本文以尽可能详尽的方式,说明Aspace企业版的试用安装过程。
如果你不想在试用安装过程中出现任何意外,可以看这个。
1. 测试前的准备
在使用Aspace的完整功能之前,你需要获得一个客户端测试账号,并且准备一台测试用电脑。
1.1 联系我们,获得测试账号
扫描下面的二维码,添加我们的服务微信号,可以随时获得帮助。
你可以直接通过微信号索要一个Aspace测试账号。
1.2 准备测试用电脑
准备一台或多台测试用电脑,或者虚拟机用于测试。
如果你不想对当前工作环境造成影响,或者担心测试过程损坏数据,推荐你使用VMware虚拟机。
Aspace客户端支持的操作系统:Win10x64,专业版或企业版,升级到20H2(版本2010)或更新版本。
注意:要记住Windows原有的登录密码(原本地账户,或微软账户的密码,而不是PIN码或其他形式的验证信息)。
1.3 (Optional)如有需要,可以先了解一下管理后台
Aspace是一个客户端/服务器(C/S)系统软件。需要在服务器的管理后台上管理用户账号和权限,在Windows终端上安装客户端软件。
我们为测试使用在公网上提供了测试管理后台,如果需要,可以点击此处前往了解。
登录管理后台之前,你需要联系我们获得临时的管理员账户和口令。
如果希望执行更严格的测试,也可以联系我们,要求提供私有化安装的方案。
1.4 准备测试账号
有两种方式获得测试账号,都需要通过微信服务号联系我们:
- 我们为你提前新建好终端用户账号。这样,你就可以直接安装终端并且测试,全程不用去操作管理后台。
- 我们为你提供一个临时的管理员账号。这样,你可以在管理后台上根据需要创建一个或多个终端用户账号,按照自己的思路进行完整测试。
2. 安装客户端
假设你已经准备好了终端电脑和用户账号。可以按照如下步骤在Win10终端上执行安装:
1. 双击运行安装程序,每一步都选择默认选项,点击【Next】或【下一步】,直到结束安装提示重启电脑。
中间有一步会要求输入服务器地址,默认已经填写了我们的公网测试服务器地址,不需要修改。
如果是私有化部署,可以在此修改,也可以在安装结束后在Aspace的选项菜单中修改。
2. 重启电脑后,Windows登录界面变为如下形式。输入原有账号密码,登录进入O区。
注意:要记住Windows原有的登录密码(原本地账户,或微软账户的密码,而不是PIN码或其他形式的验证信息)。
3. 进入O区后,可以看到新添加的悬浮窗和托盘图标。
4. 点击【安全区】按钮,或托盘图标右键菜单,点击【切换桌面】。
第一次进入S区时,用户可以注册一个新的终端账户。如下图,填写资料后点击【确认】,注册信息将提交管理员审批。审批通过后,可以再次切换桌面,使用账号登录。
第一次进入S区时,点击上图中间靠下位置的【登录】,可以切换到登录窗口。输入已有的账号和口令,点击【确定】。
5. 第一次进入S区会经历一个简单的环境配置过程。根据电脑性能,时长大概在30秒到3分钟不等。请耐心等待。
输入登录账号和密码后,会进入一段环境配置过程。
环境配置结束,弹出如下的窗口。因为是S区,用户可以关闭下面的每个功能,也可以置之不理,直接点【确定】。
6. 配置结束,Aspace会提示用户设置安全磁盘,选择安全磁盘镜像文件保存的位置,并设置大小。点击【完成】,Aspace会创建安全磁盘,并自动挂载。
建议安全磁盘选择在系统盘之外的其他分区,比如D盘,E盘等。
安全磁盘大小可以设置为尽可能大的数值,不用担心浪费。
安全磁盘不会占用多余的空间,没有保存文件之前,系统不会为它预先分配空间。
安全磁盘创建完成后,会被自动挂载,卷标为SecDisk。
注意:用户在S区可以操作SecDisk,也可以操作O区原有的任何分区。但建议把所有工作相关数据保存在SecDisk中。
保存在原来的分区或文件夹中,也不会导致问题,更不会泄露数据。但容易与原来O区的文件混淆,导致困扰。
7. 至此,客户端安装过程已经结束。
3. 体验Aspace的工作环境
Aspace提供的隔离办公环境,与我们习惯的普通办公环境并无大的不同。
真正可以称得上区别的,都反映在“内外有别,隔离办公”这个指导原则上。
3.1 O区和S区配置不同的主题偏好
