王海濤

商用密碼技術(shù)在中央企業(yè)商業(yè)秘密保護(hù)中的應(yīng)用

王海濤

中國電力建設(shè)股份有限公司信息化管理部，北京100048

近年來中央企業(yè)越來越重視商業(yè)秘密，并采取了一系列的措施來保證企業(yè)內(nèi)網(wǎng)的安全。但是中央企業(yè)商業(yè)秘密數(shù)據(jù)泄露事件依然頻發(fā)，歸根結(jié)底是針對商密數(shù)據(jù)本身的保護(hù)不夠。商用密碼技術(shù)是商業(yè)秘密保護(hù)中的關(guān)鍵技術(shù)。本文對中央企業(yè)商密數(shù)據(jù)全生命周期中各個(gè)階段的安全風(fēng)險(xiǎn)進(jìn)行分析，并引入商用密碼技術(shù)來解決這些問題，實(shí)現(xiàn)對商業(yè)秘密數(shù)據(jù)本身的保護(hù)。

中央企業(yè)商業(yè)秘密、商用密碼技術(shù)、全生命周期

0 引言

中央企業(yè)商業(yè)秘密是中央企業(yè)的重要無形資產(chǎn)，是企業(yè)的核心競爭力所在［1－3］。商業(yè)秘密一旦泄露將會對企業(yè)和國家經(jīng)濟(jì)造成巨大的損失。各企業(yè)紛紛加強(qiáng)企業(yè)網(wǎng)絡(luò)安全建設(shè)，在基礎(chǔ)網(wǎng)絡(luò)上加入了防火墻、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)審計(jì)系統(tǒng)、入侵檢測系統(tǒng)、密碼機(jī)等傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備。但是企業(yè)的商業(yè)秘密仍然存在非常嚴(yán)重的泄密風(fēng)險(xiǎn)如文件被隨意拷貝到移動(dòng)設(shè)備上、文件被隨意發(fā)送到外網(wǎng)上、文件被隨意打印等。

商業(yè)秘密泄露事件頻發(fā)歸根結(jié)底是針對商業(yè)秘密數(shù)據(jù)本身的保護(hù)不夠。商用密碼技術(shù)是保護(hù)商業(yè)秘密數(shù)據(jù)的關(guān)鍵技術(shù)，是對傳統(tǒng)的網(wǎng)絡(luò)安全保護(hù)措施的一個(gè)補(bǔ)充。目前將商用密碼技術(shù)應(yīng)用在中央企業(yè)商業(yè)秘密保護(hù)中的研究非常少。本文針對如何在商業(yè)秘密數(shù)據(jù)保護(hù)中應(yīng)用商用密碼技術(shù)進(jìn)行研究。首先對商密數(shù)據(jù)全生命周期各個(gè)階段存在的安全風(fēng)險(xiǎn)進(jìn)行分析，然后選取相應(yīng)的商用密碼技術(shù)去防范這些風(fēng)險(xiǎn)，從而實(shí)現(xiàn)對商密數(shù)據(jù)全生命周期的安全保護(hù)。

1 商用密碼技術(shù)

商用密碼技術(shù)［4，5］是指對不涉及國家秘密內(nèi)容的信息進(jìn)行加密保護(hù)或者安全認(rèn)證使用的密碼技術(shù)。商用密碼技術(shù)中涉及的密碼算法主要有對稱密碼算法、非對稱密碼算法、雜湊算法等。對稱密碼算法又稱單密鑰算法，該算法的加密密鑰和解密密鑰相同，并且這個(gè)密鑰必須保密的。對稱密碼算法又分為分組密碼算法和流密碼算法。非對稱密碼算法有一個(gè)公私鑰對，公鑰是公開的，私鑰由用戶自己保密，該算法既可以用來加密數(shù)據(jù)，也可以對數(shù)據(jù)進(jìn)行簽名。雜湊算法將任意長的輸入消息串轉(zhuǎn)換成固定長度的輸出串，該算法具有單向性即由輸出不能得出輸入，因此該算法不能用來加密數(shù)據(jù)，只能用于數(shù)據(jù)完整性認(rèn)證。

