高 真 香 子, 耿 也, 劉 承 彬, 趙 波

( 大連工業(yè)大學(xué) 信息科學(xué)與工程學(xué)院, 遼寧 大連 116034 )

0 引 言

信息科學(xué)的快速發(fā)展使社會信息化程度不斷提高[1],然而隨之而來的卻是信息的安全問題。電子文件作為信息的重要組成部分,其安全問題越來越受到企業(yè)的重視和關(guān)注。

為解決電子文件安全問題,目前世界很多國家已研究開發(fā)了多種文件系統(tǒng),例如常用的FAT32、NTFS、Ext2、Ext3等,它在管理文件存儲的同時還實現(xiàn)了對已存入文件信息的保護(hù)和檢索[2],使電子文件在系統(tǒng)中得到妥善保管。當(dāng)面對信息化給現(xiàn)代社會的正常發(fā)展帶來的一系列前所未有的風(fēng)險和威脅時,僅靠文件管理系統(tǒng)已不能滿足現(xiàn)代企業(yè)文件的安全需求[3]。研究文件安全保障模型,并從安全技術(shù)、安全管理和安全意識等各方面綜合考慮,建設(shè)完整、系統(tǒng)的文件安全保障策略有利于電子文件安全得到整體的提高。文中出現(xiàn)的文件若無特殊說明均指電子文件。

1 文件安全威脅分析

很多企業(yè)面對因文件安全問題而逐年增長的巨額損失,沒有建立專門的信息安全管理部門、專項的安全管理制度和有力的安全保障機(jī)制。檢測、監(jiān)控、審計等制度的不健全和加密、訪問控制、認(rèn)證等機(jī)制的不完善,使電子文件服務(wù)于公開、脆弱的網(wǎng)絡(luò)和計算機(jī)系統(tǒng)時受到諸多的安全威脅,主要表現(xiàn)為:

(1)電子文件的易改性,極易因人員的誤操作和惡意破壞不留痕跡的增減、修改、刪除文件信息,威脅文件真實性。

(2)系統(tǒng)不兼容、缺少閱讀支撐軟件、文件密鑰丟失、病毒侵害等原因使文件經(jīng)過遷移、存儲、加解密等處理后,無法打開或無法識別,造成文件內(nèi)容丟失,威脅文件可用性,破壞文件應(yīng)用環(huán)境安全。

(3)用戶的越權(quán)訪問或授權(quán)用戶有意無意泄密,以及對廢棄設(shè)備或廢棄文件的數(shù)據(jù)信息收集造成文件泄露,威脅文件保密性。

(4)傳輸過程中丟包或用戶的違規(guī)操作等原因造成文件內(nèi)容缺失；此外,一些只有組合在一起才能進(jìn)行完整表述的文件組合,因存儲數(shù)量不足使文件內(nèi)容缺失,破壞文件完整性,嚴(yán)重影響文件的使用價值。

(5)黑客、計算機(jī)病毒等利用系統(tǒng)漏洞和管理漏洞入侵內(nèi)網(wǎng),盜取保密文件信息,攻擊核心服務(wù)設(shè)備,破壞網(wǎng)絡(luò)和系統(tǒng)的應(yīng)用環(huán)境安全,嚴(yán)重威脅企業(yè)內(nèi)部文件安全。

(6)供電系統(tǒng)故障、電磁干擾和自然災(zāi)害等引發(fā)的設(shè)備破損、設(shè)備老化造成的存儲介質(zhì)失效、物理破壞和偷盜等導(dǎo)致的設(shè)備缺失,威脅文件物理實體安全。

(7)移動存儲設(shè)備(RSD——Removable Storage Device)的丟失、損壞、擅自維修,內(nèi)外網(wǎng)絡(luò)交叉混用以及利用RSD非法轉(zhuǎn)載文件信息等,不僅容易造成承載文件的丟失和泄漏,破壞文件RSD傳播途徑的安全,而且還易引發(fā)木馬、病毒的交叉感染,威脅文件應(yīng)用環(huán)境安全。

綜上分析,文件安全威脅是隨信息科技的進(jìn)步而不斷變化增加的。應(yīng)對復(fù)雜的安全風(fēng)險,只有根據(jù)企業(yè)自身安全需求,選擇正確的安全保障機(jī)制,建立嚴(yán)明的安全管理制度,整體提高用戶安全意識,才能使文件安全問題得到有效的預(yù)防和解決。

