大數(shù)據(jù)下的電子信息的加密集中管控
所屬分類:電子論文 閱讀次 時間:2016-05-30 18:22 本文摘要:在電子信息急劇膨脹的網(wǎng)絡(luò)世界里����,使合法用戶能夠在不知不覺中�����,信息得到有效的管理和保護(hù)����,該技術(shù)在不增加用戶成本投入及性能消耗的基礎(chǔ)上�,以透明加解密為核心,解決信息集中存儲���,訪問控制等一系列安全管理問題�,于無聲處保護(hù)用戶的信息安全����。
在電子信息急劇膨脹的網(wǎng)絡(luò)世界里,使合法用戶能夠在不知不覺中���,信息得到有效的管理和保護(hù)���,該技術(shù)在不增加用戶成本投入及性能消耗的基礎(chǔ)上����,以透明加解密為核心����,解決信息集中存儲,訪問控制等一系列安全管理問題����,于無聲處保護(hù)用戶的信息安全。
《電子技術(shù)與軟件工程》(半月刊)創(chuàng)刊于2012年����,由中國電子學(xué)會主辦��!峨娮蛹夹g(shù)與軟件工程》旨在全方位推廣信息時代下電氣�����、電力����、電工科學(xué)意識;關(guān)注電子各專業(yè)技術(shù)以及最新科研成果和進(jìn)展;介紹軟件工程�����、科技��、信息技術(shù)在社會各領(lǐng)域的應(yīng)用�,關(guān)注科技傳播與公民科學(xué)文化素質(zhì)的提升����。
摘 要:隨著企業(yè)電子信息的急劇膨脹,各種數(shù)據(jù)為企業(yè)創(chuàng)造著不菲價值的同時���,其安全問題也迫在眉睫�,存儲��、管理��、控制�����、防泄密等成為電子信息流轉(zhuǎn)中的一道道門檻����,為了實現(xiàn)安全、使用��、管理電子信息���,需要采取一系列的管控技術(shù)��,如安全創(chuàng)建��、訪問權(quán)限���、存儲、使用及交換等全生命周期的全面控制管理�。當(dāng)前電子信息加密集中管理的主流技術(shù)包括透明加解密、用戶身份認(rèn)證��、集中加密存儲��、權(quán)限控制�����、審批流轉(zhuǎn)���、統(tǒng)計審計分析等��,可實現(xiàn)電子信息集中管控的長治久安��。
關(guān)鍵詞:電子信息 透明加解密 虛擬磁盤技術(shù)
在網(wǎng)絡(luò)相關(guān)業(yè)務(wù)和應(yīng)用爆炸式發(fā)展的今天��,隨著速度越來越快的信息流轉(zhuǎn)���,電子信息在現(xiàn)代社會信息資源中被廣泛應(yīng)用�,電子信息易復(fù)制��,易修改���,現(xiàn)代企業(yè)在長期的應(yīng)用中����,積累的電子信息數(shù)據(jù)存儲量大����,操作模式自由���,傳播途徑廣泛����,存儲分散,后期追溯性差�,管理者無法進(jìn)行統(tǒng)一管理,這種無序的狀況有可能造成核心資料的遺失�����、泄露���,也為企業(yè)信息安全埋下隱患���。隨著存儲成本的一降再降、以及分析技術(shù)的不斷進(jìn)步�����,數(shù)據(jù)挖掘成為可能�,推動大數(shù)據(jù)產(chǎn)生巨大價值,使安全體系可以識別更具隱蔽性的攻擊�、入侵和違規(guī)。電子信息集中管控能有效地保護(hù)電子信息在全生命周期內(nèi)的安全��、完整�����、可使用和不泄密。在管理方式上���,采用數(shù)據(jù)透明加解密防護(hù)��、分組分級授權(quán)�����,外加身份認(rèn)證���,審批,流轉(zhuǎn)��,審計等方法���,實現(xiàn)電子信息的全面管控�����。
1 �����、電子信息所面臨的六大挑戰(zhàn)
