企业信息安全管理中数据加密技术应用

对于生产企业来说，最为重要的无疑是设计文档的安全。一个企业投入巨大的人力物力成本，产生了大量的无形资产和成果，而这些资产和成果与传统的纸质文档、纸质蓝图、固定资产不同的是，它们普遍以数字的形式保存在企业的各种信息载体中。而这些数字化的信息资源具有易复制和易传播的弱点，很容易造成信息的流失。这些信息中包含的关键技术、核心工艺、研究成果关系整个企业的生存竞争。除重要的设计文档、文件外，企业的客户资料、采购成本、合同文书、商业计划等也是承载着有关商业秘密的信息资料。

1单一文档加密技术应用的不足

国家干燥技术及装备工程技术研究中心是由国家科技部批准专门从事干燥技术及装备工程化研发的部级专业科研中心。该中心主要从事干燥、焙烧、粉尘回收、尾气处理、重力掺混及气力输送、塔器、压力容器、成套装置的工程设计及制造。工程中心国产化大型干燥技术和装备成功取代进口设备，提升了我国干燥行业技术进步。中心很早就采用了文档加密系统用于保护自身的数据安全。该系统主要使用应用层加密技术将重要的CAD、DOC、XLS、PPT、TXT等技术文档进行加密处理，保证了相关数据资源不被泄露。随着时间的推移和技术的进步，这一系统也暴露出了诸多问题和不足。

（1）该系统严重依赖于应用程序，保密策略必须区别不同的文档类型、版本进行逐一单独加密，当遇到应用程序不断增多或升级变化时，保密策略的二次开发性变得愈加复杂和不可控。

（2）当用户使用多种应用程序交互工作（如在CAD和WORD文档间进行复制、粘贴操作）时，加密系统对不同文档类型的强制保护阻止应用程序间的联系，从而进一步妨碍了多个用户（组）进行协同工作的需求，而这种需求在近些年来变得日益频繁。

（3）由于操作失误、计算机错误（如意外断电）而造成的加密文档错误迫使管理人员投入大量的时间去处理加密系统的不稳定和故障频发。

（4）由于文档加密本身针对单一文档进行加密和解密，随着技术文件数量呈指数性增长，以上问题和整个系统的维护工作量日渐庞杂。为解决以上问题，工程中心于2014年采用了Chi－nasec（安元）可信网络安全平台，全面升级和改造了原有的单一文档加密系统，有利的保障了关键信息数据和内网安全，取得了良好的应用效果。

2网络安全平台的技术特点

2.1系统的体系结构

Chinasec（安元）可信网络安全平台，是基于内网安全和可信计算理论研发的内网安全管理产品，以密码技术为支撑，以身份认证为基础，以数据安全为核心，以监控审计为辅助，可灵活全面的定制并实施各种安全策略，实现对内网中用户、计算机和信息的安全管理，达到有效的用户身份管理、计算机设备管理、数据安全保密存储和防止机密信息泄漏等目标。整个平台体系包括网络认证系统（TIS）、网络保密系统（VCN）、数据管理系统（DMS）、应用保护系统（APS）和移动存储设备管理系统（RSM）六大子系统。这些子系统均采用模块化设计，根据安全机制的需求既可以单独使用，又可以灵活组合。国家干燥工程中心采用的该保密系统主要由两个子系统，分别是可信网络认证系统（TIS）、可信网络保密系统（VCN）。在该系统中，子系统拥有共同的工作平台和基础，其基本结构分为服务器（Server）、客户端（Agent）和控制台（ManagementConsole）三部分，全部为软件系统。其它各个子系统都运行在这个共同的平台上，使用共同的服务器、共同的控制台和共同的核心客户端。它们的通信体系和通道也是共同的，从而保证了占用最少的系统资源和网络资源。Server是可信网络安全平台的核心组成部分，是所有策略的存储中心，也是系统运行和维护的中心。在Server上，存储着用户信息、计算机信息、组织体系、策略信息及日志信息。服务器软件需要一个授权的硬件USB令牌，才能够正常运行。Agent运行在可信网络安全平台需要控制的计算机终端上，该采用安全的方式接收服务器的统一管理，接收服务器下发的策略，并通知相应的功能模块执行，其功能模块都通过平台的核心引擎与服务器进行通信。Console是可信网络安全平台的用户界面，用于实现对服务器端的远程管理，它是整个平台的控制中心，平台中的各个系统都可以集中体现在该控制台中。网络认证子系统（TIS）是一套基于PKI技术和公开密钥技术实现的网络资源认证的软件机制，是整个系统中的安全管理机构，其主体架构与可信网络安全平台相似，其安全性也得到了该平台的有力支撑。它主要采用口令（或USB令牌）的方式，对被控计算机终端的登录和使用权限进行“双因素认证”管理；可以对服务器进行访问控制和保护，只有经过授权的客户端和用户才能够访问受保护的服务器。网络保密子系统（VCN）是基于密码技术、网络驱动技术和系统文件核心驱动技术，针对内部网络和主机信息保密开发的软件机制，也是整个系统中最重要的应用和执行机构。同样基于可信网络安全平台进行开发，其主体架构依赖安全平台，主要用于构造内网保密网络，隔离内外网间的数据传输，对网络传输和存储设备两个主要数据交换途径进行有效控制和管理。能够提供网络传输加密和控制、本地磁盘加密、外设控制和U盘管理等功能，并可以对需要外发的文件提供文件审批和本地终端的文件加密功能，从而防止机密信息从网络途径或者存储设备的途径泄漏出去，这里的存储设备，包括移动硬盘、固定硬盘、U盘和软盘等。

