一、背景
近年来随着电子政务的发展,国家各级政府部门对信息化的重视程度不断加强,投入的资金和人员不断增加,软硬件环境大大改善。但是,由于建设初期缺乏经验,一些问题也逐渐显现,信息系统安全就是其中的重要问题之一。
信息系统方便性和安全性的矛盾历来作为对立的两面困扰着系统建设者。安全性的获得是建立在从用户PC终端到服务器端所有软件、硬件安全可靠,否则就只能层层设卡,以牺牲方便性换取安全性。双洲公司uniLink安全架构的出现就是希望能够解决这个问题,在重点解决安全性问题的基础上充分照顾到用户使用的方便性,使用户真正做到“敢用”、“想用”信息系统,使信息系统变得更为“好用”。
双洲uniLink安全架构的核心思想:将资源集中在服务器端,通过强制性的控制手段实现信息流向和用户操作行为的可控,从而保证了信息的安全。这种全新的架构不但可以帮助用户解决设备管理、信息管理、用户行为管理等问题,而且通过CA证书漫游可以实现多级、跨地域资源的访问控制,为用户提供一个便利的工作环境。
下面以某部委电子文档防泄露为例,看看uniLink是如何解决问题的。
二、某政府机关电子文档的安全需求
某政府机关处于信息建设初期,尚未建成包括身份认证、授权管理和责任认定等内容的安全保护体系,用户在系统使用中存在一定的问题:
“不敢用”是因为原来用纸质文档看得见、摸得找,只要自己看好、锁好,文件一般不会丢。电子文档只是一种信息标记,信息的复制、散发方便,信息痕迹需要通过特殊手段才能看见,保护困难。即使你锁上电脑,也可能被木马、黑客盗走。虽然很多安全企业宣传自己的加密水平很高,密码无法破解,但不等于在信息使用中(解密为明文状态)不会被窃取。
“不想用”则是因为电子系统有硬件、软件,软件的种类也很多,学习麻烦不容易会用。写的文件要想让部门同事、领导看看,你需要过“五关斩六将”,学习一堆流程、方法。软件安装时间长、经常需要升级,这些不容易最终导致大家“不想用”。
最后也是最严重的“不好用”。对于很多有一定电脑知识的人来说,他们本身是推动信息化的骨干,但现有的安全方式“四处设卡”,使用变的很不方便。如,加密信息无法检索,只能逐个文件夹去查找;口令到处要设,多到自己都记不住,还要定期更换;文件共享设置复杂,经常是该看的看不见,不该看的你又没法管。
通过对自身实际情况的分析,某政府机关将安全需求总结为5点:
1、文档必须在整个生命周期里都受到保护。即,文档生成、使用、存储、传递、销毁的整个过程都能控制。禁止越权使用、保存、传递、销毁文件。
2、未经授权,用户无法私自下载、打印、复制、发送工作中涉及的文件,下载、打印必须在指定机器上授权完成,避免政府重要信息被泄露。
3、文档的安全保护要具有强制性,用户不能自行卸载,或卸载后终端上不能留有任何工作信息,以免信息外泄。
4、细粒度授权控制,要能对文件权限进行人员授权和组授权。
5、文档的操作有记录,记录不能被篡改,以便日后审计检查。
三、建设要求
除了要解决以上安全问题外,该机关还对电子安全文档提出了以下要求:
1、文件保管要实现集中存放,可以统一管理、统一使用、统一备份,便于协同办公;
2、为了解决方便使用问题,文件信息要能根据权限进行检索、排序;
3、电子安全文档管理系统要能支持该部门目前在用的windows和Linux操作系统,减少建设成本。
四、解决方案
经过多方调研和实际测试,最终该机关采用了双洲公司基于uniLink安全架构的解决方案。该方案实现了文档集中安全的网络化管理。它为每一位用户在文档服务器上构建了一个安全的私人空间,对存放其中的文件采用加密保护,即使系统管理员未经授权也不能看见里面的内容;采用网络存储方式对文件实现集中备份管理;通过授权体系实现文档对不同部门、不同级别用户的开放。在安全方面,利用uniLink安全架构的终端无痕、强制授权、与操作系统无关等特点,将文件的编辑、打印、下载等集中管理,从而确保了政府工作信息不被泄露。(如图)
图一、某政府机关安全电子文档系统
首先,uniLink生成一个安全环境。它将机关目前分散在个人终端上的工作文件统一集中到服务器端保存,并在服务器端与用户端之间部署双洲应用接入服务器Z2-AAS。该产品具有“IP阻断,应用相通”的功能,可以有效阻断未经身份认证的用户访问应用服务器。同时,Z2-AAS也可以起到应用分割的作用,将不同的业务功能隔离,用户只能根据授权访问相关功能。如,文件的打印、下载需要通过指定的数据中间机进行,操作过程有记录可查。
