李 康 陳清華

1(浙江清華長三角研究院 浙江 嘉興 314006)2(浙江大學工程師學院 浙江 杭州 310011)

0 引 言

隨著計算機和信息化的不斷普及，自動化辦公得到廣泛應用，傳統(tǒng)的紙質文件越來越多地向電子化文檔轉換，大量的電子信息分散存儲在用戶各種終端設備中。這種信息的存儲管理手段存在著管理難度大、容易丟失、沒有版本管理等問題，尤其是其中的涉密電子信息存在著極大的失泄密隱患。

涉密電子信息集中管控系統(tǒng)將涉密電子信息集中加密存儲于存儲集群中，參照傳統(tǒng)紙質涉密文件的管控辦法對涉密電子信息進行集中管控，采取“集中存儲，加密保護，授權使用，精確控制，全程審計”的方法，實現(xiàn)“個人不留密，終端不存密”的保密要求，有效切斷內部人員泄密涉密信息的途徑，提高涉密電子信息安全系數(shù)[1]。

1 涉密電子信息集中管控系統(tǒng)

涉密電子信息集中管控系統(tǒng)通常包括電子文件集中存儲、集中管理、加密保護、授權使用、精確管控、全程審計等功能，可以實現(xiàn)對電子文件從創(chuàng)建、流轉、成文至鑒定、歸檔、利用、銷毀全生命周期的精確閉環(huán)管控[2]。

如今的電子信息種類繁多，使得電子文件的格式也多種多樣，涉密電子信息集中管控系統(tǒng)自身又不可能支持所有電子文件格式的查看或編輯，因此涉密電子信息集中管控系統(tǒng)必須依賴第三方軟件來實現(xiàn)對電子文件的查看或編輯，如MS Office、WPS、Photoshop、SolidWorks、Auto CAD等。這樣的前提條件使得電子文件在查看或編輯時必須暫時離開涉密電子信息集中管控系統(tǒng)的管控范圍，并且此時的電子文件顯然是解密后的文件，所以這個過程勢必成為涉密電子信息集中管控系統(tǒng)的薄弱環(huán)節(jié)。

現(xiàn)有的涉密電子信息集中管控系統(tǒng)對電子文件在線編輯的解決方案多種多樣，按照第三方軟件所處的位置可分為兩類：基于客戶端第三方軟件的在線編輯和基于服務端第三方軟件的在線編輯。

1.1 基于客戶端第三方軟件的在線編輯

基于客戶端第三方軟件的在線編輯是電子信息集中管控系統(tǒng)比較常用的傳統(tǒng)解決方案，可分為三種方法：下載為本地臨時文件、將網(wǎng)絡磁盤掛載到用戶本地和Office插件。但無論是哪種方法都無法真正做到“個人不留密，終端不存密”。電子文件在線編輯時成為用戶本地磁盤內或內存中的臨時文件，并且直接向客戶端暴露了文件下載接口和更新接口，使得涉密電子信息集中管控系統(tǒng)存在嚴重的失泄密隱患。

1.2 基于服務端第三方軟件的在線編輯

基于服務端第三方軟件的在線編輯主要有基于VDI(Virtual Desktop Infrastructure)和基于WOPI(Web Application Open Platform Interface)協(xié)議[3]兩種方式。

1.2.1基于VDI

在2006年8月9日的搜索引擎大會(SES San Jose 2006)上，時任Google首席執(zhí)行官的Eric Schmidt首次提出了云計算的概念[4]。作為云計算服務模式之一的VDI是目前較為成熟的桌面虛擬化解決方案。其核心思想是利用Hypervisor虛擬化將操作系統(tǒng)桌面環(huán)境制作成虛擬機[5]，其特點是集中管理、集中計算，用戶的桌面被虛擬化后運行在后臺的服務器上[6]，用戶終端通過SPICE、VNC或RDP等遠程連接協(xié)議訪問該虛擬機。

基于VDI的在線編輯方案，是將VDI作為中間層在服務端和客戶端之間豎起一道屏障，用戶在終端上通過遠程連接協(xié)議訪問虛擬桌面，再用虛擬桌面內的涉密電子信息集中管控系統(tǒng)客戶端連接到涉密電子信息集中管控系統(tǒng)的服務端(見圖1)。這種方式使得電子文件在編輯時被管控在虛擬桌面內，可以真正做到用戶終端的“個人不留密，本地不存密”。

