隨著國家信創產業的蓬勃發展,越來越多的信創終端已經應用在政府、軍隊、金融、電力等各行各業中。主流的信創操作系統類型包括:銀河麒麟、統信UOS、普華、中科方德等。隨著信創終端的廣泛使用,信創終端在用戶正常生產辦公過程中產生的數據安全風險也逐漸成為各單位企業CTO/信息系統管理人員重點關注的問題。
與傳統的Windows+Intel平臺終端相比,信創終端在使用過程中面臨的數據安全風險更加嚴重。一方面硬件平臺和操作系統的自主可控并不等于安全,同樣面臨系統漏洞和缺陷等安全威脅;另一方面信創終端的廣泛使用必然帶來短時間內有一大批的業務辦公軟件需要適配,適配過程中必然帶來一定的軟件工程安全漏洞風險,需要時間去發現并修復。
鑒于上述安全風險現狀,明朝萬達提出了一套安全可靠的管控方案來保障當前信創終端平臺的數據安全。
明朝萬達信創終端數據安全管控基本方案
明朝萬達信創終端數據安全管控基本方案的整體框架是基于內核驅動層、基礎支撐層、業務應用層的三層架構,如下圖所示:
方案功能
驅動技術向來以穩定高效的特性被廣泛應用在操作系統和硬件交互的場景,方案最底層采用文件過濾驅動組件和網絡過濾驅動組件,實現核心文件數據的透明加解密與網絡協議傳輸數據過濾識別功能;
信創操作系統與Windows系統相比,在用戶權限管理方面區別較大,客戶端軟件設計中考慮最小權限原則,將軟件的基礎支撐功能,如安裝、卸載、升級、進程通信、進程與安裝文件守護等放在基礎支撐層實現;
方案在業務層主要實現的功能分為兩部分:
1、實現了一套高效的文件數據內容識別與分類分級引擎,用來為后續的動態管控提供決策依據;
2、利用信創系統內置的技術組件等實現了對進程、外設以及網絡訪問連接的管控:
◇ 進程管控,主要是利用信創系統進程事件鏈接器技術組件監控進程的啟動與信息,根據管控策略實現對應進程的啟停和權限控制;
◇ 外設管控,主要是利用信創系統設備管理器技術組件來監控識別當前系統連接的外設,根據策略實現對應類型外設的啟停和權限控制;
◇ 網絡管控,主要是利用網絡重定向驅動技術組件來實現對通過標準協議如HTTP/S、FTP、SMB、SMTP/POP3/IMAP收發的數據進行監測與動態管控。
實現效果
通過以上終端數據安全管控技術與業務框架搭建起一套完整的適用于信創終端的數據安全管控方案。在其部署后,可實現以下管控效果。
◆ 以終端數據內容的識別與分類分級為前提,實現了對終端存儲的非結構化數據文件的內容識別,并根據預先設置或者動態學習的分類分級元數據標準對終端存量/增量的數據文件進行分類分級預處理。
◆ 以終端全方位的數據外發通道管控為基礎,實現針對終端各種類型外設如移動存儲設備、打印機、刻錄機、藍牙等設備外發數據的管控;同時還支持針對終端網絡通道各種標準協議如HTTP/S、FTP、SMB、SMTP、SSL加密等外發數據的管控。針對第三方私有協議的即時通訊軟件外發途徑支持采用進程禁止啟動的方式進行管控。支持添加屏幕水印等輔助措施實現對數據通過屏幕泄漏的途徑管控。
◆ 以動態的審計、加密、審批放行甚至阻斷控制管理手段為核心,支持根據文件數據內容的分類分級結果進行區分動態管控;
◆ 配合單獨明文外發業務設計提升用戶操作使用的便利性,做到安全與使用便捷的統一,實現一次明文外發登記,全通道明文外發的管控效果。
◆ 結合服務器系統、管理控制臺系統實現了基于C/S架構的部署、基于B/S運維統一管理的系統,為信創終端系統的數據安全管控提供一套完整的數據安全審計管控解決方案。
