◆熊楊

（中國(guó)地質(zhì)調(diào)查局應(yīng)用地質(zhì)調(diào)查研究中心 四川 610036）

在信息服務(wù)與移動(dòng)存儲(chǔ)技術(shù)愈發(fā)成熟的大背景下，數(shù)據(jù)泄漏問(wèn)題也愈發(fā)突顯，特別是現(xiàn)如今網(wǎng)絡(luò)整體環(huán)境中蘊(yùn)含的風(fēng)險(xiǎn)越來(lái)越高，導(dǎo)致移動(dòng)存儲(chǔ)介質(zhì)等渠道都極易造成信息泄露。此時(shí)信息集中管控技術(shù)的研究已迫在眉睫，這不僅是信息系統(tǒng)完善化、先進(jìn)化與規(guī)范化的必經(jīng)之路，也是網(wǎng)絡(luò)信息安全管理與保護(hù)的重要基礎(chǔ)。如果能實(shí)現(xiàn)基于云桌面的信息集中管控技術(shù)的研究與應(yīng)用，那么其在國(guó)家與社會(huì)運(yùn)行發(fā)展中的應(yīng)用效率與效果也會(huì)隨之提升。

1 信息集中管控研究的現(xiàn)狀

實(shí)際上，20世紀(jì)70年代信息集中管控技術(shù)的研究就已經(jīng)開(kāi)始。最初專家們研究的重點(diǎn)在于程序的訪問(wèn)權(quán)限，發(fā)展一段時(shí)間后才轉(zhuǎn)變?yōu)橄到y(tǒng)的安全性探析，且是理論模型與時(shí)間技術(shù)的共同研究。而隨著移動(dòng)存儲(chǔ)介質(zhì)在社會(huì)上的普及，以及內(nèi)網(wǎng)環(huán)境復(fù)雜性的提升，導(dǎo)致信息系統(tǒng)中資料泄漏的問(wèn)題愈發(fā)嚴(yán)重。此時(shí)如何避免各種因素導(dǎo)致的敏感數(shù)據(jù)泄漏，成為目前基于云桌面的信息集中管控技術(shù)研發(fā)的關(guān)鍵。除此之外，現(xiàn)如今社會(huì)各界對(duì)各項(xiàng)技術(shù)功能與作用的要求也愈發(fā)嚴(yán)苛，只有不斷強(qiáng)化基于云桌面信息集中管控的關(guān)鍵技術(shù)，才能為其普及應(yīng)用奠定更加牢固的基礎(chǔ)。

如今的信息集中管控關(guān)鍵技術(shù)，研究重點(diǎn)基本上都在數(shù)據(jù)泄露防護(hù)方面，這點(diǎn)從對(duì)市場(chǎng)占有率的觀察分析中即可得知。但就國(guó)內(nèi)外目前涉及的全部企業(yè)來(lái)看，仍沒(méi)有一家能夠占據(jù)絕對(duì)的優(yōu)勢(shì)。導(dǎo)致這種局面的原因主要有兩個(gè)，首先就是信息安全防護(hù)技術(shù)需要涉及的領(lǐng)域非常廣泛，企業(yè)若想實(shí)現(xiàn)技術(shù)全面領(lǐng)先，難度是非常大的；其次，管控政策、員工素質(zhì)以及網(wǎng)絡(luò)運(yùn)維環(huán)境等，都會(huì)在極大程度上影響到網(wǎng)絡(luò)安全防護(hù)的實(shí)際效果。在各行業(yè)實(shí)際情況差異較大的情況下，信息集中管控問(wèn)題處理的難度必然也會(huì)隨之增加[1]。

2 基于云桌面的信息集中管控技術(shù)

2.1 信息集中管控技術(shù)

信息集中管控技術(shù)簡(jiǎn)單來(lái)講，就是集中管理與控制相關(guān)數(shù)據(jù)。在增強(qiáng)涉密信息安全防護(hù)質(zhì)量的基礎(chǔ)上，使信息泄露問(wèn)題得到預(yù)防。但實(shí)際上，現(xiàn)階段國(guó)內(nèi)外信息集中管控產(chǎn)品良莠不齊，業(yè)界內(nèi)使用的安全解決方案也并不統(tǒng)一。因?yàn)镃/S 架構(gòu)與業(yè)務(wù)系統(tǒng)間存在較嚴(yán)重的兼容問(wèn)題，所以如果想實(shí)現(xiàn)二者的協(xié)調(diào)與共存，就必須展開(kāi)長(zhǎng)時(shí)間的調(diào)試。且二者適用范圍的限制性與約束性也很強(qiáng)，若此問(wèn)題無(wú)法得到及時(shí)處理，則不僅系統(tǒng)性能會(huì)受到影響，日常辦公效率也會(huì)不斷下降。這也是云計(jì)算環(huán)境應(yīng)用范圍越來(lái)越廣后，結(jié)合虛擬化技術(shù)的混合型信息集中管控技術(shù)，成為研究與發(fā)展主要方向的關(guān)鍵原因[2]。

