全生命周期管理：文档信息安全之道

随着金融信息化建设的不断深入，银行内部产生有大量的办公电子文档和和报表数据文档。如何对这些文档信息进行安全防护，确保不被外部入侵违法获得，或内部违规访问外泄，是银行信息安全管理过程中面临的一项重要挑战。本文从文档信息的定级、创建、访问、外发、共享、回收、审计、存储等全生命周期的安全管理入手，综合利用DRM（Digital Rigth Management）企业数据版权管理、DLP（Data Leak Protection）数据泄露防护管理，以及文档库管理等技术工具系统的优点，形成一套较为全面、系统的文档信息全生命周期安全管理方法，以支持银行高效、安全地管理好内部重要文档信息。

一、当前文档信息安全防护管理方法比较

　　文档信息安全防护管理方法主要有以下三大类：

　　1．终端、网络边界基础安全防护办法

　　此方法是以企业信息系统网络边界和生产办公终端为防护对象，通过做好终端用户身份认证、系统补丁漏洞及时升级、非授权软件检查控制、防病毒软件安装、攻击入侵防护、802.1×网络准入控制等安全管理工作，实现信息系统和终端的“安全加固”和“合规准入”。

　　终端和网络安全防护方法的局限性，一是只能提供终端、信息系统的安全性，降低外部攻击入侵风险，不能完全防止特殊攻击入侵后的文档信息外泄风险。二是不能有效应对内部员工越权访问、下载外泄内部重要文档的风险。

　　2．网络、外设、邮件等渠道文档信息泄露防护办法

　　此方法以银行内部重要文档信息为防护对象，以DLP数据泄露防护产品技术为代表，通过在银行信息系统的各个边界（邮件、互联网出口），以及终端U盘、红外、蓝牙等各种外设接口部署信息泄露检查控制措施。以便及时发现各种异常的文档信息外发风险事件，自动阻断高风险事件，确保内部重要文档信息泄露行为能够及时发现、阻断和审计。

　　DLP方法的局限性，一是缺少文档信息的安全等级、有效期、部门、管理员等系统属性，以及检查关键字或系统标识，容易造成检查阻断准确性不高，阻断策略过松会有漏报风险，过紧会误阻断影响用户使用等问题；二是需要在各种不同渠道部署不同的DLP检查工具，相关技术部署维护复杂、检查策略难以统一管理；三是在终端或网络出口进行扫描检查时，会影响系统性能和效率；四是检查工具难以覆盖所有信息泄露渠道，容易被内部员工有意规避，造成信息泄露风险。

　　3．文档信息、硬盘、U盘等加密授权控制办法

　　此方法的一种代表是DRM数据版权管理产品技术。即基于“最小授权”的原则，对内部重要文档信息进行加密授权控制管理。硬盘加密技术的代表是利用电脑的BITLOCK加密芯片，对硬盘存储内容进行加密，防止电脑丢失、被拆卸后的信息泄露风险。U盘加密技术的代表是进行内部注册加密管理，只允许内部注册加密的移动存储设备在企业内部进行信息交换。

　　DRM加密授权方法的局限性，一是与OFFICE等办公软件关联较大，文档解密打开时间增长。二是大量业务应用系统需要改造，以支持输入、输出、编辑DRM加密文档。三是只能支持一些主流的文档格式，难以支持所有的文档格式。对于硬盘加密方法，则只能解决终端非丢失后的信息泄露风险，不能解决外部攻击入侵和内部泄露风险。U盘等移动存储设备注册加密方法，也难以解决大量临时申请放开U盘控制的例外情况下的信息外泄风险问题。

　　以上三种方法，各有其安全控制管理的优劣和劣势。为此，实施文档信息全生命周期安全管理的关键，就是整合利用上述三种方法优点，提高安全防护的系统性、效率和方便性。

二、文档信息全生命周期安全管理方法

　　为了防护外部窃取、避免内部泄露，文档信息全生命周期安全管理方法（如图所示），从信息的创建、外发、访问、共享、回收、审计、存储全生命周期进行分等级、差异化管理，在不同阶段实施加密授权、访问控制、检查阻断、申请审批、清理回收等操作。

