基于文档全生命周期的防泄密解决方案，张文，杨榆，企事业单位的主动泄密和被动失密风险逐年递增，但现今解决方案仅集中于风险问题的某一方面，存在局限。本文研究并提出了基于文档
山国武花论文在丝 解决方案 根据问题模型的分析可知,基于文档全生命周期的防泄密方案需要解决如下问题。 第一:文档流转环节,应该保证流转可控。现有方案多采用加密方式限制文档的内容从 内部流向外部,但没有解决单位内部越权扩散问题。流转控,旨在达成这样的效果:用户 之闩的文档流转在系统留卜“电了足迹”;管理人员可在需要吋掌握特定文档的分布和历史 使用情况。因此,流转控制需要既能对文档进行安全共享又能够便于管理人员管理。 第二:文档的存储环节,加密存储固然是基本思想,但是,现有加密存储方案存在如下 问题。首先,对于加密密钥常以固定密钥为主,这样虽然能对文档外泄起到一定防范作用, 但是却存在严重的安全性隐患。当一份密文被破译,随之而来的是大量密文的破译。其次, 现有解决方案下,由于加密粒度的局限,系统在使用过稈中可能公产生明文,从而为用户提 供泄密途径。此外,现有方案常要求用户对文档进行主动加解窣,严重景响用户体验的同时 更容易暴露系统潜在的漏洞。针对以上问题,需要设计一套安全的加密方案,保障系统安全 性的同时不失易用性 第三:在文档生命周期中,纸质打卬文档是一个特殊的形态。对于纸质文档的管控,已 经超过了现有防泄密系统的边界,原则上只能依靠合规的管理制度,而制度的约束往往存在 局限。因而有必要从技术上对纸质打印文档进行管控。 第四:任何系统都不可能设计得滴水不漏,数据防泄密系统也是如此。现有数据防泄密 系统还无法识别潜在的风险,而濬在风险往往是泄密的源头,因而,有必要对防泄密系统中 的潜在风险进行智能识别并加以处理 流转控制 文档流转是企业内部最常见的业务,文档最初由一个用户维护,通过流转被多个用户共 享。因而,沇转作为·种文档的扩散行为需要对其进行严格控制。完善的审批机制,能够从 管理上为流转的控制提供首要保障,同时也为文档的流转宀生了“电子足迹”。企业内部的 用户常被划分为不同部门,不同部门又存在不同的负责人(或责任人),每位负责人又对应 若干个上级领导。这样对于一个流转的过程可以通过部门内部审批结合上级领导审批,实现 管理上的控制。 山国武技论文在丝 级审批 第一级审批 市批员1中扑 审批个進过 用户A创定文档 第二级审批 第二级审批 将文档流转 使用文档 中批员2中扣 中批完成 第三级审批 第三级审批 等待主管审批 审批员3审批 中批个追过 流程结束 越权使与文档,文档被删除 审批结果 审批通过→ 用广E得到 用户完成使 电子文档 用户B使用文档 第一级审批 第级审批 审扰员1审批 中批不通过 第二级审批 第二圾审批 将文档流转、用宀c获取 部门主管审 给C 又档 审扎员2审批 审北完成 第三级审扎 等待亠管审批 第三级审批/ 审扰员3中批 市批不通过 流程结束 任务未完成 审批通 用户使 等待A用广 用户A销設 文档 文档流转任务完成 通知用户A销毁文 图流转审批过程 模拟涉密文档的流转场景,首先用户起草电子文档,电子文档需要发送给用 户填写相关信息、,并且用户只能阅读、修改文档,不允许打印。用户对文档修 改后再将发送给用广。用广收到文档,对文档进行校正,并打印,至此整个流 程处埋完毕。由于文档沇转属于对敏感数据的咼危操作,因而需要对其进行严格的控制。首 先,对于重要文档的流转需要引入审批机制,并且支持多级审批,即部门内部审批通过后还 需提交至上级鄙门继续审批,如图所示。第二,涉密文档经过流转,文档被共享,操作涉 密文档的用户已经不局限于文档的最初创建者。因此,用户在使用文档时,需要对其进行权 限控制,一旦发现越权使用,需立即终止文裆的生命周期。例如本场景中,用户收到 发来的文档,本应该填写信息后发送给,然而却尝试打印该文档,此时系统应拒绝 的打印请求,同时销毁文档 加密存储 加密存储环节是数字防泄密解决方案中的重要组成部分,依靠对数据的加解密实现防泄 密。