| 當前位置：拓步ERP資訊網(wǎng) >>管理咨詢 >>CIO技術(shù)專欄 >>CIO企業(yè)應(yīng)用

集中管控下的應(yīng)用管控

發(fā)布日期：2013-08-17 10:58:33 來源：www.ezxoed.cn 編輯：拓步ERP資訊網(wǎng) 瀏覽：評論

摘要：集中管控是目前解決涉密信息安全防泄露的有效手段。集中管控不僅需要管住文檔，還必須有效地管住應(yīng)用，才能保證信息內(nèi)容的安全。本文分析了應(yīng)用管控面臨的問題，提出了解決這些問題的思路和方法，以及對應(yīng)用系統(tǒng)的要求。 原標題：集中管控下的應(yīng)用管控 原作者：發(fā)表時間：2013/8/16 唐志剛王青松來源：萬方數(shù)據(jù)

1 引言

新形勢下的保密管理工作，要求做到終端不存密、個人不留密，確保涉密電子信息管得住、控得了、不外泄，安全可靠，同時又要能做到信息的安全共享，實現(xiàn)信息化條件下的網(wǎng)絡(luò)辦公。集中管控是利用集中存儲、統(tǒng)一認證、授權(quán)使用、精確控制、全程審計等技術(shù)和管理手段，對日常工作中產(chǎn)生的涉密和敏感電子信息實施安全管理和使用控制，是保密管理的發(fā)展趨勢。

傳統(tǒng)的保密管理只關(guān)注對文檔的管理，但在信息化條件下，涉密信息還包括應(yīng)用產(chǎn)生和使用的數(shù)據(jù)，以及對這些文檔和數(shù)據(jù)使用的過程。因此僅僅管理好文檔是不夠的，還必須有效地管控住應(yīng)用，才能真正保護好有價值的信息內(nèi)容。

應(yīng)用一般指的是應(yīng)用軟件（或應(yīng)用系統(tǒng)）。應(yīng)用軟件往往運行在商用操作系統(tǒng)之上，而商用操作系統(tǒng)由于其功能豐富，強調(diào)通用性和開放性，其固有的保護機制很難映射到各種應(yīng)用系統(tǒng)的安全策略，使得應(yīng)用系統(tǒng)面臨安全威脅，進而影響信息內(nèi)容的可用性、完整性、機密性。應(yīng)用安全的基本要求是要保護應(yīng)用軟件計算、使用、存儲、轉(zhuǎn)換的數(shù)據(jù)的可用性、完整性、機密性，以及訪問這些數(shù)據(jù)的用戶身份的真實性、不可抵賴性。

解決應(yīng)用安全問題，一般是采用將安全策略強制隔離在一個相對小型的、可信的部件內(nèi)執(zhí)行，免受其他部件影響。這個部件可以是 CPU、內(nèi)存系統(tǒng)等硬件，也可以是操作系統(tǒng)內(nèi)核、虛擬機等軟件。Loki是一個帶內(nèi)存標記的系統(tǒng)架構(gòu)，通過對內(nèi)存的標記，控制應(yīng)用對內(nèi)存的讀、寫訪問。操作系統(tǒng)可以利用Loki，將應(yīng)用系統(tǒng)安全策略映射到這種內(nèi)存保護機制。Overshadow統(tǒng)將應(yīng)用軟件運行于虛擬機中，并且利用特定程序?qū)κ鼙Ｗo應(yīng)用的內(nèi)存頁面進行加密，將應(yīng)用在商用操作系統(tǒng)環(huán)境中保護起來。

在集中管控下，應(yīng)用是指信息系統(tǒng)提供給用戶達到其工作目的的功能集合，包括用戶（主體）對信息內(nèi)容（客體）訪問和使用的全過程（人機交互—使用—存儲），而不僅僅指應(yīng)用軟件本身。應(yīng)用管控是對用戶訪問和使用信息內(nèi)容的全部過程進行安全管理和控制，保證主體有條件、強制性、隔離性地訪問客體，防止各種非法、越權(quán)操作。在信息保密領(lǐng)域，客體應(yīng)該處于強制性的主導地位，而主體則處于從屬地位�？腕w包含多方面的屬性（如：秘密屬性），利用這些屬性對主體的訪問和使用進行主動約束（見圖1）。

圖1　應(yīng)用與應(yīng)用管控

應(yīng)用管控不僅要解決應(yīng)用軟件在主機上運行的安全問題，還需要解決用戶接入、應(yīng)用的發(fā)布與使用管理、內(nèi)容管理、存儲管理等多方面問題。

