淺談文檔數據私密性和完整性的可靠保護

摘 要：隨著信息化建設程度的不斷加深，各機關、企事業單位對數據安全的依賴性也越來越強，數據安全已成為各單位的生命源泉。有效防范系統突發事件，建立完善的數據完整性、數據保密性、數據的備份與恢復機制，已成為各機關、企事業單位信息化工作急需解決的內容和關鍵性問題。本文分析了數據安全面臨的風險并提出了一些文檔數據私密性和完整性的保護方法。

關鍵詞：數據文檔；私密性；完整性；風險；備份；保護方法

現今各機關、企事業單位已經進入了利用計算機辦公的時代。員工們用計算機代替了傳統的筆和計事本，各種應用格式的電子文檔也代替了傳統的紙制文件。目前機關單位的政務信息、設計機構的工程圖紙、企業的企劃方案和財務報表都制作成了電子文檔。與紙制文件相比電子文檔的優勢非常明顯：編輯功能強大、制作方便、易于修改、便于編目存儲與查閱。

隨著信息化建設程度的不斷加深，各機關、企事業單位對數據安全的依賴性也越來越強，數據安全已成為各單位的生命源泉。有效防范系統突發事件，在盡可能低的運作成本和擁有成本前提下，建立完善的數據完整性、數據保密性、數據的備份與恢復機制，已成為各機關、企事業單位信息化工作急需解決的內容和關鍵性問題。在數據遭到破壞（泄露、修改、毀壞）的時候，能夠提供必須的防御及恢復手段，從而才能避免因數據安全問題造成的損失。

政府機關、企事業單位數據安全需要從以下幾個方面考慮：保證數據的完整性，能夠在數據進行備份時進行數據完整性檢測，并能做到即時恢復；保證數據備份傳輸時采用專有的安全性協議，能夠管理重要數據并鑒別信息和重要業務數據的傳輸和存儲的保密性；系統能實施本地完整性數據安全備份，并能實現異地冗災備份，當災難發生后系統能夠自動切換和恢復。

因此，對數據的保護需要對各個終端計算機上的文件、郵件、應用程序、操作系統以及服務器上數據庫等提供支持。各個“關口”把好了，數據本身再具有一些防御和修復手段，必然將對數據造成的損害降至最小。

1 從以下三個方面實現數據的私密性保護

1.1 數據文檔的加密

現在數據文檔的加密方法很多，比較簡單的是直接給文檔加密，大部分辦公軟件都提供了這樣的功能，但是這種方式對于終端用戶使用起來比較麻煩、需要記住大量密碼，安全性也比較低，易被破解。對于單位比較可靠、對于終端用戶比較易用的方法是建立起一個文檔安全管理系統，架構文檔安全管理服務器，通過控制臺統一對客戶端進行管控，與AD進行認證集成，實現單點登陸。在Windows正常登陸后，文檔安全管理系統就可自動進行文檔的加密和解密，并且按照用戶應有的權限進行加密文檔的使用。

實現方式

具體步驟：

（1）通過客戶端提取AD域用戶名和密碼。

（2）文檔服務器和AD服務器照會，判斷該用戶是否是合法用戶。

（3）確認該用戶為合法用戶后，服務器會從數據庫服務器上獲取文件密鑰和文件的權限。

（4）下載文件密鑰和權限。

（5）解密文件，并控制文件訪問權限。

（6）使用過程中上傳操作日志。

1.2 防止內部文件泄露

對在工作環境中形成的文檔全部進行保護，單位內部的員工通過各種途徑，包括U盤，打印，E-mail等方式，均不能在未受許可的情況下，將文件帶離單位外部。

實現方式

通過文檔管理系統的工作流程以及安全策略，實現加密文件在未授權的情況下，無法從單位內部獲得密鑰，無法通過客戶端進行解密，加密文件不能在外正常打開，確保文件內容不被泄露。

1.3 文件對外發送進行保護

內部文件需要與第三方進行交互，如：需要將加密文檔拷貝給合作伙伴時。這時加密文件存儲在未安裝安全系統客戶端的載體（光盤、U盤、筆記本）上帶離系統并使用，這種情況下又要確保文件的安全使用，在使用過程中不由第三方進行泄密。

實現方式

可將加密文檔綁定在特定的載體上，如：U盤、光盤、筆記本，同時設定文檔的允許訪問時間。文檔在指定時間內，可以在指定的載體上使用。超過時間或者將文檔拷貝離載體將不能使用。

同時有效防范通過截屏鍵（Print Screen鍵）、截屏軟件與錄像軟件進行文檔內容截取。

2 通過完備的數據備份系統進行數據的完整行保護

2.1 數據安全所面臨的風險

加密系統的故障風險：如果加密管理系統出現故障。如存儲用戶密鑰的數據庫出現異常，就可能導致用戶數據不可解密，如果整個管理系統出現故障，會導致系統不能工作。

加密用戶數據丟失或不可解密風險：在正常運行狀況下，加密解密有各種保護機制。在做動態加密時候不太可能會出現意外情況。但如果出現正在加密數據時系統掉電，可能會導致該文件損壞。另外如病毒入侵，硬盤故障，誤操作分區等情況也有丟失數據的可能。

