1. 電信行業(yè)數(shù)據(jù)信息泄漏風(fēng)險(xiǎn)概述
運(yùn)營商信息系統(tǒng)體系形成了對(duì)企業(yè)管理、運(yùn)營、維護(hù)等方面支撐的大量應(yīng)用系統(tǒng),也產(chǎn)生了大量的結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù),這些數(shù)據(jù)是企業(yè)的重要資產(chǎn)之一,是現(xiàn)代企業(yè)的命脈,關(guān)乎企業(yè)的生存與發(fā)展。與此同時(shí),各類數(shù)據(jù)信息在處理、共享和使用過程中也面臨數(shù)據(jù)信息被違規(guī)越權(quán)使用或數(shù)據(jù)信息被用于非法用途等數(shù)據(jù)信息泄漏的安全風(fēng)險(xiǎn)。一方面,應(yīng)用系統(tǒng)數(shù)據(jù)處理過程中涉及到的商業(yè)秘密需要保護(hù);另一方面,運(yùn)營過程中收集和使用的大量的用戶信息、用戶業(yè)務(wù)使用信息等個(gè)人隱私數(shù)據(jù),以及數(shù)據(jù)統(tǒng)計(jì)分析所形成的各類報(bào)表作為企業(yè)重要的經(jīng)營信息也需要保護(hù)。針對(duì)商業(yè)秘密,國務(wù)院國有資產(chǎn)監(jiān)督管理委員會(huì)頒布了《中央企業(yè)商業(yè)秘密保護(hù)暫行規(guī)定》,國資委保密委員會(huì)頒布了《中央企業(yè)商業(yè)秘密信息系統(tǒng)安全技術(shù)指引》,對(duì)中央企業(yè)的商密秘密保護(hù)進(jìn)行規(guī)范和指導(dǎo),確保中央企業(yè)正常經(jīng)營利益不受侵害。針對(duì)用戶隱私數(shù)據(jù),全國人大頒布了《全國人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》,工信部起草了《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定(征求意見稿)》面向社會(huì)公開征求意見。因此,加強(qiáng)企業(yè)數(shù)據(jù)信息安全保護(hù),既是企業(yè)自身發(fā)展的客觀要求,也是國家法律法規(guī)的要求。
據(jù)權(quán)威機(jī)構(gòu)近幾年調(diào)查數(shù)據(jù)顯示,企業(yè)內(nèi)部用戶非授權(quán)的訪問和濫用導(dǎo)致有意或無意的信息泄露所造成的損失持續(xù)居于企業(yè)信息安全風(fēng)險(xiǎn)的最前列。目前各IT系統(tǒng)的內(nèi)部用戶很容易就可以導(dǎo)出系統(tǒng)重要數(shù)據(jù)或者下載系統(tǒng)中的各種電子文檔,而且數(shù)據(jù)和電子文檔的流轉(zhuǎn)渠道多元化,內(nèi)部用戶可以很輕松地把系統(tǒng)內(nèi)的許多重要信息傳遞到網(wǎng)絡(luò)外部,但是根據(jù)管理規(guī)范這些重要的信息資料,不能輕易離開公司的網(wǎng)絡(luò)環(huán)境,甚至不能在公司網(wǎng)絡(luò)內(nèi)部隨意地傳遞與交流。
2. 電信行業(yè)數(shù)據(jù)信息泄露風(fēng)險(xiǎn)點(diǎn)分析
電信行業(yè)運(yùn)營商在日常經(jīng)營過程中,容易出現(xiàn)的信息泄露風(fēng)險(xiǎn)依據(jù)應(yīng)用系統(tǒng)用途主要分為兩大類:管理類應(yīng)用系統(tǒng)和業(yè)務(wù)支撐類應(yīng)用系統(tǒng)。管理類應(yīng)用系統(tǒng)以O(shè)A系統(tǒng)最為典型,也包括財(cái)務(wù)、合同管理、采購、CRM等系統(tǒng),業(yè)務(wù)支撐類應(yīng)用系統(tǒng)則包括計(jì)費(fèi)、經(jīng)營分析、數(shù)據(jù)倉庫等BOSS系統(tǒng)。針對(duì)不同用途的應(yīng)用系統(tǒng),其數(shù)據(jù)信息泄露風(fēng)險(xiǎn)分別分析如下:2.1 管理類應(yīng)用系統(tǒng)數(shù)據(jù)泄露風(fēng)險(xiǎn)
以O(shè)A系統(tǒng)為例,公文內(nèi)容通常包含企業(yè)戰(zhàn)略決策、市場營銷策劃、財(cái)務(wù)報(bào)表、工程設(shè)計(jì)方案、重大會(huì)議紀(jì)要等內(nèi)容,均屬于商業(yè)秘密的范疇。在這些公文處理過程中出現(xiàn)的風(fēng)險(xiǎn)點(diǎn)主要有:1)內(nèi)部人員的越權(quán)和違規(guī)操作,如:非法攜帶、非法發(fā)送、非法打印;
2)商業(yè)秘密公文明文存儲(chǔ)和流轉(zhuǎn);
3)黑客/木馬的信息竊;
4)商業(yè)秘密公文的可流轉(zhuǎn)渠道多,流轉(zhuǎn)不可控。
而OA系統(tǒng)的常見安全措施僅涉及到身份認(rèn)證、日志統(tǒng)計(jì)方面,對(duì)公文內(nèi)容缺乏保護(hù)能力,上述風(fēng)險(xiǎn)點(diǎn)都可能造成公文內(nèi)容的泄露,給企業(yè)經(jīng)營造成損失。
