经过加密软件处理的文件,在加密软件控制环境下可以以“明文”的方式进行交流和操作,离开加密系统控制环境后只能以“密文”的形式出现在人们的面前。加密软件在成功地“阻挡”信息外泄渠道的同时,也给“合法”的外部使用者带来了使用上的不便。如何既保护文件的安全性,又方便“合法”人员的使用,成为众多加密软件厂商需要解决的问题之一。
在加密软件控制下,加密文件以合法的手段提交给第三方使用,一般采用解密为明文的方式。加密软件厂商可以根据用户需求,针对邮件发送、QQ传送、U盘拷贝等传播方式分为以下几种解密方式:
1. 申请导出,通过QQ传送、U盘等方式将加密文件完全解密。
2. 申请邮件发送,适用邮件附件形式地传播。
3. 申请外设,适用于移动设备拷贝。
4. 永久明文邮箱,可以申请邮箱为可信,直接发送密文,无需解密。
这些解密方式通过加密软件的解密审批流程,将需要解密的文件进行自动解密,以明文的形式提交给接收者,接收者可以在任何环境下浏览和编辑该文件。建立文件解密审批流程,确定相应的审批者是加密软件实施过程中的一个主要环节。
在文件解密过程中,必须对需要解密的文件进行事先的审批,以防止文件的安全性受到“无辜”伤害。在加密软件实施过程中,一般把涉及解密审批流程的角色划分为申请、审核、批准、明文处理等角色,分别授予不同的审批权限,承担不同的责任。
我们不禁疑问,既然已经有相对全面的解密方式和权限角色,为什么还要担心解密的安全性呢?答案很简单,目前市场上的加密软件厂商他们不仅在加密技术上有漏洞,在解密审批的流程上也存在问题。
比如思**克的解密审批角色权限不分明,文档管理员和部门经理都可以解密自己的文件,这样企业机密文件的安全性很低。还有FA的EDS,它的审批流程周期长,如果审批者有多人,申请者需要等待所有审批者审批完毕才能拿到批准,这样的等待会拉低公司整体的办公效率。HT的解密审批则是独立于加密软件的存在,是一个单独的流程操作平台。这样的设计会增加企业的成本,而且解密本来是与加密为一体,单独设计的系统不免有浪费资源之嫌。
到底什么样的解密审批流程才是高效率、低成本、安全性高?
加密文件的解密审批是一项十分重要和严肃的安全管理工作,山丽网安的解密审批着重解决了加密文件在解密外发过程中的安全控制,明确了每个参与人员的权限和职责,实现了加密文件外发管理的要求。
山丽网安的解密审批有两种等级审批:一种是最基本的默认二级审批,这是国家规定的审批等级制度。另一种则是山丽网安自身产品研发的多级审批。
二级审批
山丽网安的二级审批有自己的发展优势,即自动审批和离席委托
自动审批
在安全管理员端,可以设置自动审批。如图2:
设置自动审批
左侧树用来选择那些用户提交的申请可以自动审批,可以对用户或用户组进行设置;若用户或用户组提出的申请符合右侧的审批条件,申请将被自动审批。所有申请类型均符合审批设置,但一定要在开始时间与结束时间约束的时间范围内,申请才会被通过。
用户可以通过自动审批高级设置对“自动批准明文导出”和“自动批准邮件发送”进行更详细的设置。只有符合高级设置的申请才会被通过。
注意1:右侧的审批条件是可以根据用户或用户组的不同进行分别设置的。而且还能根据不同申请类型进行设置,对各类不符合自动批准条件的申请又能设置成自动拒绝或等待手动审批。充分给予了自动审批的灵活性。
注意2:如果没有设置时间将默认任何时刻都可以。
自动批准明文导出:可以设置自动批准的文件大小的范围,文件是否为作者或无限制;
自动批准邮件发送:可以设置文件大小范围,文件是否为作者或无限制,邮件地址是哪个或无限制,发送次数的范围及发送邮件时间段;
离席委托
离席委托指安全管理员端委托审批的功能。在第一安全管理员离开时,设定离席委托状态,则明文发送、明文导出和共享审批权自动转到第二安全管理员,依次可以转到第三安全管理员。这里的委托是全权委托(专指手动审批权)。
安全管理员离席委托管理,流程和规则如下:
在以前安全管理员a设置审批规则为手动的前提下,a可以设置仅1位下属b接受其委托管理,在b如果审批规则不是手动则按b的规则进行审批,如果b为手动又设置了委托管理,则向下递推,如果b又手动又无委托管理,在这样的情况下,如果b在线,则a的审批任务转给b,如果b恰不在线,则a的审批包让b下次登陆再审。安全管理员返回,复位,则收回委托,走之前的审批流程。
自动审批和离席委托是山丽网安二级审批的明显优势,这样的设计不仅可以节省时间,提高办公效率,还可以保障加密文件外发的安全性。工作站提交的申请必须由系统管理员和安全管理员两级审批后,方能通过。但是系统管理员和安全管理员不可能每时每刻都能及时的进行审批,此时就需要控制台端的设置发挥作用。
在控制台端上也可以设置自动审批,设置对组或用户,不同的申请给于不同的审批,还有自动审批的有效时间的设置。设置自动审批高级设置同样可以限制:明文导出的文件大小、是否是作者,邮件发送的大小、是否是作者、邮件地址、发送次数、发送时间等。同时控制台端还有文件加解密管理功能。可以审批客户端提交的明文导出申请、邮件和外设发送文件的申请、密文明送的申请等。
多级审批
山丽网安还有一种审批方式:多级审批。有些公司对企业机密文件的安全性要求比较严格,需要如此严密的审批方式。
1、支持横向多级别审批设置,根据业务保密程度和运营管理需要自由设置,设置级别数量时候软件技术不进行限制限制;
2、同时支持竖向多类型审批设置,根据一个人可能承担的多种脚色,承担的多种项目,设置多个不同审批级别的审批流,最大限度的自由满足管理需要;
3、谁申请,谁解密,绝不会增大集中一人解密的泄密风险;
4、对高层可以设置简化审批流,此审批流可以设置自动审批,而不影响高层效率的降低。
山丽网安的多级审批方式审批流灵活,不会因为审批人员的增加影响整体工作效率。从横向和纵向两个方向进行审批,密文外发的安全性比较高。对于一份产品关键技术文件的解密,必须获得多层级的审批,除需要申请者所属领导的审核外,还需要相关部门的审核。任何一个环节都需要严格把关,否则将会出现安全责任的“误会”。
在山丽网安的防水墙系统中,任何解密审批的行为都有日志记录,“刻画”除整个解密流程的申请、审核、批准和明文处理等过程,为企业今后的监督检查留下可靠的法律依据。解密审批流程的合理使用以及审批权限的授予,体现出安全责任的划分与落实。山丽网安的解密审批正确运用审批流程,合理安排审批权限,真正做到高效率、低成本、安全性高!
