电子文件密级治理系统的关键技术和设计.docVIP

电子文件密级治理系统的关键技术与设计 管理文库 【作者名称】：王文宇，陈尚义 【作者单位】：中国软件与技术服务股份有限公司 【期刊名称】：《信息安全与通讯保密》 【发表时间】：2009年第01期 【摘要】：密级电子文件具有易复制和易更改的特点,如何保证密级电子文件共享和访问的安全,是目前面临的突出困难。通过文件加密和密级标识的方式,保证不同密级的电子文件只答应安全级别即是或高于文件密级的用户访问,且密级文件的内容和密级均不可更改。以上方法可从根本上防止密级文件的信息泄密和越权访问。通过基于文件系统过滤驱动的透明加解密技术,对文件进行加密和访问控制。同时,由密级治理系统对密级文件、访问进程等进行同一的审批和授权。综合以上方法,可保证文件在整个生命周期内的保密性、完整性和一致性。 一、引言 据美国FBI调查结果显示，每年因各种安全漏洞造成的损失中，30%-40%是由电子文件泄漏造成的；Fortune排名前1000家的公司中，每次电子文件泄漏所造成的损失均匀为50万美元。在国内，文档保护也越来越受到重视，根据国家标准BMB17-2006(《涉及国家秘密的信息系统分级保护技术要求》)、BMB20-2007(《涉及国家秘密的信息系统分级保护治理规范》)、BMB22-2007(《涉及国家秘密的计算机信息系统分级保护测评指南》)的有关要求，对涉密信息系统中产生、存储、处理、传输、回档和输出的信息均需进行密级标识。但是，由于电子文件易更改和易传播的特性，如何保证设定密级和标定密级后电子文件的安全性，保证涉密电子文件不发生信息泄漏，文件主体和密级标识不被分离、篡改，是目前面临的一项重要工作和严重挑战[1-2]。针对该题目，文中提出了一种实现电子文件密级治理系统的思路和方法。 二、系统概述 电子文件密级治理系统是基于Windows平台的涉密文件治理系统。该系统主要由3部分组成：密级治理中心、控终龚和涉密客户端。密级文件的创建、交流、销毁等，均需通过严格的审批程序进行同一的控制和治理。对密级文件的治理主要包含以下几个方面：密级文件需通过电子文件密级治理系统的审批来创建；密级文件一旦创建成功，即只有只读权限，其内容和密级均不可更改；若需更改密级文件的内容或者密级，均需通过电子文件密级治理系统对密级文件进行完整性验证和审批，再进行相关信息的更新；访问密级文件时，电子文件密级治理系统将根据密级文件的密级标识决定当前用户是否可获取文件明文；密级文件的内容是否答应复制、剪贴，均由该密级文件的密级标识决定；密级文件的销毁仍需通过电子文件密级治理系统的验证和审批；电子文件密级治理系统对密级文件的访问进行控制。主要包括以下两方面：第一，对访问密级文件的进程进行同一授权；第二，安全级别高于文件密级的用户是否拥有访问该密级文件的权限；密级文件的创建、销毁以及密级文件的审批，电子文件密级治理系统均记录日志，便于以后分析和审计。电子文件密级治理系统通过严格的验证和审批，同一的授权和审计，实现密级电子文件的控制和治理。 三、关键技术 根据《计算机信息系统安全保护等级划分准则》，计算机信息系统安全保护能力的5个等级由低到高分别为：1级：用户自主保护级；2级：系统审计保护级；3级：安全标记保护级；4级：结构化保护级；5级：访问验证保护级。 电子文件密级治理系统满足等级保护中3级系统的要求，即满足主、客体添加标记、强制访问控制、用户数据完整性保护。 1、密级标识 所谓密级标识，是指对受保护的电子文件划分安全等级并给定相应的标识，标识包括文件密级、使用范围、生命周期、使用次数和其他属性等附加属性。密级文件由两部分组成，一是：经过加密处理的原始文件；密级标识部分。 (1)密级标识 密级标识包含以下信息：文件密级、使用范围、生命周期、使用次数和其他属性等附加属性。 文件密级可标定为尽密、机密或秘密中的一种，在密级文件中，以1、2、3分别代表以上3种不同的密级[3]。使用范围，指有访问密级文件的权限的机器或用户。使用范围可通过机器标识或者特定局域网的用户标识、小组标识、全域标识中的一种或几种标定。其中，机器标识可为涉密客户真个硬盘序列号，或CPU序列号，或MAC地址，或GUID等机器标志。生命周期指密级电子文件从创建到销毁的时间范围。使用次数指密级电子文件答应访问的次数。其他属性包括密级文件的复制、剪切和访问控制等。 密级标识由以上信息组合而成。密级标识中的各组成元素对被访问的文件具有独立的决定权，即任何一个条件不满足，则无法访问该文件。 (2)密级标识的方法 密级文件与普通文件的区别如图1所示。 普通文件原文件体通过特定的加密算法进行加密，即加密的文件体。通过在文件尾部添加签名等基本加密信息的方式，标识该文件是否是加密文件。文件加密标识和加密的文件体组成普通加密文件。 以普通加密文件为