SecureDOC電子文檔安全技術(shù)方案

1、電子文檔安全技術(shù)方案 SecureDOC 為電子文檔安全保駕護(hù)航 1. 概述 1.1 系統(tǒng)現(xiàn)狀 XX 部委日常辦公進(jìn)行公文流轉(zhuǎn)時(shí)，全部采用的都是紙質(zhì)文檔，造成工作處 理較慢，不利于提高工作效率。同時(shí)，又因?yàn)楣ぷ餍再|(zhì)的關(guān)系，紙質(zhì)文檔如果以 電子形式進(jìn)行傳輸和存儲(chǔ)，其安全性必須得到保證，防止機(jī)密數(shù)據(jù)信息的外泄。 這樣，如何安全地進(jìn)行公文數(shù)據(jù)信息傳遞和交換成為 XX 部委關(guān)心的一個(gè)問(wèn)題。 1.2 系統(tǒng)需求及目標(biāo) XX 部委為了達(dá)到公文安全傳輸?shù)哪康模枰獜囊韵聨追矫孢M(jìn)行保護(hù)： 1. 電子文檔加密 XX 部委的公文在電子形式下必須加密，在文檔的傳輸環(huán)節(jié)、存儲(chǔ)環(huán)節(jié)、應(yīng) 用環(huán)節(jié)和共享環(huán)節(jié)都以密文形式存在。

2、 2. 細(xì)粒度的權(quán)限控制 XX 部委的公文可以進(jìn)行權(quán)限管理，根據(jù)使用者的不同權(quán)限，公文可以呈現(xiàn) 不同的權(quán)限。 3. 公文打印限制 XX 部委的電子公文可以打印成紙質(zhì)資料，但打印權(quán)限將受到嚴(yán)格控制，即 使是授權(quán)用戶(hù)也不能隨意打印，打印次數(shù)將會(huì)有限制。 4. 使用追蹤 XX 部委的電子公文在使用中可以進(jìn)行實(shí)時(shí)監(jiān)控，任何對(duì)公文的操作都將被 記錄，供日后審計(jì)追蹤使用。 2.方案詳述 2.1系統(tǒng)總體結(jié)構(gòu) 時(shí)代億信采用SecureDOC文檔安全管理系統(tǒng)構(gòu)建XX部委公文安全系統(tǒng)。 系統(tǒng)的體系架構(gòu)圖如下: V 文檔安全服務(wù)器 存儲(chǔ)密鑰、 權(quán)限等信息 請(qǐng)求密鑰 返回密鑰 客戶(hù)端操作 獲取密鑰、 權(quán)限信息 Sec

3、ureDOC文檔安全管理系統(tǒng)功能結(jié)構(gòu)圖: 廠 文檔 r “文檔權(quán)限管理 廠 文件日志記錄 安全 文檔密鑰管理 管理日志記錄 服務(wù) 安全策略設(shè)置和發(fā)放 文件日志查詢(xún) 器 “用戶(hù)、用戶(hù)組管理” ,管理日志查詢(xún) I / 丿 授權(quán)服務(wù) 登錄服務(wù) 離線服務(wù) 認(rèn)* 證 服 務(wù) 器 廠 用戶(hù)身份認(rèn)證 存儲(chǔ)用戶(hù)和用戶(hù) 組信息 ,文件的密鑰管理 !/ 能卡密鑰 存儲(chǔ)用戶(hù)的數(shù)字 證書(shū)和私鑰 用戶(hù)身份唯一標(biāo) 識(shí) 0 存儲(chǔ)密鑰信息 存儲(chǔ)權(quán)限信息 存儲(chǔ)文件信息 y 離線管理 Ti 1 1 記錄操作日志 身份認(rèn)證 文檔加密 文件共享和權(quán)限設(shè)置 安全策略執(zhí)行 文檔解密 自動(dòng)切換在線、離線 ,用戶(hù)登錄管理 1 模式 1 .

