SecureDOC電子文檔安全技術(shù)方案

1、電子文檔安全技術(shù)方案 SecureDOC 為電子文檔安全保駕護(hù)航1. 概述1.1 系統(tǒng)現(xiàn)狀XX 部委日常辦公進(jìn)行公文流轉(zhuǎn)時，全部采用的都是紙質(zhì)文檔，造成工作處 理較慢，不利于提高工作效率。同時，又因為工作性質(zhì)的關(guān)系，紙質(zhì)文檔如果以 電子形式進(jìn)行傳輸和存儲，其安全性必須得到保證，防止機(jī)密數(shù)據(jù)信息的外泄。 這樣，如何安全地進(jìn)行公文數(shù)據(jù)信息傳遞和交換成為 XX 部委關(guān)心的一個問題1.2 系統(tǒng)需求及目標(biāo)XX 部委為了達(dá)到公文安全傳輸?shù)哪康?，需要從以下幾方面進(jìn)行保護(hù)：1. 電子文檔加密XX 部委的公文在電子形式下必須加密，在文檔的傳輸環(huán)節(jié)、存儲環(huán)節(jié)、應(yīng) 用環(huán)節(jié)和共享環(huán)節(jié)都以密文形式存在。2. 細(xì)粒度的權(quán)

2、限控制XX 部委的公文可以進(jìn)行權(quán)限管理，根據(jù)使用者的不同權(quán)限，公文可以呈現(xiàn) 不同的權(quán)限。3. 公文打印限制XX 部委的電子公文可以打印成紙質(zhì)資料，但打印權(quán)限將受到嚴(yán)格控制，即 使是授權(quán)用戶也不能隨意打印，打印次數(shù)將會有限制。4. 使用追蹤XX 部委的電子公文在使用中可以進(jìn)行實時監(jiān)控，任何對公文的操作都將被記錄，供日后審計追蹤使用2.方案詳述2.1系統(tǒng)總體結(jié)構(gòu)時代億信采用SecureDOC文檔安全管理系統(tǒng)構(gòu)建XX部委公文安全系統(tǒng)系統(tǒng)的體系架構(gòu)圖如下:請求密鑰客戶端操作返回密鑰返回身份 認(rèn)證結(jié)果存儲密鑰、 權(quán)限等信息請求身份認(rèn)證身份認(rèn)證 服務(wù)器文檔安全服務(wù)器獲取密鑰、 權(quán)限信息離線管理 身份認(rèn)證

3、安全策略執(zhí)行 用戶登錄管理文檔加密文檔解密SecureDOC文檔安全管理系統(tǒng)功能結(jié)構(gòu)圖:記錄操作日志 文件共享和權(quán)限設(shè)置 自動切換在線、離線 模式/ 文檔權(quán)限管理文件日志記錄文檔密鑰管理管理日志記錄安全策略設(shè)置和發(fā)放文件日志查詢用戶、用戶組管理管理日志查詢 丿_丿文檔 安全 服務(wù)器授權(quán)服務(wù) 登錄服務(wù) 離線服務(wù)用戶身份認(rèn)證存儲用戶和用戶組信息文件的密鑰管理一 丿智能卡密鑰存儲用戶的數(shù)字證書和私鑰用戶身份唯一標(biāo)存儲密鑰信息 存儲權(quán)限信息 存儲文件信息2.2 工作原理時代億信 SecureDOC 文檔安全管理系統(tǒng)所倡導(dǎo)的設(shè)計理念并不是限制文件 的傳播形式和渠道，而只是限制文件的使用， 這是文件保護(hù)的

4、根本所在。 它以數(shù) 據(jù)為中心，所有重要密鑰、權(quán)限、文件屬性等相應(yīng)數(shù)據(jù)都存儲在數(shù)據(jù)庫中，所有 文件均以加密形式存放， 所有數(shù)據(jù)通訊均使用加密通信協(xié)議， 從而徹底保證數(shù)據(jù) 安全。另外，加密文件本身不存儲權(quán)限信息和文檔屬性信息， 而是存放于在數(shù)據(jù)庫 中，用戶只有在線訪問文檔安全服務(wù)器并通過認(rèn)證后才可以獲得相應(yīng)授權(quán)文檔信 息，并根據(jù)權(quán)限信息對文檔進(jìn)行使用。 SecureDOC 把所有網(wǎng)絡(luò)都看作是一個不 安全的應(yīng)用環(huán)境， 全面加以保護(hù)，文件無論發(fā)送到何地均受到嚴(yán)格保護(hù)。文件的 使用權(quán)限及期限由作者來定義， 并可以隨時更改。 這種設(shè)計保證文檔作者隨時隨 地更改或撤銷已發(fā)出的文件權(quán)限，同時又保證合法用戶靈活