（1）隔離機(jī)制

經(jīng)實(shí)踐證明，隔離機(jī)制能為信息集中管控技術(shù)的應(yīng)用落實(shí)起到不可代替的重要作用。在傳統(tǒng)的操作系統(tǒng)中，空間隔離是最常應(yīng)用的隔離機(jī)制，這是進(jìn)程地址空間概念形成的重要基礎(chǔ)。一般情況下，因?yàn)橄到y(tǒng)內(nèi)的各進(jìn)程都具有相對(duì)獨(dú)立的用戶空間，所以在系統(tǒng)執(zhí)行任意進(jìn)程的時(shí)候，訪問(wèn)的內(nèi)存地址也會(huì)出現(xiàn)變動(dòng)。換句話講，此時(shí)的訪問(wèn)地址已并非真實(shí)存在的物理地址，而屬于一類虛擬地址。另外，由于用戶模式代碼比內(nèi)核空間的權(quán)限低，因此，前者是不具備內(nèi)核空間訪問(wèn)權(quán)限的，操作系統(tǒng)也正是通過(guò)這種機(jī)制來(lái)隔離進(jìn)程。而若想彌補(bǔ)傳統(tǒng)操作系統(tǒng)中隔離機(jī)制存在的弊端和缺陷，也可以采取相應(yīng)的隔離技術(shù)，最終達(dá)成強(qiáng)化系統(tǒng)隔離機(jī)制的目的。

（2）基于沙箱的隔離機(jī)制

沙箱隔離機(jī)制在計(jì)算機(jī)安全防護(hù)方面應(yīng)用最為廣泛，且最常見(jiàn)于不受信任程序的隔離中。在風(fēng)險(xiǎn)程序嚴(yán)格顯著的情況下，也會(huì)約束其對(duì)于系統(tǒng)資源的調(diào)用，把惡意程序?yàn)榫W(wǎng)絡(luò)安全帶來(lái)的影響牢固限制于沙箱之中，將惡意程序破壞系統(tǒng)其他正常部位的概率降至最低。相比較其他隔離機(jī)制來(lái)講，沙箱隔離機(jī)制的實(shí)現(xiàn)形式十分豐富。將安全策略作為根據(jù)限制沙箱內(nèi)程序，并將其向虛擬資源重新定向，是目前最常用的方式。通常來(lái)講，這些關(guān)鍵資源是系統(tǒng)安全防護(hù)的核心所在，一旦被惡意程序非法調(diào)用，則系統(tǒng)安全就會(huì)受到嚴(yán)重的影響，甚至?xí)?dǎo)致系統(tǒng)崩潰[3]。

2.2 信息集中管控技術(shù)應(yīng)用的方案原型

（1）本地終端

絕大多數(shù)情況下，手機(jī)、平板電腦等手持終端設(shè)備，以及普通計(jì)算機(jī)等都可作為本地終端。但在終端實(shí)際使用的過(guò)程中，卻往往會(huì)受到企業(yè)單位內(nèi)網(wǎng)管理規(guī)定的限制，導(dǎo)致移動(dòng)設(shè)備和企業(yè)網(wǎng)絡(luò)的相接受到阻礙。因此，手機(jī)等移動(dòng)終端在現(xiàn)階段，幾乎是沒(méi)有辦法向內(nèi)網(wǎng)接入的。另外，如今很多企業(yè)在制定內(nèi)部網(wǎng)絡(luò)管理規(guī)范的時(shí)候，都會(huì)要求計(jì)算機(jī)設(shè)備安裝安全管理系統(tǒng)與文檔加密系統(tǒng)。經(jīng)實(shí)踐證明，這確實(shí)能為本地終端計(jì)算機(jī)的安全性提供高度保證。假設(shè)研究的計(jì)算機(jī)內(nèi)已經(jīng)安裝好這兩種系統(tǒng)，則計(jì)算機(jī)便成為可信任的終端設(shè)備，此時(shí)技術(shù)人員也就可以將集中管控方案作為根據(jù)提供接入口[4]。

（2）虛擬化

虛擬化部署的主要陣地是數(shù)據(jù)中心，這是基于云桌面信息集中管控的重中之重。我們可以將云桌面管理平臺(tái)，視作以數(shù)據(jù)中心服務(wù)器為基點(diǎn)，將資源虛擬化后形成的，這是系統(tǒng)用戶可在網(wǎng)絡(luò)上按照需求操作的必要的虛擬平臺(tái)。

首先，云桌面管理平臺(tái)的功能主要包括對(duì)硬件系統(tǒng)的控制，計(jì)算資源的合理分配與管理，以及為系統(tǒng)間隔離提供保證等等。其次，系統(tǒng)中的Windows 系統(tǒng)，通常含括“白名單”、辦公業(yè)務(wù)以及各項(xiàng)程序系統(tǒng)；此時(shí)技術(shù)人員需要明確意識(shí)到，因?yàn)檫@些程序的基礎(chǔ)性與執(zhí)行性都比較強(qiáng)，所以就唯一可執(zhí)行“白名單”和業(yè)務(wù)系統(tǒng)程序的安全機(jī)制而言，兼容性問(wèn)題幾乎不會(huì)出現(xiàn)，這從根本上杜絕了云桌面系統(tǒng)被病毒入侵，導(dǎo)致集中管控關(guān)鍵技術(shù)應(yīng)用與安全管理受到影響的問(wèn)題。此時(shí)用戶就可以放心使用云桌面系統(tǒng)，最大程度上降低信息泄露造成的風(fēng)險(xiǎn)和威脅[5]。

