学术研究
Academ孽e
Rese毒rch
电子文件密级管理系统的关键技术与设计
王文宇1,陈尚义2
(1中国科学院研究生院,北京100049;2中国软件与技术服务股份有限公司,北京102200)
【摘要l密级电子文件具有易复制和易更改的特点,如何保证密级电子文件共享和访问的安全,是目前面临的突出难题。通过文件加密和密级标识的方式,保证不同密级的电子文件只允许安全级别等于或高于文件密级的用户访问,且密级文件的内容和密级均不可更改。以上方法可从根本上防止密级文件的信息泄密和越权访问。通过基于文件系统过滤驱动的透明加解密技术,对文件进行加密和访问控制。同时,由密级管理系统对密级文件,访问进程等进行统一的审批和授权。综合以上方法,可保证文件在整个生命周期内的保密性、完整性和一致性。【关键词】安全级别;密级标识;文件系统过滤驱动;透明加解密;审批;授权【中图分类号l
TP393
【文献标识码】A【文章编号】1009—8054(2009)10-0113-05
KeyTechnologyandDesignofSecurityClassificationManagementSystemforElectronicFile
WANGWen—yul,CHEN
Shang—yi2
(1SchoolofGraduateStudents,ChineseAcademeofScience,Beijing100049,China;
2ChinaSoftwareandTechnicalService
Corp.Ltd.,Beijing102200,China)
to
[Abstract]Theelectronicfilewithsecurityclassificationischaracterizedbyreproductionandmodification.How
ensure
secure
access
andshareoftheelectronicfileis
ensure
a
prominent
probleminmanagement
at
present.Encryptionand
ac—
securityclassificationidentificationcouldcessedbythe
user
thatelectronicfileswithdifferentsecurityclassificationshallbe
content
withsecuritylevelequal
are
toor
higherthanthesecurityclassificationofthefile.Also,the
and
thesecurityclassificationthe
access
unableto
bemodified.Bythemethodabove,theleakof
tO
informationisprevented,andwhen
to
thefileisin
excess
oftheauthority,itisprohibited.According
access
thetechnologyoftransparentencryption
based
on
thefilesystemfilterdriver,thefileisencryptedandthe
the
access
toitiscontrolled.Atthesametime£‘‘thefileis
approvedand
processisauthorizeduniformlybythemanagementsystem.Bycomprehensiveapplicationofthe
abovearguments,theconfidentiality,integrality,andconsistencyofthefilecouldbeensuredduringthewholelife-cycle.
[Keywords]securitylevel;Security;classificationidentification:Filesystemfilterdriver;transparentencryption;
approval;authorization
要求》)、BMB20-2007(g涉及国家秘密的信息系统分级保护管
0
引言
据美国FBI调查结果显示,每年因各种安全漏洞造成的
理规范》)、BMB22-2007(((涉及国家秘密的计算机信息系统分级保护测评指南》)的有关要求,对涉密信息系统中产生、存储、处理、传输、归档和输出的信息均需进行密级标识。但是,由于电子文件易更改和易传播的特性,如何保证设定密级和标定密级后电子文件的安全性,保证涉密电子文件不发生信息泄漏,文件主体和密级标识不被分离、篡改,是目前面临的一项重要工作和严峻挑战【1.21。针对该问题,文中提出
损失中,300—400/0是由电子文件泄漏造成的;Fortune排名前1000家的公司中,每次电子文件泄漏所造成的损失平均为50万美元。在国内,文档保护也越来越受到重视,根据国家标准BMBl7—2006(《涉及国家秘密的信息系统分级保护技术
收稿日期:2009-09-04
了一种实现电子文件密级管理系统的思路和方法。
1
作者简介:王文宇.1980年生,男,助理工程师,研究方向:
终端安全、网络安全;陈尚义.1965年生,男,高级工程师,研究方向:软件工程、信息安全。
系统概述
电子文件密级管理系统是基于Windows平台的涉密文
万方数据
信息安全与通信保密・2。。9.1。l
113
学术研究
Academl
c
Research
件管理系统。该系统主要由3部分组成:密级管理中心、控制台和涉密客户端。密级文件的创建,交流、销毁等,均需通过严格的审批程序进行统一的控制和管理。
对密级文件的管理主要包含以下几个方面:密级文件需通过电子文件密级管理系统的审批来创建:密级文件一旦创建成功,即只有只读权限,其内容和密级均不可更改:若需更改密级文件的内容或者密级,均需通过电子文件密级管理系统对密级文件进行完整性验证和审批,再进行相关信息的更新访问密级文件时,电子文件密级管理系统将根据密级文件的密级标识决定当前用户是否可获取文件明文密级文件的内
容是否允许复制、剪贴,均由该密级文件的密级标识决定密
级文件的销毁仍需通过电子文件密级管理系统的验证和审批电子文件密级管理系统对密级文件的访问进行控制。主要包括
以下两方面第一,对访问密级文件的进程进行统一授权;第
