SecureDOC電子文檔安全技術(shù)方案

1、電子文檔安全技術(shù)方案 SecureDOC 為電子文檔安全保駕護(hù)航 1. 概述 1.1 系統(tǒng)現(xiàn)狀 XX 部委日常辦公進(jìn)行公文流轉(zhuǎn)時(shí)，全部采用的都是紙質(zhì)文檔，造成工作處 理較慢，不利于提高工作效率。同時(shí)，又因?yàn)楣ぷ餍再|(zhì)的關(guān)系，紙質(zhì)文檔如果以 電子形式進(jìn)行傳輸和存儲(chǔ)，其安全性必須得到保證，防止機(jī)密數(shù)據(jù)信息的外泄。 這樣，如何安全地進(jìn)行公文數(shù)據(jù)信息傳遞和交換成為 XX 部委關(guān)心的一個(gè)問題。 1.2 系統(tǒng)需求及目標(biāo) XX 部委為了達(dá)到公文安全傳輸?shù)哪康?，需要從以下幾方面進(jìn)行保護(hù)： 1. 電子文檔加密 XX 部委的公文在電子形式下必須加密，在文檔的傳輸環(huán)節(jié)、存儲(chǔ)環(huán)節(jié)、應(yīng) 用環(huán)節(jié)和共享環(huán)節(jié)都以密文形式存在。

2、 2. 細(xì)粒度的權(quán)限控制 XX 部委的公文可以進(jìn)行權(quán)限管理，根據(jù)使用者的不同權(quán)限，公文可以呈現(xiàn) 不同的權(quán)限。 3. 公文打印限制 XX 部委的電子公文可以打印成紙質(zhì)資料，但打印權(quán)限將受到嚴(yán)格控制，即 使是授權(quán)用戶也不能隨意打印，打印次數(shù)將會(huì)有限制。 4. 使用追蹤 XX 部委的電子公文在使用中可以進(jìn)行實(shí)時(shí)監(jiān)控，任何對(duì)公文的操作都將被 記錄，供日后審計(jì)追蹤使用。 2.方案詳述 2.1系統(tǒng)總體結(jié)構(gòu) 時(shí)代億信采用SecureDOC文檔安全管理系統(tǒng)構(gòu)建XX部委公文安全系統(tǒng)。 系統(tǒng)的體系架構(gòu)圖如下: V 文檔安全服務(wù)器 存儲(chǔ)密鑰、 權(quán)限等信息 請(qǐng)求密鑰 返回密鑰 客戶端操作 獲取密鑰、 權(quán)限信息 Sec

3、ureDOC文檔安全管理系統(tǒng)功能結(jié)構(gòu)圖: 廠 文檔 r “文檔權(quán)限管理 廠 文件日志記錄 安全 文檔密鑰管理 管理日志記錄 服務(wù) 安全策略設(shè)置和發(fā)放 文件日志查詢 器 “用戶、用戶組管理” ,管理日志查詢 I / 丿 授權(quán)服務(wù) 登錄服務(wù) 離線服務(wù) 認(rèn)* 證 服 務(wù) 器 廠 用戶身份認(rèn)證 存儲(chǔ)用戶和用戶 組信息 ,文件的密鑰管理 !/ 能卡密鑰 存儲(chǔ)用戶的數(shù)字 證書和私鑰 用戶身份唯一標(biāo) 識(shí) 0 存儲(chǔ)密鑰信息 存儲(chǔ)權(quán)限信息 存儲(chǔ)文件信息 y 離線管理 Ti 1 1 記錄操作日志 身份認(rèn)證 文檔加密 文件共享和權(quán)限設(shè)置 安全策略執(zhí)行 文檔解密 自動(dòng)切換在線、離線 ,用戶登錄管理 1 模式 1 .

