文档安全解决方案

文档安全解决方案
1、前言
32、需求分析
32、1 保护对象
42、2 使用效果
42、3 管理手段
43、解决方案
53、1 方案概述
53、2 系统构成
63、3 系统主要功能模块
74、实现效果1
15、应用案例1
15、1 国家海军总装备某部文档安全管理系统应用案例1
15、2 解放军总参某部12附件 CDG文档安全管理系统资质证书1
21、前言随着信息化建设的不断深入和信息技术的飞速发展，信息安全越来越受到人们的关注和重视。

提到信息安全，人们大多想到的是防火墙、防病毒、入侵检测等防护类的网络安全产品，这类产品在构筑一个组织的信息安全系统当中是必不可少的，但其更多采用的是被动阻断外部对网络或系统的攻击方法。

而如何保证信息本身的安全，既通过主动防御，从信息产生的源头开始，就使得信息在存储和传输的各个节点中都处于一种安全状态，则显得更为重要。

从信息的形态上看，信息分为静态和动态两种，与之相对应，静态信息需要解决的问题是存储机制和存储方式上的安全，而动态信息需要解决的问题则是传输和交流过程中的安全。

对于静态信息，存在的安全隐患包括：
一、信息的载体如计算机、存储介质（移动硬盘、软盘、光盘、U盘等）一但丢失或被非法第三方获得控制权，则这些重要信息有可能失密；
二、现代信息技术的发展，使得这些载有重要信息的计算机，在即便是没有与网络连接的情况下，依然有可能被窃密，如红外技术、无线上网技术等；
三、存在信息所有者人为主动地将这些重要信息进行泄密的可能和隐患，等等。

对于动态信息，存在的安全隐患包括：
一、信息在传输过程中，如果以明文的方式流转，则有可能在传输信道和传输过程中被非法第三方窃取，如黑客窃听技术；
二、传统的访问控制，一但受信者有权限访问，则获得信息的全部使用权限，这样一来自然会导致受信者的范围无法控制，如果某一受信者将信息传递给非法第三方，则存在泄密的威胁，同时，这种泄密途径和泄密渠道又是无法进行判断和追踪的。

那么，如何消除重要信息在存储和传输过程中的安全隐患呢？一是需要建立、健全完善的保密制度和严格的信息流转、传输流程；二是通过技术手段来保证制度的有效执行和流程的强制固化，从而从源头上确保重要信息的安全存储和安全传输。

2、需求分析根据客户的需求，结合通用的风险分析（Risk Analysis）方法，可以将上述需求归结为以下几个方面：
2、1 保护对象u 保护内部重要电子类资源不被泄密防止内部人员未经许可非法获得公司内部重要信息资源；防止文件在与外部交流中的知识产权保护；防止外部非法入侵者非法盗取公司内部重要信息资源。

u 保护重要信息的合法使用确保公司内部之间和公司内部与外部之间重要电子类资源的畅通、安全的交流；实现重要电子类资源使用权限、使用范围、使用期限的灵活实时安全可控。

2、2 使用效果u 保持现有工作模式和操作习惯尽量不改变使用者对协同工作中的信息文件的使用操作习惯（如：使用习惯的应用程序完成设计、浏览信息文件；信息文件的加解密操作对于使用者来说是透明的等）；对于必要的信息文件的安全操作与设定等必要的操作，需要以人性化的、易操控的方式实现。

u 保证工作效率由于保障信息安全所增加的可视（权限管理）或不可视（加、解密）的操作，不能过多的占用资源，或降低工作效率。

2、3 管理手段u 管理对象用户：建立合理的用户角色体系，不同角色的用户行使不同权利；环境：确认合法的使用环境，如指定的计算机或指定的计算机集群（IP范围）；信息：建立信息安全等级，并根据安全等级来限定信息的访问和使用。

u 事前防御、管理安全策略的制定与分发；信息流向的制定（出口设定管理）；硬件密钥（USB eKey）的管理和分发。

u 事中控制安全策略的调整与同步；授权管理的调整控制。

u 事后审计提供追查手段，提高追查能力。

u 容灾机制当灾害发生时，能够对重要信息进行恢复。

3、解决方案
3、1 方案概述文档安全管理系统综合动态加解密技术、访问权限控制技术、使用权限控制技术、期限控制技术、身份认证技术、操作日志管理技术、硬件绑定技术等多种技术对电子文档进行保护。

文档安全管理系统从信息状态、信息流向上可逻辑地划分为两个部分，如下图示：工工作组内部在工作组内部应用动态加解密技术，所有已定义（管理员设定）的加密类型文件被自动加密存放在硬盘上，由于工作组内部应用相同的策略、密钥，所以内部员工可以共享这些密文文件，不需要手动加解密，在保护文件的前提下，达到文件灵活共享的目的。

