密级体系
密级划分的概念来自于保密法。根据规定,国家秘密分为“绝密”、“机密”、“秘密”。在民用领域,根据需要往往又增加一些级别。密级的划分很好的处理了上下级的权限级别,但这种权限的管理是垂直的,即只能实现对同一个条线的控制。
在信息技术并不发达的时候,这种管理体系简便且易于操作被大规模的使用,并且形成了相应的法律条文。对于政府机构来说,通常是上下级管理,所以采用密级体系在大多数时候能够满足政府机构及其他采用垂直条线管理的机构的需求。示意图如下:
但是对于企业来说,在有垂直管理的同时,有着更多的平行管理。比如销售部、技术部、财务部、生产部属于同一密级,但相互之间的文档要隔离。而有时这些部门之间又需要通过电子文档来交流。如销售部客户的要求给技术部、技术部反馈信息给销售部、技术部将图纸给生产部、管理部制定各种规章制度给公司中所有部门、财力部根据采购、生产、销售的数据制作报表交于高层管理者、等等。甚至在很多时候这些文档在公司内部针对不同部门或者不同个人亦有一定的保密要求。当销售部将客户要求提交给技术部时,可能要求只能让技术部主管能看。当技术部将图纸给生产部时,可能需要希望文件不可打印。
传统的密级体系,根本无法适应级别相当的平行管理。
多密钥体系
多密钥体系在一定程度上可以满足平行管理的需求。其原理是给不同的部门分配一个不同的加密密钥,以此隔离文件。对于上级则可以同时拥有这多个部门的密钥。使其能够打开多个部门的文件。示例图如下:
但当不同的部门间需要协作时,文档的管理会带来困难。通常会采用两种方法,一种是让对方也同时拥有此部门的密钥,另一种是将文件解密后交于对方。无论采用何种方式,都存在的可能泄密的风险。
密级+多密钥体系
采用密级+多密钥的方法,是对上述两种体系缺陷的修补。可以满足一定程度上的管理需求。其示意图如下:
但是采用这种方案,同样存在跨部门流转文件时,是否解密文件还是让对方也拥有密钥的两难选择。而现实中,更有一些复杂的情况。
场景1
某个时候要让低权限的用户查看一份高级别的文件。
解决办法:要么将此用户的权限提高,但会导致此用户能够查看其他高级别的文件。要么将文件的级别调低,但此时其他低权限的用户能够查看到此份文件。
场景2
文件跨部门流转,同时高级别的文件给某个特定的低级别用户查看。
解决办法:根本无法处理。
诸如此类,均不能很好的实现文档安全管理。而PKI体系的产生,就是为解决此现实问题。
PKI体系
采用PKI体系,可以很好的满足用户在复杂管理条件下的应用。其可以很方便的实现垂直、平行及交叉权限管理。其技术上利用RSA非对称算法实现,私钥和公钥分别对应身份和接收者,统一则称之为数字证书。 从应用上,我们可以理解为在加密的文件中置入接收者的信息,同时指定这些接收者的相关权限(如只读、打印等)。只有拥有合法身份的用户才能打开文件。通过对文件的接收者和用户的身份调节,可以实现任何复杂的管理逻辑。
根据需要,我们可以为整个公司设定一个证书,如果文件的接收都含有这个证书,表明整个公司的用户均能打开此文件。我们也可以为部门设定一个证书。如果文件的接上者含有这个证书,表明该部门的人均能打开此文件。我们也可以为个人设定一个证书。如果文件的接收者只有该证书,则表明仅有此人能够打开文件。
比如以下场景
公司年终时要向各部门发放年终奖,方案由各部门领导提供,经财务部门审核汇总后向总经理报告,总经理同意后各文件下发至自己归属的部门。部门下所有的员工可以看到属于本部门的这份文件,其他部门即使得到也无法打开。
这是现代企业中常见的文档流转过程。利用PKI体系,我们可以实现在各部门领导构思方案,撰写文档的过程时,文档仅可自己查看修改。当文档写完后,将文件的接收者设为自己及财务部的人员。财务部的审核通过后,再将文档接收者设为自己、总经理、财务部人员。如果总经理 终同意方案,则将文档设为自己、总经理、财务部人员、本部门。这样相关人员都可以打开查阅此文档,但是其他部门则无权打开。