電子信息的加密集中管控

　　電子信息隨著電子技術的發展與普及越來越多，數量越來越龐大，尤其一些企業的電子信息，電子信息加密集中管理就十分有必要了，本文主要探討電子信息的加密集中管控。

　　《電子質量》(月刊)創刊于1980年，是由中國電子質量管理協會與工業和信息化部電子第五研究所(中國賽寶實驗室)共同主辦，廣州市巨流信息科技傳媒有限公司承辦的國家一級科技期刊，是中國電子行業唯一的質量權威刊物。

　　隨著企業電子信息的急劇膨脹，各種數據為企業創造著不菲價值的同時，其安全問題也迫在眉睫，存儲、管理、控制、防泄密等成為電子信息流轉中的一道道門檻，為了實現安全、使用、管理電子信息，需要采取一系列的管控技術，如安全創建、訪問權限、存儲、使用及交換等全生命周期的全面控制管理。當前電子信息加密集中管理的主流技術包括透明加解密、用戶身份認證、集中加密存儲、權限控制、審批流轉、統計審計分析等，可實現電子信息集中管控的長治久安。

　　在網絡相關業務和應用爆炸式發展的今天，隨著速度越來越快的信息流轉，電子信息在現代社會信息資源中被廣泛應用，電子信息易復制，易修改，現代企業在長期的應用中，積累的電子信息數據存儲量大，操作模式自由，傳播途徑廣泛，存儲分散，后期追溯性差，管理者無法進行統一管理，這種無序的狀況有可能造成核心資料的遺失、泄露，也為企業信息安全埋下隱患。隨著存儲成本的一降再降、以及分析技術的不斷進步，數據挖掘成為可能，推動大數據產生巨大價值，使安全體系可以識別更具隱蔽性的攻擊、入侵和違規。電子信息集中管控能有效地保護電子信息在全生命周期內的安全、完整、可使用和不泄密。在管理方式上，采用數據透明加解密防護、分組分級授權，外加身份認證，審批，流轉，審計等方法，實現電子信息的全面管控。

　　1 、電子信息所面臨的六大挑戰

　　電子網絡時代用戶所有的設備都內置了智能芯片和操作系統，而成為智能終端，伴隨企業信息的安全面臨六大挑戰。第一，隨著各種電子設備“接入點”的不斷增多，傳統的安全防護已經不能勝任;第二，互聯網、云計算是所有企業轉型和升級的必然;第三，透明人時代到來，用戶隱私安全更受到關注;第四，智能設備，等于更多的遠程控制的安全問題;第五，大數據的安全一旦被攻破，其后果損失不堪設想;第六，云時代的到來，機器會產生自我意識，通過云實現的設計、制造和自主行為，后果將是可怕的威脅。

　　因而業界認為的大數據安全3個原則，首先是，用戶信息的安全，必須明確信息的所有權;其次，安全傳輸，安全存儲，是企業的責任，必須提升企業自身安全防護水平;再次，使用用戶的信息，要讓用戶有知情權選擇權，平等交換、授權使用。

　　2 、信息安全關鍵技術

　　2.1 虛擬磁盤技術

　　在系統中創建一個或多個虛擬的磁盤。虛擬磁盤和真實磁盤上的電子信息一一對應，通過讀寫信息中相應偏移量的數據來讀寫虛擬磁盤扇區。對所有數據在保存前經過高強度加密，密鑰由用戶自主加密。但為了防止用戶密鑰丟失，要提供緊急恢復功能，且只有管理員可以使用系統惟一的USB-KEY來恢復數據。通過虛擬磁盤技術集中存儲，采用磁盤加密，形成虛擬安全工作區，用戶信息本身就具有了一定的安全性。

　　2.2 基于透明加解密的涉密電子信息集中存儲技術

　　實際應用中虛擬磁盤存儲技術還存在一些缺陷：如：未能保證電子信息的安全;也無法對電子信息進行細粒度的權限控制;缺乏完整的電子信息安全解決方案。針對以上問題，集中存儲電子信息還需加強管控：用戶身份管理，集中加密存儲，權限控制，審批流轉，自動備份，信息外發管理及強大日志審計分析。