接下來我們將探討解決這些問題、實現(xiàn)應(yīng)用管控的思路和方法，以及對應(yīng)用系統(tǒng)的要求。

2 應(yīng)用管控方法

為實現(xiàn)應(yīng)用管控，我們提出如下模型，如圖2。

圖2　應(yīng)用管控實現(xiàn)模型

實現(xiàn)模型的三個關(guān)鍵元素是：

（1）應(yīng)用網(wǎng)關(guān)

應(yīng)用網(wǎng)關(guān)應(yīng)具備以下功能：

1）用戶—資源（應(yīng)用和內(nèi)容）隔離；

2）人機交互；

3）應(yīng)用接入。

（2）應(yīng)用管控策略

包括用戶接入管控、使用管控、內(nèi)容管控和存儲管控策略。

（3）資源網(wǎng)關(guān)

主要實現(xiàn)應(yīng)用與內(nèi)容的隔離，以及內(nèi)容訪問管理。資源網(wǎng)關(guān)應(yīng)具備以下功能：

1）用戶、應(yīng)用—內(nèi)容隔離

2）內(nèi)容訪問管理

2.1接入管控

2.1.1用戶—資源隔離

首先要做到用戶—資源隔離，一般要求做到：

（1）阻斷普通ＩＰ流量，只有授權(quán)應(yīng)用連接可以建立；

（2）不同用戶之間隔離；

（3）通道加密。

2.1.2人機交互

傳統(tǒng)的人機交互在應(yīng)用計算機本地進行，用戶直接通過鍵盤、鼠標輸入信息，本地計算機進行功能實現(xiàn)和結(jié)果展現(xiàn)。

隨著終端、虛擬化技術(shù)的發(fā)展，出現(xiàn)了遠程終端操作技術(shù)：用戶通過操作終端上傳鍵盤、鼠標等操作信息，終端上顯示遠程應(yīng)用計算機上的畫面信息。這樣就把人機交互操作與功能使用操作進行某種程度上的分離，使得操作內(nèi)容和操作過程都在應(yīng)用計算機上，不在操作終端上保留，有利于信息安全保密。

這種情況下，還要在操作終端上采取防拷屏、防操作錄像等管控措施。

2.2使用管控

2.2.1應(yīng)用發(fā)布

作為使用前管控措施，應(yīng)用發(fā)布一般采用黑、白名單技術(shù)。

白名單是獲得安全審核的應(yīng)用列表，反之，黑名單則是經(jīng)審核為不安全的應(yīng)用列表，這些應(yīng)用不能在系統(tǒng)中運行。

為使名單中的應(yīng)用不被篡改，需要使用數(shù)字簽名、哈希等手段，保證應(yīng)用的完整性。使用白名單時，應(yīng)將默認策略設(shè)置為不可執(zhí)行。

黑、白名單必須運行在系統(tǒng)級，因此必須確保建立在安全的系統(tǒng)上。

2.2.2應(yīng)用功能集

本著最小權(quán)限（或最小適用性）原則，應(yīng)該將應(yīng)用功能細分，組成應(yīng)用功能集。

以常見的文檔操作為例，常用功能可以定義為：閱讀、編輯、復制、下載、打印等等。如果針對文檔中的每一個段落定義功能集，則可以實現(xiàn)比文件更細粒度的管控。

2.2.3應(yīng)用隔離

應(yīng)用隔離是使用前和使用中的管控，為使用過程提供安全的環(huán)境。常用手段包括服務(wù)隔離、虛擬機隔離、物理主機隔離、網(wǎng)段隔離等。

（1）服務(wù)隔離

在終端服務(wù)架構(gòu)中，不同的應(yīng)用實例可以運行在不同的終端服務(wù)環(huán)境中，實現(xiàn)相互隔離。其隔離性取決于提供終端服務(wù)的操作系統(tǒng)

（2）虛擬機隔離將不同的應(yīng)用實例運行在不同的虛擬機上，其隔離性取決于虛擬機及虛擬機管理器。

（3）物理主機隔離

將不同的應(yīng)用實例運行在不同的物理主機上，其隔離性取決于主機之間網(wǎng)絡(luò)通信的控制。

（4）網(wǎng)段隔離

在不同的應(yīng)用系統(tǒng)之間劃分不同的安全域，通過邏輯隔離設(shè)備實現(xiàn)不同網(wǎng)段之間的隔離，其隔離性取決于邏輯隔離設(shè)備。

