一.引言 强制性的信息安全架构(uniLink):将网络划分为资源网与用户网,通过资源网来定义用户终端的功能,使得用户终端变瘦,把认证过程变简单和严格,即可实现一种强制性的信息安全架构。再结合其它安全技术,实现了适用于特定场合的信息安全系统。uniLink具有与操作系统无关、与应用无关、终端无痕迹、全生命周期安全防护、摘不掉绕不过的强制性五大特点。
那么,基于这样的网络架构如何在政府企业现有网络中体现它的好处呢?结合政府部门和大多数企业在使用过程中存在的问题共性,在uniLink上生成了一系列的防泄露应用系统,其中“双洲防泄露文档管理系统(Z2-FMS)”尤为突出。下文将详细介绍双洲防泄露文档管理系统。
二.Z2-FMS与传统文档管理产品的区别
双洲防泄露文档管理系统在实际应用中,该防泄露文档管理系统与传统的文档管理系统最大的区别在于:
1.采用资源集中方式将应用和内容集中保护,做到用户终端使用无痕迹;
2.采用安全方式防泄露,而不是基于存储加密;
3.身份验证后的全过程身份跟踪;
4.细颗粒度的权限控制、行为审计;
5.“动态目录”技术可实现对文档更为灵活的组织和管理,方便交流共享;
6.继承了uniLink架构的多种强制安全机制;
7.使用用户原有的文档处理软件,不限定格式。保留用户操作习惯
三.现状分析:
实践证明,长期形成的保密制度对于纸制文档保护是非常成功的,在电子文档出现之前,泄密事件是很少的。经过分析,发现纸质文档的防护策略有以下四个特点:
第一, 文档属性约束操作人员的行为:如绝密文件不能复印。
第二, 文档有确切的存储地点或容器:例如保密室。
第三,相同文档有确切的印刷或打印数量:例如印数控制。
第四、严格的文档发文和收文手续:例如签收,每个文件出处去处都非常明确。
这个制度在纸质文档时代非常有效,但延续到电子时代就失效了。我们是否可以借鉴纸质文档保护的思路来保护电子文档呢?
四.设计思路:
按照这样的思路,我们的系统设计思路如下:
1、根据文档属性和授权限定操作人员的行为;
2、将文档集中管理,用户终端与文档本身隔离,不能接触电子文档的原件;
3、策略不受限于具体的网络环境、操作系统,无论是在政府,还是在党务系统,都应是一样的;
4、对文档从生成,到存储、编辑直至销毁的整个过程进行防护。这一点尤为重要,因为经复制的电子文档,与原始文档并无差异。
如果上述设想能够实现,将原来用于纸质文档保护的有效策略用于对电子文档的防护也应将同样有效。那么,对电子文档的保护基本可以达到与纸质文档保护一样的效果。
五.解决方案
按照这个思路,我们设计了一个结构,如下图所示。
这个结构由六个环节构成,就是为了模仿纸质文档防护策略中的环境。文档保存在最里面的一层,存储和操作系统及形式无关,可以放在数据库里面,也可以放在一个文件里面,经过专门的一致性的内容接口(Z2-CIFS)来处理,实现密态存储或扰码处理。对整个的系统做独立权限的管理,提供虚拟目录映射,为标准软件提供帮助。因为软件多种多样,并且不断发展的,我们不应该限制软件工具的使用。通过Z2-FMS这一层,实现了系统的普适性,适应电子文档的发展。
为了不让用户接触到文件,结构中有一个隔离装置,这个隔离装置是独立存在的,把标准的操作隔离掉,只是传输允许通行的信息。在终端只是显示信息的影像,终端发出的指令,也就是鼠标和键盘控制信息,经过这个特殊制定的通道,一层层到达文档区,进行具体处理。
这样一种策略,双洲是在一个网络架构上实现的,如下图所示:
架构特点:
整体性:物理安全与逻辑安全相结合,面向所保护的对象进行了整体性保护,尽量减少了与其它网络、计算要素的依赖;
独立性:与操作系统无关,与第三方应用无关,与其它网络、计算要素无关。可移植,为安全管理增添了新的手段;
可用性:应用可无缝接入,应用可集中发布,安全是强制的,尽量保护用户的操作习惯;
全生命周期:能对所保护的对象,操作以及结果等进行全生命周期管理;
顽健性:系统具有良好的风险检测、恢复功能;
自有知识产权;
系统的安全措施融入在每个部分,每个功能,用户无法绕过和摘除,离开这个环境就无法工作。
围绕这个架构思路,我们研制了双洲防泄露文档管理系统,如下图所示。
这个系统是在前边的强制性安全架构的安全策略基础上实现。基于这种结构,用户端拿不走文档,用户看到的只是文档的一个影像,而且不影响对文档的正常操作;可以保留原来的操作习惯,不限定文件格式,不限定编辑软件类型;用户终端没有文档的任何痕迹。
六.防护效果
双洲放泄露文档管理系统的防护效果有以下四个特点:
终端无痕迹
编辑软件和文档存储都在服务器上,编辑过程也在服务器上进行,用户可以看,可以正常操作,但终端无痕迹,无泄露。用户在其业务网络内漫游移动办公,都不必携带实际的文档、数据及相应处理软件,只需连接到系统,在线处理文档。避免了因为携带移动存储介质丢失、被窃等造成的数据泄露,也不担心这个文件会遗留在终端上。
摘不掉的强制性
系统的安全机制嵌入到每个功能,在不影响系统好用性基础上实现功能的强制性,用户并不会特别感觉到控制措施的存在;用户所用到的功能由资源网定义和生成,系统安全机制与系统功能融为一体,用户无法改变,更无法绕过;每个用户只能使用那些用于完成必须的任务所需的功能;完成系统功能所用的应用工具,也统一部署在服务器,可以有效保障其来源的可靠性、安装的正确性、运行的可控性及运行结果的可审计性。
与应用系统无关、与操作系统无关性
用户权限采用独立的管理体系,不采用具体某一个操作系统的用户管理机制;对集中管理的文件和数据,其存储、管理颗粒度,与操作系统和存储形式无关;与操作系统的无关性,也使得不必受限于操作系统的各种升级和变化,保护了本身功能和管理机制的整体性,具有良好的可移植性和可持续性;最终实现一个与操作系统无关的安全架构,部署更为灵活,可覆盖更广范围。
全生命周期保护
资源服务器内集中了数据内容以及相关的应用软件,对数据的操作完全在资源服务器内完成;数据从产生到销毁的全生命周期,均在封闭的环境内进行,保证信息无泄露;数据非明文存储对用户整个防护过程的完备性起到了很好的作用,特别是系统管理员的窥视就得以控制。
七.总结
建立一种“强制性的安全架构”,这种架构在不影响系统好用性的前提下,具有安全机制无法绕过、功能强制、与操作系统无关以及与应用无关等特性。
基于“强制性安全架构”的安全机制实现的防泄露文档管理系统,具有“看改打印可控制,能看能改拿不走,谁看谁改有记录”的特点,从架构上实现了对电子文档的全生命周期保护。
其它相关产品:
双洲防泄露终端设计应用管理系统Z2-DMS
双洲集中隔离上网管理系统Z2-IMS
双洲电子信息收发管理系统Z2-PMS
双洲资源远程监管系统Z2-RMS
八.展望
在这样一个自主创新的信息安全架构之上,我们正在研究一种跨地域、由多个资源管理系统,结合PKI/PMI系统形成的、大的(广域的)安全体系架构,在整个体系内完成了一致性的身份
