【51CTO.com綜合報道】筆記本作為便攜移動PC，帶來方便的同時，同時也帶來一定的風險，因為筆記本體積小、攜帶方便，但使用人員不可能保證每時每刻筆記本形影不離，如果筆記本電腦不慎遺失，特別在一些公共場所容易被人盜走，這樣導致筆記本上存儲的資料被訪問或刪改會造成很大的損失。越來越多的筆記本使用人員在使用筆記本辦公的同時，同樣使用筆記本處理個人事務，那如何平衡個人辦公兩不誤呢？此外，筆記本電腦的數(shù)據(jù)安全更應該值得重視，不僅僅是涉及一些個人的信息，還有其上存儲重要的敏感單位信息，更應該時刻保持警惕，那么，如何基于不同用戶、不同的應用場景和需求提供完善的移動PC安全管理解決方案呢？既要考慮到個人使用的實際需要，又需要提供數(shù)據(jù)安全管控。

Chinasec移動PC安全管理解決方案既考慮到個人使用的實際情況，又考慮到數(shù)據(jù)安全保密，兼顧移動PC的開放性和保密性，有效實現(xiàn)了移動PC既需要連接外網(wǎng)（Internet）或處理個人事務，又需要防止核心數(shù)據(jù)泄密的目標。

Chinasec移動PC安全管理解決方案實現(xiàn)了在移動PC上建立多個工作模式，用戶除了使用右下角的圖標進行模式切換外，其他均不影響用戶使用習慣。工作模式可以相互切換，不同模式其控制的計算機資源（網(wǎng)絡、外設、軟件、移動存儲設備、本地數(shù)據(jù)區(qū)等）不同，如下圖所示：

通過不同的模式下對應的計算機資源控制狀態(tài)不同來達到對移動PC的安全管控。基于上述圖示描述，移動PC普通模式下，可以自由使用移動PC，但唯獨不能使用保密分區(qū)（本地數(shù)據(jù)區(qū)）和訪問內(nèi)網(wǎng)應用服務器，這樣給使用者提供了便利的使用，同時保證數(shù)據(jù)保密區(qū)和內(nèi)網(wǎng)應用服務器上的數(shù)據(jù)的安全性；同樣，移動PC工作模式下，可以自由使用保密分區(qū)和內(nèi)網(wǎng)應用服務器，但無法自由使用其他資源，如網(wǎng)絡、外設等，從而達到工作環(huán)境下產(chǎn)生的數(shù)據(jù)安全存儲和應用。

1)保密分區(qū)

Chinasec移動PC安全管理系統(tǒng)部署后，在移動PC本地硬盤空間會專門分配一個特殊分區(qū)，作為保密分區(qū)。保密分區(qū)存儲的數(shù)據(jù)都是加密的，并且僅在用戶登錄工作模式的時候才能打開并正常使用，在普通模式、光驅啟動或者另外的操作系統(tǒng)下都無法訪問該數(shù)據(jù)區(qū)。保密分區(qū)是用戶在本地計算機存儲保密數(shù)據(jù)的唯一有效區(qū)域，該區(qū)域的數(shù)據(jù)不能通過網(wǎng)絡、存儲設備或者其他任何途徑復制到工作模式外的存儲資源中區(qū)，受到嚴格的保密控制。

2)模式切換

Chinasec移動PC安全管理系統(tǒng)部署后，將內(nèi)網(wǎng)的資源分為受控資源和非受控資源。相對于受控資源（比如工作中產(chǎn)生的敏感數(shù)據(jù)）和非受控資源（非敏感數(shù)據(jù)），Chinasec移動PC安全管理系統(tǒng)將移動PC分為工作模式和普通模式。在工作模式，授權計算機和用戶可以訪問和使用受控資源，但不能使用非受控資源；在普通模式，授權計算機和用戶可以訪問非受控資源，但不能訪問受控資源。通過模式切換，將受控資源和非受控資源使用環(huán)境進行了邏輯上的隔離。

在計算機開機的時候，自動進入普通模式。普通模式是一種非保密模式，用戶可以自由訪問Internet外網(wǎng)，使用本地移動存儲設備復制數(shù)據(jù)等，但是不能訪問內(nèi)部的文件存儲服務器、OA服務器、安全文件服務器和其他重要的企業(yè)數(shù)據(jù)資源等，也不能訪問本地硬盤上的保密分區(qū)。

如果用戶需要開始工作，通過登錄認證(登錄認證依賴口令或令牌)切換進入工作模式。一旦進入工作模式，計算機終端將執(zhí)行以下的操作：

◆ 切斷跟非受控網(wǎng)絡資源，如Internet、外網(wǎng)和其他管理員未定義網(wǎng)絡連接。切斷的方式是通過網(wǎng)絡協(xié)議的加密重構實現(xiàn)，具有高度的安全性保障。

◆  打開受控網(wǎng)絡資源的連接權限，該計算機和用戶可以訪問管理員授權的內(nèi)部文件服務器、OA服務器、安全文件服務器以及其他內(nèi)部服務器等。

◆ 切斷本地非受控存儲區(qū)域（保密分區(qū)除外的所有存儲設備）的存儲權限，但是保留讀取權限。

◆打開本地保密分區(qū)，用戶可以訪問和自由使用保密分區(qū)的數(shù)據(jù)。

可以看到，通過上述的模式切換，用戶在工作模式下可以使用普通模式下的硬盤中存儲的數(shù)據(jù)，但不能將工作模式下的數(shù)據(jù)復制或者存儲到普通模式下的非受控存儲區(qū)域。因為單位所有的核心數(shù)據(jù)都存儲在服務器和保密分區(qū)中，而服務器和保密分區(qū)能在工作模式下使用，并且未經(jīng)授權，沒有任何途徑可以將數(shù)據(jù)帶出工作模式的保密區(qū)域，從而對單位的核心數(shù)據(jù)實現(xiàn)了嚴格的保密措施。

部署方式

Chinasec移動PC安全管理系統(tǒng)部署圖

方案優(yōu)勢

1)針對移動PC的特殊性，提供加密、認證等多種技術手段針對移動PC安全管理解決方案；

2)提供移動PC模式切換，提供完善的個人數(shù)據(jù)和辦公數(shù)據(jù)相互邏輯隔離，既不影響個人使用，又提高了數(shù)據(jù)的安全性；

3)不僅僅提供了移動PC安全管理方案，同時保證了保存在本機的敏感數(shù)據(jù)的安全性，未經(jīng)授權的前提下，所外發(fā)的文件均為加密狀態(tài)；

4)有效的規(guī)避了因移動PC的丟失、被盜等情況造成的數(shù)據(jù)泄密事件；

5)兼容性強，系統(tǒng)采用驅動層分區(qū)磁盤加密，加密效率、安全性高等。