笔记本作为便携移动PC,带来方便的同时,同时也带来一定的风险,因为笔记本体积小、携带方便,但使用人员不可能保证每时每刻笔记本形影不离,如果笔记本电脑不慎遗失,特别在一些公共场所容易被人盗走,这样导致笔记本上存储的资料被访问或删改会造成很大的损失。越来越多的笔记本使用人员在使用笔记本办公的同时,同样使用笔记本处理个人事务,那如何平衡个人办公两不误呢?此外,笔记本电脑的数据安全更应该值得重视,不仅仅是涉及一些个人的信息,还有其上存储重要的敏感单位信息,更应该时刻保持警惕,那么,如何基于不同用户、不同的应用场景和需求提供完善的移动PC安全管理解决方案呢?既要考虑到个人使用的实际需要,又需要提供数据安全管控。
Chinasec移动PC安全管理解决方案既考虑到个人使用的实际情况,又考虑到数据安全保密,兼顾移动PC的开放性和保密性,有效实现了移动PC既需要连接外网(Internet)或处理个人事务,又需要防止核心数据泄密的目标。
Chinasec移动PC安全管理解决方案实现了在移动PC上建立多个工作模式,用户除了使用右下角的图标进行模式切换外,其他均不影响用户使用习惯。工作模式可以相互切换,不同模式其控制的计算机资源(网络、外设、软件、移动存储设备、本地数据区等)不同,如下图所示:
通过不同的模式下对应的计算机资源控制状态不同来达到对移动PC的安全管控。基于上述图示描述,移动PC普通模式下,可以自由使用移动PC,但唯独不能使用保密分区(本地数据区)和访问内网应用服务器,这样给使用者提供了便利的使用,同时保证数据保密区和内网应用服务器上的数据的安全性;同样,移动PC工作模式下,可以自由使用保密分区和内网应用服务器,但无法自由使用其他资源,如网络、外设等,从而达到工作环境下产生的数据安全存储和应用。
1)保密分区
Chinasec移动PC安全管理系统部署后,在移动PC本地硬盘空间会专门分配一个特殊分区,作为保密分区。保密分区存储的数据都是加密的,并且仅在用户登录工作模式的时候才能打开并正常使用,在普通模式、光驱启动或者另外的操作系统下都无法访问该数据区。保密分区是用户在本地计算机存储保密数据的唯一有效区域,该区域的数据不能通过网络、存储设备或者其他任何途径复制到工作模式外的存储资源中区,受到严格的保密控制。
2)模式切换
Chinasec移动PC安全管理系统部署后,将内网的资源分为受控资源和非受控资源。相对于受控资源(比如工作中产生的敏感数据)和非受控资源(非敏感数据),Chinasec移动PC安全管理系统将移动PC分为工作模式和普通模式。在工作模式,授权计算机和用户可以访问和使用受控资源,但不能使用非受控资源;在普通模式,授权计算机和用户可以访问非受控资源,但不能访问受控资源。通过模式切换,将受控资源和非受控资源使用环境进行了逻辑上的隔离。
在计算机开机的时候,自动进入普通模式。普通模式是一种非保密模式,用户可以自由访问Internet外网,使用本地移动存储设备复制数据等,但是不能访问内部的文件存储服务器、OA服务器、安全文件服务器和其他重要的企业数据资源等,也不能访问本地硬盘上的保密分区。
如果用户需要开始工作,通过登录认证(登录认证依赖口令或令牌)切换进入工作模式。一旦进入工作模式,计算机终端将执行以下的操作:
♦ 切断跟非受控网络资源,如Internet、外网和其他管理员未定义网络连接。切断的方式是通过网络协议的加密重构实现,具有高度的安全性保障。
♦ 打开受控网络资源的连接权限,该计算机和用户可以访问管理员授权的内部文件服务器、OA服务器、安全文件服务器以及其他内部服务器等。
♦ 切断本地非受控存储区域(保密分区除外的所有存储设备)的存储权限,但是保留读取权限。
♦ 打开本地保密分区,用户可以访问和自由使用保密分区的数据。
可以看到,通过上述的模式切换,用户在工作模式下可以使用普通模式下的硬盘中存储的数据,但不能将工作模式下的数据复制或者存储到普通模式下的非受控存储区域。因为单位所有的核心数据都存储在服务器和保密分区中,而服务器和保密分区能在工作模式下使用,并且未经授权,没有任何途径可以将数据带出工作模式的保密区域,从而对单位的核心数据实现了严格的保密措施。
部署方式
▲Chinasec移动PC安全管理系统部署图
方案优势
1)针对移动PC的特殊性,提供加密、认证等多种技术手段针对移动PC安全管理解决方案;
2)提供移动PC模式切换,提供完善的个人数据和办公数据相互逻辑隔离,既不影响个人使用,又提高了数据的安全性;
3)不仅仅提供了移动PC安全管理方案,同时保证了保存在本机的敏感数据的安全性,未经授权的前提下,所外发的文件均为加密状态;
4)有效的规避了因移动PC的丢失、被盗等情况造成的数据泄密事件;
5)兼容性强,系统采用驱动层分区磁盘加密,加密效率、安全性高等。