電子圖文當(dāng)安全加密系統(tǒng)的基本原理

　　電子圖文當(dāng)安全加密系統(tǒng)（DLP)是近幾年面世的信息化應(yīng)用產(chǎn)品，主要解決數(shù)據(jù)資產(chǎn)因內(nèi)部因素而造成的信息外泄（密）問題。以寧波數(shù)宇信息技術(shù)有限公司出品的電子文檔安全管理系統(tǒng)為例，如圖1所示，說明其基本工作原理為：

　　數(shù)據(jù)資產(chǎn)的加密

　　數(shù)據(jù)資產(chǎn)從創(chuàng)建之初就處于加密保護(hù)狀態(tài)，使數(shù)據(jù)資產(chǎn)離開企業(yè)局域網(wǎng)或本地計(jì)算機(jī)后，無法打開并操作。同時(shí)，處于加密保護(hù)狀態(tài)的數(shù)據(jù)資產(chǎn)在企業(yè)局域網(wǎng)內(nèi)或本地計(jì)算機(jī)上可以無障礙“流通”，實(shí)現(xiàn)該數(shù)據(jù)資產(chǎn)的協(xié)同作業(yè)。

　　數(shù)據(jù)資產(chǎn)的解密

　　數(shù)據(jù)資產(chǎn)的作用在于信息的記錄和交流。對于處于加密狀態(tài)的數(shù)據(jù)資產(chǎn)，由于需要向第三方提供并進(jìn)行必要的信息交流。為此，在向第三方提供之前，需要經(jīng)過得到授權(quán)的人員進(jìn)行解密，解除數(shù)據(jù)資產(chǎn)的加密保護(hù)狀態(tài)。

　　數(shù)據(jù)資產(chǎn)的監(jiān)管

　　計(jì)算機(jī)操作系統(tǒng)和眾多的應(yīng)用軟件具有多項(xiàng)對數(shù)據(jù)資產(chǎn)的操作功能，可以對數(shù)據(jù)資產(chǎn)進(jìn)行復(fù)制、拷貝、打印、傳輸、拷屏等操作。同時(shí)，利用電子郵件系統(tǒng)、即時(shí)通訊系統(tǒng)、虛擬打印系統(tǒng)、格式轉(zhuǎn)換系統(tǒng)以及FTP等方式進(jìn)行數(shù)據(jù)資產(chǎn)的轉(zhuǎn)移，導(dǎo)致電子文件內(nèi)容的泄漏。因此，在電子圖文當(dāng)安全加密系統(tǒng)（DLP）中進(jìn)行授權(quán)和監(jiān)管。

　　解密流程的控制

　　通過對解密流程的設(shè)置，確定操作者的解密權(quán)限，達(dá)到對外交流的數(shù)據(jù)資產(chǎn)的放行和控制的目的。同時(shí)，根據(jù)處于加密保護(hù)狀態(tài)的數(shù)據(jù)資產(chǎn)的屬性，實(shí)現(xiàn)多級審批和審批代理機(jī)制，進(jìn)而明確保密工作職責(zé)。

　　操作日志的監(jiān)管

　　通過系統(tǒng)的日志管理功能，對各計(jì)算機(jī)對數(shù)據(jù)資產(chǎn)的操作以及加密、解密過程進(jìn)行摘要性記錄，保全系統(tǒng)的監(jiān)管數(shù)據(jù)證據(jù)，實(shí)現(xiàn)事后的有效跟蹤和追查，起到“亡羊補(bǔ)牢”的作用。

