电子图文当安全加密系统的基本原理

　　电子图文当安全加密系统（DLP)是近几年面世的信息化应用产品，主要解决数据资产因内部因素而造成的信息外泄（密）问题。以宁波数宇信息技术有限公司出品的电子文档安全管理系统为例，如图1所示，说明其基本工作原理为：

　　数据资产的加密

　　数据资产从创建之初就处于加密保护状态，使数据资产离开企业局域网或本地计算机后，无法打开并操作。同时，处于加密保护状态的数据资产在企业局域网内或本地计算机上可以无障碍“流通”，实现该数据资产的协同作业。

　　数据资产的解密

　　数据资产的作用在于信息的记录和交流。对于处于加密状态的数据资产，由于需要向第三方提供并进行必要的信息交流。为此，在向第三方提供之前，需要经过得到授权的人员进行解密，解除数据资产的加密保护状态。

　　数据资产的监管

　　计算机操作系统和众多的应用软件具有多项对数据资产的操作功能，可以对数据资产进行复制、拷贝、打印、传输、拷屏等操作。同时，利用电子邮件系统、即时通讯系统、虚拟打印系统、格式转换系统以及FTP等方式进行数据资产的转移，导致电子文件内容的泄漏。因此，在电子图文当安全加密系统（DLP）中进行授权和监管。

　　解密流程的控制

　　通过对解密流程的设置，确定操作者的解密权限，达到对外交流的数据资产的放行和控制的目的。同时，根据处于加密保护状态的数据资产的属性，实现多级审批和审批代理机制，进而明确保密工作职责。

　　操作日志的监管

　　通过系统的日志管理功能，对各计算机对数据资产的操作以及加密、解密过程进行摘要性记录，保全系统的监管数据证据，实现事后的有效跟踪和追查，起到“亡羊补牢”的作用。

      现行企业对文档的管理现状

　　在传统企业中，纸质文档的管理采用人工管理的方式。企业建有专门存放纸质文档的档案室，入库的纸质文档以合订卷宗方式的存放。查阅时，需要进行登记。卷宗不得外借，以保全存档文档的安全性。对于流通的文档，则存放在使用者手中，无安全保障的措施。而对于数据资产，从它创建之初就存放在个人计算机（或者服务器）上，任何人均可以进行下载、复制、拷贝、传输等操作，数据资产的安全性处于真空状态，更谈不上文档的保密性。虽然一些企业为解决数据资产的管理问题，引进电子图文档管理系统（EDM）或产品数据管理系统（PDM），对企业的数据资产实行集中式管理，如数据资产统一放置在文件服务器中，并对使用或访问数据资产的方式进行各种权限设置。但是，由于电子图文档管理系统（EDM）或产品数据管理系统（PDM）的局限性，所访问或使用的数据资产必须下载（包括临时下载）到本地计算机，再通过相应的应用软件进行操作。这就给数据资产的安全保密性带来漏洞，使“别有用心”的人得到“可乘”的机会。打印、拷贝是常见的计算机文件输出功能。为了防止数据资产通过打印、拷贝等方法的泄漏，企业往往采用封闭外联互联网、集中打印以及封闭USB端口等方式进行保全，给信息交流的及时性产生不便。

　　许多企业把管理的重点放在产品开发、生产制造、市场营销方面上，对企业的信息安全管理方面，缺少相应的组织机构或管理人员，也缺乏相应的技术手段。特别是在信息化时代，对以电子文件形式出现的信息，更缺乏保护、控制和管理的方法和机制，成为企业管理方面的“短板”，使企业的知识产权在“无形”的过程流失。

      加装加密系统后的管理机制改进

　　电子图文当安全加密系统（DLP）的出现，从根本上解决了数据资产泄漏的基础问题。存放在企业计算机内的数据资产经过电子图文当安全加密系统（DLP）的处理，始终处于加密保护状态，任何一个数据资产在离开企业后，在没有得到解密处理的情况下，均无法打开操作，包括浏览、更改、打印等。但是，加密技术也是一个“双刃剑”，在保护数据资产内容的同时，也造成信息交流的不便。为了解决这一问题，需要企业建立数据资产解密管理机制，重新划分管理职责，分配相应权限。因此，在使用电子图文当安全加密系统（DLP）的企业，应该从管理体制上进行重组，形成一套适应新的工作环境下的管理运作机制。

　   建立信息安全管理组织

　　在国际标准ISO/IEC 27001（信息安全管理体系）对信息安全管理的要求中，明确：建立、推行、维持及改善信息安全管理是企业高层管理人员具有监察及控制信息安全、减少商业风险和确保保安系统持续符合企业、客户及法律要求的职责，通过建立和提升信息安全管理可以增强企业内部和企业之间的交流、往来的信心与信任。因此，成立企业信息安全管理组织是保证信息安全保护控制有效性的首要条件。企业信息安全管理组织一般由以下人员组成：

