1.一種瘦客戶端模式的數據資源安全管控系統，其特征在于：包括八個子系統：包括身份認證子系統、遠程應用服務子系統、安全標簽子系統、文件訪問控制子系統、安全通信子系統、安全審計子系統、安全存儲子系統、管理平臺子系統；

具體步驟如下：

步驟1：啟動瀏覽器，用戶登錄服務器，服務器通過身份認證子系統完成對用戶的身份認證；

步驟2：建立安全通信及傳輸信道，通過安全通信子系統中的安全協議來保障數據資源從客戶端到集中存儲服務器之間通信安全；

步驟3：服務器通過遠程應用服務子系統建立遠程應用服務，用戶在瀏覽器窗口進入自己的存儲目錄，選擇相關文件和所需應用，應用和文件處理在服務端完成，瀏覽器窗口中顯示處理結果并支持互操作；

具體結構和應用方法如下：

1)應用發布門戶：設計統一的應用訪問門戶，實現應用列表管理和客戶端的個性列表定制；

2)遠程交互展示層：實現瀏覽器端的操作同步、數據過濾和桌面繪制，將應用系統運行界面在瀏覽器端呈現，同步瀏覽器端的操作在服務器端進行操作處理；

在遠程交互展示層中實現了基于瀏覽器端的訪問控制，以結合文件訪問控制子系統實現瘦客戶端訪問的細粒度控制；

3)本地應用管理層：實現對服務器端的應用調度和管理，將桌面轉化成圖片文件；本地的應用安裝于虛擬機系統、物理主機或是提供應用樣本庫以虛擬應用形態運行，若以虛擬機系統形式實現則需增加虛擬機管理模塊，管理和調度分為以下三種模式，具體描述如下：

物理主機：應用程序安裝物理主機之上，每個主機有獨立的硬件平臺和操作系統，由應用管理模塊統一調度；

虛擬主機：應用程序安裝虛擬機系統之上，虛擬機系統共享底層硬件平臺，由應用管理模塊統一調度；

應用虛擬化：通過一個完整的應用程序樣本庫，樣本庫包含應用程序和所需系統環境樣本，根據需要加載到物理或虛擬主機中執行；

應用管理模塊根據遠程應用訪問請求形成應用任務列表，調度部署于物理主機、虛擬主機之上的應用程序進行處理，

4)本地應用支撐層：由安裝于虛擬機系統、物理主機的應用程序或是集中管理的應用樣本庫組成；

把用戶從瀏覽器發送的請求轉換成為能與應用服務器交互的網絡數據包，并根據處理結果通過頁面跳轉的方式反饋到客戶端；構建一個用戶界面框架，采用一個JavaScript框架實現，把多個應用整合到一個頁面中；在后臺截獲應用程序窗口的圖像更新，并通過遠程傳輸協議傳輸到客戶端顯示，并把客戶端的鍵盤鼠標事件傳到服務端；?通過窗口同步技術來同步客戶端和服務端的應用窗口；應用窗口的同步分為窗口大小改變的同步、窗口激活的同步、窗口關閉的同步，實現用戶界面框架模塊和應用窗口傳輸模塊的函數的互相調用；

步驟4：在用戶對電子文件進行操作過程中，服務器通過安全標簽子系統自動對文件添加安全標簽，實現基于安全標簽的訪問控制；

對于用戶存儲在服務器端的電子文件，安全標簽子系統首先采集文件屬性信息，然后整合制作成安全標簽的形式，再將安全標簽嵌入文件，由此實現安全標簽和文件的不可分離；

標簽屬性包括基本屬性，包括文件名、創建者、創建時間和文件密鑰；安全等級屬性，包括安全等級、定密人、審核人和審批人；安全屬性，包括數字簽名、流轉信息和日志信息；授權屬性，包括訪問主體和操作權限；

電子文件在被創建后，系統自動創建其基本屬性和安全屬性，安全等級屬性和授權屬性根據提供的工具規則，由用戶進行設定；

標簽管理的核心設計思路是利用標簽工具將數據資源按照安全等級進行劃分，按照標簽屬性與信息的訪問控制權限進行權限劃分，實現基于安全等級的訪問控制和基于授權的訪問控制，分為規則管理、標簽制作和權限管理三個模塊；

規則管理模塊實現人員安全等級管理、文檔安全等級管理和安全等級關系管理；

標簽制作模塊提供對文檔安全等級的標識功能，由用戶設定文檔安全等級和使用年限，用戶能夠訪問文檔的前提是“用戶安全等級”>=“文檔安全等級”；該模塊還提供安全等級模版管理功能，能夠支持對涉密文件的批量制作；

權限管理模塊調用文件訪問控制子系統的權限控制，用戶只有被授權才能訪問文件；

文件訪問控制子系統對文件和訪問用戶授權，被授權的用戶只有在操作權限的控制下才能對文件進行操作，對文檔的用戶權限進行設置；

安全存儲子系統在集中存儲區域上以邏輯卷的形式為每個用戶分配獨立存儲空間，通過訪問控制對各個存放目錄進行保護，且基于文件等級信息將存儲空間分為若干個存儲區域；

在管理平臺子系統中，采用集中化的管理方式和基于角色的權限管理體系，管理員模式分為系統管理員、安全管理員、審計管理員，三類管理員分工不同，系統管理員負責用戶管理、管理員賬號的鎖定與解鎖、數據庫備份設置等，安全管理員負責下發安全策略，審計管理員負責審計日志信息；

安全審計子系統提供對各類子系統的日志進行集中采集、集中管理、集中審計，并集中存儲到安全審計子系統數據庫中，同時對各類日志中的異常事件進行預警、告警。