2.2 業(yè)務(wù)支撐類應(yīng)用系統(tǒng)數(shù)據(jù)泄露風(fēng)險(xiǎn)
業(yè)務(wù)支撐類應(yīng)用系統(tǒng)的數(shù)據(jù)有客戶資料信息(個(gè)人客戶、企業(yè)客戶、渠道客戶)、計(jì)費(fèi)帳務(wù)數(shù)據(jù)(賬單、詳單)、統(tǒng)計(jì)分析數(shù)據(jù)(統(tǒng)計(jì)報(bào)表、經(jīng)營分析報(bào)告)等內(nèi)容,均屬于敏感數(shù)據(jù)的范疇,也得到了運(yùn)營商的重視,一般均采取了以下幾方面的保護(hù)措施:1)應(yīng)用系統(tǒng)訪問頁面中信息的混淆,如查詢出客戶個(gè)人信息中的姓名、住址、身份證號(hào)碼等信息,只顯示開頭和結(jié)尾的字符,中間字符采用***顯示的方式,有效避免了頁面中敏感內(nèi)容的泄露使用;
2)應(yīng)用系統(tǒng)運(yùn)維的訪問控制,通常采用堡壘機(jī)的方式,對(duì)系統(tǒng)管理員、數(shù)據(jù)庫管理員進(jìn)行身份認(rèn)證、訪問控制和操作行為審計(jì),防止他們進(jìn)行違規(guī)越權(quán)的操作,惡意修改數(shù)據(jù)或超范圍獲取數(shù)據(jù)內(nèi)容。
但上述保護(hù)措施也存在不足,對(duì)敏感數(shù)據(jù)保護(hù)還存在欠缺:
1)應(yīng)用系統(tǒng)訪問頁面中通常都具有數(shù)據(jù)導(dǎo)出功能,可將系統(tǒng)內(nèi)的數(shù)據(jù)形成數(shù)據(jù)文件保存到計(jì)算機(jī)本地,數(shù)據(jù)文件就可以被任意使用;
2)應(yīng)用系統(tǒng)數(shù)據(jù)庫的備份、數(shù)據(jù)導(dǎo)出都可以將系統(tǒng)內(nèi)的數(shù)據(jù)以文件形式保存到計(jì)算機(jī)本地,數(shù)據(jù)文件就可以被任意使用。
對(duì)業(yè)務(wù)支撐類應(yīng)用系統(tǒng)數(shù)據(jù)文件內(nèi)容缺乏保護(hù),會(huì)造成敏感信息的泄露,給企業(yè)的生產(chǎn)經(jīng)營造成重大損失。
2.3 泄露風(fēng)險(xiǎn)的應(yīng)對(duì)措施
通過上述分析,可見數(shù)據(jù)文件存在的主要問題有:1)文件以明文方式存儲(chǔ),任何人員只要得到文件即可輕易打開讀取或復(fù)制內(nèi)容;
2)文件與當(dāng)前人員無任何關(guān)聯(lián),可以任意發(fā)送給內(nèi)部或外部人員,文件的分發(fā)和流向不可控;
3)文件的使用環(huán)境以及編輯、復(fù)制、打印等使用操作上無任何限制,無任何使用記錄,無法審計(jì)。
其應(yīng)對(duì)措施主要有:
1)數(shù)據(jù)文件明文存儲(chǔ)、內(nèi)外部人員的信息竊。和ㄟ^對(duì)數(shù)據(jù)文件進(jìn)行加密,形成密文文件;
2)內(nèi)部人員的越權(quán)和違規(guī)操作:使用安全的身份認(rèn)證方式,對(duì)文檔操作進(jìn)行細(xì)粒度授權(quán)和管控,對(duì)文檔的授權(quán)和使用進(jìn)行詳細(xì)審計(jì);
3)數(shù)據(jù)文件的流轉(zhuǎn)渠道不可控:對(duì)文檔在內(nèi)部的分發(fā)授權(quán)進(jìn)行控制,對(duì)文檔向外部發(fā)送的權(quán)限進(jìn)行控制,云桌面/虛擬化移動(dòng)辦公控制文檔不落終端;
4)導(dǎo)出數(shù)據(jù)文件的使用和處理:數(shù)據(jù)文檔加密保護(hù),數(shù)據(jù)文檔權(quán)限控制、使用審計(jì),數(shù)據(jù)文檔安全交換、安全處理。
3. 解決方案
3.1 管理類應(yīng)用數(shù)據(jù)保護(hù)
管理類應(yīng)用系統(tǒng)以O(shè)A系統(tǒng)使用最為廣泛,應(yīng)用最為典型,下面將以O(shè)A系統(tǒng)為例,說明數(shù)據(jù)保護(hù)的方案,其他管理類應(yīng)用系統(tǒng)均適用。OA系統(tǒng)是各類公文的流轉(zhuǎn)平臺(tái),其中涉及一般商密、核心商密的公文在流轉(zhuǎn)過程中亟需加密保護(hù),一旦OA內(nèi)部重要的文檔被非法帶出公司,或在電腦中被病毒、木馬等盜取,文檔的內(nèi)容就將泄露,給公司造成重大損失。因此,需要對(duì)相關(guān)人員的公文操作權(quán)限進(jìn)行控制和操作審計(jì),以防止有意無意的泄密。
通過OA文檔安全系統(tǒng)的建設(shè),可實(shí)現(xiàn)對(duì)OA系統(tǒng)中重要公文的加密保護(hù),實(shí)現(xiàn)重要公文在OA系統(tǒng)流轉(zhuǎn)過程中的授權(quán),以及對(duì)重要公文使用權(quán)限的有效控制和審計(jì),在內(nèi)部辦公網(wǎng)中逐步形成“事前加密保護(hù)、事中授權(quán)控制、事后跟蹤審計(jì)”的涉密公文和重要信息文件的安全保護(hù)體系。
用戶信息同步