　　● 档案管理员，负责数据资产的集中管理（包括打印管理）。

　   制定相关规章制度

　　所谓的规章制度就是指引人们行动的方式方法。通过文件化管理的模式，可以建立起一套行之有效的工作程序，减少不必要的、影响工作效率的环节，并划分相应的工作区域和工作职责。因此，企业根据自身条件和基础，分别建立：信息安全控制程序、数据资产管理守则、企业信息保密守则等，并对原有规章制度进行相应调整和修改。

　　 信息安全控制程序

　　根据企业管理模式，明确信息安全的管理对象、权限分配、工作流程以及工作职责等。特别是对数据资产解密、外发、打印、拷贝等环节，作出明确的规范。同时，对电子图文当安全加密系统（DLP）以及其它软件系统的安装、升级、卸载、维护等内容作出规定。

　　信息安全控制程序是一个纲领性文件，是其它作业性文件的基础。

　　 数据资产管理守则

　　按照信息安全控制程序的规定，数据资产管理守则是一个具体作业指导书性质的文件。通过数据资产管理守则，对数据资产的文件格式、存放地点、外发手续、解密流程、打印模式等等内容进行详细规范，使工作流程有章可循。

　　 企业信息保密守则

　　企业信息保密守则是一个具有作业指导书性质的文件。通过企业信息保密守则，划分企业机密范围和信息保密等级。对不同的文件，纳入不同的保密等级中进行控制。同时，企业信息保密守则还应明确企业保密制度和相关奖惩规则。

　　信息安全知识教育

　　对数据资产采取加密保护是一个新事物，新概念的产生往往冲击着人们的传统思维方式。因此，通过信息安全知识的培训，让全体员工了解信息安全保护对企业知识产权保护的重要性，自觉承担起信息安全保护的责任。

      数据资产加密实例介绍

　　成立于2001年的某中日合资企业（简称合资企业）是中国国内磁性材料行业唯一由国家发展计划委员会批准并通过验收的“高性能烧结钕铁硼永磁材料--国家高技术产业化示范工程”的实施单位，主要生产烧结钕铁硼产品，主要应用于永磁风力发电机、汽车EPS电机、空调压缩机电机、永磁电动机、高端手机、医疗设备等领域。

　　合资企业通过采用先进的日本磁性材料生产工艺技术和德国的生产制造设备，大幅度提高产品的性能指标和生产效率，使企业迅速成为同行的佼佼者，获得国家发展计划委员会的肯定。随着行业地位的不断提高和自有知识产权的拥有，迫切需要加强企业在信息安全保护方面的建设。经过对信息安全保护行业的调研后，最终与宁波数宇信息技术有限公司进行合作，构建具有自身管理特点的信息安全保护与管理体系。

　  信息化应用现状

　　合资企业自创建之日起，就把企业信息化建设纳入既定工作目标之中，计算机的配备、局域网的建设与企业组建同步进行，实现了“无纸化”办公和“数据化”产品创新，达到科技部“两甩”的要求。目前，企业的信息化应用环境为：

　　● 基于移动办公系统的外出作业等。

　　项目需求

　　根据企业现有的管理模式以及发展趋势，在考察各类信息安全保护与管理方面的各类技术与现行软件产品的基础上，提出构建企业信息安全保护与管理体系的各项技术要求，重点解决企业信息安全由被动保护转为主动预防的问题，把各种影响企业信息安全的隐患控制在企业内部。为此，提出以下项目需求：

　　● 系统应有网络故障、通讯中断、杀毒干扰、加密硬件损坏、加密进程终止等应急处理能力，提供处理紧急事件的处理时间方法。

　　项目实施准备

　　针对企业的应用环境和项目需求，数宇公司根据加密系统的功能以及现有的项目实施经验，设计出相应的项目实施技术方案，得到企业的认可，并进行现场实施。

　　实施准备

　　在合资企业项目中，通过实地调研，从以下几个方面进行实施准备，并得到用户的认可：

　　● 检查网络环境和防病毒软件，确定各终端的IP地址以及获取的方式。同时，要求用户在项目实施前对所有计算机进行一次（至少）全面清毒处理，确保网络环境的“清洁”度。

　　现场实施

　　在前期工作准备完毕后，项目进入现场实施阶段。加密软件系统的现场实施分为两个阶段，即系统管理端和系统客户端。

　　A. 系统管理端的实施

　　B. 系统客户端的实施

　　● 通过管理控制台对已安装的计算机进行初始化扫描，将已存在的数据资产进行加密处理。

　　策略调整

　　在加密软件系统安装完毕后，计算机就处于加密控制状态，所产生的数据资产具有加密控制的性质。但是，通过一段试运行后，需要对管理策略、加密策略以及审批流程等进行必要的调整。此时，再通过管理控制台按照单个需求，修正各类策略，并通过远程分发的形式，修正各个计算机直至满足需求。

　   后期服务

　　项目验收后，紧接是售后服务。数宇公司通过远程服务（计算机连接模式）的方式，及时了解和处理企业现场应用中出现的各类应用问题，诊断和解答各类使用上的不惑。

　　项目效果

　　合资企业信息安全保护与管理项目的实施成功，说明企业利用信息化手段，保护自身知识产权方面具有高度的前瞻性。通过加密软件系统的实施，项目初步达到以下效果和目的：