4、2.2 工作原理 時(shí)代億信 SecureDOC 文檔安全管理系統(tǒng)所倡導(dǎo)的設(shè)計(jì)理念并不是限制文件 的傳播形式和渠道，而只是限制文件的使用， 這是文件保護(hù)的根本所在。 它以數(shù) 據(jù)為中心，所有重要密鑰、權(quán)限、文件屬性等相應(yīng)數(shù)據(jù)都存儲(chǔ)在數(shù)據(jù)庫(kù)中，所有 文件均以加密形式存放， 所有數(shù)據(jù)通訊均使用加密通信協(xié)議， 從而徹底保證數(shù)據(jù) 安全。 另外，加密文件本身不存儲(chǔ)權(quán)限信息和文檔屬性信息， 而是存放于在數(shù)據(jù)庫(kù) 中，用戶只有在線訪問文檔安全服務(wù)器并通過認(rèn)證后才可以獲得相應(yīng)授權(quán)文檔信 息，并根據(jù)權(quán)限信息對(duì)文檔進(jìn)行使用。 SecureDOC 把所有網(wǎng)絡(luò)都看作是一個(gè)不 安全的應(yīng)用環(huán)境， 全面加以保護(hù)，文件無(wú)論發(fā)送到何

5、地均受到嚴(yán)格保護(hù)。文件的 使用權(quán)限及期限由作者來(lái)定義， 并可以隨時(shí)更改。 這種設(shè)計(jì)保證文檔作者隨時(shí)隨 地更改或撤銷已發(fā)出的文件權(quán)限，同時(shí)又保證合法用戶靈活使用。簡(jiǎn)而言之， 用 戶拿到的只是一個(gè)加密文件，他的使用權(quán)限隨時(shí)隨地都受到發(fā)布者的控制。 2.3 工作流程 （1）用戶通過客戶端軟件或管理界面加密文件， 把文件密鑰上傳給服務(wù)器， 同時(shí)文件作者可以對(duì)其他用戶打印，閱讀，保存，有效時(shí)間等權(quán)限進(jìn)行授權(quán)。 2）其他用戶可以通過共享文件夾、文檔安全客戶端或文檔服務(wù)器查找文 件。 3）其他用戶通過身份認(rèn)證之后，可按權(quán)限使用文件。 2.4 主要功能 2.4.1 可靠的身份認(rèn)證 身份認(rèn)證是整個(gè)信息安全體系的

6、基礎(chǔ)。 USB 智能卡身份認(rèn)證方式充分結(jié)合了 挑戰(zhàn)-響應(yīng)機(jī)制和數(shù)字證書加密、數(shù)字簽名機(jī)制，增強(qiáng)了認(rèn)證信息的隨機(jī)性、保 密性、真實(shí)性，有效地防止了認(rèn)證過程中的機(jī)密信息泄露、竊聽和重放攻擊，保 證了身份認(rèn)證的高度安全性和可靠性。 挑戰(zhàn)-響應(yīng)機(jī)制 客戶端在發(fā)起認(rèn)證請(qǐng)求時(shí)，服務(wù)器端首先產(chǎn)生并返回一個(gè)隨機(jī)數(shù)（挑戰(zhàn)）； 客戶端在提交認(rèn)證請(qǐng)求時(shí)，將數(shù)字簽名后的隨機(jī)數(shù)發(fā)送到服務(wù)器端（響應(yīng)），由 服務(wù)器端比較本地的隨機(jī)數(shù)和收到的隨機(jī)數(shù)， 以校驗(yàn)認(rèn)證請(qǐng)求的有效性， 從而有 效防止截獲和重放攻擊。 數(shù)字證書加密機(jī)制 客戶端提交的認(rèn)證請(qǐng)求均由服務(wù)器端返回的服務(wù)器證書進(jìn)行數(shù)字信封加密 處理，只有相應(yīng)的服務(wù)器私鑰才能解密