文檔安全系統(tǒng)可通過Web Service接口或LDAP接口從OA系統(tǒng)、企業(yè)目錄或統(tǒng)一用戶管理系統(tǒng)中同步用戶信息和組織機(jī)構(gòu)信息,用戶無需記憶新的帳號(hào),直接使用現(xiàn)有帳號(hào)信息。系統(tǒng)用戶登錄認(rèn)證信息強(qiáng)制檢測
用戶訪問OA系統(tǒng)時(shí),強(qiáng)制檢測是否已安裝并登錄了文檔安全客戶端,如未安裝或未登錄則不允許訪問系統(tǒng);同時(shí),檢測登錄用戶和登錄主機(jī)信息的一致性,如果不一致,則也不允許訪問系統(tǒng),從而增強(qiáng)系統(tǒng)安全認(rèn)證和訪問控制。(一)文檔安全客戶端登錄及主機(jī)信息的獲取
用戶主動(dòng)登錄文檔安全客戶端或者通過OA系統(tǒng)單點(diǎn)登錄文檔安全客戶端成功后,文檔安全客戶端搜集用戶主機(jī)信息,包括:客戶端主機(jī)當(dāng)前生效網(wǎng)卡的IP地址、MAC地址、主機(jī)名稱、文檔安全客戶端的版本及當(dāng)前用戶名和用戶登錄時(shí)間,提交至文檔安全服務(wù)系統(tǒng)存儲(chǔ),用戶狀態(tài)標(biāo)記為已登錄。當(dāng)用戶注銷文檔安全客戶端時(shí),用戶狀態(tài)將更新為未登錄。
(二)OA系統(tǒng)登錄認(rèn)證信息的強(qiáng)制檢測
1) 用戶通過Web瀏覽器登錄/單點(diǎn)登錄訪問OA系統(tǒng);
2) 系統(tǒng)通過JavaScript腳本調(diào)用文檔安全客戶端的COM組件接口,檢測文檔安全客戶端是否已登錄;
如果文檔安全客戶端未安裝,則捕獲錯(cuò)誤信息,提示用戶“必須先安裝文檔安全客戶端才能登錄系統(tǒng)”,并停止登錄/單點(diǎn)登錄信息的提交;
如果COM組件接口返回值表明客戶端未登錄,則提示用戶“必須先登錄文檔安全客戶端才能登錄系統(tǒng)”,并停止登錄/單點(diǎn)登錄信息的提交;
如果COM組件接口返回值表明客戶端已登錄,則通過COM組件接口獲取主機(jī)的IP和MAC地址,并隨登錄/單點(diǎn)登錄信息一起提交至OA系統(tǒng)服務(wù)端;
3) OA系統(tǒng)收到信息后,驗(yàn)證登錄的用戶名/密碼或單點(diǎn)登錄信息是否正確,如果不正確則拒絕登錄/單點(diǎn)登錄系統(tǒng);
4) 如果登錄/單點(diǎn)登錄信息驗(yàn)證正確,則調(diào)用文檔安全系統(tǒng)服務(wù)端的Java服務(wù)接口,校驗(yàn)客戶端提交的當(dāng)前用戶主機(jī)的IP和MAC地址與文檔安全服務(wù)系統(tǒng)中記錄的當(dāng)前用戶最新登錄的主機(jī)IP和MAC地址以及登錄狀態(tài)是否一致;如果不一致,則拒絕登錄系統(tǒng),否則登錄成功。
(三)通過VPN訪問業(yè)務(wù)系統(tǒng)時(shí)的方案適應(yīng)性
在通過VPN訪問OA系統(tǒng)時(shí),OA系統(tǒng)服務(wù)器通過request.getRemoteAddr()方法獲取的所有客戶端訪問IP地址均為VPN服務(wù)器IP地址,無法獲得客戶端真實(shí)IP地址,因而登錄信息的一致性檢測不能采用服務(wù)端直接獲取IP地址進(jìn)行比對(duì)的方案。
本方案采用文檔安全客戶端獲取準(zhǔn)確的主機(jī)IP地址和MAC地址,并提交至服務(wù)端進(jìn)行業(yè)務(wù)系統(tǒng)登錄用戶和登錄主機(jī)信息的記錄和比對(duì)校驗(yàn),不受網(wǎng)絡(luò)、應(yīng)用部署和訪問方式的影響,同時(shí)便于準(zhǔn)確追查。
OA系統(tǒng)文檔安全集成
OA系統(tǒng)與文檔安全系統(tǒng)集成,主要包括:組織機(jī)構(gòu)/用戶信息的同步、單點(diǎn)登錄、文檔的自動(dòng)加密和自動(dòng)授權(quán)。通過集成將安全隱藏在OA公文流程之中,不改變用戶使用習(xí)慣,兼顧安全性與易用性。圖1: OA系統(tǒng)文檔安全集成功能流程示意圖
(一)客戶端認(rèn)證和單點(diǎn)登錄
文檔安全系統(tǒng)與OA系統(tǒng)通過接口實(shí)現(xiàn)組織機(jī)構(gòu)和用戶的同步。當(dāng)用戶登錄訪問OA系統(tǒng)時(shí),調(diào)用文檔安全控件的單點(diǎn)登錄接口實(shí)現(xiàn)文檔安全客戶端的自動(dòng)登錄,用戶無需進(jìn)行二次認(rèn)證。
(二)發(fā)文/收文過程中的密級(jí)文檔加密
在發(fā)文擬稿或收文登記時(shí),OA系統(tǒng)調(diào)用文檔安全控件的加密接口,自動(dòng)對(duì)公文正文和上傳的附件進(jìn)行加密。
公文一旦加密,在流轉(zhuǎn)的各個(gè)環(huán)節(jié),無論是閱讀還是再次編輯,均保持加密狀態(tài),用戶對(duì)公文的使用操作方式不變。
(三)發(fā)文/收文過程中的密級(jí)文檔授權(quán)
在發(fā)文擬稿、審批、核稿、成文以及收文閱辦等階段, OA系統(tǒng)調(diào)用文檔安全系統(tǒng)授權(quán)接口,自動(dòng)對(duì)公文下一處理環(huán)節(jié)所涉及的用戶、用戶組、組織機(jī)構(gòu)進(jìn)行授權(quán)。
