文件加密管理系统

文档加密管理系统
解决方案
目录
第一章前言 (3)
1.电子文档安全概述 (3)
2.常见解决方法解析 (4)
2.1.外网安全系统 (5)
2.2.主动型文件或文件夹加密系统 (5)
2.3.网络监控与审计系统 (6)
2.4.文件权限集中管理系统 (6)
2.5.实时透明文件加解密系统 (8)
3.电子文档保密应有的效果 (9)
第二章文档安全管理系统的设计思想 (9)
1.目标 (9)
2.系统逻辑拓扑图 (10)
第三章文档安全管理系统的组成和功能效果 (10)
1.客户端 (11)
2.控制台 (12)
3.解密端 (14)
4.服务端 (15)
第四章文档安全管理系统的策略制定与使用 (16)
1.文件加密策略组 (16)
2.控制策略组 (18)
3.剪贴板控制策略 (18)
4.部门互访控制策略 (18)
5.通讯策略组 (19)
第五章文档安全管理系统的特点 (20)
1.灵活的四重架构模式 (20)
2.密钥服务器快速移植功能 (21)
3.密钥轮询功能 (21)
4.双密钥设计 (21)
5.部门分级 (22)
6.远程卸载（程序或者策略） (22)
7.离线授权 (23)
8.历史文件批量加、解密功能 (23)
9.加密文档分级查看权限 (24)
10.客户端自动修复 (25)
11.客户端程序自动更新 .................................................................................. 错误!未定义书签。

12.自动解密申请 (25)
13.离线策略 (26)
14.解密端分级认证 (27)
15.外发文件控制 (28)
16.易用的邮件策略 (31)
17.策略灵活 (32)
18.集成方便 (33)
19.通讯可靠 (34)
20.单机版网络版灵活转换 (35)
21.智能识别技术 (35)
22.详尽日志分析 (36)
第一章前言
1.电子文档安全概述
一般来讲，大型企业在信息化过程中面临的安全问题包括网络系统安全和电子文档数据安全两方面。

针对网络系统安全方面，企业需要防止网络系统遭到没有授权的存取、破坏以及非法入
侵。

在电子文档数据安全方面，通常的理解又包括两个不同的问题：数据存储介质的可靠性问题和数据内容的本身的保密性问题。

数据存储介质的可靠性，主要就是指数据存储介质一旦发生机械、电磁、物理等方面的冲击事件之后，数据是否依然保持完整，或者计算机用户是否可以从有效地备份中恢复完整的数据，当然这些取决于硬件设备的性能和使用环境，发生的概率相对较少。

电子文档本身的保密性问题主要有来自三个个方面的威胁，即外网威胁、内网未经授权的二次拷贝和内部人员的越权访问威胁。

外网威胁主要就是上面所说的网络系统安全问题；内网未经授权的二次拷贝就是指由企业内部人员通过usb 闪存驱动器、wifi 调整解调器、智能电话、蓝牙适配器、数码音乐播放器、红外线传输、电子邮件、FTP等各种方式将企业中的数据未经授权二次扩散和传播出去；内部人员的越权访问威胁主要是指公司内部人员通过某种途径去访问不属于自己权限内应该知晓的公司机密信息，造成公司内部的一些机密信息在公司内部泄密。

内部人员的越权访问在企业内网安全中属于另外一个范畴，不在本文讨论范围之内，本文主要讨论的是如何防止公司内部人员未经授权将公司机密信息二次拷贝出去的问题。

此目前主要解决内网未经授权的二次拷贝的问题，而内部人员的越权访问问题将在此中得到很好的解决。

根据国内外从事信息安全的专业人士的调查数据可知：媒体炒得火热的外部入侵事件，充其量占到所有安全事件的20%-30%，而70%-80%的安全事件来自于内部。

从不同渠道来的统计数据略有差别，但就目前我们中国国内的情况来说，内部人员犯罪（或于内部人员有关的犯罪）一般占到了计算机犯罪总量的70%以上。

目前随着内部人员威胁的加剧，内部人员犯罪已经体现出了"危害大、难抵御、难发现"的特点，主要原因如下：
1)内部人员最容易接触敏感信息，并且他们的行动非常具有针对性，危害的往往
是机构最核心的数据、资源等。

