電子圖文當安全加密系統的基本原理

　　電子圖文當安全加密系統（DLP)是近幾年面世的信息化應用產品，主要解決數據資產因內部因素而造成的信息外泄（密）問題。以寧波數宇信息技術有限公司出品的電子文檔安全管理系統為例，如圖1所示，說明其基本工作原理為：

　　數據資產的加密

　　數據資產從創建之初就處于加密保護狀態，使數據資產離開企業局域網或本地計算機后，無法打開并操作。同時，處于加密保護狀態的數據資產在企業局域網內或本地計算機上可以無障礙“流通”，實現該數據資產的協同作業。

　　數據資產的解密

　　數據資產的作用在于信息的記錄和交流。對于處于加密狀態的數據資產，由于需要向第三方提供并進行必要的信息交流。為此，在向第三方提供之前，需要經過得到授權的人員進行解密，解除數據資產的加密保護狀態。

　　數據資產的監管

　　計算機操作系統和眾多的應用軟件具有多項對數據資產的操作功能，可以對數據資產進行復制、拷貝、打印、傳輸、拷屏等操作。同時，利用電子郵件系統、即時通訊系統、虛擬打印系統、格式轉換系統以及FTP等方式進行數據資產的轉移，導致電子文件內容的泄漏。因此，在電子圖文當安全加密系統（DLP）中進行授權和監管。

　　解密流程的控制

　　通過對解密流程的設置，確定操作者的解密權限，達到對外交流的數據資產的放行和控制的目的。同時，根據處于加密保護狀態的數據資產的屬性，實現多級審批和審批代理機制，進而明確保密工作職責。

　　操作日志的監管

　　通過系統的日志管理功能，對各計算機對數據資產的操作以及加密、解密過程進行摘要性記錄，保全系統的監管數據證據，實現事后的有效跟蹤和追查，起到“亡羊補牢”的作用。

      現行企業對文檔的管理現狀

　　在傳統企業中，紙質文檔的管理采用人工管理的方式。企業建有專門存放紙質文檔的檔案室，入庫的紙質文檔以合訂卷宗方式的存放。查閱時，需要進行登記。卷宗不得外借，以保全存檔文檔的安全性。對于流通的文檔，則存放在使用者手中，無安全保障的措施。而對于數據資產，從它創建之初就存放在個人計算機（或者服務器）上，任何人均可以進行下載、復制、拷貝、傳輸等操作，數據資產的安全性處于真空狀態，更談不上文檔的保密性。雖然一些企業為解決數據資產的管理問題，引進電子圖文檔管理系統（EDM）或產品數據管理系統（PDM），對企業的數據資產實行集中式管理，如數據資產統一放置在文件服務器中，并對使用或訪問數據資產的方式進行各種權限設置。但是，由于電子圖文檔管理系統（EDM）或產品數據管理系統（PDM）的局限性，所訪問或使用的數據資產必須下載（包括臨時下載）到本地計算機，再通過相應的應用軟件進行操作。這就給數據資產的安全保密性帶來漏洞，使“別有用心”的人得到“可乘”的機會。打印、拷貝是常見的計算機文件輸出功能。為了防止數據資產通過打印、拷貝等方法的泄漏，企業往往采用封閉外聯互聯網、集中打印以及封閉USB端口等方式進行保全，給信息交流的及時性產生不便。

　　許多企業把管理的重點放在產品開發、生產制造、市場營銷方面上，對企業的信息安全管理方面，缺少相應的組織機構或管理人員，也缺乏相應的技術手段。特別是在信息化時代，對以電子文件形式出現的信息，更缺乏保護、控制和管理的方法和機制，成為企業管理方面的“短板”，使企業的知識產權在“無形”的過程流失。

      加裝加密系統后的管理機制改進

　　電子圖文當安全加密系統（DLP）的出現，從根本上解決了數據資產泄漏的基礎問題。存放在企業計算機內的數據資產經過電子圖文當安全加密系統（DLP）的處理，始終處于加密保護狀態，任何一個數據資產在離開企業后，在沒有得到解密處理的情況下，均無法打開操作，包括瀏覽、更改、打印等。但是，加密技術也是一個“雙刃劍”，在保護數據資產內容的同時，也造成信息交流的不便。為了解決這一問題，需要企業建立數據資產解密管理機制，重新劃分管理職責，分配相應權限。因此，在使用電子圖文當安全加密系統（DLP）的企業，應該從管理體制上進行重組，形成一套適應新的工作環境下的管理運作機制。

　   建立信息安全管理組織

　　在國際標準ISO/IEC 27001（信息安全管理體系）對信息安全管理的要求中，明確：建立、推行、維持及改善信息安全管理是企業高層管理人員具有監察及控制信息安全、減少商業風險和確保保安系統持續符合企業、客戶及法律要求的職責，通過建立和提升信息安全管理可以增強企業內部和企業之間的交流、往來的信心與信任。因此，成立企業信息安全管理組織是保證信息安全保護控制有效性的首要條件。企業信息安全管理組織一般由以下人員組成：