4、2.2 工作原理 時(shí)代億信 SecureDOC 文檔安全管理系統(tǒng)所倡導(dǎo)的設(shè)計(jì)理念并不是限制文件 的傳播形式和渠道，而只是限制文件的使用， 這是文件保護(hù)的根本所在。 它以數(shù) 據(jù)為中心，所有重要密鑰、權(quán)限、文件屬性等相應(yīng)數(shù)據(jù)都存儲(chǔ)在數(shù)據(jù)庫(kù)中，所有 文件均以加密形式存放， 所有數(shù)據(jù)通訊均使用加密通信協(xié)議， 從而徹底保證數(shù)據(jù) 安全。 另外，加密文件本身不存儲(chǔ)權(quán)限信息和文檔屬性信息， 而是存放于在數(shù)據(jù)庫(kù) 中，用戶(hù)只有在線訪問(wèn)文檔安全服務(wù)器并通過(guò)認(rèn)證后才可以獲得相應(yīng)授權(quán)文檔信 息，并根據(jù)權(quán)限信息對(duì)文檔進(jìn)行使用。 SecureDOC 把所有網(wǎng)絡(luò)都看作是一個(gè)不 安全的應(yīng)用環(huán)境， 全面加以保護(hù)，文件無(wú)論發(fā)送到何

5、地均受到嚴(yán)格保護(hù)。文件的 使用權(quán)限及期限由作者來(lái)定義， 并可以隨時(shí)更改。 這種設(shè)計(jì)保證文檔作者隨時(shí)隨 地更改或撤銷(xiāo)已發(fā)出的文件權(quán)限，同時(shí)又保證合法用戶(hù)靈活使用。簡(jiǎn)而言之， 用 戶(hù)拿到的只是一個(gè)加密文件，他的使用權(quán)限隨時(shí)隨地都受到發(fā)布者的控制。 2.3 工作流程 （1）用戶(hù)通過(guò)客戶(hù)端軟件或管理界面加密文件， 把文件密鑰上傳給服務(wù)器， 同時(shí)文件作者可以對(duì)其他用戶(hù)打印，閱讀，保存，有效時(shí)間等權(quán)限進(jìn)行授權(quán)。 2）其他用戶(hù)可以通過(guò)共享文件夾、文檔安全客戶(hù)端或文檔服務(wù)器查找文 件。 3）其他用戶(hù)通過(guò)身份認(rèn)證之后，可按權(quán)限使用文件。 2.4 主要功能 2.4.1 可靠的身份認(rèn)證 身份認(rèn)證是整個(gè)信息安全體系的

6、基礎(chǔ)。 USB 智能卡身份認(rèn)證方式充分結(jié)合了 挑戰(zhàn)-響應(yīng)機(jī)制和數(shù)字證書(shū)加密、數(shù)字簽名機(jī)制，增強(qiáng)了認(rèn)證信息的隨機(jī)性、保 密性、真實(shí)性，有效地防止了認(rèn)證過(guò)程中的機(jī)密信息泄露、竊聽(tīng)和重放攻擊，保 證了身份認(rèn)證的高度安全性和可靠性。 挑戰(zhàn)-響應(yīng)機(jī)制 客戶(hù)端在發(fā)起認(rèn)證請(qǐng)求時(shí)，服務(wù)器端首先產(chǎn)生并返回一個(gè)隨機(jī)數(shù)（挑戰(zhàn)）； 客戶(hù)端在提交認(rèn)證請(qǐng)求時(shí)，將數(shù)字簽名后的隨機(jī)數(shù)發(fā)送到服務(wù)器端（響應(yīng)），由 服務(wù)器端比較本地的隨機(jī)數(shù)和收到的隨機(jī)數(shù)， 以校驗(yàn)認(rèn)證請(qǐng)求的有效性， 從而有 效防止截獲和重放攻擊。 數(shù)字證書(shū)加密機(jī)制 客戶(hù)端提交的認(rèn)證請(qǐng)求均由服務(wù)器端返回的服務(wù)器證書(shū)進(jìn)行數(shù)字信封加密 處理，只有相應(yīng)的服務(wù)器私鑰才能解密