2)一般说来，各机构的信息安全保护措施都“防外不防内”，比如很多公司赖以
保障其安全的防火墙对内部人员攻击毫无作用，形同虚设。

3)内部人员对一个机构的运作、结构、文化等情况非常熟悉，导致他们行动时不
易被发觉，事后难以被发现。

2.常见解决方法解析
在企业大部分信息数据都是以电子文档形式存在的今天，如何才能既保证这些信息数据
的全面共享，又能提高工作效率，保证其安全，防止泄密呢？针对这种需求，目前市场上出现了一些解决方案，归纳起来，大致有如下五类。

2.1.外网安全系统
在计算机安全产品中，杀毒软件、防火墙、入侵检测等系统是最早出现的，最近出现的反木马软件也属此类。

这类系统的一个共同目标是：防止来自互联网上窃密者（即“黑客”）通过网络，在数据所有者和数据使用者不知情的情况下，将数据内容偷盗出去。

很显然，这些系统都是基于外部安全模型的。

尽管它们在数据安全体系中也扮演了重要的角色，但是并没有将最核心、最棘手的问题解决好。

就像前面提到的那样，外部入侵只占到企业整个安全事件的20%-30%左右。

优缺点分析：可以有效的防止外部黑客入侵带来的电子文档泄密分险，但无法阻止内部人员的泄密。

当有新的病毒、攻击手段、漏洞等出现时，企业必须及时升级，软硬件的升级费用，常常也是一笔不小的开支。

2.2.主动型文件或文件夹加密系统
这是目前最常见的一种电子文档数据保密办法。

计算机使用者意识到数据的重要性和私密性，主动在保存文件时设置密码（如在Office、Autocad等软件保存时可以设置该文件的打开密码），或者在文件保存完毕之后，用第三方软件予以加密（常见的如Winrar压缩加密、文件夹加密大师等）。

优缺点分析：这样的方法仅仅可以解决内部人员因过失而将电子文件传播到不可信任的范围的问题，但是还是防不住内部人员主动泄密，理由如下：
1. 电子文档数据使用者要使用这些加密后的文件的话，必须要知道密码。

一方面，因
工作需要而使用该文件的人可能会越来越多，这些人便会都知道密码。

而对文件使
用者来说，一旦得到了密码，这些文件对他来说就无秘密可言了。

另外一方面窃贼
可以在买通企业内部人员时，将密码连同文件一起“买”到手。

2. 电子文档数据的创建者（即文件作者）在对文件进行加密处理之前，完全可以给自
己留一份明文拷贝。

甚至在有些系统中，文件的任何一个读者都可以去掉密码再行
保存，从而也可以得到一份明文拷贝。

2.3.网络监控与审计系统
这是解决企业内网电子文档数据安全的另一种思路，认为只要将电脑上所有能流出数据的端口渠道控制好或封堵住，就能彻底解决电子文档数据的安全问题。

在这样的思想下，网络监控与审计系统便孕育而生。

这样的系统，最近两年在市场上出现了很多品牌。

它们虽然在局部上互有优劣，但是其原理是一致的，基本上都是以内网监控、邮件监控和封堵各种外设端口（USB、1394、COM口、火线、蓝牙等等）。

这类系统的工作方式如下：在各个涉密计算机上安装客户端程序，企业中计算机管理人员通过管理端控制台能监控到安装了客户端的每一台涉密计算机用户进行的各种操作，并可根据这些操作制定不同的策略。

