一．引言

強制性的信息安全架構（uniLink）：將網絡劃分為資源網與用戶網，通過資源網來定義用戶終端的功能，使得用戶終端變瘦，把認證過程變簡單和嚴格，即可實現一種強制性的信息安全架構。再結合其它安全技術，實現了適用于特定場合的信息安全系統。uniLink具有與操作系統無關、與應用無關、終端無痕跡、全生命周期安全防護、摘不掉繞不過的強制性五大特點。

那么，基于這樣的網絡架構如何在政府企業現有網絡中體現它的好處呢？結合政府部門和大多數企業在使用過程中存在的問題共性，在uniLink上生成了一系列的防泄露應用系統，其中“雙洲防泄露文檔管理系統（Z2-FMS）”尤為突出。下文將詳細介紹雙洲防泄露文檔管理系統。

二．Z2-FMS與傳統文檔管理產品的區別

雙洲防泄露文檔管理系統在實際應用中，該防泄露文檔管理系統與傳統的文檔管理系統最大的區別在于：

1.采用資源集中方式將應用和內容集中保護，做到用戶終端使用無痕跡；

2.采用安全方式防泄露，而不是基于存儲加密；

3.身份驗證后的全過程身份跟蹤；

4.細顆粒度的權限控制、行為審計；

5.“動態目錄”技術可實現對文檔更為靈活的組織和管理，方便交流共享；

6.繼承了uniLink架構的多種強制安全機制；

7.使用用戶原有的文檔處理軟件，不限定格式。保留用戶操作習慣

三．現狀分析：

實踐證明，長期形成的保密制度對于紙制文檔保護是非常成功的，在電子文檔出現之前，泄密事件是很少的。經過分析，發現紙質文檔的防護策略有以下四個特點：

第一，   文檔屬性約束操作人員的行為：如絕密文件不能復印。

第二，   文檔有確切的存儲地點或容器：例如保密室。

第三，相同文檔有確切的印刷或打印數量：例如印數控制。

第四、嚴格的文檔發文和收文手續：例如簽收，每個文件出處去處都非常明確。

這個制度在紙質文檔時代非常有效，但延續到電子時代就失效了。我們是否可以借鑒紙質文檔保護的思路來保護電子文檔呢？

四．設計思路：

按照這樣的思路，我們的系統設計思路如下：

1、根據文檔屬性和授權限定操作人員的行為；

2、將文檔集中管理，用戶終端與文檔本身隔離，不能接觸電子文檔的原件；

3、策略不受限于具體的網絡環境、操作系統，無論是在政府，還是在黨務系統，都應是一樣的；

4、對文檔從生成，到存儲、編輯直至銷毀的整個過程進行防護。這一點尤為重要，因為經復制的電子文檔，與原始文檔并無差異。

如果上述設想能夠實現，將原來用于紙質文檔保護的有效策略用于對電子文檔的防護也應將同樣有效。那么，對電子文檔的保護基本可以達到與紙質文檔保護一樣的效果。

五．解決方案

按照這個思路，我們設計了一個結構，如下圖所示。

這個結構由六個環節構成，就是為了模仿紙質文檔防護策略中的環境。文檔保存在最里面的一層，存儲和操作系統及形式無關，可以放在數據庫里面，也可以放在一個文件里面，經過專門的一致性的內容接口（Z2-CIFS）來處理，實現密態存儲或擾碼處理。對整個的系統做獨立權限的管理，提供虛擬目錄映射，為標準軟件提供幫助。因為軟件多種多樣，并且不斷發展的，我們不應該限制軟件工具的使用。通過Z2-FMS這一層，實現了系統的普適性，適應電子文檔的發展。

為了不讓用戶接觸到文件，結構中有一個隔離裝置，這個隔離裝置是獨立存在的，把標準的操作隔離掉，只是傳輸允許通行的信息。在終端只是顯示信息的影像，終端發出的指令，也就是鼠標和鍵盤控制信息，經過這個特殊制定的通道，一層層到達文檔區，進行具體處理。