　　1．文档信息的分级管理

　　在大数据时代，银行内部各种文档信息数量有几亿之多。如果不进行重点安全防护，相关的安全投入成本将难以承担。对员工日常办公效率的影响也将超出安全防护本身带来的价值。为此，各银行需要建立起了统一的文档信息分级管理策略，然后将各种文档信息的安全策略体现在信息系统中的文档元数据属性中，以便各种信息系统在文档的全生命周期过程中，进行分等级的安全控制管理。

　　（1）统一文档信息分级管理策略。例如，将全行所有内部文档信息统一划分为4级进行管理，前2级为内部有限公开，第3级为内部公开管理，第4级为外部公开。1～3级文档实施差异化加密、解密、外发、访问、审计、存储、授权等控制管理。

　　（2）建立加密文档信息的系统元数据属性。通过在DRM系统中，建立每个DRM加密文档的密级、有效期、发布时间、文档管理员、关键字等系统元数据属性。便于将文档系统属性与用户角色属性（职务、专业、部门等）、访问场所属性（离线、在线、内发、外发）、访问操作（阅读、修改、解密、打印）自动关联。实施差异化、精准高效的安全授权、访问控制和泄露检测等策略。

　　（3）实施加密文档分等级安全访问控制管理。对于不同等级的加密文档，可以实施各种分级访问控制策略，例如：1级文档不允许离线访问和本地存储。2级文档允许本地存储但不允许离线访问。1～3级文档高级别权限（解密、离线访问等）要进行集中授权管理等。

　　2．文档信息的创建解密

　　文档信息的产生，主要源于用户创建编辑、应用系统输出、外部导入三种方式。终端用户创建文档或应用系统输出文档时，可由作者手动或系统自动对文档进行安全等级设置和加密保存。文档创建定级后，系统自动赋予相应级别缺省的文档安全控制策略。各部门或用户可在这些缺省策略基础上，定制自己部门和个人的文档安全控制策略模版。对于存储在终端、文件服务器上的明文文档，可以通过例行自动扫描加密的方法，自动匹配加密进行加密。
同时，可以本着“谁主管、谁负责”的原则，在各业务部门设置专门的部室文档管理员，负责本部门重要文档的高等级权限（“解密”、“离线访问”、“打印”、“分发”）的集中审批和和定期清理回收等工作。重要文档一旦正式定为高级别文档后，文档的高级别权限需自动上收到本部门文档管理员。即使是文档作者，如果要解密还原此文档，也需要重新向本部门文档管理员申请权限。

　　3．文档信息的外发控制

　　为解决各种不同的文档信息外发渠道分散控制难度较大的问题，可以要求内部用户通过U盘、邮件、上网拷出明文前，先在内部专用的安全管理系统中登记审批需要外发的文档实体。登记审批过程中，系统自动扫描检查外发文档的内容。根据自动扫描结果情况选择对文档名称进行登记、对文档内容进行存档、提交上级领导人工审核等操作。登记审批成功后，会自动在服务器侧及终端侧记录登记审批成功的状态和文档的特征。这样，用户通过U盘、邮件、上网外发经过登记审批的文档时，DLP系统就只需要检查外发附件的登记状态和文件特征，以及扫描检查外发邮件的正文信息（不再需要进行复杂困难的附件内容扫描）。检查匹配无误后DLP系统允许外发，否则阻断提示。对于需要外发的内部DRM加密文档，登记审批通过后，内部安全控制系统会临时授予申请者解密权限，以便其将加密文档临时解密后外发。同时，通过严格的制度要求，禁上内部用户私自明文保留临时解密后的重要文档信息。

　　4．文档信息的查询共享

　　当前，银行内部分散的文档服务器中的信息难以共享，DRM加密文档的解密搜索效率低下，大量内部应用系统输入输出接口DRM加解密改造成本过高，为解决这些问题，可以通过建设集中的文档库来提升银行内部文档信息共享能力。

 1 2 下一页 尾页

扫码即可手机
阅读转发此文