重要文档防扩散系统方案介绍

重要文档防扩散系统方案介绍
、八
前言
随着Internet 的高速发展和信息化建设的不断推进，越来越多的文件以电子文档的形式进行传输和保存。

因此，在网络中承载了越来越多的以电子文档形式存在的关键数据，些电子文档则组成了企事业单位的核心数据资产。

例如：
制造业关心的设计图纸、价格体系、商业计划、客户资料、财务预算、市场宣传计划、采购成本、合同定单、物流信息、管理制度等。

政府和军队所关心的公文，统计数据，机要文件，会议机要，军事情报、军事地图、作战方案等。

金融机构所关心的交易数据、账目信息、融资投资信息、董事会决议、大客户信息、上市公司中报/ 年报等。

知识型企业所关心的调查报告、咨询报告、招投标文件、专利、客户资料、价格等。

设计类机构所关心的设计图、设计方案、策划文案、客户信息、软件程序等。

专业事务所所关心的涉及众多客户的机密信等。

娱乐行业以及图像声音处理行业的重要的语音、图像等防止泄密的声音和影像文件。

上述文档一旦发生遗失，会给客户带来巨大的灾难：
市场竞争力的下降
利润的损失
企业的关闭
国家在国际上影响力的下降
泄密原因分析
纵观国内外不同行业用户的泄密事件，经过统计分析，我们认为造成信息泄密的主要原因主要来自如下三个层面的四个方面。

被动泄密：
包括信息盗窃和信息丢失
1．信息盗窃——指通过非法手段获取信息并进行恶意利用的犯罪行为。

信息盗窃动机主要来自：
A.获取机密或敏感数据的访问权；
B.利益驱动，如为了钱财或地位等。

主要表现形式：
系统入侵、未授权访问、信息窃取、木马后门、网络嗅探、商业间谍等。

2.信息丢失——由于设备、存储介质丢失而引起信息丢失，造成信息泄漏。

主动泄密：
主动泄密是指工作人员故意泄漏数据信息资料。

相比被动泄密而言，主动泄密防不胜防，因为工作人员能够接触到重要信息，并具有一定的访问、使用权限。

造成主动泄密的主要原因来自：
A.内部员工离职或与公司发生劳动纠纷而将重要文件带走；
B.利益驱使内部员工将公司重要的商业机密提供给竞争对手；
C.企业信息管理不善，导致内部员工能够接触到企业敏感的业务数据或敏感信息，没有做分级分权细化处理；
D.相关信息保密制度和惩罚措施滞后、责任不到位、法制观念淡薄、员工考核机制落后、缺乏流程化管理是造成员工会主动泄密的客观因素。

交叉感染：
信息交叉感染也容易带来信息泄漏，它属于无意识的信息泄密。

我们知道，信息在流转过程中，需要经过很多环节，如新建、操作、发布、传输、存储、销毁等，当一个信息被发布出来后，往往会通过网络或是存储设备将信息传递到其他地方，如果操作人员没有做好保护工作，就会很容易被别人获取，无意间造成信息泄漏。

主要表现在：
A.—机多用户引发信息交叉感染，电子文档都存储在共享的硬盘上，加上操作没有采取强制访问控制措施，其他用户能够接触到保密文档，因此无法保障各用户电子文档的安全，给别有用心的用户可乘之机；
B.移动存储设备引发数据交叉感染，当电子文档拷贝到移动存储设备上，如笔记本电
脑、USB移动硬盘等，这些设备在借用、维修、外出办公过程中，极易被他人偷走；
C.剩磁效应引发数据交叉感染，采用特殊的文件恢复工具将删除的文件恢复过来，从
而被其他用户获取，导致信息泄漏。

二电子文档安全防护技术分析
针对上述泄密途径，目前已有一定的技术手段可防止上述泄密事件的发生。

解决被动泄
密问题常采用传统的安全手段来实现，例如防火墙、防病毒软件和个人加密软件等方式来加
以防范。

主动泄密和交叉感染造成的泄密事件是目前业界普遍关注的问题，据不完全统计有80%
针对上述泄密原因的分析、结合现有解决方案的不足，安智科技推出了业界领先的电子文档安全保护产品一一重要文档防扩散系统（AngellPRO SDM，帮助用户构建安全、高效、可靠的网络环境，从根本上解决电子文档的安全问题。

