设为首页   加入收藏
首 页 通知公告 商密动态 政策法规 信息展示 办事指南 下载服务 知识园地 密码标准化
   2017年09月21日 星期四
      
  通知公告 更多
电子政务信息系统使用电子认证技术实用问答
关于使用SHA-1密码算法的风险提示
国家密码管理局公告(第31号)
关于停止RSA算法1024位密钥对服务的公告
国家密码管理局公告(第30号)
国家密码管理局公告(第29号)
国家密码管理局公告(第28号)
 
 当前位置: 知识园地 > 正文
内外兼修—谈利用密码技术加强电子文档安全
  来源: 上海市信息安全行业协会商用密码专委会 2009年02月27日
 


    对于政府机关、金融机构及企业单位来说,随着信息化的高速发展,工作过程中会产生大量的电子文件信息,其中不免有涉密文件,这些文件涉及到一些重大决策,一旦泄露会导致非常严重的后果,如何能对这类电子文档做好安全的保护工作一直是困扰人们的问题。
    现有的电子文档解决方案,类似于建立电子方式的文档保密柜,立意于对企业成文文档的保护。这种解决方案首先对文档进行加密,集中存放,使用时通过身份认证确认“自己人”后,文档可以解密成明文发送到用户的本地端,供用户使用。有了电子文档保密柜后,企业可以把重要的文档放到电子保密柜中,屏蔽系统用户之外的人员对文档的访问,利用加密的方式防止文档被盗,一定程度上保障了文档的安全。在实际应用中,人们发现这种机制存在很多安全隐患。首先,电子保密柜的机制,单纯立足于抵御企业或单位的外部安全威胁,而研究表明:企业的安全威胁80%以上来源于内部,由于内鬼为企业造成重大损失的案例不胜枚举。所以,能够做到内外兼修才能真正安全。其次,安全是一个链条,从文档的产生开始,到文档成为企业或政府的成文决策,进行上传、下发都必须有安全机制的保障,一个环节的脆弱都会导致整个链条的崩溃。所以仅靠简单的加解密的方式不能让人真正的体验安全,必须提供一套能够管理文档全生命周期,结合有效身份认证、具有权限管理、日志审计功能的全新安全方案。
    在全新安全方案中电子文档利用密码技术是以密文的方式存储、传输的,也就是说,所有的存放在硬盘上的实体文件都是密文的,传输过程中也是密文的。有人即使通过各类手段包括利用黑客技术盗走了文档,他也无法打开文档,打开文档看到的也是乱码一堆。这样的情况下,存放文档的计算机或携带到公司外面的储存设备丢失我们都可以放心,机密还是机密,文档是安全的。
    我们“自己人”如何看到文档呢?首先要判定是自己人而不是伪装的。这就用到了身份认证技术。我们经常使用的用户名、口令方式容易泄露,存在安全隐患,利用密码技术实现的身份认证如:KPI技术,通过为每一个用户分配一个私钥和一个证书的方式,使得身份不可仿冒,实现身份认证的安全。
    在电子文档柜系统中,没有权限或权限单一,无法细化内部人员对文档的控制粒度。在全新机制下,我们可以通过对权限的细粒度的控制来实现使用者对文档具有不同的操作方式。例如我们可以允许一个秘书对文档进行打印,不允许其对文档进行修改;可以允许部门经理对文档进行修改而允许一般职员只能阅读。这样,对于政府或企业来说,内部文档的细粒度权限的实现让企业能细化文档的安全等级,实现不同人对不同的文档具有不同的权限。
    当我们判定此人为“自己人”,同时也了解了他对文档所具有的权限,就可以允许终端计算机对文档进行解密成明文的操作,我们就可以看到文档了。当我们在终端计算机看到明文文档,就意味着有安全漏洞的风险——“有心人”会利用一切手段将明文导出拿走。因此,考虑到这类安全,一般终端都被设置了各类“机关”,例如防止拷屏技术、不允许远程保存、防止内存泄露等等。这样我们就既保证了文档的安全又实现了文档的正常共享。
    如何为政府机关或企业提供一个全文档生命周期的解决方案,让重要的文档从产生的起草阶段到成文整个全过程都能有安全的保障?目前的实现方式主要是利用透明加解密技术,通过对制定文档格式的全部加密来实现。这种方式不对文档的有效性做任何区分,也不会对有效文档的阶段进行细分管理,只适用于小企业。
    当然,电子文档的安全还要靠更多的计算机应用技术的支持才能更加完善,比如,对于整套机制的日志审计功能,完成对文档的安全审计。文档外带的情况下,既要有安全机制还可以对文档打开期限进行设置等等。还可以将文档从其产生到流转共享再到最后成文整个生命周期都实现安全管理,这样,就更万无一失了。
    实际上基于密码的文档安全技术已经成熟,甚至国密局0 7年6月推出了专门对应于安全电子文件的应用规范,用以规范和加速产业化。基于这种机制的产品也已经得到运用并日趋成熟,相信在不远的将来,会不断涌现更多的文档安全产品来满足不同用户的需求。


返回
 
版权所有:上海市密码管理局
技术支持:上海鹏越惊虹信息技术发展有限公司
(建议使用IE7浏览器、将电脑显示屏的分辨率调整为1024*768浏览本网站)