這樣一種策略，雙洲是在一個網絡架構上實現的，如下圖所示：

架構特點：

整體性：物理安全與邏輯安全相結合，面向所保護的對象進行了整體性保護，盡量減少了與其它網絡、計算要素的依賴；

獨立性：與操作系統無關,與第三方應用無關,與其它網絡、計算要素無關。可移植,為安全管理增添了新的手段；

可用性：應用可無縫接入,應用可集中發布,安全是強制的,盡量保護用戶的操作習慣；

全生命周期：能對所保護的對象,操作以及結果等進行全生命周期管理；

頑健性：系統具有良好的風險檢測、恢復功能；

自有知識產權；

系統的安全措施融入在每個部分，每個功能，用戶無法繞過和摘除，離開這個環境就無法工作。

圍繞這個架構思路，我們研制了雙洲防泄露文檔管理系統，如下圖所示。

這個系統是在前邊的強制性安全架構的安全策略基礎上實現。基于這種結構，用戶端拿不走文檔，用戶看到的只是文檔的一個影像，而且不影響對文檔的正常操作；可以保留原來的操作習慣，不限定文件格式，不限定編輯軟件類型；用戶終端沒有文檔的任何痕跡。

六．防護效果

雙洲放泄露文檔管理系統的防護效果有以下四個特點：

終端無痕跡

編輯軟件和文檔存儲都在服務器上，編輯過程也在服務器上進行，用戶可以看，可以正常操作，但終端無痕跡，無泄露。用戶在其業務網絡內漫游移動辦公，都不必攜帶實際的文檔、數據及相應處理軟件，只需連接到系統，在線處理文檔。避免了因為攜帶移動存儲介質丟失、被竊等造成的數據泄露，也不擔心這個文件會遺留在終端上。

摘不掉的強制性

系統的安全機制嵌入到每個功能，在不影響系統好用性基礎上實現功能的強制性，用戶并不會特別感覺到控制措施的存在；用戶所用到的功能由資源網定義和生成，系統安全機制與系統功能融為一體，用戶無法改變，更無法繞過；每個用戶只能使用那些用于完成必須的任務所需的功能；完成系統功能所用的應用工具，也統一部署在服務器，可以有效保障其來源的可靠性、安裝的正確性、運行的可控性及運行結果的可審計性。

與應用系統無關、與操作系統無關性

用戶權限采用獨立的管理體系，不采用具體某一個操作系統的用戶管理機制；對集中管理的文件和數據，其存儲、管理顆粒度，與操作系統和存儲形式無關；與操作系統的無關性，也使得不必受限于操作系統的各種升級和變化，保護了本身功能和管理機制的整體性，具有良好的可移植性和可持續性；最終實現一個與操作系統無關的安全架構，部署更為靈活，可覆蓋更廣范圍。

全生命周期保護

資源服務器內集中了數據內容以及相關的應用軟件，對數據的操作完全在資源服務器內完成；數據從產生到銷毀的全生命周期，均在封閉的環境內進行，保證信息無泄露；數據非明文存儲對用戶整個防護過程的完備性起到了很好的作用，特別是系統管理員的窺視就得以控制。

七．總結

建立一種“強制性的安全架構”，這種架構在不影響系統好用性的前提下，具有安全機制無法繞過、功能強制、與操作系統無關以及與應用無關等特性。

基于“強制性安全架構”的安全機制實現的防泄露文檔管理系統，具有“看改打印可控制，能看能改拿不走，誰看誰改有記錄”的特點，從架構上實現了對電子文檔的全生命周期保護。

其它相關產品：

雙洲防泄露終端設計應用管理系統Z2-DMS

雙洲集中隔離上網管理系統Z2-IMS

雙洲電子信息收發管理系統Z2-PMS

雙洲資源遠程監管系統Z2-RMS