TPS瞬间保护系统的4大策略.docVIP

TPS瞬间保护系统(加密软件)的4大策略 1文件策略 1.1 TPS定律 TPS系统的功效用16个字来描述便是“重要数据，强制加密；于内无碍，对外受控”。由于对用户的不同部门而言，所谓的“重要数据”也可能是不同的。例如对于技术部而言，各种CAD绘制的图形文件就是重要数据；而对财务部而言，各种报表可能才是需要保护的。 TPS系统的特点之一就是允许用户的系统管理员自行为每一个涉密终端定义“重要数据”。这便是通过文件策略来实现的。 每一个文件策略都包括两个名单：涉密应用（或称“涉密程序”）和涉密后缀。涉密应用和涉密后缀对TPS客户端有着极其重要的影响，可以归纳为以下“TPS三大定律”： TPS定律一： 由涉密应用产生的任何文件（无论其后缀是什么）都会被自动加密。 TPS定律二： 以涉密后缀为后缀的文件（无论用何种方法生成）也都会被自动加密。 TPS定律三： 一个密文文件只可能被涉密应用正确地打开（即在打开之前被自动解密）。 由于文件策略属于名单式策略，所以一个涉密终端可以同时具备多个文件策略。某涉密终端的涉密应用是它所有文件策略的涉密应用的并集；其涉密后缀也是它所有文件策略的涉密后缀的并集。 1.2 TPS定律详解 例如，某涉密终端有两个文件策略，名称分别是“办公”和“设计”。文件策略“办公”的涉密应用有：MS Word、MS Excle，涉密后缀有：*.doc、*.xls；文件策略“设计”的涉密应用有：AutoCAD、SolidWorks,涉密后缀有：*.dwg、*.iges。那么，该涉密终端的涉密应用就是：MS Word、MS Excle、AutoCAD和SolidWorks；其涉密后缀是：*.doc、*.xls、*.dwg和*.iges。 我们可以借用下面这个例子来更好地理解文件策略的表述。 假设上例中所述涉密终端，应用程序MS Word是涉密应用，而应用软件写字板不是涉密应用；后缀doc是涉密后缀，后缀txt不是涉密后缀。那么： MS Word生成的*.doc和*.rtf文件均是密文（TPS定律一）； 从U盘复制到硬盘上（或者反向）的*.doc文件均是密文，写字板保存的*.doc文件是密文（TPS定律二）； 写字板无法正常打开任何密文文件，无论该文件的后缀是*.doc还是*.rtf（TPS定律三）； 写字板生成的*.rtf文件则是明文。 MS Word不仅可以正常打开*.doc密文，也能够正常打开*.rtf密文（涉密应用软件打开任何密文时，文件都会被自动解密，只要该应用软件识别这种后缀）。 2 控制策略 2.1 寻访服务器周期 从安全角度考虑，TPS本应要求涉密终端随时保持和服务器的连接。但如果严格执行这样的要求，会造成网络负载过大。所以，TPS系统允许涉密终端“定时”而不是“随时”检查它与服务器的连接状态。这个周期，由系统管理员在控制策略中加以规定。与服务器断开连接的涉密终端，将无法再正常读写密文文件。为了进一步降低对网络和服务器稳定性的依赖，TPS允许这样一种特例：涉密终端在登录了服务器之后，直至关闭（或者重新启动）Windows操作系统，便不再检查与服务器的网络连接。然而需要说明的是，这种特例对于便携式涉密终端而言是存在较大安全风险的，所以我们强烈建议用户只将这种控制策略的特例分发给台式计算机。 2.2 涉密打印 由于将电子文件打印出来这也是一种泄密风险，所以TPS将“是否允许打印密文文件”作为控制策略的另外一个内容。 与文件策略不同的是，控制策略是一种开关式策略。一个涉密终端不可能同时拥有多个控制策略。如果将一个控制策略分发给某涉密终端，那么该涉密终端以前的控制策略将失效。 2.3 涉密复制、粘贴 用涉密应用打开一个密文文件，然后将文件内容“复制-粘贴”到另外一个正在编辑的非涉密应用文件中，最后将正在编辑的文件保存为非涉密后缀文件，就会造成泄密。为了防范这一风险，TPS的控制策略可以禁止从涉密应用向非涉密应用复制-粘贴文件内容。但是，即便禁止了这种“复制-粘贴”行为，用户还是可以正常地在涉密应用之间、或非涉密应用之间进行复制-粘贴，也可以从非涉密应用中将文件内容复制-粘贴到涉密应用中。下表说明了TPS系统在管理涉密终端各应用软件之间进行文件内容的“复制-粘贴”的效果。 源应用 目标应用 涉密 非涉密 涉密 允许 允许 非涉密 由控制策略来控制 允许 3 明文收件人策略 3. 1 明文收件人策略概念 对于涉密终端用户而言，有些人是需要经常与之打交道的。这些人可能是上司，也可能是上级单位的领导和员工。总而言之，对于涉密终端用户而言，他们都是被假设为“可信任”、“可信度较高”的人。 这些人可能没有安装TPS客户端程序，也可能安装了TPS客户端程序但是采用了不同的密钥，而同时又需要从涉密终端用户那里收到明文邮件。