商用密码技术在中央企业商业秘密保护中的应用
2016-12-17王海涛
王海涛
商用密码技术在中央企业商业秘密保护中的应用
王海涛
中国电力建设股份有限公司信息化管理部,北京100048
近年来中央企业越来越重视商业秘密,并采取了一系列的措施来保证企业内网的安全。但是中央企业商业秘密数据泄露事件依然频发,归根结底是针对商密数据本身的保护不够。商用密码技术是商业秘密保护中的关键技术。本文对中央企业商密数据全生命周期中各个阶段的安全风险进行分析,并引入商用密码技术来解决这些问题,实现对商业秘密数据本身的保护。
中央企业商业秘密、商用密码技术、全生命周期
0 引言
中央企业商业秘密是中央企业的重要无形资产,是企业的核心竞争力所在[1-3]。商业秘密一旦泄露将会对企业和国家经济造成巨大的损失。各企业纷纷加强企业网络安全建设,在基础网络上加入了防火墙、漏洞扫描系统、网络审计系统、入侵检测系统、密码机等传统的网络安全设备。但是企业的商业秘密仍然存在非常严重的泄密风险如文件被随意拷贝到移动设备上、文件被随意发送到外网上、文件被随意打印等。
商业秘密泄露事件频发归根结底是针对商业秘密数据本身的保护不够。商用密码技术是保护商业秘密数据的关键技术,是对传统的网络安全保护措施的一个补充。目前将商用密码技术应用在中央企业商业秘密保护中的研究非常少。本文针对如何在商业秘密数据保护中应用商用密码技术进行研究。首先对商密数据全生命周期各个阶段存在的安全风险进行分析,然后选取相应的商用密码技术去防范这些风险,从而实现对商密数据全生命周期的安全保护。
1 商用密码技术
商用密码技术[4,5]是指对不涉及国家秘密内容的信息进行加密保护或者安全认证使用的密码技术。商用密码技术中涉及的密码算法主要有对称密码算法、非对称密码算法、杂凑算法等。对称密码算法又称单密钥算法,该算法的加密密钥和解密密钥相同,并且这个密钥必须保密的。对称密码算法又分为分组密码算法和流密码算法。非对称密码算法有一个公私钥对,公钥是公开的,私钥由用户自己保密,该算法既可以用来加密数据,也可以对数据进行签名。杂凑算法将任意长的输入消息串转换成固定长度的输出串,该算法具有单向性即由输出不能得出输入,因此该算法不能用来加密数据,只能用于数据完整性认证。
基于这些基础的密码算法衍生出一些密码技术如数字签名、数字信封机制、HMAC等等。
数字签名技术是指将消息使用散列算法进行散列,然后用私钥对摘要进行加密得到数字签名。消息接收方可通过验证签名来确定消息的完整性以及鉴别消息的来源。数字信封机制是用来对信息进行安全传输的一种技术,该机制中采用对称密码算法对消息进行加密,然后用非对称密码算法对对称密钥进行加密。接收方使用自己的私钥解密对称密钥,然后用对称密钥解密消息。HMAC是用来对消息进行完整性认证的一种技术,HMAC是带密钥的单向散列算法,只有拥有密钥的人才对验证HMAC值。
2 商业秘密全生命周期介绍
商业秘密数据分为结构化和非结构化商密数据,非结构化商密数据主要以电子文件的形式存在,由于电子文件管控难度较大,存在非常大的泄密风险。本研究指针对非结构化商密数据保护进行研究,商业秘密数据应该从整个生命周期角度进行安全防护。商业秘密的整个生命周期划分为形成、流转及应用、存储、脱密及销毁四个阶段。非结构化商密数据形成阶段主要包括文件的起草、定密、审核及批准等,商业秘密的形成阶段主要以密级标识的设定与管理为核心。流转阶段包括商密数据内部网络应用与外部网络传输阶段,商业秘密的流转与应用阶段主要以商密数据安全管控为核心。存储阶段主要包括终端存储、服务器存储以及非信息系统存储,商密数据存储阶段主要以商密数据保护为核心。脱密及销毁阶段主要包括信息系统中处理商密数据的设备、存储介质以及商密数据本身等进行脱密或销毁。
3 非结构化商密数据风险分析
非结构化商密数据形成阶段的安全风险主要在于文件的起草和定密上。文件的起草是在终端上进行,如果文件以明文的方式存放在终端上,非常容易发生文件泄露以及被随意篡改事件。文件的定密是指对文件加一个密级标识,一旦定密完成,密级标识与文件应保证不可分离并且不可随意篡改,否则将会存在商密文件管理混乱、不可信的问题。
商密数据的流转与应用阶段的安全风险主要有传输泄密、传输信息被篡改、通信双发否认通信内容等。商密数据在内部流转时多以明文的方式进行传输,很容易被有企图的人通过黑客技术获得,存在泄密的风险。企业商密数据以明文的形式在外部网络中传输,存在信息被窃取、信息被篡改、通信双方否认通信内容的风险,将会给企业造成重大的经济损失。商密数据的应用阶段应做好访问控制工作,禁止没有权限的人员访问和操作商密数据,防止商密数据在应用阶段的泄密。
商密数据的存储包括终端数据存储和服务器数据存储两方面。企业的终端上存储了大量的商业秘密信息,这些信息多以明文方式进行存储,存在非常大的泄密风险。另外存储在终端上的商密数据应做好严格的访问控制,防止非授权人员获取商密数据。终端上的商密数据导出到移动存储介质中时,也应防范因移动存储介质丢失导致的泄密。企业服务器一旦被非法分子入侵,服务器上的商密数据将会被泄露,甚至被恶意篡改、破坏,对企业造成巨大的损失。
商密数据的脱密及销毁阶段主要是商密数据解密成为非商密数据以及销毁商密数据。该阶段存在的安全风险主要是商业秘密数据销毁不彻底,造成商业秘密的泄露。
4 商用密码技术在商业秘密保护中的应用
商用密码技术是商业秘密保护中的关键技术,在上述的安全风险分析的基础之上,选择合适的商用密码技术来实现商密数据的全方位的保护[6-8]。
(1)商用密码技术在商业秘密形成阶段的应用