      現(xiàn)行企業(yè)對文檔的管理現(xiàn)狀

　　在傳統(tǒng)企業(yè)中，紙質(zhì)文檔的管理采用人工管理的方式。企業(yè)建有專門存放紙質(zhì)文檔的檔案室，入庫的紙質(zhì)文檔以合訂卷宗方式的存放。查閱時(shí)，需要進(jìn)行登記。卷宗不得外借，以保全存檔文檔的安全性。對于流通的文檔，則存放在使用者手中，無安全保障的措施。而對于數(shù)據(jù)資產(chǎn)，從它創(chuàng)建之初就存放在個(gè)人計(jì)算機(jī)（或者服務(wù)器）上，任何人均可以進(jìn)行下載、復(fù)制、拷貝、傳輸?shù)炔僮鳎瑪?shù)據(jù)資產(chǎn)的安全性處于真空狀態(tài)，更談不上文檔的保密性。雖然一些企業(yè)為解決數(shù)據(jù)資產(chǎn)的管理問題，引進(jìn)電子圖文檔管理系統(tǒng)（EDM）或產(chǎn)品數(shù)據(jù)管理系統(tǒng)（PDM），對企業(yè)的數(shù)據(jù)資產(chǎn)實(shí)行集中式管理，如數(shù)據(jù)資產(chǎn)統(tǒng)一放置在文件服務(wù)器中，并對使用或訪問數(shù)據(jù)資產(chǎn)的方式進(jìn)行各種權(quán)限設(shè)置。但是，由于電子圖文檔管理系統(tǒng)（EDM）或產(chǎn)品數(shù)據(jù)管理系統(tǒng)（PDM）的局限性，所訪問或使用的數(shù)據(jù)資產(chǎn)必須下載（包括臨時(shí)下載）到本地計(jì)算機(jī)，再通過相應(yīng)的應(yīng)用軟件進(jìn)行操作。這就給數(shù)據(jù)資產(chǎn)的安全保密性帶來漏洞，使“別有用心”的人得到“可乘”的機(jī)會(huì)。打印、拷貝是常見的計(jì)算機(jī)文件輸出功能。為了防止數(shù)據(jù)資產(chǎn)通過打印、拷貝等方法的泄漏，企業(yè)往往采用封閉外聯(lián)互聯(lián)網(wǎng)、集中打印以及封閉USB端口等方式進(jìn)行保全，給信息交流的及時(shí)性產(chǎn)生不便。

　　許多企業(yè)把管理的重點(diǎn)放在產(chǎn)品開發(fā)、生產(chǎn)制造、市場營銷方面上，對企業(yè)的信息安全管理方面，缺少相應(yīng)的組織機(jī)構(gòu)或管理人員，也缺乏相應(yīng)的技術(shù)手段。特別是在信息化時(shí)代，對以電子文件形式出現(xiàn)的信息，更缺乏保護(hù)、控制和管理的方法和機(jī)制，成為企業(yè)管理方面的“短板”，使企業(yè)的知識(shí)產(chǎn)權(quán)在“無形”的過程流失。

      加裝加密系統(tǒng)后的管理機(jī)制改進(jìn)

　　電子圖文當(dāng)安全加密系統(tǒng)（DLP）的出現(xiàn)，從根本上解決了數(shù)據(jù)資產(chǎn)泄漏的基礎(chǔ)問題。存放在企業(yè)計(jì)算機(jī)內(nèi)的數(shù)據(jù)資產(chǎn)經(jīng)過電子圖文當(dāng)安全加密系統(tǒng)（DLP）的處理，始終處于加密保護(hù)狀態(tài)，任何一個(gè)數(shù)據(jù)資產(chǎn)在離開企業(yè)后，在沒有得到解密處理的情況下，均無法打開操作，包括瀏覽、更改、打印等。但是，加密技術(shù)也是一個(gè)“雙刃劍”，在保護(hù)數(shù)據(jù)資產(chǎn)內(nèi)容的同時(shí)，也造成信息交流的不便。為了解決這一問題，需要企業(yè)建立數(shù)據(jù)資產(chǎn)解密管理機(jī)制，重新劃分管理職責(zé)，分配相應(yīng)權(quán)限。因此，在使用電子圖文當(dāng)安全加密系統(tǒng)（DLP）的企業(yè)，應(yīng)該從管理體制上進(jìn)行重組，形成一套適應(yīng)新的工作環(huán)境下的管理運(yùn)作機(jī)制。

　   建立信息安全管理組織

　　在國際標(biāo)準(zhǔn)ISO/IEC 27001（信息安全管理體系）對信息安全管理的要求中，明確：建立、推行、維持及改善信息安全管理是企業(yè)高層管理人員具有監(jiān)察及控制信息安全、減少商業(yè)風(fēng)險(xiǎn)和確保保安系統(tǒng)持續(xù)符合企業(yè)、客戶及法律要求的職責(zé)，通過建立和提升信息安全管理可以增強(qiáng)企業(yè)內(nèi)部和企業(yè)之間的交流、往來的信心與信任。因此，成立企業(yè)信息安全管理組織是保證信息安全保護(hù)控制有效性的首要條件。企業(yè)信息安全管理組織一般由以下人員組成：

　　● 檔案管理員，負(fù)責(zé)數(shù)據(jù)資產(chǎn)的集中管理（包括打印管理）。

　   制定相關(guān)規(guī)章制度

　　所謂的規(guī)章制度就是指引人們行動(dòng)的方式方法。通過文件化管理的模式，可以建立起一套行之有效的工作程序，減少不必要的、影響工作效率的環(huán)節(jié)，并劃分相應(yīng)的工作區(qū)域和工作職責(zé)。因此，企業(yè)根據(jù)自身?xiàng)l件和基礎(chǔ)，分別建立：信息安全控制程序、數(shù)據(jù)資產(chǎn)管理守則、企業(yè)信息保密守則等，并對原有規(guī)章制度進(jìn)行相應(yīng)調(diào)整和修改。

