利用RemoteApp實現涉密電子信息集中管控系統的安全在線編輯

李 康 陳清華

1(浙江清華長三角研究院 浙江 嘉興 314006)2(浙江大學工程師學院 浙江 杭州 310011)

0 引 言

隨著計算機和信息化的不斷普及，自動化辦公得到廣泛應用，傳統的紙質文件越來越多地向電子化文檔轉換，大量的電子信息分散存儲在用戶各種終端設備中。這種信息的存儲管理手段存在著管理難度大、容易丟失、沒有版本管理等問題，尤其是其中的涉密電子信息存在著極大的失泄密隱患。

涉密電子信息集中管控系統將涉密電子信息集中加密存儲于存儲集群中，參照傳統紙質涉密文件的管控辦法對涉密電子信息進行集中管控，采取“集中存儲，加密保護，授權使用，精確控制，全程審計”的方法，實現“個人不留密，終端不存密”的保密要求，有效切斷內部人員泄密涉密信息的途徑，提高涉密電子信息安全系數[1]。

1 涉密電子信息集中管控系統

涉密電子信息集中管控系統通常包括電子文件集中存儲、集中管理、加密保護、授權使用、精確管控、全程審計等功能，可以實現對電子文件從創建、流轉、成文至鑒定、歸檔、利用、銷毀全生命周期的精確閉環管控[2]。

如今的電子信息種類繁多，使得電子文件的格式也多種多樣，涉密電子信息集中管控系統自身又不可能支持所有電子文件格式的查看或編輯，因此涉密電子信息集中管控系統必須依賴第三方軟件來實現對電子文件的查看或編輯，如MS Office、WPS、Photoshop、SolidWorks、Auto CAD等。這樣的前提條件使得電子文件在查看或編輯時必須暫時離開涉密電子信息集中管控系統的管控范圍，并且此時的電子文件顯然是解密后的文件，所以這個過程勢必成為涉密電子信息集中管控系統的薄弱環節。

現有的涉密電子信息集中管控系統對電子文件在線編輯的解決方案多種多樣，按照第三方軟件所處的位置可分為兩類：基于客戶端第三方軟件的在線編輯和基于服務端第三方軟件的在線編輯。

1.1 基于客戶端第三方軟件的在線編輯

基于客戶端第三方軟件的在線編輯是電子信息集中管控系統比較常用的傳統解決方案，可分為三種方法：下載為本地臨時文件、將網絡磁盤掛載到用戶本地和Office插件。但無論是哪種方法都無法真正做到“個人不留密，終端不存密”。電子文件在線編輯時成為用戶本地磁盤內或內存中的臨時文件，并且直接向客戶端暴露了文件下載接口和更新接口，使得涉密電子信息集中管控系統存在嚴重的失泄密隱患。

1.2 基于服務端第三方軟件的在線編輯

基于服務端第三方軟件的在線編輯主要有基于VDI(Virtual Desktop Infrastructure)和基于WOPI(Web Application Open Platform Interface)協議[3]兩種方式。

1.2.1基于VDI

在2006年8月9日的搜索引擎大會(SES San Jose 2006)上，時任Google首席執行官的Eric Schmidt首次提出了云計算的概念[4]。作為云計算服務模式之一的VDI是目前較為成熟的桌面虛擬化解決方案。其核心思想是利用Hypervisor虛擬化將操作系統桌面環境制作成虛擬機[5]，其特點是集中管理、集中計算，用戶的桌面被虛擬化后運行在后臺的服務器上[6]，用戶終端通過SPICE、VNC或RDP等遠程連接協議訪問該虛擬機。

基于VDI的在線編輯方案，是將VDI作為中間層在服務端和客戶端之間豎起一道屏障，用戶在終端上通過遠程連接協議訪問虛擬桌面，再用虛擬桌面內的涉密電子信息集中管控系統客戶端連接到涉密電子信息集中管控系統的服務端(見圖1)。這種方式使得電子文件在編輯時被管控在虛擬桌面內，可以真正做到用戶終端的“個人不留密，本地不存密”。

