【安当产品应用案例100集】001 — 基于UKEY的文件加密流转

随着企业信息化程度的不断提高，数据已成为企业最重要的资产之一。然而，数据泄露的风险也随之增加。数据泄露可能导致企业商业机密泄露、客户隐私泄露、经济损失以及法律诉讼等一系列严重后果。因此，保护数据安全已成为企业不可忽视的重要任务。

企业在业务执行过程中，经常会遇到需要向分支机构、合作方、供应商、最终客户提供文件资料的场景，往往就包含一些涉密资料。传统的文件传递方式比如共享、云盘、移动介质、FTP等，虽然能够完成传递，但是如何防泄漏，却没有特别的考虑。员工不经意的一些操作导致的泄密，就可能给企业带来法律风险和经济损失。

安当作为一家专业的数据安全解决方案提供商，是怎么帮助客户堵上这个风险，确保客户商业秘密不泄露的呢？下面我们就介绍一个基于安当软硬件解决方案的应用案例。

整个文件加密流转方案包由一个管理端、一个客户端、一个符合国密标准的UKEY组成。下面我们逐一介绍：

因为整个文件流转方案是依托国密UKEY的软硬件接口开发的。对于企业来讲，就需要对于分发出去的UKEY进行管理。同时，企业内的涉密业务也需要有相关权限的用户才能够操作。整个管理部分就包括了“用户管理”、“密钥管理”、“UKEY管理”以及“UKEY签发”四个模块。

有管理端软件的支持，企业用户还可以对所有相关的涉密操作记录日志。方便管理和回溯。用户管理部分可以对接企业内部的身份源，实现用户身份和权限的统一管控。

客户端软件负责文件的分发，能够调用UKEY的能力完成文件加解密的操作。主要包括UKEY验证、密钥获取、文件加密、文件解密等功能。

首先需要在管理端签发UKEY，目的是将数据密钥安全存储起来。

第二步，使用客户端软件加密文件。

第三步，当目标用户收到了加密文件和对应的UKEY，就可以在客户端软件的保护下，将文件解密使用。

1. 成熟的国密加密技术保护 加密技术是保护数据安全的重要手段之一。安当的这个流转方案中，使用了对称加密技术对被保护文件进行了加密保护，同时使用了非对称加密技术对加密密钥进行了保护。而非对称加密的私钥，又由UKEY硬件机制来保护，任何人都无法获取，只能有权限的用户调用。

2. 操作系统内核中的加解密及权限控制 依托安当开发的透明加密技术，使得加密后的文件只能在特定的机器上特定的持有UKEY的用户才可以打开文件使用，进一步确保了文件在使用过程中的安全性。

3. 依托密钥管理系统KMS的UKEY管理端 管理端基于KMS的基础功能构建，完善的用户管理、密钥管理、日志能力，能够帮助企业的文件可控、可管、安全流转。

除了使用加密技术、密钥管理技术、基于角色的权限访问控制等来控制企业内部的文件流转。企业还需要在员工的数据安全和责任意识方面增加培训，确保员工掌握正确的数据使用和处理方法。在与合作伙伴分享文件时，自动自觉使用安全的文件分享方式，避免不必要的文件泄漏。

企业应定期对数据安全措施进行评估和审计，以确保其有效性和符合性。评估结果应作为改进数据安全措施的依据，以不断提升企业的数据安全水平。

安当将持续在数据安全领域内进行技术积累，打造更多契合企业数据安全需求的产品和解决方案，为企业数据的机密性、完整性、可用性保驾护航。

文章作者：太白 ©本文章解释权归安当西安研发中心所有