李瑞萍

摘 要：隨著企業(yè)電子信息的急劇膨脹，各種數(shù)據(jù)為企業(yè)創(chuàng)造著不菲價(jià)值的同時(shí)，其安全問題也迫在眉睫，存儲(chǔ)、管理、控制、防泄密等成為電子信息流轉(zhuǎn)中的一道道門檻，為了實(shí)現(xiàn)安全、使用、管理電子信息，需要采取一系列的管控技術(shù)，如安全創(chuàng)建、訪問權(quán)限、存儲(chǔ)、使用及交換等全生命周期的全面控制管理。當(dāng)前電子信息加密集中管理的主流技術(shù)包括透明加解密、用戶身份認(rèn)證、集中加密存儲(chǔ)、權(quán)限控制、審批流轉(zhuǎn)、統(tǒng)計(jì)審計(jì)分析等，可實(shí)現(xiàn)電子信息集中管控的長(zhǎng)治久安。

關(guān)鍵詞：電子信息 透明加解密 虛擬磁盤技術(shù)

中圖分類號(hào)：D63 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-098X（2015）11（a）-0029-02

在網(wǎng)絡(luò)相關(guān)業(yè)務(wù)和應(yīng)用爆炸式發(fā)展的今天，隨著速度越來越快的信息流轉(zhuǎn)，電子信息在現(xiàn)代社會(huì)信息資源中被廣泛應(yīng)用，電子信息易復(fù)制，易修改，現(xiàn)代企業(yè)在長(zhǎng)期的應(yīng)用中，積累的電子信息數(shù)據(jù)存儲(chǔ)量大，操作模式自由，傳播途徑廣泛，存儲(chǔ)分散，后期追溯性差，管理者無法進(jìn)行統(tǒng)一管理，這種無序的狀況有可能造成核心資料的遺失、泄露，也為企業(yè)信息安全埋下隱患。隨著存儲(chǔ)成本的一降再降、以及分析技術(shù)的不斷進(jìn)步，數(shù)據(jù)挖掘成為可能，推動(dòng)大數(shù)據(jù)產(chǎn)生巨大價(jià)值，使安全體系可以識(shí)別更具隱蔽性的攻擊、入侵和違規(guī)。電子信息集中管控能有效地保護(hù)電子信息在全生命周期內(nèi)的安全、完整、可使用和不泄密。在管理方式上，采用數(shù)據(jù)透明加解密防護(hù)、分組分級(jí)授權(quán)，外加身份認(rèn)證，審批，流轉(zhuǎn)，審計(jì)等方法，實(shí)現(xiàn)電子信息的全面管控。

1 電子信息所面臨的六大挑戰(zhàn)

電子網(wǎng)絡(luò)時(shí)代用戶所有的設(shè)備都內(nèi)置了智能芯片和操作系統(tǒng)，而成為智能終端，伴隨企業(yè)信息的安全面臨六大挑戰(zhàn)。第一，隨著各種電子設(shè)備“接入點(diǎn)”的不斷增多，傳統(tǒng)的安全防護(hù)已經(jīng)不能勝任；第二，互聯(lián)網(wǎng)、云計(jì)算是所有企業(yè)轉(zhuǎn)型和升級(jí)的必然；第三，透明人時(shí)代到來，用戶隱私安全更受到關(guān)注；第四，智能設(shè)備，等于更多的遠(yuǎn)程控制的安全問題；第五，大數(shù)據(jù)的安全一旦被攻破，其后果損失不堪設(shè)想；第六，云時(shí)代的到來，機(jī)器會(huì)產(chǎn)生自我意識(shí)，通過云實(shí)現(xiàn)的設(shè)計(jì)、制造和自主行為，后果將是可怕的威脅。

因而業(yè)界認(rèn)為的大數(shù)據(jù)安全3個(gè)原則，首先是，用戶信息的安全，必須明確信息的所有權(quán)；其次，安全傳輸，安全存儲(chǔ)，是企業(yè)的責(zé)任，必須提升企業(yè)自身安全防護(hù)水平；再次，使用用戶的信息，要讓用戶有知情權(quán)選擇權(quán)，平等交換、授權(quán)使用。

2 信息安全關(guān)鍵技術(shù)

2.1 虛擬磁盤技術(shù)

