技術領域

本發明屬于網絡安全技術領域，特別是一種瘦客戶端模式的數據資源安全管控方法。

背景技術

隨著信息化普及程度的提高，軍隊、黨政或機關單位都組建了內部網絡，網絡架設、信息系統建設給這些單位帶來了很多便利，如資源共享、辦公自動化以及方便的信息傳遞等，極大地提高了工作效率。但是隨著封閉系統的開放化程度提高，越來越多的信息安全問題也同時浮現出來。網絡所具有的開放性、共享性特點，使得分布在各臺主機中的重要信息資源處于一種高風險的狀態，這些數據很容易受到非法監聽、非法復制、非法訪問等各種惡意的攻擊。如何有效地管理這些重要的數據資源，對它們使用進行合授權與監管，日益成為信息網絡應用中的一個重要問題。

目前針對數據資源的安全管控，還存在以下問題：

隨著網絡規模的不斷擴大，數據資源的存儲愈發分散，分散的節點增加了攻擊者的目標，各終端在數據資源處理、存儲和交換過程中很容易受到外部或內部人員的入侵和破壞；

文件在存儲、訪問、流轉過程中缺少細粒度、全過程的訪問控制措施，缺乏對數據資源安全屬性的統一管理，合理授權和動態監管的手段不足；

雖然可信計算、主機監控等技術能夠提升終端的安全防護能力，但面對著層出不窮的網絡攻擊手段、多樣性的使用場景以及不完全受控的終端用戶時，惡意程序、網絡攻擊、管理環節漏洞、用戶有意或無意的錯誤操作都會造成數據的丟失、泄漏或被篡改。

發明內容

本發明就是為了解決上述問題，提出一種瘦客戶端模式的數據資源安全管控方法。借助瘦客戶端這種依賴于服務器處理能力實現數據訪問和應用處理的使用方式，能夠在一定程度上減輕敏感數據資源在終端上的安全隱患，獲得更加安全的遠程應用和數據訪問能力。同時實現數據資源在服務器端的集中存儲和安全防護，并結合數據訪問控制策略、用戶身份屬性、實現對各終端用戶訪問數據資源的細粒度控制。

本發明的體系架構如圖1所示。文件的存儲和管控集中在后臺服務器，按用戶類型或文件安全等級進行分區存儲，利用專用文件格式實現對文件的存儲保護，服務器端無法識別文件內容。用戶需要訪問和處理文件時，在瀏覽器上進行用戶登錄，和服務器間完成身份認證并建立文件訪問連接。瘦客戶端的文件處理在服務器端完成（由具體的物理應用服務器或虛擬應用服務器提供），瘦客戶端上無須安裝任何應用或代理，界面互操作由遠程應用服務發布的相關服務支持。

一種瘦客戶端模式的數據資源安全管控系統，其特征在于：包括八個子系統：包括身份認證子系統、遠程應用服務子系統、安全標簽子系統、文件訪問控制子系統、安全通信子系統、安全審計子系統、安全存儲子系統、管理平臺子系統；

具體步驟如下：

步驟1：啟動瀏覽器，用戶登錄服務器，服務器通過身份認證子系統完成對用戶的身份認證；

步驟2：建立安全通信及傳輸信道，通過安全通信子系統中的安全協議來保障數據資源從客戶端到集中存儲服務器之間通信安全；

步驟3：服務器通過遠程應用服務子系統建立遠程應用服務，用戶在瀏覽器窗口進入自己的存儲目錄，選擇相關文件和所需應用，應用和文件處理在服務端完成，瀏覽器窗口中顯示處理結果并支持互操作；

具體結構和應用方法如下：

1)應用發布門戶：設計統一的應用訪問門戶，實現應用列表管理和客戶端的個性列表定制；

2)遠程交互展示層：實現瀏覽器端的操作同步、數據過濾和桌面繪制，將應用系統運行界面在瀏覽器端呈現，同步瀏覽器端的操作在服務器端進行操作處理；

在遠程交互展示層中實現了基于瀏覽器端的訪問控制，以結合文件訪問控制子系統實現瘦客戶端訪問的細粒度控制；

3)本地應用管理層：實現對服務器端的應用調度和管理，將桌面轉化成圖片文件；本地的應用安裝于虛擬機系統、物理主機或是提供應用樣本庫以虛擬應用形態運行，若以虛擬機系統形式實現則需增加虛擬機管理模塊，管理和調度分為以下三種模式，具體描述如下：

物理主機：應用程序安裝物理主機之上，每個主機有獨立的硬件平臺和操作系統，由應用管理模塊統一調度；

虛擬主機：應用程序安裝虛擬機系統之上，虛擬機系統共享底層硬件平臺，由應用管理模塊統一調度；

應用虛擬化：通過一個完整的應用程序樣本庫，樣本庫包含應用程序和所需系統環境樣本，根據需要加載到物理或虛擬主機中執行；

應用管理模塊根據遠程應用訪問請求形成應用任務列表，調度部署于物理主機、虛擬主機之上的應用程序進行處理，