用户可以随时点击切换按钮在O区和S区之间切换。为了更好的提示自己,可以在O区和S区分别设置不同的配色方案和主体偏好。
比如O区保持不变,S区换另外的风格。对于企业而言,也可以考虑在S区使用统一的能体现公司风貌的格调。
3.2 S区使用O区安装的软件
绝大部分在O区安装的软件,在S区可以直接正常使用。
注意:WPS个人版是个特例,因为它需要上网账号,而且默认安装在用户个人目录下。
如果需要在S区使用,可以在S区重新安装一遍,或者安装时选择“安装给本计算机所有用户”。
3.3 O区下载的资料在S区立即可用
O区可以上网下载资料。下载的资料如果保存在O区和S区同时都能访问的文件夹(不能是O区的桌面、文档等个人文件夹)里,切换到S区,马上就能使用。
注意:我们不推荐直接编辑保存在O区S区能同时访问的文件,这毕竟不是一个好的工作习惯。但这的确在很多情况下能够提供方便。
3.4 O区和S区使用不同的软件配置
绝大部分软件,在O区和S区可以配置不同的使用偏好(配置选项不同)。比如Office Word可以在O区和S区配置不同的样式和文档模板,开发工具可以在O区和S区配置不同的环境变量等。
3.5 单独使用O区或S区
开机后,用户可以选择只登陆O区或S区,如果不切换,另一个分区就不会占用资源。
可以将悬浮窗拖到窗口边,它会自动吸附,减少对用户正常工作的干扰。
4. 验证Aspace的安全性
如果只是正常办公,不触及信息从S区泄露到外部的可能,Aspace的安全功能对用户是透明的,用户感受不到他们的存在。
在正常工作的情况下,用户只需要记住下面三个容易理解的隔离原则即可,不需要深入探究这些安全原则实现的原理。
当然,从攻防角度来看,技术原理和安全细节远远不止下面列出的情况,用户如果感兴趣,可以和我们深入交流。
4.1 存储隔离
存储隔离的原则是“S区产生的所有数据都加密存储,且对外部不可见”。
体现在如下几个方面:
- SecDisk在O区不可见。建议用户在S区工作时养成所有数据都保存在SecDisk的习惯。这些数据都加密存储,在O区看不到,也接触不到。
- 如果一个O区的文件,在S区被打开和编辑,新编辑的内容,切换回O区时看不到。事实上,S区新产生的数据也被加密保存,保存在S区隔离环境中。
注意:如果一个文件在O区和S区同时可见,如果在O区或S区修改文件名或删除文件,都会影响到另外一个分区。
4.2 应用隔离
应用隔离的原则是“O区和S区的应用程序分别存在于独立的运行空间里,彼此间不可共享数据”。
表现在如下几个方面:
- 在O区和S区启动同一个程序,开启的是两个独立的实例。彼此间不可互相拷贝粘贴数据。
- O区和S区两个运行空间也是彼此独立互相隔离的。两个空间内分别运行的程序之间不可互相通信。
注意:极少数系统级服务或应用程序只能在S区正常运行,但一般都不会影响正常工作。如有需要,请联系我们深入交流。
4.3 网络隔离
网络隔离的原则是“S区只能与其它终端S区或保密协作内网通信,O区只能与其它终端O区或外部环境通信”。
具体表现为如下几个方面:
- 可以在管理后台将局域网内的某个业务服务器配置到保密协作内网的白名单里。此后,安装了Aspace客户端的电脑,只能通过S区访问服务器,O区不能访问。这种业务服务器一般是OA,ERP,CRM或源代码服务器等。
- 在S区建立的文件共享,只能被其它S区访问,O区访问不了。相反,O区建立的文件共享,其它电脑O区和S区都能访问。
- 在S区建立的FTP,WEB等服务,只能被其他S区访问,O区访问不了。而且,O区建立的FTP,WEB等服务,只能被其他O区访问,其他S区也访问不了。
- 即时通讯软件,比如不需要服务器的飞鸽,或私有化部署的企业微信等,S区之间可以互相访问,O区和S区之间不可交叉访问。
这些情况列举起来很复杂,但在实际工作中是不需要记忆和思考的,只要记住O区和S区是互相隔离的就可以做出正确判断了。
5. 更进一步
Aspace的部署和使用非常简单,但Aspace解决的问题并不简单。
对于企业信息安全管理而言,选择一个容易沟通的管理方式至关重要。
但同时,如果您对Aspace的安全性,以及对各种场景需求的支持能力感兴趣,欢迎注册或联系我们,就更深入更灵活的安全性分析和解决方案进行交流。。
