终端无痕构筑安全的电子办公环境

时间:2011-12-10 11:32 作者:小编点击: 次

　　本文作者：田强
　　2009.6计算机安101综述市场“终端无痕”构筑安全的电子办公环境北京双洲科技有限公司高级顾问田强在政务电子化的过程中，大量政府文件、政策信息都保存在信息系统之中。防止信息泄露、保障政务系统的安全是十分关键和重要的课题，需要在管理和技术上提供强有力的手段进行有效的保护。
　　目前，在信息防泄漏的产品和解决方案，在技术、管理以及最终的防护效果上，都不同的存在着这样和那样的问题。由于这些安全问题，使得大部分重要的敏感以及涉密信息无法进入信息系统或者无法进入网络，直接影响了政务电子化的进程和推广。1传统防护手段存在的问题目前，多数的电子政网友可以玩的务应用系统采用的是（浏览器服务器）或者是（客户端服务器）的系统结构，众多的安全技术和管理方法也是着眼于这样的架构之上进行的设计和执行的。目前传统的信息防护手段包括以下几种：(1)网络层面：防火墙、入侵检测、防病毒、(2)主机与操作系统：终端防护、漏洞检测、主机审计(3)应用传奇层面：身份认证、授权管理、安全审计(4)数据层面：安全加密、细粒度访问控制、输出管理。基于以上安全技术和产品的解决方案，可以很好地解决信息在应用系统之中授权安全访问、安全存储与传输等一系列安全问题。但是如何保障信息在计算机终端进行处理和使用中安全，不发生信息泄露，在技术上和管理上都还存在着问题。从信息防泄漏的角度来看，以信息为保护对象的传统防护网游技术分类两类，一类为主动防护技术，以采用密码技术进行加解密的方式对文档进行保护，使得未经授权使用者无法通过解密来使用信息。其主要问题在于，无法防止信息在明文使用过程中发生的泄漏，更为严重的是由于管理不善造成密钥丢失会使文件永久的、不可恢复性的损坏。
　　另一类为被动防护技术：通过对存储和使用信息的计算机终端上操作系统的相关功能进行限制和改造，实现对信息操作的控制，达到信息保护的目的。被动防护技术在操作系统以及应用程序之上实现信息授权使用、打印输出控制、防拷贝、监控和事后审计等功能。其主要的缺陷是：(1)对操作系统依赖极大，必须追随操作系统进行维护、升级(2)信息分散在计算机终端上，给监控、审计、备份造成困难(3)基于操作系统之上的安全防护机制，在极端情况下可以被破解、被绕过、被拆卸。由于这些技术保障上的不力，使得有些政府部门为了防止信息泄露，采取强力的管理手段，例如封闭所有机器设备的接等，虽然在一定范围防止了信息泄露，但给整个工作带来了极大的不便。尤为关键的是，所有上述方法都是基于信息在计算机终端进行处理的情况下，而采取的被动的“围追堵截”的防护方法。
　　这样做，由于信息的分散分布，需要管理和控制点多，安全风险大，技术成本高，管理成本更高。尤其是在涉密网络系统内，涉密信息分布在整个网的设备上，造成“台台都是涉密机，人人都成机要员”现象，给我们的安全管理带来了极大的困难。
　　2构筑“终端无痕”安全操作平台基于上述的种种问题和困难，市场急需一种基于全新思路的技术和产品，从根本上解决信息泄漏的问题。北京双洲科技有限公司，在一种全新思路下，构造uniink安全应用架构系统，该系统能够从根本上防止信息泄漏的现象发生，具有终端操作无痕迹的特点。102算机安全2009.6市场综述所谓的“终端无痕”，其核心的思想是：通过虚拟化应用技术，将用户操作界面的与运行的用户程序和数据最新传奇进行物理的分离，实现应用程序集中运行处理信息，用户终端远程虚拟操作。用户编辑操作的信息并没有出现在进行操作的计算机终端上，实现“终端无痕”。“终端无痕”可以有效地防止信息在计算机终端操作的过程中发生信息泄漏，再将所有与信息处理相关的应用程序集中部署的在服务器端日志，并加以强有力的保护，防止集中服务端的信息泄露。就形成了一个完整的信息防泄漏安全系统。应用集中部署和“终端无痕”操作，缩减了安全信息管理的物理范围，大大降低了信息泄露的风险和安全管理的成本。使系统更加安全，更加好用。3形成全生命周期的文档保护系统鉴于电子文档在政务电子化中的重要地位，双洲公司经过对文档保护深入研究，借鉴纸质文档安全管理的成功经验，结合“终端无痕”的安全应用架构，归纳出电子文档保护的经典策略：(1)根据文档属性和授权限定操作人员的行为(2)将文档集中管理，用户终端与文档本身隔离，不能接触电子文档的原件，实现等同于纸质化文档的强化安全管理(3)策略不受限于具体的网络环境、操作系统(4)对文档从生成，到存储、编辑直至销毁的整个生命周期进行全程防护。根据这些安全策略，在uniink安全应用架构之上构筑了防泄露文档管理系统，对电子文档实行等同于纸质文档的强化安全管理，对文档进行全生命周期的安全管理和防护。
　　4系统的典型应用(1)资源远程监管系统双洲资源监管系统是在终端无痕安全操作平台上构建的一套集中后台管理系统。
　　在一个信息系统中，所有软件和数据都集中部署在后台服务器。服务器后台管控上的安全直接关系到整个系统的安全。后台管控做到信息防泄露和终端无痕，可以更好地保证后台系统的管控安全。(2)集中隔离上网管理系统uniink安全全应用架构，在虚拟应用终端和虚拟应用服务器之间采用应用代理和虚拟应用技术，可以起到网络隔离的作用，它可以将服务器端和终端客户端的网络通信进行隔离，实现网络隔离而应用相通。这样在未授权的情况下，这种服务器端的信息不能下载到虚拟应用的客户端，可以实现集中隔离上网的应用。在服务器的区域可以部署上网的服务器，而在办公的环境下通过虚拟应用的方式来集中上网。远程应用服务器端的上网应用，保证了上网区域和办公区域的隔离，使上网更安全。(3)广域的多系统互联现实中不可能把所有的应用和数据都集中在一起，这样就会出现多个集中部署终端无痕系统，在这种大的体系下如何去应用呢？需要解决解决多域安全和互通问题，包括：1)全网络的统一的用户身份，一致性的用户身份认证，保证用户可以进入不同的管理域。2)用户和资源的属地管理，保证人员管理和本地文件的安全。3)跨域访问、全网漫游，保证用户全程全网的访问。4)系统数传奇据交换，保证在安全可控的环境下实现不同管理域之间的数据交换。防止信息泄漏是电子政务安全建设的重要内容，使用北京双洲科技有限公司的uniink应用安全架构建立安全电子办公环境，具有“终端操作无痕迹”的特点，可以有效地解决信息泄漏问题。在此之上还可以建立全生命周期的文档防护系统、资源远程监管系统、集中隔离上网管理系统等，进一步完善电子政务系统的安全。随着电子政务的不断发展，多域系统的互联将成为必然，双洲uniink系统具有多域互联的能力，可以在更大的范围内构建“终端无痕”的电子办公环境，为国家的电子政务建设做出更多的贡献。
　　本文《＂终端无痕＂构筑安全的电子办公环境》 --- 作者：田强

上一篇：著作权保护与图书馆的合理使用制度--以《著作权法》第２２条第８
下一篇：优化语文课堂教学的三个关键

终端无痕构筑安全的电子办公环境

相关文章列表