文檔管理系統縱深防御主動防護安全措施研究

文/戴 法 楊圓圓

信息安全是國家安全的重要組成部分。對于信息資源的載體及文檔管理系統采取全方位、多層次的縱深防御和主動防控，是確保文件全生命周期安全及使用安全的需要。本文從信息系統建設、使用文件定密、訪問授權策略、加密、審計、終端防控措施等實現安全的同時，從不影響使用，甚至更方便使用的角度思考，提出了實現文件全生命周期安全保障的縱深防御與主動防控的策略

在信息化時代，文檔安全管理的核心是文檔權限管理。文檔權限管理的目標是落實“權限最小化”，即分配到每個人的文檔使用權限，都與他的工作需要相匹配。大多數企業的現狀是：盡管有“規章制度”約束，但是從總經理到普通員工，所有人的文檔使用權限其實都相同：你能打開，我也可以查閱；你能復制，我也可以拷貝。這就造成一些敏感文檔，可被很多不相關的人輕易地看到；所有能看到敏感文檔的人，都可輕易地將其帶出去。面對這種狀況，規章制度的約束力已變得非常有限，泄密事件隨時都可能發生。2017年6月1日《中華人民共和國網絡安全法》正式實施，該法明確規定國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。國家只能在宏觀的法規方面提出最低要求，到我們企業，在建設網絡安全，保護文檔安全和知識產權的時候，必須要實現用戶授權范圍內的方便使用和全方位的安全保護雙效。

我們要建立一套基于加密技術的全生命周期文檔知識產權保護系統，它必須具有三個功能：一是功能全面，系統集定密信息管理、文檔標密、密級呈現、密級控制、安全保護、文檔外發、文檔追蹤、事后審計、文檔歸檔管理等功能于一體，是極少數能夠提供全功能的電子文檔安全管控解決方案；二是方便易用，支持不強制加密的保護模式，即不按照應用強制加密產生的文件，而是可根據實際需要只對要保護的文件才進行加密和控制；三是穩定高效，與Windows操作系統和文檔應用無縫集成不影響用戶計算機系統和應用的穩定性和效率，基本與安裝前無異。鑒于此，我們認為一個安全的文檔系統應該從以下方面開展縱深防御和主動防護。

一、開展供給側改革，適應用戶多樣的使用場景

文檔管理的核心目的是使用，我們在建立系統安全防護時，也要考慮用戶的使用場景，比如：

1.在線使用。文檔保護客戶端實時與服務器同步，確保不會改變用戶對各類應用軟件的使用習慣。在保證安全的同時，盡可能讓用戶使用方便。

2.離線使用。對于安裝了文檔保護客戶端的電腦，與服務器同步成功后，在許可期內（自定義），可以正常查看加密文件，超出許可期后若不連接至公司網絡，加密文件將無法使用。電腦安裝文檔保護系統客戶端后，通過VPN連接至公司網絡正常使用加密文件。

3.打印使用。系統可以通過自動掃描，搜集用戶終端上使用的打印機，在后端管理平臺上統一對打印機進行授權管理，只有授權的指定打印機才能打印加密文檔，實現了對加密文檔打印的安全管理。

4.外發使用。對于向合作方發送的加密文件，為了保證合作方對相關文件的正常使用，需要對文件進行解密。出于保護文件知識產權和規范文件流轉的目的，對文件的解密需要按流程審批后，方可統一將文件列表中的所有文件進行解密，發送至相關合作方。

5.解密使用。公司員工由于工作需要，在某些特殊、緊急情況下可使用申請對加密文件進行解密處理和利用，無特殊情況不可隨意申請解密，解密管理員將對此類申請嚴格審核。

二、實現電子文檔的全生命周期保護

文檔安全保護的產品，必須支持MS Office、PDF、CAD、JPG、txt、RAR 等主流辦公類型文件的保護，文件實施保護前后，所有過程均未改變用戶的行為習慣，即操作者未察覺后臺安全控制的具體過程，不會改變用戶對各類應用軟件的使用習慣。系統通過加密企業敏感信息文件、對文檔使用權限控制以及文檔內容的保護來保護企業的敏感信息文件，無論是外部竊取、員工離職帶走、內部有意無意發出去還是存儲設備丟失，文檔依舊是加密的，即拿出去打開也是密文亂碼，無法使用，保證敏感文檔只有在信任的安全域中，授權人員才能打開使用。能夠控制授權人員對受保護文件的使用權限，比如打開、復制、編輯、打印等權限，能夠控制文件內容在使用過程中不被導出，防止內容泄密。

