隨著信息化進(jìn)程的加快。保障數(shù)據(jù)的安全和可靠已經(jīng)成為所有部門信息化建設(shè)的重中之重，需要一種可靠、安全的信息存儲(chǔ)、交換和共享平臺(tái)。據(jù)調(diào)查，有60%～80%的單位數(shù)據(jù)分散存儲(chǔ)在臺(tái)式或筆記本計(jì)算機(jī)中。而目前終端數(shù)據(jù)管理薄弱，因各種意外情況如軟件平臺(tái)故障、硬件設(shè)備損壞、病毒入侵、人為誤操作等經(jīng)常會(huì)導(dǎo)致用戶重要數(shù)據(jù)的丟失，造成經(jīng)濟(jì)損失。對(duì)此，越來(lái)越需要一種可以滿足終端數(shù)據(jù)安全集中存儲(chǔ)防護(hù)管理的要求，網(wǎng)絡(luò)文件保險(xiǎn)柜產(chǎn)品應(yīng)運(yùn)而生。

    1.基于網(wǎng)絡(luò)文件保險(xiǎn)柜的終端數(shù)據(jù)安全保護(hù)結(jié)構(gòu)體系

    1.1 網(wǎng)絡(luò)文件保險(xiǎn)柜的設(shè)計(jì)目的

    由于許多終端數(shù)據(jù)具有時(shí)效性長(zhǎng)和隱私性強(qiáng)的特點(diǎn)，為了解決存在服務(wù)器上易導(dǎo)致信息泄露與不存在服務(wù)器上數(shù)據(jù)不安全的矛盾，網(wǎng)絡(luò)文件保險(xiǎn)柜系統(tǒng)采用文件生命周期管理的理念，建立安全防護(hù)體系，實(shí)現(xiàn)文檔安全管理的要求。安全防護(hù)體系的思想是：在文檔生命周期過(guò)程中對(duì)相應(yīng)的系統(tǒng)定義了一個(gè)邏輯上的安全域．使得文檔在邏輯安全域內(nèi)受到集中安全可控管理。所謂文檔邏輯安全域，是指以文檔為基本單位，生命周期為時(shí)間過(guò)程，在相應(yīng)的系統(tǒng)內(nèi)所劃定的與其權(quán)限和使用范圍相一致的邏輯區(qū)域，也就是文檔被授權(quán)使用的邊界或?qū)ο蟆?/p>

    為了實(shí)現(xiàn)文檔邏輯安全域的要求，采用了安全內(nèi)核、透明加解密、安全虛擬磁盤、硬件加密卡、終端安全防護(hù)等技術(shù)，使得對(duì)文檔的操作完全在可控范圍內(nèi)完成。文檔從產(chǎn)生、保存、修改、歸檔及銷毀的生命周期，均在安全的環(huán)境內(nèi)進(jìn)行，從而保證信息不被泄露和免遭破壞。

    1.2 網(wǎng)絡(luò)文件保險(xiǎn)柜的系統(tǒng)架構(gòu)

    網(wǎng)絡(luò)文件保險(xiǎn)柜系統(tǒng)由服務(wù)器和客戶端設(shè)備等組成。系統(tǒng)架構(gòu)圖如圖1所示：

圖1 網(wǎng)絡(luò)文件保險(xiǎn)柜系統(tǒng)架構(gòu)圖

    在服務(wù)器端，硬件層的加密卡模塊承擔(dān)了服務(wù)端所有的加解密操作。安全內(nèi)核層的系統(tǒng)內(nèi)核(安全內(nèi)核)是我公司自主知識(shí)產(chǎn)權(quán)的成果，為整個(gè)安全防護(hù)體系從系統(tǒng)操作層提供了安全保障。應(yīng)用層實(shí)現(xiàn)了系統(tǒng)的用戶管理、權(quán)限管理、版本管理、共享管理、分發(fā)管理、檢索管理、歸檔管理、借閱管理等操作。

