广州深海信息科技有限公司
1
文档防扩散系统
产品技术白皮书
Version 3.7
广州深海信息科技有限公司
2006 年 11 月
广州深海信息科技有限公司
2
§ 1 前言
1.1 理解与界定
随着计算机应用的普及,数据安全问题越来越突出。但是所谓的数据安全是包括两方面内容的:
(1)、数据存储的可靠性问题
(2)、数据内容的私秘性问题
前者讨论的是一旦发生灾难性的事件,数据的所有者是否还能够将数据的内容重现回来。这
涉及到计算机数据备份等方面。后者讨论的是数据的所有者是否能够保证数据的内容不会被传播
到不可信任的范围中去。文档防扩散系统关注的是后者,即数据保密问题(关于数据存储的可靠
性问题请参见我们的“数据备份与桌面管理软件”)。
数据的保密,又存在两个不同层次的信任模型:外部安全模型和内部安全模型。前者认
为,所有对数据的威胁皆且仅来自外部,所有内部用户都是可以信任的。而后者认为,威胁不
仅可以来自 外部,而且可以来自内部;无论是内部用户还是外部用户,都是不可信任的。
显然,内部安全模型是更符合社会现实。
2003 年,美国的执法机构 FBI 和 CSI对数百家企业进行了调查。该调查结果认为绝大多数
泄密事件是由内部人员所为, 或者由内外勾结造成的。IDC 的报告也得出了类似的结论:70%的
安全损失是由内部造成的。这些都印证了中国 的一句古话,“家贼难防”。
由于内部人员熟悉文件的存放,还可以接触到密级高、范围广的文件,所以一旦发生内部
人员故意泄密事件,其危害程度是大大超过外部人员的盗取(例如黑客攻击行为)。可见,数据
私秘性的保护要内外兼修,甚至要防内重于防外。
1.2 常见的解决方案简析
在计算机普及化的条件下,数据保密问题引起了很多用户的不安,也刺激市场上出现了一
些解决方案。我们可以将其归纳为四类。
1.2.1 外网安全系统
在计算机安全产品中,反病毒、防火墙、入侵检测等系统是最早出现的,最近出现的反木马
软件也属此类。这类系统的一个共同目标是:防止来自互联网上窃密者(即“黑客据所有者和数
据使用者不知情的情况下,将数据内容偷盗出去。很显然,这些系统都是基于外部安全模型的。尽
管它们在数据安全体系中也扮演了重要的角色,但是并没有将最核心、最棘手的问题解决好。
1.2.2 设置密码,对文件进行加密
有些计算机用户意识到数据的宝贵,便要求数据的使用者在保存文件时设置密码,或者在
保存完毕之后,用第三方软件予以加密。这样的解决方案可以说是“防君子不防小人”。原因
是:
1. 数据使用者要使用这样的密文,必须知道密码。而因工作需要而使用该文件的人可能会
越 来越多,这些人便都需要知道密码。而一个人一旦得到了密码,这些文件对他来说
就无秘密可言了。窃贼可以在买通内部用户时,将密码连通文件一起“买”到手。
2. 数据的创建者(即文件作者)在对文件进行加密处理之前,完全可以给自己留一份明文
拷贝。甚至在有些系统中,文件的任何一个读者都可以去掉密码再行保存,从而也可以
得到 份明文拷贝。
广州深海信息科技有限公司
3
这样的方法仅仅可以解决内部人员因过失而将电子文件传播到不可信任的范围的问题,但
是还是防不住内部人员主动泄密。
1.2.3 建立网络监控与审计系统
有些人认为,要解决数据保密问题,必须管好涉密计算机的数据流出渠道。在这样的思想
下, 网络监控与审计系统便孕育而生。这样的系统,最近两年在市场上出现了很多品牌。它们
虽然在局部上互有优劣,但是其原理是一致的。
在各个涉密计算机上安装客户端程序,它能够监视涉密计算机用户要进行的各种操作尝
试。如果这些尝试是事先被允许的,那么操作可以进行下去;否则客户端程序会予以阻止并报
警。所有的操作尝试,无论是否被允许,都会被客户端记录下来形成日志,以备日后追查。这
种系统的核心便 是“监视”、“控制”、“审计”,而其基本思想在于“堵漏洞”。
这种系统在一定程度上可以约束计算机用户的网络行为,降低了内部人员对企业网络发起