2 文件安全保障模型

結(jié)合企業(yè)局域網(wǎng)普遍存在的文件安全問題,可以看出問題主要集中在對文件結(jié)構(gòu)、物理環(huán)境、應(yīng)用環(huán)境和文件輸出安全的保護(hù)上。本研究提出如圖1所示的文件安全保障模型,該模型在信息安全模型基礎(chǔ)上改進(jìn)得到,既保持了原模型特點(diǎn),又加強(qiáng)了對安全策略的分析。模型是由3個面組成的立體圖形,3個面分別是文件生命周期、文件安全特點(diǎn)、文件安全保障策略。

2.1 文件生命周期

根據(jù)文件運(yùn)動過程中價值形態(tài)呈現(xiàn)的規(guī)律性變化,將其生命周期劃分為創(chuàng)建、形成、應(yīng)用、傳播、銷毀或永久存儲幾個階段。不同階段可能服務(wù)于不同的對象和環(huán)境,服務(wù)對象的不確定性和環(huán)境的復(fù)雜、多變使文件面臨各種各樣的威脅。區(qū)別于傳統(tǒng)的身份認(rèn)證、加密、防火墻等安全防護(hù)技術(shù),文件的安全保障更強(qiáng)調(diào)對生命周期各階段整體的安全防護(hù)和災(zāi)難恢復(fù)。

圖1 文件安全保障模型

2.2 文件安全特點(diǎn)

保密性、完整性、可用性是文件信息安全不可分割的3個基本方面。保密性指文件只允許在規(guī)定的時間和地點(diǎn)被授權(quán)用戶訪問,防止文件泄漏；完整性指文件在處理過程中是完整準(zhǔn)確的,防止文件被誤傳、誤用、非法刪改等；可用性是指授權(quán)用戶對文件的合法訪問不被拖延和耽誤。只有始終保持對文件安全復(fù)雜性的清晰認(rèn)識,才能從文件的安全保障中得到滿意效果。

2.3 文件安全保障策略

安全策略是文件安全保障模型描述的核心內(nèi)容,從圖1可知,分為文件結(jié)構(gòu)安全、物理及環(huán)境安全和文件輸出安全三部分。

2.3.1 文件結(jié)構(gòu)安全

面對文件服務(wù)對象和環(huán)境的復(fù)雜性,首先從文件本體入手,提高文件的自我保障能力。通常采用對文件加密保護(hù),視各企業(yè)對文件安全的不同需求,選擇適合自己的加密算法,以保證系統(tǒng)原有性能、不過多干預(yù)用戶操作習(xí)慣為前提,加密文件內(nèi)容,保障本體安全。其中,無需用戶參與,由系統(tǒng)對文件透明、強(qiáng)制的自動加密保護(hù),可有效防止內(nèi)部人員主動泄密。安全性更高,更適合企業(yè)用戶多、流動性大等特點(diǎn)的安全需要。

2.3.2 物理及環(huán)境安全

物理及環(huán)境安全包括物理安全和應(yīng)用環(huán)境安全。物理安全威脅主要來自電磁等的干擾、設(shè)備自然老化和人為破壞等。物理實體的安全是文件工作環(huán)境持續(xù)、穩(wěn)定運(yùn)行的前提條件,因此必須加強(qiáng)安全建設(shè)；環(huán)境安全涉及問題較多,例如網(wǎng)絡(luò)環(huán)境安全、系統(tǒng)環(huán)境安全,企業(yè)人文環(huán)境安全等。在技術(shù)快速發(fā)展、安全風(fēng)險不斷加大的今天,僅靠防火墻、殺毒軟件之類的基本安全技術(shù)已不能滿足企業(yè)文件安全的需求,訪問合法性,黑客、病毒和漏洞的防護(hù)以及災(zāi)難恢復(fù)等問題更要綜合考慮；此外,系統(tǒng)的文件安全管理制度和良好的企業(yè)人文環(huán)境也必不可少,整體提高用戶安全意識,有利于文件環(huán)境安全保障措施的執(zhí)行和完善。

2.3.3 文件輸出安全

文件輸出安全的威脅來自網(wǎng)絡(luò)、打印、RSD的使用等多個方面,上述3種情況是造成文件丟失和泄漏的主要途徑[4]。例如,通過網(wǎng)絡(luò)監(jiān)聽泄密、傳輸丟包使文件缺失、越權(quán)打印盜密、打印無度的浪費(fèi)以及RSD非法拷貝或自身安全問題帶來的種種損失等。其中,RSD越來越受到廣泛的重用,但對它的安全防護(hù)還相對薄弱。因此文件輸出安全要對RSD的防護(hù)和管理更加重視。

3 文件安全保障策略體系的建設(shè)