在商业秘密形成阶段引入了对称密码技术、HMAC、数字水印技术等来解决该阶段存在的商业秘密泄露问题。在文件起草阶段为了防止商密文件被非法获取,使用SM4算法对商密文件进行加密。加密之后即便是其他人窃取了商密文件,由于没有密钥也无法对数据进行解密,从而保证了商密数据不会泄露。通过使用对称密码技术保证了商密数据的机密性,还应保证商密数据的完整性。HMAC是保证数据完整性常用的一种技术,选用散列算法SM3来计算HMAC,通过验证HMAC即可确定商密数据是否被篡改。为了保证密级标识与商密文件不可分离并且不可篡改,引入了数字水印技术。采用数字水印技术将密级标识直接嵌入到文件中,保证了密级标识与商密文件不可分离以及不可篡改。数字水印技术中使用了数字签名技术对水印信息进行签名,在该技术中选用非对称密码算法SM2以及散列算法SM3。
(2)商用密码技术在商业秘密流转及应用阶段的应用
在商业秘密流转及应用阶段引入了数字信封机制、数字签名等来解决该阶段存在的商业秘密泄露问题。在商业秘密传输过程中为了防止商业秘密被窃取,使用数字信封机制来保护信息的机密性,在该机制中选用SM2和SM3算法。为了保证传输过程中商密数据的完整性,使用数字签名技术对商密数据进行签名,数字签名技术中选用国密算法SM2和SM3。
(3)商用密码技术在商业秘密存储的应用
在商业秘密存储阶段主要应用对称密码技术、HMAC技术来解决该阶段的泄露问题。商业秘密存储在终端和服务器上,采用SM4算法对数据进行加密,防止未授权人窃取机密信息。为了防止商密数据被篡改引入了HMAC技术,该技术中选用国密算法SM3。当需要将商密数据导出到移动介质中时,也需要使用SM4算法对数据进行加密。
(4)商用密码技术在商业秘密脱密及销毁阶段的应用
商业秘密脱密主要是对加密的商密数据进行解密,去掉密级标识,这些数据以后不再作为商业秘密进行保护。商业秘密销毁主要是采取一些数据擦除技术对涉密载体进行擦除或者直接销毁涉密载体。
5 结束语
本文深入研究了商业秘密全生命周期中各个阶段存在的安全风险,并针对这些安全风险引入相应的商用密码技术。商用密码技术能非常好的解决商密数据保护中的安全问题,未来将在商密数据保护中广泛应用。接下来将继续针对商密数据保护进行研究,提出一种适用于所有企业商业秘密保护的商用密码技术框架。
[1]向超.论国有企业商业秘密保护机制的完善—以《中央企业商业秘密保护暂行规定》为分析范本[J].企业改革与管理,2015 (1):165-166.
[2]刘巧玲.企业“商业秘密”保护的现状与对策[J].武汉冶金管理干部学院学报,2006,16(1):27-29.
[3]王磊.谈网络时代的商业秘密保护问题[J].商业时代,2010(1):103-104.
[4]郭宝安,尹刚,罗世新.商用密码基础设施的现状和发展趋势[J].信息安全与通信保密,2009(8):80-83.
[5]王长喜.商用密码回顾与展望[J].信息网络安全,2010(1):5.
[6]魏晓燕,纪方.商用密码在铁路的应用[J].铁路计算机应用,2013,22(8):43-49.
[7]高良谟,丁荣兴,潘利华.应用商用密码技术保护信息安全[J].信息技术,2002(11): 79-89.
[8]郭宝安,尹刚,罗世新.数字电视中商用密码应用技术研究[J].信息安全与通信保密,2009(6):97-100.
Application of Commercial Cipher Technology in the Protection of Business Secrets of Central Enterprises
Wang Haitao
Department of Information Management,Power Construction Corporation of China,Ltd.,Beijing 100048,China
Recently,central enterprises of China pay more and more attention to business secrets,and take a series of measures to ensure enterprise intranet safety.But the leakage incidents of business secret are still very frequent;in the final analysis we find that the protection of business secret data itself is still not enough.Commercial cipher technology is very important in the protection of business secrets.In this paper,we analyze the security risk of the business secret in the whole life cycle,and introduce the commercial cipher technology to solve these problems.
business secrets of central enterprises;commercial cipher technology;life cycle
F716
A
1672-464X(2016)2-93-04
(责任编辑:)
王海涛(1972—)男,四川,硕士研究生,高级高级工程师,主要研究方向:企业信息安全。