会员登录
会员注册
首先,uniLink生成一个安全环境。它将机关目前分散在个人终端上的工作文件统一集中到服务器端保存,并在服务器端与用户端之间部署双洲应用接入服务器Z2-AAS。该产品具有“IP阻断,应用相通”的功能,可以有效阻断未经身份认证的用户访问应用服务器。同时,Z2-AAS也可以起到应用分割的作用,将不同的业务功能隔离,用户只能根据授权访问相关功能。如,文件的打印、下载需要通过指定的数据中间机进行,操作过程有记录可查。
其次,uniLink提供了对安全环境的访问控制。它在服务器端部署有中心管理服务器,中心管理服务器与用户终端上使用的客户端软件和身份认证USB Key共同使用 ,提供对安全文档系统的权限管理,以及访问控制。同时,采用计算代理方式将数据保护在安全环境里,任何用户与安全环境交换的信息只是鼠标、键盘操作和屏幕显示图片,无法将数据信息下载到本地。从而彻底解决了终端泄密的问题。
再次,安全文档系统将文档操作权限细分为浏览、操作和管理三类权限,可以对文件、以及文件夹进行个人和组授权。能够有效避免多人协同工作时,文件分享的不便,避免文件使用失控的局面。
为了便于用户的使用,安全文档系统还提供了索引目录和最新更新等功能。用户可以通过新建索引目录将权限范围内的文件检索出来,并映射到索引目录里供自己使用。索引目录的使用大大减少了用户查找文件时间,提高了办公效率。
最后,安全文档系统在管理上采用“三权分立”方式避免“超级管理员”的出现,提供文件操作日志以便日后审计。
五、方案效果
通过上述方案的实施,不但降低了该机关的文件泄密风险,而且大大提高了工作效率,解决了用户“不敢用”、“不想用”、“不好用”的问题。
方案的实施带来以下的变化:
1、实现文件全生命周期保护 uniLink系统通过在服务器端建立一个安全空间,使得文档生成、使用、存储、传递、销毁的整个过程都在此空间内进行,可以有效的保护文件,避免受到病毒的干扰,以及由于终端管理疏漏导致的泄密。
2、终端无痕 在文件的使用过程中,由于采用uniLink安全架构,数据信息在服务器端被阻截,用户在自己机器上看到的只是服务器端传来的图像,本地没有临时文件。可以有效防止内存Dump等形式的攻击。用户、管理员可以不再担心终端的泄密问题。
3、绕不过摘不掉的强制性保护 由于用户的工作权利是由服务器端给定,本地没有工作信息,使用软件、操作习惯没有变化,因此对文件的保护具有强制性,即使用户卸载系统,也无法在终端上留下任何文件信息。可以减少传统密码保护方式带来的风险。
4、与操作系统无关的安全性 uniLink安全架构的设计与操作系统无关,可以有效利用该机关现有Linux、Windows操作系统,并减少由于操作系统升级带来的软硬件升级问题。目前由于微软的Windows操作系统在市场上占据垄断地位,从产品设计到推广完全以自我为中心。诸如Vista系统尚不成熟,就强行推广,以及08年沸沸扬扬的黑屏事件,这些都说明目前国家推广具有自主知识产权Linux操作系统的重要性,电子政务逐步使用Linux已成为大家的共识。uniLink与操作系统无关的特性,不但可以提高政府电子文档的安全性,也可以避免由此带来软件升级的问题。
5、建成了具有“统一身份认证、授权管理、责任认定、统一备份”功能的安全平台,符合政府主管部门的电子政务建设相关要求,为该机关后续的电子政务发展打下了良好的基础。
六、 系统后期建设
在完成以上的建设之后,某机关成功解决了文档的防泄露问题,并在此基础之上拥有了一个完整的安全平台,在此平台之上,不仅完成了对使用者的“身份认证、授权管理、责任认定”等安全功能,还提供了“终端操作无痕迹、安全访问控制与操作系统无关、应用系统整合零改动”等独一无二的功能及特点。
根据某政府机关的建设经验,可以在此机关下属的地方单位各建立自己的安全平台,结合PKI/CA数字证书系统,可以将所有的中央和地方的分散部署的unilink系统构筑成整体的网络系统。
在这样一个网络资源安全管理支撑平台中,我们解决了主体和客体的整体安全,网络资源安全管理支撑平台具有以下特点:
1)全网多点、多级认证,并且各个管理域实现本地用户信息和证书管理;
2)资源分布加集中管理,各个域之间资源相对独立,但又可在各个域之间实现漫游访问;
3)基于PKI/CA的体系,实现了全网用户的统一身份发布;
4)基于PKI/CA的体系,各个管理域实现全网用户的统一身份认证;
5)“谁的资源谁管理,让谁访问的资源谁才能跨域访问”;
通过这样一个跨地域,由多个unilink系统结合PKI/CA系统形成的,大的安全体系架构,在整个体系内完成了一致性的身份认证、授权管理和审计功能,并能实现所有用户的访问全网资源的强制性细粒度访问控制和授权,实现信息使用的全程防护和终端无痕迹,满足某政府机关电子政务全程全网的业务需求。