在發(fā)文擬稿、審批、核稿、成文階段,對(duì)于公文正文,自動(dòng)對(duì)下一節(jié)點(diǎn)的接收用戶授予閱讀、編輯、復(fù)制、水印打印權(quán)限;對(duì)于公文附件,自動(dòng)對(duì)下一節(jié)點(diǎn)的接收用戶授予閱讀、水印打印權(quán)限。
在成文后或收文閱辦階段,對(duì)于公文正文和附件,自動(dòng)對(duì)下一節(jié)點(diǎn)的接收用戶授予閱讀權(quán)限。
圖2: 在OA流程各節(jié)點(diǎn)中配置相應(yīng)權(quán)限示例
各級(jí)文檔管理員可以在SecureDOC文檔安全保護(hù)系統(tǒng)的管理系統(tǒng)(SDMS)中隨時(shí)追加或撤銷用戶對(duì)公文的操作權(quán)限,而無需回收公文。
對(duì)VPN遠(yuǎn)程辦公的支持
電信省公司使用VPN實(shí)現(xiàn)遠(yuǎn)程辦公,通過在VPN服務(wù)器上配置接入文檔安全服務(wù)器,實(shí)現(xiàn)員工在企業(yè)辦公環(huán)境之外,通過VPN接入企業(yè)辦公環(huán)境,對(duì)加密文檔進(jìn)行受控使用操作。對(duì)手機(jī)/平板電腦移動(dòng)辦公的支持
為支持手機(jī)/平板電腦對(duì)OA加密公文的閱讀,在移動(dòng)辦公服務(wù)器上調(diào)用文檔安全解密接口,當(dāng)手機(jī)/平板電腦查看密級(jí)公文時(shí),自動(dòng)解密公文推送至移動(dòng)終端并打開,當(dāng)文檔關(guān)閉時(shí),自動(dòng)刪除移動(dòng)終端上的解密文檔,不在移動(dòng)終端上存儲(chǔ)。對(duì)OA公文互通的支持
通過公文互通接收集團(tuán)總部向省公司下發(fā)的公文時(shí),OA系統(tǒng)自動(dòng)調(diào)用文檔安全系統(tǒng)加密和授權(quán)接口,實(shí)現(xiàn)集團(tuán)來文的自動(dòng)加密和流轉(zhuǎn)的自動(dòng)授權(quán),從而實(shí)現(xiàn)對(duì)集團(tuán)下發(fā)公文在省公司OA系統(tǒng)流轉(zhuǎn)各環(huán)節(jié)的保護(hù)。用戶本機(jī)重要文檔的保護(hù)(可選)
文檔安全客戶端提供右鍵菜單,為用戶本機(jī)的重要文檔提供加密保護(hù),加密后的文檔,用戶自己(作者)擁有所有權(quán)限,自己的操作不受任何限制。當(dāng)用戶將本機(jī)加密的文檔發(fā)送給企業(yè)內(nèi)其他人員時(shí),需要通過右鍵菜單對(duì)接收人予以授權(quán),文檔的發(fā)送渠道不受限制。1.1 業(yè)務(wù)支撐類應(yīng)用數(shù)據(jù)保護(hù)
用戶信息同步與轉(zhuǎn)換
文檔安全系統(tǒng)可通過Web Service接口或LDAP接口從OA系統(tǒng)、企業(yè)目錄或統(tǒng)一用戶管理系統(tǒng)中同步用戶信息和組織機(jī)構(gòu)信息,用戶無需記憶新的帳號(hào),直接使用現(xiàn)有帳號(hào)信息。業(yè)務(wù)支撐類應(yīng)用如果具有獨(dú)立的用戶登錄信息,建議與統(tǒng)一用戶管理系統(tǒng)或企業(yè)目錄中存儲(chǔ)的用戶信息建立映射關(guān)系,當(dāng)調(diào)用文檔安全系統(tǒng)集成接口時(shí),可以通過該映射關(guān)系完成用戶身份信息的轉(zhuǎn)換,得到與文檔安全系統(tǒng)一致的用戶名。
系統(tǒng)用戶登錄認(rèn)證信息強(qiáng)制檢測
用戶訪問業(yè)務(wù)支撐類應(yīng)用時(shí),強(qiáng)制檢測是否已安裝并登錄了文檔安全客戶端,如未安裝或未登錄則不允許訪問系統(tǒng);同時(shí),檢測登錄用戶和登錄主機(jī)信息的一致性,如果不一致,則也不允許訪問系統(tǒng),從而增強(qiáng)系統(tǒng)安全認(rèn)證和訪問控制。(一)文檔安全客戶端登錄及主機(jī)信息的獲取
用戶主動(dòng)登錄文檔安全客戶端或者通過業(yè)務(wù)支撐類應(yīng)用單點(diǎn)登錄文檔安全客戶端成功后,文檔安全客戶端搜集用戶主機(jī)信息,包括:客戶端主機(jī)當(dāng)前生效網(wǎng)卡的IP地址、MAC地址、主機(jī)名稱、文檔安全客戶端的版本及當(dāng)前用戶名和用戶登錄時(shí)間,提交至文檔安全服務(wù)系統(tǒng)存儲(chǔ),用戶狀態(tài)標(biāo)記為已登錄。當(dāng)用戶注銷文檔安全客戶端時(shí),用戶狀態(tài)將更新為未登錄。
(二)業(yè)務(wù)支撐類應(yīng)用登錄認(rèn)證信息的強(qiáng)制檢測
1) 用戶通過Web瀏覽器登錄/單點(diǎn)登錄訪問業(yè)務(wù)支撐類應(yīng)用;
2) 系統(tǒng)通過JavaScript腳本調(diào)用文檔安全客戶端的COM組件接口,檢測文檔安全客戶端是否已登錄;
如果文檔安全客戶端未安裝,則捕獲錯(cuò)誤信息,提示用戶“必須先安裝文檔安全客戶端才能登錄系統(tǒng)”,并停止登錄/單點(diǎn)登錄信息的提交;
如果COM組件接口返回值表明客戶端未登錄,則提示用戶“必須先登錄文檔安全客戶端才能登錄系統(tǒng)”,并停止登錄/單點(diǎn)登錄信息的提交;