二,安全级别高于文件密级的用户是否拥有访问该密级文件的权限=密级文件的创建、销毁以及密级文件的审批,电子文件密级管理系统均记录日志,便于以后分析和审计。
电子文件密级管理系统通过严格的验证和审批,统一的授权和审计,实现密级电子文件的控制和管理。
2
关键技术
根据<(计算机信息系统安全保护等级划分准则》,计算机
信息系统安全保护能力的5个等级由低到高分别为:l级;用户自主保护级;2级:系统审计保护级;3级:安全标记保护级;4级:结构化保护级;5级:访问验证保护级。电子文件密级管理系统满足等级保护中3级系统的要求,即满足主、客体添加标记、强制访问控制、用户数据完整性保护。2.1密级标识
所谓密级标识,是指对受保护的电子文件划分安全等级并给定相应的标识,标识包括文件密级、使用范围、生命周期、使用次数和其他属性等附加属性。密级文件由经过加密处理的原始文件、密级标识这两部分组成:
①密级标识。密级标识包含以下信息:文件密级、使用范围、生命周期、使用次数和其他属性等附加属性。文件密级可标定为绝密、机密或秘密中的一种,在密级文件中,以1、2,3分别代表以上3种不同的密级j”。使用范围,指有访问密级文件的权限的机器或用户。使用范围可通过机器标识或者特定局域网的用户标识、小组标识、全域标识中的一种或几种标定。其中,机器标识可为涉密客户端的硬盘序列号,或CPU序列号,或MAC地址,或GUID等机器标志。生命周期指密级电子文件从创建到销毁的时间范围。使用次数指密级电子文件允许访问的次数。其他属性包括密级文件的复制,剪切和访问控制等。密级标识由以上信息组合而成。密
114
万方数据
l凹凹凹。c;smaq肥①圃o。@田
级标识中的各组成元素对被访问的文件具有独立的决定权,即任何一个条件不满足,则无法访问该文件;
②密级标识的方法。密级文件与普通文件的区别如图l所示。普通文件原文件体通过特定的加密算法进行加密,即加密的文件体。通过在文件尾部添加签名等基本加密信息的方式,标识该文件是否是加密文件。文件加密标识和加密的文件体组成普通加密文件。以普通加密文件为基础,在基本加密信息前添加该文件密级,使用范围、生命周期、使用次数和其他属性等密级标识的附加属性,形成密级文件。
密级文件
图l
普通加密文件与密级文件的区别
2.2强制访问控制
访问控制,用来控制和管理主体对客体访问的一系列规则,它反映信息系统对安全的需求。安全策略的制定和实施是围绕主体、客体和安全控制规则及三者之间的关系展开,并且需遵循最小特权原则、最小泄露原则和多级安全策略原则。其中,最小特权原则是指主体执行操作时,按照主体所需权利的
最小化原则分配给主体权力。最小泄露原则是指主体执行任务
时,按照主体所需要知道的信息最小化的原则分配给主体权力。依据信息系统等级保护规范的要求,多级安全策略原则是指仅当主体的等级分类高于或等于客体安全级中的等级分类,且主体安全级中的非等级类别包含了客体安全级中的全部非等
级类别,主体才能读客体仅当主体安全级中的等级分类低于
或等于客体安全级中的等级分类。且主体安全级中的非等级类别包含于客体安全级中的非等级类别,主体才能写一个客体。
Windows作为目前使用最广泛的操作系统,提供用户自主访问控制。而自主访问控制的一个最大问题是主体的权限太大,造成敏感信息被有意或者无意地泄漏,也无法防止特洛伊木马的攻击,这就从根本上给电子文件的安全防护带来了巨大的威胁,所以需要对Windows进行系统加固。
强制访问控制系统根据安全控制规则集中的最小特权原则、最小泄漏原则和多级安全策略原则,进行主体和客体的设置,并给主体和客体分配不同的安全属性,而且这些安全属性本身具有防篡改性,系统通过比较主体和客体的安全属性决定主体是否能够访问客体,从而实现具有更高安全性的系统。系统中存在多对主客体,以其中与加解密保护最直接的进程和加密文件为例说明,如图2所示。在一个进程访问一个文件的过程中,授权特定的主体进程有明文访问加密文件
的权限。该过程中客体为涉密数据,主体为产生数据的进程。图2主客体访问
5透明加解密
电子文件密级管理系统采用透明加解密技术“蜾证涉密文
件自身的安全性。通过基于Windows平台的文件系统层面上
的核心态驱动——文件系统过滤驱动,接管整个文件系统,利
用透明加解密技术和访问控制,提供实时的、透明的、动态的数据加解密服务。文件以密文形式存储到设备(例如磁盘、U盘)中。当需要读取该加密文件的内容时,文件系统过滤驱动对加密内容进行实时解密。系统在授权情况下,可透明地以明文形式读写该加密文件的数据,实现保密性和方便性的统一。通过透明加解密技术进行文件加密,具有以下特征和优势:
①强制性。透明加解密的实质即强制加密。一方面,只要单位确认信息涉密,则文件均加密。文件加密与否不以文件作者或者使用者的个人主观判断为依据,也与文件操作者的责任心和保密意识分离;另一方面,加密的文件只有在安全域中允许访问,脱离安全域,则拒绝访问:
②透明性。透明性是指系统在后台自动执行加解密操作,用户无需参与,其操作方式与无加解密时的操作相同。加解密过程均在后台进行,未在磁盘上产生任何文件。文件被打开时,合法用户毋须事先对文件进行解密,由系统根据策略判断当前进程是否是授权进程,若进程已授权,则自动对
文件进行解酝否则,解密失败,用户无法获取文件内容。所
有过程均未改变用户的行为习惯,即文件的操作者未察觉以上加解密的具体过程,所以说加解密对用户是“透明”的;
⑦进程识别。电子文件密级管理系统根据进程来判断是否对文件进行加密保护。进程识别,除根据进程名进行判断外。可根据进程特征进行判断,例如进程的版本、大小,进程文件哈希值等,以确定该进程是否是系统所期望的进程,防止非授权进程对文件越权访问。
4系统实现
4.1系统架构
(1)密级管理中心
密级管理中心接收涉密客户端发送的密级标识请求,并自动对文件进行完整性验证。只有通过完整性验证的文件,才可进入密级文件审批程序。同时,密级管理中心实现密级文件审批和授权的关键功能,并对审批和授权等相关信息记录日志。
万方数据
学术研究
Acaden穗《Res.eaf‘h
(2)控制台
控制台是一个UI界面,通过控制台可以完成密级管理中心的各种功能,如:
。①审批:通过与密级管理中心交互,获取密级文件审
批请求,执行具体的审批操作;
②授权进程:通过向涉密客户端下发安全策略,控制
密级文件被访问的进程。已授权的进程具备访问密级文件的权限;其他未授权进程无权访问密级文件;