電子網(wǎng)絡(luò)時代用戶所有的設(shè)備都內(nèi)置了智能芯片和操作系統(tǒng)�,而成為智能終端�����,伴隨企業(yè)信息的安全面臨六大挑戰(zhàn)�。第一,隨著各種電子設(shè)備“接入點”的不斷增多�����,傳統(tǒng)的安全防護(hù)已經(jīng)不能勝任;第二��,互聯(lián)網(wǎng)��、云計算是所有企業(yè)轉(zhuǎn)型和升級的必然;第三�����,透明人時代到來����,用戶隱私安全更受到關(guān)注;第四,智能設(shè)備��,等于更多的遠(yuǎn)程控制的安全問題;第五,大數(shù)據(jù)的安全一旦被攻破���,其后果損失不堪設(shè)想;第六�����,云時代的到來��,機(jī)器會產(chǎn)生自我意識�,通過云實現(xiàn)的設(shè)計�、制造和自主行為,后果將是可怕的威脅�。
因而業(yè)界認(rèn)為的大數(shù)據(jù)安全3個原則,首先是��,用戶信息的安全�,必須明確信息的所有權(quán);其次,安全傳輸�,安全存儲,是企業(yè)的責(zé)任���,必須提升企業(yè)自身安全防護(hù)水平;再次����,使用用戶的信息,要讓用戶有知情權(quán)選擇權(quán)���,平等交換、授權(quán)使用���。
2 �����、信息安全關(guān)鍵技術(shù)
2.1 虛擬磁盤技術(shù)
在系統(tǒng)中創(chuàng)建一個或多個虛擬的磁盤����。虛擬磁盤和真實磁盤上的電子信息一一對應(yīng)����,通過讀寫信息中相應(yīng)偏移量的數(shù)據(jù)來讀寫虛擬磁盤扇區(qū)。對所有數(shù)據(jù)在保存前經(jīng)過高強(qiáng)度加密�,密鑰由用戶自主加密。但為了防止用戶密鑰丟失��,要提供緊急恢復(fù)功能����,且只有管理員可以使用系統(tǒng)惟一的USB-KEY來恢復(fù)數(shù)據(jù)。通過虛擬磁盤技術(shù)集中存儲,采用磁盤加密���,形成虛擬安全工作區(qū)����,用戶信息本身就具有了一定的安全性���。
2.2 基于透明加解密的涉密電子信息集中存儲技術(shù)
實際應(yīng)用中虛擬磁盤存儲技術(shù)還存在一些缺陷:如:未能保證電子信息的安全;也無法對電子信息進(jìn)行細(xì)粒度的權(quán)限控制;缺乏完整的電子信息安全解決方案��。針對以上問題�,集中存儲電子信息還需加強(qiáng)管控:用戶身份管理��,集中加密存儲�,權(quán)限控制,審批流轉(zhuǎn)��,自動備份��,信息外發(fā)管理及強(qiáng)大日志審計分析����。
(1)用戶身份管理。加強(qiáng)終端使用者的身份認(rèn)證���,包括用戶訪問授權(quán)����、口令認(rèn)證,UKEY雙因子認(rèn)證等不同的認(rèn)證強(qiáng)度�����,來確保終端使用者的身份��,并且可以與AD域賬戶同步管理��,通過對用戶身份的規(guī)范化管理���,從而系統(tǒng)的管理終端使用者對計算機(jī)外設(shè)、網(wǎng)絡(luò)及敏感數(shù)據(jù)的使用權(quán)限���,開放式的數(shù)字認(rèn)證接口����,設(shè)置不同要求的保密安全級別��。
(2)信息集中加密存儲�。在終端的本地計算機(jī)中���,不存儲任何形式的文件信息,所有信息均自動加密并集中保存至文件服務(wù)器中管理�����。存儲到服務(wù)器中的信息�,使用CBC(密碼分組鏈接)模式外加擴(kuò)散器算法進(jìn)行加解密,該算法使得改變一個扇區(qū)中任何一個字節(jié)數(shù)據(jù)����,都完全重寫整個扇區(qū)的密文,有效抵抗“明文攻擊”等破解手段���。同時��,加密策略(算法�����、密鑰和加密文件的指定)內(nèi)置在透明加密技術(shù)平臺中����,由系統(tǒng)管理員統(tǒng)一集中管理�,文件操作者無權(quán)獲取或更改���。透明加解密具有強(qiáng)制性和透明性的特征:
①強(qiáng)制性:所謂透明加密的實質(zhì)就是人為的強(qiáng)制加密���。其一�����,認(rèn)為需要保密的信息�����,一律加密,加密與否取決于信息本身的內(nèi)容���,于信息始作者性質(zhì)無關(guān)����,于操作者的責(zé)任心和保密意識無關(guān);其二��,經(jīng)過加密的信息只有授權(quán)條件中才能打開使用����,否則���,信息以密文的形式打開。任何無權(quán)限的人無法有意或無意泄露機(jī)密信息�����。