如果COM組件接口返回值表明客戶端已登錄,則通過COM組件接口獲取主機(jī)的IP和MAC地址,并隨登錄/單點(diǎn)登錄信息一起提交至業(yè)務(wù)系統(tǒng)服務(wù)端;
3) 業(yè)務(wù)系統(tǒng)收到信息后,驗(yàn)證登錄的用戶名/密碼或單點(diǎn)登錄信息是否正確,如果不正確則拒絕登錄/單點(diǎn)登錄系統(tǒng);
4) 如果登錄/單點(diǎn)登錄信息驗(yàn)證正確,則調(diào)用文檔安全系統(tǒng)服務(wù)端的Java服務(wù)接口,校驗(yàn)客戶端提交的當(dāng)前用戶主機(jī)的IP和MAC地址與文檔安全服務(wù)系統(tǒng)中記錄的當(dāng)前用戶最新登錄的主機(jī)IP和MAC地址以及登錄狀態(tài)是否一致;如果不一致,則拒絕登錄系統(tǒng),否則登錄成功。
(三)通過VPN訪問業(yè)務(wù)系統(tǒng)時(shí)的方案適應(yīng)性
在通過VPN訪問業(yè)務(wù)系統(tǒng)時(shí),業(yè)務(wù)系統(tǒng)服務(wù)器通過request.getRemoteAddr()方法獲取的所有客戶端訪問IP地址均為VPN服務(wù)器IP地址,無法獲得客戶端真實(shí)IP地址,因而登錄信息的一致性檢測不能采用服務(wù)端直接獲取IP地址進(jìn)行比對(duì)的方案。
本方案采用文檔安全客戶端獲取準(zhǔn)確的主機(jī)IP地址和MAC地址,并提交至服務(wù)端進(jìn)行業(yè)務(wù)系統(tǒng)登錄用戶和登錄主機(jī)信息的記錄和比對(duì)校驗(yàn),不受網(wǎng)絡(luò)、應(yīng)用部署和訪問方式的影響,同時(shí)便于準(zhǔn)確追查。
系統(tǒng)前臺(tái)導(dǎo)出數(shù)據(jù)文件的加密和授權(quán)保護(hù)
業(yè)務(wù)支撐類應(yīng)用前臺(tái)業(yè)務(wù)人員可通過Web頁面查詢數(shù)據(jù)并導(dǎo)出為文件進(jìn)行下載。文檔安全系統(tǒng)在服務(wù)端為業(yè)務(wù)支撐類應(yīng)用提供文檔的發(fā)布、加密、授權(quán)等Java服務(wù)接口,實(shí)現(xiàn)對(duì)導(dǎo)出文件的加密和對(duì)當(dāng)前用戶的文檔授權(quán),不依賴于文檔安全客戶端。即使終端主機(jī)上未安裝文檔安全客戶端或文檔安全客戶端未登錄,導(dǎo)出下載的數(shù)據(jù)文件仍為加密文件。圖3: 業(yè)務(wù)支撐類應(yīng)用前臺(tái)數(shù)據(jù)文件加密下載和使用控制功能流程示意
系統(tǒng)前臺(tái)導(dǎo)出數(shù)據(jù)文件的加密和授權(quán)處理過程如下:
(1)業(yè)務(wù)支撐類應(yīng)用前臺(tái)業(yè)務(wù)人員,通過Web頁面查詢系統(tǒng)數(shù)據(jù)或進(jìn)行數(shù)據(jù)分析之后,點(diǎn)擊頁面上的導(dǎo)出/下載相關(guān)功能按鈕;
(2)系統(tǒng)服務(wù)端根據(jù)請(qǐng)求,將數(shù)據(jù)生成為文件(如:Excel、CSV文件);
(3)系統(tǒng)在服務(wù)端調(diào)用文檔安全系統(tǒng)Java服務(wù)接口,實(shí)現(xiàn)數(shù)據(jù)文件信息的發(fā)布和文件內(nèi)容加密,并調(diào)用文檔安全系統(tǒng)Java服務(wù)接口對(duì)當(dāng)前用戶進(jìn)行授權(quán),默認(rèn)只授予閱讀權(quán)限;對(duì)于個(gè)別需要處理的數(shù)據(jù)文件,可授予閱讀和編輯權(quán)限;對(duì)于需要發(fā)送給其他人員的數(shù)據(jù)文件,可授予閱讀和分發(fā)權(quán)限;
(4)加密后的數(shù)據(jù)文件返回給客戶端進(jìn)行下載保存。
系統(tǒng)后臺(tái)導(dǎo)出數(shù)據(jù)文件的加密和授權(quán)保護(hù)
ODS系統(tǒng)后臺(tái)管理維護(hù)人員可以根據(jù)省市相關(guān)部門提交的數(shù)據(jù)導(dǎo)出申請(qǐng)和審批結(jié)果,通過數(shù)據(jù)庫客戶端工具(如:PLSQL或SQL Plus)直接連接系統(tǒng)數(shù)據(jù)庫,進(jìn)行數(shù)據(jù)查詢并導(dǎo)出為文件(如:Excel、CSV、TXT),然后再發(fā)送給相關(guān)申請(qǐng)人員進(jìn)行處理。由于部分維護(hù)人員可能是外部代維人員,因此需要在文檔安全系統(tǒng)中為這部分人員建立帳號(hào)。
(一)無堡壘主機(jī)情況下的保護(hù)方案(改成云桌面加文件中轉(zhuǎn)站方式)
需要結(jié)合制度規(guī)定,要求管理維護(hù)人員對(duì)數(shù)據(jù)庫客戶端工具導(dǎo)出的數(shù)據(jù)文件進(jìn)行手工加密和授權(quán)工作:
(1)管理維護(hù)人員在數(shù)據(jù)庫客戶端工具導(dǎo)出的數(shù)據(jù)文件上,點(diǎn)擊右鍵,從彈出的右鍵菜單中選擇“加密”,完成對(duì)數(shù)據(jù)文件的手工加密操作;
