主持人:为了实现更有效的安全防护体系,国家出台了很多的政策和标准,比如说信息系统安全等级保护标准,安全电子文件应用规范,下面我们请上海颐东网络信息有限公司密码应用研究院副院长蒋健 他演讲的题目是规范成就安全——打造国家级的文件安全平台。
蒋健:很荣幸能有今天的机会跟大家讨论一下安全问题,今天我们大会主题是一个可信、安全的,我在说我这个PPT之前,先和大家说一些范围上的事,第一个说可信,说可信其实是有点范围的,什么东西可以信,什么东西不可以信这是一个范围问题,就好象我们说人民民主专政也不是对所有的人都是民主,对坏分子也是要专政的,对于我们需要保护的东西,我们企业内、政府内,一些重要的文件,重要的数据我们是需要保护的,我们信任它,对于我们企业内部的一些人员,我们信任他,但是这个是局限在一个范围内的,而对于这个范围之外的东西,比如说一些病毒,因为今天来了很多关于杀毒软件病毒防火墙方面的专家,这个病毒文件我们是不信任的。
所以说我们说可信,这是在一个层面和范围内的,既然范围定了以后,大家可能关心的是我们信什么不信什么?我们想保护的内容是什么。
刚才几位都说了一些,比如说对病毒的查杀,对数据的过虑,对数据的保护,我们上海颐东它主要是做文件安全的,就是说如果你的东西是以文件形式在你的机器内,我可以帮你保护它,如果你这个信息是在网络上传播了,以流的形式来存放的,可能刚才那位比我们擅长一点,我们关注于文件,涉及到文件可能涉及到另一个范畴,就是谁在哪操作这个文件,我们保护的主体是文件,这个是网络中的课题,操纵这个文件的人是不是可信,这也是我们关注的层面,这个已经有很好的解决方案了,用户身份认证权限控制的机制已经相当的完备了。
大家每次在网上银行,电子交易发的UK就是很好的用户身份认证的例子,除了关注主体,人,客体就是文件,还要关注这个环境是不是安全,一个正确的人做一件正确的事情很不幸他落入了一个贼团,他做的操作,这个人再正确,拥有的权限再大,操作的文件再需要保护都没有任何的意义了,反而是起到反作用,这个人的权限越大,操作的权限越重要,造成的危害就越大。
我们还是说信,我们说我们要保护文件,我们要对我们的三方面主体、客体、环境进行认证和保护,我们的依据是什么?我凭什么说那个是可信的,那个不可信,我凭什么说这样做是可信的,那样做是不可信了,就是一个规范的问题,我们主要是对文件来做一些保护性操作,主要使用的就是加密的技术,这个加密必须要经过国家的规范的认证的,前一阵子播的《暗算》就是涉及到加密、解密密码的破译,密码的技术安全的国家技术,你用外国的加密的手段不是说不可以,只是说出了问题会带来一些危害,因为国外的东西进来的时候就会有一些漏洞。
这个是完全按照国家规范的方式,密码,有国家密码管理局。我今天说的东西,就是第一个就是一个背景的介绍,第二就是国家规范的解读,本来我想说两个规范的,一个是保护的,一个是安全电子文件的规范,上午一直在学习会刊,发现对面有孙铁专题是谈论保护的,所以我重点说一下安全应用的规范。
