新闻中心

行业动态公司新闻媒体动态

基于强制性安全架构实现文档全生命周期的保护

2015-02-09 16:41       浏览:3221

      【比特网综合报道】2008年12月19日,由中国计算机学会计算机安全专业委员会主办,北京双洲科技有限公司承办的“2008年计算机安全专委会信息安全高级论坛”在北京拉斐特城堡酒店举行。

  本届论坛围绕着内网安全技术及应用、等级保护以及当前信息安全热点问题展开。会上,方滨兴院士、沈昌祥院士等多位专家分别发表了专题演讲。北京双洲科技有限公司董事长闫兆春也就如何保障信息安全发表了关于“基于强制性安全架构实现文档全生命周期的保护”的专题演讲。

  一、 现状分析

  说到电子文档的保护,就不得不提起已经沿用了千年的纸质文档。电子文档因其简便易操作性、信息多元化、快捷等优势逐步取代纸质文档,成为了越来越多的部门、单位、机构工作过程中不可或缺的的一部分,但同时电子文档自现世以来便因固有的一些特性,包括:

  1、 不像纸质那样实体存在,电子文档存储具有不可见性,必须借助相关的工具才能对其进行查看、编辑等处理;

  2、 容易被快速复制,而且被复制了不影响原件,有时泄密了所有者还不知道;

  3、 随着网络化办公模式,容易扩散;

  这些特点伴随在文档的整个生命周期——即从生成、存储、修改、归档直至销毁每个步骤,导致其泄露的风险比传统纸质要高的多,容易造成更大的危害。

  我们注意到当前市场上已经有各种针对于此的解决方案,经过分析总结,认为目前各类不同方案都存在一个主要问题:单个方案的防护过程的阶段性和局部性,是无法实现文档全生命周期的防护的;但如果将不同方案组合使用,又存在协同性差、无法完全消除泄露缝隙的问题,并且还增加了管理和维护复杂度。而进一步分析电子文档泄露问题的根本原因,除了因其固有的易扩散性、易复制性的特性外,也和使用的情况相关,涉密文档遍布在每个人的机器上,每个人可能都需要担当机要员的角色。而用户操作过程中行为的任意性和不可确定性,这些人为因素造成的电子文档的泄漏后果更严重。

  双洲认为,要解决电子文档泄露问题,就应该从以上分析的一些原因着手,也就是要采取行为强制性的办法,具体而言,包括强制行为类型和强制行为发生位置这两个途径,从而实现对电子文档全生命周期的保护。

  二、 强制性解决的思路


图示:uniLink强制性安全架构思路


  我们如何实现这种强制性呢?

  首先就是要改变涉密文档遍地都是,每人都是机要员的现象。我们采取的措施就是要把电子文档集中起来存储和管理,而且不光是电子文档,还包括前边所说的相关的编辑工具等,都集中起来。我们将网络划分成资源网与用户网,资源网包括了系统要保护的目标,包括人员管理、业务应用及服务、设备、各类数据等,用户网包括了对资源的各种操作,也就是用户完成必须的任务所需的功能。

  在这样的架构上,用户的功能从资源网统一定义和生成,各类应用服务在资源网中集中部署和管理,所有的文件和数据也集中保存在服务器端。这样可有效地保障应用服务来源的可靠性、安装的正确性、运行的可控性及运行结果的可审计性,保障文件和数据的安全性。用户网部分不再安装应用服务,也不保存数据,只是通过专用客户端,经过专用通道连接到资源网,处理系统授权的工作。

  通过这个思路,使得用户网部分的行为得以简化和固化,用户行为的任意性被有效控制。由于采用了虚拟化技术,用户的操作习惯没有改变,功能的强制不影响系统的好用性。


      三、 一种强制性安全架构


图示:uniLink强制性安全架构实现


  针对刚才所说的网络划分的思路,我们提出来一种强制性的安全架构。首先将网络分离成资源网和用户网,在用户网和资源网之间通过特定的协议阻断设备隔离。这样的架构,可以将需要控制的应用服务平滑地纳入进来;对于其它业务系统,也不会有任何影响。防泄露文档管理系统就在这个强制性的安全架构上实现。我们的文档全生命周期保护-双洲防泄漏文档管理系统就是在这个强制性的安全架构上实现的。