基于這些基礎(chǔ)的密碼算法衍生出一些密碼技術(shù)如數(shù)字簽名、數(shù)字信封機(jī)制、HMAC等等。

數(shù)字簽名技術(shù)是指將消息使用散列算法進(jìn)行散列，然后用私鑰對摘要進(jìn)行加密得到數(shù)字簽名。消息接收方可通過驗(yàn)證簽名來確定消息的完整性以及鑒別消息的來源。數(shù)字信封機(jī)制是用來對信息進(jìn)行安全傳輸?shù)囊环N技術(shù)，該機(jī)制中采用對稱密碼算法對消息進(jìn)行加密，然后用非對稱密碼算法對對稱密鑰進(jìn)行加密。接收方使用自己的私鑰解密對稱密鑰，然后用對稱密鑰解密消息。HMAC是用來對消息進(jìn)行完整性認(rèn)證的一種技術(shù)，HMAC是帶密鑰的單向散列算法，只有擁有密鑰的人才對驗(yàn)證HMAC值。

2 商業(yè)秘密全生命周期介紹

商業(yè)秘密數(shù)據(jù)分為結(jié)構(gòu)化和非結(jié)構(gòu)化商密數(shù)據(jù)，非結(jié)構(gòu)化商密數(shù)據(jù)主要以電子文件的形式存在，由于電子文件管控難度較大，存在非常大的泄密風(fēng)險(xiǎn)。本研究指針對非結(jié)構(gòu)化商密數(shù)據(jù)保護(hù)進(jìn)行研究，商業(yè)秘密數(shù)據(jù)應(yīng)該從整個(gè)生命周期角度進(jìn)行安全防護(hù)。商業(yè)秘密的整個(gè)生命周期劃分為形成、流轉(zhuǎn)及應(yīng)用、存儲、脫密及銷毀四個(gè)階段。非結(jié)構(gòu)化商密數(shù)據(jù)形成階段主要包括文件的起草、定密、審核及批準(zhǔn)等，商業(yè)秘密的形成階段主要以密級標(biāo)識的設(shè)定與管理為核心。流轉(zhuǎn)階段包括商密數(shù)據(jù)內(nèi)部網(wǎng)絡(luò)應(yīng)用與外部網(wǎng)絡(luò)傳輸階段，商業(yè)秘密的流轉(zhuǎn)與應(yīng)用階段主要以商密數(shù)據(jù)安全管控為核心。存儲階段主要包括終端存儲、服務(wù)器存儲以及非信息系統(tǒng)存儲，商密數(shù)據(jù)存儲階段主要以商密數(shù)據(jù)保護(hù)為核心。脫密及銷毀階段主要包括信息系統(tǒng)中處理商密數(shù)據(jù)的設(shè)備、存儲介質(zhì)以及商密數(shù)據(jù)本身等進(jìn)行脫密或銷毀。

3 非結(jié)構(gòu)化商密數(shù)據(jù)風(fēng)險(xiǎn)分析

非結(jié)構(gòu)化商密數(shù)據(jù)形成階段的安全風(fēng)險(xiǎn)主要在于文件的起草和定密上。文件的起草是在終端上進(jìn)行，如果文件以明文的方式存放在終端上，非常容易發(fā)生文件泄露以及被隨意篡改事件。文件的定密是指對文件加一個(gè)密級標(biāo)識，一旦定密完成，密級標(biāo)識與文件應(yīng)保證不可分離并且不可隨意篡改，否則將會存在商密文件管理混亂、不可信的問題。

商密數(shù)據(jù)的流轉(zhuǎn)與應(yīng)用階段的安全風(fēng)險(xiǎn)主要有傳輸泄密、傳輸信息被篡改、通信雙發(fā)否認(rèn)通信內(nèi)容等。商密數(shù)據(jù)在內(nèi)部流轉(zhuǎn)時(shí)多以明文的方式進(jìn)行傳輸，很容易被有企圖的人通過黑客技術(shù)獲得，存在泄密的風(fēng)險(xiǎn)。企業(yè)商密數(shù)據(jù)以明文的形式在外部網(wǎng)絡(luò)中傳輸，存在信息被竊取、信息被篡改、通信雙方否認(rèn)通信內(nèi)容的風(fēng)險(xiǎn)，將會給企業(yè)造成重大的經(jīng)濟(jì)損失。商密數(shù)據(jù)的應(yīng)用階段應(yīng)做好訪問控制工作，禁止沒有權(quán)限的人員訪問和操作商密數(shù)據(jù)，防止商密數(shù)據(jù)在應(yīng)用階段的泄密。