背景就是我们是怎么泄密的,有一句话叫千里之堤溃于蚁穴,几千年以前的秦始皇就知道造长城,就是抵御外来侵略,我们很多的信息都是从内部泄漏掉的,也就是说来自于内部的攻击也来自于外部的攻击更多,我们简单看一下,硬件盗取的,我们今天出来给大家做一个汇报,来了一台笔记本,里面装了很重要的公司的信息,我拿走了倒卖给某某竞争对手,这个对公司来说很致命,如果我是国家重要的人员,情报人员出去的时候,笔记本丢掉了,里面的硬盘、软件丢掉了损害就更打了,硬件盗取是一种方式。第二是文件盗取,直接把文件拷走,第三是网络入侵,第四比较的特别,第四个边界不太容易界定,这个到底是不是一种系统行为呢?是我们经常关注的行为,还是计算机以外的行为,第一个是打印,这是一个系统的行为,我可以监控打印操作,第二个操作监控不了,我拿打印件去复印造成的泄密,第二是大家看到的PPT,现场拍照的,拍照以后去泄密的,这是信息技术泄密里面,第五种简直是防不胜防了,我看了一目十行过目不忘,看了以后全部背下来,有这个本事,几乎是防不胜防。
在这几个方面国家起草了一些规范,希望对以上的几种泄密的方式,包括在这个之外的还有一些很多的泄密方式进行一些约定,这个规范我不详细说了,等级保护,涉及的面比较广,物理安全、网络安全都有,我们做软件的,国家密码管理局最近也在做一个密码的规范,安全电子文件的规范,这个规范其实它就是专门针对文件的,提出了两个理念,第一个理念就是说文件原先我们是存放在应用系统中的,后来我们发现它不安全,我们加权限体系,这是第一步,后来我们发现第二步也不安全,权限体系是在正常的工作的情况下,我们发现光有权限体系是不够的,黑客的手段多得很。
后来国家就发现是不是把密码的技术应用于民用,商用的密码技术,加密,归谁看谁可以看,不归看看不到,这样来保护文件,后来又发现一个问题,我光加密了,但是因为加密有很多加码,这家加密的东西没有办法解读,我们就做了密码的设施。另外一个就是一个加密的数据应用系统很大,文件很大,在我们自己系统里面不好管,我对文件的所有的操作都去记日值,要去连续的审计,但是跨应用系统流转的时候比较难。终于国家通过电子文件应用密码规范了,我给这个文件确保标签,这是最核心的思路,听起来很简单。这个标签记录了这个文件的一些基本的信息,一些流转的信息,一些日值的信息,还有这个文件密码学加解密的东西,记录了解密方面的信息,这个标签跟着这个文件一起走,文件到哪里标签跟着到哪里,收到的人只需要解析标签就可以了,就知道这个文件怎么解开。跨系统的审计又被解决,因为我只要解析这个标签就可以了,文件被消灭的标签还在,这个完整的日值都有记录。
第二个就是一个专门解析这个安全电子文件的思路这两个其实是同一体系的东西,对这个标签也有两种放法,也是国家规范里提到的,一个是跟规范放在一起,我要寄一个包裹我有很重要的文件寄到北京,我信任邮局,我为了让别人看不到我的文件,我把文件装到盒子里,盖了自己的公司的一些章,另一个问题来了,这个确实保护了文件的安全,这个文件是给谁的我不知道,这个文件装在盒子里,大家看不到,我把文件加密了以后大家都看不到,文件给谁大家都不知道,我在盒子上贴一个邮政局的标签,我们在虚拟世界里,在文件系统里怎么办,也给它贴个标签,就是电子化的标签,这个标签规定了这个文件是寄回上海移动的,邮局就开始传递这个问题,我们收到这个文件的时候邮局并不是直接把文件给我们,我们收到的是一张单子,在应用系统我是把标签发给了客户,文件永远存在我的服务器上,我的图上,我把文件加密配标签,下面的这一部分就是,我收到的人,我拿电子标签我到邮局去买东西,这个东西不放在我这里,这个标签和这个文件是分开的。
其实在现实社会里,这张快递单子没有什么意义,计算机系统很有意义,以后我的流转,原来我叫电子邮件放在真实的,现在我不需要,我把标签发给他就可以了,他拿到标签就可以到服务器上去看到。