三、重要文档防扩散系统介绍
3.1产品定位
重要文档防扩散系统（以下简称SDM系统）是一套专门针对电子文档资料的安全保护与
防泄密系统，遵循基于文档生命周期安全防护的思想，采用业界领先的透明加解密技术，结合以制度为核心的集中化管理理念，为涉密单位和有涉密需求的单位提供了完整的电子文档
安全保护方案。

SDM系统在技术上集成了密码学、身份认证、访问控制和审计跟踪等技术手段，对电子文件的存储、访问、传播和处理过程实施全方位保护，同时能够有效防止主动和被动泄密，从根本上解决了电子文档的泄漏和遗失问题。

该产品与其它文档保护产品相比解决了如下两个核心问题：
防止有权利接触涉密文档的用户擅自将文档的内容泄露到组织以外；在保证内部协同办公的前提
下，防止涉密文档在组织内部网络任意扩散，防止未授
权的内部用户越权访问涉密文档；
3.2安全模型
SDM系统是以集成化安全防卫思想为核心，建立了以PECA模型为基础的、完整的电子
文档安全体系框架。

PECA模型包含四个主要部分：Secure Policy （安全策略）、File Encrypt （文件加密）、Access Control （访问控制）和Log Audit （日志审计）。

文件加密
File Encrypt
图1 : PECA 安全模型体系框架
Secure Policy （安全策略） 安全策略是安全管理的核心，
所以要想实施动态的、 安全的循环过程，必须首先制定企
业的安全策略。

PECA 模型中，安全策略是整个模型的核心，文件加密、访问控制、日志审 计都依据安全策略的配置来实施，为电子文档安全管理提供管理方向和支持手段。

File Encrypt （文件加密）
SDM 系统采用全新的透明加解密技术，在实现文件加密存储的同时，实现了文件访问过 程中的动态解密以及文件保存过程中的动态加密，更好的实现了文件的安全性。

Access Control （访问控制）
SDM 系统提供了基于访问控制的安全防护，主要包括如下几个方面：基于身份认证、基 于文件操作以及针对移动存储的访问控制等，
将传统的访问控制技术有机的融合在电子文档
的安全保护体系中，保证文件在访问过程中是安全的。

Log Audit （日志审计） 日志审计作为最基础的信息安全方法，
通过在SDM 系统安全模型中引入日志审计，
实现
对文件加密、访问控制等行为的细粒度记录和审计。

用戸嗣4舉I 立件跻袒
til
V ］冋堆制 Access Control
安全策酪 Secure Policy
卫枚安全电匪
日志审计輯
日志审计 Log Audit
3.3系统组成及运行环境
3.3.1系统组成
SDM系统由安全支持平台、文档安全管理中心和文档安全客户端三个部分组成。

安全支持平台（SSF）:负责系统的认证授权、密钥管理、策略管理的后台支持；负责
保存企业信息资产和安全策略等信息；负责收集整个系统的安全信息、策略的发布和保存。

文档安全管理中心（SDMC：为管理人员提供图形化操作界面，与系统支持平台建立安
全通讯，完成系统的各项管理和操作功能，如系统管理、用户管理、授权管理、日志管理等。

该部分包含了管理控制中心、日志服务、文件服务和AD域同步服务四个部分，这四个部分可同时安装在一台服务器中，也根据用户实际情况分别安装在多个服务器中。

文档安全客户端（SDA）：安装在需要访问加密文档的终端主机（如个人主机、笔记本
电脑等）中，实现对加密文档的透明、安全访问，同时提供对文档加解密管理工具。

该部分
由客户端主程序、客户端管理工具、SDX阅读器、网络硬盘、SDX虚拟打印等部分组成。

走捷杖丈件曲釈文件
图2:系统整体部署图
3.3.2系统运行环境
系统整体运行对软硬件环境的要求如下表所述:
注：安全支持平台（SSP为专用软硬件一体化平台，该平台采用了专用安全操作系统
和专业的安的硬件平台，保证了服务器系统的自身安全。

同时为满足用户不同网络规模和数量要求，我们将提供系列硬件安全支持平台。

3.4系统主要功能
SDM系统提供了基于文档自身的安全保护机制，从文件的诞生到销毁提供全程、细粒度
安全控制机制，从而实现对加密文档在事前、事中和事后的安全保护，从根本上解决了电子文档的泄密问题。