2.2存储加密技术特点

加密技术在该系统中占有重要的组成部分。其加密体系分为网络加密体系和存储加密体系，其中，网络加密体系通过对IP层数据包的改造和特殊保密格式的封装，实现了网络途径的保密，客户端（Agent）对所有IP包采用特殊格式进行封装，然后才发送到网络中进行传输。而对于存储加密体系考虑更加周全，采用了目前主流的驱动级加密技术，很大程度上提高了系统的运行效率。驱动级技术与单一文档加密技术的区别在于前者采用透明加解密技术，用户感觉不到系统的存在，不改变用户的操作习惯；而数据一旦脱离安全环境，则无法使用，有效的提高了数据的安全性。

2.3加密算法技术特点

对于加密技术来说，加密算法是整个技术体系赖以运作的关键核心。Chinasec可信网络平台在数据存储控制中支持DES、3DES、AES和SMS4多种算法。DES算法是分组密码的典型代表，也是第一个被公布出来的加密标准算法。在1976年11月被美国国家标准和技术研究所（NIST）采纳为美国联邦标准，并被批准用于非军事场合的各个政府机构。DES同时采用了代换和置换两种技巧，用56位密钥加密64位明文，最后输出64位密文，整个过程由两大部分组成，一个是加密过程，另一个是子密钥产生过程，见图1所示。DES加密过程共迭代16轮，每轮用一个不同的48位子密钥。这些子密钥由算法的56位密钥产生。DES算法的输入密钥长度是64位，但只用了其中的56位，其余位数主要用于奇偶校验。由于DES将Lucifer算法作为基础，而Lucifer算法的密钥长度为128位，但DES将密钥长度改为56位，因此密钥共有256=7.2×1016个可能值，这不能抵抗穷尽密钥搜索攻击和破解。由于DES算法本身的缺陷和安全问题，NIST在1999年了新版本的DES标准（FIPSPUB46-3），即通常所说的三重DES（3DES）标准。3DES的密钥长度是128位，足以抵抗穷举攻击和破解。其次，3DES的底层加密算法与DES的加密算法相同，该加密算法比任何其他加密算法受到分析的时间要长得多，但迄今为止却没有发现有比穷举攻击更有效的密码分析方法。当然，由于3DES迭代的轮数是DES的3倍，因此运行速度要慢很多。为了弥补DES在安全性上的不足和3DES的运行效率问题，NIST在2000年公布了新的高级加密标准（AdvancedEncryptionStandards，AES）。AES标准支持新的准则：

（1）安全性：由于AES最短的密钥长度是128位，在现有技术条件下，穷举攻击和破解是无法实现的；

（2）代价：由于AES具有很高的计算效率，因此可以广泛应用于各种实际应用中；

（3）算法和执行特征：算法的灵活性、简洁性以及硬件与软件平台的适应性方面远比DES和3DES更高。SMS4算法是中国国家商用密码管理办公室于2006年公布的用于无线局域网的分组对称密码算法，是国内官方公布的第一个商用密码算法，具有较好的抗破解能力。它的分组长度和密钥长度为128Bit，具有较好的平衡性和非线性。

