信息加密軟件系統(tǒng)在企業(yè)的應(yīng)用分析

楊 靜 湯 亮

（1.鄭州電力機械廠 河南 鄭州 450004；2.鄭州供電公司 河南 鄭州 450000）

0 前言

隨著信息技術(shù)的廣泛應(yīng)用，信息已成為企業(yè)重要的資源，企業(yè)的戰(zhàn)略和決策也越來越依賴于這些資源，信息安全問題日顯突出，已得到全社會的關(guān)注。

權(quán)威機構(gòu)對各類信息泄密案例的統(tǒng)計表明，絕大多數(shù)的電子文檔泄密行為均由這些文檔的合法使用者所為，而這也是最難防范的。因為，這些文檔總要被人瀏覽、編輯，至少文檔的作者會擁有它們。即使管理者費盡周折，但是最不想看到的事情還是時有發(fā)生。我們只有實行主動加密工程，讓電子文檔只能限定在企業(yè)內(nèi)部自由使用。

1 信息安全系統(tǒng)的組成及工作原理

信息技術(shù)網(wǎng)絡(luò)由一個部門級交換機、部門級服務(wù)器和諸多客戶機組成。由研發(fā)技術(shù)部門安裝一臺加密系統(tǒng)管理機，部門內(nèi)的計算機安裝多個加密系統(tǒng)客戶機。

架構(gòu)圖如下：

無論應(yīng)用程序輸出何種文件，最終都是以二進(jìn)制代碼形式存在硬盤上的。信息網(wǎng)絡(luò)加密軟件通過攔截操作系統(tǒng)相關(guān)的指令，在文件輸出到硬盤之前，把二進(jìn)制代碼按照DES3L對稱算法打亂存在硬盤上。在相關(guān)程序要調(diào)用加密文件時，客戶端會自動的把二進(jìn)制代碼排序逆算回正常的文件。如果沒有客戶端把二進(jìn)制代碼恢復(fù)正常排序，則應(yīng)用程序無法識別。文件在被打開編輯時是存在內(nèi)存里的，信息網(wǎng)絡(luò)加密軟件對內(nèi)存里的文件也是半加密的操作狀態(tài)，從內(nèi)存里也同樣無法截獲明文。

2 信息安全系統(tǒng)的軟件實現(xiàn)方法

2.1 采用透明加密技術(shù)

通過對指定需要加密的應(yīng)用程序或文件類型進(jìn)行自動實時的加密，同時安全系統(tǒng)只控制用戶選擇要監(jiān)控和保護(hù)的應(yīng)用程序，不影響其他軟件的正常使用，不影響用戶的操作習(xí)慣，終端用戶完全感覺不到安裝了安全系統(tǒng)加密軟件。安裝了安全系統(tǒng)的客戶機，無需進(jìn)行文件加密操作，文件在全生命周期中自動加密。完全不需要使用傳統(tǒng)的輸入密碼和手動進(jìn)行加密的操作。在企業(yè)內(nèi)的加密環(huán)境中，不需要輸入密碼可自動解密，不影響內(nèi)部信息交流。

2.2 采用強制加密技術(shù)

自動強制對指定計算機中的數(shù)據(jù)進(jìn)行加密，不影響其它應(yīng)用程序的正常運行。加密的數(shù)據(jù)未經(jīng)解密離開加密環(huán)境就無法打開。安全系統(tǒng)還通過多種手段來控制加密數(shù)據(jù)的外泄。

2.3 涉密文件操作控制

我們所說的涉密文檔操作控制是指：打印控制、文件操作控制。

2.3.1 打印控制

（1）控制物理打印機

（2）控制虛擬打印機

如果在管理機上的客戶機配置向?qū)Т翱谥胁贿x“允許打印”，則該裝有加密軟件的計算機將無法把加密軟件的保護(hù)的文件輸出到物理打印機。而且如果選擇打印功能中的“打印到文件”，也不會生成打印文件。

如果在管理機上的客戶機配置向?qū)Т翱谥羞x擇“允許打印”，則該裝有加密軟件的計算機可以將加密軟件的保護(hù)文件輸出到物理打印機。如果選擇打印功能中的 “打印到文件”或者虛擬打?。ɡ齈DF虛擬打?。﹦t將打印成加密文件。

2.3.2 文件操作控制

對于文件操作的控制主要是針對受控文件內(nèi)容復(fù)制、粘貼等動作進(jìn)行控制的。

當(dāng)我們禁止粘貼后：

（1）受控到不受控，不允許粘貼

（2）受控到受控，允許粘貼

（3）不受控到受控，允許粘貼

（4）不受控到不受控，允許粘貼

（5）受控到桌面，不允許粘貼

（6）桌面到受控，允許粘貼

（7）桌面到桌面，允許粘貼

（8）無法將加密文件拖入不受控進(jìn)程

2.4 離線管理功能

2.4.1 在網(wǎng)絡(luò)出現(xiàn)故障，管理機連接不上服務(wù)器時，管理機還能正常工作一段時間，用戶利用這段時間讓網(wǎng)絡(luò)恢復(fù)正常。

2.4.2 應(yīng)對出差的情況。有一些安裝了加密軟件的客戶機的移動筆記本上的加密文件，需要在出差時能夠正常使用，此時可以在出差前由加密軟件的管理機的管理員設(shè)置一個較長的脫機使用時間，這樣，在出差期間脫離了公司的網(wǎng)絡(luò)環(huán)境，筆記本還能正常使用；在出差回來后，接入公司環(huán)境后計時器歸零，又回到未離開公司環(huán)境的狀態(tài)中。

這種方式可以預(yù)防帶出筆記本導(dǎo)致的泄密，因為筆記本上的加密軟件的客戶機在允許脫機時限內(nèi)仍然是正常工作的，可打開加密文件，打開加密文件后另存為、保存出來的文件，還是加密的文件；而且如果筆記本被盜竊，一旦超出脫機時間后，失竊筆記本內(nèi)的加密文件就永久失效了。

3 結(jié)束語

安全系統(tǒng)實現(xiàn)了內(nèi)部敏感信息，如：機密文件、重要數(shù)據(jù)、設(shè)計圖紙、軟件源代碼等的全方位保護(hù)，杜絕了敏感信息通過網(wǎng)絡(luò)、移動存儲設(shè)備（軟盤、U盤、筆記本等）、硬盤或打印機等傳輸途徑的泄露。安全系統(tǒng)解決了內(nèi)部信息安全管理沒有行之有效的管理手段的難題，有效地從內(nèi)部控制了電子文檔的安全，保護(hù)了我們的知識產(chǎn)權(quán)，極大地降低了經(jīng)營的風(fēng)險與損失，為信息化建設(shè)保駕護(hù)航。

［1］楊義先，李名選.網(wǎng)絡(luò)信息安全與保密[M].北京:郵電大學(xué)出版社，2000.

［2］何萬敏.網(wǎng)絡(luò)信息安全與防范技術(shù)[M].甘肅:甘肅農(nóng)業(yè)出版社,2005年第1期.

［3］盧開澄.計算機密碼學(xué)[M].北京：清華大學(xué)出版社，2000.

［4］溫世讓，邱景.計算機網(wǎng)絡(luò)信息安全認(rèn)識與防范[M].廣州：中山大學(xué)出版社，2000.

［5］王麗輝.網(wǎng)絡(luò)安全及相關(guān)技術(shù)[J].吉林:吉林農(nóng)業(yè)科技學(xué)院學(xué)報，2005第19卷第2期.

［6］陳彥學(xué).信息安全理論與實務(wù)[M].北京：中國鐵道出版社，2001.