3.1 文件結(jié)構(gòu)安全策略

出于對文件自身安全的考慮,本研究提出如圖2所示基于XML數(shù)字簽名的文件自身安全保護(hù)單元,實現(xiàn)對文件的定密、對密文的分級管理及對文件自身安全的全程保護(hù)。

圖2 保護(hù)單元

單元結(jié)構(gòu)中,數(shù)字簽名為文件提供完整性保障。在對受保護(hù)文件本體進(jìn)行處理時,根據(jù)文件不同的涉密等級選擇相應(yīng)的加密算法,為文件在存儲和傳輸過程中的自身安全提供保密性和完整性服務(wù)。通過安全的哈希函數(shù),證實授權(quán)用戶中簽名者的身份,為文件提供抗抵賴性安全保障,使偽造文件、否認(rèn)知情等安全風(fēng)險得到有效控制和降低。

3.2 安全標(biāo)識

包括固定標(biāo)識和定義標(biāo)識,兩種標(biāo)識內(nèi)容均可進(jìn)行靈活調(diào)整和擴(kuò)充,以滿足不同安全需要。

3.2.1 固定標(biāo)識

依照文件創(chuàng)建者身份在文件創(chuàng)建初期由系統(tǒng)自動生成,包括密級標(biāo)識、安全策略標(biāo)識符、保密期限和創(chuàng)建人信息等內(nèi)容。用以描述對文件自身保密管理的基本需求、標(biāo)識出保密管理中具體的算法和操作。固定標(biāo)識一經(jīng)生成則不可更改,也不可與文件主體分離。

3.2.2 定義標(biāo)識

由保密管理人員對應(yīng)文件實際涉密等級予以定義的相應(yīng)級別的安全標(biāo)識,是文件定密后對密文安全管理標(biāo)準(zhǔn)的重要指示,定義標(biāo)識可根據(jù)文件具體時效性由管理員進(jìn)行相應(yīng)等級的調(diào)整。定義標(biāo)識包括流通密級標(biāo)識和策略標(biāo)識符,以及定密責(zé)任人、定密日期等信息。

文件安全保護(hù)單元,其標(biāo)識的可擴(kuò)展性和基于XML內(nèi)容結(jié)構(gòu)化的特點(diǎn),不僅方便了對文件的檢索和歸檔,而且應(yīng)對現(xiàn)代企業(yè)大量的文件安全管理需求,文件的定密分級管理工作變得更加容易。圖3為文件定密流程,定密前按固定標(biāo)識描述的安全策略保護(hù)文件自身安全。定密后按定義標(biāo)識信息保護(hù)文件安全。定密后的文件只有保密管理人員有權(quán)重新修改密級或銷毀密文。

圖3 文件定密流程

3.3 物理與環(huán)境安全策略

3.3.1 機(jī)房安全管理

確保機(jī)房遠(yuǎn)離強(qiáng)磁場、強(qiáng)噪音、強(qiáng)震動環(huán)境,避免對設(shè)備運(yùn)行的干擾；機(jī)房通道處設(shè)置門禁系統(tǒng)(密碼、指紋、卡類等),并對非機(jī)房工作人員的來訪要求物理登記并審核來訪目的；機(jī)房內(nèi)配備控溫系統(tǒng),保證設(shè)備運(yùn)行適宜溫濕度。配備滅火裝置,預(yù)防火災(zāi)發(fā)生。設(shè)置監(jiān)控攝像頭和報警裝置,監(jiān)視、監(jiān)督設(shè)備和用戶動作,促進(jìn)機(jī)房的安全管理,提高物理環(huán)境安全。

3.3.2 認(rèn)證授權(quán)(PKI-CA/PMI)體系

提供對各級別用戶身份和密級文件訪問的認(rèn)證服務(wù),提高系統(tǒng)安全強(qiáng)度,解決了用戶和文件的身份問題,并一定程度上改善企業(yè)內(nèi)部數(shù)據(jù)交換和共享時的文件安全問題。

3.3.3 訪問控制系統(tǒng)

包括防火墻、虛擬專用網(wǎng)(VPN)和公鑰驗證等安全技術(shù),提供對系統(tǒng)訪問權(quán)限和文件訪問權(quán)限的認(rèn)證授權(quán)檢查服務(wù),以及對文件信息流向的監(jiān)控和審計,實現(xiàn)了對文件、系統(tǒng)、網(wǎng)絡(luò)的訪問控制,為企業(yè)內(nèi)外網(wǎng)應(yīng)用安全提供安全保障。

3.3.4 防病毒系統(tǒng)

通過對工作站、服務(wù)器、防火墻等的層層防御,搭建多層病毒防御體系,提高對病毒的隔離、過濾能力,阻緩攻擊對系統(tǒng)及目標(biāo)文件的破壞。

3.3.5 安全監(jiān)測系統(tǒng)