圖1 基于VDI的在線編輯方案

基于VDI的在線編輯方案缺點是：相對基于客戶端的第三方軟件在線編輯方案來說，需要額外建設一套VDI，建設成本比較高；無論是哪種遠程連接協(xié)議，對網(wǎng)絡帶寬的要求都比較高；用戶需要先做一個遠程連接才能使用涉密電子信息集中管控系統(tǒng)，操作繁瑣，用戶體驗差。

1.2.2基于WOPI協(xié)議

WOPI協(xié)議，即Web應用程序開放平臺接口協(xié)議，MS Office和Libre Office都實現(xiàn)了這個協(xié)議，使得Office類電子文件可以直接通過Web查看或編輯。

基于WOPI協(xié)議的在線編輯方案(見圖2)是一種純B/S架構的解決方案，把部署于服務器的MS Office或Libre Office作為WOPI的客戶端，涉密電子信息集中管控系統(tǒng)作為WOPI的服務端，文件的傳遞被嚴格限制在WOPI Server和WOPI Client之間，用戶終端可以看到文件查看或編輯時的視圖但不能接觸到文件，可以真正做到“個人不留密，客戶端不存密”。

圖2 基于WOPI協(xié)議的在線編輯方案時序圖

盡管基于WOPI協(xié)議的在線編輯方案是比較理想的在線編輯方案，但目前對WOPI協(xié)議支持的第三方軟件少之又少，目前能用這種方式在線編輯的只有Office類文件。此外，WOPI對電子文件在查看或編輯時的管控也僅限于如同對整個文件只讀、修改等這種比較粗粒度的控制。

2 基于RemoteApp的安全在線編輯方案

涉密電子信息集中管控系統(tǒng)的現(xiàn)有在線編輯方案，無論是基于客戶端第三方軟件還是基于服務端第三方軟件，或無法確?！皞€人不留密，終端不存密”，或接口直接暴露到客戶端，或操作層層嵌套繁瑣無比，或支持類型有限，沒有一種方案可以相對完美地解決安全在線編輯問題。

RDP是基于面向連接層的傳輸協(xié)議[7]，主要是TCP協(xié)議，采用層次結構。RDP的優(yōu)點是兼容性好，其客戶端可以在Windows、Linux、Unix等系統(tǒng)上運行，并且具有不錯的安全性，是一種安全可靠的遠程桌面連接協(xié)議[8]。RemoteApp是微軟公司在Windows Server 2008及后續(xù)版本中引入的一項高級功能，它是微軟遠程桌面服務的一項重要改進，使得用戶在本地計算機上運行遠程服務器上的應用程序時，不再顯示整個服務器桌面，而是只顯示該遠程應用，這種效果看起來就像在本地計算機上運行一樣[9]。

如圖3所示，基于RemoteApp的安全在線編輯方案，核心是使用利用RemoteApp,通過一臺代理服務器將RDP協(xié)議轉換為Websocket協(xié)議，使得客戶端只需要一個瀏覽器就可以安全方便地實現(xiàn)在線編輯，而這一切完全不依賴于客戶端的第三方軟件。

圖3 基于RemoteApp的安全在線編輯方案示意圖

2.1 實現(xiàn)過程概述

如圖4所示，基于RemoteApp的安全在線編輯方案的涉密電子信息集中管控系統(tǒng)的架構并不復雜，包括存儲集群、涉密電子信息集中管控服務、應用服務器和安全在線編輯服務。相比傳統(tǒng)的基于客戶端第三方軟件在線編輯方案的涉密電子信息集中管控系統(tǒng)而言，只是增加應用服務器和安全在線編輯服務，瀏覽器替代了原來的客戶端軟件(見圖5)。

圖4 基于RemoteApp的安全在線編輯方案架構圖

圖5 基于RemoteApp的安全在線編輯方案時序圖

應用服務器負責提供安全在線編輯需要的第三方軟件，如MS Office、WPS、PhotoShop、Auto CAD等。當應用服務器是一個集群時，就需要一個Windows Active Diretory來協(xié)助管理所有應用服務器和所有的用戶賬號。

安全在線編輯服務主要是向瀏覽器提供在線編輯服務，負責將RemoteApp連接的RDP協(xié)議轉換成Websocket協(xié)議，并且提供瀏覽端解析轉換后的RDP協(xié)議的Javascript代碼。