5、使用。簡而言之， 用 戶拿到的只是一個加密文件，他的使用權(quán)限隨時隨地都受到發(fā)布者的控制。2.3 工作流程（1）用戶通過客戶端軟件或管理界面加密文件， 把文件密鑰上傳給服務(wù)器， 同時文件作者可以對其他用戶打印，閱讀，保存，有效時間等權(quán)限進(jìn)行授權(quán)。（2）其他用戶可以通過共享文件夾、文檔安全客戶端或文檔服務(wù)器查找文 件。（3）其他用戶通過身份認(rèn)證之后，可按權(quán)限使用文件。2.4 主要功能2.4.1 可靠的身份認(rèn)證身份認(rèn)證是整個信息安全體系的基礎(chǔ)。 USB 智能卡身份認(rèn)證方式充分結(jié)合了 挑戰(zhàn) -響應(yīng)機(jī)制和數(shù)字證書加密、數(shù)字簽名機(jī)制，增強(qiáng)了認(rèn)證信息的隨機(jī)性、保 密性、真實性，有效地防止了認(rèn)證過程中的機(jī)密信

6、息泄露、竊聽和重放攻擊，保 證了身份認(rèn)證的高度安全性和可靠性。挑戰(zhàn)-響應(yīng)機(jī)制客戶端在發(fā)起認(rèn)證請求時，服務(wù)器端首先產(chǎn)生并返回一個隨機(jī)數(shù)（挑戰(zhàn)）； 客戶端在提交認(rèn)證請求時，將數(shù)字簽名后的隨機(jī)數(shù)發(fā)送到服務(wù)器端（響應(yīng)），由 服務(wù)器端比較本地的隨機(jī)數(shù)和收到的隨機(jī)數(shù)， 以校驗認(rèn)證請求的有效性， 從而有 效防止截獲和重放攻擊。數(shù)字證書加密機(jī)制 客戶端提交的認(rèn)證請求均由服務(wù)器端返回的服務(wù)器證書進(jìn)行數(shù)字信封加密 處理，只有相應(yīng)的服務(wù)器私鑰才能解密。 如果認(rèn)證請求中含有機(jī)密信息， 則截獲 加密的認(rèn)證請求將毫無意義，從而確保了機(jī)密信息的保密性。數(shù)字簽名機(jī)制 客戶端提交的認(rèn)證請求， 均由客戶端瀏覽器認(rèn)證組件調(diào)用智能密

7、鑰進(jìn)行簽名 處理。USB智能卡隨身攜帶，其中的私鑰不可復(fù)制，保證了私鑰的唯一性，由于 數(shù)字簽名不可偽造和篡改， 服務(wù)器端通過校驗客戶端用戶證書和數(shù)字簽名的有效 性，并結(jié)合認(rèn)證數(shù)據(jù)庫鑒別用戶身份，從而保證了用戶身份的真實準(zhǔn)確。通過讓用戶采用USB智能卡的認(rèn)證方式登錄，在企業(yè)內(nèi)部部署認(rèn)證服務(wù)器， 有效提高整體方案的安全性。用戶以 USB智能卡方式登錄，先經(jīng)過認(rèn)證服務(wù)器 確定用戶身份。當(dāng)認(rèn)證服務(wù)器認(rèn)證通過以后， 將用戶信息通知到文檔安全客戶端， 用戶可以按照相應(yīng)權(quán)限進(jìn)行操作。當(dāng)用戶對機(jī)密文檔操作時，在線通過自動的 USB智能卡身份驗證獲取該用戶的使用權(quán)限，保證了文檔的安全使用。2.4.2 文檔自動加

8、解密與身份認(rèn)證一樣，電子文檔的加解密同樣也是實現(xiàn)體系安全的基礎(chǔ)。 SecureDOC 文檔安全管理系統(tǒng)采用業(yè)界領(lǐng)先的驅(qū)動級文檔加解密控制技術(shù)，通 過對操作系統(tǒng)底層操作的監(jiān)控， 阻止任何未授權(quán)的文檔操作行為；同時，任何對 指定格式文檔的創(chuàng)建、 修改和刪除操作也將被監(jiān)控， 可以實現(xiàn)文檔創(chuàng)建之后的自 動加密、按默認(rèn)密級授權(quán)、文檔瀏覽自動解密等功能。自動加解密的過程對用戶來說是完全透明的， 不改變用戶的操作習(xí)慣， 也不 影響合法用戶的正常使用。采用驅(qū)動級的自動加解密技術(shù)， 解決了一般文檔加密技術(shù)的一大缺點： 即需 要將文檔轉(zhuǎn)換成專有加密文件格式， 用戶需要專門的客戶端才能使用。 采用這種 技術(shù)不需要用

