隨著信息化進程的加快。保障數據的安全和可靠已經成為所有部門信息化建設的重中之重,需要一種可靠、安全的信息存儲、交換和共享平臺。據調查,有60%~80%的單位數據分散存儲在臺式或筆記本計算機中。而目前終端數據管理薄弱,因各種意外情況如軟件平臺故障、硬件設備損壞、病毒入侵、人為誤操作等經常會導致用戶重要數據的丟失,造成經濟損失。對此,越來越需要一種可以滿足終端數據安全集中存儲防護管理的要求,網絡文件保險柜產品應運而生。
1.基于網絡文件保險柜的終端數據安全保護結構體系
1.1 網絡文件保險柜的設計目的
由于許多終端數據具有時效性長和隱私性強的特點,為了解決存在服務器上易導致信息泄露與不存在服務器上數據不安全的矛盾,網絡文件保險柜系統采用文件生命周期管理的理念,建立安全防護體系,實現文檔安全管理的要求。安全防護體系的思想是:在文檔生命周期過程中對相應的系統定義了一個邏輯上的安全域.使得文檔在邏輯安全域內受到集中安全可控管理。所謂文檔邏輯安全域,是指以文檔為基本單位,生命周期為時間過程,在相應的系統內所劃定的與其權限和使用范圍相一致的邏輯區域,也就是文檔被授權使用的邊界或對象。
為了實現文檔邏輯安全域的要求,采用了安全內核、透明加解密、安全虛擬磁盤、硬件加密卡、終端安全防護等技術,使得對文檔的操作完全在可控范圍內完成。文檔從產生、保存、修改、歸檔及銷毀的生命周期,均在安全的環境內進行,從而保證信息不被泄露和免遭破壞。
1.2 網絡文件保險柜的系統架構
網絡文件保險柜系統由服務器和客戶端設備等組成。系統架構圖如圖1所示:
圖1 網絡文件保險柜系統架構圖
在服務器端,硬件層的加密卡模塊承擔了服務端所有的加解密操作。安全內核層的系統內核(安全內核)是我公司自主知識產權的成果,為整個安全防護體系從系統操作層提供了安全保障。應用層實現了系統的用戶管理、權限管理、版本管理、共享管理、分發管理、檢索管理、歸檔管理、借閱管理等操作。
在客戶端,硬件層上所采用的加密卡或加密Key承擔了客戶端所有的加解密操作。驅動層的磁盤映射、透明加解密、網絡通訊控制、打印控制四大核心模塊實現了防止文檔主動泄密的有效管理,是應用層各模塊功能實現的基礎。應用層的邏輯加密盤映射是把服務器的用戶空間映射到客戶端,形成客戶端文檔操作的加密緩沖區,這個加密緩沖區以物理盤的形式存在。客戶端的所有文檔操作結果都同步到服務端,不僅防止文檔丟失,而且實現了集中管理。由于采用了盤映射機制,因此可靠地實現了文檔的讀寫、打印、流轉以及復制、粘貼、移動等操作控制。
1.3 網絡文件保險柜的安全機制
網絡文件保險柜的安全機制采用安全內核、終端安全防護、透明加解密、安全虛擬磁盤等軟件技術,硬件加密卡、磁盤陣列技術、磁盤熱備用技術、電源冗余技術、溫度監控技術等硬件技術。其中關鍵技術介紹如下:
1.3.1 安全虛擬磁盤技術
安全虛擬磁盤技術是利用windows操作系統中的磁盤驅動程序實現磁盤仿真的虛擬磁盤數據存取技術。虛擬磁盤技術主要通過虛擬磁盤驅動程序響應I/O管理器發送給虛擬磁盤的IRP,處理I/O請求,對數據流實時加解密,并且此操作完全透明。
虛擬磁盤驅動程序負責將服務端硬盤空間映射到客戶端形成虛擬磁盤空間。引入虛擬磁盤技術,對于重要電子文檔和普通電子文檔分開存儲提供了便利。所有重要電子文檔保存在虛擬磁盤中,普通電子文檔保存在其它磁盤中。這是系統設計的主要創新思路。
當客戶端通過系統認證,進入安全域(即密態)后,客戶端寫人到虛擬磁盤的內容實時加密。讀取時實時解密。在密態下,客戶端的所有涉密電子文檔都只能在虛擬磁盤空間中進行讀寫操作,其安全由系統進程監控子程序來保證。
1.3.2 自主研發的服務器端安全內核
網絡文件保險柜的服務端所采用的安全內核為國內廠家自主研發的技術成果。其特點包括:屏蔽超級用戶、內核級安全標簽檢驗、內核級的安全審計、強制訪問控制機制、文件系統加密等。
1.3.3 基于文檔生命周期的安全防護體系
網絡文件保險柜產品采用了文檔透明加解密、安全虛擬磁盤、進程監控、網絡通訊監控、打印監控、剪貼板監控、文件操作監控等終端安全防護技術,有效防止了文檔在客戶端的泄密。結合硬件加密卡技術以及服務端安全內核技術,使得文檔在終端的操作、網絡的傳輸、服務端的集中存儲及歸檔等過程,均在安全可控范圍內,從而構成了文檔生命周期的安全防護體系,有效保證文檔的防泄密。