7、。 如果認(rèn)證請(qǐng)求中含有機(jī)密信息， 則截獲 加密的認(rèn)證請(qǐng)求將毫無(wú)意義，從而確保了機(jī)密信息的保密性。 數(shù)字簽名機(jī)制 客戶端提交的認(rèn)證請(qǐng)求， 均由客戶端瀏覽器認(rèn)證組件調(diào)用智能密鑰進(jìn)行簽名 處理。USB智能卡隨身攜帶，其中的私鑰不可復(fù)制，保證了私鑰的唯一性，由于 數(shù)字簽名不可偽造和篡改， 服務(wù)器端通過校驗(yàn)客戶端用戶證書和數(shù)字簽名的有效 性，并結(jié)合認(rèn)證數(shù)據(jù)庫(kù)鑒別用戶身份，從而保證了用戶身份的真實(shí)準(zhǔn)確。 通過讓用戶采用USB智能卡的認(rèn)證方式登錄，在企業(yè)內(nèi)部部署認(rèn)證服務(wù)器, 有效提高整體方案的安全性。用戶以 USB智能卡方式登錄，先經(jīng)過認(rèn)證服務(wù)器 確定用戶身份。當(dāng)認(rèn)證服務(wù)器認(rèn)證通過以后， 將用戶信息通知到文

8、檔安全客戶端， 用戶可以按照相應(yīng)權(quán)限進(jìn)行操作。當(dāng)用戶對(duì)機(jī)密文檔操作時(shí)，在線通過自動(dòng)的 USB智能卡身份驗(yàn)證獲取該用戶的使用權(quán)限，保證了文檔的安全使用。 2.4.2 文檔自動(dòng)加解密 與身份認(rèn)證一樣，電子文檔的加解密同樣也是實(shí)現(xiàn)體系安全的基礎(chǔ)。 SecureDOC 文檔安全管理系統(tǒng)采用業(yè)界領(lǐng)先的驅(qū)動(dòng)級(jí)文檔加解密控制技術(shù)，通 過對(duì)操作系統(tǒng)底層操作的監(jiān)控， 阻止任何未授權(quán)的文檔操作行為；同時(shí)，任何對(duì) 指定格式文檔的創(chuàng)建、 修改和刪除操作也將被監(jiān)控， 可以實(shí)現(xiàn)文檔創(chuàng)建之后的自 動(dòng)加密、按默認(rèn)密級(jí)授權(quán)、文檔瀏覽自動(dòng)解密等功能。 自動(dòng)加解密的過程對(duì)用戶來(lái)說(shuō)是完全透明的， 不改變用戶的操作習(xí)慣， 也不 影響合

9、法用戶的正常使用。 采用驅(qū)動(dòng)級(jí)的自動(dòng)加解密技術(shù)， 解決了一般文檔加密技術(shù)的一大缺點(diǎn)： 即需 要將文檔轉(zhuǎn)換成專有加密文件格式， 用戶需要專門的客戶端才能使用。 采用這種 技術(shù)不需要用戶安裝額外的軟件， 不改變用戶使用習(xí)慣， 也消滅了文檔格式轉(zhuǎn)換 這個(gè)需要用戶操作的過程，便利了用戶的使用。 自動(dòng)對(duì)文檔進(jìn)行加解密， 可以確保電子文檔只能在授權(quán)的應(yīng)用環(huán)境 （計(jì)算機(jī)、 服務(wù)器等終端） 中，被授權(quán)的用戶（文檔的作者， 以及授權(quán)解密者） 解密和應(yīng)用， 從而有效控制了電子文檔的應(yīng)用范圍。 這時(shí)，即使有些不法分子通過一些特殊手 段繞過了身份認(rèn)證系統(tǒng)而進(jìn)入體系，也無(wú)法將文檔或具體內(nèi)容帶到授權(quán)環(huán)境之 外。同樣，系統(tǒng)

10、內(nèi)部的人員將加密的電子文檔帶入到其他環(huán)境中一樣無(wú)法應(yīng)用和 解密。 2.4.3 權(quán)限實(shí)時(shí)控制 通過身份認(rèn)證和數(shù)據(jù)加解密技術(shù)，非授權(quán)的用戶已經(jīng)無(wú)法獲取 XX 部委內(nèi)部 的電子文檔， 但是這并不能完全杜絕電子文檔及其內(nèi)容的外泄。 因?yàn)閮?nèi)部人員是 最為容易得到機(jī)密信息，也最容易泄露機(jī)密信息，所以說(shuō)， 對(duì)于文檔的安全管理 來(lái)講，如何有效控制企業(yè)和機(jī)構(gòu)內(nèi)部人員對(duì)文檔的應(yīng)用是十分重要的環(huán)節(jié)。 在系統(tǒng)內(nèi)部， 對(duì)于電子文檔的安全管理主要體現(xiàn)在以下幾個(gè)方面：首先，系 統(tǒng)可以細(xì)致的劃分用戶對(duì)文檔的操作權(quán)限，包括：閱讀、編輯、打印（打印次數(shù) 限制）、復(fù)制粘貼、截屏以及完全控制（包括只讀、編輯、解密的權(quán)限），通過 對(duì)單

