文檔管理系統(tǒng)縱深防御主動防護安全措施研究

文/戴 法 楊圓圓

信息安全是國家安全的重要組成部分。對于信息資源的載體及文檔管理系統(tǒng)采取全方位、多層次的縱深防御和主動防控，是確保文件全生命周期安全及使用安全的需要。本文從信息系統(tǒng)建設(shè)、使用文件定密、訪問授權(quán)策略、加密、審計、終端防控措施等實現(xiàn)安全的同時，從不影響使用，甚至更方便使用的角度思考，提出了實現(xiàn)文件全生命周期安全保障的縱深防御與主動防控的策略

在信息化時代，文檔安全管理的核心是文檔權(quán)限管理。文檔權(quán)限管理的目標(biāo)是落實“權(quán)限最小化”，即分配到每個人的文檔使用權(quán)限，都與他的工作需要相匹配。大多數(shù)企業(yè)的現(xiàn)狀是：盡管有“規(guī)章制度”約束，但是從總經(jīng)理到普通員工，所有人的文檔使用權(quán)限其實都相同：你能打開，我也可以查閱；你能復(fù)制，我也可以拷貝。這就造成一些敏感文檔，可被很多不相關(guān)的人輕易地看到；所有能看到敏感文檔的人，都可輕易地將其帶出去。面對這種狀況，規(guī)章制度的約束力已變得非常有限，泄密事件隨時都可能發(fā)生。2017年6月1日《中華人民共和國網(wǎng)絡(luò)安全法》正式實施，該法明確規(guī)定國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，實行重點保護。國家只能在宏觀的法規(guī)方面提出最低要求，到我們企業(yè)，在建設(shè)網(wǎng)絡(luò)安全，保護文檔安全和知識產(chǎn)權(quán)的時候，必須要實現(xiàn)用戶授權(quán)范圍內(nèi)的方便使用和全方位的安全保護雙效。

我們要建立一套基于加密技術(shù)的全生命周期文檔知識產(chǎn)權(quán)保護系統(tǒng)，它必須具有三個功能：一是功能全面，系統(tǒng)集定密信息管理、文檔標(biāo)密、密級呈現(xiàn)、密級控制、安全保護、文檔外發(fā)、文檔追蹤、事后審計、文檔歸檔管理等功能于一體，是極少數(shù)能夠提供全功能的電子文檔安全管控解決方案；二是方便易用，支持不強制加密的保護模式，即不按照應(yīng)用強制加密產(chǎn)生的文件，而是可根據(jù)實際需要只對要保護的文件才進行加密和控制；三是穩(wěn)定高效，與Windows操作系統(tǒng)和文檔應(yīng)用無縫集成不影響用戶計算機系統(tǒng)和應(yīng)用的穩(wěn)定性和效率，基本與安裝前無異。鑒于此，我們認(rèn)為一個安全的文檔系統(tǒng)應(yīng)該從以下方面開展縱深防御和主動防護。

一、開展供給側(cè)改革，適應(yīng)用戶多樣的使用場景

文檔管理的核心目的是使用，我們在建立系統(tǒng)安全防護時，也要考慮用戶的使用場景，比如：

1.在線使用。文檔保護客戶端實時與服務(wù)器同步，確保不會改變用戶對各類應(yīng)用軟件的使用習(xí)慣。在保證安全的同時，盡可能讓用戶使用方便。

2.離線使用。對于安裝了文檔保護客戶端的電腦，與服務(wù)器同步成功后，在許可期內(nèi)（自定義），可以正常查看加密文件，超出許可期后若不連接至公司網(wǎng)絡(luò)，加密文件將無法使用。電腦安裝文檔保護系統(tǒng)客戶端后，通過VPN連接至公司網(wǎng)絡(luò)正常使用加密文件。

3.打印使用。系統(tǒng)可以通過自動掃描，搜集用戶終端上使用的打印機，在后端管理平臺上統(tǒng)一對打印機進行授權(quán)管理，只有授權(quán)的指定打印機才能打印加密文檔，實現(xiàn)了對加密文檔打印的安全管理。