本节将从加密粒度、加密需求和密钥分配三个维度出发,构建一个安全的加密体系。 山国武技论文在丝 密钥分配 加密粒度 落地加密 图安全加密体系 加解密文件,且整ˆ过程不需要用户干预,称之为透明加解密。依靠加解密技术保 电子文档的防泄密系统,不应该让用户感知到加解密过程,这样能够在一定程度上减少系统 漏洞对用户暴露的概率。此外,以透明加解密作为数据防泄密系统的首要原则,极大提扃用 户体验的同时更能以较彻底的方式对文档进行加密。第二,“落地加密”原则,即写入磁盘 中的数据始终是被加密的。该原则使得在永久存储介质上保存的数据均为密文,无论通过移 动存储设备拷贝还是利用网络传输文档,均只能操作密文。即使设备被盗,如果密钥管理完 善,破译密文的唯一方法只有穷举密钥法。第三,“一文一密”的密钥分配方式,与此相 对的密钥分配方式为“固定密钥”,即对所有的加密文档采用单一固定式密钥。“一文一密 的密钥分配方式确保了最坏情况下,即使部份文档泄露且被破译,其他未破译旳文档依旧安 仝。此外,固定密钥分配方式,也极大的限制了文档的流转,使得文档在不同用户之间流转 需要进行复杂的密钥管理。 打印追踪控制 识别打印者 嵌入水印 提取水印 图打印追踪过程 数宁水印是将一些标识信息直接嵌入数字毂体当中,且不景响原载体使用,也不容易被 探知和再次修改,但可以被生产者识别和辨认。打印追踪,即在纸质打印文档中嵌入可追 踪打印者身份的数字水印。当泄密者利用自己合法权限打印文档,并恶意传播该纸质文件时, 由于纸质文档中嵌入打印者身份信息,因而该信息可以成为公安机关追查的线索和立案的 依据,如图所示。 风险预警 在数宁防泄密系统的保护下,一些操作被视为存在潜在风险的高危操作,如:盘拷贝 文档、网终传输文档、频繁打印文档等,对于这些操作需要精准识别并加以审计。针对内部 用户的泄密行为可以分为有意识泄密和无意识泄密。在文档的使用过程中,有些用户频繁尝 山国武花论文在丝 试高危操作,其目的可能试图挖掘系统漏泂以使进行泄密操作,也可能是单纯的无意识行为。 无论出于哪种目的,这类行为均会给涉密环境带米潜在风险。因而系统必须能够对全局风险 进行识别,同时存在一套被动反馈机制,当髙危操作次数达到风险阈值时,进行相关处理。 总控中心 策略服务器 策賂下达,对 相关设备禁用 (9) 用户对设备的 使用信息被采 集,并分析 端用户 风险预警中心 图风险预警模型 数据防泄密系统中常见的风险预警杋制往往和用户终端设备相关联,如图所示。用户 对文档的操作被系统实时审计,并釆集到风险顶警中心。风险顶警中心会根据用户的操作 审计信息生成全局的风险顶警统计图,供管理员∫鮮系统的全局风险。同时,用户在文档操 作过程中,当对某设备的使用过于频繁,风险预警中心就会通知策略服务器,对用户终端 下达相关设各禁用策略。这种风险预警机制能够从主动统计和被动处埋两个方面达到风险的 评估和预防。 相关技术 加密算法 数据加密即将明文数据按某种算法进行处理,使其成为不可读的一段代码,通常称为“密 文”,只有在输入相应的密钥之后才能显示出正确的内容。该过程的逆过程为解密,即将该 编码信息转化为其原来数据的过程。根据加解密数据的密钥是否相冋,加密算法可分为对称 加密和非对称加密。 非对称加密算法需要两个密钥:公开密钥和私有密钥。公开密钥与私有密钥是一对, 如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据 进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥, 因而被称作非对称加密算法。对称加密指加密和解密使用相同密钥的加密算法ε对称加密技 术效率高,算法简单,但由于加密密钥与解密密钥相同,因而需要对密钥进行复杂的管理。 非对称加密虽然效率较低,但是由于加密密钥和解密密钥不同,因而不需要额外的安全信道 来传送密钥。 技术 操作系统是一个基」消息传递札制的多任务操作系统,所有带有界面的应用 程序均由事件所驱动。