11、一用戶或用戶角色的細(xì)致授權(quán)， 完全滿足不同用戶級(jí)別和不同工作內(nèi)容對(duì)操 作權(quán)限的不同要求。這樣， 既保證文檔在共享狀態(tài)下的安全使用， 又可以完全控 制文檔的使用權(quán)限，有效防止電子文檔的非法傳播。其次， 系統(tǒng)可以對(duì)用戶進(jìn)行 角色劃分，滿足對(duì)用戶批量授權(quán)或默認(rèn)授權(quán)的要求。例如，針對(duì)部門主任，可以 全部劃分到部門主任角色中，默認(rèn)就有瀏覽、編輯和打印的權(quán)限。 這樣部門主任 每次創(chuàng)建的文檔都將被授予以上權(quán)限， 不妨礙部門主任對(duì)文檔的修改和編輯。 但 對(duì)于沒有在部門主任角色中的用戶， 則文檔處于默認(rèn)加密狀態(tài)， 打開之后完全看 不到內(nèi)容，全部是無(wú)意義的亂碼。 既減少了對(duì)正常工作的影響， 又保證了文檔的 安全性

12、。 2.4.4 時(shí)間期限控制 控制公文的使用時(shí)間是文檔安全管理的重要組成部分。 通常將公文分發(fā)出去 后，接受方就永遠(yuǎn)擁有此公文的所有權(quán)，隨時(shí)可以使用該文檔中的數(shù)據(jù)信息。 這 樣很容易造成重要數(shù)據(jù)信息的外泄。 對(duì)公文的使用期限加以控制， 便可很好地解 決這一問題。例如內(nèi)部用戶調(diào)離后，公文使用到期，即使擁有此公文也不能用。 管理員能夠隨時(shí)隨地控制公文的使用期限， 根據(jù)實(shí)際情況追加使用時(shí)間或縮短期 限收回文件。 2.4.5 支持多種文件類型 SecureDOC 文檔安全管理系統(tǒng)支持主流的文檔格式和圖片文件格式，充分 滿足政府用戶保密的需要。系統(tǒng)支持的主要文件格式有： Microsoft Office

13、 Word 2000/XP/2003 文件擴(kuò)展名 doc ； Microsoft Office Excel 2000/XP/2003 文件擴(kuò)展名 xls； Microsoft Office PowerPoint 2000/XP/2003文件擴(kuò)展名 ppt ； Microsoft Office Visio 2000/XP/2003 文件擴(kuò)展名 vsd； Adobe Portable Document Format 5.0/6.0 文件擴(kuò)展名 pdf 文本文件 Bitmap 圖像 Graphic Interchange Format 圖像 JPEG圖像 PNG 圖像 Autodesk AutoCA

14、D 文件擴(kuò)展名 DWG 2.4.6 支持離線模式 日常工作中許多工作人員可能需要將文檔帶回家中繼續(xù)使用， 這時(shí)文檔將脫 離工作環(huán)境，從而自動(dòng)進(jìn)入保密狀態(tài)， 員工將無(wú)法打開文檔進(jìn)行操作。 為解決這 一問題， Secure Doc 文檔安全管理系統(tǒng)可以對(duì)文檔的離線（脫離工作環(huán)境）操 作進(jìn)行授權(quán)，用戶即可在家中通過本地認(rèn)證使用文檔。 離線模式需要用戶向管理員進(jìn)行申請(qǐng)，由管理員在服務(wù)器端審核通過之后， 用戶的客戶端將收到相應(yīng)的授權(quán)。用戶在離線狀態(tài)下通過USB智能卡認(rèn)證后, 客戶端將會(huì)根據(jù)存儲(chǔ)的離線授權(quán)自動(dòng)為用戶進(jìn)行文檔加解密操作， 并監(jiān)控用戶的 操作情況,任何未授權(quán)的行為均會(huì)被阻止；無(wú)論是合法還是非法

