利用RemoteApp实现涉密电子信息集中管控系统的安全在线编辑

李 康 陈清华

1(浙江清华长三角研究院 浙江 嘉兴 314006)2(浙江大学工程师学院 浙江 杭州 310011)

0 引 言

随着计算机和信息化的不断普及，自动化办公得到广泛应用，传统的纸质文件越来越多地向电子化文档转换，大量的电子信息分散存储在用户各种终端设备中。这种信息的存储管理手段存在着管理难度大、容易丢失、没有版本管理等问题，尤其是其中的涉密电子信息存在着极大的失泄密隐患。

涉密电子信息集中管控系统将涉密电子信息集中加密存储于存储集群中，参照传统纸质涉密文件的管控办法对涉密电子信息进行集中管控，采取“集中存储，加密保护，授权使用，精确控制，全程审计”的方法，实现“个人不留密，终端不存密”的保密要求，有效切断内部人员泄密涉密信息的途径，提高涉密电子信息安全系数[1]。

1 涉密电子信息集中管控系统

涉密电子信息集中管控系统通常包括电子文件集中存储、集中管理、加密保护、授权使用、精确管控、全程审计等功能，可以实现对电子文件从创建、流转、成文至鉴定、归档、利用、销毁全生命周期的精确闭环管控[2]。

如今的电子信息种类繁多，使得电子文件的格式也多种多样，涉密电子信息集中管控系统自身又不可能支持所有电子文件格式的查看或编辑，因此涉密电子信息集中管控系统必须依赖第三方软件来实现对电子文件的查看或编辑，如MS Office、WPS、Photoshop、SolidWorks、Auto CAD等。这样的前提条件使得电子文件在查看或编辑时必须暂时离开涉密电子信息集中管控系统的管控范围，并且此时的电子文件显然是解密后的文件，所以这个过程势必成为涉密电子信息集中管控系统的薄弱环节。

现有的涉密电子信息集中管控系统对电子文件在线编辑的解决方案多种多样，按照第三方软件所处的位置可分为两类：基于客户端第三方软件的在线编辑和基于服务端第三方软件的在线编辑。

1.1 基于客户端第三方软件的在线编辑

基于客户端第三方软件的在线编辑是电子信息集中管控系统比较常用的传统解决方案，可分为三种方法：下载为本地临时文件、将网络磁盘挂载到用户本地和Office插件。但无论是哪种方法都无法真正做到“个人不留密，终端不存密”。电子文件在线编辑时成为用户本地磁盘内或内存中的临时文件，并且直接向客户端暴露了文件下载接口和更新接口，使得涉密电子信息集中管控系统存在严重的失泄密隐患。

1.2 基于服务端第三方软件的在线编辑

基于服务端第三方软件的在线编辑主要有基于VDI(Virtual Desktop Infrastructure)和基于WOPI(Web Application Open Platform Interface)协议[3]两种方式。

1.2.1基于VDI

在2006年8月9日的搜索引擎大会(SES San Jose 2006)上，时任Google首席执行官的Eric Schmidt首次提出了云计算的概念[4]。作为云计算服务模式之一的VDI是目前较为成熟的桌面虚拟化解决方案。其核心思想是利用Hypervisor虚拟化将操作系统桌面环境制作成虚拟机[5]，其特点是集中管理、集中计算，用户的桌面被虚拟化后运行在后台的服务器上[6]，用户终端通过SPICE、VNC或RDP等远程连接协议访问该虚拟机。

基于VDI的在线编辑方案，是将VDI作为中间层在服务端和客户端之间竖起一道屏障，用户在终端上通过远程连接协议访问虚拟桌面，再用虚拟桌面内的涉密电子信息集中管控系统客户端连接到涉密电子信息集中管控系统的服务端(见图1)。这种方式使得电子文件在编辑时被管控在虚拟桌面内，可以真正做到用户终端的“个人不留密，本地不存密”。