其次,uniLink提供了对安全环境的访问控制。它在服务器端部署有中心管理服务器,中心管理服务器与用户终端上使用的客户端软件和身份认证USB Key共同使用 ,提供对安全文档系统的权限管理,以及访问控制。同时,采用计算代理方式将数据保护在安全环境里,任何用户与安全环境交换的信息只是鼠标、键盘操作和屏幕显示图片,无法将数据信息下载到本地。从而彻底解决了终端泄密的问题。
再次,安全文档系统将文档操作权限细分为浏览、操作和管理三类权限,可以对文件、以及文件夹进行个人和组授权。能够有效避免多人协同工作时,文件分享的不便,避免文件使用失控的局面。
为了便于用户的使用,安全文档系统还提供了索引目录和最新更新等功能。用户可以通过新建索引目录将权限范围内的文件检索出来,并映射到索引目录里供自己使用。索引目录的使用大大减少了用户查找文件时间,提高了办公效率。
最后,安全文档系统在管理上采用“三权分立”方式避免“超级管理员”的出现,提供文件操作日志以便日后审计。
五、方案效果
通过上述方案的实施,不但降低了该机关的文件泄密风险,而且大大提高了工作效率,解决了用户“不敢用”、“不想用”、“不好用”的问题。
方案的实施带来以下的变化:
1、实现文件全生命周期保护 uniLink系统通过在服务器端建立一个安全空间,使得文档生成、使用、存储、传递、销毁的整个过程都在此空间内进行,可以有效的保护文件,避免受到病毒的干扰,以及由于终端管理疏漏导致的泄密。
2、终端无痕 在文件的使用过程中,由于采用uniLink安全架构,数据信息在服务器端被阻截,用户在自己机器上看到的只是服务器端传来的图像,本地没有临时文件。可以有效防止内存Dump等形式的攻击。用户、管理员可以不再担心终端的泄密问题。
3、绕不过摘不掉的强制性保护 由于用户的工作权利是由服务器端给定,本地没有工作信息,使用软件、操作习惯没有变化,因此对文件的保护具有强制性,即使用户卸载系统,也无法在终端上留下任何文件信息。可以减少传统密码保护方式带来的风险。
4、与操作系统无关的安全性 uniLink安全架构的设计与操作系统无关,可以有效利用该机关现有Linux、Windows操作系统,并减少由于操作系统升级带来的软硬件升级问题。目前由于微软的Windows操作系统在市场上占据垄断地位,从产品设计到推广完全以自我为中心。诸如Vista系统尚不成熟,就强行推广,以及08年沸沸扬扬的黑屏事件,这些都说明目前国家推广具有自主知识产权Linux操作系统的重要性,电子政务逐步使用Linux已成为大家的共识。uniLink与操作系统无关的特性,不但可以提高政府电子文档的安全性,也可以避免由此带来软件升级的问题。
5、建成了具有“统一身份认证、授权管理、责任认定、统一备份”功能的安全平台,符合政府主管部门的电子政务建设相关要求,为该机关后续的电子政务发展打下了良好的基础。
六、 系统后期建设
在完成以上的建设之后,某机关成功解决了文档的防泄露问题,并在此基础之上拥有了一个完整的安全平台,在此平台之上,不仅完成了对使用者的“身份认证、授权管理、责任认定”等安全功能,还提供了“终端操作无痕迹(防止信息泄露)、安全访问控制与操作系统无关、应用系统整合零改动”等独一无二的功能及特点。
根据某政府机关的建设经验,可以在此机关下属的地方单位各建立自己的安全平台,结合PKI/CA数字证书系统,可以将所有的中央和地方的分散部署的unilink系统构筑成整体的网络系统。(如图)
在这样一个网络资源安全管理支撑平台中,我们解决了主体和客体的整体安全,网络资源安全管理支撑平台具有以下特点:
1)全网多点、多级认证,并且各个管理域实现本地用户信息和证书管理;
2)资源分布加集中管理,各个域之间资源相对独立,但又可在各个域之间实现漫游访问;
3)基于PKI/CA的体系,实现了全网用户的统一身份发布;
4)基于PKI/CA的体系,各个管理域实现全网用户的统一身份认证;
5)“谁的资源谁管理,让谁访问的资源谁才能跨域访问”;
通过这样一个跨地域,由多个unilink系统结合PKI/CA系统形成的,大的(广域的)安全体系架构,在整个体系内完成了一致性的身份认证、授权管理和审计功能,并能实现所有用户的访问全网资源的强制性细粒度访问控制和授权,实现信息使用的全程防护和终端无痕迹,满足某政府机关电子政务全程全网的业务需求。