电子文件的安全保障模型

高 真 香 子, 耿 也, 刘 承 彬, 赵 波

( 大连工业大学 信息科学与工程学院, 辽宁 大连 116034 )

0 引 言

信息科学的快速发展使社会信息化程度不断提高[1],然而随之而来的却是信息的安全问题。电子文件作为信息的重要组成部分,其安全问题越来越受到企业的重视和关注。

为解决电子文件安全问题,目前世界很多国家已研究开发了多种文件系统,例如常用的FAT32、NTFS、Ext2、Ext3等,它在管理文件存储的同时还实现了对已存入文件信息的保护和检索[2],使电子文件在系统中得到妥善保管。当面对信息化给现代社会的正常发展带来的一系列前所未有的风险和威胁时,仅靠文件管理系统已不能满足现代企业文件的安全需求[3]。研究文件安全保障模型,并从安全技术、安全管理和安全意识等各方面综合考虑,建设完整、系统的文件安全保障策略有利于电子文件安全得到整体的提高。文中出现的文件若无特殊说明均指电子文件。

1 文件安全威胁分析

很多企业面对因文件安全问题而逐年增长的巨额损失,没有建立专门的信息安全管理部门、专项的安全管理制度和有力的安全保障机制。检测、监控、审计等制度的不健全和加密、访问控制、认证等机制的不完善,使电子文件服务于公开、脆弱的网络和计算机系统时受到诸多的安全威胁,主要表现为:

(1)电子文件的易改性,极易因人员的误操作和恶意破坏不留痕迹的增减、修改、删除文件信息,威胁文件真实性。

(2)系统不兼容、缺少阅读支撑软件、文件密钥丢失、病毒侵害等原因使文件经过迁移、存储、加解密等处理后,无法打开或无法识别,造成文件内容丢失,威胁文件可用性,破坏文件应用环境安全。

(3)用户的越权访问或授权用户有意无意泄密,以及对废弃设备或废弃文件的数据信息收集造成文件泄露,威胁文件保密性。

(4)传输过程中丢包或用户的违规操作等原因造成文件内容缺失；此外,一些只有组合在一起才能进行完整表述的文件组合,因存储数量不足使文件内容缺失,破坏文件完整性,严重影响文件的使用价值。

(5)黑客、计算机病毒等利用系统漏洞和管理漏洞入侵内网,盗取保密文件信息,攻击核心服务设备,破坏网络和系统的应用环境安全,严重威胁企业内部文件安全。

(6)供电系统故障、电磁干扰和自然灾害等引发的设备破损、设备老化造成的存储介质失效、物理破坏和偷盗等导致的设备缺失,威胁文件物理实体安全。

(7)移动存储设备(RSD——Removable Storage Device)的丢失、损坏、擅自维修,内外网络交叉混用以及利用RSD非法转载文件信息等,不仅容易造成承载文件的丢失和泄漏,破坏文件RSD传播途径的安全,而且还易引发木马、病毒的交叉感染,威胁文件应用环境安全。

综上分析,文件安全威胁是随信息科技的进步而不断变化增加的。应对复杂的安全风险,只有根据企业自身安全需求,选择正确的安全保障机制,建立严明的安全管理制度,整体提高用户安全意识,才能使文件安全问题得到有效的预防和解决。

2 文件安全保障模型

结合企业局域网普遍存在的文件安全问题,可以看出问题主要集中在对文件结构、物理环境、应用环境和文件输出安全的保护上。本研究提出如图1所示的文件安全保障模型,该模型在信息安全模型基础上改进得到,既保持了原模型特点,又加强了对安全策略的分析。模型是由3个面组成的立体图形,3个面分别是文件生命周期、文件安全特点、文件安全保障策略。

2.1 文件生命周期

根据文件运动过程中价值形态呈现的规律性变化,将其生命周期划分为创建、形成、应用、传播、销毁或永久存储几个阶段。不同阶段可能服务于不同的对象和环境,服务对象的不确定性和环境的复杂、多变使文件面临各种各样的威胁。区别于传统的身份认证、加密、防火墙等安全防护技术,文件的安全保障更强调对生命周期各阶段整体的安全防护和灾难恢复。