這種隔離方式可以結(jié)合前面三種隔離方式，做到更好的隔離性。

2.2.4使用控制

使用控制需要結(jié)合用戶屬性、應(yīng)用功能集和信息屬性集，實現(xiàn)用戶在信息使用過程中的控制。使用控制應(yīng)包括輸入、輸出控制。

以打印控制為例，控制的內(nèi)容包括：誰可以打印什么內(nèi)容、打印份數(shù)、打印位置，等等（見圖3）。

圖3　輸入輸出控制

具體控制功能的實現(xiàn)位置，可以分為：

（1）終端控制

對于普通的應(yīng)用模式，人機交互與功能使用都在終端進行，需要在終端上進行使用控制。此時需要保證控制策略下發(fā)的安全性，以及控制策略在終端上的正確執(zhí)行。

（2）服務(wù)器控制

對于功能使用在服務(wù)器端進行的應(yīng)用模式，終端上只進行人機交互，具體使用控制在服務(wù)器端進行，不需要考慮控制策略下發(fā)。

2.3內(nèi)容管控

首先是內(nèi)容的隔離。將不同管理域的內(nèi)容分區(qū)管理，分區(qū)使用。例如可以劃分為個人區(qū)、工作區(qū)、成品區(qū)。

其次可以定義內(nèi)容與應(yīng)用相關(guān)屬性（或標簽）。以文檔為例，常見的屬性包括：密級、有效期、知悉范圍、打印份數(shù)、拷貝份數(shù)、水印等等。利用這些屬性，可以實現(xiàn)內(nèi)容針對用戶、應(yīng)用系統(tǒng)的過濾，用在使用控制過程中，實現(xiàn)用戶以授權(quán)的“合法”方式訪問和使用授權(quán)的“合法”信息。

資源網(wǎng)關(guān)上定義了“用戶—應(yīng)用—數(shù)據(jù)”的對應(yīng)關(guān)系，可以將使用管控和內(nèi)容管控結(jié)合起來，通過建立信息訪問和交換的統(tǒng)一標準，實現(xiàn)跨系統(tǒng)的應(yīng)用交換。這里的應(yīng)用交換不是簡單地把數(shù)據(jù)交給對方，而是把自己的應(yīng)用邏輯延伸到對方，讓對方以授權(quán)的“合法”方式訪問和使用授權(quán)的“合法”信息，而信息本身還在擁有方控制中。

2.4存儲管控

信息存儲在存儲系統(tǒng)中，實際情況下很難做到不同應(yīng)用系統(tǒng)對應(yīng)各自獨立的存儲系統(tǒng)，往往是不同應(yīng)用系統(tǒng)的數(shù)據(jù)共用存儲。這種情況下，對存儲進行管控是非常必要的，體現(xiàn)在以下幾方面。

（1）存儲系統(tǒng)訪問控制

應(yīng)用系統(tǒng)只有經(jīng)過認證授權(quán)才能訪問存儲系統(tǒng)及其中的內(nèi)容。

基于網(wǎng)絡(luò)訪問的ＣＩＦＳ、網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)均提供這方面的支持。

（2）存儲隔離

不同管理域的信息可以存儲在不同的區(qū)域，實現(xiàn)存儲隔離。

（3）存儲加密

為保信息內(nèi)容不被竊取，應(yīng)實現(xiàn)存儲加密。對不同用戶的數(shù)據(jù)采用不同的加密密鑰，可以實現(xiàn)更好的加密保護。

2.5對應(yīng)用的要求

在本文的應(yīng)用管控模型中，對應(yīng)用系統(tǒng)要求：

（1）功能的完備性、可細分

以圖4所示電子商務(wù)應(yīng)用為例，完整的功能需要“App訂單”“App支付”“App物流”等多個程序完成。由于“App訂單”需要的數(shù)據(jù)還需要來源于“App支付”和“App物流”，而非統(tǒng)一來源于資源網(wǎng)關(guān)，因此不能只通過資源網(wǎng)關(guān)控制數(shù)據(jù)的訪問和操作。

圖4　應(yīng)用功能的交叉性

因此需要“App訂單”的功能是完備的，其對數(shù)據(jù)的訪問全部來源于資源網(wǎng)關(guān)，才能通過資源網(wǎng)關(guān)控制數(shù)據(jù)的訪問和操作。為實現(xiàn)應(yīng)用功能的細粒度控制，還需要應(yīng)用功能可細分。

（2）應(yīng)用可識別并傳送用戶身份

對于單機應(yīng)用，一般情況下每個用戶對應(yīng)獨立應(yīng)用進程。對于網(wǎng)絡(luò)多用戶應(yīng)用，一般每個用戶對應(yīng)一個 Session ID。應(yīng)用應(yīng)具有區(qū)分用戶Session ID，并在需要時可將用戶身份與Session ID對應(yīng)關(guān)系傳遞給資源網(wǎng)關(guān)。