(2)管理維護(hù)人員在加密后的數(shù)據(jù)文件上,點(diǎn)擊右鍵,從彈出的右鍵菜單中選擇“授權(quán)”,并在彈出的授權(quán)界面中的企業(yè)組織機(jī)構(gòu)/用戶目錄樹中選擇相應(yīng)的接收人員,設(shè)置具體的操作權(quán)限;
對(duì)于接收到數(shù)據(jù)文件后,需要將數(shù)據(jù)導(dǎo)入數(shù)據(jù)庫進(jìn)行分析的情況,在授權(quán)時(shí),可對(duì)接收人員授予閱讀和解密權(quán)限,并綁定主機(jī)信息;接收人員只有在綁定的主機(jī)上登錄文檔安全客戶端,才能解密數(shù)據(jù)文件,導(dǎo)入數(shù)據(jù)庫,同時(shí)文檔安全系統(tǒng)將記錄操作日志。
(二)有堡壘主機(jī)情況下的保護(hù)方案
通過堡壘主機(jī)防護(hù),限定管理維護(hù)人員只有在堡壘主機(jī)上才能通過數(shù)據(jù)庫客戶端工具對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行導(dǎo)出操作,限定地市業(yè)務(wù)人員只有在堡壘主機(jī)上才能將數(shù)據(jù)導(dǎo)入到地市數(shù)據(jù)分析數(shù)據(jù)庫中并進(jìn)行相關(guān)分析工作。
對(duì)于地市申請(qǐng)導(dǎo)出的數(shù)據(jù),管理維護(hù)人員在堡壘機(jī)上導(dǎo)出后,通過文檔安全系統(tǒng),將數(shù)據(jù)文件加密上傳至文檔安全系統(tǒng)文檔中轉(zhuǎn)站,并由管理維護(hù)人員對(duì)地市業(yè)務(wù)人員進(jìn)行授權(quán),通過文檔安全系統(tǒng)高級(jí)權(quán)限設(shè)置中的IP/MAC/機(jī)器碼綁定功能,實(shí)現(xiàn)地市業(yè)務(wù)人員只能在指定的堡壘主機(jī)上進(jìn)行數(shù)據(jù)文件解密和導(dǎo)入地市數(shù)據(jù)分析數(shù)據(jù)庫的操作。
圖4: 基于堡壘主機(jī)的系統(tǒng)后臺(tái)導(dǎo)出數(shù)據(jù)文件保護(hù)功能流程示意
系統(tǒng)后臺(tái)導(dǎo)出數(shù)據(jù)文件的加密和授權(quán)處理過程如下:
(1)管理維護(hù)人員登錄堡壘主機(jī);
(2)管理維護(hù)人員在堡壘主機(jī)上,通過數(shù)據(jù)庫客戶端工具查詢系統(tǒng)數(shù)據(jù)庫導(dǎo)出數(shù)據(jù)文件;
(3)管理維護(hù)人員通過文檔安全系統(tǒng)客戶端的文檔中轉(zhuǎn)站功能,選擇導(dǎo)出的數(shù)據(jù)文件,將自動(dòng)加密上傳至文檔中轉(zhuǎn)站;
管理維護(hù)人員從企業(yè)組織機(jī)構(gòu)/用戶目錄樹中選擇地市業(yè)務(wù)人員進(jìn)行文檔授權(quán),授予閱讀和解密權(quán)限,并在高級(jí)權(quán)限設(shè)置中綁定地市業(yè)務(wù)人員可登錄使用的堡壘機(jī)的IP/MAC/機(jī)器碼(也可通過在文檔安全系統(tǒng)服務(wù)端設(shè)置,完成自動(dòng)綁定)
(4)地市業(yè)務(wù)人員登錄相關(guān)的堡壘主機(jī);
(5)地市業(yè)務(wù)人員在堡壘主機(jī)上,登錄文檔安全系統(tǒng),從文檔中轉(zhuǎn)站中下載接收到的數(shù)據(jù)文件(由于綁定了堡壘主機(jī)信息,如果在其他主機(jī)上下載該數(shù)據(jù)文件,則無法打開);
(6)地市業(yè)務(wù)人員在堡壘主機(jī)上,解密數(shù)據(jù)文件(文檔安全客戶端校驗(yàn)綁定信息和權(quán)限并記錄日志),導(dǎo)入地市數(shù)據(jù)分析數(shù)據(jù)庫并進(jìn)行分析。
1. 建設(shè)效果
通過電子文檔安全系統(tǒng)的建設(shè),以及與MBOSS相關(guān)應(yīng)用系統(tǒng)的集成,實(shí)現(xiàn)對(duì)含有商業(yè)秘密的流轉(zhuǎn)公文與系統(tǒng)生成的敏感數(shù)據(jù)文件的加密保護(hù)、權(quán)限控制和使用審計(jì),防止敏感數(shù)據(jù)文件的非授權(quán)訪問和違規(guī)使用,有效保各類用戶信息和企業(yè)重要經(jīng)營信息的安全。具體目標(biāo)主要包括:
(1)實(shí)現(xiàn)與省公司OA系統(tǒng)的無縫集成,對(duì)于OA系統(tǒng)中的所有公文進(jìn)行自動(dòng)加密、自動(dòng)授權(quán);
(2)實(shí)現(xiàn)OA公文在流轉(zhuǎn)過程中以及本地操作過程中的全程受控操作和日志審計(jì);
(3)增強(qiáng)EDA域相關(guān)系統(tǒng)登錄和訪問控制機(jī)制,不安裝文檔安全客戶端則不允許登錄訪問業(yè)務(wù)支撐類應(yīng)用,并檢查登錄人員及客戶端主機(jī)信息的一致性;
(4)對(duì)前臺(tái)人員導(dǎo)出的數(shù)據(jù)文件自動(dòng)進(jìn)行加密和授權(quán)處理,控制當(dāng)前人員對(duì)數(shù)據(jù)文件的閱讀、編輯、復(fù)制、打印、截屏等操作權(quán)限并記錄日志;
