本文摘要:在电子信息急剧膨胀的网络世界里,使合法用户能够在不知不觉中,信息得到有效的管理和保护,该技术在不增加用户成本投入及性能消耗的基础上,以透明加解密为核心,解决信息集中存储,访问控制等一系列安全管理问题,于无声处保护用户的信息安全。
在电子信息急剧膨胀的网络世界里,使合法用户能够在不知不觉中,信息得到有效的管理和保护,该技术在不增加用户成本投入及性能消耗的基础上,以透明加解密为核心,解决信息集中存储,访问控制等一系列安全管理问题,于无声处保护用户的信息安全。
《电子技术与软件工程》(半月刊)创刊于2012年,由中国电子学会主办。《电子技术与软件工程》旨在全方位推广信息时代下电气、电力、电工科学意识;关注电子各专业技术以及最新科研成果和进展;介绍软件工程、科技、信息技术在社会各领域的应用,关注科技传播与公民科学文化素质的提升。
摘 要:随着企业电子信息的急剧膨胀,各种数据为企业创造着不菲价值的同时,其安全问题也迫在眉睫,存储、管理、控制、防泄密等成为电子信息流转中的一道道门槛,为了实现安全、使用、管理电子信息,需要采取一系列的管控技术,如安全创建、访问权限、存储、使用及交换等全生命周期的全面控制管理。当前电子信息加密集中管理的主流技术包括透明加解密、用户身份认证、集中加密存储、权限控制、审批流转、统计审计分析等,可实现电子信息集中管控的长治久安。
关键词:电子信息 透明加解密 虚拟磁盘技术
在网络相关业务和应用爆炸式发展的今天,随着速度越来越快的信息流转,电子信息在现代社会信息资源中被广泛应用,电子信息易复制,易修改,现代企业在长期的应用中,积累的电子信息数据存储量大,操作模式自由,传播途径广泛,存储分散,后期追溯性差,管理者无法进行统一管理,这种无序的状况有可能造成核心资料的遗失、泄露,也为企业信息安全埋下隐患。随着存储成本的一降再降、以及分析技术的不断进步,数据挖掘成为可能,推动大数据产生巨大价值,使安全体系可以识别更具隐蔽性的攻击、入侵和违规。电子信息集中管控能有效地保护电子信息在全生命周期内的安全、完整、可使用和不泄密。在管理方式上,采用数据透明加解密防护、分组分级授权,外加身份认证,审批,流转,审计等方法,实现电子信息的全面管控。
1 、电子信息所面临的六大挑战
电子网络时代用户所有的设备都内置了智能芯片和操作系统,而成为智能终端,伴随企业信息的安全面临六大挑战。第一,随着各种电子设备“接入点”的不断增多,传统的安全防护已经不能胜任;第二,互联网、云计算是所有企业转型和升级的必然;第三,透明人时代到来,用户隐私安全更受到关注;第四,智能设备,等于更多的远程控制的安全问题;第五,大数据的安全一旦被攻破,其后果损失不堪设想;第六,云时代的到来,机器会产生自我意识,通过云实现的设计、制造和自主行为,后果将是可怕的威胁。
因而业界认为的大数据安全3个原则,首先是,用户信息的安全,必须明确信息的所有权;其次,安全传输,安全存储,是企业的责任,必须提升企业自身安全防护水平;再次,使用用户的信息,要让用户有知情权选择权,平等交换、授权使用。
2 、信息安全关键技术
2.1 虚拟磁盘技术
在系统中创建一个或多个虚拟的磁盘。虚拟磁盘和真实磁盘上的电子信息一一对应,通过读写信息中相应偏移量的数据来读写虚拟磁盘扇区。对所有数据在保存前经过高强度加密,密钥由用户自主加密。但为了防止用户密钥丢失,要提供紧急恢复功能,且只有管理员可以使用系统惟一的USB-KEY来恢复数据。通过虚拟磁盘技术集中存储,采用磁盘加密,形成虚拟安全工作区,用户信息本身就具有了一定的安全性。
2.2 基于透明加解密的涉密电子信息集中存储技术
实际应用中虚拟磁盘存储技术还存在一些缺陷:如:未能保证电子信息的安全;也无法对电子信息进行细粒度的权限控制;缺乏完整的电子信息安全解决方案。针对以上问题,集中存储电子信息还需加强管控:用户身份管理,集中加密存储,权限控制,审批流转,自动备份,信息外发管理及强大日志审计分析。