2.6對內(nèi)容的控制

內(nèi)容最常見的是文件系統(tǒng)和數(shù)據(jù)庫系統(tǒng)。對于文件系統(tǒng)，由于每個文件的獨立性，容易實現(xiàn)針對每個文件的訪問控制。但對文件中某節(jié)、某段的控制，則需要應(yīng)用軟件本身功能支持。

對于數(shù)據(jù)庫系統(tǒng)，需要采用基于內(nèi)容的訪問控制手段，如 Oracle支持虛擬私有數(shù)據(jù)庫（Virtual Private Database,VPD）技術(shù)，可以簡單實現(xiàn)行級訪問控制；列敏感策略特性，可以實現(xiàn)列級訪問控制。在資源網(wǎng)關(guān)上實現(xiàn)文件的控制比較容易，要實現(xiàn)數(shù)據(jù)庫的控制則需要實現(xiàn)基于數(shù)據(jù)庫內(nèi)容的訪問控制功能。

3 有待解決的問題

集中管控是一套復雜的系統(tǒng)，其中應(yīng)用管控又是關(guān)鍵。

應(yīng)用管控中還有其他一些問題，需要進一步研究和探討。

（1）應(yīng)用標準化

為實現(xiàn)功能的細粒度控制，需要標準化、精細化地定義應(yīng)用的功能集�？梢韵葟男袠I(yè)應(yīng)用的標準化開始。

（2）資源標準化

為實現(xiàn)資源的細粒度控制，需要標準化、精細化地定義資源屬性集�？梢韵葟男袠I(yè)數(shù)據(jù)的標準化開始。

（3）資源訪問控制

資源的訪問控制，尤其是數(shù)據(jù)庫資源的訪問控制，需要在資源網(wǎng)關(guān)里實現(xiàn)。

（4）存儲加密

大型系統(tǒng)中，如何處理大數(shù)據(jù)流的實時加解密，加密狀態(tài)下如何解決信息的快速檢索，還有待研究與開發(fā)。

4 結(jié)語

集中管控是保密管理的發(fā)展趨勢，其中應(yīng)用管控又是關(guān)鍵。

通過對信息系統(tǒng)應(yīng)用模型進行分析，我們提出了一個應(yīng)用管控模型，對其中應(yīng)用管控面臨的問題提出了解決的思路和辦法。

基于此模型開發(fā)的系統(tǒng)已經(jīng)在黨政、軍隊多個單位使用，獲得用戶的一致認可。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標題：集中管控下的應(yīng)用管控

本文網(wǎng)址：http://www.ezxoed.cn/html/consultation/10839310333.html

關(guān)鍵詞標簽： 集中管控下的應(yīng)用管控,集中管控應(yīng)用管控使用控制內(nèi)容控制應(yīng)用網(wǎng)關(guān) 資源網(wǎng)關(guān),ERP,ERP系統(tǒng),ERP軟件,ERP系統(tǒng)軟件,ERP管理系統(tǒng),ERP管理軟件,進銷存軟件,財務(wù)軟件,倉庫管理軟件,生產(chǎn)管理軟件,企業(yè)管理軟件,拓步,拓步ERP,拓步軟件,免費ERP,免費ERP軟件,免費ERP系統(tǒng),ERP軟件免費下載,ERP系統(tǒng)免費下載,免費ERP軟件下載,免費進銷存軟件,免費進銷存,免費財務(wù)軟件,免費倉庫管理軟件,免費下載,

本文轉(zhuǎn)自：e-works制造業(yè)信息化門戶網(wǎng)

本文來源于互聯(lián)網(wǎng)，拓步ERP資訊網(wǎng)本著傳播知識、有益學習和研究的目的進行的轉(zhuǎn)載，為網(wǎng)友免費提供，并盡力標明作者與出處，如有著作權(quán)人或出版方提出異議，本站將立即刪除。如果您對文章轉(zhuǎn)載有任何疑問請告之我們，以便我們及時糾正。聯(lián)系方式：QQ：10877846 Tel：0755-26405298。

上一篇：軟件定義網(wǎng)絡(luò)(SDN)的理想與現(xiàn)實

下一篇：突破商業(yè)智能包圍圈：潤乾從報表開始

相關(guān)文章

管理咨詢

拓步ERP系統(tǒng)軟件平臺11.5專業(yè)版v10.1.2...

拓步ERP系統(tǒng)軟件平臺11.5標..

