基于动态加密技术的电子文件加密系统(简称加密系统)可以使受控计算机所产生的电子文件在“后台”自动被加密控制处理,形成内部“明文”和外部“密文”的加密文件。加密系统对电子文件实行加密的控制能力,主要受到加密策略和进程识别的制约。加密策略包括:加密算法、密钥和控制模式等内容,由加密系统的开发商制订和管理,用户无法对其进行修改。进程识别主要是对加密系统所控制的各类应用软件以及相应的文件格式进行管理,同时也包含对应用程序的一些操作功能的限制。进程识别由加密系统开发商提供进程识别范围(清单),用户(系统管理员)按照进程识别范围,结合自身的工作环境和需要加密控制的要求进行制订和管理。
在加密系统实施时,用户可以根据自身的组织结构、应用软件种类和电子文件格式等因素,规划加密系统的运行范围,使不同组织采用不同的进程识别。笔者结合GS-DES大天图文档安全管理系统,说明加密系统实施时的布局策划。
一、加密系统的应用环境
使用加密系统对电子文件进行加密控制,要基于TCP/IP协议的局域网、Windows操作系统和相应应用软件环境,因此,在规划加密系统应用环境时,应从组织、网络、软件和防毒等因素进行分析,策划出最佳的应用环境。
1.组织环境
为了维持正常的经营活动,用户都按照传统的隶属关系建立组织结构,把各项工作分别、分类进行传递、运作、监控和管理,不同性质的员工按照业务关系相应配套。在传统的组织构架中,总经理对整个组织进行管理,副总经理协助总经理对部分业务进行管理,部门经理只对本部门进行管理,运行机制为隶属型。但在信息化网络下,计算机设备以及网络环境则由信息部门进行全面管理,按照计算机所涉及的业务和行政角色进行布局,如图1所示。信息部门管理者(经理)和网络管理员为网络组织结构的最高管理者,对整个网络组织结构和运行状态进行设计、监控和维护。 (图片)
图1 组织结构示意图 (图片)
网络组织结构示意图 2.网络环境
利用局域网(LAN)技术,将分散在有限地理空间范围内的多台计算机以及外围设备,通过传输设备连接起来,按照TCP/IP协议实现计算机之间的相互通讯、共享资源和集中管理,如图2所示。(图片)
图2 网络拓扑示意图 为了在局域网中能够准确找到所管理的计算机以及计算机之间相互传输的数据,TCP/IP协议给每一台加入局域网的计算机分配了一个惟一的地址,即IP地址,这是局域网能够正常运行的基础。同时,为了加强局域网内不同工作区域的安全控制,局域网往往采用“域(Domain)”管理的模式。使加入“域”管理的计算机,能够快速访问和传输数据。而对于大型局域网(计算机数量超过100台)则可按照部门或工作性质的不同,建立不同的“域”,制订不同的“策略”,对不同部门或计算机之间的访问进行人为的限制。因此,加密系统运行的网络环境必须满足以下条件:
①基于TCP/IP协议的局域网;
②每台计算机应有一个IP地址(固定IP地址最佳),特别是作为局域网管理用的服务器必须有一个固定的IP地址;
③至少有一个“域”,使连接在局域网的计算机加入“域”管理范围。
3.软件环境
计算机能够正常运行和使用,必须有相应的软件环境,如操作系统或应用软件等。在基于TCP/IP协议的局域网,其计算机的软件为:
①对用于局域网进行管理的计算机,一般称为网络管理服务器,其操作系统一般采用Server版本的Windows 系统;
②对于其他计算机可以采用任何的版本的Windows操作系统(除Windows32/95外);
③对于产生工作成果(电子文件)的应用软件,电子文档软件(Word等)、电子图档软件(CAD系统等)和三维模型软件(Pro/ENGINEER等)则可使用任何版本,但必须与Windows系统相匹配。
4.防毒环境
在网络环境中的计算机系统,一般都配备防杀毒软件,用于防止和清除外部入侵的计算机病毒。Windows操作系统就提供了防火墙和安全中心功能模块,对侵入网络或计算机的病毒进行预防和清除。同时,计算机使用者还可使用专用的防杀毒软件,建立第二道防线。
二、加密系统的布局规划
在清楚了应用环境后,需要对加密系统的运用进行策划和布局,以最合理的布局实现电子文件的安全控制和加密系统的运行状态,如图3所示。(图片)
图3 加密系统部署示意图 1.组织布局
笔者在此将使用加密系统的人员划分为三类,即普通人员、管理人员和维护人员,分别对他们在加密系统中的地位、角色以及权限进行分析。
(1)业务部门。加密系统的使用人员一般归属某个部门,并由部门经理负责日常的业务组织和管理,以形成以部门经理为中心的基层管理模式。对于一个部门,人员相对稳定,所使用的应用软件也相对稳定,以部门为基础的人员布局是加密系统对人员管理的基础。
