3、基于透明加解密的涉密电子文件集中存储技术

　　目前对于文件集中存储的实现，主要存在以下不足之处：未能解决电子文件安全问题;无法对电子文件进行权限等细粒度的控制;缺乏完整的解决方案。这里针对以上问题，提出一套集中存储涉密电子文件的管控方法，存储模型如图4所示。

　　该模型对涉密电子文件进行如下管控。

　　(1)用户身份认证

　　用户身份认证，是该系统的安全基础。身份认证采用USBKey双因子认证方式，保证访问者的物理身份与数字身份的一致性。每一个USBKey都具有硬件PIN码保护，PIN码和硬件构成了用户使用USBKey的两个必要因素，即所谓“双因子认证”。用户只有同时取得了USBKey和用户PIN码，才可以登录系统。即使用户的PIN码被泄漏，只要用户持有的USBKey不被盗取，合法用户的身份就不会被仿冒;如果用户的USBKey遗失，拾到者由于不知道用户PIN码，也无法仿冒合法用户的身份。身份认证流程如图5所示。用户访问文件服务器时，必须使用合法的USBKey通过文件安全网关对用户身份进行认证。只有认证通过的用户(合法用户)，才能获取到服务器中对应的个人文件，其他非法访问服务器的操作，均被系统拒绝。

　　(2)文件集中加密存储

　　在用户的本地计算机中，不存储任何形式的文件信息，所有文件均自动加密并保存至文件服务器。存储到服务器中的文件，通过透明加解密进行加密，其原理如图6所示。所有的文件系统操作都是向操作系统I/O管理器提出的，再由操作系统I/O管理器将操作定位到具体的某个文件系统来完成。文件的操作者和平常一样，对文件进行正常操作，他们不会感觉到Windows及底层发生的一切变化。文件经过WindowsI/O管理器、透明加密技术平台和Windows文件系统的处理，最后存放在磁盘上的文件是经过加密的。同时，加密策略(算法、密钥和加密文件的指定)内置在透明加密技术平台中，由系统管理员集中管理，文件操作者无权获取或更改。透明加解密具有以下特征：

　　①强制性。透明加解密的实质是强制加密。一方面，只要单位认为是需要保密的信息，一律都要加密，加密与否不取决于文件作者或使用者的个人主观判断，也和文件操作者的责任心和保密意识无关;另一方面，经过加密的文件只有符合授权条件才可以打开使用，否则，文件无法打开，即使打开也是以密文的形式打开，只能看到乱码。

　　②透明性。透明化是指系统在后台自动执行加解密操作，用户无需参与，与正常操作无任何差别。透明化功能的具体实现过程都是在内存中进行，不会在磁盘上产生任何文件，在文件被打开时，合法用户毋须事先对文件进行解密，系统根据策略判断对授权进程访问，自动对文件进行解密。所有这些过程是在不改变用户行为习惯的基础上，即文件的操作者是感觉不出以上这些过程的，所以对用户来讲足“透明”的。例如，策略规定对所有的Excel文档都要强制加密，那么用户只要将文件存入磁盘介质，文件在介质上就一定是加密的;当用户将文件从磁盘上读出来编辑时，文件自动被解密，以便用户可对其正常操作。

　　(3)文件权限控制

　　所有存储到文件服务器中的文件，均对权限进行细粒度的控制，只有符合权限所允许范围内的用户，才能获得明文数据，否则，当前用户对文件的访问被拒绝。该系统可以根据分组、角色、用户或IP等进行权限控制，使加密文件只允许某小组或某限制范围内的用户可正常使用。同时又可以对某些用户设置特殊访问权限，使其可以访问某些或所有用户的加密文件，使得只能在某小组或某范围内才能正常使用的加密文件可以被小组或范围外的该特殊用户正常使用。同时，系统对电子文件使用过程中各个权限维度进行控制，包括访问口令、使用范围、使用次数、使用时间、是否可修改、是否可打印及动态打印水印等。对已经分配权限的电子文件，其使用权限还可以动态调整。

　　(4)公文审批流转

　　存储在文件服务器中的文件，均对权限进行控制。除特权用户，一般用户只允许访问已分配权限的文件。对于不同分组、不同角色的用户，若需访问其他用户的文件，可通过审批工作流提出申请，对文件进行主动授权，限制该文件只能被某些用户或小组使用，同时指定具体的使用权限(只读、允许修改、允许打印、带打印水印、使用时间，以及是否记录使用日志等等1。该授权过程通过在线审批或离线申请来完成。在线审批过程使用了完善的审批工作流，该审批工作流可以支持一级或多级审批，与企业现有审批流程无缝结合。离线申请需要事先给具体终端或用户配置允许离线申请的策略，这样该用户才能在离线环境下制作主动授权文件。通过该方式，实现文件在内部及外协终端中的安全流转。主动授权过程及使用场景如图7所示。

　　(5)文件外发管理

　　对于需带出到外部的文件，通过外发管理对文件进行审批。在文件服务器中加密存储的文件只能在内部由授权用户进行使用。企业有时需要与外部进行文档形式的交流或合作，为了不影响这种对外交流，该系统对外发文件进行授权管理，由用户向管理者提出申请，审批通过后，方可带出文档。在企业外部使用外发数据时，其使用范畴及生命周期均受到严格的控制，并对数据安全进行全面防护。外发的文件其访问权限的控制包括使用范围、使用时间、使用次数、打印控制和打印水印等。

　　(6)统计审计分析

　　对于用户的所有操作行为，如用户通过身份认证后访问文件服务器的行为、公文审批的流程和外发审批管理，系统均记录日志，以便以后统计分析。同时，对于核心文件的使用过程，如流转给哪个用户，用户对文件进行了哪些操作，系统均可追踪有关文件的详细信息，从而为管理者把握整体的文件使用情况提供便利。

　　4、结语

　　针对当前涉密电子文件难以管控的问题，这里提出一种涉密电子文件集中管控技术。该技术以透明加解密为核心，在不改变用户使用习惯、不增加用户成本投入及性能消耗的同时，解决文件集中存储和访问控制等一系列安全管理问题，为进一步深入研究涉密电子文件的管理奠定了基础。

(责任编辑：)