图1 文件安全保障模型

2.2 文件安全特点

保密性、完整性、可用性是文件信息安全不可分割的3个基本方面。保密性指文件只允许在规定的时间和地点被授权用户访问,防止文件泄漏；完整性指文件在处理过程中是完整准确的,防止文件被误传、误用、非法删改等；可用性是指授权用户对文件的合法访问不被拖延和耽误。只有始终保持对文件安全复杂性的清晰认识,才能从文件的安全保障中得到满意效果。

2.3 文件安全保障策略

安全策略是文件安全保障模型描述的核心内容,从图1可知,分为文件结构安全、物理及环境安全和文件输出安全三部分。

2.3.1 文件结构安全

面对文件服务对象和环境的复杂性,首先从文件本体入手,提高文件的自我保障能力。通常采用对文件加密保护,视各企业对文件安全的不同需求,选择适合自己的加密算法,以保证系统原有性能、不过多干预用户操作习惯为前提,加密文件内容,保障本体安全。其中,无需用户参与,由系统对文件透明、强制的自动加密保护,可有效防止内部人员主动泄密。安全性更高,更适合企业用户多、流动性大等特点的安全需要。

2.3.2 物理及环境安全

物理及环境安全包括物理安全和应用环境安全。物理安全威胁主要来自电磁等的干扰、设备自然老化和人为破坏等。物理实体的安全是文件工作环境持续、稳定运行的前提条件,因此必须加强安全建设；环境安全涉及问题较多,例如网络环境安全、系统环境安全,企业人文环境安全等。在技术快速发展、安全风险不断加大的今天,仅靠防火墙、杀毒软件之类的基本安全技术已不能满足企业文件安全的需求,访问合法性,黑客、病毒和漏洞的防护以及灾难恢复等问题更要综合考虑；此外,系统的文件安全管理制度和良好的企业人文环境也必不可少,整体提高用户安全意识,有利于文件环境安全保障措施的执行和完善。

2.3.3 文件输出安全

文件输出安全的威胁来自网络、打印、RSD的使用等多个方面,上述3种情况是造成文件丢失和泄漏的主要途径[4]。例如,通过网络监听泄密、传输丢包使文件缺失、越权打印盗密、打印无度的浪费以及RSD非法拷贝或自身安全问题带来的种种损失等。其中,RSD越来越受到广泛的重用,但对它的安全防护还相对薄弱。因此文件输出安全要对RSD的防护和管理更加重视。

3 文件安全保障策略体系的建设

3.1 文件结构安全策略

出于对文件自身安全的考虑,本研究提出如图2所示基于XML数字签名的文件自身安全保护单元,实现对文件的定密、对密文的分级管理及对文件自身安全的全程保护。

图2 保护单元

单元结构中,数字签名为文件提供完整性保障。在对受保护文件本体进行处理时,根据文件不同的涉密等级选择相应的加密算法,为文件在存储和传输过程中的自身安全提供保密性和完整性服务。通过安全的哈希函数,证实授权用户中签名者的身份,为文件提供抗抵赖性安全保障,使伪造文件、否认知情等安全风险得到有效控制和降低。

3.2 安全标识

包括固定标识和定义标识,两种标识内容均可进行灵活调整和扩充,以满足不同安全需要。

3.2.1 固定标识

依照文件创建者身份在文件创建初期由系统自动生成,包括密级标识、安全策略标识符、保密期限和创建人信息等内容。用以描述对文件自身保密管理的基本需求、标识出保密管理中具体的算法和操作。固定标识一经生成则不可更改,也不可与文件主体分离。

3.2.2 定义标识

由保密管理人员对应文件实际涉密等级予以定义的相应级别的安全标识,是文件定密后对密文安全管理标准的重要指示,定义标识可根据文件具体时效性由管理员进行相应等级的调整。定义标识包括流通密级标识和策略标识符,以及定密责任人、定密日期等信息。

文件安全保护单元,其标识的可扩展性和基于XML内容结构化的特点,不仅方便了对文件的检索和归档,而且应对现代企业大量的文件安全管理需求,文件的定密分级管理工作变得更加容易。图3为文件定密流程,定密前按固定标识描述的安全策略保护文件自身安全。定密后按定义标识信息保护文件安全。定密后的文件只有保密管理人员有权重新修改密级或销毁密文。