    在客戶端，硬件層上所采用的加密卡或加密Key承擔(dān)了客戶端所有的加解密操作。驅(qū)動(dòng)層的磁盤映射、透明加解密、網(wǎng)絡(luò)通訊控制、打印控制四大核心模塊實(shí)現(xiàn)了防止文檔主動(dòng)泄密的有效管理，是應(yīng)用層各模塊功能實(shí)現(xiàn)的基礎(chǔ)。應(yīng)用層的邏輯加密盤映射是把服務(wù)器的用戶空間映射到客戶端，形成客戶端文檔操作的加密緩沖區(qū)，這個(gè)加密緩沖區(qū)以物理盤的形式存在�？蛻舳说乃�有文檔操作結(jié)果都同步到服務(wù)端，不僅防止文檔丟失，而且實(shí)現(xiàn)了集中管理。由于采用了盤映射機(jī)制，因此可靠地實(shí)現(xiàn)了文檔的讀寫(xiě)、打印、流轉(zhuǎn)以及復(fù)制、粘貼、移動(dòng)等操作控制。

    1.3 網(wǎng)絡(luò)文件保險(xiǎn)柜的安全機(jī)制

    網(wǎng)絡(luò)文件保險(xiǎn)柜的安全機(jī)制采用安全內(nèi)核、終端安全防護(hù)、透明加解密、安全虛擬磁盤等軟件技術(shù)，硬件加密卡、磁盤陣列技術(shù)、磁盤熱備用技術(shù)、電源冗余技術(shù)、溫度監(jiān)控技術(shù)等硬件技術(shù)。其中關(guān)鍵技術(shù)介紹如下：

    1.3.1 安全虛擬磁盤技術(shù)

    安全虛擬磁盤技術(shù)是利用windows操作系統(tǒng)中的磁盤驅(qū)動(dòng)程序?qū)崿F(xiàn)磁盤仿真的虛擬磁盤數(shù)據(jù)存取技術(shù)。虛擬磁盤技術(shù)主要通過(guò)虛擬磁盤驅(qū)動(dòng)程序響應(yīng)I/O管理器發(fā)送給虛擬磁盤的IRP，處理I/O請(qǐng)求，對(duì)數(shù)據(jù)流實(shí)時(shí)加解密，并且此操作完全透明。

    虛擬磁盤驅(qū)動(dòng)程序負(fù)責(zé)將服務(wù)端硬盤空間映射到客戶端形成虛擬磁盤空間。引入虛擬磁盤技術(shù)，對(duì)于重要電子文檔和普通電子文檔分開(kāi)存儲(chǔ)提供了便利。所有重要電子文檔保存在虛擬磁盤中，普通電子文檔保存在其它磁盤中。這是系統(tǒng)設(shè)計(jì)的主要?jiǎng)?chuàng)新思路。

    當(dāng)客戶端通過(guò)系統(tǒng)認(rèn)證，進(jìn)入安全域(即密態(tài))后，客戶端寫(xiě)人到虛擬磁盤的內(nèi)容實(shí)時(shí)加密。讀取時(shí)實(shí)時(shí)解密。在密態(tài)下，客戶端的所有涉密電子文檔都只能在虛擬磁盤空間中進(jìn)行讀寫(xiě)操作，其安全由系統(tǒng)進(jìn)程監(jiān)控子程序來(lái)保證。

    1.3.2 自主研發(fā)的服務(wù)器端安全內(nèi)核

    網(wǎng)絡(luò)文件保險(xiǎn)柜的服務(wù)端所采用的安全內(nèi)核為國(guó)內(nèi)廠家自主研發(fā)的技術(shù)成果。其特點(diǎn)包括：屏蔽超級(jí)用戶、內(nèi)核級(jí)安全標(biāo)簽檢驗(yàn)、內(nèi)核級(jí)的安全審計(jì)、強(qiáng)制訪問(wèn)控制機(jī)制、文件系統(tǒng)加密等。

    1.3.3 基于文檔生命周期的安全防護(hù)體系

    網(wǎng)絡(luò)文件保險(xiǎn)柜產(chǎn)品采用了文檔透明加解密、安全虛擬磁盤、進(jìn)程監(jiān)控、網(wǎng)絡(luò)通訊監(jiān)控、打印監(jiān)控、剪貼板監(jiān)控、文件操作監(jiān)控等終端安全防護(hù)技術(shù)，有效防止了文檔在客戶端的泄密。結(jié)合硬件加密卡技術(shù)以及服務(wù)端安全內(nèi)核技術(shù)，使得文檔在終端的操作、網(wǎng)絡(luò)的傳輸、服務(wù)端的集中存儲(chǔ)及歸檔等過(guò)程，均在安全可控范圍內(nèi)，從而構(gòu)成了文檔生命周期的安全防護(hù)體系，有效保證文檔的防泄密。

