数据文档安全管控系统研究

隐私和信息管理研究机构Ponemon Institute 表示，78% 的电子文档泄密来自企业内部的授权用户。随着Internet 日益普及，越来越多的文件以电子文档的形式传输。众所周知，电子文档极易复制且复制后不留任何痕迹。企业大量的关键机密信息文件分布存放于员工的终端电脑，随着笔记本电脑、移动存储的普及，以及互联网应用的高速发展，企业越来越关注自有知识产权的保护和内部重要文档的安全问题。

本课题的目标是通过分析与研究设计一套数据文档安全管控系统，实现文档生命周期管理，包括集中存储、访问权限管理、文档在线流转及离线安全管理。依据对系统的定位，主要研究工作如下：

（1) 针对文档集中存储管理需求，调研业界数据集中存储管理手段，并选定几种方式作为数据集中存储的管理方法，实现数据文档集中存储管理。

（2) 针对文档访问权限管理，根据实际应用场景的需求，对文件分发、个人文件等，实现分权管理。

（3) 针对文档在线管理，对与在线文档根据文档类型及使用过程，对文档的在线预览、编辑等过程进行统一管理。

（4) 针对重要文档离线管理，对重要文档离线使用进行管控，如复制、打印、水印等，实现文档的离线安全管理。

1. 数据文档安全管控技术分析

随着企业信息化工作的开展，以及互联网技术的进步，企业文档安全管理的方式大致经历了以下几个阶段：

第一阶段：制定企业内部保密制度，严格限定机密文档接触人群范围，设立保密管理机构，指派专人保管机密文件，通过制度和纪律约束来保证文档的安全。

第二阶段：随着计算机应用的普及，单纯通过制度进行文档安全管理越来越力不从心，企业开始采用专门的保密设备来管理机密文档，如安装专门的涉密计算机、使用认证存储设备等。

第三阶段：为适应信息化工作及无纸化办公的要求，同时随着互联网络技术的发展，为了应对来自互联网络的威胁，很多企业采用封堵的方式，如内网隔离、封USB 口、禁止打印等方式管理内部机密文档。

第四阶段：随着应用的深入，人们逐渐认识到通过上述制度约束和封堵的方式，并不能从根本上解决泄密的问题，还给员工的日常工作带来了极大的不便，极大降低了工作的积极性和工作效率，越来越不能适应管理的需求。企业迫切需要通过一种更人性化的方式来进行文档安全管理，这样集中的在文档安全管理方面的应用成为当前的主流方式。

本次考虑采用集中文档管理方式，实现文档集中分发，并为个人分配独立存储空间，同时对文档在线编辑、预览及下载等过程实行安全管理，有效提升数据文档的安全管控。

2. 数据文档安全管控架构设计

通过部署集中管控组件、数据存储组件及管理运维组件实现数据的安全管理（如图1）。

图1 数据文档安全管控架构设计

• Server 服务器

Server 提供了一个图形化Web 方式的管理、使用、和维护的界面。主要负责以下几方面的工作：

①提供基础系统软件，实现系统的管理、配置界面，并存储、解析系统安全策略；

②对系统主账号、从账号等进行集中管理；

③存储各种审计日志信息；

④统一登录界面，实现单点登录、资源同步、审计日志以及第三方等多种接口方式。

• Portal 服务器

Portal 服务器基于Windows2008/2012 x64 操作系统构建，主要实现以下功能：

①提供运维工具的管理和发布；

②提供编辑工具的管理和发布；

③运维工具内容的拷贝、粘贴控制；

④提供各种运维软件的自动登录，并实现操作内容的审批、控制；

⑤提供域控制管理。

另外，Portal软件采用了高可靠性保障的负载均衡技术，可以实现流量分担和热备。

• DataServer 服务器

DataServer 服务器是数据安全管控的核心组成，提供系统内的信息、文件、脚本的存储，主要面向三个方面：

① 来自Server 的大数据量的存储，包括各种审批后的文件副本，操作人员在Portal 上编辑生成的各种文件、脚本等；

②基于FTP 协议存储来自业务系统的服务器产生的数据文件，这些文件将在VBH的审批、控制下进行传递或下载；

③存储脚本执行产生的生产数据和调试数据。

（1）文档集中存储

通过文件存储服务器对企业数据进行统一管理，每位用户拥有完全独立且可配置配额的个人文件夹，用于存储日常工作中的各种数据。数据主要分为两种类型：

业务系统数据和后台系统数据。业务系统数据可通过FTP 或接口方式实现数据重定向，从业务系统的下载数据转存到VBH 系统的个人文件夹中；后台系统数据通过运维工具的统一管理直接实现数据下载管理。

（2）数据零下载管理

系统提供统一操作平台，实现对个人文件夹数据的二次编辑管理。包括文件的重命名、复制、删除、上传、下载、分发；实现各种工具在线查看文件夹中文件，支持在线的文件类型包括Word、Excel、PowerPoint、TXT；避免文件下载到本地PC 的泄漏风险。

另外，提供数据下载统一管理流程，支持下载审批功能，当用户提交下载申请后，必须由管理员审批确认后，用户方可下载到个人PC；支持对用户配置审批/ 免审批权限；支持Web 页面审批审批功能；数据下载后会被系统记录形成下载日志，日志内容包括用户名、用户IP、下载时间、审批员等。

（3）运维安全管理

系统全面支持日常运维工作包括SSH、Telnet、Oralce、DB2等，对运维工具的统一管理和集中发布；实现从账号定期自动改密和代理登录；对操作命令进行审计、阻断、告警和录像；支持金库管理实现对操作命令的二次审批；提供第三方接口支持与其他系统联动。