3 基于云桌面內(nèi)網(wǎng)信息的安全管理系統(tǒng)

（1）安全管理系統(tǒng)的主要作用

國(guó)內(nèi)網(wǎng)市場(chǎng)中現(xiàn)存的內(nèi)網(wǎng)信息安全產(chǎn)品其實(shí)有很多，但整體上應(yīng)劃分為兩大類，即監(jiān)控審計(jì)系統(tǒng)與文檔加密系統(tǒng)。其中前者的網(wǎng)絡(luò)控制功能更強(qiáng)，但重點(diǎn)多集中于網(wǎng)絡(luò)數(shù)據(jù)的記錄與審計(jì)，所以在企業(yè)信息系統(tǒng)中信息泄露預(yù)防方面的效果并不顯著。而文檔加密系統(tǒng)則以各類加密軟件的應(yīng)用為主，以有效加密企業(yè)內(nèi)部計(jì)算機(jī)數(shù)據(jù)，但由于這種方法在計(jì)算機(jī)與用戶管理方面的靈活性較差，在內(nèi)網(wǎng)資源量比較多的情況下，權(quán)限的分層設(shè)置顯得尤為關(guān)鍵，進(jìn)而導(dǎo)致管理難度不斷增加；特別是用戶權(quán)限頻繁更換的情況下，更加容易造成系統(tǒng)漏洞，使信息集中管控技術(shù)的作用難以發(fā)揮[6]。

與此同時(shí)，目前這兩種安全產(chǎn)品的缺陷仍未得到有效彌補(bǔ)，技術(shù)能力強(qiáng)的員工與黑客等都很容易破解，且二者還需將Agent 安裝于客戶端，采取一些安全措施對(duì)終端設(shè)備的使用情況進(jìn)行控制與監(jiān)視，客戶端Agent 通常存在被破解的威脅。而在基于云桌面的信息集中管控關(guān)鍵技術(shù)得到更加深入的研究與完善后，用戶就可完全將云桌面作為技術(shù)支撐，不僅不用安裝Agent 等多余軟件，而且由于數(shù)據(jù)無(wú)法存于客戶端電腦，客戶端內(nèi)漏問(wèn)題也能得到有效規(guī)避。此時(shí)技術(shù)人員即可將身份認(rèn)證作為前提，圍繞數(shù)據(jù)安全與監(jiān)控審計(jì)標(biāo)準(zhǔn)選擇合適的安全策略，在構(gòu)建內(nèi)網(wǎng)信息解決方案并確保其完整性、統(tǒng)一性與可操作性的基礎(chǔ)上，為企業(yè)及個(gè)人提供更加便捷的信息安全管理模式，將內(nèi)網(wǎng)信息出現(xiàn)的安全問(wèn)題從根本上規(guī)避。

（2）內(nèi)網(wǎng)信息安全管理系統(tǒng)的核心技術(shù)

對(duì)基于云桌面的信息集中管控關(guān)鍵技術(shù)研究與實(shí)現(xiàn)來(lái)講，安全管理系統(tǒng)創(chuàng)設(shè)的主要目的在于為技術(shù)的高效落實(shí)提供支撐。具體來(lái)講，安全管理系統(tǒng)和云桌面是相輔相成的，它需要結(jié)合身份認(rèn)證、數(shù)據(jù)安全以及監(jiān)控審計(jì)等多項(xiàng)功能，有針對(duì)性制定各項(xiàng)安全策略，并且確保其有效性與可操作性。只有如此，對(duì)企業(yè)內(nèi)網(wǎng)用戶及信息的安全管理才能達(dá)標(biāo)，才能進(jìn)一步高效展開(kāi)用戶身份、內(nèi)部設(shè)備以及機(jī)密信息泄漏等管理工作。經(jīng)實(shí)踐證明，此系統(tǒng)在專攻研發(fā)與設(shè)計(jì)的企業(yè)單位中最為適用[7]。

4 結(jié)束語(yǔ)

總而言之，若想真正意義上促進(jìn)信息管理水平的發(fā)展提升，基于云桌面的信息集中管控關(guān)鍵技術(shù)研究就必須繼續(xù)深入，這是云桌面能獲得廣泛應(yīng)用的關(guān)鍵基礎(chǔ)，也是信息系統(tǒng)能安全、高效、順利運(yùn)行的必要保證，這對(duì)于國(guó)內(nèi)外信息管理技術(shù)的發(fā)展而言都意義非凡。我們也要結(jié)合新時(shí)期對(duì)云桌面及信息集中管控關(guān)鍵技術(shù)的要求，為其改革和發(fā)展創(chuàng)設(shè)更廣闊的空間，進(jìn)而使其發(fā)揮更顯著的效果與作用。