③电子文件密级管理系统由系统管理员集中管理:系统管理员可通过控制台给用户下发策略。设置用户的审批权限,即密级文件的创建、修改等请求,该用户可对其进行审批。具有审批权限的用户,称为保密文件管理员;
・
④保密文件管理员根据涉密客户端发送的密级标识请求
和具体的文件内容进行密级的设定,该过程称为对密级文件的审批。审批通过的文件,即密级文件。保密文件管理员审批密级文件的时间、密级标识等信息,密级管理中心均记录日志;
⑤系统管理员根据单位内部的安全需求,通过控制台给不同的保密文件管理员设定审批权限;保密文件管理员则根据保密规定对文件和进程进行管理,实现密级文件的审批和加密进程的授权。
(5)涉密客户端
涉密客户端指安装Agent的计算机。Agent负责启动文件系统过滤驱动,并与密级管理中心通信。涉密客户端根据控制台已下发的安全策略,对授权进程产生的所有数据均强制加密。在涉密客户端,由已授权进程直接产生的加密文件,为普通加密文件,未标识密级。当涉密文件需要标识密级时,涉密客户端向密级管理中心发送密级文件审批请求,通过审批后,即成为密级文件。涉密客户端访问密级文件,将受到密级标识相关的条件制约。
(4)系统架构图
电子文件密级管理系统的架构如图3所示。
徊占涵毫(霉,些高、爻,[
≮
k
图3系统架构
信息安全与通信保密・2。。9.1。J
115
学术研究
Academlc
Resea广ch
4.2密级文件的管理
(1)密级文件的创建
涉密客户端向密级管理中心发送密级文件审批请求,请求包括普通加密文件和密级标识。密级标识,即包括文件密级,使用范围,生命周期、使用次数以及其他属性等。密级管理中心接收到请求后,由保密文件管理员对请求进行审批。保密文件管理员打开该加密文件,并对文件内容与请求标识的密级信息进行核查,如文件内容涉及绝密信息,请求中的密级是否申请标定绝密,若文件内容涉密程度与请求的密级标识一致,保密文件管理员通过此文件的审批。审批通过后,密级标识,加密文件基本信息等均被写入文件,密级文件创建成功。密级文件一经创建,即处于封存状态,以只读属性存在,对该文件的访问均受密级标识的条件约束,密级文件的密级、内容等均不可更改。审批文件的时间、密级标识等,均记录日志,以便于日后分析和审计。
(2)密级文件密级和内容的修改
若需修改密级文件的密级或文件内容,均要向密级管理中心提出申请,由保密文件管理员进行审批。修改密级时,涉密客户端向密级管理中心提交需修改的密级信息,同时将密级文件、原密级信息和新的密级信息发送至密级管理中心。密级管理中心接收到请求后,自动验证待修改密级的文件的签名信息,若未通过验证,则密级管理中心自动拒绝该请求,并通知用户,用户需重新向密级管理中心提交申请,并等待验证通过。密级管理中心验证通过后,可确认该文件为完整、有效的密级文件。此后,由保密文件管理员根据原密级文件的内容和修改的密级信息进行核对和审批。审批过后,更新密级文件的密级标识,完成密级的修改。
密级文件的内容需修改时,涉密客户端向密级管理中心提出申请,同时将密级文件发送至管理中心,由密级管理中心自动验证原文件的完整性和有效性,保密文件管理员对请求进行审批。审批通过后,原密级文件的密级标识已更新,涉密客户端可对密级文件进行修改。修改完成后,涉密客户端再次向密级管理中心提交申请,请求封存加密文件。
以上过程,密级管理中心均记录日志。(5)密级文件的内部交流
涉密客户端向密级管理中心提出对特定文件标识密级的申请时,需在申请信息中对使用范围,生命周期、使用次数进行严格定义。保密文件管理员根据密级文件内容和申请的具体要求进行审批,符合要求后即按照申请设定密级文件的访问条件。在内部交流过程中,当用户访问密级文件时,涉密客户端根据文件的使用范围、生命周期、使用次数自动识别当前用户是否有权访问,不合要求者即拒绝。如,密级文件一,已标识用户A、B、C有权访问。当文件一流转到用户
1,6
万方数据
l凹凹凹。’CQIsmag,@①卿。④田
D(用户D的安全级别低于文件的密级)时,用户D打开文件失败。若需更改密级文件的使用范围、生命周期、使用次数,涉密客户端需向密级管理中心提交申请。保密文件管理员进行审批,对密级文件的访问条件进行更改。
以上过程,密级管理中心均记录日志。(4)密级文件内容的复制、剪切、控制
密级文件的内容是否允许复制或剪切,以涉密客户端向密级管理中心提出的密级标识请求为准。若涉密客户端要求该文件不可复制或剪切,保密文件管理员对文件内容和申请进行审批。审批通过后,复制、剪切的控制信息作为密级文件标识信息的附加属性写入密级文件。若当前密级文件已标识不可复制或剪切密级文件的内容,则任何涉密客户端访问该密级文件时,其复制或剪切操作均被拒绝。
(5)密级文件的销毁
密级文件需销毁时,涉密客户端将销毁申请和密级文件一并发送至密级管理中心。保密文件管理员审批该密级文件的内容,若符合销毁条件,则通过审批,密级文件销毁成功。密级文件的销毁过程,在密级管理中心保存日志。
(6)访问控制
根据单位内部防泄密需求。保密文件管理员通过控制台对涉密客户端下发基于进程控制的安全策略。策略生效后,在涉密客户端由该进程产生的所有文件均强制加密,即普通加密文件。进程授权,是操作普通加密文件的根本条件,也是访问密级文件的先决条件。已授权的进程,可对普通加密文件自动加解密;访问密级文件,则由密级标识决定进程是否可对文件进行加解密;未经授权的进程,访问加密文件时均被拒绝。密级文件的访问控制还包括高安全级别的用户是否有权限访问低密级的文件。该访问控制策略的制定过程如下:首先,涉密客户端向密级管理中心提交申请和文件,如要求高安全级别的用户有权限访问当前的低密级文件。此后,保密文件管理员审查文件内容,以判断该文件是否按照申请的要求标定访问控制权限,若申请信息允许高安全级别的用户访问,此时保密文件管理员检查文件内容并确认用户可获知该涉密文件的具体内容,通过审批,同时将该访问控制策略作为密级文件的附加属性写入文件。
密级文件的创建、修改和销毁,在密级管理中心均记录日志。当涉密客户端向密级管理中心提出申请时,密级管理中心需对密级文件的签名信息进行检查,签名检查通过后,由保密文件管理员根据文件内容的涉密程度对申请进行审批,若签名检查未通过,则申请直接拒绝,再由涉密客户端更改申请的密级相关信息并重新提交。通过签名检查,可保证密级文件的完整性和一致性。而基于进程的授权以及密级的访问控制,保证了密级文件的保密性,即使文件被无意带出或
…’…-学术研1究
Acaderal‘≥Researc氛.
