【51CTO.com綜合報(bào)道】筆記本作為便攜移動(dòng)PC，帶來(lái)方便的同時(shí)，同時(shí)也帶來(lái)一定的風(fēng)險(xiǎn)，因?yàn)楣P記本體積小、攜帶方便，但使用人員不可能保證每時(shí)每刻筆記本形影不離，如果筆記本電腦不慎遺失，特別在一些公共場(chǎng)所容易被人盜走，這樣導(dǎo)致筆記本上存儲(chǔ)的資料被訪問(wèn)或刪改會(huì)造成很大的損失。越來(lái)越多的筆記本使用人員在使用筆記本辦公的同時(shí)，同樣使用筆記本處理個(gè)人事務(wù)，那如何平衡個(gè)人辦公兩不誤呢？此外，筆記本電腦的數(shù)據(jù)安全更應(yīng)該值得重視，不僅僅是涉及一些個(gè)人的信息，還有其上存儲(chǔ)重要的敏感單位信息，更應(yīng)該時(shí)刻保持警惕，那么，如何基于不同用戶、不同的應(yīng)用場(chǎng)景和需求提供完善的移動(dòng)PC安全管理解決方案呢？既要考慮到個(gè)人使用的實(shí)際需要，又需要提供數(shù)據(jù)安全管控。

Chinasec移動(dòng)PC安全管理解決方案既考慮到個(gè)人使用的實(shí)際情況，又考慮到數(shù)據(jù)安全保密，兼顧移動(dòng)PC的開(kāi)放性和保密性，有效實(shí)現(xiàn)了移動(dòng)PC既需要連接外網(wǎng)（Internet）或處理個(gè)人事務(wù)，又需要防止核心數(shù)據(jù)泄密的目標(biāo)。

Chinasec移動(dòng)PC安全管理解決方案實(shí)現(xiàn)了在移動(dòng)PC上建立多個(gè)工作模式，用戶除了使用右下角的圖標(biāo)進(jìn)行模式切換外，其他均不影響用戶使用習(xí)慣。工作模式可以相互切換，不同模式其控制的計(jì)算機(jī)資源（網(wǎng)絡(luò)、外設(shè)、軟件、移動(dòng)存儲(chǔ)設(shè)備、本地?cái)?shù)據(jù)區(qū)等）不同，如下圖所示：

通過(guò)不同的模式下對(duì)應(yīng)的計(jì)算機(jī)資源控制狀態(tài)不同來(lái)達(dá)到對(duì)移動(dòng)PC的安全管控?；谏鲜鰣D示描述，移動(dòng)PC普通模式下，可以自由使用移動(dòng)PC，但唯獨(dú)不能使用保密分區(qū)（本地?cái)?shù)據(jù)區(qū)）和訪問(wèn)內(nèi)網(wǎng)應(yīng)用服務(wù)器，這樣給使用者提供了便利的使用，同時(shí)保證數(shù)據(jù)保密區(qū)和內(nèi)網(wǎng)應(yīng)用服務(wù)器上的數(shù)據(jù)的安全性；同樣，移動(dòng)PC工作模式下，可以自由使用保密分區(qū)和內(nèi)網(wǎng)應(yīng)用服務(wù)器，但無(wú)法自由使用其他資源，如網(wǎng)絡(luò)、外設(shè)等，從而達(dá)到工作環(huán)境下產(chǎn)生的數(shù)據(jù)安全存儲(chǔ)和應(yīng)用。

1)保密分區(qū)

Chinasec移動(dòng)PC安全管理系統(tǒng)部署后，在移動(dòng)PC本地硬盤空間會(huì)專門分配一個(gè)特殊分區(qū)，作為保密分區(qū)。保密分區(qū)存儲(chǔ)的數(shù)據(jù)都是加密的，并且僅在用戶登錄工作模式的時(shí)候才能打開(kāi)并正常使用，在普通模式、光驅(qū)啟動(dòng)或者另外的操作系統(tǒng)下都無(wú)法訪問(wèn)該數(shù)據(jù)區(qū)。保密分區(qū)是用戶在本地計(jì)算機(jī)存儲(chǔ)保密數(shù)據(jù)的唯一有效區(qū)域，該區(qū)域的數(shù)據(jù)不能通過(guò)網(wǎng)絡(luò)、存儲(chǔ)設(shè)備或者其他任何途徑復(fù)制到工作模式外的存儲(chǔ)資源中區(qū)，受到嚴(yán)格的保密控制。