����、谕该餍裕核^透明加解密即是指系統(tǒng)在后臺自動執(zhí)行操作,用戶身份確認(rèn)后無需參與�����,與無密操作無任何差別��。透明化功能的具體實現(xiàn)過程只在內(nèi)存中進(jìn)行���,合法用戶使用時毋須對信息進(jìn)行解密���,系統(tǒng)對來訪進(jìn)行策略判斷,自動對信息進(jìn)行操作���。所有這些過程都是在內(nèi)存中進(jìn)行�����,信息的合法用戶是感覺不出這些過程的���,所以對合法用戶來講是“透明”的��。例如��,策略要求對Word文檔強(qiáng)制加密���,那么用戶只要將信息存入加密磁盤介質(zhì),信息就一定是加密的;當(dāng)合法用戶從磁盤上讀出信息進(jìn)行編輯時����,信息自動地被解密���,以便其正常操作��。
(3)用戶權(quán)限控制�����。根據(jù)分組�����、角色���、用戶或IP等對用戶進(jìn)行身份管理����,設(shè)置權(quán)限���,對所有文件服務(wù)器中存儲的信息����,均進(jìn)行細(xì)粒度的權(quán)限管理����。只有被允許的用戶,才能獲得明文數(shù)據(jù)�����,否則����,拒絕服務(wù)���。同時,可以對某些用戶設(shè)置特殊訪問權(quán)限���,使其可以訪問某些或所有用戶的加密信息��。同時��,系統(tǒng)對各用戶權(quán)限可以進(jìn)行控制�����,包括訪問口令是否可修改��、使用次數(shù)限制���、使用范圍控制、使用時間間隔��、動態(tài)打印模式等����,對已經(jīng)分配權(quán)限的電子信息,其使用權(quán)限也可以進(jìn)行動態(tài)調(diào)整���。
(4)公文審批流轉(zhuǎn)��。集中存儲的電子信息均受控于權(quán)限�。用戶操作權(quán)限范圍內(nèi)信息����。如需訪問范圍外信息,提出申請通過審批工作流����,對信息進(jìn)行主動授權(quán),同時指定具體的使用權(quán)限(只讀����、允許修改、允許打印模式����、使用期限,是否記錄使用日志等)�, 通過在線審批或離線申請來完成實現(xiàn)信息的安全流轉(zhuǎn)。
(5)統(tǒng)計審計分析�。是整個電子信息安全體系中是重要的一環(huán)���,通過對用戶的身份進(jìn)行識別,管理用戶的所有操作行為���,根據(jù)用戶的權(quán)限��,進(jìn)行訪問控制����、安全審計�,日志審計是信息安全建設(shè)中最后也是最重要的步驟,如用戶通過身份認(rèn)證后訪問文件服務(wù)器的行為��,公文審批的流程��,公文審批流轉(zhuǎn)管理�,均有日志記錄,便于統(tǒng)計分析��。同時����,對于核心信息的流轉(zhuǎn)過程,用戶對該信息進(jìn)行了哪些操作�,系統(tǒng)均可追蹤�。
(6)環(huán)境隔離�����。對集中管控的電子信息軟件使用智能文件重定向技術(shù)���,結(jié)合虛擬磁盤和信息訪問控制技術(shù),進(jìn)行安全環(huán)境與普通環(huán)境下的信息隔離���。安全環(huán)境內(nèi)的應(yīng)用程序無權(quán)對普通環(huán)境下的數(shù)據(jù)執(zhí)行寫操作��。同時�,普通環(huán)境中的應(yīng)用程序絕對禁止訪問虛擬磁盤��。保證安全環(huán)境和普通環(huán)境的電子信息隔離(即安全環(huán)境下的數(shù)據(jù)是“只進(jìn)不出”的)��,智能文件重定向技術(shù)能保證不影響兩種環(huán)境中應(yīng)用程序的正常使用��。
轉(zhuǎn)載請注明來自發(fā)表學(xué)術(shù)論文網(wǎng):http:///dzlw/8191.html