　　● 檔案管理員，負責數據資產的集中管理（包括打印管理）。

　   制定相關規章制度

　　所謂的規章制度就是指引人們行動的方式方法。通過文件化管理的模式，可以建立起一套行之有效的工作程序，減少不必要的、影響工作效率的環節，并劃分相應的工作區域和工作職責。因此，企業根據自身條件和基礎，分別建立：信息安全控制程序、數據資產管理守則、企業信息保密守則等，并對原有規章制度進行相應調整和修改。

　　 信息安全控制程序

　　根據企業管理模式，明確信息安全的管理對象、權限分配、工作流程以及工作職責等。特別是對數據資產解密、外發、打印、拷貝等環節，作出明確的規范。同時，對電子圖文當安全加密系統（DLP）以及其它軟件系統的安裝、升級、卸載、維護等內容作出規定。

　　信息安全控制程序是一個綱領性文件，是其它作業性文件的基礎。

　　 數據資產管理守則

　　按照信息安全控制程序的規定，數據資產管理守則是一個具體作業指導書性質的文件。通過數據資產管理守則，對數據資產的文件格式、存放地點、外發手續、解密流程、打印模式等等內容進行詳細規范，使工作流程有章可循。

　　 企業信息保密守則

　　企業信息保密守則是一個具有作業指導書性質的文件。通過企業信息保密守則，劃分企業機密范圍和信息保密等級。對不同的文件，納入不同的保密等級中進行控制。同時，企業信息保密守則還應明確企業保密制度和相關獎懲規則。

　　信息安全知識教育

　　對數據資產采取加密保護是一個新事物，新概念的產生往往沖擊著人們的傳統思維方式。因此，通過信息安全知識的培訓，讓全體員工了解信息安全保護對企業知識產權保護的重要性，自覺承擔起信息安全保護的責任。

      數據資產加密實例介紹

　　成立于2001年的某中日合資企業（簡稱合資企業）是中國國內磁性材料行業唯一由國家發展計劃委員會批準并通過驗收的“高性能燒結釹鐵硼永磁材料--國家高技術產業化示范工程”的實施單位，主要生產燒結釹鐵硼產品，主要應用于永磁風力發電機、汽車EPS電機、空調壓縮機電機、永磁電動機、高端手機、醫療設備等領域。

　　合資企業通過采用先進的日本磁性材料生產工藝技術和德國的生產制造設備，大幅度提高產品的性能指標和生產效率，使企業迅速成為同行的佼佼者，獲得國家發展計劃委員會的肯定。隨著行業地位的不斷提高和自有知識產權的擁有，迫切需要加強企業在信息安全保護方面的建設。經過對信息安全保護行業的調研后，最終與寧波數宇信息技術有限公司進行合作，構建具有自身管理特點的信息安全保護與管理體系。

　  信息化應用現狀

　　合資企業自創建之日起，就把企業信息化建設納入既定工作目標之中，計算機的配備、局域網的建設與企業組建同步進行，實現了“無紙化”辦公和“數據化”產品創新，達到科技部“兩甩”的要求。目前，企業的信息化應用環境為：

　　● 基于移動辦公系統的外出作業等。

　　項目需求

　　根據企業現有的管理模式以及發展趨勢，在考察各類信息安全保護與管理方面的各類技術與現行軟件產品的基礎上，提出構建企業信息安全保護與管理體系的各項技術要求，重點解決企業信息安全由被動保護轉為主動預防的問題，把各種影響企業信息安全的隱患控制在企業內部。為此，提出以下項目需求：

　　● 系統應有網絡故障、通訊中斷、殺毒干擾、加密硬件損壞、加密進程終止等應急處理能力，提供處理緊急事件的處理時間方法。

　　項目實施準備

　　針對企業的應用環境和項目需求，數宇公司根據加密系統的功能以及現有的項目實施經驗，設計出相應的項目實施技術方案，得到企業的認可，并進行現場實施。

　　實施準備

　　在合資企業項目中，通過實地調研，從以下幾個方面進行實施準備，并得到用戶的認可：

　　● 檢查網絡環境和防病毒軟件，確定各終端的IP地址以及獲取的方式。同時，要求用戶在項目實施前對所有計算機進行一次（至少）全面清毒處理，確保網絡環境的“清潔”度。

　　現場實施

　　在前期工作準備完畢后，項目進入現場實施階段。加密軟件系統的現場實施分為兩個階段，即系統管理端和系統客戶端。

　　A. 系統管理端的實施

　　B. 系統客戶端的實施

　　● 通過管理控制臺對已安裝的計算機進行初始化掃描，將已存在的數據資產進行加密處理。

　　策略調整

　　在加密軟件系統安裝完畢后，計算機就處于加密控制狀態，所產生的數據資產具有加密控制的性質。但是，通過一段試運行后，需要對管理策略、加密策略以及審批流程等進行必要的調整。此時，再通過管理控制臺按照單個需求，修正各類策略，并通過遠程分發的形式，修正各個計算機直至滿足需求。

　   后期服務

　　項目驗收后，緊接是售后服務。數宇公司通過遠程服務（計算機連接模式）的方式，及時了解和處理企業現場應用中出現的各類應用問題，診斷和解答各類使用上的不惑。

　　項目效果

　　合資企業信息安全保護與管理項目的實施成功，說明企業利用信息化手段，保護自身知識產權方面具有高度的前瞻性。通過加密軟件系統的實施，項目初步達到以下效果和目的：