　　 信息安全控制程序

　　根據(jù)企業(yè)管理模式，明確信息安全的管理對象、權(quán)限分配、工作流程以及工作職責(zé)等。特別是對數(shù)據(jù)資產(chǎn)解密、外發(fā)、打印、拷貝等環(huán)節(jié)，作出明確的規(guī)范。同時(shí)，對電子圖文當(dāng)安全加密系統(tǒng)（DLP）以及其它軟件系統(tǒng)的安裝、升級、卸載、維護(hù)等內(nèi)容作出規(guī)定。

　　信息安全控制程序是一個(gè)綱領(lǐng)性文件，是其它作業(yè)性文件的基礎(chǔ)。

　　 數(shù)據(jù)資產(chǎn)管理守則

　　按照信息安全控制程序的規(guī)定，數(shù)據(jù)資產(chǎn)管理守則是一個(gè)具體作業(yè)指導(dǎo)書性質(zhì)的文件。通過數(shù)據(jù)資產(chǎn)管理守則，對數(shù)據(jù)資產(chǎn)的文件格式、存放地點(diǎn)、外發(fā)手續(xù)、解密流程、打印模式等等內(nèi)容進(jìn)行詳細(xì)規(guī)范，使工作流程有章可循。

　　 企業(yè)信息保密守則

　　企業(yè)信息保密守則是一個(gè)具有作業(yè)指導(dǎo)書性質(zhì)的文件。通過企業(yè)信息保密守則，劃分企業(yè)機(jī)密范圍和信息保密等級。對不同的文件，納入不同的保密等級中進(jìn)行控制。同時(shí)，企業(yè)信息保密守則還應(yīng)明確企業(yè)保密制度和相關(guān)獎(jiǎng)懲規(guī)則。

　　信息安全知識(shí)教育

　　對數(shù)據(jù)資產(chǎn)采取加密保護(hù)是一個(gè)新事物，新概念的產(chǎn)生往往沖擊著人們的傳統(tǒng)思維方式。因此，通過信息安全知識(shí)的培訓(xùn)，讓全體員工了解信息安全保護(hù)對企業(yè)知識(shí)產(chǎn)權(quán)保護(hù)的重要性，自覺承擔(dān)起信息安全保護(hù)的責(zé)任。

      數(shù)據(jù)資產(chǎn)加密實(shí)例介紹

　　成立于2001年的某中日合資企業(yè)（簡稱合資企業(yè)）是中國國內(nèi)磁性材料行業(yè)唯一由國家發(fā)展計(jì)劃委員會(huì)批準(zhǔn)并通過驗(yàn)收的“高性能燒結(jié)釹鐵硼永磁材料--國家高技術(shù)產(chǎn)業(yè)化示范工程”的實(shí)施單位，主要生產(chǎn)燒結(jié)釹鐵硼產(chǎn)品，主要應(yīng)用于永磁風(fēng)力發(fā)電機(jī)、汽車EPS電機(jī)、空調(diào)壓縮機(jī)電機(jī)、永磁電動(dòng)機(jī)、高端手機(jī)、醫(yī)療設(shè)備等領(lǐng)域。

　　合資企業(yè)通過采用先進(jìn)的日本磁性材料生產(chǎn)工藝技術(shù)和德國的生產(chǎn)制造設(shè)備，大幅度提高產(chǎn)品的性能指標(biāo)和生產(chǎn)效率，使企業(yè)迅速成為同行的佼佼者，獲得國家發(fā)展計(jì)劃委員會(huì)的肯定。隨著行業(yè)地位的不斷提高和自有知識(shí)產(chǎn)權(quán)的擁有，迫切需要加強(qiáng)企業(yè)在信息安全保護(hù)方面的建設(shè)。經(jīng)過對信息安全保護(hù)行業(yè)的調(diào)研后，最終與寧波數(shù)宇信息技術(shù)有限公司進(jìn)行合作，構(gòu)建具有自身管理特點(diǎn)的信息安全保護(hù)與管理體系。

　  信息化應(yīng)用現(xiàn)狀

　　合資企業(yè)自創(chuàng)建之日起，就把企業(yè)信息化建設(shè)納入既定工作目標(biāo)之中，計(jì)算機(jī)的配備、局域網(wǎng)的建設(shè)與企業(yè)組建同步進(jìn)行，實(shí)現(xiàn)了“無紙化”辦公和“數(shù)據(jù)化”產(chǎn)品創(chuàng)新，達(dá)到科技部“兩甩”的要求。目前，企業(yè)的信息化應(yīng)用環(huán)境為：