7、。 如果認(rèn)證請(qǐng)求中含有機(jī)密信息， 則截獲 加密的認(rèn)證請(qǐng)求將毫無(wú)意義，從而確保了機(jī)密信息的保密性。 數(shù)字簽名機(jī)制 客戶(hù)端提交的認(rèn)證請(qǐng)求， 均由客戶(hù)端瀏覽器認(rèn)證組件調(diào)用智能密鑰進(jìn)行簽名 處理。USB智能卡隨身攜帶，其中的私鑰不可復(fù)制，保證了私鑰的唯一性，由于 數(shù)字簽名不可偽造和篡改， 服務(wù)器端通過(guò)校驗(yàn)客戶(hù)端用戶(hù)證書(shū)和數(shù)字簽名的有效 性，并結(jié)合認(rèn)證數(shù)據(jù)庫(kù)鑒別用戶(hù)身份，從而保證了用戶(hù)身份的真實(shí)準(zhǔn)確。 通過(guò)讓用戶(hù)采用USB智能卡的認(rèn)證方式登錄，在企業(yè)內(nèi)部部署認(rèn)證服務(wù)器, 有效提高整體方案的安全性。用戶(hù)以 USB智能卡方式登錄，先經(jīng)過(guò)認(rèn)證服務(wù)器 確定用戶(hù)身份。當(dāng)認(rèn)證服務(wù)器認(rèn)證通過(guò)以后， 將用戶(hù)信息通知到文

8、檔安全客戶(hù)端， 用戶(hù)可以按照相應(yīng)權(quán)限進(jìn)行操作。當(dāng)用戶(hù)對(duì)機(jī)密文檔操作時(shí)，在線通過(guò)自動(dòng)的 USB智能卡身份驗(yàn)證獲取該用戶(hù)的使用權(quán)限，保證了文檔的安全使用。 2.4.2 文檔自動(dòng)加解密 與身份認(rèn)證一樣，電子文檔的加解密同樣也是實(shí)現(xiàn)體系安全的基礎(chǔ)。 SecureDOC 文檔安全管理系統(tǒng)采用業(yè)界領(lǐng)先的驅(qū)動(dòng)級(jí)文檔加解密控制技術(shù)，通 過(guò)對(duì)操作系統(tǒng)底層操作的監(jiān)控， 阻止任何未授權(quán)的文檔操作行為；同時(shí)，任何對(duì) 指定格式文檔的創(chuàng)建、 修改和刪除操作也將被監(jiān)控， 可以實(shí)現(xiàn)文檔創(chuàng)建之后的自 動(dòng)加密、按默認(rèn)密級(jí)授權(quán)、文檔瀏覽自動(dòng)解密等功能。 自動(dòng)加解密的過(guò)程對(duì)用戶(hù)來(lái)說(shuō)是完全透明的， 不改變用戶(hù)的操作習(xí)慣， 也不 影響合

9、法用戶(hù)的正常使用。 采用驅(qū)動(dòng)級(jí)的自動(dòng)加解密技術(shù)， 解決了一般文檔加密技術(shù)的一大缺點(diǎn)： 即需 要將文檔轉(zhuǎn)換成專(zhuān)有加密文件格式， 用戶(hù)需要專(zhuān)門(mén)的客戶(hù)端才能使用。 采用這種 技術(shù)不需要用戶(hù)安裝額外的軟件， 不改變用戶(hù)使用習(xí)慣， 也消滅了文檔格式轉(zhuǎn)換 這個(gè)需要用戶(hù)操作的過(guò)程，便利了用戶(hù)的使用。 自動(dòng)對(duì)文檔進(jìn)行加解密， 可以確保電子文檔只能在授權(quán)的應(yīng)用環(huán)境 （計(jì)算機(jī)、 服務(wù)器等終端） 中，被授權(quán)的用戶(hù)（文檔的作者， 以及授權(quán)解密者） 解密和應(yīng)用， 從而有效控制了電子文檔的應(yīng)用范圍。 這時(shí)，即使有些不法分子通過(guò)一些特殊手 段繞過(guò)了身份認(rèn)證系統(tǒng)而進(jìn)入體系，也無(wú)法將文檔或具體內(nèi)容帶到授權(quán)環(huán)境之 外。同樣，系統(tǒng)

10、內(nèi)部的人員將加密的電子文檔帶入到其他環(huán)境中一樣無(wú)法應(yīng)用和 解密。 2.4.3 權(quán)限實(shí)時(shí)控制 通過(guò)身份認(rèn)證和數(shù)據(jù)加解密技術(shù)，非授權(quán)的用戶(hù)已經(jīng)無(wú)法獲取 XX 部委內(nèi)部 的電子文檔， 但是這并不能完全杜絕電子文檔及其內(nèi)容的外泄。 因?yàn)閮?nèi)部人員是 最為容易得到機(jī)密信息，也最容易泄露機(jī)密信息，所以說(shuō)， 對(duì)于文檔的安全管理 來(lái)講，如何有效控制企業(yè)和機(jī)構(gòu)內(nèi)部人員對(duì)文檔的應(yīng)用是十分重要的環(huán)節(jié)。 在系統(tǒng)內(nèi)部， 對(duì)于電子文檔的安全管理主要體現(xiàn)在以下幾個(gè)方面：首先，系 統(tǒng)可以細(xì)致的劃分用戶(hù)對(duì)文檔的操作權(quán)限，包括：閱讀、編輯、打印（打印次數(shù) 限制）、復(fù)制粘貼、截屏以及完全控制（包括只讀、編輯、解密的權(quán)限），通過(guò) 對(duì)單