2)模式切換

Chinasec移動(dòng)PC安全管理系統(tǒng)部署后，將內(nèi)網(wǎng)的資源分為受控資源和非受控資源。相對(duì)于受控資源（比如工作中產(chǎn)生的敏感數(shù)據(jù)）和非受控資源（非敏感數(shù)據(jù)），Chinasec移動(dòng)PC安全管理系統(tǒng)將移動(dòng)PC分為工作模式和普通模式。在工作模式，授權(quán)計(jì)算機(jī)和用戶可以訪問(wèn)和使用受控資源，但不能使用非受控資源；在普通模式，授權(quán)計(jì)算機(jī)和用戶可以訪問(wèn)非受控資源，但不能訪問(wèn)受控資源。通過(guò)模式切換，將受控資源和非受控資源使用環(huán)境進(jìn)行了邏輯上的隔離。

在計(jì)算機(jī)開(kāi)機(jī)的時(shí)候，自動(dòng)進(jìn)入普通模式。普通模式是一種非保密模式，用戶可以自由訪問(wèn)Internet外網(wǎng)，使用本地移動(dòng)存儲(chǔ)設(shè)備復(fù)制數(shù)據(jù)等，但是不能訪問(wèn)內(nèi)部的文件存儲(chǔ)服務(wù)器、OA服務(wù)器、安全文件服務(wù)器和其他重要的企業(yè)數(shù)據(jù)資源等，也不能訪問(wèn)本地硬盤上的保密分區(qū)。

如果用戶需要開(kāi)始工作，通過(guò)登錄認(rèn)證(登錄認(rèn)證依賴口令或令牌)切換進(jìn)入工作模式。一旦進(jìn)入工作模式，計(jì)算機(jī)終端將執(zhí)行以下的操作：

◆ 切斷跟非受控網(wǎng)絡(luò)資源，如Internet、外網(wǎng)和其他管理員未定義網(wǎng)絡(luò)連接。切斷的方式是通過(guò)網(wǎng)絡(luò)協(xié)議的加密重構(gòu)實(shí)現(xiàn)，具有高度的安全性保障。

◆  打開(kāi)受控網(wǎng)絡(luò)資源的連接權(quán)限，該計(jì)算機(jī)和用戶可以訪問(wèn)管理員授權(quán)的內(nèi)部文件服務(wù)器、OA服務(wù)器、安全文件服務(wù)器以及其他內(nèi)部服務(wù)器等。

◆ 切斷本地非受控存儲(chǔ)區(qū)域（保密分區(qū)除外的所有存儲(chǔ)設(shè)備）的存儲(chǔ)權(quán)限，但是保留讀取權(quán)限。

◆打開(kāi)本地保密分區(qū)，用戶可以訪問(wèn)和自由使用保密分區(qū)的數(shù)據(jù)。

可以看到，通過(guò)上述的模式切換，用戶在工作模式下可以使用普通模式下的硬盤中存儲(chǔ)的數(shù)據(jù)，但不能將工作模式下的數(shù)據(jù)復(fù)制或者存儲(chǔ)到普通模式下的非受控存儲(chǔ)區(qū)域。因?yàn)閱挝凰械暮诵臄?shù)據(jù)都存儲(chǔ)在服務(wù)器和保密分區(qū)中，而服務(wù)器和保密分區(qū)能在工作模式下使用，并且未經(jīng)授權(quán)，沒(méi)有任何途徑可以將數(shù)據(jù)帶出工作模式的保密區(qū)域，從而對(duì)單位的核心數(shù)據(jù)實(shí)現(xiàn)了嚴(yán)格的保密措施。

部署方式

Chinasec移動(dòng)PC安全管理系統(tǒng)部署圖

方案優(yōu)勢(shì)

1)針對(duì)移動(dòng)PC的特殊性，提供加密、認(rèn)證等多種技術(shù)手段針對(duì)移動(dòng)PC安全管理解決方案；

2)提供移動(dòng)PC模式切換，提供完善的個(gè)人數(shù)據(jù)和辦公數(shù)據(jù)相互邏輯隔離，既不影響個(gè)人使用，又提高了數(shù)據(jù)的安全性；

3)不僅僅提供了移動(dòng)PC安全管理方案，同時(shí)保證了保存在本機(jī)的敏感數(shù)據(jù)的安全性，未經(jīng)授權(quán)的前提下，所外發(fā)的文件均為加密狀態(tài)；

4)有效的規(guī)避了因移動(dòng)PC的丟失、被盜等情況造成的數(shù)據(jù)泄密事件；

5)兼容性強(qiáng)，系統(tǒng)采用驅(qū)動(dòng)層分區(qū)磁盤加密，加密效率、安全性高等。