圖1 基于VDI的在線編輯方案

基于VDI的在線編輯方案缺點是：相對基于客戶端的第三方軟件在線編輯方案來說，需要額外建設一套VDI，建設成本比較高；無論是哪種遠程連接協議，對網絡帶寬的要求都比較高；用戶需要先做一個遠程連接才能使用涉密電子信息集中管控系統，操作繁瑣，用戶體驗差。

1.2.2基于WOPI協議

WOPI協議，即Web應用程序開放平臺接口協議，MS Office和Libre Office都實現了這個協議，使得Office類電子文件可以直接通過Web查看或編輯。

基于WOPI協議的在線編輯方案(見圖2)是一種純B/S架構的解決方案，把部署于服務器的MS Office或Libre Office作為WOPI的客戶端，涉密電子信息集中管控系統作為WOPI的服務端，文件的傳遞被嚴格限制在WOPI Server和WOPI Client之間，用戶終端可以看到文件查看或編輯時的視圖但不能接觸到文件，可以真正做到“個人不留密，客戶端不存密”。

圖2 基于WOPI協議的在線編輯方案時序圖

盡管基于WOPI協議的在線編輯方案是比較理想的在線編輯方案，但目前對WOPI協議支持的第三方軟件少之又少，目前能用這種方式在線編輯的只有Office類文件。此外，WOPI對電子文件在查看或編輯時的管控也僅限于如同對整個文件只讀、修改等這種比較粗粒度的控制。

2 基于RemoteApp的安全在線編輯方案

涉密電子信息集中管控系統的現有在線編輯方案，無論是基于客戶端第三方軟件還是基于服務端第三方軟件，或無法確保“個人不留密，終端不存密”，或接口直接暴露到客戶端，或操作層層嵌套繁瑣無比，或支持類型有限，沒有一種方案可以相對完美地解決安全在線編輯問題。

RDP是基于面向連接層的傳輸協議[7]，主要是TCP協議，采用層次結構。RDP的優點是兼容性好，其客戶端可以在Windows、Linux、Unix等系統上運行，并且具有不錯的安全性，是一種安全可靠的遠程桌面連接協議[8]。RemoteApp是微軟公司在Windows Server 2008及后續版本中引入的一項高級功能，它是微軟遠程桌面服務的一項重要改進，使得用戶在本地計算機上運行遠程服務器上的應用程序時，不再顯示整個服務器桌面，而是只顯示該遠程應用，這種效果看起來就像在本地計算機上運行一樣[9]。

如圖3所示，基于RemoteApp的安全在線編輯方案，核心是使用利用RemoteApp,通過一臺代理服務器將RDP協議轉換為Websocket協議，使得客戶端只需要一個瀏覽器就可以安全方便地實現在線編輯，而這一切完全不依賴于客戶端的第三方軟件。

圖3 基于RemoteApp的安全在線編輯方案示意圖

2.1 實現過程概述

如圖4所示，基于RemoteApp的安全在線編輯方案的涉密電子信息集中管控系統的架構并不復雜，包括存儲集群、涉密電子信息集中管控服務、應用服務器和安全在線編輯服務。相比傳統的基于客戶端第三方軟件在線編輯方案的涉密電子信息集中管控系統而言，只是增加應用服務器和安全在線編輯服務，瀏覽器替代了原來的客戶端軟件(見圖5)。

圖4 基于RemoteApp的安全在線編輯方案架構圖

圖5 基于RemoteApp的安全在線編輯方案時序圖

應用服務器負責提供安全在線編輯需要的第三方軟件，如MS Office、WPS、PhotoShop、Auto CAD等。當應用服務器是一個集群時，就需要一個Windows Active Diretory來協助管理所有應用服務器和所有的用戶賬號。

安全在線編輯服務主要是向瀏覽器提供在線編輯服務，負責將RemoteApp連接的RDP協議轉換成Websocket協議，并且提供瀏覽端解析轉換后的RDP協議的Javascript代碼。