如果这些操作是事先被允许的，那么操作可以进行下去；否则通过策略的设定客户端程序会予以阻止并报警。

所有的操作尝试，无论是否被允许，都会被客户端记录下来形成日志，以备日后追查。

这种系统的核心便是“监视”、“控制”、“审计”，而其基本思想在于“堵漏洞”。

优缺点分析：这种系统在一定程度上可以规范计算机用户的网络行为，降低了内部人员对企业网络发起攻击（无意的误操作或有意的恶操作）的风险，也可以降低内部人员通过USB等各种外设端口或电子邮件等网络手段将涉密文件传播出去的可能性。

同时该系统确实可以做到对每次泄密事件的事前预防和事后追踪作用，能帮助企业查到泄密者和具体泄密的内容。

缺点是：当今的计算机技术发展非常迅猛，并且各大软硬件厂商都强调信息，所以所谓“漏洞”几乎是层出不穷且日新月异，新的通讯协议和技术在不断的冒出，要想完全地将所有漏洞全部堵死，从现在的眼光来看已经实属不易；从发展的眼光来看，更将防不胜防。

所以这种系统具有一个非常明显的缺点，它将用户带到了一个两难的境地：用户要么为了必要的、正常的工作交流而留一些“口子”，从而大大降低系统的可靠性；要么就堵死所有的“漏洞”，以牺牲方便性为代价来换取严格的安全性。

更为严重的是该系统确实可以做到对每次泄密事件的事前预防和事后追踪作用，但是无法保证泄密事件发生后不造成损失。

尤其是当泄密人员觉得他泄密本公司的电子文档后带来的收益比公司开除他带来的收益更大时，该系统变得毫无用处。

2.4.文件权限集中管理系统
目前用户在市场上见到的文件权限集中管理系统其实都是属于一种文件格式转换系统。

该系统管理的直接是电子文档数据的本身，可在一定程度上从源头上保证了电子文档的安全。

这种系统的原理是：文件创建者（即所谓的作者）在创建文件A的同时，通过加密操作（其实就是格式转换操作，或者说封装成另外一种格式）将文件A加密成另外一种格式的文件B（开发商自定义的一种文件格式），当然此时在电脑上还能保留原文件A。

在加密操作时，作者可以指定哪些人（即所谓的读者）可以分别以哪些权限（能否看、能否打印、能否编辑、能否复制等）打开B文件，以及能够打开几次或者有效期，此时文件B的权限被统一保存在用户自己的权限服务器上。

为了保密的需要，作者一般都是将文件B发放出去，因为得到这些文件的读者如果要打开文件，则需要连线到权限服务器上验证他的权限，这样可以在一定程度上保证电子文档B的安全。

优缺点分析：文件权限集中管理系统在文件的权限控制上做的是比较完善的，特别是丰富的离线控制策略，在泄密事件发生后评估其造成损失的大小和范围有一定的积极意义。

同时该系统保护的直接是电子文档数据的本身，一定程度上从源头上阻止了泄密现象的发生。

不同的读者对于文件的权限是受控制的，作者可以随时更改，比较灵活。

但是这种系统的漏洞是显而易见的，其缺点如下：
1. 无法真正防止内部人员的主动泄密，在生成加密文件B时，明文文件A已经在电
脑硬盘上产生，依然有被泄密的风险。

该系统的出现也仅仅是防住了读者，防不住
作者。

要知道，文件作者也是有可能泄密的，作者完全可以将电脑硬盘上存在的明
文文件A带出公司。

2. 由于文件B是被转换或者说封装成了开发商自定义的一种格式，故每个读者需安
装特定的浏览器才能阅读这个文件。

很多时候，本企业中的图纸需要发给外协或者
客户，为了要对这些外发的文件也有一个权限控制功能，还得给你的外协或者客户
也购买这种特定的浏览器，无形中又增加了一份投资。