攻击(无意的误操作或有意的恶操作)的风险,也可以降低内部人员通过USB等外设接口或电子
邮件等网络手段将涉密文件传播出去的可能性。
这似乎是一个完美的方案。但是问题出在当今的计算机技术发展非常迅猛,并且各大软硬件
厂商都强调信息,所以所谓“漏洞”几乎是层出不穷且日新月异。要想完全地将所有漏洞全部堵
死,从现在的眼光来看已经实属不易;从发展的眼光来看,更将防不胜防。所以这种系统具有一
个非常明显的缺点,它将用户带到了一个两难的境地:用户要么为了必要的、正常的工作交流而留
一些“口 子”,从而大大降低系统的可靠性;要么就堵死所有的“漏洞”,以牺牲方便性为代价来
换取严格的安全性。
1.2.4 建立文件权限集中管理系统
与内部网络行为监控与审计系统不一样的是,文件权限集中管理系统的管理重点从网络转
移到了数据载体文件的本身。这种系统的原理是:每一个涉密文件都加密,并且在加密的时候
由文件的所有者来指定哪些人可以分别以哪些权限(只读、打印、编辑、复制等)打开这个文
件,以及能够打开几次或者有效期。这些文件权限被保存在用户自己的权限服务器上,而这些
文件可以放心大胆地放出去。得到这些文件的人如果要打开文件,则需要连线到权限服务器上
验证他的权限。无论文件到了何处,其所有者都可以控制住它。虽然如此,但是要实现这样的
控制必须有那么一条网络线路。所以有人形象地称之为“放风筝”。
这种系统的优点在于:①它的保护对象不再是抽象地网络,而是具体的文件;②每一个人
针对 文件的权限是受控制的,且可以随时更改。
但是这种系统也有其自身的不足:
由于权限服务器既需要向内网用户提供验证服务,也要向外网用户提供验证服务,
所以它自身的安全需要严密保护。为此,用户需要更多地投资于该服务器及其周边安全
子系统(例 如防火墙、入侵检测、身份认证)。
由于需要一个数据库来记录每一个人针对每一个文件的权限,所以这种系统通常都
需要一个庞大的数据库作后台支持。这不仅增加了用户的软件投资,也增加了系统
维护难度。所有的用户必须要能够和权限服务器正常通讯,否则无论是谁都无法使
用涉密文件。这给这种系统带来了很大的局限性。
通常来说,这种系统可以保护的文件类型有限。这种系统虽然可以保护常见类型的文件
(例如 Word 的 doc 文件、AutoCAD 的 dwg 文件),但是不是所有的文件都能够保
护。
广州深海信息科技有限公司
4
效果有限。这种系统是在文件已经生成,已经作为明文可以被拷贝了之后,才能够
得到保 护。这一点,和 1.2.2 部分中论述的类似。最好的效果,也仅仅是防住了
读者,防不住作者。要知道,文件作者也是有可能泄密的。因为:①泄密的判断是依
据数据所有者的意见, 而所有者和作者未必就等同;②但凡有权限编辑文件的人都
可以被看作是作者,不是仅仅特指文件最初的生成人员。这样一来,作者的范围就
大大增加了,风险也就大大增加了。
1.3 数据保密安全应有的效果
虽然安全性和方便性是一对矛盾,但是优秀的数据保密系统应该尽可能地协调这两者的关
系。 要让用户在得到严格的安全保证前提下,充分享受技术进步带来的方便性。
内部人员因工作需要而相互交流数据,这是正常的,也是应该被允许的。优秀的数据保密
系统 应该充分考虑这一现实需求,不能阻断这种交流或者给这种交流造成麻烦。外部人员如果
私自得到内部文件,优秀的数据保密系统应该保证文件内容不会流失。 外部人员如果需要正常
地得到一些内部文件,应该有特定的审批流程,并予以记录备案
§ 2 文档防扩散系统的设计思想
2.1 目标
文档防扩散系统(“File Protect System”或“FPS”)总的目标是:统一安全性和方便性
的矛盾,即在保障数据严密的安全性的前提下,充分保留数据使用的方便性。
具体地可以细化为以下几条:
特定的文件(如果客户需要,可以对基于Windows下所有应用程序所产生的文件)在
生成(或保存)之时,就应该被加密,且加密要由计算 机自动地进行,不能依靠人
工执行;
文件的加密和解密,不能依赖人工设定的密码或口令;