瀏覽器向涉密電子信息集中管控服務請求查看或編輯一個電子文件后，涉密電子信息集中管控服務返回一個安全在線編輯服務的調用地址；瀏覽器收到調用地址后，通過WebSocket協議連接安全在線編輯服務，安全在線編輯服務首先向涉密電子信息集中管控服務驗證調用的合法性并獲取文件的概要信息，然后安全在線編輯服務根據當前要打開的文件類型，通過RDP協議請求打開應用服務器上的對應RemoteApp；應用服務器在建立RDP連接時掛載一個網絡存儲到本地成為臨時磁盤，當RDP建立連接后用RemoteApp打開該文件；安全在線編輯服務將建立的RDP連接轉換為Websocket協議，并轉發瀏覽器與應用服務器之間的數據。瀏覽器發送到應用服務器的數據主要有鼠標的點擊、鼠標的移動、鍵盤的輸入等。應用服務器發送到瀏覽器的數據主要包括瀏覽器端鼠標鍵盤操作后的應用服務器的顯示反饋、鼠標的位置、音頻等。

2.2 方案優勢

(1) 安全性 本方案也是一種基于服務端第三方軟件在線編輯的解決方案，和基于VDI或WOPI協議的解決方案一樣都可以真正做到文件不落地，實現“個人不留密，終端不存密”。用戶在終端機上查看或編輯一個文件看到的只是一個遠程連接后的圖像顯示，徹底杜絕了用戶終端機上失泄密的隱患。

(2) 兼容性 在線編輯所依賴的第三方軟件全都安裝于服務端的應用服務器上，版本統一，并且有專門的IT人員來維護，最大程度地減少了第三方軟件的版本兼容性問題。對客戶端而言，不再需要在用戶終端機上安裝任何軟件，只需要一個普通瀏覽器就可以實現所有功能。

(3) 管控力度 可以利用對安全在線編輯服務的控制可以實現對電子文件在線編輯時的精細管控，如禁止文件內容的復制、粘貼，屏幕水印，打印權限等。

(4) 文件類型 本方案具有非常好的文件類型擴展性。涉密電子信息集中管控系統對文件類型的支持取決于在線編輯所依賴的第三方軟件，而本方案的第三方軟件全部安裝于服務端的應用服務器上，因此對文件類型的擴展是非常容易的，只要由IT人員安裝相應文件類型的第三方軟件就可以實現。

(5) 綠色、經濟 本方案將應用軟件、計算資源、存儲資源都集中在了服務端，實現了應用軟件共享、計算資源共享和存儲資源共享，很大程度上降低了軟件、硬件成本。對客戶端而言，由于用瀏覽器替代了傳統客戶端軟件，并且不需要安全任何第三方軟件，具有很好兼容性的同時對用戶的終端機的性能要求也大大降低，甚至可以支持性能極低的瘦終端作為用戶終端機。

3 結 語

傳統保密管理理念并未重視內部人員的有意或無意泄密。據Gartner報告，85%的泄密事件源于內部人員誤操作或違規行為。組織采用防火墻、入侵檢測和防護系統、安全審計工具等防止外部黑客攻擊組織內網，但對內部人員的防護則往往未得到應有的重視[10]。涉密電子信息集中管控系統將涉密電子信息集中存儲到服務端并加以集中嚴格管控，使得涉密電子文件不再分散存儲在內部人員的終端設備上，大大減少了內部人員失泄密的可能性。然而傳統的在線編輯方案使涉密電子信息集中管控系統在電子文件查看或編輯時存在失泄密隱患。

傳統電子信息集中查看或編輯電子文件時存在失泄密隱患是因為它需要依賴用戶本地的第三方編輯軟件并且必須將服務端的電子文件下載到用戶本地。本方案利用微軟的RemoteApp技術，使涉密電子信息集中管控系統在線編輯時將電子信息控制在服務端，電子信息不再“落地”，成功地加強了涉密電子信息集中管控系統的最薄弱環節，真正實現“個人不留密，終端不存密”。此外，文件編輯不再依賴于用戶本地的第三方編輯軟件，使得用戶的終端更加輕量化、用戶體驗得到提升；文件編輯統一使用服務端的文件編輯軟件，也使得電子文件的兼容性得到大大改善。

總而言之，本方案相比傳統涉密電子信息集中管控系統大幅提高了安全性、兼容性和管控力度，在文件類型的支持上也更加靈活、豐富，服務端共享資源方式替代個人富終端也更加經濟、環保。