1.實現安全的加解密過程

對稱加密和非對稱加密密鑰技術相結合，保證加解密文件和密鑰傳輸的安全。以Windows文件夾或邏輯磁盤作為加密文件的管理單位，每個安全文件夾對應不同的一對非對稱密鑰，加密和解密分別使用不同密鑰，對每一個文件隨機產生對稱密鑰加密文件內容，然后使用安全文件夾的公鑰加密保護隨機產生的對稱密鑰，安全文件夾公鑰存儲在客戶端本地無需保護，服務器存儲解密私鑰實時安全分發私鑰給授權用戶，加密文件的使用權限與密鑰的分發對應。

2.實現多樣的分級保護策略

提供強制、按需、智能保護多重方式，為不同安全級別電子文檔提供加密防護，保障文檔的安全、防止數據泄露。強制保護是對指定的應用系統在產生文件時，文件被強制自動保護，保證指定用戶核心數據文檔從產生開始一直處于保護狀態，防止由于數據生產者泄密給企業帶來的數據安全風險，授權用戶只有在指定環境的終端計算機上才能被使用。按需保護是指支持用戶按照企業的實際情況僅對需要保護的文檔加密，而使用不需要保護的文檔時不受限制，即不影響正常辦公。智能保護是指可以針對辦公文檔的內容進行敏感信息識別，例如通過關鍵字/組等信息，識別出敏感文檔。僅對敏感文檔進行加密處理，非敏感文檔不做加密處理。

3.實現用戶設備的密級權限管理

通過對人員密級、設備密級、定密細目信息的管理，標密后的電子文檔的密級標志作為文檔屬性的一部分與文檔內容一體不分離，而且密級標志也不能被篡改；參照紙質文檔的管理習慣，在文檔的右上角顯示密級標志信息，直觀反映電子文檔的秘密等級、保密期限等，為使用人員瀏覽敏感電子文檔提供必要的警示標志。根據人員或部門屬性，按照組織范圍對文件的使用權限進行集中的管理授權，用戶在處理、使用電子文檔前，系統會根據文檔的密級標志對文檔主體進行高密低流、知悉范圍等符合性判定，禁止高密級的文檔在低密級或無密級終端上使用，限制知悉范圍以外的人員使用敏感文檔，從技術上杜絕敏感電子文檔違規的流轉和使用。

4.實現外發文檔完全受控

在使用電子文檔前，受保護文件的外發過程是受保護的，通過密碼進行身份認證后才能打開使用。允許通過設置控制外發文件的打開次數和使用時長，以及使用權限，如復制、編輯、打印等。允許通過設置在線、離線的認證方式才可進行瀏覽、處理；允許綁定終端，只有在指定的主機才能瀏覽、處理；外發支持審批流程，審批者可以是一個或多個，審批者可以查看文件內容及權限設定等內容。

5.實現文檔打印的受控管理

對本地打印機、共享打印機及網絡打印機進行管理，允許設置指定的打印機打印受保護文檔并且記錄打印日志；能夠進行實體打印機和虛擬打印機區分控制，系統支持打印水印，在打印紙上自動添加水印內容。

6.實現文檔操作的全審計記錄

記錄審計功能，可以回放任何一份電子文檔從起草到后續修改的全過程：文檔由誰在什么時間起草，后續有幾個版本，都是誰在什么時間修改的，版本之間的承上啟下的關系和分布情況，對任何一份電子文檔的來龍去脈可完全掌控；并且可以詳細記錄保護文檔的產生、使用、編輯、復制、打印、刪除等操作，為事后審計提供詳細的、強有力的信息，使得電子文檔的審計跟蹤簡單、準確、高效，通過對整個生命周期的跟蹤，記錄電子文檔的文件交換、使用記錄，能夠根據日志，追蹤、審計電子文檔生命周期的變化軌跡，為事后審計提供詳細信息。

7.實現與業務系統的無縫對接

通過提供開發接口能夠使企業的業務應用系統集成整合，當用戶從ECM、OA、ERP等業務服務器下載重要文件時，系統自動對重要數據文件進行保護并按照文件在應用系統上的屬性自動標上對應的密級，這些文件在網絡的傳輸過程中是受保護狀態。以標準接口的方式為應用系統提供加解密能力，提升應用系統的保密性，保障數據的安全性。安全中間件基于標準WebService接口或集成整合的API接口，不受協議和網絡環境限制，只要應用系統具備二次開發能力，通過調用接口快速完成與第三方應用系統無縫對接。

作為文檔管理人員，要擔負起國家和企業給我們賦予的文檔安全保護的重擔，我們要樹立文檔安全深層防護與主動防御的意識，主動設計文檔安全保護的系統架構，以便實現網絡安全和企業利益不受侵犯。