9、戶安裝額外的軟件， 不改變用戶使用習(xí)慣， 也消滅了文檔格式轉(zhuǎn)換 這個需要用戶操作的過程，便利了用戶的使用。自動對文檔進(jìn)行加解密， 可以確保電子文檔只能在授權(quán)的應(yīng)用環(huán)境 （計算機(jī)、 服務(wù)器等終端）中，被授權(quán)的用戶（文檔的作者，以及授權(quán)解密者） 解密和應(yīng)用， 從而有效控制了電子文檔的應(yīng)用范圍。 這時，即使有些不法分子通過一些特殊手 段繞過了身份認(rèn)證系統(tǒng)而進(jìn)入體系，也無法將文檔或具體內(nèi)容帶到授權(quán)環(huán)境之 外。同樣，系統(tǒng)內(nèi)部的人員將加密的電子文檔帶入到其他環(huán)境中一樣無法應(yīng)用和 解密。2.4.3 權(quán)限實時控制通過身份認(rèn)證和數(shù)據(jù)加解密技術(shù)，非授權(quán)的用戶已經(jīng)無法獲取 XX 部委內(nèi)部 的電子文檔， 但是這并不能

10、完全杜絕電子文檔及其內(nèi)容的外泄。 因為內(nèi)部人員是 最為容易得到機(jī)密信息，也最容易泄露機(jī)密信息，所以說， 對于文檔的安全管理 來講，如何有效控制企業(yè)和機(jī)構(gòu)內(nèi)部人員對文檔的應(yīng)用是十分重要的環(huán)節(jié)。在系統(tǒng)內(nèi)部， 對于電子文檔的安全管理主要體現(xiàn)在以下幾個方面：首先，系 統(tǒng)可以細(xì)致的劃分用戶對文檔的操作權(quán)限，包括：閱讀、編輯、打?。ù蛴〈螖?shù) 限制）、復(fù)制粘貼、截屏以及完全控制（包括只讀、編輯、解密的權(quán)限），通過 對單一用戶或用戶角色的細(xì)致授權(quán)， 完全滿足不同用戶級別和不同工作內(nèi)容對操 作權(quán)限的不同要求。這樣， 既保證文檔在共享狀態(tài)下的安全使用， 又可以完全控 制文檔的使用權(quán)限，有效防止電子文檔的非法傳播。

11、其次， 系統(tǒng)可以對用戶進(jìn)行 角色劃分，滿足對用戶批量授權(quán)或默認(rèn)授權(quán)的要求。例如，針對部門主任，可以 全部劃分到部門主任角色中，默認(rèn)就有瀏覽、編輯和打印的權(quán)限。 這樣部門主任 每次創(chuàng)建的文檔都將被授予以上權(quán)限， 不妨礙部門主任對文檔的修改和編輯。 但 對于沒有在部門主任角色中的用戶， 則文檔處于默認(rèn)加密狀態(tài)， 打開之后完全看 不到內(nèi)容，全部是無意義的亂碼。 既減少了對正常工作的影響， 又保證了文檔的 安全性。2.4.4 時間期限控制控制公文的使用時間是文檔安全管理的重要組成部分。 通常將公文分發(fā)出去 后，接受方就永遠(yuǎn)擁有此公文的所有權(quán)，隨時可以使用該文檔中的數(shù)據(jù)信息。 這 樣很容易造成重要數(shù)據(jù)信

12、息的外泄。 對公文的使用期限加以控制， 便可很好地解 決這一問題。例如內(nèi)部用戶調(diào)離后，公文使用到期，即使擁有此公文也不能用。 管理員能夠隨時隨地控制公文的使用期限， 根據(jù)實際情況追加使用時間或縮短期 限收回文件。2.4.5 支持多種文件類型SecureDOC 文檔安全管理系統(tǒng)支持主流的文檔格式和圖片文件格式，充分 滿足政府用戶保密的需要。系統(tǒng)支持的主要文件格式有：Microsoft Office Word 2000/XP/2003 文件擴(kuò)展名 doc ；Microsoft Office Excel 2000/XP/2003 文件擴(kuò)展名 xls；Microsoft Office PowerPoi