在系統(tǒng)中創(chuàng)建一個(gè)或多個(gè)虛擬的磁盤。虛擬磁盤和真實(shí)磁盤上的電子信息一一對(duì)應(yīng)，通過讀寫信息中相應(yīng)偏移量的數(shù)據(jù)來讀寫虛擬磁盤扇區(qū)。對(duì)所有數(shù)據(jù)在保存前經(jīng)過高強(qiáng)度加密，密鑰由用戶自主加密。但為了防止用戶密鑰丟失，要提供緊急恢復(fù)功能，且只有管理員可以使用系統(tǒng)惟一的USB-KEY來恢復(fù)數(shù)據(jù)。通過虛擬磁盤技術(shù)集中存儲(chǔ)，采用磁盤加密，形成虛擬安全工作區(qū)，用戶信息本身就具有了一定的安全性。

2.2 基于透明加解密的涉密電子信息集中存儲(chǔ)技術(shù)

實(shí)際應(yīng)用中虛擬磁盤存儲(chǔ)技術(shù)還存在一些缺陷：如：未能保證電子信息的安全；也無法對(duì)電子信息進(jìn)行細(xì)粒度的權(quán)限控制；缺乏完整的電子信息安全解決方案。針對(duì)以上問題，集中存儲(chǔ)電子信息還需加強(qiáng)管控：用戶身份管理，集中加密存儲(chǔ)，權(quán)限控制，審批流轉(zhuǎn)，自動(dòng)備份，信息外發(fā)管理及強(qiáng)大日志審計(jì)分析。

（1）用戶身份管理。加強(qiáng)終端使用者的身份認(rèn)證，包括用戶訪問授權(quán)、口令認(rèn)證，UKEY雙因子認(rèn)證等不同的認(rèn)證強(qiáng)度，來確保終端使用者的身份，并且可以與AD域賬戶同步管理，通過對(duì)用戶身份的規(guī)范化管理，從而系統(tǒng)的管理終端使用者對(duì)計(jì)算機(jī)外設(shè)、網(wǎng)絡(luò)及敏感數(shù)據(jù)的使用權(quán)限，開放式的數(shù)字認(rèn)證接口，設(shè)置不同要求的保密安全級(jí)別。

（2）信息集中加密存儲(chǔ)。在終端的本地計(jì)算機(jī)中，不存儲(chǔ)任何形式的文件信息，所有信息均自動(dòng)加密并集中保存至文件服務(wù)器中管理。存儲(chǔ)到服務(wù)器中的信息，使用CBC（密碼分組鏈接）模式外加擴(kuò)散器算法進(jìn)行加解密，該算法使得改變一個(gè)扇區(qū)中任何一個(gè)字節(jié)數(shù)據(jù)，都完全重寫整個(gè)扇區(qū)的密文，有效抵抗“明文攻擊”等破解手段。同時(shí)，加密策略（算法、密鑰和加密文件的指定）內(nèi)置在透明加密技術(shù)平臺(tái)中，由系統(tǒng)管理員統(tǒng)一集中管理，文件操作者無權(quán)獲取或更改。透明加解密具有強(qiáng)制性和透明性的特征：

①強(qiáng)制性：所謂透明加密的實(shí)質(zhì)就是人為的強(qiáng)制加密。其一，認(rèn)為需要保密的信息，一律加密，加密與否取決于信息本身的內(nèi)容，于信息始作者性質(zhì)無關(guān)，于操作者的責(zé)任心和保密意識(shí)無關(guān)；其二，經(jīng)過加密的信息只有授權(quán)條件中才能打開使用，否則，信息以密文的形式打開。任何無權(quán)限的人無法有意或無意泄露機(jī)密信息。

②透明性：所謂透明加解密即是指系統(tǒng)在后臺(tái)自動(dòng)執(zhí)行操作，用戶身份確認(rèn)后無需參與，與無密操作無任何差別。透明化功能的具體實(shí)現(xiàn)過程只在內(nèi)存中進(jìn)行，合法用戶使用時(shí)毋須對(duì)信息進(jìn)行解密，系統(tǒng)對(duì)來訪進(jìn)行策略判斷，自動(dòng)對(duì)信息進(jìn)行操作。所有這些過程都是在內(nèi)存中進(jìn)行，信息的合法用戶是感覺不出這些過程的，所以對(duì)合法用戶來講是“透明”的。例如，策略要求對(duì)Word文檔強(qiáng)制加密，那么用戶只要將信息存入加密磁盤介質(zhì)，信息就一定是加密的；當(dāng)合法用戶從磁盤上讀出信息進(jìn)行編輯時(shí)，信息自動(dòng)地被解密，以便其正常操作。