下面分别从安全技术、安全管理、安全运维和安全协作四个方面进行描述。

3.4.1安全技术
341.1透明加解密
SDM系统采用了业界先进的操作系统内核驱动级透明加解密技术，与传统文档加密技术
相比有如下优点：
1）文档加密后不改变原有的文档格式类型，便于用户对加密后的文档进行分类归档;
2）不改变用户原有的使用习惯，用户访问加密文档时和原来的访问方式完全相同；
3）文档加解密过程后台自动完成，无需终端用户人为手动干预，对终端用户完全透明；
4）对加密文档的格式不限制，支持所有类型的电子文档；
5）文档加解密速度快，不影响正常使用，加密后的视频文件播放效果和加密前的效果相同。

3.4.1.2 文档安全域
通过SDM系统，客户可以在自己的网络中强制对指定特征的文件进行加密，从而构建一个虚拟的“安全文档域”。

该区域中包含了所有涉密的文档和文件夹，物理上可以跨越整个局域网的任何一台服务器或主机。

3.4.1.3 文档单向流转安全控制
网络中所有的文件相对涉密区域都遵循“只许进，不许出”的安全机制，即普通文件内容可以流向涉密区域、而涉密区域文档内容将不能流转到普通文档区域中。

文档一旦被保护之后，没有特定审批者的授权，文档中的内容将不能被带离涉密域。

可禁止的途径包括内容拷贝、文件另存、文件打印、屏幕拷贝、文档发布等。

涉密人员只要经过认证、授权，即可正常访问拥有权限的涉密文档，而无需记忆涉密文档的加密密码。

3.4.1.4 专有安全文档格式
提供灵活的安全文档特殊格式转换管理功能，用户可根据实际安全需要将归档涉密文档
转换为专有的SDM系统专用的安全文档格式（SDX格式）。

SDX格式的文档将提供更加严格的访问控制机制，可限制该文件为只读格式等，从而彻底杜绝了用户对涉密文档进行非法编辑等操作行为，确保受控文档的安全性。

3.4.1.5 离线安全访问
SDM系统根据用户的实际需求，提供了在授权情况下能够在单机或外出携带的笔记本上离线访问（即脱机访问）加密文档，离线访问可通过USB-key来实现。

USB-key的使用可以被设定在指定的硬件平台上、可限定使用期限、访问次数、访问对象等多方面进行灵活组合限制。

3.4.1.6 文件格式无关
系统对文件格式的支持在理论上可以是任何文件类型（非结构化数据）；同时也支持对视频和音频等多媒体文件的实时透明解密播放，不影响播放的质量。

3.4.1.7 安全可靠的加密机制
系统默认使用加密强度达256位AES^核级动态加密算法，充分保证了系统加密文件的可靠性。

同时系统提供结合RSA非对称加密算法与电子信封，实现加密文件的身份识别，保证文件访问的安全性，提高加密文件安全性。

3.4.2 安全管理
3.4.2.1 灵活的组织机构管理
SDM系统中提供了灵活的组织机构管理，从“域----组织机构----成员”三层架构设计，在组织机构中可根据用户的实际情况进行多级组织机构（即部门）设置，同时提供工作组设置功能，满足用户灵活组件项目小组的要求。

3.4.2.2 灵活的授权管理
SDM系统提供灵活的文件授权管理，支持基于全部文档、文件组、单一文件的授权管理；提供灵活的用户授权管理，支持对全部用户、用户组、单一用户的认证、授权机制。

同时系统既支持固定的组织机构设置，也可根据项目的需要在组织内建立临时性的团队；文件的权限可根据组织结构的设计和变化而变化，系统同时提供了默认的权限设置和手工的权限设置。

3.4.2.3 涉密文档的集中管理
为了方便用户对加密文档集中化管理，SDh系统提供了涉密文档集中管理功能，将加密文档进行集中保存、管理。

提供基于组织结构和用户的虚拟磁盘空间管理技术，虚拟磁盘空间专为特定部门和特定用户提供存储服务，同时具有严格的访问权限控制机制，确保加密文档资料的安全。

每个用户登录涉密文件服务器后能够看到三个不同的虚拟磁盘，个人磁盘、部门磁盘和公共磁盘。

用户只能够访问自己的磁盘空间、
本部门的磁盘空间和公共磁盘空间的内容，不得访问其他用户磁盘空间和其他部门的磁盘空间。

3.4.2.4 多角色制约管理
SDM系统提供多种权限管理角色，有效防止单个角色权限过大的问题，多个管理员相互
监督。

提供的角色包括：系统管理员、操作管理员、日志管理员、特权管理员和域管理员等。

3.4.2.5 灵活的文档加密方式
为了提高对文档加密的工作效率，结合单位在管理上的具体要求，对终端主机的文档进行强制自动加密，同时提供手动加密，以确保涉密文档自产生开始进行全程安全控制，如文档的产生、编辑查看过程、保存以及文档的归档。

