1. 概述

我们当前已经从IT时代走向了DT时代。IT时代是信息技术的时代，DT时代是数据时代。企业日常经营涉及大量数据共享和流转。2017 年国数经济规模达 27 . 2 万亿，占国内生产总值（GDP）比重达到 32.9 % 。数字化同时带来机遇和挑战，用户需要共享与安全兼得。但是数据泄露事件日趋频繁、触目惊心。

来自企业内部的数据安全威胁客观存在，好人坏人难辨的情况下仍需要共享和使用数据，所以必须推动以数据为中心、以密码为主动防御手段的企业安全建设。

由于国防军工、金融、交通、政务等关键行业敏感信息的泄露对社会危害巨大，国家也正在积极不断推进保护数据安全相关的法律法规建设。2018年7月两办联合发布《密码工作规划》表示，密码防护数据安全是的工作重心，需要在关键信息基础设施、重要领域应用密码产品，实现数据全生命周期的防护。2018年7月网信办《关键信息基础设施安全保护条例(征求意见稿)》第五十三条，关键信息基础设施中的密码使用和管理，还应当遵守密码法律、行政法规的规定。

目前，现有信息系统中广泛缺失密码能力，而且国外密码算法(如AES、RSA、SHA256)占据大部分市场份额，国外密码从供应链安全角度存在安全风险，密码作为战略性资源和重要核心技术，不能受制于人，必须发展自主密码国产。早在2018年3月《密码法》进入人大年度立法计划。

商用密码的在数据安全领域的推广应用具有重大意义，首先、密码保障国防军工、金融、交通、政务等重要领域数据安全；其次、有力支撑信息领域核心技术突破；最后，切实维护国家安全、促进经济社会发展、保护人民群众利益。

2. 需求分析

数字化的发展，加速了数据的共享和流转，推动了企业业务效率快速提升，为企业带来了巨大利益，而高价值的非结构化的文档类数据成为更加明确的攻击目标，重要的文档数据是企业核心业务风险。

企业文档数据安全风险主要来自，外部的攻击者通过各种手段和技术突破防线来窃取数据；内部的恶意人员通过隐藏方式，将有价值的数据盗取来获取利益。

企业敏感的文档数据的全生命周期，包括数据采集、数据加工、数据存储、数据使用、数据分发、数据销毁几个环节均存在被泄密的风险，其中数据存储、数据使用、数据分发是重点。

企业文档数据泄密风险防护的主动防御重要手段是加密，并考虑与网络安全被动防御管理的联动，例如边界防护的防火墙、统一审计的日志管理、第三方的身份认证等的联动，可以构建多维度多层次的数据安全防护体系。

3. 方案架构

炼石透明文件加密方案（简称TFE）可以实现逐文件逐密钥的静态数据加密，通过在应用系统文件加密驱动层做配置升级，应用免开发改造实现存盘文件密文存储。

3.1 产品部署图

图 3 1产品部署图

炼石透明文件加密管理平台，提供策略下发、密钥全生命周期管理、审计等功能。

透明文件加密插件通过对应的组件模块客户端来对这些组件模块进行访问。文件存储时，经由透明文件加密插件后被加密，再存储到磁盘上；文件读取时，经由透明文件加密插件后按照规则被解密。

炼石透明文件加密管理平台，负责定义、调整策略平台规则，如黑白名单等，以及保存审计记录。

密钥全生命周期管理平台（简称KLM）统一进行加解密所使用密钥的管理工作：文件加密管理平台与密钥生命周期管理平台进行交互，获取加解密所使用的密钥。

在目标服务器上运行一个进程，对炼石透明文件加密插件生成的日志文件进行扫描处理，将内容发送到炼石透明文件加密插件审计组件/炼石文件加密管理平台，保存。

3.2 主要功能

支持主流操作系统环境：支持Windows以及Linux环境。

非结构化数据加密：可以对任何类型的非结构化数据加解密处理，如：各种格式的图片、微软MS-office文档等等。

指定文件加密：可指定要加密的文件夹，该文件夹（及其子文件夹）的文件在保存时被加密。

可识别应用：选择要授权的应用，通过白名单机制使应用正常访问；未授权应用或者直接拷贝文件，只能读取密文文件。

对应用透明：加密插件对应用是透明，不改变之前的运行机制，写入加密，读取解密。

细粒度的访问控制：提供主体到人、客体到文件级别的控制。

数据审计：记录识别到的主客体信息，提供对加密文件的审计日志功能，并且防篡改。

满足合规要求：硬件产生真随机数，加密算法支持国密SM2、SM3、SM4，具有商用密码产品型号证书。

支持高可用：支持HA高可用方式部署，支持主、从互备，防止主机故障、网络故障、程序故障引起的业务损失。

支持大规模部署统一管控：面对企业信息系统多、数据库多的情况，可部署统一数据库加密管理平台和密钥生命周期管理平台，集中管理。

3.3 主要技术指标

炼石透明文件加密平台上线后，原有业务系统存储、读取文件的速度下降不高于10%。

注：以上性能测试结果均基于Intel i7处理器

4. 方案特色

细粒度的访问控制：提供主体到人、客体到文件级别的控制。

满足合规要求：加密算法支持国密SM2、SM3、SM4，具有商用密码产品型号证书。

高质量密码能力：加解密速度快，基于Intel i9处理器,多线程模式，单颗CPU加解密速度达到130Gbps。

5. 适用领域

重点行业有：航天、军工、高端制造、金融、交通、政务等等。

业务场景主要有：PLM系统的数模文件、CAD系统的设计图纸、保险公司的保单电子原件、电子政务的红头文件。

6. 企业分工

主要实施步骤：需求分析、数据文件分级、方案设计、验证测试、切换上线、运行维护。均由北京炼石网络技术公司负责实施完成。

主要产品清单如下：

炼石CipherGateway业务应用安全网关（型号：SJJ1717）；

炼石CipherSuite密码软件（型号：SJM1808）。

7. 应用案例

7.1 中电53所PLM设计文档安全

西门子TeamCenter应用软件完全无改造；

实现针对特权账户的约束管理；

实现应用用户超时登出；

实现基于国密算法的文件透明加密存储。

7.2 九天微星文档系统业务安全

与炼石文档管理系统无缝适配集成，业务系统无需改造；

结构化数据与非结构化数据，统一平台策略加密存储；

平台高可用，支持双机热备。

                                            北京炼石网络技术有限公司

                                             联系人：钱晶

                                             电  话：15201490479

                                                     010-88459460