fù)制、打印和轉(zhuǎn)發(fā)等功能。

四、推薦架構(gòu)

完成對各信息安全相關(guān)的軟件測試后，結(jié)合公司對外收發(fā)文接口統(tǒng)一、對外業(yè)務(wù)聯(lián)系方固定、內(nèi)部辦公自動化、內(nèi)部郵件來往頻繁等實際情況，建立了一套信息安全控制架構(gòu)，對架構(gòu)的基本解釋為：①使用Bitlocker（或 PGP）加密本地存儲設(shè)備。②使用PGP對公司外收發(fā)文進行加密控制。③使用AD RMS對公司內(nèi)部流轉(zhuǎn)的文檔、郵件進行權(quán)限控制。對上述解釋，建立架構(gòu)基本模型，架構(gòu)模型可認為是縱向PGP加密、橫向RMS授權(quán)、終端存儲加密。以此架構(gòu)模型作為基礎(chǔ)，可制定公司信息安全產(chǎn)品部署后的信息保護流程。

1.對外文件流轉(zhuǎn)

公司對外收發(fā)文的主要渠道有公司對外收發(fā)文、處室與外收發(fā)文。對于這兩種情況，從信息安全的角度分析，前者是以公司名義收發(fā)文，并且兩方有專人負責(zé)，易使用PGP方式建立信息安全保證；后者為以處室名義與外界接觸，具有敏感性的內(nèi)容收發(fā)均是定向的，雙方達成共識后，也易于使用PGP進行加密。以上，可以認為在公司信息的縱向安全保證上，PGP是最好的選擇，這種好處具體有：

（1）PGP可以使用無服務(wù)器版本的，雙方交換公鑰后，即可使用公鑰進行加密文件的交換。

（2）對外收發(fā)文多有專人負責(zé)，在使用培訓(xùn)上，僅需要對資料員、信息員進行培訓(xùn)即可。

（3）技術(shù)上，PGP的非對稱密鑰體系是值得信賴的。

2.內(nèi)部文件流轉(zhuǎn)

文檔在內(nèi)部流轉(zhuǎn)的安全控制是很有必要的，這種必要表現(xiàn)在3個方面。

（1）文檔的下發(fā)，可以由文檔管理系統(tǒng)做到“可以下載”和“僅可查看”列表這兩種權(quán)限控制，但是，當(dāng)文檔為員工所獲得后，文檔的流轉(zhuǎn)將不在受限制；

（2）員工見信件的往來需要對敏感內(nèi)容進行控制，以避免郵件的往來因員工的非必要操作，造成情報的外泄；

（3）員工間交換的文檔也要進行控制，以此避免信息在流轉(zhuǎn)過程中被篡改，或打印存留。

針對上述情況，公司內(nèi)部使用的安全方式應(yīng)該使用RMS，而非PGP，原因如下：①PGP尚無法做到對信息版權(quán)的保護，僅可對文檔進行加密，相比之下，RMS的目的就是進行信息版權(quán)管理。②PGP需要用戶安裝軟件，這會因用戶系統(tǒng)的多樣性故障，導(dǎo)致操作系統(tǒng)和PGP本身的不穩(wěn)定，這點在PGP本身的代理功能上表現(xiàn)的更為明顯，而RMS則不會出現(xiàn)此問題，Vista和Win 7系統(tǒng)已經(jīng)集成RMS Client 2.0，故不需要對客戶端逐一安裝，穩(wěn)定性將成為問題。③PGP需要對用戶的公鑰進行管理，這在公司內(nèi)部是不合適的，收集公鑰必然照成工作量，而因員工的失誤照成的自身密鑰丟失，引起的公鑰變更，更增加了維護人員的工作量。RMS的CS架構(gòu)可以很好的解決此問題。④RMS可以和MOSS結(jié)合。對于PDF、AutoCAD可使用插件進行支持。

3.存儲介質(zhì)加密

員工擁有敏感性文件后，文件會存儲在U盤、PC、筆記本電腦上，這將會因為存儲介質(zhì)的遺失、網(wǎng)絡(luò)上的非法侵入，對文件的安全性帶來威脅。故需要實現(xiàn)對用戶存儲介質(zhì)的加密保護，可利用Bitlocker、PGP進行部署，而且內(nèi)網(wǎng)安全軟件也有同樣的加密功能，但三方對比后會發(fā)現(xiàn)如下問題：

（1）PGP的磁盤加密功能是和其軟件一起出售，如果為每個用戶部署此軟件，將會增加成本投入。

（2）內(nèi)網(wǎng)安全軟件僅可控制移動介質(zhì)，就此點來說，使用上是已經(jīng)足夠了。

（3）以上3種存儲介質(zhì)的加密軟件，均可對用戶提供很好的安全保護，可視部署情況使用。

五、總結(jié)

對Bitlocker、PGP、AD RMS產(chǎn)品的使用和功能特性進行了測試與介紹，并在測試結(jié)果的基礎(chǔ)上，構(gòu)建一套初步的電子文檔存儲、交換的安全架構(gòu)。

但是，論文所述的架構(gòu)僅僅處于實驗室的狀態(tài)，并沒有完全應(yīng)用于日常辦公，此原因一方面是架構(gòu)所使用的安全產(chǎn)品相對數(shù)量仍然較多，缺少集成與統(tǒng)一的應(yīng)用；另一方面架構(gòu)中的安全產(chǎn)品雖加密、控制相對嚴格，但產(chǎn)品仍系國外技術(shù)，缺少完全的可依賴性。

但對比而言，參考論文的架構(gòu)，也可以使用國內(nèi)諸多的優(yōu)秀文檔加密產(chǎn)品進行替代，并輔助完善的管理程序，方能使得技防與管理相得益彰。