大数据下的电子信息的加密集中管控

　　摘要：随着企业电子信息的急剧膨胀，各种数据为企业创造着不菲价值的同时，其安全问题也迫在眉睫，存储、管理、控制、防泄密等成为电子信息流转中的一道道门槛，为了实现安全、使用、管理电子信息，需要采取一系列的管控技术，如安全创建、访问权限、存储、使用及交换等全生命周期的全面控制管理。当前电子信息加密集中管理的主流技术包括透明加解密、用户身份认证、集中加密存储、权限控制、审批流转、统计审计分析等，可实现电子信息集中管控的长治久安。

　　关键词：电子信息透明加解密虚拟磁盘技术

　　在网络相关业务和应用爆炸式发展的今天，随着速度越来越快的信息流转，电子信息在现代社会信息资源中被广泛应用，电子信息易复制，易修改，现代企业在长期的应用中，积累的电子信息数据存储量大，操作模式自由，传播途径广泛，存储分散，后期追溯性差，管理者无法进行统一管理，这种无序的状况有可能造成核心资料的遗失、泄露，也为企业信息安全埋下隐患。随着存储成本的一降再降、以及分析技术的不断进步，数据挖掘成为可能，推动大数据产生巨大价值，使安全体系可以识别更具隐蔽性的攻击、入侵和违规。电子信息集中管控能有效地保护电子信息在全生命周期内的安全、完整、可使用和不泄密。在管理方式上，采用数据透明加解密防护、分组分级授权，外加身份认证，审批，流转，审计等方法，实现电子信息的全面管控。

　　1、电子信息所面临的六大挑战

　　电子网络时代用户所有的设备都内置了智能芯片和操作系统，而成为智能终端，伴随企业信息的安全面临六大挑战。第一，随着各种电子设备“接入点”的不断增多，传统的安全防护已经不能胜任；第二，互联网、云计算是所有企业转型和升级的必然；第三，透明人时代到来，用户隐私安全更受到关注；第四，智能设备，等于更多的远程控制的安全问题；第五，大数据的安全一旦被攻破，其后果损失不堪设想；第六，云时代的到来，机器会产生自我意识，通过云实现的设计、制造和自主行为，后果将是可怕的威胁。

　　因而业界认为的大数据安全3个原则，首先是，用户信息的安全，必须明确信息的所有权；其次，安全传输，安全存储，是企业的责任，必须提升企业自身安全防护水平；再次，使用用户的信息，要让用户有知情权选择权，平等交换、授权使用。

　　2、信息安全关键技术

　　2.1虚拟磁盘技术

　　在系统中创建一个或多个虚拟的磁盘。虚拟磁盘和真实磁盘上的电子信息一一对应，通过读写信息中相应偏移量的数据来读写虚拟磁盘扇区。对所有数据在保存前经过高强度加密，密钥由用户自主加密。但为了防止用户密钥丢失，要提供紧急恢复功能，且只有管理员可以使用系统惟一的USB-KEY来恢复数据。通过虚拟磁盘技术集中存储，采用磁盘加密，形成虚拟安全工作区，用户信息本身就具有了一定的安全性。

　　2.2基于透明加解密的涉密电子信息集中存储技术

　　实际应用中虚拟磁盘存储技术还存在一些缺陷：如：未能保证电子信息的安全；也无法对电子信息进行细粒度的权限控制；缺乏完整的电子信息安全解决方案。针对以上问题，集中存储电子信息还需加强管控：用户身份管理，集中加密存储，权限控制，审批流转，自动备份，信息外发管理及强大日志审计分析。

　　（1）用户身份管理。加强终端使用者的身份认证，包括用户访问授权、口令认证，UKEY双因子认证等不同的认证强度，来确保终端使用者的身份，并且可以与AD域账户同步管理，通过对用户身份的规范化管理，从而系统的管理终端使用者对计算机外设、网络及敏感数据的使用权限，开放式的数字认证接口，设置不同要求的保密安全级别。

