基于虚拟容器与数字水印的涉密电子文档保护机制研究DOI：10.19850/j.cnki.2096-4706.2021.08.050摘要：随着电脑的普及以及科学技术的发展，电子文档的使用越来越广，其安全也越来越受到重视。文章针对涉密电子文档的安全问题，提出了一种新的基于虚拟容器与数字水印的涉密电子文档保护机制。该方案不仅可以通过Docker这一虚拟化技术来控制用户对涉密电子文档的访问，也能在涉密电子文档泄露之后追踪到文档的泄漏源头，跟踪侵权行为。文章提供的电子文档安全保护机制配置十分灵活，可以根据需要随时变动，实现细粒度的安全防护功能与目标。关键字：虚拟容器;Docker;数字水印;涉密电子文档保护：TP309：A：2096-4706（2021）08-0176-04ResearchonSecretRelatedElectronicDocumentProtectionMechanismBasedonVirtualContainerandDigitalWatermarkingQIANXiaojun（JiangsuGoldenShieldDetectionTechnologyCo.，Ltd.，Nanjing210042，China）Abstract：Withthepopularityofcomputersandthedevelopmentofscienceandtechnology，electronicdocumentsareusedmoreandmorewidely，andtheirsecurityisalsopaidmoreandmoreattention.Aimingatthesecurityproblemofsecretrelatedelectronicdocuments，thispaperproposesanewsecretrelatedelectronicdocumentprotectionmechanismbasedonvirtualcontaineranddigitalwatermarking.ThisschemecannotonlycontrolusersaccesstosecretrelatedelectronicdocumentsthroughDockervirtualizationtechnology，itcanalsotrackthesourceoftheleakageofsecretrelatedelectronicdocumentafterit'sleakingoutandfollowuptheinfringement.Theconfigurationofelectronicdocumentsecurityprotectionmechanismprovidedinthispaperisveryflexible，whichcanbechangedatanytimeaccordingtoneeds，soastorealizefine-grainedsecurityprotectionfunctionsandobjectives.Keywords：virtualcontainer;Docker;digitalwatermarking;secretrelatedelectronicdocumentprotection0引言隨着电脑的普及以及科学技术的不断发展，电子文档成为大家日常生活中必不可少的工具。电子文档的数量和覆盖范围都在持续地扩大。涉密电子文档含有重要的信息，其安全性问题也成为日益突出的问题，需要对其实施一定的保护措施，以防止被窃取，减少被窃取带来的无法挽回的损失。常规的涉密电子文档保护的解决方案是采用防水墙进行保护。防水墙是一种用于防止内部信息泄露的安全产品，可以用于信息泄露防范、系统实时运行监控、系统资源安全管理、信息安全审计等。防水墙是对一些安全设备的进一步补充，包括防火墙、入侵检测系统等。最基础的防水墙由客户端、管理中心和服务器这三个部分组成。高层的用户接口层，以实时更新的内网拓扑结构为基础，提供系统配置、策略配置、实时监控、审计报告、安全报警等功能，低层功能模块层由分布在各个主机上的探针组成;中间的安全服务层从低层实时采集信息，并向高层报告或报警，同时也会记录下整个系统的审计信息，以供查询或生成报表。但是防水墙是部署在各个用户机器内的，也存在有众多的弱点，主要有：（1）防水墙存在有漏洞，可能会被绕过。（2）防水墙依赖于底层的操作系统，因此容易通过操作系统内核采用技术手段关闭，使其失效。（3）防水墙的配置以及安全防护策略较为复杂，由于实际的应用场景千变万化，难以制定统一的安全防护机制，特别是在保护策略发生变化的情况下。当防水墙一旦失效，没有有效地保护好涉密文档，即使在事后通过追踪审计发现涉密文档的非法使用，此时泄密事件已经形成了，其造成的损失也无法挽回。目前，涉密电子文档的保护重要的控制点有三个：非法拷贝复制、屏幕载图、拍照。传统的电子文档保护方法如电子文档加密存储可以控制文档的非法拷贝复制，文档数字水印技术可以在文档被屏幕截图以及拍照后进行所有权验证以及追踪泄露源头。因此，需要一种新的涉密电子文档保护机制，该机制除了能实现上述的涉密文档三个控制点的保护功能，更重要的是即使在该保护机制失效时，仍然能保护涉密电子文档的安全。本文提出基于虚拟容器与视频...