保密與內網安全管理系統(tǒng)研究

王增國+王永旺+陳東+劉瑞平

摘 要：辦公自動化系統(tǒng)是政府機關、企事業(yè)單位信息化的基礎。完善辦公自動化系統(tǒng)，可以使企業(yè)內部人員方便快捷地共享信息，高效地協同工作，實現迅速、全方位的信息采集、信息處理。同時，辦公自動化系統(tǒng)作為涉密電子信息的關鍵載體，承擔著非常重要的安全保密責任。文章分析了傳統(tǒng)辦公自動化系統(tǒng)存在信息丟失和泄密問題，設計了一套保密與內網安全的辦公自動化系統(tǒng)，對整套系統(tǒng)的硬件配置和軟件策略進行了詳細的闡述。

關鍵詞：辦公自動化；內網安全；硬件配置；軟件策略

1 信息化建設安全研究背景

信息化社會的今天，信息化建設已經得到了極大的發(fā)展，各種信息數據已經成為政府、軍隊、企事業(yè)單位最重要的資產之一，重要應用系統(tǒng)、涉密的內部數據更是一個機構組織核心技術、核心競爭力和核心秘密的載體。如何控制這些重要數據，防止其丟失、泄密，已經成為政府、軍隊、企事業(yè)單位最為關注的問題。單位信息丟失、泄密主要有兩大類途徑，外部非法訪問和內部有意、無意失、泄密。外部的非法訪問大多都是有意識的黑客入侵行為，他們以竊取信息為主要目的，一旦入侵成功，計算機的大門就為他們敞開，不再有秘密可言；內部失、泄密大多是內部人員將核心資料帶離組織內部造成，如員工私自拷貝單位內部敏感資料；員工離職時帶走核心資料；員工外出筆記本計算機、移動存儲體丟失、失竊等等。針對外部非法訪問的防范手段大多采用防火墻、物理網閘甚至斷開Internet網等方式，這些方式隨著黑客技術的進步已經無法做到完全安全可靠；對內部丟失、泄密大多采用外設控制、系統(tǒng)審計類方法，這些方法給用戶帶了諸多不便同時也無法真正做到重要數據的安全保護。

2 安全保密系統(tǒng)的開發(fā)

為了解決這些問題，文章開發(fā)一套安全保密系統(tǒng)，設計了一種新的管理架構和防護理念，打破傳統(tǒng)的文檔本地使用、本地存儲、后期審計的管理方法。安全保密管理系統(tǒng)采用云計算技術結合虛擬化平臺對文檔實現集中化的存儲管理，形成終端用戶“用密、不留密”的管理體系架構。在該體系架構中采用虛擬化技術在保證文檔使用環(huán)境安全、可控的基礎上提供文檔的多通道交互方式，便于用戶使用的同時對文檔進行集中存儲、審批和集中輸出的方式，減少文檔輸出的渠道、縮小文檔輸出的范圍、控制文檔輸出的使用方式及使用權限。

3 安全保密管理系統(tǒng)概述

安全保密管理系統(tǒng)是一款基于桌面安全工作環(huán)境的安全管理系統(tǒng)。該系統(tǒng)在集中管控服務器上利用虛擬技術和云計算技術為每個用戶生成加密的虛擬磁盤，利用磁盤服務器將這個虛擬磁盤發(fā)布到客戶端計算機上。客戶端計算機利用虛擬技術在原Windows操作系統(tǒng)上構建出一個全新的安全工作環(huán)境，這個安全環(huán)境該安全工作環(huán)境專門用作重要文檔或重要應用系統(tǒng)的訪問和處理，用戶只能通過該安全工作環(huán)境訪問重要文檔和重要應用系統(tǒng)。安全工作環(huán)境隔離了原操作系統(tǒng)的漏洞和風險隱患，在安全工作環(huán)境中，用戶可使用的工具軟件、網絡資源、可訪問的內部服務器資源均由系統(tǒng)策略設置，嚴格受控。安全工作環(huán)境中產生的工作數據均被強制集中保存在集中存儲服務器上，非授權情況下，用戶無法將工作數據帶離出安全工作環(huán)境，同時所有的文件操作均有詳細的操作記錄。因此可以說，安全保密管理系統(tǒng)是電子數據安全的理想解決方案。安全保密管理系統(tǒng)的應用模式如圖1所示。

4 保密系統(tǒng)硬件配置

搭建保密系統(tǒng)的基礎硬件平臺，在此平臺基礎上對科技核心技術及相關文件保密業(yè)務進行有效的支持，全面準確地管理及存儲科技項目全生命周期的所有相關信息。保密系統(tǒng)硬件系統(tǒng)部署：服務器部署應用服務器和數據庫服務器，連接磁盤陣列存儲數據；與局域網連接處安裝防火墻，對內網用戶進行審計和身份識別，如圖2所示。

5 保密系統(tǒng)軟件系統(tǒng)

系統(tǒng)的主要軟件模塊如圖3所示。

安全保密管理系統(tǒng)由服務端程序、客戶端程序和管理工具3部分組成。其中服務器端程序由集中管控服務器系統(tǒng)、磁盤服務器系統(tǒng)、備份服務器系統(tǒng)、安全網關系統(tǒng)4個部分組成。

服務器系統(tǒng)包括集中管控服務器系統(tǒng)、磁盤服務器系統(tǒng)、備份服務器系統(tǒng)、安全網關系統(tǒng)4個部分。集中管控服務器系統(tǒng)提供整體系統(tǒng)策略存儲、控制，同時集中管控服務子網環(huán)境中的終端用戶提供身份驗證、文件加密存儲、文檔訪問權限控制等服務。磁盤服務器系統(tǒng)為終端用戶提供數據集中存儲空間。通過集中存儲設置工具在磁盤服務器中預分配一塊存儲空間提供終端用戶使用。服務器備份系統(tǒng)提供對集中管控服務器和磁盤服務器系統(tǒng)的數據備份，保證集中管控服務器和磁盤服務器的數據安全。安全網關系統(tǒng)提供第三方應用系統(tǒng)的服務器與安全工作環(huán)境之間的數據加密/解密轉換。安全網關將應用服務器納入到安全工作環(huán)境中的保護，這樣用戶只有通過登錄安全保密管理系統(tǒng)客戶端才能訪問這些應用服務器上的數據，大大提高了第三方應用系統(tǒng)的安全性。

管理工具提供系統(tǒng)參數設置，包括：組織結構樹的定義、文檔加密保存目錄定義、系統(tǒng)應用程序策略庫存儲、系統(tǒng)全局應用程序白名單、系統(tǒng)全局應用程序黑名單等等。同時，通過管理工具，可以對系統(tǒng)日志進行查詢。客戶端系統(tǒng)負責實現用戶安全工作環(huán)境的建立、管理等操作。

6 結語

本套安全保密管理系統(tǒng)實現了數據100%強制集中存儲，將原操作系統(tǒng)與集中管控系統(tǒng)相隔離，確保安全工作環(huán)境中重要信息的保密性與安全性，保證了重要文件在訪問期間的安全，防范信息外泄。可與單位原有應用系統(tǒng)無縫集成，為應用系統(tǒng)提供數據安全防護，透明提升單位原有應用系統(tǒng)的安全性。系統(tǒng)兼容Windows操作習慣，無需額外培訓和專業(yè)訓練，易于使用。系統(tǒng)虛擬出的安全保密系統(tǒng)無論是系統(tǒng)界面還是操作習慣均與普通環(huán)境高度相似，只要在普通環(huán)境下可以工作，在安全保密系統(tǒng)中就可以無需培訓直接操作使用。