4.外發(fā)使用。對于向合作方發(fā)送的加密文件，為了保證合作方對相關(guān)文件的正常使用，需要對文件進行解密。出于保護文件知識產(chǎn)權(quán)和規(guī)范文件流轉(zhuǎn)的目的，對文件的解密需要按流程審批后，方可統(tǒng)一將文件列表中的所有文件進行解密，發(fā)送至相關(guān)合作方。

5.解密使用。公司員工由于工作需要，在某些特殊、緊急情況下可使用申請對加密文件進行解密處理和利用，無特殊情況不可隨意申請解密，解密管理員將對此類申請嚴(yán)格審核。

二、實現(xiàn)電子文檔的全生命周期保護

文檔安全保護的產(chǎn)品，必須支持MS Office、PDF、CAD、JPG、txt、RAR 等主流辦公類型文件的保護，文件實施保護前后，所有過程均未改變用戶的行為習(xí)慣，即操作者未察覺后臺安全控制的具體過程，不會改變用戶對各類應(yīng)用軟件的使用習(xí)慣。系統(tǒng)通過加密企業(yè)敏感信息文件、對文檔使用權(quán)限控制以及文檔內(nèi)容的保護來保護企業(yè)的敏感信息文件，無論是外部竊取、員工離職帶走、內(nèi)部有意無意發(fā)出去還是存儲設(shè)備丟失，文檔依舊是加密的，即拿出去打開也是密文亂碼，無法使用，保證敏感文檔只有在信任的安全域中，授權(quán)人員才能打開使用。能夠控制授權(quán)人員對受保護文件的使用權(quán)限，比如打開、復(fù)制、編輯、打印等權(quán)限，能夠控制文件內(nèi)容在使用過程中不被導(dǎo)出，防止內(nèi)容泄密。

1.實現(xiàn)安全的加解密過程

對稱加密和非對稱加密密鑰技術(shù)相結(jié)合，保證加解密文件和密鑰傳輸?shù)陌踩?。以Windows文件夾或邏輯磁盤作為加密文件的管理單位，每個安全文件夾對應(yīng)不同的一對非對稱密鑰，加密和解密分別使用不同密鑰，對每一個文件隨機產(chǎn)生對稱密鑰加密文件內(nèi)容，然后使用安全文件夾的公鑰加密保護隨機產(chǎn)生的對稱密鑰，安全文件夾公鑰存儲在客戶端本地?zé)o需保護，服務(wù)器存儲解密私鑰實時安全分發(fā)私鑰給授權(quán)用戶，加密文件的使用權(quán)限與密鑰的分發(fā)對應(yīng)。

2.實現(xiàn)多樣的分級保護策略

提供強制、按需、智能保護多重方式，為不同安全級別電子文檔提供加密防護，保障文檔的安全、防止數(shù)據(jù)泄露。強制保護是對指定的應(yīng)用系統(tǒng)在產(chǎn)生文件時，文件被強制自動保護，保證指定用戶核心數(shù)據(jù)文檔從產(chǎn)生開始一直處于保護狀態(tài)，防止由于數(shù)據(jù)生產(chǎn)者泄密給企業(yè)帶來的數(shù)據(jù)安全風(fēng)險，授權(quán)用戶只有在指定環(huán)境的終端計算機上才能被使用。按需保護是指支持用戶按照企業(yè)的實際情況僅對需要保護的文檔加密，而使用不需要保護的文檔時不受限制，即不影響正常辦公。智能保護是指可以針對辦公文檔的內(nèi)容進行敏感信息識別，例如通過關(guān)鍵字/組等信息，識別出敏感文檔。僅對敏感文檔進行加密處理，非敏感文檔不做加密處理。