金蝶KIS財務(wù)軟件標準版V8.1..

金蝶KIS財務(wù)軟件迷你版V8.1..

金蝶KIS工業(yè)貿(mào)易專業(yè)版V12...

SQL2000 4in1 ISO..

MSDE2000 SP4 簡體中..

金蝶KIS商貿(mào)高級版V4.0|破..

金蝶KIS財務(wù)軟件行政事業(yè)版V9..

金蝶KIS零售版V4.1|破解版..

熱門培訓視頻

拓步ERP系統(tǒng)平臺庫存管理系統(tǒng)培訓視頻教材

拓步ERP系統(tǒng)平臺客戶端安裝培訓..

拓步ERP財務(wù)管理系統(tǒng)培訓視頻

拓步ERP系統(tǒng)平臺數(shù)據(jù)庫安裝培訓..

拓步ERP系統(tǒng)平臺通用操作培訓視..

拓步ERP系統(tǒng)平臺采購管理系統(tǒng)培..

拓步ERP系統(tǒng)平臺考勤管理系統(tǒng)培..

拓步ERP系統(tǒng)平臺財務(wù)報表系統(tǒng)培..

拓步ERP系統(tǒng)平臺財務(wù)總帳系統(tǒng)培..

拓步ERP系統(tǒng)平臺應(yīng)收帳款系統(tǒng)培..

熱門電子圖書

拓步ERP財務(wù)管理系統(tǒng)電子圖書

熱門管理軟件

拓步ERP系統(tǒng)管理軟件介紹

拓步ERP平臺系列旗艦版

拓步ERP生產(chǎn)系列標準版（進銷存..

拓步ERP業(yè)務(wù)系列倉存版（倉庫管..

拓步ERP平臺系列標準版

拓步ERP財務(wù)系列迷你版（財務(wù)管..

拓步ERP條碼系列業(yè)務(wù)標準版（條..

拓步ERP平臺系列企業(yè)版

拓步ERP平臺系列專業(yè)版

拓步ERP行業(yè)系列電子行業(yè)版


	ERP新聞動態(tài) 拓步新聞行業(yè)新聞關(guān)注產(chǎn)品觀點縱橫企業(yè)管理企業(yè)應(yīng)用

	ERP解決方案按ERP應(yīng)用行業(yè)分類按ERP企業(yè)規(guī)模分類按ERP管理領(lǐng)域分類按ERP軟件功能分類按ERP系統(tǒng)特性分類用友ERP解決方案金蝶ERP解決方案易飛ERP解決方案速達ERP解決方案其他ERP解決方案

	ERP顧問咨詢 ERP管理咨詢 ERP戰(zhàn)略診斷 ERP流程分析 ERP流程優(yōu)化 ERP風險分析 ERP可行性研究 ERP整體規(guī)劃 ERP選型招標 ERP實施監(jiān)理 ERP評審驗收 ERP績效評價 ERP基礎(chǔ)知識 ERP課程培訓 ERP培訓教育 ERP視頻教材

	CIO技術(shù)專欄 CIO企業(yè)應(yīng)用 CIO網(wǎng)絡(luò)通信 CIO信息安全 CIO基礎(chǔ)設(shè)施 CIO云計算

	ERP技術(shù)支持技術(shù)支持知識庫常見問題資料庫在線學習資料庫日常辦公資料庫企業(yè)管理知識庫

	ERP系統(tǒng)價格拓步ERP系統(tǒng)價格體系拓步EIS軟件價格體系合作品牌ERP價格體系技術(shù)支持服務(wù)價格體系

	合作品牌用友UFIDA 金蝶KingDee 神州數(shù)碼Digital 速達SuperData 拓步ERP系統(tǒng)成功案例

	代理加盟合作聯(lián)盟策略代理合作指南代理聯(lián)盟前景聯(lián)盟技術(shù)支持快速搜索ERP軟件資訊

	關(guān)于拓步公司介紹公司愿景企業(yè)文化誠聘英才聯(lián)系我們在線留言在線訂購意向下載體驗登記

2021色婷婷综合久久久_国产亚洲午夜高清国产亚洲_亚洲开心婷婷中文字幕_亚洲国产中文精品字幕第一页_国产综合免费视频

ERP顧問咨詢

ERP原理知識

ERP實施培訓

CIO技術(shù)專欄

CIO企業(yè)應(yīng)用

CIO網(wǎng)絡(luò)通信

CIO信息安全

CIO基礎(chǔ)設(shè)施

CIO云計算

即時聯(lián)系

服務(wù)熱線

快捷互動

猜您喜歡