例如,当用户在应用程序中点击鼠标左键,操作系统会感知到这 事件,然后将此消息放到应用程序的消息队列中,应用程序从消息队列中取出消息,并将 山国武花论文在丝 这条消息调度给操作系统,操作系统会调用在设计窗∏类吋指定的应用程序窗∏过程对这 消息进行处理,处理的过程即是根据消息的不同调用不同的系统函数完成特定的功 能。钩子是 操作系统中一项非常重要的技术,通过钩子可以截获并处理应用程序 内部或不同应用程序之间传递的消息,来实现普通应用程序难以完成的功能。 钩 子主要分为两大类,一类是上述所讲的截获应用程序消息传递的消息钩子,另一类则是截获 函数调用的钩子( 关键技术 密钥管理 针对于电子文档生命周期的流转环节,加密文档需要在不同的用户之间交换,而每个电 孑文档对应一个独立密钥,为」使文档安全流转,需要对密钥进行有效管理,既能够抵御攻 击又能够保障流转安全。 定义:基」文档流转 )的安全加解密方案由五个算法 组成∑ ,系统存在 可信第三方 概率算法,随机产生具各密钥结构的字符串 对称加密算法,输入明文,随机密钥,输出密文 对称解密算法,输入密文及解密密钥,若密文属性满足密钥存取 结构则输出明文 非对称加密算法,输入明文密钥,指定公钥 ,输出加 密后的密钥 :非对称解密算法,输入密文,指定私钥 ,若明文属性满 足密钥存储结构则输出解密密钥 用户利用密钥生成函数( )随机生成一个密钥,并用对明文文档 加密( ),生成加密文档。 用户利用的公钥加密随机密钥,得到加密密钥 用户将加密文档发送给用户,将加密密钥发送给 收到后,利用自己的私钥对加密密钥进行解密,得到随机密钥 利用的公钥对随机密钥进行加密,生成加密密钥 将发送给用户 山国武花论文在丝 用户利用自凵的私钥解密,得到随机密钥 用户利用随机密钥对密文解密得到明文 上述密钥管方案利用对称加密完成对文档数据的加密,非对称加密完成对文档密钥的 加密,实现加密数据的流转可控。绎验证,在上述流转传输过稈中,传输效据被仼何第三方 截获,都无法利用截获的数据在常数事件内完成对加密文档的破译, 权限控制 文什复制控制 打印控制 文件剪切控制 剪贴板控制 ApiHook 文件删狳控制 截屏控 文件粘贴控制 另存为控制 通信 用户模式 内核模式 内核加解 文件过滤驱 DT HOOK 图权限控制模型 在文档生命周期的使用阶段,杖限控制机制用来防止用户越杖使用。由于用户对文档的 操作均是通过调用一系列系统函数米实现,包括打印、截屏、文档删除等。因而,对 文档权限的控制依赖对系统相关的拦截。此外,对权限的控制需要结合加密手段,为 控制提供第层保障,保证控制过程中文档的加密状态。权限控制的技术方案分为用户模式 和内核模式两部分,如图所示。在用户模式下,模块以的形式注入到其它各个 应用稈序进稈中,通过拦戗特定操作的系统,实现对文档操作的截获与控制。内核模式 下分为文件过滤驱动和 驱动两大模块,两者通过与应用层模块通信共同 完成文档的透明加解密。 系统实现 通过对上述解决方案和关键技术的分析,本文设计并实现了 平台下基于文档 全生命周期的数据防泄密系统。 文档加密存储 0ra1e数据课程表 he11扩展.丁av技术 库.pdf 图加密文档图标 山国武花论文在丝 00000n:5。314自自台o0 B 00 00 0021DDEc:P 0000010h:9537660100002005000013000802 43:?王。 000000201: 6F 6E 71 65 62 71 5E 70 65 73 5D 2E 78 6D ontcnt Typca]Nm. 000003:620五2n22Ao口2g如如00;2(?,。,。 0000040h:0000000000000000000000a00000 00000050h:00000000000000000000000000000000 900090n:0000000◎00g000000g09009000g;,"",,,,a""■,, 0000007ah:00a0000000000000000000000000 图文档加密前 00000000h:矗942B9Ec52c1010150c4cD9回7EB47AD;诡?....