　　● 基于移動(dòng)辦公系統(tǒng)的外出作業(yè)等。

　　項(xiàng)目需求

　　根據(jù)企業(yè)現(xiàn)有的管理模式以及發(fā)展趨勢，在考察各類信息安全保護(hù)與管理方面的各類技術(shù)與現(xiàn)行軟件產(chǎn)品的基礎(chǔ)上，提出構(gòu)建企業(yè)信息安全保護(hù)與管理體系的各項(xiàng)技術(shù)要求，重點(diǎn)解決企業(yè)信息安全由被動(dòng)保護(hù)轉(zhuǎn)為主動(dòng)預(yù)防的問題，把各種影響企業(yè)信息安全的隱患控制在企業(yè)內(nèi)部。為此，提出以下項(xiàng)目需求：

　　● 系統(tǒng)應(yīng)有網(wǎng)絡(luò)故障、通訊中斷、殺毒干擾、加密硬件損壞、加密進(jìn)程終止等應(yīng)急處理能力，提供處理緊急事件的處理時(shí)間方法。

　　項(xiàng)目實(shí)施準(zhǔn)備

　　針對企業(yè)的應(yīng)用環(huán)境和項(xiàng)目需求，數(shù)宇公司根據(jù)加密系統(tǒng)的功能以及現(xiàn)有的項(xiàng)目實(shí)施經(jīng)驗(yàn)，設(shè)計(jì)出相應(yīng)的項(xiàng)目實(shí)施技術(shù)方案，得到企業(yè)的認(rèn)可，并進(jìn)行現(xiàn)場實(shí)施。

　　實(shí)施準(zhǔn)備

　　在合資企業(yè)項(xiàng)目中，通過實(shí)地調(diào)研，從以下幾個(gè)方面進(jìn)行實(shí)施準(zhǔn)備，并得到用戶的認(rèn)可：

　　● 檢查網(wǎng)絡(luò)環(huán)境和防病毒軟件，確定各終端的IP地址以及獲取的方式。同時(shí)，要求用戶在項(xiàng)目實(shí)施前對所有計(jì)算機(jī)進(jìn)行一次（至少）全面清毒處理，確保網(wǎng)絡(luò)環(huán)境的“清潔”度。

　　現(xiàn)場實(shí)施

　　在前期工作準(zhǔn)備完畢后，項(xiàng)目進(jìn)入現(xiàn)場實(shí)施階段。加密軟件系統(tǒng)的現(xiàn)場實(shí)施分為兩個(gè)階段，即系統(tǒng)管理端和系統(tǒng)客戶端。

　　A. 系統(tǒng)管理端的實(shí)施

　　B. 系統(tǒng)客戶端的實(shí)施

　　● 通過管理控制臺(tái)對已安裝的計(jì)算機(jī)進(jìn)行初始化掃描，將已存在的數(shù)據(jù)資產(chǎn)進(jìn)行加密處理。

　　策略調(diào)整

　　在加密軟件系統(tǒng)安裝完畢后，計(jì)算機(jī)就處于加密控制狀態(tài)，所產(chǎn)生的數(shù)據(jù)資產(chǎn)具有加密控制的性質(zhì)。但是，通過一段試運(yùn)行后，需要對管理策略、加密策略以及審批流程等進(jìn)行必要的調(diào)整。此時(shí)，再通過管理控制臺(tái)按照單個(gè)需求，修正各類策略，并通過遠(yuǎn)程分發(fā)的形式，修正各個(gè)計(jì)算機(jī)直至滿足需求。

　   后期服務(wù)

　　項(xiàng)目驗(yàn)收后，緊接是售后服務(wù)。數(shù)宇公司通過遠(yuǎn)程服務(wù)（計(jì)算機(jī)連接模式）的方式，及時(shí)了解和處理企業(yè)現(xiàn)場應(yīng)用中出現(xiàn)的各類應(yīng)用問題，診斷和解答各類使用上的不惑。

　　項(xiàng)目效果

　　合資企業(yè)信息安全保護(hù)與管理項(xiàng)目的實(shí)施成功，說明企業(yè)利用信息化手段，保護(hù)自身知識(shí)產(chǎn)權(quán)方面具有高度的前瞻性。通過加密軟件系統(tǒng)的實(shí)施，項(xiàng)目初步達(dá)到以下效果和目的：