在实际工作中，工作组内部有些文件需要发送到外部交流使用，工作组提供专门作为文件输出端口的计算机向外部分发文件。

流传到工作组外部的文件分为：合法流传到外部的文件和非法流传到外部的文件。

对于非法流传到外部的文件，由于外部PC机没有安装文件加解密系统，无法获得加解密策略的内容，无法获得加密密钥，也就根本无法打开已被加密文件。

对于合法流传到外部的文件，分为明文分发和密文分权限分发两种方式。

需要明文分发的文件，由作为输出端口的计算机将已加密的文件解密，然后分发出去，明文以电子形式分发到外界就不再受发件人的控制，对于安全密级较低的文件可以选择明文分发。

对于安全等级较高的文件可以分权限向外界分发，应用访问、使用权限控制技术可以实现对加密文件使用权限全面控制（为文件赋予相应的用户，并追加不同的权限，控制文件的使用时间及次数，监控文件的使用状态）。

3、2 系统构成文档安全管理系统(CDG)为Client-Server结构与Brower-Server结构相结合，兼顾两种结构的优点又方便用户操作。

系统结构如下图：在网络中的用户需要安装客户端软件（CDGClient），并且至少有一台文档安全管理系统服务器提供认证等服务。

在文档安全管理系统中，用户及用户组信息、文件密钥和文件权限信息存储在数据库中，数据库类型可以选用Access2000、SQLserver2000、Oracle等。

CDG系统的主要构成部分构成部分主要功能服务器端软件（CDGServer）
1、管理用户和组，负责认证；
2、管理文件权限；
3、负责用户认证；
4、设备管理；
5、客户端动态加解密策略管理
6、日志管理。

CDG 数据库（第三方产品）
1、存储用户和组的信息；
2、存储文件权限信息；
3、文件的密钥管理。

客户端软件（CDGClient）
1、实现客户端自动加解密；
2、负责控制文件的操作；
3、和服务器的通信管理。

3、3 系统主要功能模块u 智能化动态加解密模块部署、安装“文档安全管理系统”后，当用户生成某一个电子文档后进行保存操作时，系统会自动将该文档以加密的方式存储在用户终端计算机的硬盘上，无需用户做任何其他操作，且文档的类型、属性等不发生任何改变，唯一变化的是将过去的明文存储改变为密文存储。

当用户在本地计算机上需要访问、编辑这篇文档时，只要按照该文档原来使用的应用程序的操作方法来打开系统会自动进行解密，用户可自由进行浏览和编辑文档，再次进行保存时，该文档仍以加密的方式存储在本地计算机硬盘上。

文档在整个加密和解密过程中都由操作系统自动完成，对使用者是完全透明的，且只在计算机内存中以明文方式存在，不会在硬盘中留有任何临时文件，防止利用突然断电等手段获取明文信息。

当用户试图利用移动存储介质（如U盘、软盘、移动硬盘、光盘等）或红外、网络（有线、无线）等将文档拷贝带出，由于文档是密文形式，在未经许可的情况下无法进行解密，非法第三方也将无法获得信息内容。

所谓智能化是指适用于动态加解密的信息文件类型是可自由设定的，例如根据信息文件的密级（普通、保密、机密），对于普通文件可不进行加密，对于保密和机密级的信息文件必须加密，而且加密所采用的密钥的长度可根
据密级的增高而变长。

在文档安全管理系统中，动态加解密的加解密策略在服务器侧由管理员统一设定，并自动下发到所有客户端，客户端则根据管理员设定的策略执行动态加解密，保护在客户端上的所有信息文件。

同时，对于应用了相同动态加解密的客户端，在信息文件交流共享时，传递的虽然是密文，但对于使用者来说，可以当明文一般，无障碍的使用。

下图为智能化动态加解密技术的示意图：u 智能化动态访问控制模块类似于智能化动态加解密模块，该模块主要负责对指定类型的信息文件进行访问控制保护，具体可分为：只读保护、隐藏保护、禁止复制保护、禁止删除保护和禁止打开保护。

如果说动态加解密技术保证了信息内容的机密性的话，那么动态访问控制技术则保证信息文件的完整性和可用性。

这两个技术模块的结合则从根本上（CIA：Confidentiality机密性，Integrity完整性，Availability可用性）保证信息内容的安全。

同样，对于动态访问控制策略的管理，可在服务器侧由管理员集中管理并下发应用。

u 实时权限管理模块对外交流时，系统可对受信者进行使用权限管理。

根据不同密级的信息，可应用权限体系中不同的权限。

比如，对于普通文件，可以通过设定读、写、打印来限制受信者；对于保密文件，在读、写、打印的基础上，可以增加设定使用有效期或使用次数；对于机密文件，可以增加设定机器绑定（限制到指定计算机）、USB锁（限制使用指定的USB设备）、IP范围限定（限制到指定的计算机集群）。