(5)前臺(tái)人員將下載的加密數(shù)據(jù)文件帶至企業(yè)外部,或者直接發(fā)送給任何內(nèi)部或外部人員,均無法打開閱讀,必須經(jīng)過許可授權(quán);
(6)后臺(tái)人員根據(jù)申請(qǐng)審批結(jié)果導(dǎo)出的數(shù)據(jù)文件,由后臺(tái)人員按要求進(jìn)行加密,并授權(quán)給相關(guān)接收人員,接收人員只能在許可范圍內(nèi)受控操作數(shù)據(jù)文件,如需解密需經(jīng)許可授權(quán)。
(7)實(shí)現(xiàn)“事前加密保護(hù)、事中授權(quán)控制、事后跟蹤審計(jì)”的文檔安全體系;
(8)既保證內(nèi)部合法用戶對(duì)重要文檔的合理使用,又控制文檔的傳播范圍和使用權(quán)限,防范企業(yè)內(nèi)部和外部的各種泄密風(fēng)險(xiǎn);
4.1加密文件的使用控制和審計(jì)
文檔的透明加解密圖5: 文檔透明加解密和操作權(quán)限控制
文檔安全客戶端對(duì)文檔采用驅(qū)動(dòng)級(jí)透明加解密:
(1)加密后的文檔,文檔擴(kuò)展名不變、文檔圖標(biāo)不變(只在原圖標(biāo)右下角自動(dòng)加上“鎖”圖標(biāo),以方便用戶區(qū)別明文文檔和密文文檔)、文檔的關(guān)聯(lián)程序不變、用戶對(duì)文檔的操作方式不變;
(2)加密后的文檔,有權(quán)限的用戶在打開時(shí)自動(dòng)在內(nèi)存中解密,不在磁盤上產(chǎn)生明文文檔;用戶再次編輯保存時(shí),文檔自動(dòng)加密;
支持Office系列、WPS系列、Acrobat、福昕、記事本、寫字板等常見軟件的文檔格式。
文檔權(quán)限的細(xì)粒度控制
SecureDOC企業(yè)文檔安全保護(hù)系統(tǒng)以文檔加密為基礎(chǔ),實(shí)現(xiàn)文檔操作權(quán)限的細(xì)粒度控制。加密文檔和權(quán)限分離,在操作加密文檔時(shí),首先需要通過身份認(rèn)證,然后根據(jù)當(dāng)前用戶身份從文檔安全服務(wù)器獲取當(dāng)前用戶對(duì)該文檔的操作權(quán)限。因此,加密的文檔在未被授權(quán)或未經(jīng)許可脫離企業(yè)辦公環(huán)境時(shí)將無法使用。SecureDOC企業(yè)文檔安全保護(hù)系統(tǒng)客戶端在用戶終端的操作系統(tǒng)層面控制文檔的操作權(quán)限,不依賴于具體的應(yīng)用軟件。對(duì)文檔操作權(quán)限的具體控制如下:
閱讀——控制文檔是否可以打開閱讀
編輯——控制文檔內(nèi)容是否可以被編輯保存
復(fù)制——控制系統(tǒng)剪貼板,防止文檔內(nèi)容通過剪貼板復(fù)制/剪切
打印——控制文檔是否可以打印,包括虛擬打印
水印打印——控制文檔打印時(shí)自動(dòng)加入水印信息
截屏——對(duì)常用的截屏軟件和屏幕錄像軟件進(jìn)行控制
分發(fā)——控制對(duì)文檔是否可以再授權(quán),從而控制文檔的傳播范圍
離線——控制文檔是否可以脫離指定的企業(yè)辦公環(huán)境使用
外發(fā)——控制文檔是否可以發(fā)送到企業(yè)外部機(jī)構(gòu)、客戶、合作伙伴
解密——控制文檔是否可以被解密為明文
文檔閱讀權(quán)限控制
用戶未安裝文檔安全客戶端時(shí),無法打開加密文檔或打開只能看到亂碼。
用戶安裝了文檔安全客戶端并登錄,但對(duì)文檔無權(quán)限,雙擊文檔時(shí)提示“您沒有該文檔的閱讀權(quán)限”,拒絕打開文檔或打開只能看到亂碼。
文檔編輯權(quán)限控制
通過客戶端文件過濾驅(qū)動(dòng)實(shí)現(xiàn)對(duì)文檔寫權(quán)限的控制,當(dāng)用戶有編輯權(quán)限時(shí),可以對(duì)文件進(jìn)行編輯,編輯后可以保存或者另存,同時(shí)客戶端文件過濾驅(qū)動(dòng)對(duì)保存或另存的文檔實(shí)現(xiàn)自動(dòng)加密。
當(dāng)用戶沒有編輯權(quán)限時(shí),即使對(duì)文件進(jìn)行了修改操作,通過客戶端文件過濾驅(qū)動(dòng)也將禁止保存和另存。
文檔復(fù)制權(quán)限控制
對(duì)文檔復(fù)制權(quán)限的控制方式有兩種:一種是如果沒有權(quán)限,則完全禁用復(fù)制功能,系統(tǒng)剪貼板中將無任何內(nèi)容;另一種則允許在受控進(jìn)程之間復(fù)制內(nèi)容。
文檔打印權(quán)限控制
用戶對(duì)文檔無打印權(quán)限時(shí),將禁止對(duì)文檔的打印和虛擬打印操作;
用戶對(duì)文檔有打印權(quán)限時(shí),也可以在打印時(shí)根據(jù)當(dāng)前用戶信息強(qiáng)制加入水印信息(比如,公司名稱、當(dāng)前用戶、打印時(shí)間等)。
文檔截屏權(quán)限控制
實(shí)現(xiàn)對(duì)鍵盤截屏的阻止,同時(shí)阻止常用截屏軟件(如:QQ等)、屏幕錄像軟件(如:紅蜻蜓、屏幕錄像專家等)對(duì)加密文檔的截屏操作,保護(hù)文檔內(nèi)容。
文檔離線權(quán)限的控制
