检察机关专用安全浏览器产品解决方案

　　在党政机关的办公环境中，浏览器早已成为办公场景中最常见的基础设施，用户已经习惯将打开浏览器作为电脑启动后的第一件事，通常也会在下班之前才去关闭它，可以说浏览器在潜移默化中已然与用户的工作场景融为一体。而正是这样一个与用户朝夕相伴的工具，却始终因为各种原因而导致在办公场景中问题重重，对于工作人员的使用体验、办公的整体效率，以及各层面的安全性都造成了较大的影响，主要可以概括为以下几个方面：

　　一、浏览器兼容性问题

　　众所周知，随着十几年的信息化发展历程，面向党政机关的业务系统建设年代通常较为久远，在众多的核心业务系统中，有相当大一部分业务系统是需要依赖IE浏览器打开并配置相关选项后才能正常访问的，页面兼容性在工作中带来各种不同的问题现象，比如访问的页面无法正常显示、用户无法正常登录、需要使用的插件无法正常加载和运行、各种配置参数总是被第三方软件篡改等等。对于普通用户来讲，很多时候他们不得不在同一台电脑上安装各种不同的浏览器来访问对兼容性有不同需求的业务系统。插件作为浏览器能力的补充，为用户提供了更加丰富的使用场景，在很多基于IE浏览器开发的业务系统中，更是在诸多方面都依赖于ActiveX插件。而对于在访问哪个系统时需要插件，使用什么功能时需要插件，以及插件如何下载安装等问题，大部分最终用户是不清楚的。

　　二、问题的碎片化与重复处理问题

　　浏览器使用过程中所产生的配置问题导致工作人员不得不停下手头的工作去解决这些问题，党政机关内的大多数工作人员都是面向自己业务的能手，但对于这种IT技能通常不会像技术人员那样得心应手，普通解决这样的浏览器相关的一个问题需要花费他们几十分钟的时间，我们保守的推算一下：一个上万人的党政机关，假设每人花十分钟去处理一个由“未签名的ActiveX控件”和“Windows Defender SmartScreen”导致的OA系统无法正常使用的问题，那么这个单位所花费的总工作时长为： 10分钟 * 10000人 / 60分钟 / 8小时 = 208天 纯工作时间，这是多么恐怖的资源浪费。

　　三、访问通信安全问题

　　网络通信安全已上升至我们国家的战略高度，无论是互联网还是大数据及物联网时代，通信安全一直都是被关注的焦点。在中国对基础设施领域的信息安全需求之下，我国制定了自主知识产权的ECC国家标准算法，国产密码算法将有效保障网络信息安全。浏览器作为用户与网络信息世界的接口，是国产密码算法的重要落脚点和应用普及的关键环节，但是由于操作系统的制约和国际主流浏览器的限制，之前没有任何一款通用浏览器产品能够支持国产密码算法，这给我们国家的网银、电子商务交易、税务、电子政务等各类与民生息息相关使用场景中对于国产密码算法的应用普及造成了严重的阻碍。

　　四、内部数据揭露的风险

　　从Verizon（威瑞森）发布的《2017年数据泄露调查报告》中可以看到，近1/4的数据泄露是由于单位内部人员造成的，内部威胁逐渐成为数据泄露的主要原因之一，工作人员的很多行为都可能会对单位信息安全造成危害，如页面分享、数据内容拍照、无授权打印、文本复制、恶意删除等行为都会成为数据泄露或攻击的途径。并且在通常情况下，浏览器在访问网页的过程中会在本地留下缓存数据以加快浏览速度，但通常这些数据的保存形式都是明文的，这就为攻击者留下了可乘之机，有些攻击者直接去通过窃取浏览器中留下的这些静态信息来分析出有价值的数据内容。

　　五、办公场景中的安全如何保护

　　在整体安全防护体系的建设过程中，任何相关角色的安全短板都可能导致整个安全体系的坍塌。浏览器是用户与网络信息世界的接口，它既是用户行为的出口，又是信息数据的入口，我们每天的工作过程中都有无数种中招的可能性，如何在整个工作生命周期保护用户信息数据的安全性，成为了浏览器产品选型过程中的一个重要考量因素。

　　检察机关专用安全浏览器是一款面向党政机关，以提高整体办公效率，降低协作成本，保护信息数据安全为主要目标的办公平台。解决浏览器兼容性问题、问题的碎片化与重复处理问题、内部数据揭露的风险问题、办公场景中的安全如何保护问题等。

　　浏览器服务端面向的用户是党政机关级管理员，在实际的工作环境中，有较大一部分业务系统是需要依赖IE浏览器打开并配置相关选项后，才能正常访问的，而配置这些选项对于大部分普通用户来说是非常具有难度的事情。

　　就上述问题的解决，我们的设计理念是：让专业的人做专业的事，由系统管理员在浏览器的管理服务后台统一下发IE相关的配置选项参数，因此，我们制定了云端配置方案，从而大大减少普通工作人员在使用过程中的复杂程度，提高整体工作效率。

　　浏览器客户端是工作人员的“上网入口”，也是Web内容的“呈现窗口”，为工作人员提供安全的，现代的和多彩的上网体验是其第一要务。 检察机关专用安全浏览器继承了原360安全浏览器的安全基因和丰富功能。 同时，根据党政机关应用的实际需要，对其诸多功能进行了裁剪优化，并提供了统一基于云端的配置方案，一则进行必要的权限限制和安全策略实施，以保证党政机关的业务和数据安全，二则在党政机关内部提供统一的浏览效果。

　　使用检察机关专用安全浏览器首先需要登录，目前支持帐号(手机号、邮箱地址)登录和短信验证码登录两种方式。未登录工作人员将无法使用，每次导航都会弹出模态的登录对话框，强制要求工作人员登录。登录以后，客户端会以轮询方式拉取云端的管理后台配置数据。数据格式采用流行的JSON，具有良好的扩展性和兼容性，数据通道使用较安全的HTTPS协议。客户端收到配置后，会立即强制实施配置的策略。

　　在党政机关浏览器的私有部署场景中，由于党政机关的管理要求、网络环境的限制以及浏览器客户端的定制化需求等原因，需要支持党政机关IT管理员通过党政机关浏览器管理后台来统一处理党政机关中的浏览器客户端升级需求。检察机关专用安全浏览器支持将浏览器客户端安装包在管理后台进行维护，客户端定时获取配置策略的时候，获取到的该功能的相关信息；同时，客户端在本地维护一份客户端当前版本信息，并与从管理后台获取到的客户端版本信息进行比对，如果达到更新条件，则根据配置信息中的url进行下载并执行覆盖安装。

　　六、服务器端

　　检察机关专用安全浏览器管理平台主要包含检察机关用户管理及浏览器策略配置下发功能。其中党政机关用户管理主要实现党政机关工作人员管理、权限管理、组织架构及身份认证等功能；党政机关浏览器国密、IE可信站点配置、插件管理、扩展管理、内核自动切换等策略下发到客户端生效。

　　七、客户端

　　检察机关专用安全浏览器在原安全浏览器基础上特别增加了国密模块，数据水印，内核切换，IE可信站点，插件检测与安装，用户行为安全策略，党政机关应用入口等功能模块。

　　与管理平台服务端配合，客户端是党政机关安全上网入口的守护者和配置策略的坚定执行者。

　　责任编辑：广汉