3应用中的安全特性和优点

3.1系统的安全特性

整个系统总的来说就是提供了一种有效的资源控制手段，根据管理需要和规则对内部网络信息系统的各种资源进行有效的控制。具体来说，计算机系统本身就是一种资源，计算机里面的各种外设、硬盘空间、应用程序、网络端口、网络连接和文件等，而服务器系统本身也是资源。系统对所有这些有价值的资源都进行控制，采用了授权使用、违规记录及审计等多种手段结合，确保了所有资源的可控性，从而提高了内网信息系统的安全性和可管理性。授权使用是指所有资源必须是经过管理员授权的用户在指定的状态下才能使用。例如，要使用某台计算机，必须是经过管理员授权的用户才能进入该计算机操作系统；又如要使用一台计算机上的USB端口，那么也只有经过管理员授权。违规记录则是将用户违反管理规则，试图使用没经过授权的资源。比如一个用户在一台计算机上没有被授权使用光驱，该计算机上的光驱在该用户登录系统后会被禁用，如果用户试图从设备管理器强行启用该设备（当然其行为会失败），保密系统将记录该用户的违规行为。审计则是对用户行为和信息系统的一些重要信息进行记录。记录的信息包括了详细描述、用户、计算机及时间等要素，可以作为以后查证使用。整个系统资源控制，都以策略的方式实现，包括了用户、计算机、资源授权内容和状态几个要素。尤其是可信网络保密子系统（VCN）由于同时使用了存储加密和网络加密传输，部署VCN的所有计算机，启用网络策略后，其传输的数据都经过加密，且每两台计算机使用的通信密钥都不一样，从而有效防止了网内使用恶意侦听软件的行为。网络加密的密钥由VCN服务器统一管理。VCN强制加密所有本地磁盘保存的文件，只能在VCN系统启动的情况下才能正常使用本地磁盘，有效防止了因为硬盘丢失、多操作系统和光盘启动等造成的数据泄密事件的发生。有效防止了非法外连和非法接入，VCN内的计算机不能与VCN外的计算机进行网络通信，阻止了各种形式的非法接入。

3.2实际应用中的优点

3.2.1开机认证保护即用户和安全平台之间的认证是优先于操作系统启动之前发生。在BIOS启动后通过密码进行认证，合法授权才能启动您的电脑正常使用本地磁盘数据，等于是在底层控制，确保硬盘数据的安全性是万无一失。

3.2.2加密方式灵活存储磁盘加密的实际运用手段分为快速加密和深度加密。快速加密方式仅加密磁盘分区表，特点是部署时间短；深度加密方式加密全盘数据，特点是安全性高。企业可根据自身的实际情况来采取更合理的加密方式。

3.2.3后台无感知自动加解密所有加密过程均在后台全自动完成，对硬盘的每一个扇区加密，全面而彻底；而对用户完全透明，整个过程用户毫无感知。用户查看文件时将不会看到文件带有任何与“加密”有关的属性；但如果换个角度，将装有系统的硬盘拆掉，连接到其他计算机上，在试图访问应用了硬盘加密的系统所在的分区时，则只能看到未经格式化的硬盘分区信息。

3.2.4支持断点加解密客户端在加密或解密过程中，发生系统关机、断电等异常操作后，重启计算机，客户端仍继续执行相应的加解密动作。

3.2.5集中部署，统一安全的策略系统集中下发安全策略，客户端统一受控于管理端。策略在运行时，使用者没有修改安全策略的控制权限，在客户端强制性设置安全策略变得更容易，后期维护更简单方便。

3.2.6数据恢复措施完善服务器会实时记录当前客户端状态，当发生客户端断电、使用者忘记密码、遗失或者离开本单位后，客户端都能安全的恢复到当前状态；还可建立网上恢复工具的帮助桌面，通过帮助桌面远程重新设定使用者密码。

4结束语

大数据时代，无论是政府还是企业都离不开数据的采集、存储和使用，数据资产是企业发展的生命线，捍卫数据安全成为企业的重要任务。网络安全平台的投入使用，通过存储强制加密、保护控制策略、记录审计等多种手段相结合，可以达到外部入侵进不来、非法外接出不去、内外勾结拿不走、拿走东西看不懂的效果，有效防止机密敏感信息的泄漏。它的投入使用，全面提升了国家干燥技术及装备工程技术研究中心的数据安全性和综合信息管理的水平，保护了企业的智力资产。这一系统的成功应用，为其他企业的信息数据安全管理也有很好的借鉴。

作者：张睿 李雪梅 岳永飞 单位：天华化工机械及自动化研究设计院有限公司