(2)工作项目。项目管理是一种常见的管理模式,是由各部门抽调人员临时组成,项目结束时,参与者将回到各自的部门。因此,以项目形式的人员布局具有临时性,人员不固定,所使用的应用软件也不固定。
(3)管理人员。对于管理人员一般分为高层管理者(如总经理、副总经理等)、中层管理者(如部门经理、部门副经理)和基层管理者(如班组长),分别承担着不同的行政管理角色。管理者相对较稳定,所使用的应用软件按照相对应的管理范围相对稳定。
(4)系统维护。系统管理人员具有特殊的地位,虽然系统管理人员隶属IT管理部门,接受高级管理者的领导,但在系统管理和维护中具有很高的管理地位。系统管理人员相对比较稳定,所使用的应用软件较全面,可以覆盖整个用户群。
2.安装布局
加密系统安装布局的合理性直接涉及到信息安全的保护与管理。加密系统的安装布局一般分为管理服务层(服务端)安装和应用层(客户端)安装。其中,应用层安装必须在管理服务层的“指导”下,方能完成安装。
(1)管理服务层。管理服务层主要承担加密系统的许可控制、加密策略和功能管理等功能。管理服务层安装在管理服务器上,由软件锁(或称加密锁)与相应的加密系统管理平台组成。
•软件锁:加密系统利用软件锁(硬件)实现加密系统的使用许可数量(节点数或终端数)、加密算法、密钥以及用户属性等,软件锁由开发商制作并提供,用户不能对软件锁进行设置和改动等操作。
•加密系统管理平台:加密系统安装完毕后,系统管理人员会登录加密系统管理平台进行人员组织、操作权限和进程布局等一系列的设置和制订。同时,按照事先的布局规划,制作普通应用层、具有某项管理功能的应用层,以及离网使用的应用层安装程序。
(2)应用层。加密系统应用层分为三种形式,即普通应用层、具有某项管理功能的应用层和离网使用的应用层。应用层的安装程序均由加密系统管理平台负责制作并安装,应用层安装后,计算机对应用层程序不能卸载,并随计算机启动而启动。
•普通应用层主要用于普通员工、基层管理者和中层管理者。普通应用层对产生的电子文件自动给予加密处理,计算机始终处于受控状态。
•具有管理功能的应用层主要用于高层管理者和加密系统的系统管理员。具有管理功能的应用层按照管理者的工作性质,分别制作以形成诸如日志管理、用户管理、密钥管理、口令管理和打印管理等不同管理功能的应用层。对于使用具有管理功能的应用层计算机,必须安装普通应用层,使用时,可以根据“场景”的不同,自行启动或关闭普通应用层。
•离网使用的应用层主要用于诸如笔记本电脑在移动离网情况下的使用。离网使用的应用层与普通应用层的功能相似,只是在控制时间和控制次数上存在差异。同时,离网使用的应用层还将与计算机属性数据进行“捆绑”,使之无法换机使用。
3.进程布局
在进程布局之前,需要对每个部门或个人使用的应用软件进行调查、统计和分析,按照部门或个人的业务状态,确定使用何种应用软件以及相应的版本和文件格式等。必要时,可对应用软件进行统一规划,加密系统可以按照部门或个人使用软件的情况进行进程布局,部门之间的进程识别具有差异性, 并会随着应用软件的变化做出调整。
4.权限布局
在加密系统中,权限的设置与布局是根据使用者的行政地位和业务范围予以布局,不同的计算机可以赋予不同的权限。权限可以长期拥有,也可以临时拥有。加密系统的权限可分为系统权限和对象权限、临时权限和长期权限、独立权限和共有权限等多种形式。
(1)系统权限和对象权限。加密系统针对客户端系统或电子文件分别制订操作权限,使具有权限的客户端(用户)对具有某项管理功能的客户端系统或电子文件进行操作。
•系统权限:对客户端的远程桌面登录、修改登录服务器IP地址、人工停用加密系统、禁止使用客户端以及计算机部分硬件设备的安装、启用或卸载等操作进行限制。
•对象权限:对电子文件之间的内容复制、粘贴、OLE,以及对电子文件打印和拷屏等操作进行限制。
(2)临时权限和长期权限。加密系统的权限在安装时统一规划和赋予,例如,显示加密文件标志、手工登录和文件打印等。但对于一些临时操作(无权限),系统管理员可以通过远程临时赋予,并规定操作的次数或时间,超过规定的时间或次数后,临时赋予的权限将会撤销,如复制和拷屏等。
(3)独立权限和共有权限。加密系统在权限布局时,可以按照组织(多人)进行共享权限,也可以使某一客户端独立拥有某些权限。
5.安全布局
在加密系统中,涉及安全布局的问题主要分为系统安全、文件解密、移动控制以及外发文件等。不同的安全事项需要不同的人员负责,实行安全责任“分权”制。