实现了涉密文档基于生命周期的安全管理和安全保密，提供了如下几种不同的实现方式：
1）基于文档类型的自动加密
2）基于打开加密文档的软件环境
3）基于批量自动搜索加密
4）手动加密
3.4.2.6 涉密资源访问全程审计
SDM系统提供了针对涉密系统资源访问的详细日志、审计功能，为网络管理人员提供事后行为追查、
分析依据。

针对不同角色、不同客体对象的访问行为提供了完整的行为日志和审计功能，同时对涉密文档的访问进行全程跟踪审计，同时提供灵活的报表功能。

日志信息总体分为如下几大类：
1) 系统管理审计
提供了对系统管理员、日志管理员、 特权审批员的详细的操作行为记录，如登录、 配置 修改、策略制定、权限分配等。

2) 终端用户行为审计
提供了对终端用户网络行为和访问行为的详细日志记录， 如登录、退出、 涉密文档访问
3) 文档加解密、证书分发审计
发等。

4) 加密文档访问审计 提供了针对加密文档的详细访问和操作行为的审计，如新建、编辑、另存、打印等。

5) 涉密文件服务器操作审计 提供了对涉密文件服务器所提供的虚拟磁盘空间的操作行为审计功能， 如涉密文档的上 传、下载、访问等行为。

3.4.3 安全运维
3.4.3.1 集中管理
整体系统的运行通过一个集中管理平台来实现， 在系统控制中心就能够实现对安全策略 服务器、涉密文档服务器、日志审计服务器和分散终端主机等进行集中管理。

3.4.3.2 客户端自动升级
SDM 系统提供对客户端软件自动升级功能，客户端升级采取推送的方式进行。

当系统进
行升级更新后， 服务器端将升级程序自动推送给客户端， 并强制其进行更新， 从而保证客户 端实时自动的处于最新版本状态。

3.4.3.3 系统自动化备份恢复功能
SDM 系统提供了基于系统和配置信息的自动化备份恢复功能, 提供安全、 可靠、快速的恢复机制， 确保系统能够快速恢复正常运行， 保证业务
系统的正常 持续，确保涉密文件能能够正常访问。

提供了对涉密文档操作的详细日志记录，
如文档加密、 解密、 授权以及证书的生产和分 在系统出现异常的情况下，
3.4.4 安全协作
3.4.4.1 透明域内的协同办公
安全区域内的涉密文件之间支持透明的域内协同办公要求，即涉密文档之间可以完全透明的进行内容拷贝和传播，这极大方便了用户对涉密文档的使用。

同时系统提供了组织内各部门间的权限管理，提高了相互办公的协同性。

3.4.4.2 支持与第三方信息管理系统的无缝集成
通过对SDM系统的简单配置后，即能够实现与第三方信息系统的灵活、简单、高效集成，
实现如下方面的高效集成。

1)可通过轻量目录访问协议 (LDAP与目录系统、群组系统进行整合(如AD DOMINO, 实现单点登陆、同步企业结构与资源信息和结构树变更自动同步。

2)系统与OA MIS、ERR CM等系统集成实现文档的流程化管理与安全保护。

3.5 系统部署实施
SDM系统部署非常简单、灵活，安全支持平台采取旁路接入方式，只要网络可达即可进
行系统部署和实施, 进行相应的安全管理、客户端登录验证和安全策略下载, 整个系统部署不改变用户现有网络拓扑结构。

整个系统部署实施的主要工作量集中在客户端的部署和实施上, 根据客户信息系统的应
用情况，SDM系统为用户提供了如下可选的安装部署方式：
方案一：客户端主机依次手工安装
在用户单位需要进行涉密文档访问的客户端主机，通过人工的方式逐个安装SDM文档安
全客户端软件。

