保密知识
  news

  • 智能手机安全保密隐患及防范对策
  • 优盘使用不当,悔恨终生
  • 一把手家中办公险泄密
  • 为什么涉密计算机不得使用无线键盘和无线网卡
  • 保密事项范围制定、修订工作中的几个问题
云/虚拟化的文档安全管理解决方案
来源: | 作者:newymade | 发布时间: 2015-08-18 | 1187 次浏览 | 分享到:



一、云/虚拟化产品的应用需求

    云/虚拟化产品形态包括服务器虚拟化、桌面虚拟化、应用虚拟化和存储虚拟化。国外虚拟化市场这两年的巨大发展,是基于一个需求点:集中化管理,节省IT维护成本。国外的IT人员成本仍然是很高的,节省起来意义重大。国内用户开始大量采用桌面虚拟化,更大的理由却是: 信息安全,数据防泄漏。而节省IT维护成本倒成了其次,其实中国IT的维护成本本身也就不高。

国外和国内对虚拟化产品基本需求点的不同,就导致了用户对产品期望的不同。研究国外的产品会发现国外的桌面虚拟化厂商并没有一体化的实现信息安全的需求,如上网行为管理和文件传输控制等。实际上,虚拟化技术架构本身并不具备先天的防止终端数据外泄的特性,它不是专门针对信息安全而设计的产品,仍然需要第三方的数据防泄漏产品以加强安全防护。

二、云/虚拟化环境的安全隐患

随着云/虚拟化技术(VDI)兴起,不少人会认为通过桌面虚拟化将终端用户的信息整合在后端进行统一管理,就可以达到数据防泄密的效果。殊不知在虚拟桌面的整体系统角度来看,客户端、传输网络、服务器端、存储端等各个方面,都会产生安全风险。忽略任何一个细节都会导致整个系统的信息漏洞。因此,云/虚拟化的技术架构不是针对信息安全而专门设计的产品,信息安全防护仍然需要第三方信息安全产品来解决,主要包括以下方面:
    由此可见,云/虚拟化技术架构本身并不具备先天的安全特性,有中国特色的数据防泄漏市场已经从单纯的文件透明加密时代迈向了桌面虚拟化时代,急需一种虚拟化环境的安全解决方案解决以下安全问题:

1、虚拟化终端设备,实际上本地还是有磁盘的,用来安装嵌入式系统,尽管很小的只有若干G,但也足以存储不少文件到本地了。

2、虚拟化系统里,像传统PC机系统一样,可以在本机设置文件夹共享,也可以打开其它PC机的共享文件夹,可以通过网络共享随意拷进拷出。

3、可以通过PC的远程桌面连接到服务器上桌面虚拟化系统里,可以将桌面虚拟化系统里的文件复制粘贴到本地来。

4、虚拟化系统对终端的端口设备如U盘,采用开关式控制策略,要么全禁止要么全允许,无法实现授权拷贝的功能,造成工作上的一些不方便。

5、虚拟化系统里,像传统PC机一样,可以自由上网和QQ,可以随意外发文件 。。

 

序号

项目

评估

备注

1

U盘等移动存储设备拷贝活动进行授权控制

开关式控制

需要精细化控制如U盘单向只读

2

对文件打印进行授权控制

不能控制

需要实现对打印的控制

3

USB光驱进行只读使用不可刻录的控制

不能控制

需要控制光驱的使用

4

对互联网控制

开关式控制

需要能上网又不能随意外发文件

5

OAERPCRMHR等系统的访问控制

不能控制

仅靠账户密码来控制

6

外发、外拷文件的加密控制(防二次扩散)

不能控制

需要防二次扩散的控制

7

通过Internet网络存储进行保存(如网盘)

不能控制

需要禁止网盘存储

8

网络黑客和计算机病毒通过互联网窃取单位内部资料

不能控制

需要控制,杜绝此类问题

9

员工离职前恶意删除磁盘文件

不能控制

需要控制,杜绝此类问题

10

对笔记本电脑、智能设备登录虚拟桌面后的存储控制

不能控制

需要控制,禁止存储到本地

11

云端数据的自动备份

不具备

需要此功能

12

虚拟桌面里的数据自动备份

不具备

需要此功能

13

网络共享资源按权限的精细化访问控制

不具备

既要共享文件又不能随意拷出去

14

上网行为日志审计

不具备

需要此日志

15

文件操作日志审计

不具备

需要此日志

16

服务器操作日志审计

不具备

需要此日志

17

3G上网卡、USB网卡和智能手机共享上网的控制

不能控制

需要控制,禁止违规外联


三、云/虚拟化环境的安全解决方案

服务器虚拟化采用Linux主系统,桌面虚拟化采用Windows系统;终端采用嵌入式系统的瘦终端机;对于设计研发部门,可采用独享虚拟机系统,对于普通办公,可以采用共享虚拟机系统;内外网隔离,涉密工作时登录内网虚拟桌面,上网时登录上网专用虚拟桌面。上网时禁止访问本地磁盘文件;若未经授权,本地磁盘文件无法被拷贝和外发;可以控制USB端口设备,禁止移动存储设备的非法拷贝活动,而使USB鼠标键盘和打印机的使用不受影响;桌面虚拟化服务器采取分级授权访问和文件反拷贝保护。

四、安全解决方案的技术实现

采用白盒技术,将白盒技术与虚拟化技术相结合,创建安全的白盒虚拟桌面,输入正确密码登录白盒虚拟桌面。进入白盒虚拟桌面后,只能编辑白盒虚拟桌面里的文件,可以将外部文件拷贝到白盒虚拟桌面里,可以在白盒虚拟桌面里进行任意文件操作,如创建、拷贝、删除、改名,编辑、修改、保存,而白盒虚拟桌面里的文件不能以各种方式拷贝或转移到其它地方去,即对文件访问、文件拷贝、U盘拷贝、共享拷贝、文件另存、上网外发、文件打印、复制粘帖、鼠标拖放、屏幕拷贝、窗口截图、双机对联等行为进行控制,禁止未经授权的操作活动;只允许可信程序访问白盒虚拟桌面,自动拦截禁止黑客木马对白盒虚拟桌面的任何活动,自动拒绝可疑程序对白盒虚拟桌面的任何访问,保护白盒数据不被病毒破坏。

五、安全解决方案的技术特点

    本系统不同于传统的封堵型的防泄密技术思路,而是采用全新的疏导型的防泄密设计理念,其优点是:

1、内网模式和上网模式相互隔离,可以自由切换模式,实现了安全性与方便性的完美结合。

2、克服了透明加密类安全产品存在的加密文件技术性损坏、系统性能降低和应用环境兼容性差的问题。

3、克服了防水墙类安全产品存在的容易被杀毒软件拦截、强力卸载、杀进程删文件、格式化系统、安装双系统、PE启动系统、光盘启动系统或Ghost还原系统等反安装活动而导致防护失控的问题。

4、能够实现对现有信息化应用系统的安全集成,使得现有信息化应用系统只能由合法用户登录,合法用户登录后不能将文件保存到本地或外发。