一、项目简介
某银行在线办公系统由门户系统、OA系统和KM系统组成,日常产生和存储了大量企业重要文档,涉及企业运营的核心信息,是十分重要的核心电子资产。这些系统只有简单的保密存储、权限保护技术措施,但不能满足对重要文档的安全保密需求,也无法保护用户终端所存储的重要文档。
同时,与办公网段一样,处于生产网段的核心系统也会有重要文档的产生与存储使用保护需求。员工通过客户端软件进行网络切换,在同一台电脑终端上同时具有不同网段的文档,如何进行保护也是一个重要问题。
二、项目需求
时代亿信会同银行科技部门认真分析系统现状和网络现状,总结文档安全保护系统的建设目标如下:
实现对文档的透明加解密,不改变文件格式,用户易于接受和使用。
实现对文档的细粒度权限控制,防止用户获得文档后不受限制的任意使用文档内容。
详细记录用户对文档的操作内容,实现全面的日志审计。
实现文档的离线使用,脱离企业安全环境下也能够受控的使用。
实现对企业外部用户的文档使用权限控制。
实现与应用系统的无缝集成,对应用系统产生的文档自动加密、自动授权。
实现对不同网段应用系统的保护,兼容现有客户端网段切换程序。
三、项目建设效果
3.1整体体系结构
图:文档安全体系结构
体系组成说明:
办公网段和生产网段各部署文档安全系统,负责管理本网段的客户端文档安全服务和本网段应用系统的文档安全服务。由于办公网段和生产网段互相隔离,但又有统一的数据库网段,因此采用连接同一个数据库服务器的方式实现跨网段信息交互。
每个网段的文档安全系统都负责管理本网段的组织机构、用户和用户组信息,并对本网段用户本地文档的加密/授权、授权信息存储、权限控制和日志信息进行存储。每个网段的文档安全系统均提供根据文档来源查询不同文档权限库的文档鉴权接口服务;根据文档来源向不同文档权限库记录授权信息的授权接口服务和记录文档操作日志的日志存储接口服务。
3.2一文一密的透明加解密
图:透明加解密
银行文档安全系统采用先进的驱动级文档加解密技术,默认采用128位AES对称加解密算法,可以根据应用需要替换算法和密钥长度。同时,每个文件均采用不同的密钥进行加密,真正做到一文一密。
用户可以将任意类型的文件加密成密文形式,而不需要改变文件的扩展名,同时也不需要专用的客户端程序。合法用户双击加密后的文件,仍然使用该类型文件原来相关联的应用程序打开密文文件,因此加解密过程对用户透明,不改变用户使用习惯。
合法用户在双击查看密文过程中,文件自动解密,并且本机磁盘上不会生成任何可能泄密的临时文件,对用户的操作也不会产生任何影响。密文被编辑保存,或者拷贝到任何存储介质中,将始终保持加密状态,只有授权用户才能进行访问。
3.3细粒度权限控制
图:文档安全细粒度权限控制原理
银行文档安全系统对加密文档细粒度的权限控制,主要包括阅读、编辑、复制、打印、打印水印、拷屏等权限,延伸出来的离线、分发、外发、脱密权限,以及配合上述权限所使用的绑定硬件信息、MAC地址、IP地址、IP地址段的高级权限控制策略。
阅读:控制文档阅读
编辑:控制文档不允许被编辑
复制:控制剪切板,防止文档内容通过剪切板复制
打印:控制文档打印及打印时是否加入水印
截屏:对常用的截屏软件和屏幕录像软件进行控制
分发:控制文档是否可以再授权
离线:控制文档是否可以脱离指定的企业办公环境使用
外发:控制文档是否可以发送到企业外部机构、客户、合作伙伴
解密:控制文档是否可以被解密
智能卡绑定:绑定USB智能卡身份识别
主机绑定:计算机主机信息(IP、MAC、机器唯一标识)
时间控制策略:可使用的时间段
分发高级策略:可分发哪些权限
离线高级策略:离线可具有哪些权限
外发高级策略:外发可设定哪些权限
3.4文档离线控制
银行文档安全系统通过设置离线权限组来控制用户是否可以在脱离企业环境的情况下使用加密文档,用户在文档安全客户端登录或退出时,自动从服务器同步离线权限策略。
客户端在离线状态下使用时,自动启用离线权限策略,控制加密文档在离线状态下的使用权限。
管理员可以通过文档安全管理系统对个别人临时生成离线策略文件,文档安全客户端可以导入相应策略文件。
本地自己加密的文档,离线默认有所有权限。
3.5文档外发控制
银行文档安全系统通过客户端方式,可使用右键菜单制作外发文档包,如果文档中有密文,客户端自动判断用户是否对该文档有外发权限。如果没有外发权限,需要用户申请后才能进行外发操作。如果文档是明文,客户端直接本地生成外发文档包。
外发包可控制外部用户对包内文档的阅读、复制、打印等权限,可设置外部用户使用凭证为口令,还可设置与外部用户的硬件信息(IP地址、MAC地址、CA智能卡)进行绑定,提高外发文档安全性。