　　（2）信息集中加密存储。在终端的本地计算机中，不存储任何形式的文件信息，所有信息均自动加密并集中保存至文件服务器中管理。存储到服务器中的信息，使用CBC（密码分组链接）模式外加扩散器算法进行加解密，该算法使得改变一个扇区中任何一个字节数据，都完全重写整个扇区的密文，有效抵抗“明文攻击”等破解手段。同时，加密策略（算法、密钥和加密文件的指定）内置在透明加密技术平台中，由系统管理员统一集中管理，文件操作者无权获取或更改。透明加解密具有强制性和透明性的特征：

　　①强制性：所谓透明加密的实质就是人为的强制加密。其一，认为需要保密的信息，一律加密，加密与否取决于信息本身的内容，于信息始作者性质无关，于操作者的责任心和保密意识无关；其二，经过加密的信息只有授权条件中才能打开使用，否则，信息以密文的形式打开。任何无权限的人无法有意或无意泄露机密信息。

　　②透明性：所谓透明加解密即是指系统在后台自动执行操作，用户身份确认后无需参与，与无密操作无任何差别。透明化功能的具体实现过程只在内存中进行，合法用户使用时毋须对信息进行解密，系统对来访进行策略判断，自动对信息进行操作。所有这些过程都是在内存中进行，信息的合法用户是感觉不出这些过程的，所以对合法用户来讲是“透明”的。例如，策略要求对Word文档强制加密，那么用户只要将信息存入加密磁盘介质，信息就一定是加密的；当合法用户从磁盘上读出信息进行编辑时，信息自动地被解密，以便其正常操作。

　　（3）用户权限控制。根据分组、角色、用户或IP等对用户进行身份管理，设置权限，对所有文件服务器中存储的信息，均进行细粒度的权限管理。只有被允许的用户，才能获得明文数据，否则，拒绝服务。同时，可以对某些用户设置特殊访问权限，使其可以访问某些或所有用户的加密信息。同时，系统对各用户权限可以进行控制，包括访问口令是否可修改、使用次数限制、使用范围控制、使用时间间隔、动态打印模式等，对已经分配权限的电子信息，其使用权限也可以进行动态调整。

　　（4）公文审批流转。集中存储的电子信息均受控于权限。用户操作权限范围内信息。如需访问范围外信息，提出申请通过审批工作流，对信息进行主动授权，同时指定具体的使用权限（只读、允许修改、允许打印模式、使用期限，是否记录使用日志等），通过在线审批或离线申请来完成实现信息的安全流转。

　　（5）统计审计分析。是整个电子信息安全体系中是重要的一环，通过对用户的身份进行识别，管理用户的所有操作行为，根据用户的权限，进行访问控制、安全审计，日志审计是信息安全建设中最后也是最重要的步骤，如用户通过身份认证后访问文件服务器的行为，公文审批的流程，公文审批流转管理，均有日志记录，便于统计分析。同时，对于核心信息的流转过程，用户对该信息进行了哪些操作，系统均可追踪。

　　（6）环境隔离。对集中管控的电子信息软件使用智能文件重定向技术，结合虚拟磁盘和信息访问控制技术，进行安全环境与普通环境下的信息隔离。安全环境内的应用程序无权对普通环境下的数据执行写操作。同时，普通环境中的应用程序绝对禁止访问虚拟磁盘。保证安全环境和普通环境的电子信息隔离（即安全环境下的数据是“只进不出”的），智能文件重定向技术能保证不影响两种环境中应用程序的正常使用。

　　3、结语

　　在电子信息急剧膨胀的网络世界里，使合法用户能够在不知不觉中，信息得到有效的管理和保护，该技术在不增加用户成本投入及性能消耗的基础上，以透明加解密为核心，解决信息集中存储，访问控制等一系列安全管理问题，于无声处保护用户的信息安全。

　　参考文献

　　[1]陈尚义.透明加解密技术及其应用[J].信息安全与通信保密，2007（11）：75-77.

　　[2]张小梅，龙虎，吴福生.大数据环境下的网络信息加密与认证研究[J].凯里学院学报，2015（6）：90-92.

　　[3]戴玲，彭延国，彭长根.大数据环境下的电子档案信息安全问题及对策[J].兰台世界，2015（29）：25-26.