被加密的文件在被涉密计算机打开之时,就应该被解密,且解密要由计算机自动地
进行, 无需人工操作,文件的使用者也无需知道“密码”;
被加密的文件在被非涉密计算机私自打开之时,应该报错、显示乱码或者其他方式
以阻止 文件内容被传播;
文件如果要被外部人员(或非涉密计算机)所读取,应该由专人来审查并解除其保密
状态。
这些目标,可以归纳为十六个字:“敏感数据,强制加密;于内无碍,对外受控”。
2.2 原理
稍经分析我们很容易发现,文件泄密有两个步骤:
① 文件本身被非法地流传到可信任范围之外;
② 流传出去的文件被不可信任的人读懂。
以前众多的保密系统都是侧重于在第一步进行防范。如果 将保密的希望寄托于文件不会被
传出去,那么正如前文所述,从现在的眼光来看已经实属不易,从发展的眼光来看更将防不胜
防。
FPS 着眼于第二步的防范。我们认为,造成计算机数据泄密的根本原因是文件格式的通用
广州深海信息科技有限公司
5
性, 即电子文档在不可信任的计算机上显示的内容和可信任的计算机上一样。
打个比方,如果全世界的人都会读写英文,而我们也使用英文,那么一旦我们的文件传出
去,泄密就发生了。假设世界上仅有我们自己人使用汉字,其他人既不会读也不会写汉字,那
么效果会如何呢?进一步地,假设我们所有的自己人都能够读英文和中文两种文字,但却只能
够用汉字来书写文件,那么效果又如何呢?显然,我们自己人内部的交流没有问题,而用汉字
写的文件即便流传出去别人也无法读懂;而且别人的文字我们可以读懂。如果我们需要将一些
内部文件交给外人,那么我们设一个读汉字写英文的翻译就可以了。
在历史上就有采用这种原理进行保密的真实战例。在二战后期,美军招募了一些印第安人
担任各部队的通讯兵(时称“风语者”,“WindTalkers”),他们的无线电对话全部采用印第安语。由
于日 军部队中的情报人员只懂英语而从未学习过印第安语,所以日军始终无法弄明白美军的作
战意图。 而美军各部队的协调性丝毫未受影响。
FPS 采用的也就是这个原理。FPS认为,要从根本上解决计算机数据的保密问题,就必须阻
断这种文件格式的通用性,但同时还要保证这种通用性在内部有效。
FPS 需要在每一个涉密计算机上安装客户端程序。这个客户端程序会从服务器得到密钥
(类似于人工设定的密码),而这个密钥不会也无需被涉及计算机的使用人员所掌握。 涉密计
算机的使用人员如果试图保存一个文件,那么客户端会比较这个待保存的文件是否属于“敏感数
据”。如果回答“是”,那么客户端自动地会在内存中将数据进行加密处理之后,再写入硬盘,做
到“强制加密”。
为保证使用方便,涉密计算机的使用人员在试图打开一个密文时,客户端会比较是否允许这
台涉密计算机打开该密文。如果允许,客户端就会将被加密的文件读入内存,然后在内存中予
以自动地解密,这就实现了“于内无碍”。
由于没有安装FPS的非涉密计算机没有自动解密机制,自然也就无法打开密文了。如果我们
需要将一份密文交给我们的客户或者供应商,那么该文件的外传则必须通过管理员。管理员在
审批通过之后,用控制端进行手动解密,将文件变成明文交给客户或供应商。这就是“对外受
控”的原 理。
2.3 系统特点
FPS采用了一些独特的技术和思路,形成了很多自己的特色,从而使其成为一款优秀的计
算机数据保密系统。这些特色可以归纳为六点。
2.3.1 严密
FPS 系统最大的特性便在于严密。数据安全系统,是典型的“木桶”模型,只要有一块木板
的高度达不到要求,整个木桶就形同虚设。FPS 便是做到了“自始至终,无懈可击”。
只要是策略中规定的文件,一旦“落地”便是密文。除非经过控制台手动解密,否则 这些
文件只可能以密文形式存在于各种存储介质上。互联网传送文件工具(邮件收发软件、即时通讯
软件等)发送策略中规定的文件,也就是密文形式。文件管理员的手动解密行为,有日志记录,
供日后审计之用。密钥的生成、通讯、备份都做了加密处理。同时每个用户的密钥都是全球唯一
的。
2.3.2 方便