11、一用戶(hù)或用戶(hù)角色的細(xì)致授權(quán)， 完全滿(mǎn)足不同用戶(hù)級(jí)別和不同工作內(nèi)容對(duì)操 作權(quán)限的不同要求。這樣， 既保證文檔在共享狀態(tài)下的安全使用， 又可以完全控 制文檔的使用權(quán)限，有效防止電子文檔的非法傳播。其次， 系統(tǒng)可以對(duì)用戶(hù)進(jìn)行 角色劃分，滿(mǎn)足對(duì)用戶(hù)批量授權(quán)或默認(rèn)授權(quán)的要求。例如，針對(duì)部門(mén)主任，可以 全部劃分到部門(mén)主任角色中，默認(rèn)就有瀏覽、編輯和打印的權(quán)限。 這樣部門(mén)主任 每次創(chuàng)建的文檔都將被授予以上權(quán)限， 不妨礙部門(mén)主任對(duì)文檔的修改和編輯。 但 對(duì)于沒(méi)有在部門(mén)主任角色中的用戶(hù)， 則文檔處于默認(rèn)加密狀態(tài)， 打開(kāi)之后完全看 不到內(nèi)容，全部是無(wú)意義的亂碼。 既減少了對(duì)正常工作的影響， 又保證了文檔的 安全性

12、。 2.4.4 時(shí)間期限控制 控制公文的使用時(shí)間是文檔安全管理的重要組成部分。 通常將公文分發(fā)出去 后，接受方就永遠(yuǎn)擁有此公文的所有權(quán)，隨時(shí)可以使用該文檔中的數(shù)據(jù)信息。 這 樣很容易造成重要數(shù)據(jù)信息的外泄。 對(duì)公文的使用期限加以控制， 便可很好地解 決這一問(wèn)題。例如內(nèi)部用戶(hù)調(diào)離后，公文使用到期，即使擁有此公文也不能用。 管理員能夠隨時(shí)隨地控制公文的使用期限， 根據(jù)實(shí)際情況追加使用時(shí)間或縮短期 限收回文件。 2.4.5 支持多種文件類(lèi)型 SecureDOC 文檔安全管理系統(tǒng)支持主流的文檔格式和圖片文件格式，充分 滿(mǎn)足政府用戶(hù)保密的需要。系統(tǒng)支持的主要文件格式有： Microsoft Office

13、 Word 2000/XP/2003 文件擴(kuò)展名 doc ； Microsoft Office Excel 2000/XP/2003 文件擴(kuò)展名 xls； Microsoft Office PowerPoint 2000/XP/2003文件擴(kuò)展名 ppt ； Microsoft Office Visio 2000/XP/2003 文件擴(kuò)展名 vsd； Adobe Portable Document Format 5.0/6.0 文件擴(kuò)展名 pdf 文本文件 Bitmap 圖像 Graphic Interchange Format 圖像 JPEG圖像 PNG 圖像 Autodesk AutoCA

14、D 文件擴(kuò)展名 DWG 2.4.6 支持離線模式 日常工作中許多工作人員可能需要將文檔帶回家中繼續(xù)使用， 這時(shí)文檔將脫 離工作環(huán)境，從而自動(dòng)進(jìn)入保密狀態(tài)， 員工將無(wú)法打開(kāi)文檔進(jìn)行操作。 為解決這 一問(wèn)題， Secure Doc 文檔安全管理系統(tǒng)可以對(duì)文檔的離線（脫離工作環(huán)境）操 作進(jìn)行授權(quán)，用戶(hù)即可在家中通過(guò)本地認(rèn)證使用文檔。 離線模式需要用戶(hù)向管理員進(jìn)行申請(qǐng)，由管理員在服務(wù)器端審核通過(guò)之后， 用戶(hù)的客戶(hù)端將收到相應(yīng)的授權(quán)。用戶(hù)在離線狀態(tài)下通過(guò)USB智能卡認(rèn)證后, 客戶(hù)端將會(huì)根據(jù)存儲(chǔ)的離線授權(quán)自動(dòng)為用戶(hù)進(jìn)行文檔加解密操作， 并監(jiān)控用戶(hù)的 操作情況,任何未授權(quán)的行為均會(huì)被阻止；無(wú)論是合法還是非法