    1.3.4 網(wǎng)絡(luò)文件保險(xiǎn)柜的模塊組成

    網(wǎng)絡(luò)文件保險(xiǎn)柜采用軟硬件結(jié)合，由網(wǎng)絡(luò)文件保險(xiǎn)柜、管理引擎、數(shù)據(jù)庫(kù)和文件備份引擎、文件瀏覽客戶端構(gòu)成，網(wǎng)絡(luò)文件保險(xiǎn)柜直接連接以太網(wǎng)。管理引擎安裝在管理員的微機(jī)上，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)文件保險(xiǎn)柜的管理和信息查看。數(shù)據(jù)庫(kù)和文件備份引擎安裝在PC機(jī)及文件服務(wù)器上，實(shí)現(xiàn)數(shù)據(jù)庫(kù)和文件存儲(chǔ)備份任務(wù)的管理。文件瀏覽客戶方便用戶存取備份和數(shù)據(jù)瀏覽。網(wǎng)絡(luò)文件保險(xiǎn)柜為整個(gè)系統(tǒng)的核心設(shè)備，實(shí)現(xiàn)數(shù)據(jù)的集中存儲(chǔ)備份。

    2.網(wǎng)絡(luò)文件保險(xiǎn)柜的主要功能

    網(wǎng)絡(luò)文件保險(xiǎn)柜將存儲(chǔ)設(shè)備通過(guò)標(biāo)準(zhǔn)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)(如以太網(wǎng))連接到多臺(tái)計(jì)算機(jī)上，為網(wǎng)絡(luò)內(nèi)所有的服務(wù)器、客戶端提供安全存儲(chǔ)服務(wù)，網(wǎng)絡(luò)文件保險(xiǎn)柜產(chǎn)品提供文檔生命周期的安全防護(hù)，實(shí)現(xiàn)集中安全管理、安全存儲(chǔ)與備份、文檔共享與分發(fā)、終端安全防護(hù)等主要功能，具體功能如下：

    2.1 文檔透明加解密。系統(tǒng)根據(jù)文檔的權(quán)限來(lái)控制文檔的加解密方式。使用戶方便地使用有權(quán)限的文檔，對(duì)非授權(quán)文檔，用戶是無(wú)法操作的。整個(gè)加解密操作過(guò)程對(duì)于用戶來(lái)說(shuō)都是透明的。

    2.2 文檔授權(quán)管理。系統(tǒng)為客戶提供了細(xì)粒度的文件控制權(quán)限，包括讀、寫(xiě)、打印、復(fù)制、共享等權(quán)限。

    2.3 文件密級(jí)管理。系統(tǒng)支持多種文件密級(jí)策略，可靈活的針對(duì)部門、針對(duì)操作、針對(duì)密級(jí)進(jìn)行文檔安全設(shè)置。

    2.4 靈活的可控共享。具備可控的群組共享功能，不需要管理員的參與，用戶可以自主把文件共享給確定的共享目標(biāo)(用戶或組)，同時(shí)設(shè)定訪問(wèn)權(quán)根控制以及設(shè)定共享期限，在共享目標(biāo)端可以查看到具有權(quán)限控制的共享文件信息。

    2.5 協(xié)同辦公。具備用戶間消息通信功能，可以進(jìn)行即時(shí)通信和非在線留言，同時(shí)查看留言是否已被閱讀，信息回復(fù)等復(fù)雜的信息管理功能，為企業(yè)內(nèi)部協(xié)同辦公提供靈活便捷的溝通途徑。

    2.6 安全磁盤映射。服務(wù)器上的用戶空間被系統(tǒng)映射成客戶端的加密磁盤，對(duì)加密盤中的任何文檔的操作都在服務(wù)器上記錄并保存，實(shí)現(xiàn)了文檔的集中管控。