外发文档包如果需要时间控制,可在制作时设置起始时间和结束时间,当外发文档被查看时,外发文档包判断本地时间是否在设置时间范围内,每次打开记录最后打开时间,下次打开时根据该时间做判断。
文档外发包为双击自解压文档,接收方无需手工安装任何客户端,即可受控操作文档。
3.6灵活的授权策略
银行文档安全系统设置了多种授权策略,以满足企业多种使用环境,包括:可信进程授权策略
基于进程的控制方式,可以让用户在终端打开编辑器时就对编辑器进程进行过滤驱动保护。在完成文档创建或编辑后,创建者通过“文档安全客户端”对文档进行基于组织机构的细粒度访问授权,客户端通过向 “文档安全服务端” 实时获取组织机构信息以及全局策略,允许用户向保密文档进行超过10种访问策略授权。
经过加密授权的文档,不论存在于终端本地或各类业务系统中,任何人需要正确阅读、使用该文档时都需要符合创建者的授权方可进行。
特定文件格式授权策略
可对指定格式文档的创建、修改和删除操作进行监控,实现文档创建之后的自动加密、按默认密级授权、合法用户浏览文档自动解密等功能。自动加解密的过程对用户来说是完全透明的,不改变用户的操作习惯,也不影响合法用户的正常使用。
用户授权模型
通过对单一用户或用户组的细致授权,完全满足不同用户级别和不同工作岗位对操作权限的不同要求。同时,系统通过对用户进行用户组划分,满足对用户批量授权或默认授权的要求。这样,既保证文档在流转过程中的安全使用,又可以控制文档的使用权限,有效防止电子文件的非法传播。
终端授权策略
通过对终端进行计算机主机信息(IP、MAC、机器唯一标识)授权,使指定的文档与指定的主机绑定,即使非法获得文件也无法打开。
3.7与应用系统无缝集成的文档保护
银行文档安全系统与OA系统与SVN系统均进行了无缝集成,满足了用户使用应用系统过程中对文档的保护需求。
与OA系统的无缝集成
文档安全系统提供加密、解密和授权接口,完成对OA中流转公文批量或单个的加密、解密和授权。当OA中已有或新建公文需要加密时,可通过在OA中选择加密,通过调用此接口的加密方法,完成对该文档的加密;当OA中已有或新建文档需要解密时,可通过在OA中选择解密,通过调用此接口的解密方法,完成对该文档的解密;当OA中已有加密文档的权限信息需要与文档安全系统同步时,可通过调用此接口的授权方法,完成对已有加密文档的权限信息同步;当在OA中对加密文档进行权限信息变更时,也可通过调用此接口的授权方法,完成与文档安全保护系统权限信息的同步。
与SVN系统的无缝集成
集成后对SVN目录和文档的维护均在文档安全系统完成,用户在本地提交上传文档到SVN时,文档安全客户端截获判断该文档是否已经发布,如果没有,则将该文档对应SVN的路径发布到文档安全系统,文档安全系统判断该目录是否已经存在,如果不存在,新建目录,同时建立该文档与目录的关联有关系。
同时,文档安全客户端对用户提交上传的文档也会进行自动加密,确保文档在服务器上存储和使用的安全。文档授权同时支持目录授权和用户授权,用户可以在本地同步SVN文档后,右键对单个或多个文档/目录进行授权,文档安全系统根据该文档的权限信息,将SVN对应的读、写权限实时同步到SVN系统。
文档管理员可登录文档安全系统对SVN单个文档/目录进行授权。同时根据该文档的授权信息,将SVN对应的读、写权限实时同步到SVN系统。
四、经验总结
“某银行文档安全工程”的成功经验总结如下:
1.采用时代亿信SecureDOC文档安全产品,具有成熟、稳定的驱动级透明加解密技术,用户易于接受和使用。
2.采用一文一密、密钥和密文分离存储、客户端与服务器端安全通道通讯等技术最大限度增强系统整体安全。
3.支持多种安全策略,并可与硬件信息、网络信息进行绑定。
4.明密文同时使用,互不影响。
5.与应用系统无缝集成,在用户使用应用系统文档过程中自动进行保护,无需用户手工操作。
6.具有文档外发功能,接收方无需安装客户端即可按照被授予的权限使用文档。
7.时代亿信SecureDOC文档安全产品通过国家保密局、公安部产品检测,满足计算机等级保护技术规范。
详情请登录时代亿信官网:http://www.eetrust.com/
或关注时代亿信微博:http://e.weibo.com/shidaiyixin
# # #
关于时代亿信
北京时代亿信科技有限公司是一家致力于企业应用整合及信息安全整体解决方案的专业技术服务公司。公司依托首都科技产业优势,专注于数字证书应用、企业应用安全、企业应用整合及相关领域的软件研发与技术服务,为客户提供整体的应用安全解决方案。凭借团队优势和综合技术能力,公司相继独立完成了身份认证、统一身份管理与访问控制、文档安全保护、SSLVPN等一系列创新产品的研发和推广,积累了丰厚的专业技术实力和成熟的客户服务经验,经过不断努力,已经成为企业应用安全及整合领域领先的解决方案提供商。