流转至其他客户端,访问者也无法获知文件的内容。4.3密级文件的访问
访问已标定密级的文件时。文件系统过滤驱动通过识别文件加密标识和密级标识,判断当前用户是否可获取文件内容。以打开密级文件为例,其识别.判断流程如图4所示。
用户打开加密文件时,文件系统过滤驱动首先判断当前进程是否是授权进程,若进程未被授权。则拒绝打开;若进程已授权,则读取文件基本加密信息及密级标识。若未检测到密级标识,则确定该文件为普通加密文件,直接解密文件内容,使用户自由获取文件信息:若文件为密级文件,则通过密级标识判断当前用户是否有权限打开文件,以及文件生命周期、使用次数等是否符合允许访问的条件。若打开文件的时间处于密级文件生命
解带文竹内彝削断足台有机打开史科
数,则涉密客户端自动锁定密级文件,并向密级管理中心发送违规报警信息。
5结语
密级电子文件与纸介质密级文件具有较多共性,如设定密级、归档、封存等。而密级电子文件易复制、易更改、易传播的特性,给密级文件的管理造成难以逾越的障碍。文中通过透明加解密技术以及访问控制,确保密级文件在可管理的范围内实现安全访问。通过对文件签名和设置加密标识,保证密级文件的保密性、完整性和一致性。同时,通过密级
广—a
三翌
系统得刊加街文竹被|J丌的}fl且
璜空什孽本加密信息投密绕嚣讯信息
管理中心——控制台——涉密客户端的系统架构形式,实现
完整的电子文件密级管理系统,保证密级文件统一授权、控制和管理。该系统对健全当前的安全管理体系具有重大的推动作用。随着办公自动化程度的日益提高,电子文件密级管理的需求将继续扩大,对密级文件管理的研究将继续深入,以满足保护密级电子文件的新需求。
、、吖
讽荆暂缓杯≈l情息
断该立竹足舌是密缎文
\、、]‘厂
更新文竹使埘次数
参考文献
【1】陈尚义.电子文件保密技术的现状和发展趋势【J】.信
息安全技术与应用,2008(04)80—81.
【2】黄敏.内网安全的发展趋势【C】//第6届中国信息安全
发展趋势与战略高层研讨会论文集.北京:信息安全与通信保密杂志社,2006:41-43.
【3】陈尚义.电子文件安全防护模型初探【J】.信息安全与
通信保密,2008(1O)77—79.
【4】陈尚义.透明文件加解密技术及其应用【J】.信息安全
与通信保密,2007(11)75-77.‘蹲
1竺:!!卜
图4访问密级文件流程
周期范围内,且使用次数未超过限制次数,则更新文件使用
次数,并解密文件内容,此时用户已获取文件明戈反之,用
户打开失败,无法获取任何文件内容。当前用户打开密级文件时,若打开失败,如因使用次数已超过密级文件标识的次
(上接第”2页)
深对网络攻击,暴力破解含义的理解。
2.8
作要进一步完善和提高。今后的教学工作中需要不断总结实践教学经验,进一步精心设计实验内容,加强对实验配置的管理和完善,使电子商务安全实验能更加完善,更加有利于促进教学,有利于学生对信息安全技术的掌握和应用。
WWW安全性实验
通过xCwww安全性设置,加深对WWw安全性的理解,
提高网络访问和隐私权安全保护。主要包括设置m浏览器的安全级别,对AOiveX控件和插件设置修改,对cooRde设置等【4】。
5结语
通过实验学习,使学生对电子商务安全有一个更加全面和深入的认识,能够深入了解并应用在电子商务的运作过程中涉及到安全方面的各项内容。如信息加密技术、数字签名、CA认证系统、安全通信协议、防火墙、系统入侵检测,计算机病毒预防等知识点,提高学生对电子商务安全技术的实际应用能力。电子商务安全技术是个不断发展的知识领域,配合教学而安排的实验,不论是实验内容,还是实验配置,都还有很多工
参考文献
【l】祁明.电子商务安全与保密【M】.北京:高等教育出版
社,2001.
【2】石治国,薛为民,江俐.计算机网络安全教程【M】.北
京:清华大学出版社,2004.
【3】吕秋云,赵泽茂.电子商务网络站点的攻防技术研究【J】.
信息安全与通信保密,2007(05)116一l
18,121.