工變堂? oo0oh: OF FD 5C CE61r3B5aBrD5Bs273 AD E8 BF C3:.紆苳蟮x扭棵 00000020h:1B520c1AE20A3D3885c03AEED6 E FO DD;.R..?=8甲;n疠 00030h:A93D0AF217941438cA纟EFF7c557E3:?..!yC孳打W? 000000h:con66D5ac2roor93o72r47p4cr1;辣f轻馒.?./G鳳? 0000000n:410FB654B27508BBDA908EEB818c;a.禩瞰p盛?瞑? 00000060h:D EA4EDBc66409E6624a7 RD CC FR:厶a.*帖 00000070h:BA40DD8D923F262cCFB5BB9F3E05B214:箭?,险裨》.? 图文档加密后 文档一日在磁盘上创建便会被加密,且加密文档的图标有别于其他文什,如图所示 对文档的加密读写过程由系统自动完成,无需用户干预。由于文档在磁盘中加密存储,如果 尝试利用非法手段对文档进行窃取并脱离管控环境,也无法更改文件的加密状态。图、图 分别显示了一个文档的前个字节,加密前和加密后的区别。加密前的数据为 文档标准头,该头部信息用来引导相关文档编辑器读取文档,而加密后变为乱码,此时编辑 器凵无法正常读取该文档。 文档流转和权限控制 发布在线使用权限 部门信息 接收方设定 折有 R是3时市E1及而日 UM'C3 M089设置 可编辑 「打开 区H部] 是否可打田 打开次 密饭 有效时长 再发布 ●内部秘密 密绝 有效时长0天 可再发布 文件信 文件x小包含文件效 c: Users zhaowen Desktop新建 Microsof0千 fce Wcrd文档dccx 审批信息 添加文件或文件卖 取消所有文件 发布 部门 軍批员 4M12:·请输入外单位人员用户D 图文档流转界面 用户通过“文档发布”功能实现文栏的流转,在发布界面中选择审批员并设定该文档的 使用权限,如图所示。文档所有者通过该界面接口,实现对电子文档纽粒度(打印次数、 山国武花论文在丝 打邝次数、是否叮绵辑、是否可再发布等)的权限设定,防止用户通过越权使用该文档造成 敏感数据外泄。当用户通过流转获得该文档后,任何越权使用该文档的操作都将被拦截 打印追踪实现 荷塘月色 这几天心里颇不宁静。今晚在院子里坐着浜詠,忽然想起日日走 过的荷塘,在这满月的光里,总该另有一番样子吧。月亮渐渐地千度 了,墙外马路上孩子们的欢笑,已经听不见了:妻在星旦拍着闰儿 迷述糊糊地哼着眠歌。我悄悄地拔了六衫,带上门出去。 沿着衠塘,是一条曲折的小烂屑路。这是一条幽僻的路;白天也 少人走,夜晚更加寂窭。衢塘四面,长着许多糊,蓊蓊郁郁的。路的 旁,是些杨柳,和一些不知道名字的树。没有月光的晚上,这路上 阴森森的,有些怕人。今晚却很好,然月光也还是淡渎的。 这几天心里颇 插入插 插入1插入1 图嵌入水印的电子文档 用户进行文档打印操作。在打印过程中,系统拦截打印任务,并使用虚拟打印机将文档 转换为图片。系统获取当前用户的身份信息,并将该信息转换为二进制编码,然后以数字水 印的形式嵌入到图像中。嵌入的过程即利用调整文档中文字间距,通过细微改变文字间距 到个像素即可对二进制值、进行嵌入,而到个像素的字间距变化对于肉眼是无 法察觉的,如图所示(标识用广为 的用户)。嵌入完成后,系统将带有 水印的图片父由物理打印机打印,此时打印出的纸质文档已嵌入打印者身份信息,整个过程 对打印者透明。当该纸质文档导致泄密事件发生后,通过扌描该纸质文档并提取水印信息, 便能追查到相关责任人,实现防泄密。 风险预警 回空风险预鲁计图 文件审一沉十图 文件信息 评估规则 硕发四部:2个 研发一部3个 》3文件的专过广 4用户可再发布 研发一邰.3 》6用广将文件从修动设量拷入本札 撰作事件 會 测试部.1 图风险预客图 系统对用户的文档操作、终端设备使用情况的信息时时审计并加以统计。系统将用户的