1总体设计思路

　　为了加强对IT系统核心数据的安全管控，本方案借助SaaS云平台技术着力为企业的数据信息安全设计一套“安全城堡”——数据安全管控平台，OA、EDA的用户都需要到平台上进行日常办公，通过平台提供的办公软件（如：word/excel/ppt/pdf/rar等）实现文件的编辑；所有的数据只能在平台内部流转，公司的战略决策、经营数据等等机密数据只能在平台中查看、修改和传递。该平台就是一个典型的SaaS型云计算应用在安全领域的虚拟场景，它通过IE浏览器向用户提供一切应用服务，所有的办公软件、电子邮件以及OA和经分系统均由云来提供，从而实现一个封闭的办公工作环境。同时，该方案通过闭环审批、数字加密和PDF水印等技术，有效防范核心数据的泄漏，保证核心数据的只能看、不能下，能互传，需要下、领导批、加水印。

　　数据安全管控平台方案如图1所示。

　　2数据安全管控平台的特色功能

　　（1）软件透明化发布。

　　很多人熟悉GoogleDocs的使用场景，在浏览器中完成文件的编辑，此为应用发布的1.0版本；1.0版本的致命缺陷是改变了用户的使用习惯，文档被困在浏览器的窗口中，不能全屏。本方案将在windows2008server的TerminalServicesRemoteApp技术上通过定制开发，实现应用软件动态在线发布，和用户本地安装的软件无任何区别，提升用户的使用感知。

　　（2）弹性云计算的应用。

　　该方案通过应用云平台的使用，实现应用的动态伸缩、按需分配，以降低能耗，达到节能减排的目的。通过管理中心实现智能调度，实现空闲时（如夜间）服务器自动休眠，繁忙时（上班期间）服务器自动激活。经过测算，假设该方案为7500个用户提供在线办公服务的场景，按照需求配置12台刀片服务器的情况，每夜可以休眠8台服务器，以每台机器600W功率，每天休眠8小时，1年节省的电费高达19622元，随着系统规模的扩大，节能减排的效果更好。

　　（3）个人文件夹的应用。

　　通过云端给每个用户设置一个个人文件夹，所有从OA、EDA系统中下载的文件只能保持在个人文件夹中，在个人文件夹中可以查看、编辑和传递文件，不同用户的个人文件夹保持隔离，但可以相互传递文件，传递的文件将被管理中心系统进行审计。

　　（4）公共存储区的应用。

　　在实际应用场景中，大量相同的文件被很多用户保存在各自的个人文件夹中，极大的浪费了存储空间。为了避免相同的文件被重复存储，该方案设计公共存储区，通过Hash算法能够识别出相同的文件，文件只保存一份在公共存储区，个人文件夹中只有保存文件的路径信息，以此节约大量存储投资成本。

　　3数据安全管控平台解决方案

　　3.1应用云技术

　　基于应用云技术将用户需要使用的应用软件或工具（包括B/S和C/S架构的应用）集中部署在应用服务器上，应用云平台通过WEB服务器向不同用户或用户群发布其所需的应用（包括OA系统、经营分析（EDA）系统、各类办公软件等），用户在客户端通过应用云平台提供的远程IE浏览器访问其所需要的应用（图2）。

　　3.2用户集中管理

　　系统基于“主从帐号”机制实现用户的集中管理和单点登录功能。

　　（1）主账号：用户登录数据安全管控系统的账号。系统的各项安全策略设置、用户的操作审计记录等均基于该帐号实现，该账户需进行身份的实名认证。