(1)用户身份管理。加强终端使用者的身份认证,包括用户访问授权、口令认证,UKEY双因子认证等不同的认证强度,来确保终端使用者的身份,并且可以与AD域账户同步管理,通过对用户身份的规范化管理,从而系统的管理终端使用者对计算机外设、网络及敏感数据的使用权限,开放式的数字认证接口,设置不同要求的保密安全级别。
(2)信息集中加密存储。在终端的本地计算机中,不存储任何形式的文件信息,所有信息均自动加密并集中保存至文件服务器中管理。存储到服务器中的信息,使用CBC(密码分组链接)模式外加扩散器算法进行加解密,该算法使得改变一个扇区中任何一个字节数据,都完全重写整个扇区的密文,有效抵抗“明文攻击”等破解手段。同时,加密策略(算法、密钥和加密文件的指定)内置在透明加密技术平台中,由系统管理员统一集中管理,文件操作者无权获取或更改。透明加解密具有强制性和透明性的特征:
①强制性:所谓透明加密的实质就是人为的强制加密。其一,认为需要保密的信息,一律加密,加密与否取决于信息本身的内容,于信息始作者性质无关,于操作者的责任心和保密意识无关;其二,经过加密的信息只有授权条件中才能打开使用,否则,信息以密文的形式打开。任何无权限的人无法有意或无意泄露机密信息。
②透明性:所谓透明加解密即是指系统在后台自动执行操作,用户身份确认后无需参与,与无密操作无任何差别。透明化功能的具体实现过程只在内存中进行,合法用户使用时毋须对信息进行解密,系统对来访进行策略判断,自动对信息进行操作。所有这些过程都是在内存中进行,信息的合法用户是感觉不出这些过程的,所以对合法用户来讲是“透明”的。例如,策略要求对Word文档强制加密,那么用户只要将信息存入加密磁盘介质,信息就一定是加密的;当合法用户从磁盘上读出信息进行编辑时,信息自动地被解密,以便其正常操作。
(3)用户权限控制。根据分组、角色、用户或IP等对用户进行身份管理,设置权限,对所有文件服务器中存储的信息,均进行细粒度的权限管理。只有被允许的用户,才能获得明文数据,否则,拒绝服务。同时,可以对某些用户设置特殊访问权限,使其可以访问某些或所有用户的加密信息。同时,系统对各用户权限可以进行控制,包括访问口令是否可修改、使用次数限制、使用范围控制、使用时间间隔、动态打印模式等,对已经分配权限的电子信息,其使用权限也可以进行动态调整。
(4)公文审批流转。集中存储的电子信息均受控于权限。用户操作权限范围内信息。如需访问范围外信息,提出申请通过审批工作流,对信息进行主动授权,同时指定具体的使用权限(只读、允许修改、允许打印模式、使用期限,是否记录使用日志等), 通过在线审批或离线申请来完成实现信息的安全流转。
(5)统计审计分析。是整个电子信息安全体系中是重要的一环,通过对用户的身份进行识别,管理用户的所有操作行为,根据用户的权限,进行访问控制、安全审计,日志审计是信息安全建设中最后也是最重要的步骤,如用户通过身份认证后访问文件服务器的行为,公文审批的流程,公文审批流转管理,均有日志记录,便于统计分析。同时,对于核心信息的流转过程,用户对该信息进行了哪些操作,系统均可追踪。
(6)环境隔离。对集中管控的电子信息软件使用智能文件重定向技术,结合虚拟磁盘和信息访问控制技术,进行安全环境与普通环境下的信息隔离。安全环境内的应用程序无权对普通环境下的数据执行写操作。同时,普通环境中的应用程序绝对禁止访问虚拟磁盘。保证安全环境和普通环境的电子信息隔离(即安全环境下的数据是“只进不出”的),智能文件重定向技术能保证不影响两种环境中应用程序的正常使用。
转载请注明来自发表学术论文网:http://www.fbxslw.com/dzlw/8191.html