3. 由于权限服务器既需要向内网用户提供验证服务，也要向外网用户提供验证服务，
所以它自身的安全需要严密保护。

为此，用户需要更多地投资于该服务器及其周边
安全子系统（例如防火墙、入侵检测、身份认证）。

4. 由于需要一个数据库来记录每一个人针对每一个文件的权限，所以这种系统通常都
需要一个庞大的数据库作后台支持。

这不仅增加了用户的软件投资，也增加了系统
的维护难度。

5. 所有的用户必须要能够和权限服务器通讯，否则无论是谁都无法使用涉密文件。

这
给这种系统带来了很大的局限性。

6. 通常来说，这种系统可以保护的文件类型有限。

这种系统虽然可以保护常见类型的
文件（例如Word的doc文件、AutoCAD的dwg文件），但是不是所有的文件都
能够保护。

2.5.实时透明文件加解密系统
实时透明文件加解密系统在国内最早产生于2004年底，是应客户要求开发的。

由于其独特的加密方式，对电脑使用任务基本上无任何影响的操作方式，很快获得了广大用户的认同。

这种系统的工作原理是：在特定的涉密电脑上安装实时透明加解密系统后，只要该电脑硬盘上生成的文件符合用户涉密文件的特征，系统一概自动地、不受人工干预地予以强制加密，并且可以保证涉密文件在安装该系统的电脑硬盘上一律以密文的形式存在。