优点：能够确保每台终端主机的客户端软件完全安装到位。

缺点：费时、费力, 而且在某些关键部门或涉密要求较高的终端上进行非本人的软件安装操作不可行。

方案二：借助于第三方软件分发系统进行全网的分发使用第三方软件分发系统实现文档安全客户端软件的自动分发，简化客户端系统部署环节，同时可极大提高系统部署效率。

优点：省时、省力的自动化高效部署解决方案。

缺点：用户需具备自动化软件分发机制或第三方软件分
发系统。

方案三：构架WE或者FTP服务器供用户自己下载安装
通过在用户单位网络系统中部署SDM重要文档防扩散系统的数据服务器中心和文档安全管理中心已经能够实现文件服务器上涉密资源的保密状态，即未安装SDM文档安全客户端
软件的终端用户无法通过认证、授权登录涉密文档资源服务器，从而也无法实现相关资源的访问。

优点：通过集中的方式在专门的服务器存放SDM文档安全客户端软件，根据业务需求，需要进行涉密资源访问的客户端会自动访问服务器进行软件的下载于安装。

综合考虑，第三种部署方案为我们推荐的最佳部署方案。

四SDM 系统特点及优势
4.1 透明加解密、透明访问
SDM 采用文档加密领域最先进的内核级透明加解密技术。

文件的加密和解密过程与文件的读写操作同步，从而实现对加密文档的透明访问，对终端用户来说是完全透明的。

采用透明加密技术，文件在存储介质中始终以密文格式保存，只有在文件透明打开过程中才进行文件的解密操作，解密后的文件不在磁盘缓存任何临时明文，确保了文档内容的安全。

图3 :透明加密框架结构
4.2文档全程安全保护
SDM系统中的文件保护策略是以策略组的形式定义，一个策略组相当于一个策略模板, 每策略组可包含保密程序、保密文件、文件操作、移动存储和常规设置等策略类型。

图4:系统安全策略图
文件安全保密策略
文件安全保密策略实现对文件自动进行受控, 同时控制相应应用程序对受控文件的访问
方式，以确保受控文件的安全性，对文件的安全保护主要从如下几个方面进行，即保密程序、保密文件、移动存储和文件操作四个方面。

保密程序：设定能够访问加密文档的应用程序，如word、excel、autocad等，未在策略
中定义的应用程序将无法访问加密文档。

保密文件：设定需要强制加密的文件类型，如doc、ppt等类型的文件，在策略中设定
保密文件类型后，这些文件从产生、编辑到保存将会进行后台强制加密处理。

移动存储：对主机移动储存介质的使用进行管理和控制，可设定的策略包括禁止使用、
允许单向文件拷贝（仅允许从移动介质拷贝到主机中）和允许双向文件拷贝（在拷贝到移动
介质时强制加密）三种。

文件操作：设定对加密文档访问的权限，如编辑、打印、拷贝、粘贴、拖拽等操作。

常规配置策略：
常规配置策略用于设置客户端当前的使用状态信息，例如是否允许自动启动、是否禁止
客户端退出、是否隐藏客户端图标、是否离线自动加载策略、是否允许用户查看当前策略等配置信息。

通过以上策略的灵活组合使用，就可以实现对电子文件的安全管理（包括文档从新建到
最终删除整个过程的中全方位的保护）。

一方面，对于主动泄密和交叉感染泄密，保证文件
无法被带走或带出去的文件不能使用；另一方面，对于被动泄密，保证通过非法手段获取的
文件都为加密文件，将无法查看文件内容，没有任何使用价值。

4.3多角色分级管理
SDM系统提供了灵活的用户角色管理，从系统管理权限和客户端管理权限两个方面进行了详细的分类、授权和限制，具体描述如下:
图5:用户角色分配图
系统管理用户
SDM系统的管理中心设置了四种不同权限的管理员：系统管理员、特权审批员、日志
管理员和域管理员。

不同的管理员具有不同的权限，避免了权限过于集中带来的一些负面影响。

系统管理员：负责系统的主要管理工作，包括系统的配置、组织机构和用户的添加与维护、文件保护策略制定，以及临时工作组的组建与维护等。

特权审批员：主要负责与权限相关管理工作的审批，在系统管理员设定组织管理员时对
其进行审批。

日志管理员：主要负责与系统日志相关的一些工作，如系统日志的审计、维护与备份等。

域管理员：主要负责对特定域的管理工作。

客户端用户
SDM系统的客户端登录用户身份设置了普通用户账户和组织管理账户：普通用户仅有
访问权限；组织管理账户拥有能够对该授权的组织机构内文档进行加解密、授权等操作权限和文件访问权限。

4.4文档灵活授权
文件权限信息与文件绑定，只有具有访问权限的用户才可以访问该受控文件，SDM系统为用户提供了多种灵活的文件授权机制，提供了手动授权和自动授权。

如图2所示:。