3. 数据管理工作流程设计

针对两种数据生成场景安全管理的描述（如图2）。

图 2 数据管理工作流程设计

（1）业务服务器数据管理流程

在业务系统中，存在这样一种数据生成和传递方式：在业务系统的Web 页面中执行某种操作（如查询），生成大量的数据文件；这些数据文件需要采用FTP 的方式传递给数据分析人员使用。针对这种数据，在采用数据文档安全管理系统后，主要的流程为：

①数据文档安全管理系统所管辖的“DataServer 服务器”提供一个受控的FTP服务器，接收来自业务服务器的数据文件；

②通过受控的FTP 服务器，业务系统生成的各种数据文件可以被业务人员进行列表查看，但不能直接下载；

③对于需要下载的数据文件，业务人员需要通过数据文档安全管理系统提出“下载申请”，在得到系统管理员的批准后，方可下载到自己的操作PC 上或操作者指定的PC 上。

④数据文档安全管理系统对整个操作过程全程审计，包括对原始文件进行备份，对下载申请、下载批准、下载操作等进行审计记录。

⑤ 在该流程下，数据文档安全管理系统将对“DataServer 服务器”上受控的FTP 服务器的数据流向进行额外的控制，仅接受来自业务服务器的上载（PUT）请求。

（2）直接访问生成数据管理流程

在系统的日常维护中，操作人员需要登录到业务服务器或数据库中进行相关的操作，这些操作也将产生相关的数据。针对这类操作，将采用如下的流程：

①禁止用户使用运维工具（如Telnet、PL/SQL 等）直接访问后台服务器；

②用户必须使用主帐号登录“Server”实现身份认证；

③数据文档安全管理系统依据认证结果显示用户可登录服务的列表、可使用的从账号、运维工具等；

④用户点击对应的服务和运维工具后，数据文档安全管理系统将选择从帐号自动实现登录过程并推送应用程序窗口；

⑤允许操作者将运维工具界面中的信息拷贝粘贴到数据文档安全管理系统提供的文本编辑工具中，并可形成文件。这些文件被存储在受控的“个人文件夹”；

⑥禁止操作者将运维工具界面中的信息拷贝粘贴到本地操作PC 中；

⑦用户需要提交“下载申请”并获得管理员批准后，方可下载生成的文件；

⑧ 数据文档安全管理系统同时还将对操作人员启动各种运维客户端（FTP、Telnet、PL/SQL）后进行的操作进行细粒度的审计，并将根据管理的要求设置命令限制，比如，禁止在Telnet 中进行vi 编辑、禁止运行脚本文件等。

1. 关键技术点

（1）数据的集中存储

DataServer 服务器为以下几个方面提供安全受控的集中数据存储平台：

①业务系统的Web 页面产生核心数据；

②通过登录核心服务器或数据库，运行后台脚本产生的文件或信息；

③通过运维工具等登录核心服务器或数据库接获取的核心信息；

④用户需要上传到主机上去运行的脚本或软件。

（2）数据文档在线预览和编辑

通过数据文档安全管控系统对数据生成的各类场景数据中的各环节进行的严格控制，包括运维工具、编辑工具的管理和使用，以及通过这些工具软件进行的复制粘贴，确保生成的数据流向数据分析服务器而不是直接返回用户的终端。

针对这种管理方式，系统支持以下功能：

①用户可在线打开、编辑和保存各种常用文档；

②用户无法通过另存、下载等方式将文档直接拷贝至本地PC ；

③字符命令的复制粘贴受管理员限制；

④文档在线预览屏幕水印（泄密溯源）。

（3）数据文档文件夹管理

数据文档安全管控系统提供一些常用管理方式，为用户管理个人文件夹提供便利，功能如下：

①实现文件夹的创建、重命名、删除、复制功能；

②实现文件的重命名、复制、删除功能；

③实现文件的分发功能，一键传递给其他用户；

④对用户上传、下载文件大小的控制；

⑤对用户文件夹的配额进行统一管理。

（4）数据文档下载管理流程

提供数据下载统一管理流程，形成下载日志，方便日后追溯，提供离线文档管控功能，包括是否允许复制、是否允许打印，同时可强制添加水印显示，确保文档离线后的数据安全。详细操作流程如下：

①用户对个人文件夹中的数据进行下载申请；

②管理员通过Web 页面获取用户请求；

③管理员在Web 页面点击“允许”按钮批准该请求，也可在Web 页面点击“拒绝”按钮阻止该请求；

④审批通过后，用户可在申请信息中下载对应文件；

⑤管理员可在审计查询页面找到下载日志；

⑥文件属性管理（离线文档的复制、打印、水印等）。

2. 研发成果

本课题输出数据文档安全管控系统一套，即采用业内主流手段实现数据文档的安全防护。

3. 部署方案

数据文档安全管控系统支持分布式部署，能够灵活部署和管理系统资源，如图3所示。

图 3 部署方案

用户通过统一Web 登录数据文档安全管控系统，使用认证模块实现用户身份的统一认证和管理。

数据文档在用户个人文件夹，用户可在线打开、编辑、分发、重命名、删除等操作实现对文件的二次编辑。

当用户进行数据下载时，需通过Portal提供的运维工具将数据下载到DataServer提供的用户个人文件夹中，通过数据下载审批流程后，方可将文件下载到用户终端。

借助数据文档安全管控系统提升数据文档安全管理效率及防护，有效预防与抑制了数据泄密的风险。

来源：《网络安全和信息化》杂志