（3）用戶權(quán)限控制。根據(jù)分組、角色、用戶或IP等對(duì)用戶進(jìn)行身份管理，設(shè)置權(quán)限，對(duì)所有文件服務(wù)器中存儲(chǔ)的信息，均進(jìn)行細(xì)粒度的權(quán)限管理。只有被允許的用戶，才能獲得明文數(shù)據(jù)，否則，拒絕服務(wù)。同時(shí)，可以對(duì)某些用戶設(shè)置特殊訪問權(quán)限，使其可以訪問某些或所有用戶的加密信息。同時(shí)，系統(tǒng)對(duì)各用戶權(quán)限可以進(jìn)行控制，包括訪問口令是否可修改、使用次數(shù)限制、使用范圍控制、使用時(shí)間間隔、動(dòng)態(tài)打印模式等，對(duì)已經(jīng)分配權(quán)限的電子信息，其使用權(quán)限也可以進(jìn)行動(dòng)態(tài)調(diào)整。

（4）公文審批流轉(zhuǎn)。集中存儲(chǔ)的電子信息均受控于權(quán)限。用戶操作權(quán)限范圍內(nèi)信息。如需訪問范圍外信息，提出申請(qǐng)通過審批工作流，對(duì)信息進(jìn)行主動(dòng)授權(quán)，同時(shí)指定具體的使用權(quán)限（只讀、允許修改、允許打印模式、使用期限，是否記錄使用日志等）， 通過在線審批或離線申請(qǐng)來完成實(shí)現(xiàn)信息的安全流轉(zhuǎn)。

（5）統(tǒng)計(jì)審計(jì)分析。是整個(gè)電子信息安全體系中是重要的一環(huán)，通過對(duì)用戶的身份進(jìn)行識(shí)別，管理用戶的所有操作行為，根據(jù)用戶的權(quán)限，進(jìn)行訪問控制、安全審計(jì)，日志審計(jì)是信息安全建設(shè)中最后也是最重要的步驟，如用戶通過身份認(rèn)證后訪問文件服務(wù)器的行為，公文審批的流程，公文審批流轉(zhuǎn)管理，均有日志記錄，便于統(tǒng)計(jì)分析。同時(shí)，對(duì)于核心信息的流轉(zhuǎn)過程，用戶對(duì)該信息進(jìn)行了哪些操作，系統(tǒng)均可追蹤。

（6）環(huán)境隔離。對(duì)集中管控的電子信息軟件使用智能文件重定向技術(shù)，結(jié)合虛擬磁盤和信息訪問控制技術(shù)，進(jìn)行安全環(huán)境與普通環(huán)境下的信息隔離。安全環(huán)境內(nèi)的應(yīng)用程序無權(quán)對(duì)普通環(huán)境下的數(shù)據(jù)執(zhí)行寫操作。同時(shí)，普通環(huán)境中的應(yīng)用程序絕對(duì)禁止訪問虛擬磁盤。保證安全環(huán)境和普通環(huán)境的電子信息隔離（即安全環(huán)境下的數(shù)據(jù)是“只進(jìn)不出”的），智能文件重定向技術(shù)能保證不影響兩種環(huán)境中應(yīng)用程序的正常使用。

3 結(jié)語

在電子信息急劇膨脹的網(wǎng)絡(luò)世界里，使合法用戶能夠在不知不覺中，信息得到有效的管理和保護(hù)，該技術(shù)在不增加用戶成本投入及性能消耗的基礎(chǔ)上，以透明加解密為核心，解決信息集中存儲(chǔ)，訪問控制等一系列安全管理問題，于無聲處保護(hù)用戶的信息安全。

參考文獻(xiàn)

[1] 陳尚義.透明加解密技術(shù)及其應(yīng)用[J].信息安全與通信保密，2007（11）：75-77.

[2] 張小梅，龍虎，吳福生.大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)信息加密與認(rèn)證研究[J].凱里學(xué)院學(xué)報(bào)，2015（6）：90-92.

[3] 戴玲，彭延國(guó)，彭長(zhǎng)根.大數(shù)據(jù)環(huán)境下的電子檔案信息安全問題及對(duì)策[J].蘭臺(tái)世界，2015（29）：25-26.