提供漏洞掃描、入侵檢測和安全審計等功能。通過對網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的漏洞掃描、實時監(jiān)控和審計跟蹤,提高對外來攻擊的防御能力,有效阻止絕大部分的黑客攻擊。

3.3.6 備份、恢復(fù)體系

采用基于SAN存儲結(jié)構(gòu)的Lan-Free備份技術(shù)提供數(shù)據(jù)完整性保護(hù)和設(shè)備持續(xù)運(yùn)行的技術(shù)支持,SAN縮短備份和恢復(fù)所需時間,減緩數(shù)據(jù)備份對應(yīng)用系統(tǒng)響應(yīng)時間的影響,解決了企業(yè)重要系統(tǒng)和文件的備份、存儲與恢復(fù)的安全問題。

3.3.7 企業(yè)人文環(huán)境管理體系

嚴(yán)格的用戶聘用和解聘管理制度,明確的在職、調(diào)動和離職用戶權(quán)責(zé),規(guī)范的用戶操作行為和定期的安全保密相關(guān)知識培訓(xùn)等,整體提高用戶安全防護(hù)意識,減少用戶泄密事件發(fā)生,提高安全策略的貫徹與實施。

3.4 文件輸出安全策略

3.4.1 網(wǎng)絡(luò)傳輸

阻斷企業(yè)涉密敏感網(wǎng)段與外網(wǎng)間的直接或間接連接,減少網(wǎng)絡(luò)泄密和病毒入侵。

3.4.2 RSD傳播途徑

3.4.2.1 RSD訪問授權(quán)機(jī)制

解決了RSD身份問題,易于實現(xiàn)對RSD安全使用的統(tǒng)一管理。

3.4.2.2 RSD認(rèn)證機(jī)制

實現(xiàn)RSD區(qū)別內(nèi)外網(wǎng)絡(luò)使用,不僅解決了RSD內(nèi)外網(wǎng)混用的使用安全問題,而且易于實現(xiàn)對RSD內(nèi)網(wǎng)安全使用的監(jiān)測、審計管理。

3.4.2.3 RSD內(nèi)網(wǎng)使用管理制度

禁止不同工作組/部門之間RSD的非必要文件數(shù)據(jù)傳輸,解決內(nèi)部RSD轉(zhuǎn)載文件泄密問題。

3.4.2.4 RSD擺渡文件審核制度

擺入或擺出文件都要經(jīng)第三方嚴(yán)格審核把關(guān),不僅可以預(yù)防病毒跟隨RSD擺入文件,還可避免非要求傳輸文件的外泄。保障RSD的使用安全,降低企業(yè)RSD傳輸文件的安全風(fēng)險。

3.4.3 打印輸出

根據(jù)文件打印需求設(shè)置文件屬性(包括自由打印、記錄打印、審批打印和禁止打印等[5])并制定廢棄文件安全處理制度,解決了對文件越權(quán)、過度打印以及廢棄文件泄密等安全問題。

以上僅是針對企業(yè)普遍存在的文件安全問題提出的文件安全保障策略建設(shè)的基本思想,具體策略還需根據(jù)企業(yè)文件安全情況具體設(shè)計,但目的都是為達(dá)到企業(yè)文件信息的保密、完整和可用,盡可能地保障企業(yè)文件資產(chǎn)不受侵犯。

4 結(jié) 語

本文簡要敘述了文件的安全威脅,介紹了文件安全保障模型的內(nèi)容,針對企業(yè)普遍存在的文件安全問題給出一些解決方案。這些方案只要在實踐中對應(yīng)具體情況靈活運(yùn)用并不斷完善,就能使企業(yè)內(nèi)部文件的安全得到滿意的保障效果。

[1] 閻春平,劉飛,郭風(fēng). 數(shù)字化企業(yè)的信息安全體系及實施方案[J]. 重慶大學(xué)學(xué)報, 2010, 33(2):36-41.

[2] FAL A M. Standardization in information security management [J]. Cybernetics and Systems Analysis, 2010, 46(3):512-515.

[3] 潘明惠. 網(wǎng)絡(luò)信息安全工程原理與應(yīng)用[M]. 北京:清華大學(xué)出版社, 2011:14.

[4] 陳尚義. 基于TRSM數(shù)據(jù)安全擺渡解決方案[J]. 信息安全與通訊保密, 2009(5):20.

[5] 袁萌. 一種提高企業(yè)內(nèi)部文檔輸出安全性的途徑[J]. 信息安全與通信保密, 2011(7):26-27.