图1 基于VDI的在线编辑方案

基于VDI的在线编辑方案缺点是：相对基于客户端的第三方软件在线编辑方案来说，需要额外建设一套VDI，建设成本比较高；无论是哪种远程连接协议，对网络带宽的要求都比较高；用户需要先做一个远程连接才能使用涉密电子信息集中管控系统，操作繁琐，用户体验差。

1.2.2基于WOPI协议

WOPI协议，即Web应用程序开放平台接口协议，MS Office和Libre Office都实现了这个协议，使得Office类电子文件可以直接通过Web查看或编辑。

基于WOPI协议的在线编辑方案(见图2)是一种纯B/S架构的解决方案，把部署于服务器的MS Office或Libre Office作为WOPI的客户端，涉密电子信息集中管控系统作为WOPI的服务端，文件的传递被严格限制在WOPI Server和WOPI Client之间，用户终端可以看到文件查看或编辑时的视图但不能接触到文件，可以真正做到“个人不留密，客户端不存密”。

图2 基于WOPI协议的在线编辑方案时序图

尽管基于WOPI协议的在线编辑方案是比较理想的在线编辑方案，但目前对WOPI协议支持的第三方软件少之又少，目前能用这种方式在线编辑的只有Office类文件。此外，WOPI对电子文件在查看或编辑时的管控也仅限于如同对整个文件只读、修改等这种比较粗粒度的控制。

2 基于RemoteApp的安全在线编辑方案

涉密电子信息集中管控系统的现有在线编辑方案，无论是基于客户端第三方软件还是基于服务端第三方软件，或无法确保“个人不留密，终端不存密”，或接口直接暴露到客户端，或操作层层嵌套繁琐无比，或支持类型有限，没有一种方案可以相对完美地解决安全在线编辑问题。

RDP是基于面向连接层的传输协议[7]，主要是TCP协议，采用层次结构。RDP的优点是兼容性好，其客户端可以在Windows、Linux、Unix等系统上运行，并且具有不错的安全性，是一种安全可靠的远程桌面连接协议[8]。RemoteApp是微软公司在Windows Server 2008及后续版本中引入的一项高级功能，它是微软远程桌面服务的一项重要改进，使得用户在本地计算机上运行远程服务器上的应用程序时，不再显示整个服务器桌面，而是只显示该远程应用，这种效果看起来就像在本地计算机上运行一样[9]。

如图3所示，基于RemoteApp的安全在线编辑方案，核心是使用利用RemoteApp,通过一台代理服务器将RDP协议转换为Websocket协议，使得客户端只需要一个浏览器就可以安全方便地实现在线编辑，而这一切完全不依赖于客户端的第三方软件。

图3 基于RemoteApp的安全在线编辑方案示意图

2.1 实现过程概述

如图4所示，基于RemoteApp的安全在线编辑方案的涉密电子信息集中管控系统的架构并不复杂，包括存储集群、涉密电子信息集中管控服务、应用服务器和安全在线编辑服务。相比传统的基于客户端第三方软件在线编辑方案的涉密电子信息集中管控系统而言，只是增加应用服务器和安全在线编辑服务，浏览器替代了原来的客户端软件(见图5)。

图4 基于RemoteApp的安全在线编辑方案架构图

图5 基于RemoteApp的安全在线编辑方案时序图

应用服务器负责提供安全在线编辑需要的第三方软件，如MS Office、WPS、PhotoShop、Auto CAD等。当应用服务器是一个集群时，就需要一个Windows Active Diretory来协助管理所有应用服务器和所有的用户账号。

安全在线编辑服务主要是向浏览器提供在线编辑服务，负责将RemoteApp连接的RDP协议转换成Websocket协议，并且提供浏览端解析转换后的RDP协议的Javascript代码。