15、的操作,客戶(hù)端 也都會(huì)記錄到日志中， 一旦電腦進(jìn)入了工作環(huán)境， 這些日志均會(huì)同步到服務(wù)器端， 供審計(jì)管理員進(jìn)行審查。 Secure Doc 文檔安全管理系統(tǒng)客戶(hù)端可以自動(dòng)檢測(cè)用戶(hù)電腦所處的工作環(huán) 境，自動(dòng)在離線或在線模式中切換，無(wú)需用戶(hù)進(jìn)行手工干預(yù)。 2.5 產(chǎn)品特點(diǎn) 2.5.1 先進(jìn)的用戶(hù)身份認(rèn)證功能 SecureDOC文檔安全管理系統(tǒng)采用USB智能卡來(lái)對(duì)終端用戶(hù)進(jìn)行信息認(rèn)證 方式。與傳統(tǒng)的用戶(hù)名 / 密碼登錄手段相比，硬件認(rèn)證設(shè)備具有更為突出的安全 性，確保只有用戶(hù)本人才能登錄使用系統(tǒng)、獲取文檔及權(quán)限。 2.5.2 強(qiáng)大的數(shù)據(jù)加解密功能 SecureDOC 文檔安全管理系統(tǒng)采用業(yè)界領(lǐng)先的驅(qū)

16、動(dòng)級(jí)數(shù)據(jù)加解密技術(shù)，同 時(shí)也在應(yīng)用級(jí)對(duì)數(shù)據(jù)進(jìn)行了安全保護(hù)。 用戶(hù)可以將任意類(lèi)型的文件加密成密文形 式。整個(gè)加密過(guò)程安全、簡(jiǎn)便、快捷，不會(huì)生成任何可能泄密的臨時(shí)文件，對(duì)用 戶(hù)的操作也不會(huì)產(chǎn)生任何影響。 當(dāng)用戶(hù)在登錄時(shí)代億信文檔安全管理系統(tǒng)后, 可 以像操作普通文件一樣地應(yīng)用被加密保護(hù)的文件， 文件的加解密轉(zhuǎn)換完全在系統(tǒng) 后臺(tái)完成。并且，在任何存儲(chǔ)介質(zhì)中，被加密過(guò)的文件將始終保持加密格式，只 有授權(quán)用戶(hù)才能進(jìn)行解密和應(yīng)用。 2.5.3 豐富、實(shí)效的安全管理策略 SecureDOC 文檔安全管理系統(tǒng)提供豐富、全面的安全管理策略。 從運(yùn)行狀態(tài)來(lái)看， 策略可以分為在線策略和離線策略。 在線策略是指文檔安

17、 全管理系統(tǒng)客戶(hù)端與文檔安全管理系統(tǒng)服務(wù)器建立有效連接的情況下， 客戶(hù)端所 運(yùn)行的安全策略； 離線策略是指文檔安全管理系統(tǒng)客戶(hù)端與文檔安全管理系統(tǒng)服 務(wù)器沒(méi)有建立有效連接的情況下， 客戶(hù)端所運(yùn)行的安全策略。 通過(guò)采用在線和離 線兩種策略實(shí)施機(jī)制， 可以有效做到無(wú)論系統(tǒng)中的終端處于何種工作狀態(tài)， 均能 接受文檔安全管理系統(tǒng)所建立的安全管理體系的管理。 在內(nèi)容方面， 文檔安全管理系統(tǒng)安全策略具體包括存儲(chǔ)管理類(lèi)策略、 網(wǎng)絡(luò)管 理類(lèi)策略、文件存取控制類(lèi)策略、系統(tǒng)管理類(lèi)策略、其他類(lèi)管理策略。 2.5.4 友好的用戶(hù)體驗(yàn) Secure Doc 文檔安全管理系統(tǒng)應(yīng)用了驅(qū)動(dòng)級(jí)文檔加解密技術(shù)，可支持任意 種文檔格式，加密后文檔格式不變，方便了用戶(hù)使用