【4】兰丽娜,刘辛越.电子商务安全体系研究【J】.信息安全
与通信保密,2007(04)89—91.‘乏萋
信息安全与通信保密・2。。9.1。I
万方数据
117
电子文件密级管理系统的关键技术与设计
作者:作者单位:王文宇, 陈尚义, WANG Wen-yu, CHEN Shang-yi
王文宇,WANG Wen-yu(中国科学院研究生院,北京,100049), 陈尚义,CHEN Shang-yi(中国软件与技术服务股份有限公司,北京,102200)
刊名:信息安全与通信保密
英文刊名:INFORMATION SECURITY AND COMMUNICATIONS PRIVACY年,卷(期):2009,""(10)被引用次数:
0次
参考文献(4条)
1.陈尚义 电子文件保密技术的现状和发展趋势 2008(04)2.黄敏 内网安全的发展趋势 2006
3.陈尚义 电子文件安全防护模型初探 2008(10)4.陈尚义 透明文件加解密技术及其应用 2007(11)
本文链接:http://d.wanfangdata.com.cn/Periodical_xxaqytxbm200910044.aspx授权使用:(liushiyu0226),授权号:0892bea1-5d99-42de-91d5-9e5200b92f55
下载时间:2010年12月20日
学术研究
Academ孽e
Rese毒rch
电子文件密级管理系统的关键技术与设计
王文宇1,陈尚义2
(1中国科学院研究生院,北京100049;2中国软件与技术服务股份有限公司,北京102200)
【摘要l密级电子文件具有易复制和易更改的特点,如何保证密级电子文件共享和访问的安全,是目前面临的突出难题。通过文件加密和密级标识的方式,保证不同密级的电子文件只允许安全级别等于或高于文件密级的用户访问,且密级文件的内容和密级均不可更改。以上方法可从根本上防止密级文件的信息泄密和越权访问。通过基于文件系统过滤驱动的透明加解密技术,对文件进行加密和访问控制。同时,由密级管理系统对密级文件,访问进程等进行统一的审批和授权。综合以上方法,可保证文件在整个生命周期内的保密性、完整性和一致性。【关键词】安全级别;密级标识;文件系统过滤驱动;透明加解密;审批;授权【中图分类号l
TP393
【文献标识码】A【文章编号】1009—8054(2009)10-0113-05
KeyTechnologyandDesignofSecurityClassificationManagementSystemforElectronicFile
WANGWen—yul,CHEN
Shang—yi2
(1SchoolofGraduateStudents,ChineseAcademeofScience,Beijing100049,China;
2ChinaSoftwareandTechnicalService
Corp.Ltd.,Beijing102200,China)
to
[Abstract]Theelectronicfilewithsecurityclassificationischaracterizedbyreproductionandmodification.How
ensure
secure
access
andshareoftheelectronicfileis
ensure
a
prominent
probleminmanagement
at
present.Encryptionand
ac—
securityclassificationidentificationcouldcessedbythe
user
thatelectronicfileswithdifferentsecurityclassificationshallbe
content
withsecuritylevelequal
are
toor
higherthanthesecurityclassificationofthefile.Also,the
and
thesecurityclassificationthe
access
unableto
bemodified.Bythemethodabove,theleakof
tO
informationisprevented,andwhen
to
thefileisin
excess
oftheauthority,itisprohibited.According
access
thetechnologyoftransparentencryption
based
on
thefilesystemfilterdriver,thefileisencryptedandthe
the
access
toitiscontrolled.Atthesametime£‘‘thefileis
approvedand
processisauthorizeduniformlybythemanagementsystem.Bycomprehensiveapplicationofthe
abovearguments,theconfidentiality,integrality,andconsistencyofthefilecouldbeensuredduringthewholelife-cycle.
[Keywords]securitylevel;Security;classificationidentification:Filesystemfilterdriver;transparentencryption;
approval;authorization
要求》)、BMB20-2007(g涉及国家秘密的信息系统分级保护管
0
引言
据美国FBI调查结果显示,每年因各种安全漏洞造成的
理规范》)、BMB22-2007(((涉及国家秘密的计算机信息系统分级保护测评指南》)的有关要求,对涉密信息系统中产生、存储、处理、传输、归档和输出的信息均需进行密级标识。但是,由于电子文件易更改和易传播的特性,如何保证设定密级和标定密级后电子文件的安全性,保证涉密电子文件不发生信息泄漏,文件主体和密级标识不被分离、篡改,是目前面临的一项重要工作和严峻挑战【1.21。针对该问题,文中提出
损失中,300—400/0是由电子文件泄漏造成的;Fortune排名前1000家的公司中,每次电子文件泄漏所造成的损失平均为50万美元。在国内,文档保护也越来越受到重视,根据国家标准BMBl7—2006(《涉及国家秘密的信息系统分级保护技术
收稿日期:2009-09-04
了一种实现电子文件密级管理系统的思路和方法。
1
作者简介:王文宇.1980年生,男,助理工程师,研究方向:
终端安全、网络安全;陈尚义.1965年生,男,高级工程师,研究方向:软件工程、信息安全。
系统概述
电子文件密级管理系统是基于Windows平台的涉密文
万方数据
信息安全与通信保密・2。。9.1。l