每種存儲介質都有使用壽命，筆記本更容易丟失數據：每種存儲介質都有一定的使用壽命。一般硬盤使用壽命在廠商保值期后就會出現一定不穩定，硬盤在出廠時候就有壞道，只是在出廠的時候廠商做了壞道屏蔽工序。頻繁使用的硬盤會導致丟失數據的概率增加。不合理的使用筆記本和移動硬盤更會縮短壽命。

誤操作導致數據丟失很普遍。如誤刪除，誤格式化等：使用計算機過程中誤操作是無法避免的。誤刪除數據，誤Ghost，誤分區，發生的概率很高。

系統和應用程序不穩定導致數據丟失：由于硬件不穩定或者Windows系統或運行的應用程序缺陷。導致系統出錯或者導致數據出錯概率很高。系統在復雜運行環境中時常會出現未知錯誤。

感染病毒，或遭黑客入侵：CIH病毒黑色記憶永遠不會消失，隨后出現太多破壞數據的病毒。如DOC殺手等。行業競爭對手往往也會雇傭黑客破壞數據，這種事件常有發生。

員工離職刪除自己或他人數據：積怨的離職員工可能會惡意刪除個人工作數據甚至破壞公司其他數據。盡管可以追究個人責任，但丟失數據將很可能無法挽回。

計算機遺失或被盜：遺失或被盜的計算機本身損失不高。但丟失的硬盤數據很有可能是個人或公司幾年的心血。這種情況數據被追回可能很小。唯一能做的事情就是祈禱數據在其他地方有備份。

發生自然災害。如（臺風“桑美”導致大量硬盤進水）：很多人認為自然災害對破壞數據可能很小，但是一旦發生不可抗的自然災害數據的丟失將是徹底的。臺風“桑美”就曾導致浙江，福建和上海數千臺計算機進水，很多硬盤丟失數據。

2.2 文檔數據的備份

方法一：提供移動硬盤讓每個終端用戶自己備份數據；這種方式需要采購大量移動存儲設備，維護管理復雜，設備本身發生故障的可能性也較高

方法二：開辟共享目錄讓用戶手工備份數據；這種方法，每次備份的時間都較長，用戶可能會花費較長時間影響工作效率，并且共享服務器支持不了大量用戶同時訪問。用戶備份的數據裸露在共享目錄內容易感染病毒，數據安全性沒有保證，敏感數據極容易泄露，頻繁出差的人員也無法保證數據備份的可行性。

方法三：建立完備的數據備份系統，實現以下幾方面功能：

⑴手動備份與自動備份相結合。給每個終端用戶分配賬戶空間，用于終端用戶自主備份。終端用戶只需要選擇需要備份的文件和目錄。其他備份設置由管理員分發備份策略來完成。通過備份策略終端電腦只要連接網絡后就會自動獲取靜默備份任務，靜默備份任務自適應尋找需要備份的類型和文檔進行備份，整個備份過程都在靜默中完成。終端用戶只需要記住自己賬戶和密碼就可以在任何地方恢復數據。備份空間分配可以由終端用戶自己注冊，賬戶管理員來確認或由管理員統一分配來完成。

⑵制定備份計劃周期。根據用戶數據最少能容忍數據丟失時間間隔，來選擇備份周期。郵件建議使用每周備份一次，辦公文檔和設計文檔每天備份一次。備份計劃建議設置在系統空閑時候啟動備份。長期不變歸檔數據每月備份一次。在做加密之前做一個整個網絡環境的全備份。然后歸檔保存起來

⑶存儲周期策略。服務器存儲資源有限，備份服務器上的數據不能無限制的存儲多次的副本。存儲太多備份副本也不易管理備份，不方便恢復數據。要實現備份完全自動化，需要有存儲策略組合。保留2-3次增量備份副本。完全備份后做一周增量備份。每年或者每個季度，完整備份的副本文件做一次歸檔保存。

⑷可實現分組管理。備份系統自動按網絡工作組進行分組，也可以根據政府實際的部門進行分組，可以根據不同分組實施不同備份任務或者備份策略。對數據重要度高的組設置優先級，備份排隊時候優先備份。在組數里面可以方便直觀查看備份狀態，備份終端是否安裝等情況。

⑸可實現負載控制。為了控制備份對網絡的影響，系統要能對終端流量進行控制，比如每個終端限制在2M備份速度。系統還可以對存儲器狀態進行監控，設置負荷閥值報警。對備份存儲器設置連接數控制，比如同時備份用戶不能超過20個，超過連接數備份自動排隊等候。

綜上所述，通過數據的加密、防泄露及完善的備份可初步實現文檔數據私密性和完整性的保護。