同时，系统具有实时管理权限的功能，管理员在服务器侧可随时修改或调整文件的授权，并能够及时反映到受信者处。

真正实现了发送出去的文件不再是“泼出去的水”，无法回收；而是“放出去的风筝”，可以任意控制。

u 文件集中管理模块对于内部文件，比如设计文档、图档，可实现版本管理（归档处理）和分类管理。

系统对于文件的管理，采用树形结构，分目录管理。

管理员可依据文件类型、信息内容、组织结构等，创建目录。

使用者在保存信息文件时，可依据相应的规则，在不同的目录中保存信息。

信息文件集中存储于服务器，提高了安全性，并为信息在内部的共享和交流提供了平台。

u 安全脱机访问模块在某些情况下，用户无法与服务器通信，如网络中断，或者用户出差无法连接到服务器，用户将无法打开加密文档。

针对这一情况，系统为用户提供了USB锁绑定和PC 绑定功能。

离线使用文档潜在很多危险，用户在进行绑定时，同时要求用户设置离线时，用户有效性认证、有效时间、阅读次数和硬件绑定。

u 安全审计模块日
志管理是一系列的日志条目，记录了一些系统事件、用户IP地址、用户操作、时间、异常等信息。

根据BS7799安全规范，一个系统最重要的部分是其审计跟踪能力，这是系统安全性的一部分。

通过审计功能，管理员可以监督、跟踪所有用户的全部操作，查看系统的使用情况，实现最高的系统安全。

根据日志信息的具体设置，可以设定不同的日志内容。

从庞大的日志数据中抽取有用的信息，例如对用户的某些操作进行分类整理，自动生成相应的审计报告。

通过研究日志报告，能够制止泄密事件的发生，对于已发生的泄密事件可以回溯历史活动，从而发现泄密渠道。

u 系统灾备模块谁都不希望灾难事件发生，但有时灾难却突如其来，人力无法控制。

例如硬件故障、自然灾难甚至恐怖袭击。

因此，系统在设计时充分考虑到灾难备份的因素，对加密文件的相关信息数据进行备份，这些数据包括：用户权限的信息，文件的密钥，文件的使用日志等。

当灾难发生时（例如，系统瘫痪），能够保证这些数据信息的可恢复性，为加密数据的继续使用提供有效的保障。

4、实现效果在应用中使用者不知不觉、不改变任何使用习惯、文件格式、应用程序，正常使用时只在计算机内存中是明文存在，在硬盘上保存的数据是加密状态。

没有合法的使用身份、访问权限、正确的安全通道，所有重要的文件都是密文状态，确保了重要信息数据无论采取任何技术手段拿到的也只是加密后的乱码文件，确保了数据无论在何时、何地、何种状态下都是安全的。

需要交流的文件可以根据需要设定不同的使用权限、使用期限来实现控制对外交流文件的使用可控性。

5、应用案例
5、1 国家海军总装备某部文档安全管理系统应用案例国家海军总装备部某下属单位，主要承担海军舰船和岸基电子装备的研发、生产、电子工程设计、施工，是国家重要的军工基地。

一旦信息泄密将直接影响到国防安危，如何保证军工厂各级各部信息交流的安全性成为目前国家最关注的问题。

国家海军总装备某部资料中心集中控制管理重要的军事武器研发设计、生产装备等信息，为了能够保证信息的安全传递，该资料中心采用对文件进行加密后，通过光盘等移动存储介质人为传送给其他各部，并通过制定相应的制度来约束传送文件和接收文件的人员，避免了电子信息在网络传输中被泄密的可能。

但是这
样做并不能保证信息完全安全，接受信息的人员一旦解密文件就有对资料进行操作的所有权限，这对信息的安全造成极大威胁，仅靠人为的制度来约束是没有力度的，所以必须要依靠有力技术手段，配合相应的安全制度才能达到信息安全的目标。

2004年4月本文档安全管理系统正式应用在国家海军总装备某部的资料中心，该中心设立了文档安全管理服务器，其他各部各级只需安装文档安全管理系统的客户端，分发资料时由资料中心的系统管理员进行U锁绑定授权且控制绑定次数，由资料中心的人员进行资料和权限绑定转移到客户端的计算机上，这样客户端的人员就只能在绑定的机器上，通过输入绑定时设置的用户名和密码打开文件，并按照系统管理员或者文件作者绑定的相应权限使用文件，比如：只有阅读权限、没有打印和保存权限。

实现了文件的安全转移和协同共享，保证了文件的真正安全。

文档安全管理系统完善的安全管理体系，先进的技术和灵活的权限控制机制，得到了该部的一致好评，尤其是该部总工程师梁菁先生和资料管理中心主任李京生先生对该系统的应用感到非常满意，认为确实为军工信息安全解决了一个重大的问题。

并希望本文档安全管理系统能够广泛应用在军队中，保护中国的国防信息安全。

5、2 解放军总参某部军队领导机关的电子文档信息安全传输保障工作一直以来都是军队各级机关工作中的重点，军队对信息安全产品的标准与民用产品更是有很大差别，要求产品性能和可靠性极高。

总参某部领导在观看过CDG文档安全管理系统的产品演示后对产品作了极高的评价。

认为CDG文档安全管理系统改变了传统意义上的文档安全保护模式，在保证文档安全使用的同时控制了文档使用者的权限，实现了文档的不同程度的安全共享。

更是对现有产品的基础之上推出针对性更强的军方版本寄予极高的期望。

附件 CDG文档安全管理系统资质证书、。