  四、 双洲防泄露文档管理系统


图示:双洲防泄露文档管理系统结构


  双洲防泄露文档管理系统是在之前所说的强制的安全机制下实现的。具体到服务器端文档管理部分,包括文档存储部分、文档处理部分及用户界面部分。如前所述,这个文档防泄露管理系统是作为一个应用服务,在前述的强制性架构上实现。那么文档的操作与存放,也通过这种架构的机制,全程与用户隔离,终端无痕迹,再无泄密之虞,用户原有的文档处理软件,不限定格式,充分保留用户操作习惯。

  这样的管理架构,可以为已经无法离开电子化的现代人;为已经无法摆脱的但又存在无限风险的电子文档的制造、使用和管理电子文档的人们带来四大好处。


      五、 双洲防泄漏文档管理系统的四大优势:


  此架构的四大优势:强制性、与操作系统的无关性、全生命周期防护和终端无痕迹。

  第一点:强制性

  从强制性行为类型说,系统的安全机制嵌入到每个功能里,在不影响系统好用性基础上实现功能的强制性。用户所用到的功能均由资源网定义和生成,系统安全机制与系统功能融为一体,用户使用过程中并不会特别感觉到控制措施的存在、也无法改变,更无法绕过这种强制措施。对于安全系统而言,这种摘不掉的特性尤为重要。

  从强制行为发生类型来说,每个用户只能使用那些用于完成必须的任务所需的功能,完成系统功能所用的应用工具,也统一部署在资源网,可有效保障其来源的可靠性、安装的正确性、运行的可控性及运行结果的可审计性。

  通过这种架构,强制控制了用户行为的类型和行为发生的位置,限制了用户行为的任意性,也就有效控制了电子文档扩散的根源。

  第二点:与操作系统的无关性

  用户权限管理采用独立的管理体系,不采用具体某一个操作系统的用户管理机制。而对集中管理的文件和数据,其存储、管理颗粒度,也与操作系统和存储形式无关。

  与操作系统的无关性,使得不必受限于操作系统的各种升级和变化,保护了本身功能和管理机制的整体性,具有良好的可移植性和可持续性。

  第三点:全生命周期防护

  资源网内集中了数据内容以及相关的应用软件,对数据的操作完全在资源网内完成。数据从产生、保存、修改、归档及销毁的全生命周期,均在封闭的环境内进行,保证信息无泄露。

  基于集中管理,数据操作的主体和客体都根据安全策略设置敏感标记,可以实现细颗粒度的资源防护。

  第四点:终端无痕迹

  因为编辑软件和文档存储都在服务器上,编辑过程也在服务器上进行,用户可以看,可以正常操作,但终端无痕迹,无泄露。实现了用户远程办公、出差,都不必携带实际的文档、数据及相应处理软件,只需通过网络连接到系统,在线处理、阅读和调用文档,避免了因为携带移动存储介质丢失、被窃等造成的数据泄露。

  其它优势

  系统同时还具备其它一些特点:

  如动态目录,就是基于文档的集中存储,通过内置搜索引擎,可以摆脱物理目录束缚,根据业务需求重建个性目录;

  授权共享:针对系统中每个目录、每个文件,都可以按照部门或者用户进行细颗粒度标记授权,实现可控共享。

  协同办公:系统提供了文件所有者属性、修改记录、锁定、审计等机制,在防泄露的基础上,对协同办公提供了良好的支持。

  六、 综上所述

  我们建立了一种“强制性的安全架构”,这种架构在不影响系统好用性的前提下,具有安全机制无法绕过、功能强制、与操作系统无关以及与应用无关等特性。

  进一步基于“强制性安全架构”的安全机制实现的防泄露文档管理系统,具有“看改打印可控制,能看能改拿不走,谁看谁改有记录”的特点,从架构上实现了文档的防泄露保护,可以做到对文档全生命周期的保护!

  随着信息化进程的深入,传统的信息安全机制遇到了前所未有的挑战,我们必须以更广的视角看待这个挑战,以新的思路、新的技术迎接这个挑战,变挑战为机遇!