产品介绍
随着部队机关对于信息安全建设的不断深入,日常办公电子文档的安全管控也逐渐成为部队安全办公建设的重点。2013年,我公司参与部队机要部门组织的“涉密电子信息集中管控系统”的集成开发项目,研发完成《网云天机文档集中管控安全办公系统V3.1》,并最终通过测试验收。《网云天机文档集中管控安全办公系统V3.1》是一款针对用户电子文档进行安全管控的软件产品,采用数据集中存储和终端安全管控的方式管理用户数据。
数据集中存储通过网盘映射的方式为用户提供集中存储空间,通过终端管控措施强制用户将涉密电子文档保存至网络硬盘中。
终端安全管控采用终端管控技术来确保“终端不存密、个人不留密”,且用户办公文档无法通过网络、移动存储设备、光盘等手段外泄。
产品架构
设计目标
集中管控系统基于密码认证设备实现用户身份认证,为防止用户将涉密电子信息留存到本地,同时保留用户原有使用习惯,客户端以网盘的方式作为个人数据的网络存储空间,提供数据集中存储功能,并辅助磁盘保护、文件操作管控和进程保护等手段,从而实现对涉密电子信息的集中管控。技术架构
集中管控系统采用C/S架构,用户、管理员通过客户端软件访问和管理系统。管控服务运行在集中管控服务器中,提供用户管理、权限管理、文档集中存储、管控策略分发以及文件流转等服务;普通用户客户端软件运行在计算机终端中,支持用户名+口令及身份认证设备+PIN码两种认证方式,提供强制身份认证、文档集中存储、文件加密存储、本地硬盘管控、移动存储介接入管控、网络管控、文档输出审批等功能。管控服务端和用户客户端通过安全通道进行信息交换。系统管理服务为管理员提供易用、可靠的系统管理和维护功能。部署模式
系统服务端支持双机热备以及HA高可用集群两种部署模式,支持服务器本地硬盘以及外接存储两种存储介质。客户端支持本地PC终端部署以及云桌面部署模式,云桌面部署模式下可支持与云桌面系统进行单点登录。客户端支持Windows终端和自主可控终端混合安装部署,服务端支持x86服务器或自主可控服务器部署。功能概述
身份认证
系统采用强制登录认证机制,用户登录系统获取个人数据需要通过客户端进行身份认证,支持用户名口和USBKEY两种认证方式。集中存储
以网盘的形式为用户提供集中存储空间,即“个人保险箱”用于存储个人文件,用户可以直接在保险箱中使用和操作文件,操作方式与在本地硬盘操作方式保持一致。加密保护
系统对集中存储在服务器上的文件自动进行加密保护,用户访问数据时自动进行解密,加解密过程对用户透明。安全管控
系统客户端具备网络管控、本地硬盘管控、移动存储介质接入管控以及文档输出管控等安全管控手段,确保用户文档的使用安全,降低失泄密风险。文件流转
系统客户端提供文件流转功能,可无需借助移动存储介质实现用户之间的文件交互和流转。三员分立
系统管理员按照保密原则进行权限划分,管理员角色分为系统管理员、安全管理员、审计员以及恢复管理员,分别负责系统配置管理、安全策略管理、审计管理以及账号恢复管理。
用户管理
系统管理端提供用户管理功能,具备组织架构管理、用户创建/删除、磁盘配额管理、用户禁用/启用、账号与终端绑定等功能。
策略管理
系统管理端提供策略管理功能,支持策略模板创建/删除、安全策略设置以及策略模板分发,策略分配方式灵活。审计管理
系统具备审计功能,可查询追溯用户和管理员的操作行为,支持审计日志导出和归档。
可靠性
系统可靠性
系统服务端支持双机热备部署和HA高可用集群部署模式,任意一台服务器故障时,其他服务器可持续为用户提供服务。数据可靠性
数据存储方式支持分布式存储和外接磁盘阵列两种方式,通过数据副本策略、磁盘阵列数据同步以及RAID机制等多种手段确保用户数据的可靠性。系统支持异地增量备份功能,可定时想远程备份服务器备份数据。
运行环境
| 集中管控系统 | 软件环境 | 硬件环境 |
| 客户端 | 操作系统:Windows 7/Windows 10/银河麒麟V10 依赖框架:.Net 3.5/.Net 4.0 |
CPU:≥Intel/AMD/飞腾 4核;
内存:不低于4GB; 硬盘:不低于100G;
网口:100/1000M自适应网口
|
| 服务端 | 操作系统:ubuntu 16.04.7/银河麒麟V4 SP3 | CPU:≥10核20线程/飞腾 64核; 内存:不低于128GB; 硬盘:不低于5TB; RAID:RAID5/6 网口:双千兆口 |