1.3.4 網絡文件保險柜的模塊組成
網絡文件保險柜采用軟硬件結合,由網絡文件保險柜、管理引擎、數據庫和文件備份引擎、文件瀏覽客戶端構成,網絡文件保險柜直接連接以太網。管理引擎安裝在管理員的微機上,實現對網絡文件保險柜的管理和信息查看。數據庫和文件備份引擎安裝在PC機及文件服務器上,實現數據庫和文件存儲備份任務的管理。文件瀏覽客戶方便用戶存取備份和數據瀏覽。網絡文件保險柜為整個系統的核心設備,實現數據的集中存儲備份。
2.網絡文件保險柜的主要功能
網絡文件保險柜將存儲設備通過標準的網絡拓撲結構(如以太網)連接到多臺計算機上,為網絡內所有的服務器、客戶端提供安全存儲服務,網絡文件保險柜產品提供文檔生命周期的安全防護,實現集中安全管理、安全存儲與備份、文檔共享與分發、終端安全防護等主要功能,具體功能如下:
2.1 文檔透明加解密。系統根據文檔的權限來控制文檔的加解密方式。使用戶方便地使用有權限的文檔,對非授權文檔,用戶是無法操作的。整個加解密操作過程對于用戶來說都是透明的。
2.2 文檔授權管理。系統為客戶提供了細粒度的文件控制權限,包括讀、寫、打印、復制、共享等權限。
2.3 文件密級管理。系統支持多種文件密級策略,可靈活的針對部門、針對操作、針對密級進行文檔安全設置。
2.4 靈活的可控共享。具備可控的群組共享功能,不需要管理員的參與,用戶可以自主把文件共享給確定的共享目標(用戶或組),同時設定訪問權根控制以及設定共享期限,在共享目標端可以查看到具有權限控制的共享文件信息。
2.5 協同辦公。具備用戶間消息通信功能,可以進行即時通信和非在線留言,同時查看留言是否已被閱讀,信息回復等復雜的信息管理功能,為企業內部協同辦公提供靈活便捷的溝通途徑。
2.6 安全磁盤映射。服務器上的用戶空間被系統映射成客戶端的加密磁盤,對加密盤中的任何文檔的操作都在服務器上記錄并保存,實現了文檔的集中管控。
2.7 終端安全防護。客戶端通過驅動級的透明加解密技術,結合進程監控、文件讀寫監控、移動介質監控等技術,有效防止文檔的泄密,實現了終端文檔的安全防護。
2.8 用戶管理。可按公司組織結構建立相應的用戶目錄樹。并支持與企業AD服務器、LDAP服務器的同步管理。
2.9 內網用戶離線策略。根據特殊客戶的要求,本系統可為離開內部網絡環境的計算機提供繼續使用加密文檔的授權功能,使特殊客戶的的計算機在脫網的情況下可以授權繼續使用加密文檔。
2.10 外網用戶離線策略。根據特殊客戶的要求,本系統可將加密文檔綁定在特定的載體上,如:u盤、光盤、筆記本(不需安裝文檔安全系統客戶端),同時設定文檔的允許訪問時間。文檔在指定時間內,可以在指定的載體上使用。超過時間或者將文檔拷貝離載體將不能使用。
2.11 防止屏幕拷貝。有效防范通過截屏鍵(Print screen鍵)、截屏軟件與錄像軟件進行文檔內容截取。
2.12 移動介質安全管理。可以實現移動存儲介質的注冊、指定使用范圍、使用權限、是否加密等功能。支持文件級、分區級、全盤級的加密,可以實現在指定區域內透明操作。
2.13 日志記錄及審計功能。系統提供日志強審計功能,日志管理員可以查看用戶的操作信息,包括客戶端登錄IP、用戶名、登錄時問及用戶登錄成功與失敗信息;可以查看管理員的操作日志,如:修改用戶密碼、網絡配置、用戶的添加與刪除等;可以查看所有用戶的文件操作日志,如:上傳、下載、刪除等。
2.14 雙機備份。針對服務端存儲,可以采用兩臺以上的存儲服務器實現數據的備份,該備份可以通過配置同步的時間,采用系統差量和壓縮方式進行網絡數據同步,大大提高了整體系統數據的安全性。
3.結語
網絡文件保險柜產品作為終端數據安全保護的首選解決方案,目前已經在國內多個單位部署實施,效果顯著,有效實現了對個人工作文檔、重要文件的安全防護,同時也大幅度減少了普通文件服務器的維護成本,同時采用軟件硬件技術,保障了集中存儲設備的穩定可靠,不失為一種經濟、便捷、高效的數據安全解決方案。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://m.vmgcyvh.cn/
相關文章