(1)系统安全。加密系统除受到计算机操作系统(Windows XP系统)的控制外,还建有自身的安全体系,分别对系统的安全进行控制。
•日志管理:对加密系统运行过程的各项操作进行记录,如系统连网/断网、用户登录/退出、文件加密/解密和系统卸载/升级/进程/权限变化等操作。通过日志可根据用户名/IP地址/网卡号、计算机名、操作名称/时间/内容/结果以及操作失败的原因来分析加密系统运行过程中可能发生的各种情况。日志内容可以通过数据导出的模式,以指定的文件格式(如xls或txt等)保存。
•密级管理:对于用户来说,电子文件的内容可能涉及到各个方面,保密也分为不同的等级,这就需要对不同密级的电子文件赋予不同的密级。划分密级以及按不同类别、不同部门的文件设定密级,成为事先设定、事后赋予的手段,如秘密级、机密级、绝密级或者技术级、行政级和销售级等。同时,对于采用不同密钥的用户,在密级管理中进行统一的管理和发放。
•用户管理:按照行政组织的模式将操作者分别纳入不 同的用户管理体系,赋予用户名和登录密码,并将计算机与 其“绑定”,使操作者以及相应的计算机得到有效控制。使相 同组织的操作者拥有共同的权限(共有权限),同时,根据需 要分别设置独立或临时权限。操作者离开该组织后,相应的共 有权限被收回。
•远程管理:对于加密系统的管理者,通过远程对各个计算机进行监控,时刻了解在加密控制下的运行状态,并利用远程管理功能对终端计算机进行远程系统安装/卸载/升级/更新/停用、进程调整、权限授予以及全盘加密等操作。
•流程管理:对电子文件的加密是加密系统的主要功能,而对加密的电子文件进行解密是非常重要的事项。按照行政规则,对加密文件的解密必须通过相关人员的审批,而审批流程的选用需按照文件的密级来确定。因此,加密系统的管理者需要事先按照行政规则设计解密的审批流程,并对流程进行管理。
•终端管理:对处于局域网内的计算机(如台式机)应纳入加密系统的管理范畴,通过与用户“绑定”,使计算机始终处于受控状态。而对于经常移动的计算机(如笔记本电脑)则需要设定离网使用的控制(包括使用时间和次数等),防止离网后的泄密或停用。
(2)文件解密。经过加密处理的电子文件虽然在加密系统控制下以“明文”方式进行浏览与编辑,但离开加密系统环境后,则以“密文”的形式存在,无法进行浏览和编辑。此时,加密文件需要进行解密或转密处理,才能变为可以浏览或编辑的文件。
•解密审批:在审批流程的规范下,需要解密处理的电子文件通过解密申请者的申请,加密系统自动将解密申请和需要加密的文件(原始文件的副本)发至审批者,经过审批者的审核或批准,文件自动给予解密,并发向指定的存放位置。
•加密解密:对于大量未加密或加密文件,加密系统可以指定专人或专机进行批量处理,同时,对安装加密系统之前产生的电子文件,在安装加密系统后可一次性远程批量加密处理,解决历史遗留问题。而对于外部通过存储设备(如U盘、移动硬盘)输入的文件,加密系统在文件经过“清毒”后,自动给予加密处理。
•密钥转换:对一些大型集团公司(拥有计算机量达400台以上),其子公司或关键部门(如技术中心)与一般部门之间采用不同的密钥对电子文件进行加密处理,它们之间的文件交流需要进行密钥转换处理。通过密钥转换,使经过A密钥加密的文件,变成B密钥加密的文件,文件的交流始终处于控制状态。
(3)移动控制。随着笔记本电脑的普及,移动办公模式越来越被广泛采用,对笔记本电脑的控制也成为信息安全方面的主要问题之一。大多数加密系统的应用环境是基于TCP/IP协议的局域网,因此,对笔记本电脑需要进行离网许可设置,使笔记本电脑也处于加密控制范围。
•离网许可:对于移动使用的计算机,加密系统可以按照使用对象的行政地位、工作用途以及使用时间等因素给予长期、短期和临时离网使用,并规定其具体的使用时间和操作次数。
•断网许可:由于网络稳定的原因,局域网内的计算机可能会产生瞬间(或短时)断网。为了保证加密系统的正常运行,在安装布局时应予以考虑,给出一定的冗余度。
(4)外发文件。在对外交流时,向外方提供的文件可能是“明文”,也可能“密文”,这就需要在布局是采用不同的策略。加密文件的外发可通过信任邮箱(明文)和外发包(密文)的形式进行,使外发文件得到有效的控制。
三、结束语
加密系统的布局与策划关系到加密系统的正确实施,也关系到信息安全管理模式的正常运行。通过对组织、安装、进程、权限和安全等方面的正确布局策划,可以使加密系统的各项功能得到有效的发挥,彻底杜绝用户电子信息的泄漏,为用户的进一步发展创造良好的环境。
2/21/2012
|