3.實現(xiàn)用戶設(shè)備的密級權(quán)限管理

通過對人員密級、設(shè)備密級、定密細(xì)目信息的管理，標(biāo)密后的電子文檔的密級標(biāo)志作為文檔屬性的一部分與文檔內(nèi)容一體不分離，而且密級標(biāo)志也不能被篡改；參照紙質(zhì)文檔的管理習(xí)慣，在文檔的右上角顯示密級標(biāo)志信息，直觀反映電子文檔的秘密等級、保密期限等，為使用人員瀏覽敏感電子文檔提供必要的警示標(biāo)志。根據(jù)人員或部門屬性，按照組織范圍對文件的使用權(quán)限進行集中的管理授權(quán)，用戶在處理、使用電子文檔前，系統(tǒng)會根據(jù)文檔的密級標(biāo)志對文檔主體進行高密低流、知悉范圍等符合性判定，禁止高密級的文檔在低密級或無密級終端上使用，限制知悉范圍以外的人員使用敏感文檔，從技術(shù)上杜絕敏感電子文檔違規(guī)的流轉(zhuǎn)和使用。

4.實現(xiàn)外發(fā)文檔完全受控

在使用電子文檔前，受保護文件的外發(fā)過程是受保護的，通過密碼進行身份認(rèn)證后才能打開使用。允許通過設(shè)置控制外發(fā)文件的打開次數(shù)和使用時長，以及使用權(quán)限，如復(fù)制、編輯、打印等。允許通過設(shè)置在線、離線的認(rèn)證方式才可進行瀏覽、處理；允許綁定終端，只有在指定的主機才能瀏覽、處理；外發(fā)支持審批流程，審批者可以是一個或多個，審批者可以查看文件內(nèi)容及權(quán)限設(shè)定等內(nèi)容。

5.實現(xiàn)文檔打印的受控管理

對本地打印機、共享打印機及網(wǎng)絡(luò)打印機進行管理，允許設(shè)置指定的打印機打印受保護文檔并且記錄打印日志；能夠進行實體打印機和虛擬打印機區(qū)分控制，系統(tǒng)支持打印水印，在打印紙上自動添加水印內(nèi)容。

6.實現(xiàn)文檔操作的全審計記錄

記錄審計功能，可以回放任何一份電子文檔從起草到后續(xù)修改的全過程：文檔由誰在什么時間起草，后續(xù)有幾個版本，都是誰在什么時間修改的，版本之間的承上啟下的關(guān)系和分布情況，對任何一份電子文檔的來龍去脈可完全掌控；并且可以詳細(xì)記錄保護文檔的產(chǎn)生、使用、編輯、復(fù)制、打印、刪除等操作，為事后審計提供詳細(xì)的、強有力的信息，使得電子文檔的審計跟蹤簡單、準(zhǔn)確、高效，通過對整個生命周期的跟蹤，記錄電子文檔的文件交換、使用記錄，能夠根據(jù)日志，追蹤、審計電子文檔生命周期的變化軌跡，為事后審計提供詳細(xì)信息。

7.實現(xiàn)與業(yè)務(wù)系統(tǒng)的無縫對接

通過提供開發(fā)接口能夠使企業(yè)的業(yè)務(wù)應(yīng)用系統(tǒng)集成整合，當(dāng)用戶從ECM、OA、ERP等業(yè)務(wù)服務(wù)器下載重要文件時，系統(tǒng)自動對重要數(shù)據(jù)文件進行保護并按照文件在應(yīng)用系統(tǒng)上的屬性自動標(biāo)上對應(yīng)的密級，這些文件在網(wǎng)絡(luò)的傳輸過程中是受保護狀態(tài)。以標(biāo)準(zhǔn)接口的方式為應(yīng)用系統(tǒng)提供加解密能力，提升應(yīng)用系統(tǒng)的保密性，保障數(shù)據(jù)的安全性。安全中間件基于標(biāo)準(zhǔn)WebService接口或集成整合的API接口，不受協(xié)議和網(wǎng)絡(luò)環(huán)境限制，只要應(yīng)用系統(tǒng)具備二次開發(fā)能力，通過調(diào)用接口快速完成與第三方應(yīng)用系統(tǒng)無縫對接。

作為文檔管理人員，要擔(dān)負(fù)起國家和企業(yè)給我們賦予的文檔安全保護的重?fù)?dān)，我們要樹立文檔安全深層防護與主動防御的意識，主動設(shè)計文檔安全保護的系統(tǒng)架構(gòu)，以便實現(xiàn)網(wǎng)絡(luò)安全和企業(yè)利益不受侵犯。