　　(1)用戶身份管理。加強終端使用者的身份認證，包括用戶訪問授權、口令認證，UKEY雙因子認證等不同的認證強度，來確保終端使用者的身份，并且可以與AD域賬戶同步管理，通過對用戶身份的規范化管理，從而系統的管理終端使用者對計算機外設、網絡及敏感數據的使用權限，開放式的數字認證接口，設置不同要求的保密安全級別。

　　(2)信息集中加密存儲。在終端的本地計算機中，不存儲任何形式的文件信息，所有信息均自動加密并集中保存至文件服務器中管理。存儲到服務器中的信息，使用CBC(密碼分組鏈接)模式外加擴散器算法進行加解密，該算法使得改變一個扇區中任何一個字節數據，都完全重寫整個扇區的密文，有效抵抗“明文攻擊”等破解手段。同時，加密策略(算法、密鑰和加密文件的指定)內置在透明加密技術平臺中，由系統管理員統一集中管理，文件操作者無權獲取或更改。透明加解密具有強制性和透明性的特征：

　　①強制性：所謂透明加密的實質就是人為的強制加密。其一，認為需要保密的信息，一律加密，加密與否取決于信息本身的內容，于信息始作者性質無關，于操作者的責任心和保密意識無關;其二，經過加密的信息只有授權條件中才能打開使用，否則，信息以密文的形式打開。任何無權限的人無法有意或無意泄露機密信息。

　　②透明性：所謂透明加解密即是指系統在后臺自動執行操作，用戶身份確認后無需參與，與無密操作無任何差別。透明化功能的具體實現過程只在內存中進行，合法用戶使用時毋須對信息進行解密，系統對來訪進行策略判斷，自動對信息進行操作。所有這些過程都是在內存中進行，信息的合法用戶是感覺不出這些過程的，所以對合法用戶來講是“透明”的。例如，策略要求對Word文檔強制加密，那么用戶只要將信息存入加密磁盤介質，信息就一定是加密的;當合法用戶從磁盤上讀出信息進行編輯時，信息自動地被解密，以便其正常操作。

　　(3)用戶權限控制。根據分組、角色、用戶或IP等對用戶進行身份管理，設置權限，對所有文件服務器中存儲的信息，均進行細粒度的權限管理。只有被允許的用戶，才能獲得明文數據，否則，拒絕服務。同時，可以對某些用戶設置特殊訪問權限，使其可以訪問某些或所有用戶的加密信息。同時，系統對各用戶權限可以進行控制，包括訪問口令是否可修改、使用次數限制、使用范圍控制、使用時間間隔、動態打印模式等，對已經分配權限的電子信息，其使用權限也可以進行動態調整。

　　(4)公文審批流轉。集中存儲的電子信息均受控于權限。用戶操作權限范圍內信息。如需訪問范圍外信息，提出申請通過審批工作流，對信息進行主動授權，同時指定具體的使用權限(只讀、允許修改、允許打印模式、使用期限，是否記錄使用日志等)， 通過在線審批或離線申請來完成實現信息的安全流轉。

　　(5)統計審計分析。是整個電子信息安全體系中是重要的一環，通過對用戶的身份進行識別，管理用戶的所有操作行為，根據用戶的權限，進行訪問控制、安全審計，日志審計是信息安全建設中最后也是最重要的步驟，如用戶通過身份認證后訪問文件服務器的行為，公文審批的流程，公文審批流轉管理，均有日志記錄，便于統計分析。同時，對于核心信息的流轉過程，用戶對該信息進行了哪些操作，系統均可追蹤。

　　(6)環境隔離。對集中管控的電子信息軟件使用智能文件重定向技術，結合虛擬磁盤和信息訪問控制技術，進行安全環境與普通環境下的信息隔離。安全環境內的應用程序無權對普通環境下的數據執行寫操作。同時，普通環境中的應用程序絕對禁止訪問虛擬磁盤。保證安全環境和普通環境的電子信息隔離(即安全環境下的數據是“只進不出”的)，智能文件重定向技術能保證不影響兩種環境中應用程序的正常使用。

　　3 、結語

　　在電子信息急劇膨脹的網絡世界里，使合法用戶能夠在不知不覺中，信息得到有效的管理和保護，該技術在不增加用戶成本投入及性能消耗的基礎上，以透明加解密為核心，解決信息集中存儲，訪問控制等一系列安全管理問題，于無聲處保護用戶的信息安全。