图3 文件定密流程

3.3 物理与环境安全策略

3.3.1 机房安全管理

确保机房远离强磁场、强噪音、强震动环境,避免对设备运行的干扰；机房通道处设置门禁系统(密码、指纹、卡类等),并对非机房工作人员的来访要求物理登记并审核来访目的；机房内配备控温系统,保证设备运行适宜温湿度。配备灭火装置,预防火灾发生。设置监控摄像头和报警装置,监视、监督设备和用户动作,促进机房的安全管理,提高物理环境安全。

3.3.2 认证授权(PKI-CA/PMI)体系

提供对各级别用户身份和密级文件访问的认证服务,提高系统安全强度,解决了用户和文件的身份问题,并一定程度上改善企业内部数据交换和共享时的文件安全问题。

3.3.3 访问控制系统

包括防火墙、虚拟专用网(VPN)和公钥验证等安全技术,提供对系统访问权限和文件访问权限的认证授权检查服务,以及对文件信息流向的监控和审计,实现了对文件、系统、网络的访问控制,为企业内外网应用安全提供安全保障。

3.3.4 防病毒系统

通过对工作站、服务器、防火墙等的层层防御,搭建多层病毒防御体系,提高对病毒的隔离、过滤能力,阻缓攻击对系统及目标文件的破坏。

3.3.5 安全监测系统

提供漏洞扫描、入侵检测和安全审计等功能。通过对网络、系统和应用的漏洞扫描、实时监控和审计跟踪,提高对外来攻击的防御能力,有效阻止绝大部分的黑客攻击。

3.3.6 备份、恢复体系

采用基于SAN存储结构的Lan-Free备份技术提供数据完整性保护和设备持续运行的技术支持,SAN缩短备份和恢复所需时间,减缓数据备份对应用系统响应时间的影响,解决了企业重要系统和文件的备份、存储与恢复的安全问题。

3.3.7 企业人文环境管理体系

严格的用户聘用和解聘管理制度,明确的在职、调动和离职用户权责,规范的用户操作行为和定期的安全保密相关知识培训等,整体提高用户安全防护意识,减少用户泄密事件发生,提高安全策略的贯彻与实施。

3.4 文件输出安全策略

3.4.1 网络传输

阻断企业涉密敏感网段与外网间的直接或间接连接,减少网络泄密和病毒入侵。

3.4.2 RSD传播途径

3.4.2.1 RSD访问授权机制

解决了RSD身份问题,易于实现对RSD安全使用的统一管理。

3.4.2.2 RSD认证机制

实现RSD区别内外网络使用,不仅解决了RSD内外网混用的使用安全问题,而且易于实现对RSD内网安全使用的监测、审计管理。

3.4.2.3 RSD内网使用管理制度

禁止不同工作组/部门之间RSD的非必要文件数据传输,解决内部RSD转载文件泄密问题。

3.4.2.4 RSD摆渡文件审核制度

摆入或摆出文件都要经第三方严格审核把关,不仅可以预防病毒跟随RSD摆入文件,还可避免非要求传输文件的外泄。保障RSD的使用安全,降低企业RSD传输文件的安全风险。

3.4.3 打印输出

根据文件打印需求设置文件属性(包括自由打印、记录打印、审批打印和禁止打印等[5])并制定废弃文件安全处理制度,解决了对文件越权、过度打印以及废弃文件泄密等安全问题。

以上仅是针对企业普遍存在的文件安全问题提出的文件安全保障策略建设的基本思想,具体策略还需根据企业文件安全情况具体设计,但目的都是为达到企业文件信息的保密、完整和可用,尽可能地保障企业文件资产不受侵犯。

4 结 语

本文简要叙述了文件的安全威胁,介绍了文件安全保障模型的内容,针对企业普遍存在的文件安全问题给出一些解决方案。这些方案只要在实践中对应具体情况灵活运用并不断完善,就能使企业内部文件的安全得到满意的保障效果。

[1] 阎春平,刘飞,郭风. 数字化企业的信息安全体系及实施方案[J]. 重庆大学学报, 2010, 33(2):36-41.

[2] FAL A M. Standardization in information security management [J]. Cybernetics and Systems Analysis, 2010, 46(3):512-515.

[3] 潘明惠. 网络信息安全工程原理与应用[M]. 北京:清华大学出版社, 2011:14.

[4] 陈尚义. 基于TRSM数据安全摆渡解决方案[J]. 信息安全与通讯保密, 2009(5):20.

[5] 袁萌. 一种提高企业内部文档输出安全性的途径[J]. 信息安全与通信保密, 2011(7):26-27.