用戶如果擁有離線權(quán)限,在無法連接網(wǎng)絡(luò)或無法連接企業(yè)辦公環(huán)境時(shí),可以在離線策略許可的權(quán)限范圍內(nèi),操作加密文檔。
文檔客戶端定時(shí)從服務(wù)器自動(dòng)同步離線策略到用戶本機(jī)并加密存儲(chǔ);用戶也可以向文檔管理員申請(qǐng)?jiān)诠芾硐到y(tǒng)中導(dǎo)出自己的離線策略,并在文檔安全客戶端中導(dǎo)入離線策略。
文檔外發(fā)權(quán)限控制
用戶如果擁有外發(fā)權(quán)限,可以將相應(yīng)的加密文檔發(fā)送給企業(yè)外部機(jī)構(gòu)、客戶、合作伙伴,但需要通過文檔安全客戶端制作文檔外發(fā)包。
制作文檔外發(fā)包時(shí),可以設(shè)定密碼,可以設(shè)定閱讀的時(shí)間段和次數(shù),以及其它操作權(quán)限。
文檔外發(fā)包為雙擊自解壓文檔,接收方無需手工安裝任何客戶端,即可受控操作文檔。
文檔權(quán)限的高級(jí)策略設(shè)置
SecureDOC企業(yè)文檔安全保護(hù)系統(tǒng)對(duì)合法用戶的文檔操作權(quán)限可以設(shè)置高級(jí)策略進(jìn)一步進(jìn)行限定,具體策略如下:使用期限——控制文檔只能在有效起止時(shí)間內(nèi)使用;
IP地址/地址段——控制文檔只能在指定IP地址/地址段的主機(jī)上使用;
MAC地址——控制文檔只能在指定MAC地址的主機(jī)上使用;
機(jī)器碼——控制文檔只能在指定機(jī)器碼的主機(jī)上使用。
文檔自動(dòng)增加閱讀水印
加密文檔通過SecureDOC企業(yè)文檔安全保護(hù)系統(tǒng)的細(xì)粒度權(quán)限控制功能,已經(jīng)可以在很大程度上控制合法用戶對(duì)文檔內(nèi)容的使用權(quán)限,但對(duì)于使用電腦技術(shù)以外手段獲取文檔內(nèi)容的方法,例如采用手機(jī)、相機(jī)拍攝已經(jīng)打開加密文檔的屏幕手段,卻無法起到作用。為此,SecureDOC企業(yè)文檔安全保護(hù)系統(tǒng)特別提供了加密文檔自動(dòng)增加閱讀水印功能,在合法用戶打開加密文檔時(shí)水印信息自動(dòng)浮現(xiàn)在文檔內(nèi)容中,水印信息可由管理系統(tǒng)定義,顯示當(dāng)前閱讀者的身份信息等,從而有效阻止對(duì)屏幕內(nèi)容的拍攝,保護(hù)文檔內(nèi)容的安全。
文檔操作的日志記錄
用戶在線對(duì)加密文檔進(jìn)行操作時(shí),文檔安全客戶端將實(shí)時(shí)記錄各項(xiàng)操作日志并上傳至服務(wù)器。用戶離線對(duì)加密文檔進(jìn)行操作時(shí),文檔安全客戶端將記錄各項(xiàng)操作日志,并在客戶端加密存儲(chǔ);當(dāng)用戶下次在線登錄時(shí),將自動(dòng)上傳離線操作日志至服務(wù)器。
日志內(nèi)容包括:客戶端IP地址、操作用戶、操作時(shí)間、操作的文檔、具體操作等。
4.2加密文件的動(dòng)態(tài)權(quán)限管理
文檔權(quán)限的追加和撤銷
文檔管理員在服務(wù)端可以隨時(shí)追加或撤銷授權(quán)對(duì)象的文檔操作權(quán)限,而無需回收或重發(fā)加密文檔。文檔授權(quán)對(duì)象的管理
文檔的授權(quán)對(duì)象可以支持用戶、組織機(jī)構(gòu)、用戶組,以方便精確快速授權(quán)。文檔權(quán)限的存儲(chǔ)和查詢
文檔安全服務(wù)端為客戶端提供文檔權(quán)限的接收存儲(chǔ)和查詢服務(wù),所有對(duì)用戶的文檔授權(quán)信息,將在服務(wù)端進(jìn)行集中存儲(chǔ);當(dāng)用戶操作文檔時(shí),客戶端可以從服務(wù)端實(shí)時(shí)獲取當(dāng)前用戶對(duì)所操作文檔的權(quán)限列表,以按照該列表控制用戶對(duì)文檔的操作。文檔日志審計(jì)與備份
文檔安全服務(wù)端接收客戶端上傳的文檔操作日志信息并存儲(chǔ),并對(duì)文檔授權(quán)日志、文檔操作日志等進(jìn)行審計(jì),并可以導(dǎo)出成EXCEL文檔以進(jìn)行備份。關(guān)于時(shí)代億信
北京時(shí)代億信科技有限公司是一家致力于企業(yè)應(yīng)用整合及信息安全整體解決方案的專業(yè)技術(shù)服務(wù)公司。公司依托首都科技產(chǎn)業(yè)優(yōu)勢,專注于數(shù)字證書應(yīng)用、企業(yè)應(yīng)用安全、企業(yè)應(yīng)用整合及相關(guān)領(lǐng)域的軟件研發(fā)與技術(shù)服務(wù),為客戶提供整體的應(yīng)用安全解決方案。憑借團(tuán)隊(duì)優(yōu)勢和綜合技術(shù)能力,公司相繼獨(dú)立完成了身份認(rèn)證、統(tǒng)一身份管理與訪問控制、文檔安全保護(hù)、SSLVPN等一系列創(chuàng)新產(chǎn)品的研發(fā)和推廣,積累了豐厚的專業(yè)技術(shù)實(shí)力和成熟的客戶服務(wù)經(jīng)驗(yàn),經(jīng)過不斷努力,已經(jīng)成為企業(yè)應(yīng)用安全及整合領(lǐng)域領(lǐng)先的解決方案提供商。