所以说这个是外联式标签,希望能够解决流转的问题。标签代替文件来流转。鉴于刚才的情况,可能更多的应用于文件集中式存放,所有的文件集中在服务器上。我们邮件系统,这个文件是可以发送的,这个一种场景,今天与会的同志们,我们组成一个保密的群,我们这个群怎么办?我们这里的文件安全谁来保护,这个标签就是关于这个安全认证文件也有类似的解决方案,实际上没有集中存储的,就把标签和实体放在一起,我们在座的各位组成一个群,每人拿一台笔记本这是一个对等网络,在这个网络里出一些文件可以互相的之间传递,门外的任何人不能看到这个文件,这个就是说没有服务器的情况下,我照样能够包括,这个时候邮件和标签是在一起的。
其实产品名录我估计跟大家说也记不住,我们的资料也有,这四种方式是四种思路,第一个是保护一个单机,就是一台机器,这台机器可能是财务的,因为财务的机器通常不联网,可能是外在的销售的。就是一台独立的机器,单机内的安全,方法也很安全,安全内的文件内演示标签的,加密、签名、贴标签,存在你的机器内,是你这个人,你拿到身份认证你可以读取这个文件,但是读取的过程中加了一些保护,如果你想做一些非法的操作,我想把这个拷出来给别人,或者说我的笔记本掉了,非法的分子想拷贝出来我们的文件,拷贝出来的东西是秘文,这个是集中在单机个人用户的领域。
第二是安全王罩,王罩有很多的眼,这个罩是保护的意思,我们在座的各位组成一个群,大家共享自己的文件,但是我们群内互相的信任,但是可能对群外的一些人我们不信任,大家构造一个客户端的环节安全,彼此共享文件没有问题,但是拷出去不可以,这个比刚才的近了一步,刚才那个是只能在单机使用。
第三可能是企业的用户说了,我其实并不吝色花点钱来服务器,第三个是就是CS模式的,就是客户端按服务器的模式的,也有解决的方式,会务方我们光组群不能解决所有的问题,他找了台服务器,我们今天演讲的所有的PPT都在服务器内,我们每个人作为一个客户端要看文件,文件的实体不会发给你,发给你的电子标签,这个电子标签表明了你的权限,是不是可以看,可以打印,在这个标签里面都有体现,每个人拿着标签,是一种在线的权力,行使自己的权力,可以有什么意义?如果企业有一些员工,我要离职,我要带点东西走,就拷贝了一些,现在就做不到,因为文件都不在你这里,客户端只有电子标签,你把电子标签拷贝走了,离开了特定的网络,因为离开的服务器,所以说电子标签读不到任何的内容,这个是企业级的应用的好处。
第四可能一个地区的政府或者是一些行业的协会,这种单位说,是不是能够构建一个基于成立的网络方案,对这里面的文件,这里面的用户进行认证,对用户进行认证方案有很多,有很多CI的方案。
文件的认证是不是可以做到,我们上网经常看到说,你访问的网站已经过期,我们的思路是什么,我们思路把标签做一次签名,签名完了以后,它就是一张发给这个文件的证书,给这个文件发证书,CI的思路是给这个人发证书,我们的思路是给这个文件发证书,所有的文件在这个网络存在,每个人文件贴了一张证书,要访问文件之前先到证书上去检验一下这个文件是不是真实可信的,我们正是这样的解决方案,是一种服务的方案。
这四款产品就是从小到大的,从单机移动办公的到小型网络了,到CS模式的企业应用,到最后大型的网络解决方案。
这是希望构建一个核心的保密环境,主要是根据一些规范,做到一种事前防御和事后和审计,主要的手段是密码技术。我们还是用微软的XP,我们的程序全写在操作系统的过虑层。
这个就是打造的效果,简单看一下,这个是我们系统的真实的结构图,左边第一个看到这份文件,注意的不是文件的内容,文件的内容无关紧要,关键是这个文件内容有多大,我们发现有77页,这个文件如果是实体存在本地,想一想它会有多大,没有图片的情况我估计在一兆左右,如果有图片容量不可限量的。但是如果是用电子标签,外联式的电子标签。