113
学术研究
Academl
c
Research
件管理系统。该系统主要由3部分组成:密级管理中心、控制台和涉密客户端。密级文件的创建,交流、销毁等,均需通过严格的审批程序进行统一的控制和管理。
对密级文件的管理主要包含以下几个方面:密级文件需通过电子文件密级管理系统的审批来创建:密级文件一旦创建成功,即只有只读权限,其内容和密级均不可更改:若需更改密级文件的内容或者密级,均需通过电子文件密级管理系统对密级文件进行完整性验证和审批,再进行相关信息的更新访问密级文件时,电子文件密级管理系统将根据密级文件的密级标识决定当前用户是否可获取文件明文密级文件的内
容是否允许复制、剪贴,均由该密级文件的密级标识决定密
级文件的销毁仍需通过电子文件密级管理系统的验证和审批电子文件密级管理系统对密级文件的访问进行控制。主要包括
以下两方面第一,对访问密级文件的进程进行统一授权;第
二,安全级别高于文件密级的用户是否拥有访问该密级文件的权限=密级文件的创建、销毁以及密级文件的审批,电子文件密级管理系统均记录日志,便于以后分析和审计。
电子文件密级管理系统通过严格的验证和审批,统一的授权和审计,实现密级电子文件的控制和管理。
2
关键技术
根据<(计算机信息系统安全保护等级划分准则》,计算机
信息系统安全保护能力的5个等级由低到高分别为:l级;用户自主保护级;2级:系统审计保护级;3级:安全标记保护级;4级:结构化保护级;5级:访问验证保护级。电子文件密级管理系统满足等级保护中3级系统的要求,即满足主、客体添加标记、强制访问控制、用户数据完整性保护。2.1密级标识
所谓密级标识,是指对受保护的电子文件划分安全等级并给定相应的标识,标识包括文件密级、使用范围、生命周期、使用次数和其他属性等附加属性。密级文件由经过加密处理的原始文件、密级标识这两部分组成:
①密级标识。密级标识包含以下信息:文件密级、使用范围、生命周期、使用次数和其他属性等附加属性。文件密级可标定为绝密、机密或秘密中的一种,在密级文件中,以1、2,3分别代表以上3种不同的密级j”。使用范围,指有访问密级文件的权限的机器或用户。使用范围可通过机器标识或者特定局域网的用户标识、小组标识、全域标识中的一种或几种标定。其中,机器标识可为涉密客户端的硬盘序列号,或CPU序列号,或MAC地址,或GUID等机器标志。生命周期指密级电子文件从创建到销毁的时间范围。使用次数指密级电子文件允许访问的次数。其他属性包括密级文件的复制,剪切和访问控制等。密级标识由以上信息组合而成。密
114
万方数据
l凹凹凹。c;smaq肥①圃o。@田
级标识中的各组成元素对被访问的文件具有独立的决定权,即任何一个条件不满足,则无法访问该文件;
②密级标识的方法。密级文件与普通文件的区别如图l所示。普通文件原文件体通过特定的加密算法进行加密,即加密的文件体。通过在文件尾部添加签名等基本加密信息的方式,标识该文件是否是加密文件。文件加密标识和加密的文件体组成普通加密文件。以普通加密文件为基础,在基本加密信息前添加该文件密级,使用范围、生命周期、使用次数和其他属性等密级标识的附加属性,形成密级文件。
密级文件
图l
普通加密文件与密级文件的区别
2.2强制访问控制
访问控制,用来控制和管理主体对客体访问的一系列规则,它反映信息系统对安全的需求。安全策略的制定和实施是围绕主体、客体和安全控制规则及三者之间的关系展开,并且需遵循最小特权原则、最小泄露原则和多级安全策略原则。其中,最小特权原则是指主体执行操作时,按照主体所需权利的
最小化原则分配给主体权力。最小泄露原则是指主体执行任务
时,按照主体所需要知道的信息最小化的原则分配给主体权力。依据信息系统等级保护规范的要求,多级安全策略原则是指仅当主体的等级分类高于或等于客体安全级中的等级分类,且主体安全级中的非等级类别包含了客体安全级中的全部非等
级类别,主体才能读客体仅当主体安全级中的等级分类低于
或等于客体安全级中的等级分类。且主体安全级中的非等级类别包含于客体安全级中的非等级类别,主体才能写一个客体。
Windows作为目前使用最广泛的操作系统,提供用户自主访问控制。而自主访问控制的一个最大问题是主体的权限太大,造成敏感信息被有意或者无意地泄漏,也无法防止特洛伊木马的攻击,这就从根本上给电子文件的安全防护带来了巨大的威胁,所以需要对Windows进行系统加固。
强制访问控制系统根据安全控制规则集中的最小特权原则、最小泄漏原则和多级安全策略原则,进行主体和客体的设置,并给主体和客体分配不同的安全属性,而且这些安全属性本身具有防篡改性,系统通过比较主体和客体的安全属性决定主体是否能够访问客体,从而实现具有更高安全性的系统。系统中存在多对主客体,以其中与加解密保护最直接的进程和加密文件为例说明,如图2所示。在一个进程访问一个文件的过程中,授权特定的主体进程有明文访问加密文件
的权限。该过程中客体为涉密数据,主体为产生数据的进程。图2主客体访问
5透明加解密
电子文件密级管理系统采用透明加解密技术“蜾证涉密文
件自身的安全性。通过基于Windows平台的文件系统层面上
的核心态驱动——文件系统过滤驱动,接管整个文件系统,利
用透明加解密技术和访问控制,提供实时的、透明的、动态的数据加解密服务。文件以密文形式存储到设备(例如磁盘、U盘)中。当需要读取该加密文件的内容时,文件系统过滤驱动对加密内容进行实时解密。系统在授权情况下,可透明地以明文形式读写该加密文件的数据,实现保密性和方便性的统一。通过透明加解密技术进行文件加密,具有以下特征和优势:
①强制性。透明加解密的实质即强制加密。一方面,只要单位确认信息涉密,则文件均加密。文件加密与否不以文件作者或者使用者的个人主观判断为依据,也与文件操作者的责任心和保密意识分离;另一方面,加密的文件只有在安全域中允许访问,脱离安全域,则拒绝访问:
②透明性。透明性是指系统在后台自动执行加解密操作,用户无需参与,其操作方式与无加解密时的操作相同。加解密过程均在后台进行,未在磁盘上产生任何文件。文件被打开时,合法用户毋须事先对文件进行解密,由系统根据策略判断当前进程是否是授权进程,若进程已授权,则自动对
文件进行解酝否则,解密失败,用户无法获取文件内容。所
有过程均未改变用户的行为习惯,即文件的操作者未察觉以上加解密的具体过程,所以说加解密对用户是“透明”的;
⑦进程识别。电子文件密级管理系统根据进程来判断是否对文件进行加密保护。进程识别,除根据进程名进行判断外。可根据进程特征进行判断,例如进程的版本、大小,进程文件哈希值等,以确定该进程是否是系统所期望的进程,防止非授权进程对文件越权访问。
4系统实现
4.1系统架构
(1)密级管理中心
密级管理中心接收涉密客户端发送的密级标识请求,并自动对文件进行完整性验证。只有通过完整性验证的文件,才可进入密级文件审批程序。同时,密级管理中心实现密级文件审批和授权的关键功能,并对审批和授权等相关信息记录日志。