13、nt 2000/XP/2003 文件擴(kuò)展名 ppt ；Microsoft Office Visio 2000/XP/2003 文件擴(kuò)展名 vsd；Adobe Portable Document Format 5.0/6.0 文件擴(kuò)展名 pdf文本文件Bitmap 圖像Graphic Interchange Format 圖像JPEG圖像PNG 圖像Autodesk AutoCAD 文件擴(kuò)展名 DWG2.4.6 支持離線模式日常工作中許多工作人員可能需要將文檔帶回家中繼續(xù)使用， 這時文檔將脫 離工作環(huán)境，從而自動進(jìn)入保密狀態(tài)， 員工將無法打開文檔進(jìn)行操作。 為解決這 一問題， Secure Do

14、c 文檔安全管理系統(tǒng)可以對文檔的離線（脫離工作環(huán)境）操 作進(jìn)行授權(quán)，用戶即可在家中通過本地認(rèn)證使用文檔。離線模式需要用戶向管理員進(jìn)行申請，由管理員在服務(wù)器端審核通過之后， 用戶的客戶端將收到相應(yīng)的授權(quán)。用戶在離線狀態(tài)下通過 USB 智能卡認(rèn)證后， 客戶端將會根據(jù)存儲的離線授權(quán)自動為用戶進(jìn)行文檔加解密操作， 并監(jiān)控用戶的 操作情況，任何未授權(quán)的行為均會被阻止；無論是合法還是非法的操作，客戶端 也都會記錄到日志中， 一旦電腦進(jìn)入了工作環(huán)境， 這些日志均會同步到服務(wù)器端， 供審計管理員進(jìn)行審查。Secure Doc 文檔安全管理系統(tǒng)客戶端可以自動檢測用戶電腦所處的工作環(huán) 境，自動在離線或在線模式中切

15、換，無需用戶進(jìn)行手工干預(yù)。2.5 產(chǎn)品特點2.5.1 先進(jìn)的用戶身份認(rèn)證功能SecureDOC文檔安全管理系統(tǒng)采用USB智能卡來對終端用戶進(jìn)行信息認(rèn)證 方式。與傳統(tǒng)的用戶名 / 密碼登錄手段相比，硬件認(rèn)證設(shè)備具有更為突出的安全 性，確保只有用戶本人才能登錄使用系統(tǒng)、獲取文檔及權(quán)限。2.5.2 強(qiáng)大的數(shù)據(jù)加解密功能SecureDOC 文檔安全管理系統(tǒng)采用業(yè)界領(lǐng)先的驅(qū)動級數(shù)據(jù)加解密技術(shù)，同 時也在應(yīng)用級對數(shù)據(jù)進(jìn)行了安全保護(hù)。 用戶可以將任意類型的文件加密成密文形 式。整個加密過程安全、簡便、快捷，不會生成任何可能泄密的臨時文件，對用 戶的操作也不會產(chǎn)生任何影響。 當(dāng)用戶在登錄時代億信文檔安全管理系

16、統(tǒng)后， 可 以像操作普通文件一樣地應(yīng)用被加密保護(hù)的文件， 文件的加解密轉(zhuǎn)換完全在系統(tǒng) 后臺完成。并且，在任何存儲介質(zhì)中，被加密過的文件將始終保持加密格式，只 有授權(quán)用戶才能進(jìn)行解密和應(yīng)用。2.5.3 豐富、實效的安全管理策略SecureDOC 文檔安全管理系統(tǒng)提供豐富、全面的安全管理策略從運行狀態(tài)來看， 策略可以分為在線策略和離線策略。 在線策略是指文檔安 全管理系統(tǒng)客戶端與文檔安全管理系統(tǒng)服務(wù)器建立有效連接的情況下， 客戶端所 運行的安全策略； 離線策略是指文檔安全管理系統(tǒng)客戶端與文檔安全管理系統(tǒng)服 務(wù)器沒有建立有效連接的情況下， 客戶端所運行的安全策略。 通過采用在線和離 線兩種策略實施機(jī)制， 可以有效做到無論系統(tǒng)中的終端處于何種工作狀態(tài)， 均能 接受文檔安全管理系統(tǒng)所建立的安全管理體系的管理。在內(nèi)容方面， 文檔安全管理系統(tǒng)安全策略具體包括存儲管理類策略、 網(wǎng)絡(luò)管 理類策略、文件存取控制類策略、系統(tǒng)管理類策略、其他類管理策略。2.5.4 友好的用戶體驗Secure Doc 文檔安全管理系統(tǒng)應(yīng)用了驅(qū)動級文檔加解密技術(shù)，可支持任意 種文檔格式，加密后文檔格式不變，方便了用戶使用。同時，文檔的加密