而这种加密文件（简称密文）在企业内部涉密计算机上无需输入密码即可双击直接打开，而在本企业涉密计算机以外的的计算机上却无法正常打开。

优缺点分析：这种系统的出现，解决了计算机数据保密安全领域的一个重要而实际的问题：防范内贼。

这种系统的优点非常鲜明：
1.具有非常可靠的严密性。

一旦数据从内存到达硬盘成为有可能被复制的文件，系统
就自动地、不受人工干预地予以强制加密。

这一特性导致用户计算机硬盘上的文件
（当然是指定类型的文件）都始终以密文形式存在，没有给任何人（包括“自己人”
留下所谓的“机会”）。

2.具有很高的方便性。

密文在被应用软件调用的时候，系统可以自动地、无需人工干
预地进行解密（并非解密到硬盘，而是解密到内存，而内存中的数据是足够安全的）。

由于这一特性，用户在保存、打开、编辑这些涉密文件的时候，无需任何多余的操
作，也无需记忆密码（或称“口令”）。

3.具有足够的可靠性。

这种系统由于客户端程序采取的是特殊的软件技术，使得普通
用户无法进行卸载或删除，同时加解密所需的密匙也不保存在任何硬盘之上。

这些
特性使得系统的安全可靠性大大提升。

4.具有广泛地适用性。

由于这种系统采用了底层的Windows技术，所以至少从原理
上说可以保护任何类型的文件。

缺点：当采用全文加密技术时，在大文件的打开或保存时会有一定的延迟现象。

虽
然客户能自定义决大多数软件，但是对于一些大的系统（PDM、ERP等）还需要开发商做一定的集成工作，对开发商有一定的依赖性。

3.电子文档保密应有的效果
安全和自由永远是一对矛盾，如何尽可能的协调两者的关系，是一款优秀的电子文档保密系统应具备的。

电子文档安全的终极目标就是在严格保证企业数据安全的前提下，不影响企业内员工原本的日常操作习惯，不增加他们任何额外的操作。

企业内部正常的数据交流是必须的，优秀的电子文档保密系统不应该阻断这种正常的交流或者给这些交流造成任何麻烦。

当企业中有图纸需要通过邮件或者其它方式二次拷贝流出本企业时，必须要有一个特定的审批流程，并予以记录备案，方便管理员在需要的时候进行核查。

企业内部人员如果未经授权私自将企业内部的涉密文档带出企业的话，将无法打开带出的任何资料。

也就是说就算泄密现象发生，也不会给企业造成任何损失。

第二章文档安全管理系统的设计思想
1.目标
文档安全管理系统总的目标是：确保电脑硬盘上的每一份涉密资料均为密文状态，从源头上解决一切通过其它方式泄密的可能。

同时为企业中各用户搭建一个互相之间可以自由流通，无缝集成的数据交流平台。

在这个前提下，保证不对用户产生任何额外的操作，不对他们原本的日常操作行为有什么影响。

具体地可以细化为以下几条：
a) 特定的文件（并非所有的文件）在生成（或保存）之时，就应该被加密，且加密要
由计算机自动地进行，不能依靠人工执行；
b) 文件的加密和解密，不能依赖人工设定的密码或口令；
c) 被加密的文件在涉密计算机打开之时，就应该被解密（解密到内存以便读取），且
解密要由计算机自动地进行，无需人工干预，文件的使用者也无需知道“密码”；
d) 在未授权情况下，被加密的文件无法被非涉密计算机打开，就算电脑主机或硬盘被
偷出公司，得到者也无法打开电脑主机或者硬盘上的资料；
e) 如果企业需要外发图纸，必须要有特定的审批流程，经过审批允许外发后，有专人
解密，将密文状态的图纸转换成明文状态的图纸后带出，并有详细的日志方便日后
追查。

2.系统逻辑拓扑图
图2.3.1文档安全管理系统逻辑拓扑图
第三章文档安全管理系统的组成和功能效果
文档安全管理系统分为客户端、控制台、解密端和密钥服务端四部分。

其系统架构图如下图3.0.1所示：
图3.0.1
四部分各个部分的详细功能说明如下
1.客户端
客户端程序安装于每一台涉密计算机上，并以后台方式运行。

由于采用了特殊的技术，客户端程序并无任何操作界面，用户也无法停止其进程。

其功能包括：
a.当用户保存一个特定的文件时，自动地在内存中对数据进行加密处理，并在存储介
质（例如磁盘）上直接写密文；
b.当用户打开一个特定的文件时，将数据读入内存之后自动地对数据进行解密处理，
但不对存储介质上的密文文件作解密；
c.当剪贴板中的内容来自一个涉密文件时，阻止用户将这些内容粘贴（或拖拽）到一
个不会被自动加密的文件中去；
d.接收控制台下发的策略，包括不同部门和密钥信息。

e.接收控制台下发的密级设置命令，确定客户端电脑以哪种密级（或VIP客户端的方
式）进行加密；
f.接收控制台下发的命令确定是否需要执行“批量加密”或者“批量解密”功能；
g.接收控制台下发的策略确定是否控制用户的打印功能和截屏功能（包括键盘上的
PrtSc sysRq键）；
h.截获本地客户端电脑以SMTP协议（在TCP的25端口）发送的电子邮件中的收、
发件人的E-Mail地址；
i.根据收、发件人的E-mail地址的匹配规则对外发电子邮件中所含的加密状态的附件
进行自动解密；
j.导入控制台设定的离线策略信息后，自动启用离线授权，按设定的时间段继续为客户端电脑提供透明加解密服务；
k.接收控制台下发过来的策略卸载命令，自动清除客户端程序的文件加密策略和密钥信息；
l.接收控制台下发的卸载客户端命令
m.检查涉密计算机与服务器的连接状态，并依据策略来判断是否继续为用户提供上述服务。

n.接收服务器下发的自动更新及修复命令并执行；
o.向指定解密端发送“在线解密”申请；
p.接收解密端返回的允许（或拒绝）解密指令，对本地电脑硬盘上的文件进行自动解密（或不解密）动作；
q.将“在线解密”申请日志及解密过的文件自动上传至服务器电脑中；
2.控制台
控制台程序安装于企业内计算机部门的管理员电脑上，具体对客户端实现不同策略的下发功能，控制台拥有一个企业中的最高权限。