这个电子标签放了一个电子标签在里面,毕竟是有一定的共享,我根据这个标签加上一定的推理和猜想也做不到,电子标签也是加密的,一切的一切,文件的实体包括电子标签都是用密码技术来保护的。可以做到用户的使用方式并不改变,这是文件盗取的。
第二就是越权入侵的,这个不想多说了。单机的是没有控制的,CS下面有基于角色的权力的解析,打印控制,这个就是说控制几块,我们首先说是系统内的打印时间,我们不说打印完了拿去复印的时间,你什么时候打了多少份要记的,我发给你可以打三份,不能打四份,这是份数的限制,另一个虚拟打印机很多,我打PDF的虚拟打印机下面,我虚拟打印成文件我再去泄密,我们要防范,你用什么打印机来打印,这个有限制。所以说打印控制有这三块,打印的记录,打印的份数和打印的设备。
打完了的事情比较难办,它已经变成了一张纸,这个事情防范,防止已经不可能。它已经打成一张纸,我不想让他拿走是不可能的,我们能做到什么,我是不是能做点补救措施,如果对密码技术比较熟悉的人可能知道,有一种密码技术就是数字水印技术,这个可以做到,我打开这份文件,大家看到一切都很正常,包括你打印出来都很正常,但是其实如果你技术手段来检测的话,把这个打印出来然后扫描跟原件做比例检测,会发现里面有一些不同,因为人的肉眼是有迟钝性的,这些点,一个一个点的位置是不那么精确的,但是打印机相对要精确得多,我们用的也是这种方式,所以我打开的方式和打印出来的文件,都加了这种东西,叫用户身份编码,就是加到我身份的东西,我打印了我保管不善我把这个打印件拿去复印了,复印件流转出去了,企业损失追不出来,政府可能归追回来,警方会追出来,打印件、复印件只要不是才脏,然后去进行比对,这可以找到这个人的身份。这就是系统外的防范。
还有一个要说,我刚才一开始说的,我们对环境的保护,我们保护主要集中在Windows。谢谢。
最后的案例,我简单说一下,就是一个政府机关之间文件传输的例子,基本上全套的保护方案都用到了,文件在服务器上,文件在服务器上加密存储的,包含了打印控制,然后包含了身份编码,就是谁打印出来的东西,我们都会对他进行记录。
好谢谢。
移动公司的简介,我们宣传资料上说得比较详细,其实是一个软件做软件的企业,做什么国家商用应用密码的软件,从软件带动的软件服务的继承,有兴趣的可以在网站上去看,最后是共赢了。我的讲演就到这里。
提问:请问您刚才提到的,Word稳当拷贝三天后,它需要编辑我们拷出来会不会受到影响?
答案:在系统里拷贝等等的都可以控制权限,我给你拷贝的时候可以拷贝,不可以的就不能拷贝,拷贝是一个动作。主要是看他有没有权限,并不是一竿子打死。
提问:有文件的创建者他把文件发给领导?
答案:我们公司也在用我们自己的产品保护自己,我是起草者的权限是很小的,我送给我的领导审,没有任何的影响,在他的审批的过程我可以看到,我的领导可以做修改,填意见、察看不能打印,不能把文件的内容从一个在系统中的文件里拷到系统外,我们做了这样的审批,领导审批完的以后可以形成一个规范,可以挂在公司的内网上,权限又变了,所有的员工可以对它进行阅读,大家不可以进行其他措施,只有公司的保密员他是专门做这个事情。
最后要有一个出口,就有一个解密,解密有一个专门的人负责解密,一般我们不管在企业内还是在公司,不能把出去的口完全放开。所以说一般员工不能让他留很多的口,我把口尽量的建校,解密完了以后就是一个普通的Word就是一个普通的文件,发给你就可以了。 | 