浏览器向涉密电子信息集中管控服务请求查看或编辑一个电子文件后，涉密电子信息集中管控服务返回一个安全在线编辑服务的调用地址；浏览器收到调用地址后，通过WebSocket协议连接安全在线编辑服务，安全在线编辑服务首先向涉密电子信息集中管控服务验证调用的合法性并获取文件的概要信息，然后安全在线编辑服务根据当前要打开的文件类型，通过RDP协议请求打开应用服务器上的对应RemoteApp；应用服务器在建立RDP连接时挂载一个网络存储到本地成为临时磁盘，当RDP建立连接后用RemoteApp打开该文件；安全在线编辑服务将建立的RDP连接转换为Websocket协议，并转发浏览器与应用服务器之间的数据。浏览器发送到应用服务器的数据主要有鼠标的点击、鼠标的移动、键盘的输入等。应用服务器发送到浏览器的数据主要包括浏览器端鼠标键盘操作后的应用服务器的显示反馈、鼠标的位置、音频等。

2.2 方案优势

(1) 安全性 本方案也是一种基于服务端第三方软件在线编辑的解决方案，和基于VDI或WOPI协议的解决方案一样都可以真正做到文件不落地，实现“个人不留密，终端不存密”。用户在终端机上查看或编辑一个文件看到的只是一个远程连接后的图像显示，彻底杜绝了用户终端机上失泄密的隐患。

(2) 兼容性 在线编辑所依赖的第三方软件全都安装于服务端的应用服务器上，版本统一，并且有专门的IT人员来维护，最大程度地减少了第三方软件的版本兼容性问题。对客户端而言，不再需要在用户终端机上安装任何软件，只需要一个普通浏览器就可以实现所有功能。

(3) 管控力度 可以利用对安全在线编辑服务的控制可以实现对电子文件在线编辑时的精细管控，如禁止文件内容的复制、粘贴，屏幕水印，打印权限等。

(4) 文件类型 本方案具有非常好的文件类型扩展性。涉密电子信息集中管控系统对文件类型的支持取决于在线编辑所依赖的第三方软件，而本方案的第三方软件全部安装于服务端的应用服务器上，因此对文件类型的扩展是非常容易的，只要由IT人员安装相应文件类型的第三方软件就可以实现。

(5) 绿色、经济 本方案将应用软件、计算资源、存储资源都集中在了服务端，实现了应用软件共享、计算资源共享和存储资源共享，很大程度上降低了软件、硬件成本。对客户端而言，由于用浏览器替代了传统客户端软件，并且不需要安全任何第三方软件，具有很好兼容性的同时对用户的终端机的性能要求也大大降低，甚至可以支持性能极低的瘦终端作为用户终端机。

3 结 语

传统保密管理理念并未重视内部人员的有意或无意泄密。据Gartner报告，85%的泄密事件源于内部人员误操作或违规行为。组织采用防火墙、入侵检测和防护系统、安全审计工具等防止外部黑客攻击组织内网，但对内部人员的防护则往往未得到应有的重视[10]。涉密电子信息集中管控系统将涉密电子信息集中存储到服务端并加以集中严格管控，使得涉密电子文件不再分散存储在内部人员的终端设备上，大大减少了内部人员失泄密的可能性。然而传统的在线编辑方案使涉密电子信息集中管控系统在电子文件查看或编辑时存在失泄密隐患。

传统电子信息集中查看或编辑电子文件时存在失泄密隐患是因为它需要依赖用户本地的第三方编辑软件并且必须将服务端的电子文件下载到用户本地。本方案利用微软的RemoteApp技术，使涉密电子信息集中管控系统在线编辑时将电子信息控制在服务端，电子信息不再“落地”，成功地加强了涉密电子信息集中管控系统的最薄弱环节，真正实现“个人不留密，终端不存密”。此外，文件编辑不再依赖于用户本地的第三方编辑软件，使得用户的终端更加轻量化、用户体验得到提升；文件编辑统一使用服务端的文件编辑软件，也使得电子文件的兼容性得到大大改善。

总而言之，本方案相比传统涉密电子信息集中管控系统大幅提高了安全性、兼容性和管控力度，在文件类型的支持上也更加灵活、丰富，服务端共享资源方式替代个人富终端也更加经济、环保。