商密數(shù)據(jù)的存儲包括終端數(shù)據(jù)存儲和服務(wù)器數(shù)據(jù)存儲兩方面。企業(yè)的終端上存儲了大量的商業(yè)秘密信息，這些信息多以明文方式進(jìn)行存儲，存在非常大的泄密風(fēng)險(xiǎn)。另外存儲在終端上的商密數(shù)據(jù)應(yīng)做好嚴(yán)格的訪問控制，防止非授權(quán)人員獲取商密數(shù)據(jù)。終端上的商密數(shù)據(jù)導(dǎo)出到移動(dòng)存儲介質(zhì)中時(shí)，也應(yīng)防范因移動(dòng)存儲介質(zhì)丟失導(dǎo)致的泄密。企業(yè)服務(wù)器一旦被非法分子入侵，服務(wù)器上的商密數(shù)據(jù)將會被泄露，甚至被惡意篡改、破壞，對企業(yè)造成巨大的損失。

商密數(shù)據(jù)的脫密及銷毀階段主要是商密數(shù)據(jù)解密成為非商密數(shù)據(jù)以及銷毀商密數(shù)據(jù)。該階段存在的安全風(fēng)險(xiǎn)主要是商業(yè)秘密數(shù)據(jù)銷毀不徹底，造成商業(yè)秘密的泄露。

4 商用密碼技術(shù)在商業(yè)秘密保護(hù)中的應(yīng)用

商用密碼技術(shù)是商業(yè)秘密保護(hù)中的關(guān)鍵技術(shù)，在上述的安全風(fēng)險(xiǎn)分析的基礎(chǔ)之上，選擇合適的商用密碼技術(shù)來實(shí)現(xiàn)商密數(shù)據(jù)的全方位的保護(hù)［6－8］。

(1)商用密碼技術(shù)在商業(yè)秘密形成階段的應(yīng)用

在商業(yè)秘密形成階段引入了對稱密碼技術(shù)、HMAC、數(shù)字水印技術(shù)等來解決該階段存在的商業(yè)秘密泄露問題。在文件起草階段為了防止商密文件被非法獲取，使用SM4算法對商密文件進(jìn)行加密。加密之后即便是其他人竊取了商密文件，由于沒有密鑰也無法對數(shù)據(jù)進(jìn)行解密，從而保證了商密數(shù)據(jù)不會泄露。通過使用對稱密碼技術(shù)保證了商密數(shù)據(jù)的機(jī)密性，還應(yīng)保證商密數(shù)據(jù)的完整性。HMAC是保證數(shù)據(jù)完整性常用的一種技術(shù)，選用散列算法SM3來計(jì)算HMAC，通過驗(yàn)證HMAC即可確定商密數(shù)據(jù)是否被篡改。為了保證密級標(biāo)識與商密文件不可分離并且不可篡改，引入了數(shù)字水印技術(shù)。采用數(shù)字水印技術(shù)將密級標(biāo)識直接嵌入到文件中，保證了密級標(biāo)識與商密文件不可分離以及不可篡改。數(shù)字水印技術(shù)中使用了數(shù)字簽名技術(shù)對水印信息進(jìn)行簽名，在該技術(shù)中選用非對稱密碼算法SM2以及散列算法SM3。

(2)商用密碼技術(shù)在商業(yè)秘密流轉(zhuǎn)及應(yīng)用階段的應(yīng)用

在商業(yè)秘密流轉(zhuǎn)及應(yīng)用階段引入了數(shù)字信封機(jī)制、數(shù)字簽名等來解決該階段存在的商業(yè)秘密泄露問題。在商業(yè)秘密傳輸過程中為了防止商業(yè)秘密被竊取，使用數(shù)字信封機(jī)制來保護(hù)信息的機(jī)密性，在該機(jī)制中選用SM2和SM3算法。為了保證傳輸過程中商密數(shù)據(jù)的完整性，使用數(shù)字簽名技術(shù)對商密數(shù)據(jù)進(jìn)行簽名，數(shù)字簽名技術(shù)中選用國密算法SM2和SM3。

