最新消息:
· 電子認證服務使用密碼許可證換證申請表    2017/10/19      · 中華人民共和國密碼進口許可證申請表    2017/10/19      · 商密處組織開展我省第二批商用密碼安全性評估試點機構能力考核    2021/05/14      · 4·15全民國家安全教育日——統籌發展和安全,筑牢維護國家安全的密碼防線    2021/04/15      · 我國SM9標識加密算法正式成為ISO/IEC國際標準    2021/03/15
  站內搜索:
 
內外兼修—談利用密碼技術加強電子文檔安全
2015-07-28 10:33  營口市

    對于政府機關、金融機構及企業單位來說,隨著信息化的高速發展,工作過程中會產生大量的電子文件信息,其中不免有涉密文件,這些文件涉及到一些重大決策,一旦泄露會導致非常嚴重的后果,如何能對這類電子文檔做好安全的保護工作一直是困擾人們的問題。
    現有的電子文檔解決方案,類似于建立電子方式的文檔保密柜,立意于對企業成文文檔的保護。這種解決方案首先對文檔進行加密,集中存放,使用時通過身份認證確認“自己人”后,文檔可以解密成明文發送到用戶的本地端,供用戶使用。有了電子文檔保密柜后,企業可以把重要的文檔放到電子保密柜中,屏蔽系統用戶之外的人員對文檔的訪問,利用加密的方式防止文檔被盜,一定程度上保障了文檔的安全。在實際應用中,人們發現這種機制存在很多安全隱患。首先,電子保密柜的機制,單純立足于抵御企業或單位的外部安全威脅,而研究表明:企業的安全威脅80%以上來源于內部,由于內鬼為企業造成重大損失的案例不勝枚舉。所以,能夠做到內外兼修才能真正安全。其次,安全是一個鏈條,從文檔的產生開始,到文檔成為企業或政府的成文決策,進行上傳、下發都必須有安全機制的保障,一個環節的脆弱都會導致整個鏈條的崩潰。所以僅靠簡單的加解密的方式不能讓人真正的體驗安全,必須提供一套能夠管理文檔全生命周期,結合有效身份認證、具有權限管理、日志審計功能的全新安全方案。
    在全新安全方案中電子文檔利用密碼技術是以密文的方式存儲、傳輸的,也就是說,所有的存放在硬盤上的實體文件都是密文的,傳輸過程中也是密文的。有人即使通過各類手段包括利用黑客技術盜走了文檔,他也無法打開文檔,打開文檔看到的也是亂碼一堆。這樣的情況下,存放文檔的計算機或攜帶到公司外面的儲存設備丟失我們都可以放心,機密還是機密,文檔是安全的。
    我們“自己人”如何看到文檔呢?首先要判定是自己人而不是偽裝的。這就用到了身份認證技術。我們經常使用的用戶名、口令方式容易泄露,存在安全隱患,利用密碼技術實現的身份認證如:KPI技術,通過為每一個用戶分配一個私鑰和一個證書的方式,使得身份不可仿冒,實現身份認證的安全。
    在電子文檔柜系統中,沒有權限或權限單一,無法細化內部人員對文檔的控制粒度。在全新機制下,我們可以通過對權限的細粒度的控制來實現使用者對文檔具有不同的操作方式。例如我們可以允許一個秘書對文檔進行打印,不允許其對文檔進行修改;可以允許部門經理對文檔進行修改而允許一般職員只能閱讀。這樣,對于政府或企業來說,內部文檔的細粒度權限的實現讓企業能細化文檔的安全等級,實現不同人對不同的文檔具有不同的權限。
    當我們判定此人為“自己人”,同時也了解了他對文檔所具有的權限,就可以允許終端計算機對文檔進行解密成明文的操作,我們就可以看到文檔了。當我們在終端計算機看到明文文檔,就意味著有安全漏洞的風險——“有心人”會利用一切手段將明文導出拿走。因此,考慮到這類安全,一般終端都被設置了各類“機關”,例如防止拷屏技術、不允許遠程保存、防止內存泄露等等。這樣我們就既保證了文檔的安全又實現了文檔的正常共享。
    如何為政府機關或企業提供一個全文檔生命周期的解決方案,讓重要的文檔從產生的起草階段到成文整個全過程都能有安全的保障?目前的實現方式主要是利用透明加解密技術,通過對制定文檔格式的全部加密來實現。這種方式不對文檔的有效性做任何區分,也不會對有效文檔的階段進行細分管理,只適用于小企業。
    當然,電子文檔的安全還要靠更多的計算機應用技術的支持才能更加完善,比如,對于整套機制的日志審計功能,完成對文檔的安全審計。文檔外帶的情況下,既要有安全機制還可以對文檔打開期限進行設置等等。還可以將文檔從其產生到流轉共享再到最后成文整個生命周期都實現安全管理,這樣,就更萬無一失了。
    實際上基于密碼的文檔安全技術已經成熟,甚至國密局0 7年6月推出了專門對應于安全電子文件的應用規范,用以規范和加速產業化?;谶@種機制的產品也已經得到運用并日趨成熟,相信在不遠的將來,會不斷涌現更多的文檔安全產品來滿足不同用戶的需求。
 
                                                                         來源:中國保密在線

關閉窗口
 

地址:遼寧省沈陽市和平區和平南大街28號甲3  郵編:110006  聯系電話:(024)23210363  傳真:(024)23210363

版權所有:遼寧省國家密碼管理局

 
關閉
扒开双腿猛进无遮挡动态图