双击桌面上控制台的快捷方式，控制台开始运行并自动搜索服务器。

管理员在通过身份认证之后，就可以进入控制台程序（如图3.2-1所示）。

图3.2-1
在控制台界面中，左侧为目录结构树，具体显示企业内按工作要求划分的各个不同的部门及该部门所属的不同计算机用户信息。

右侧根据控制台上不同的菜单显示不同菜单中的设置界面。

控制台具有如下功能：
a.整个公司设定一个密钥或者建立不同的部门并分配不同的密钥（密钥管理员可自定
义）；
b.备份各部门的密钥信息；
c.编辑策略库，用户可以自行集成原本不支持的软件；
d.编辑文件加密策略、控制策略、通讯策略和离线使用策略；
e.设定每个部门或者每个具体的客户端的文件加密策略、控制策略和通讯策略；
f.设定客户端电脑剪贴板控制策略和部门互访策略；
g.设定某个部门或某台具体的客户端电脑以“内部级、秘密级、机密级、绝密级或者
是VIP客户端”的方式进行加解密操作的命令；
h.对特定的部门或者特定的客户端下发对历史文件的“批量加密”或者“批量解密”
动作的执行命令；
i.对部门级或者企业级的解密端进行认证并进行解密密级设定，经过认证的解密端可
以解密本部门或者企业内任意一个部门的不同密级的图纸；
j.设定外发邮件黑白名单的匹配规则；
k.密钥服务器数据库备份设置；
l.控制台登陆日志、所有解密端日志、申请解密日志的搜集与审计；
m.下发卸载、修复客户端程序命令；
n.生成客户端安装程序（exe可执行程序或者脚本文件）；
o.设定具有“自动审批”（自动解密）功能的客户端电脑；
3.解密端
解密端程序安装于部门负责人或者公司负责人计算机上，具体负责对企业中一些通过正常途径或手续需要外发出企业的图纸进行解密操作。

对于那些开启了“允许在线解密审核”的解密端，则通过消息模式解密相关被加密的电子文档。

解密端只有经过服务端的认证后，管理员才能凭正确的用户名和密码登陆解密端。

登陆解密端后界面显示如下图3.3-1所示：
图3.3-1
在这个界面中，左侧为目录结构树，右侧为当前目录中的文件，并以“加密”或“普通”状态来表明该文件是否为密文；以“内部级、秘密级、机密级、绝密级”来表示文件不同的密级状态。

通过上方的工具栏，解密端用户（即管理员）可以实现：
a.对一个目录下所有的文件进行手动批量加密；
b.对一个目录下的所有文件进行手动批量解密；
c.对选定的一个或多个文件进行手动加密；
d.对选定的一个或多个文件进行手动解密。

e.按指定IP地址对客户端电脑的涉密文件进行加解密；
f.对指定的文件进行密级的降级或者升级处理；
g.生成解密端日志信息；
h.审批客户端提交过来的“在线申请解密”请求；
i.转换需要外发的涉密文件，并为其设置打开的时效性和次数；
j.生成外发文件查看客户端程序及该客户端安装时的授权号；
解密端在完成这些操作的同时，会将这些操作记录下来上传给服务端的日志管理程序，以备日后审计。

4.服务端
服务端程序安装于公司内特定的服务器上，仅控制台管理员才能有权限读取服务器上的数据。

服务端程序随服务器系统启动时启动，正常启动后，在电脑屏幕右下角有服务器图标“”，右键该服务器图标，跳出如图3.4-1所示的服务器界面框
图3.4-1
服务器除了认证控制台程序外，基本上只是起一个中转数据、存储策略信息和日志的功能。

服务端的功能包括：
a.读取授权文件信息；
b.保存不同部门的分级信息和密钥信息；
c.负责与各客户端的通讯和密钥发放，并检测客户端在线情况；
d.保存和下发各客户端的策略信息；
e.认证控制台；
f.认证解密端；
g.接收解密端上传的手动加解密文件的日志信息；
h.显示本服务器电脑的硬件号；。