瀏覽器向涉密電子信息集中管控服務請求查看或編輯一個電子文件后，涉密電子信息集中管控服務返回一個安全在線編輯服務的調用地址；瀏覽器收到調用地址后，通過WebSocket協(xié)議連接安全在線編輯服務，安全在線編輯服務首先向涉密電子信息集中管控服務驗證調用的合法性并獲取文件的概要信息，然后安全在線編輯服務根據(jù)當前要打開的文件類型，通過RDP協(xié)議請求打開應用服務器上的對應RemoteApp；應用服務器在建立RDP連接時掛載一個網(wǎng)絡存儲到本地成為臨時磁盤，當RDP建立連接后用RemoteApp打開該文件；安全在線編輯服務將建立的RDP連接轉換為Websocket協(xié)議，并轉發(fā)瀏覽器與應用服務器之間的數(shù)據(jù)。瀏覽器發(fā)送到應用服務器的數(shù)據(jù)主要有鼠標的點擊、鼠標的移動、鍵盤的輸入等。應用服務器發(fā)送到瀏覽器的數(shù)據(jù)主要包括瀏覽器端鼠標鍵盤操作后的應用服務器的顯示反饋、鼠標的位置、音頻等。

2.2 方案優(yōu)勢

(1) 安全性 本方案也是一種基于服務端第三方軟件在線編輯的解決方案，和基于VDI或WOPI協(xié)議的解決方案一樣都可以真正做到文件不落地，實現(xiàn)“個人不留密，終端不存密”。用戶在終端機上查看或編輯一個文件看到的只是一個遠程連接后的圖像顯示，徹底杜絕了用戶終端機上失泄密的隱患。

(2) 兼容性 在線編輯所依賴的第三方軟件全都安裝于服務端的應用服務器上，版本統(tǒng)一，并且有專門的IT人員來維護，最大程度地減少了第三方軟件的版本兼容性問題。對客戶端而言，不再需要在用戶終端機上安裝任何軟件，只需要一個普通瀏覽器就可以實現(xiàn)所有功能。

(3) 管控力度 可以利用對安全在線編輯服務的控制可以實現(xiàn)對電子文件在線編輯時的精細管控，如禁止文件內容的復制、粘貼，屏幕水印，打印權限等。

(4) 文件類型 本方案具有非常好的文件類型擴展性。涉密電子信息集中管控系統(tǒng)對文件類型的支持取決于在線編輯所依賴的第三方軟件，而本方案的第三方軟件全部安裝于服務端的應用服務器上，因此對文件類型的擴展是非常容易的，只要由IT人員安裝相應文件類型的第三方軟件就可以實現(xiàn)。

(5) 綠色、經濟 本方案將應用軟件、計算資源、存儲資源都集中在了服務端，實現(xiàn)了應用軟件共享、計算資源共享和存儲資源共享，很大程度上降低了軟件、硬件成本。對客戶端而言，由于用瀏覽器替代了傳統(tǒng)客戶端軟件，并且不需要安全任何第三方軟件，具有很好兼容性的同時對用戶的終端機的性能要求也大大降低，甚至可以支持性能極低的瘦終端作為用戶終端機。

3 結 語

傳統(tǒng)保密管理理念并未重視內部人員的有意或無意泄密。據(jù)Gartner報告，85%的泄密事件源于內部人員誤操作或違規(guī)行為。組織采用防火墻、入侵檢測和防護系統(tǒng)、安全審計工具等防止外部黑客攻擊組織內網(wǎng)，但對內部人員的防護則往往未得到應有的重視[10]。涉密電子信息集中管控系統(tǒng)將涉密電子信息集中存儲到服務端并加以集中嚴格管控，使得涉密電子文件不再分散存儲在內部人員的終端設備上，大大減少了內部人員失泄密的可能性。然而傳統(tǒng)的在線編輯方案使涉密電子信息集中管控系統(tǒng)在電子文件查看或編輯時存在失泄密隱患。

傳統(tǒng)電子信息集中查看或編輯電子文件時存在失泄密隱患是因為它需要依賴用戶本地的第三方編輯軟件并且必須將服務端的電子文件下載到用戶本地。本方案利用微軟的RemoteApp技術，使涉密電子信息集中管控系統(tǒng)在線編輯時將電子信息控制在服務端，電子信息不再“落地”，成功地加強了涉密電子信息集中管控系統(tǒng)的最薄弱環(huán)節(jié)，真正實現(xiàn)“個人不留密，終端不存密”。此外，文件編輯不再依賴于用戶本地的第三方編輯軟件，使得用戶的終端更加輕量化、用戶體驗得到提升；文件編輯統(tǒng)一使用服務端的文件編輯軟件，也使得電子文件的兼容性得到大大改善。

總而言之，本方案相比傳統(tǒng)涉密電子信息集中管控系統(tǒng)大幅提高了安全性、兼容性和管控力度，在文件類型的支持上也更加靈活、豐富，服務端共享資源方式替代個人富終端也更加經濟、環(huán)保。