數據安全管理系統研究

劉 新，馬 雷，任天成

（山東電力集團公司電力科學研究院，山東 濟南 250002）

0 引言

電力行業是國民經濟的基礎行業，電力行業方方面面都離不開計算機的應用，財務報表、內部機密公文流轉、工程圖紙、設計方案等，無一不依賴于行業的電子信息化系統。 在國家政策的大力支持下，依托自身的產業優勢，電力行業的信息化建設走在了大多數行業的前面，逐步形成了自己的信息化體系，信息安全建設就顯得尤為重要。如何在當前的大環境下，保護企業的無形資產，尤其是以上提到的電子文檔類資產，成為了擺在企業面前的重要課題。

1 系統部署背景

1.1 整體行業背景

電力是發展國民經濟的重要基礎，電力安全直接關系國計民生。隨著通信技術和網絡技術的快速發展和電力信息化工作的推進，因特網已得到了廣泛使用，E-mail、Web和PC等也日益普及，但同時病毒和黑客也日益猖撅［1］。因此，研究電力系統信息安全問題，制定和實施電力系統信息安全戰略，建立全方位動態縱深防御的電力系統安全保障體系，已成為當前電力系統信息化工作的重要內容。信息技術、通信技術、自動化技術飛速發展，極大地推動電力行業信息化進程［2］。電力實時信息處理將更有效、安全、方便。電力企業內部會有更多的信息點，生產效率大幅度提高。更重要的是，隨著電力企業由行業管理向服務企業轉制及電力市場研究的深入，電力行業信息化應用會大有作為。電力行業的計算機網絡，大到國家電網的層面，小到電力分公司，已經根據國家政策和標準，全面進行了信息化網絡建設［3］。

1.2 信息安全系統背景

國家電網公司應用系統主要部署于信息內網，與互聯網有交互的子系統或功能單元部署于信息外網。信息內網與信息外網以邏輯強隔離設備進行安全隔離，對于信息內外網分別進行安全域劃分。

信息內網有以下安全域：電力市場交易系統域、財務（資金）管理系統域、營銷管理系統域、ERP系統域、二級系統域（所有二級系統統一部署于二級系統域中進行安全防護建設）、內網桌面終端域（由于桌面終端的安全防護與應用系統不同，將其劃分為獨立區域進行安全防護，信息內網桌面終端用于內網業務操作及內網業務辦公處理）。

信息外網存在如下安全域：外網應用系統域（需與互聯網進行數據交換的系統部署于外網應用系統域進行安全防護）、外網桌面終端域（外網桌面終端用于外網業務辦公及互聯網訪問）。

結合公安部頒發的《信息安全技術—信息系統安全保護等級定級指南評定標準》，電力系統的各級系統的安全級別多數評定為三級，建立了基于縱深防御模型的信息安全防護體系，如圖1所示。

圖1 電力系統信息安全防護體系

綜合考慮整個縱深防護體系，在邊界防御、網絡防御、主機防御、應用防御等方面，信息安全的防護措施已經相當豐富和完善，不管是防火墻、防病毒、安全網關，還是漏洞掃描、入侵檢測。所有的安全防御措施都偏向于對外部的防范。雖然到目前為止，也部署了類似防水墻的一系列對內防御的產品，但對于數據的根源保護，特別是加密存儲和完整性保護方面，在整個安全防護體系里，還是一個比較薄弱的環節。

2 當前數據保密管理的缺陷

2.1 信息內網與外網數據傳輸的安全隱患

按照規定，所有涉密的電子文檔都必須嚴格控制在信息內網系統內部流轉，但是電力行業涉及到各式各樣的機構和單位，一定會牽扯到內部涉密文檔（如方案、商務合同）在合法批準的前提下，通過外網轉發給客戶的可能。整個系統架構里，一定需要一個完善的技術管理控制流程，保證信息內網數據到外網后的安全，不能只依托個人覺悟和人為管理制度來保障。

當前的內網和外網實現了邏輯上的強隔離，只有通過安全密保U盤的拷貝，才能將涉密文檔從內網傳輸到外網，安全密保U盤的使用只依靠密碼控制，并且領導批準的方式依賴于人為管理的手段。由于整個數據轉移的過程，無法從技術手段上來實現流程的監控、管理，從而導致內部人員的主動泄密有了可乘之機。

2.2 信息外網的數據泄密

一個無法否認的事實是外網時刻都有可能受到外部病毒、木馬的攻擊，即使電力系統的信息外網，勢必也會涉及到敏感數據的永久或者臨時存儲，這些數據一旦泄露，會嚴重損害企業利益。歸根結底，數據的加密存儲和合法解密流程必須有完善的技術手段來控制，而不能單純依靠人為管理制度。

因外網能夠接入互聯網，內部員工可以通過郵件、MSN、QQ、FTP下載等網絡端口發送重要文檔，造成泄密。

2.3 內外網數據加密存儲功能缺失

追溯到電力系統整個數據安全防御體系的根源，不管是內網還是外網，數據存儲都是明文的，只要是明文存儲，不管人為管理手段多嚴格，流程控制多復雜，都一定會存在被泄密的可能。病毒、木馬、內部人員在巨大利益的誘惑下的主動泄密，每一種可能都是漏洞。

3 山東電科院數據安全管理系統部署

3.1 數據安全管理系統概述

山東電力科學研究院數據安全管理系統（DSMS系統）由服務器控制臺、客戶端、解密端三個子系統組成。服務器控制臺是其核心，安裝在指定的服務器上，負責整個內網的涉密和控制策略的制定、分發、回收。 客戶端是安裝在系統內受控的計算機上的涉密控制軟件，受服務器控制臺管理，執行服務器端下發的一切涉密和控制策略。解密端是安裝在系統內計算機上解密軟件，分本地解密和審批解密兩種，主要為了滿足受控計算機的文檔外發需求。具有以下功能。