(3)商用密碼技術(shù)在商業(yè)秘密存儲的應(yīng)用

在商業(yè)秘密存儲階段主要應(yīng)用對稱密碼技術(shù)、HMAC技術(shù)來解決該階段的泄露問題。商業(yè)秘密存儲在終端和服務(wù)器上，采用SM4算法對數(shù)據(jù)進(jìn)行加密，防止未授權(quán)人竊取機(jī)密信息。為了防止商密數(shù)據(jù)被篡改引入了HMAC技術(shù)，該技術(shù)中選用國密算法SM3。當(dāng)需要將商密數(shù)據(jù)導(dǎo)出到移動(dòng)介質(zhì)中時(shí)，也需要使用SM4算法對數(shù)據(jù)進(jìn)行加密。

(4)商用密碼技術(shù)在商業(yè)秘密脫密及銷毀階段的應(yīng)用

商業(yè)秘密脫密主要是對加密的商密數(shù)據(jù)進(jìn)行解密，去掉密級標(biāo)識，這些數(shù)據(jù)以后不再作為商業(yè)秘密進(jìn)行保護(hù)。商業(yè)秘密銷毀主要是采取一些數(shù)據(jù)擦除技術(shù)對涉密載體進(jìn)行擦除或者直接銷毀涉密載體。

5 結(jié)束語

本文深入研究了商業(yè)秘密全生命周期中各個(gè)階段存在的安全風(fēng)險(xiǎn)，并針對這些安全風(fēng)險(xiǎn)引入相應(yīng)的商用密碼技術(shù)。商用密碼技術(shù)能非常好的解決商密數(shù)據(jù)保護(hù)中的安全問題，未來將在商密數(shù)據(jù)保護(hù)中廣泛應(yīng)用。接下來將繼續(xù)針對商密數(shù)據(jù)保護(hù)進(jìn)行研究，提出一種適用于所有企業(yè)商業(yè)秘密保護(hù)的商用密碼技術(shù)框架。

［1］向超．論國有企業(yè)商業(yè)秘密保護(hù)機(jī)制的完善—以《中央企業(yè)商業(yè)秘密保護(hù)暫行規(guī)定》為分析范本［J］．企業(yè)改革與管理，2015 (1):165－166．

［2］劉巧玲．企業(yè)“商業(yè)秘密”保護(hù)的現(xiàn)狀與對策［J］．武漢冶金管理干部學(xué)院學(xué)報(bào)，2006，16(1):27－29．

［3］王磊．談網(wǎng)絡(luò)時(shí)代的商業(yè)秘密保護(hù)問題［J］．商業(yè)時(shí)代，2010(1):103－104．

［4］郭寶安，尹剛，羅世新．商用密碼基礎(chǔ)設(shè)施的現(xiàn)狀和發(fā)展趨勢［J］．信息安全與通信保密，2009(8):80－83．

［5］王長喜．商用密碼回顧與展望［J］．信息網(wǎng)絡(luò)安全，2010(1):5．

［6］魏曉燕，紀(jì)方．商用密碼在鐵路的應(yīng)用［J］．鐵路計(jì)算機(jī)應(yīng)用，2013，22(8):43－49．

［7］高良謨，丁榮興，潘利華．應(yīng)用商用密碼技術(shù)保護(hù)信息安全［J］．信息技術(shù)，2002(11): 79－89．

［8］郭寶安，尹剛，羅世新．?dāng)?shù)字電視中商用密碼應(yīng)用技術(shù)研究［J］．信息安全與通信保密，2009(6):97－100．

Application of Commercial Cipher Technology in the Protection of Business Secrets of Central Enterprises

Wang Haitao
Department of Information Management，Power Construction Corporation of China，Ltd．，Beijing 100048，China

Recently，central enterprises of China pay more and more attention to business secrets，and take a series of measures to ensure enterprise intranet safety．But the leakage incidents of business secret are still very frequent;in the final analysis we find that the protection of business secret data itself is still not enough．Commercial cipher technology is very important in the protection of business secrets．In this paper，we analyze the security risk of the business secret in the whole life cycle，and introduce the commercial cipher technology to solve these problems．

business secrets of central enterprises;commercial cipher technology;life cycle

F716

A

1672－464X(2016)2－93－04

(責(zé)任編輯:)

王海濤(1972—)男，四川，碩士研究生，高級高級工程師，主要研究方向:企業(yè)信息安全。