    2.7 終端安全防護(hù)�？蛻舳送ㄟ^(guò)驅(qū)動(dòng)級(jí)的透明加解密技術(shù)，結(jié)合進(jìn)程監(jiān)控、文件讀寫(xiě)監(jiān)控、移動(dòng)介質(zhì)監(jiān)控等技術(shù)，有效防止文檔的泄密，實(shí)現(xiàn)了終端文檔的安全防護(hù)。

    2.8 用戶管理�？砂垂�司組織結(jié)構(gòu)建立相應(yīng)的用戶目錄樹(shù)。并支持與企業(yè)AD服務(wù)器、LDAP服務(wù)器的同步管理。

    2.9 內(nèi)網(wǎng)用戶離線策略。根據(jù)特殊客戶的要求，本系統(tǒng)可為離開(kāi)內(nèi)部網(wǎng)絡(luò)環(huán)境的計(jì)算機(jī)提供繼續(xù)使用加密文檔的授權(quán)功能，使特殊客戶的的計(jì)算機(jī)在脫網(wǎng)的情況下可以授權(quán)繼續(xù)使用加密文檔。

    2.10 外網(wǎng)用戶離線策略。根據(jù)特殊客戶的要求，本系統(tǒng)可將加密文檔綁定在特定的載體上，如：u盤、光盤、筆記本(不需安裝文檔安全系統(tǒng)客戶端)，同時(shí)設(shè)定文檔的允許訪問(wèn)時(shí)間。文檔在指定時(shí)間內(nèi)，可以在指定的載體上使用。超過(guò)時(shí)間或者將文檔拷貝離載體將不能使用。

    2.11 防止屏幕拷貝。有效防范通過(guò)截屏鍵(Print screen鍵)、截屏軟件與錄像軟件進(jìn)行文檔內(nèi)容截取。

    2.12 移動(dòng)介質(zhì)安全管理�？梢詫�(shí)現(xiàn)移動(dòng)存儲(chǔ)介質(zhì)的注冊(cè)、指定使用范圍、使用權(quán)限、是否加密等功能。支持文件級(jí)、分區(qū)級(jí)、全盤級(jí)的加密，可以實(shí)現(xiàn)在指定區(qū)域內(nèi)透明操作。

    2.13 日志記錄及審計(jì)功能。系統(tǒng)提供日志強(qiáng)審計(jì)功能，日志管理員可以查看用戶的操作信息，包括客戶端登錄IP、用戶名、登錄時(shí)問(wèn)及用戶登錄成功與失敗信息；可以查看管理員的操作日志，如：修改用戶密碼、網(wǎng)絡(luò)配置、用戶的添加與刪除等；可以查看所有用戶的文件操作日志，如：上傳、下載、刪除等。

    2.14 雙機(jī)備份。針對(duì)服務(wù)端存儲(chǔ)，可以采用兩臺(tái)以上的存儲(chǔ)服務(wù)器實(shí)現(xiàn)數(shù)據(jù)的備份，該備份可以通過(guò)配置同步的時(shí)間，采用系統(tǒng)差量和壓縮方式進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)同步，大大提高了整體系統(tǒng)數(shù)據(jù)的安全性。

    3.結(jié)語(yǔ)

    網(wǎng)絡(luò)文件保險(xiǎn)柜產(chǎn)品作為終端數(shù)據(jù)安全保護(hù)的首選解決方案，目前已經(jīng)在國(guó)內(nèi)多個(gè)單位部署實(shí)施，效果顯著，有效實(shí)現(xiàn)了對(duì)個(gè)人工作文檔、重要文件的安全防護(hù)，同時(shí)也大幅度減少了普通文件服務(wù)器的維護(hù)成本，同時(shí)采用軟件硬件技術(shù)，保障了集中存儲(chǔ)設(shè)備的穩(wěn)定可靠，不失為一種經(jīng)濟(jì)、便捷、高效的數(shù)據(jù)安全解決方案。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：基于網(wǎng)絡(luò)文件保險(xiǎn)柜的終端數(shù)據(jù)安全保護(hù)解決方案

本文網(wǎng)址：http://www.oesoe.com/html/support/11121512379.html