15、的操作,客戶端 也都會(huì)記錄到日志中， 一旦電腦進(jìn)入了工作環(huán)境， 這些日志均會(huì)同步到服務(wù)器端， 供審計(jì)管理員進(jìn)行審查。 Secure Doc 文檔安全管理系統(tǒng)客戶端可以自動(dòng)檢測(cè)用戶電腦所處的工作環(huán) 境，自動(dòng)在離線或在線模式中切換，無(wú)需用戶進(jìn)行手工干預(yù)。 2.5 產(chǎn)品特點(diǎn) 2.5.1 先進(jìn)的用戶身份認(rèn)證功能 SecureDOC文檔安全管理系統(tǒng)采用USB智能卡來(lái)對(duì)終端用戶進(jìn)行信息認(rèn)證 方式。與傳統(tǒng)的用戶名 / 密碼登錄手段相比，硬件認(rèn)證設(shè)備具有更為突出的安全 性，確保只有用戶本人才能登錄使用系統(tǒng)、獲取文檔及權(quán)限。 2.5.2 強(qiáng)大的數(shù)據(jù)加解密功能 SecureDOC 文檔安全管理系統(tǒng)采用業(yè)界領(lǐng)先的驅(qū)

16、動(dòng)級(jí)數(shù)據(jù)加解密技術(shù)，同 時(shí)也在應(yīng)用級(jí)對(duì)數(shù)據(jù)進(jìn)行了安全保護(hù)。 用戶可以將任意類型的文件加密成密文形 式。整個(gè)加密過程安全、簡(jiǎn)便、快捷，不會(huì)生成任何可能泄密的臨時(shí)文件，對(duì)用 戶的操作也不會(huì)產(chǎn)生任何影響。 當(dāng)用戶在登錄時(shí)代億信文檔安全管理系統(tǒng)后, 可 以像操作普通文件一樣地應(yīng)用被加密保護(hù)的文件， 文件的加解密轉(zhuǎn)換完全在系統(tǒng) 后臺(tái)完成。并且，在任何存儲(chǔ)介質(zhì)中，被加密過的文件將始終保持加密格式，只 有授權(quán)用戶才能進(jìn)行解密和應(yīng)用。 2.5.3 豐富、實(shí)效的安全管理策略 SecureDOC 文檔安全管理系統(tǒng)提供豐富、全面的安全管理策略。 從運(yùn)行狀態(tài)來(lái)看， 策略可以分為在線策略和離線策略。 在線策略是指文檔安

17、 全管理系統(tǒng)客戶端與文檔安全管理系統(tǒng)服務(wù)器建立有效連接的情況下， 客戶端所 運(yùn)行的安全策略； 離線策略是指文檔安全管理系統(tǒng)客戶端與文檔安全管理系統(tǒng)服 務(wù)器沒有建立有效連接的情況下， 客戶端所運(yùn)行的安全策略。 通過采用在線和離 線兩種策略實(shí)施機(jī)制， 可以有效做到無(wú)論系統(tǒng)中的終端處于何種工作狀態(tài)， 均能 接受文檔安全管理系統(tǒng)所建立的安全管理體系的管理。 在內(nèi)容方面， 文檔安全管理系統(tǒng)安全策略具體包括存儲(chǔ)管理類策略、 網(wǎng)絡(luò)管 理類策略、文件存取控制類策略、系統(tǒng)管理類策略、其他類管理策略。 2.5.4 友好的用戶體驗(yàn) Secure Doc 文檔安全管理系統(tǒng)應(yīng)用了驅(qū)動(dòng)級(jí)文檔加解密技術(shù)，可支持任意 種文檔格式，加密后文檔格式不變，方便了用戶使用