万方数据
学术研究
Acaden穗《Res.eaf‘h
(2)控制台
控制台是一个UI界面,通过控制台可以完成密级管理中心的各种功能,如:
。①审批:通过与密级管理中心交互,获取密级文件审
批请求,执行具体的审批操作;
②授权进程:通过向涉密客户端下发安全策略,控制
密级文件被访问的进程。已授权的进程具备访问密级文件的权限;其他未授权进程无权访问密级文件;
③电子文件密级管理系统由系统管理员集中管理:系统管理员可通过控制台给用户下发策略。设置用户的审批权限,即密级文件的创建、修改等请求,该用户可对其进行审批。具有审批权限的用户,称为保密文件管理员;
・
④保密文件管理员根据涉密客户端发送的密级标识请求
和具体的文件内容进行密级的设定,该过程称为对密级文件的审批。审批通过的文件,即密级文件。保密文件管理员审批密级文件的时间、密级标识等信息,密级管理中心均记录日志;
⑤系统管理员根据单位内部的安全需求,通过控制台给不同的保密文件管理员设定审批权限;保密文件管理员则根据保密规定对文件和进程进行管理,实现密级文件的审批和加密进程的授权。
(5)涉密客户端
涉密客户端指安装Agent的计算机。Agent负责启动文件系统过滤驱动,并与密级管理中心通信。涉密客户端根据控制台已下发的安全策略,对授权进程产生的所有数据均强制加密。在涉密客户端,由已授权进程直接产生的加密文件,为普通加密文件,未标识密级。当涉密文件需要标识密级时,涉密客户端向密级管理中心发送密级文件审批请求,通过审批后,即成为密级文件。涉密客户端访问密级文件,将受到密级标识相关的条件制约。
(4)系统架构图
电子文件密级管理系统的架构如图3所示。
徊占涵毫(霉,些高、爻,[
≮
k
图3系统架构
信息安全与通信保密・2。。9.1。J
115
学术研究
Academlc
Resea广ch
4.2密级文件的管理
(1)密级文件的创建
涉密客户端向密级管理中心发送密级文件审批请求,请求包括普通加密文件和密级标识。密级标识,即包括文件密级,使用范围,生命周期、使用次数以及其他属性等。密级管理中心接收到请求后,由保密文件管理员对请求进行审批。保密文件管理员打开该加密文件,并对文件内容与请求标识的密级信息进行核查,如文件内容涉及绝密信息,请求中的密级是否申请标定绝密,若文件内容涉密程度与请求的密级标识一致,保密文件管理员通过此文件的审批。审批通过后,密级标识,加密文件基本信息等均被写入文件,密级文件创建成功。密级文件一经创建,即处于封存状态,以只读属性存在,对该文件的访问均受密级标识的条件约束,密级文件的密级、内容等均不可更改。审批文件的时间、密级标识等,均记录日志,以便于日后分析和审计。
(2)密级文件密级和内容的修改
若需修改密级文件的密级或文件内容,均要向密级管理中心提出申请,由保密文件管理员进行审批。修改密级时,涉密客户端向密级管理中心提交需修改的密级信息,同时将密级文件、原密级信息和新的密级信息发送至密级管理中心。密级管理中心接收到请求后,自动验证待修改密级的文件的签名信息,若未通过验证,则密级管理中心自动拒绝该请求,并通知用户,用户需重新向密级管理中心提交申请,并等待验证通过。密级管理中心验证通过后,可确认该文件为完整、有效的密级文件。此后,由保密文件管理员根据原密级文件的内容和修改的密级信息进行核对和审批。审批过后,更新密级文件的密级标识,完成密级的修改。
密级文件的内容需修改时,涉密客户端向密级管理中心提出申请,同时将密级文件发送至管理中心,由密级管理中心自动验证原文件的完整性和有效性,保密文件管理员对请求进行审批。审批通过后,原密级文件的密级标识已更新,涉密客户端可对密级文件进行修改。修改完成后,涉密客户端再次向密级管理中心提交申请,请求封存加密文件。
以上过程,密级管理中心均记录日志。(5)密级文件的内部交流
涉密客户端向密级管理中心提出对特定文件标识密级的申请时,需在申请信息中对使用范围,生命周期、使用次数进行严格定义。保密文件管理员根据密级文件内容和申请的具体要求进行审批,符合要求后即按照申请设定密级文件的访问条件。在内部交流过程中,当用户访问密级文件时,涉密客户端根据文件的使用范围、生命周期、使用次数自动识别当前用户是否有权访问,不合要求者即拒绝。如,密级文件一,已标识用户A、B、C有权访问。当文件一流转到用户
1,6
万方数据
l凹凹凹。’CQIsmag,@①卿。④田
D(用户D的安全级别低于文件的密级)时,用户D打开文件失败。若需更改密级文件的使用范围、生命周期、使用次数,涉密客户端需向密级管理中心提交申请。保密文件管理员进行审批,对密级文件的访问条件进行更改。
以上过程,密级管理中心均记录日志。(4)密级文件内容的复制、剪切、控制
密级文件的内容是否允许复制或剪切,以涉密客户端向密级管理中心提出的密级标识请求为准。若涉密客户端要求该文件不可复制或剪切,保密文件管理员对文件内容和申请进行审批。审批通过后,复制、剪切的控制信息作为密级文件标识信息的附加属性写入密级文件。若当前密级文件已标识不可复制或剪切密级文件的内容,则任何涉密客户端访问该密级文件时,其复制或剪切操作均被拒绝。
(5)密级文件的销毁
密级文件需销毁时,涉密客户端将销毁申请和密级文件一并发送至密级管理中心。保密文件管理员审批该密级文件的内容,若符合销毁条件,则通过审批,密级文件销毁成功。密级文件的销毁过程,在密级管理中心保存日志。
(6)访问控制
根据单位内部防泄密需求。保密文件管理员通过控制台对涉密客户端下发基于进程控制的安全策略。策略生效后,在涉密客户端由该进程产生的所有文件均强制加密,即普通加密文件。进程授权,是操作普通加密文件的根本条件,也是访问密级文件的先决条件。已授权的进程,可对普通加密文件自动加解密;访问密级文件,则由密级标识决定进程是否可对文件进行加解密;未经授权的进程,访问加密文件时均被拒绝。密级文件的访问控制还包括高安全级别的用户是否有权限访问低密级的文件。该访问控制策略的制定过程如下:首先,涉密客户端向密级管理中心提交申请和文件,如要求高安全级别的用户有权限访问当前的低密级文件。此后,保密文件管理员审查文件内容,以判断该文件是否按照申请的要求标定访问控制权限,若申请信息允许高安全级别的用户访问,此时保密文件管理员检查文件内容并确认用户可获知该涉密文件的具体内容,通过审批,同时将该访问控制策略作为密级文件的附加属性写入文件。
密级文件的创建、修改和销毁,在密级管理中心均记录日志。当涉密客户端向密级管理中心提出申请时,密级管理中心需对密级文件的签名信息进行检查,签名检查通过后,由保密文件管理员根据文件内容的涉密程度对申请进行审批,若签名检查未通过,则申请直接拒绝,再由涉密客户端更改申请的密级相关信息并重新提交。通过签名检查,可保证密级文件的完整性和一致性。而基于进程的授权以及密级的访问控制,保证了密级文件的保密性,即使文件被无意带出或
…’…-学术研1究
Acaderal‘≥Researc氛.