1）DSMS系統提供了強大的內置文檔格式，幾乎囊括了業內所有的文檔格式，同時支持自定義文件格式。不同于某些加密軟件產品只支持固定的文件格式加密，解除了客戶的后顧之憂。

2）透明加解密，不改變用戶的任何操作習慣，加解密的過程自動在文件的創建、編輯、存儲過程中，在驅動層自動實現。

3）支持雙因素的身份認證體系，客戶端涉密軟件的運行可以選擇受控于硬件USBKEY密匙和密碼雙重認證，或者域內隨操作系統自動啟動運行，即安全又靈活。

4）支持防非法復制、粘帖、打印、截屏拷貝功能。

5）防止內部員工通過郵件、MSN、QQ、FTP 下載等網絡端口發送重要文檔。

6）強大的防二次泄密功能，嚴格的外發控制管理，可設置是否指定電腦中的文件限時被正常打開使用，但不可進行刪改、另存、復制、剪切、轉發、打印等有可能造成二次泄密行為的操作，文件到期后會自動銷毀，此文件將不再能被使用。

7）支持涉密客戶端的離線授權功能，滿足在家辦公、出差等確實需要離線工作的需求。

8）靈活的涉密文件控制策略，同一種文件類型，可以依托USBKEY密匙和密碼的控制，實現加密和不加密兩種選擇，即滿足用戶特殊需求的同時，又保證涉密文件的安全。拔掉USBKEY密匙，客戶端可自動停止運行，此時原有涉密策略失效。在當前的非涉密狀態下，正常編輯操作同一種涉密類型的文件，不會對此類型文件實施加密操作。原有涉密狀態下的文件依然處于加密狀態，無法訪問。

9）打印監控功能，當客戶端對涉密文件進行打印操作時，客戶端會自動向服務器端發送打印記錄，并對打印內容進行監控。

10）通過靈活的策略，對需要實施加密的客戶端進行行為控制，針對涉密文件的另存為、復制、剪切、截屏、打印、外來設備、USB端口、網絡方式傳輸等實時進行加密保護，并能夠進行監控、審計、審批等策略控制。

11）完善的容災備份機制，實時備份，備份文件可通過策略設定備份明文或密文，同時可設置備份文件發送到指定備份服務器或本地備份。 同時可設置一件多份備份方式，可自由定義。

12）完善的日志管理功能，分為服務器操作日志、客戶端工作日志和風險操作日志。全面做到事前記錄、事后控制、追蹤。 服務器訪問日志記錄對服務器控制臺的任何操作行為，包括管理員修改、權限下發、策略分配、登陸情況等；客戶端工作日志記錄對涉密文件的操作如刪除、修改、復制、另存、移動等；風險操作日志記錄對客戶端的非法卸載、屏蔽客戶端等行為。

3.2 內網外網數據交換

基于雙網強制隔離的機制，內、外網的數據交換必須依托移動存儲設備傳輸，如當前的安全U盤，U盤不局限于安全U盤，可以是任意U盤。

內網、外網可以設置統一的管理密鑰，保證在同一系統的外網和內網之間的涉密數據可以互相訪問，網絡內訪問涉密數據的方式是完全透明的，但一旦離開限定的網絡區域，文件仍然是加密的，未授權人員無法訪問，做到“事前限制”。需要通過外網外發的涉密文檔，外發前必須解密，解密流程可以選擇本地解密和審批解密，解密過程自動創建詳細的日志記錄信息，做到“事后追蹤”。明文外發文檔可以設定明文生命周期，到期后自動銷毀，無法繼續訪問，防止二次泄密。系統自動記錄涉密文件的操作軌跡，包括復制、打印、刪除等操作，杜絕了原有安全U盤拷貝文件時的安全漏洞。

3.3 杜絕外網泄密的可能

部署DSMS的信息外網，通過服務器下發的涉密策略到管轄范圍內的客戶端，所有涉密文件在存儲時都是自動透明加密的。不管是病毒、木馬通過非法入侵的手段竊取，還是內部人員的主動泄密，一旦涉密文件離開當前網絡系統，外部都是無法訪問的。

1）每個限定的網絡，都有自己的服務器授權密鑰，只有自己網絡的授權密鑰才能解密管轄范圍內的涉密文件。

2）即使都是部署星安數據安全管理系統的不同網絡之間，因為服務器授權密鑰的不同，相互之間也不能訪問彼此的涉密文件。

3）病毒、木馬盜取，或者內部員工非法外拷涉密文件，因為外部并沒有對應的涉密策略和相同的授權密鑰，涉密文件無法訪問。

除了以上所述，可以通過服務器端的控制策略實現豐富的防泄密策略制定，包括：涉密終端可以綁定硬件USBKEY；禁止拷貝涉密內容到非涉密應用程序，比如禁止從word文檔中拷貝文字到寫字板；禁止打印涉密文件；禁止截屏拷貝操作；禁用USB設備；禁止刪除密文；禁用光驅；禁用即時通信工具運行，如MSN、QQ。

4 結語

山東電力科學研究院數據安全管理系統從技術手段，徹底封堵了任何可能的泄密途徑，更高級別的網絡控制系統，甚至可以通過支持硬件USBKEY和涉密終端綁定措施，實現涉密終端合法運行的雙因素認證機制，全面保護電力企業資產的安全。