流转至其他客户端,访问者也无法获知文件的内容。4.3密级文件的访问
访问已标定密级的文件时。文件系统过滤驱动通过识别文件加密标识和密级标识,判断当前用户是否可获取文件内容。以打开密级文件为例,其识别.判断流程如图4所示。
用户打开加密文件时,文件系统过滤驱动首先判断当前进程是否是授权进程,若进程未被授权。则拒绝打开;若进程已授权,则读取文件基本加密信息及密级标识。若未检测到密级标识,则确定该文件为普通加密文件,直接解密文件内容,使用户自由获取文件信息:若文件为密级文件,则通过密级标识判断当前用户是否有权限打开文件,以及文件生命周期、使用次数等是否符合允许访问的条件。若打开文件的时间处于密级文件生命
解带文竹内彝削断足台有机打开史科
数,则涉密客户端自动锁定密级文件,并向密级管理中心发送违规报警信息。
5结语
密级电子文件与纸介质密级文件具有较多共性,如设定密级、归档、封存等。而密级电子文件易复制、易更改、易传播的特性,给密级文件的管理造成难以逾越的障碍。文中通过透明加解密技术以及访问控制,确保密级文件在可管理的范围内实现安全访问。通过对文件签名和设置加密标识,保证密级文件的保密性、完整性和一致性。同时,通过密级
广—a
三翌
系统得刊加街文竹被|J丌的}fl且
璜空什孽本加密信息投密绕嚣讯信息
管理中心——控制台——涉密客户端的系统架构形式,实现
完整的电子文件密级管理系统,保证密级文件统一授权、控制和管理。该系统对健全当前的安全管理体系具有重大的推动作用。随着办公自动化程度的日益提高,电子文件密级管理的需求将继续扩大,对密级文件管理的研究将继续深入,以满足保护密级电子文件的新需求。
、、吖
讽荆暂缓杯≈l情息
断该立竹足舌是密缎文
\、、]‘厂
更新文竹使埘次数
参考文献
【1】陈尚义.电子文件保密技术的现状和发展趋势【J】.信
息安全技术与应用,2008(04)80—81.
【2】黄敏.内网安全的发展趋势【C】//第6届中国信息安全
发展趋势与战略高层研讨会论文集.北京:信息安全与通信保密杂志社,2006:41-43.
【3】陈尚义.电子文件安全防护模型初探【J】.信息安全与
通信保密,2008(1O)77—79.
【4】陈尚义.透明文件加解密技术及其应用【J】.信息安全
与通信保密,2007(11)75-77.‘蹲
1竺:!!卜
图4访问密级文件流程
周期范围内,且使用次数未超过限制次数,则更新文件使用
次数,并解密文件内容,此时用户已获取文件明戈反之,用
户打开失败,无法获取任何文件内容。当前用户打开密级文件时,若打开失败,如因使用次数已超过密级文件标识的次
(上接第”2页)
深对网络攻击,暴力破解含义的理解。
2.8
作要进一步完善和提高。今后的教学工作中需要不断总结实践教学经验,进一步精心设计实验内容,加强对实验配置的管理和完善,使电子商务安全实验能更加完善,更加有利于促进教学,有利于学生对信息安全技术的掌握和应用。
WWW安全性实验
通过xCwww安全性设置,加深对WWw安全性的理解,
提高网络访问和隐私权安全保护。主要包括设置m浏览器的安全级别,对AOiveX控件和插件设置修改,对cooRde设置等【4】。
5结语
通过实验学习,使学生对电子商务安全有一个更加全面和深入的认识,能够深入了解并应用在电子商务的运作过程中涉及到安全方面的各项内容。如信息加密技术、数字签名、CA认证系统、安全通信协议、防火墙、系统入侵检测,计算机病毒预防等知识点,提高学生对电子商务安全技术的实际应用能力。电子商务安全技术是个不断发展的知识领域,配合教学而安排的实验,不论是实验内容,还是实验配置,都还有很多工
参考文献
【l】祁明.电子商务安全与保密【M】.北京:高等教育出版
社,2001.
【2】石治国,薛为民,江俐.计算机网络安全教程【M】.北
京:清华大学出版社,2004.
【3】吕秋云,赵泽茂.电子商务网络站点的攻防技术研究【J】.
信息安全与通信保密,2007(05)116一l
18,121.
【4】兰丽娜,刘辛越.电子商务安全体系研究【J】.信息安全
与通信保密,2007(04)89—91.‘乏萋
信息安全与通信保密・2。。9.1。I
万方数据
117
电子文件密级管理系统的关键技术与设计
作者:作者单位:王文宇, 陈尚义, WANG Wen-yu, CHEN Shang-yi
王文宇,WANG Wen-yu(中国科学院研究生院,北京,100049), 陈尚义,CHEN Shang-yi(中国软件与技术服务股份有限公司,北京,102200)
刊名:信息安全与通信保密
英文刊名:INFORMATION SECURITY AND COMMUNICATIONS PRIVACY年,卷(期):2009,""(10)被引用次数:
0次
参考文献(4条)
1.陈尚义 电子文件保密技术的现状和发展趋势 2008(04)2.黄敏 内网安全的发展趋势 2006
3.陈尚义 电子文件安全防护模型初探 2008(10)4.陈尚义 透明文件加解密技术及其应用 2007(11)
本文链接:http://d.wanfangdata.com.cn/Periodical_xxaqytxbm200910044.aspx授权使用:(liushiyu0226),授权号:0892bea1-5d99-42de-91d5-9e5200b92f55
下载时间:2010年12月20日