2014-11-21 13:51:06
來源:
一、項目背景
軍隊信息化基礎(chǔ)設(shè)施經(jīng)過多年建設(shè),已形成較大規(guī)模,大部分部門已建設(shè)了WWW 、FTP、DNS、Email、OA等服務(wù)器。計算機和計算機網(wǎng)絡(luò)已經(jīng)成為軍隊各部門和其它各種組織的重要信息載體和傳輸渠道。很明顯,計算機、計算機網(wǎng)絡(luò)和其所帶來的信息數(shù)字化大幅度提供了工作效率,也使得海量的信息存儲和處理成為了現(xiàn)實。但是,在享受到計算機以及計算機網(wǎng)絡(luò)所帶來的方便性的同時,也出現(xiàn)了目前受到廣泛關(guān)注的信息安全問題。
二、需求分析
由于軍隊在管理、生產(chǎn)和設(shè)計中涉及到大量機密的信息,為了有效的保證網(wǎng)絡(luò)系統(tǒng)的正常運行和信息的安全性,因此有必要對網(wǎng)絡(luò)系統(tǒng)進行以計算機資源控制和數(shù)據(jù)信息安全保護為中心的信息安全實施建立,總結(jié)需求如下:
保證所有科研、生產(chǎn)和管理用計算機都處于受控的狀態(tài),不受管理的計算機不能接入到網(wǎng)內(nèi)。
保證機要數(shù)據(jù)的安全,不被非法人員使用移動存儲設(shè)備拷貝帶走;
對于用戶身份管理的加強,保證單機在脫離了網(wǎng)絡(luò)的情況下不能正常使用或僅能使用非常有限的資源,以便做到有效的“離線數(shù)據(jù)隔離”
對于外設(shè)的有效管理,特別是對于同一個外設(shè)接口可能接入的不同設(shè)備可以識別,對于所有的移動存儲設(shè)備都能有效禁止,但是對于經(jīng)認證的設(shè)備則可以正常使用;
提供基于網(wǎng)絡(luò)或者基于外設(shè)的移動安全“數(shù)據(jù)交換通道”;
對于主機資源的審計,能夠有效的對每一臺安全域的計算機的資源進行審計和管理;
對整個網(wǎng)絡(luò)實施分段、分域管理和訪問控制。
確保特定的信息只能對特定的人群開放,非指定人群不能獲得信息和使用該類信息
受保護數(shù)據(jù)在區(qū)域內(nèi)受加密保護,且該加密實施對終端用戶透明。
所有數(shù)據(jù)流動的信息都能進行跟蹤和審計。
在此基礎(chǔ)上,建立信息安全保障體系,確保網(wǎng)絡(luò)中應(yīng)用信息的安全性,提高信息網(wǎng)絡(luò)的管理能力,優(yōu)化網(wǎng)絡(luò)資源,充分發(fā)揮現(xiàn)有的網(wǎng)絡(luò)設(shè)施,這個思路在技術(shù)上和經(jīng)濟上都是可行的。
三、產(chǎn)品介紹
3.1ChinaSec可信網(wǎng)絡(luò)安全平臺
ChinaSec可信網(wǎng)絡(luò)安全平臺由可信網(wǎng)絡(luò)認證系統(tǒng)、可信網(wǎng)絡(luò)保密系統(tǒng)、可信網(wǎng)絡(luò)監(jiān)控系統(tǒng)三個系統(tǒng)組成,從用戶身份管理、計算機授權(quán)訪問、數(shù)據(jù)自身保密、網(wǎng)絡(luò)傳輸控制、外設(shè)安全管理、移動存儲設(shè)備管理、用戶行為管理、綜合安全設(shè)計等方面保證機密數(shù)據(jù)安全,從而達到防止用戶敏感信息泄密的目的,以下詳細介紹三個系統(tǒng)的功能:
3.1.1可信網(wǎng)絡(luò)認證系統(tǒng)
中安源可信認證系統(tǒng)提供一個完整的基礎(chǔ)認證平臺,解決信息資源統(tǒng)一用戶授權(quán)和管理的問題。中安源可信認證系統(tǒng)包括服務(wù)器、控制臺、客戶端代理、用戶USB令牌和認證代理五個部分組成,其列表清單如下:
中安源可信網(wǎng)絡(luò)認證系統(tǒng)主要實現(xiàn)了以下功能:
• 實現(xiàn)統(tǒng)一集中的信息服務(wù)器資源和計算機資源管理,通過在信息服務(wù)器前端放置本系統(tǒng)認證代理網(wǎng)關(guān),可以實現(xiàn)在本系統(tǒng)服務(wù)器統(tǒng)一對用戶進行各個服務(wù)器資源和計算機資源的訪問授權(quán),而不再需要分別對每臺服務(wù)器和計算機進行配置,極大降低了管理工作量;
• 實現(xiàn)了計算機資源的有效管理,管理員可以指定每臺計算機的一個或者多個使用者,也可以指定某個用戶只能使用那些計算機資源;并且如果用戶離機拔出USB Key,用戶計算機隨即鎖定系統(tǒng),增強了計算機使用的安全性;
• 實現(xiàn)了基于PKI技術(shù)的雙因素高強度認證,通過USB Key內(nèi)置的密碼芯片和PIN碼保護,實現(xiàn)了高強度身份認證,用戶身份冒充可能性降到很低;
• 提供了安全保密磁盤,針對每個用戶,可以建立自己的保密磁盤,在公共使用的計算機上擁有自己的私人空間,加強了保密性;
• 提供了詳細的用戶登陸記錄,對用戶訪問服務(wù)器資源和登陸計算機的動作進行了詳細的記錄,利于單位對用戶的行為做出評估和審計;
• 支持通用CA中心頒發(fā)的X.509證書,可以建立單位統(tǒng)一的認證體系,包括內(nèi)部資源管理、網(wǎng)上銀行、網(wǎng)上報稅、數(shù)字簽名以及其它基于數(shù)字證書的應(yīng)用。
3.1.2可信網(wǎng)絡(luò)保密系統(tǒng)
中安源可信網(wǎng)絡(luò)保密系統(tǒng)按照安全級別將網(wǎng)絡(luò)劃分成多個虛擬保密子網(wǎng)(VCN),對虛擬子網(wǎng)內(nèi)網(wǎng)絡(luò)通信和文件系統(tǒng)數(shù)據(jù)交換全面保護。中安源可信網(wǎng)絡(luò)保密系統(tǒng)包括服務(wù)器(VCN Server)、管理中心(VCN MC)、安全網(wǎng)關(guān)(VCN Gateway)、轉(zhuǎn)發(fā)網(wǎng)關(guān)(VCN Switcher)和客戶端代理(VCN Agent)五個部分組成,其列表清單如下:
中安源可信保密系統(tǒng)主要實現(xiàn)了以下功能:
實現(xiàn)對物理網(wǎng)絡(luò)邏輯上劃分成不同的虛擬保密子網(wǎng),每個虛擬保密子網(wǎng)授權(quán)訪問服務(wù)器區(qū)域和Internet,虛擬保密子網(wǎng)之間可以設(shè)定信任關(guān)系,只有信任的保密子網(wǎng)才能夠相互訪問,不在虛擬保密網(wǎng)內(nèi)的計算機不能訪問虛擬保密子網(wǎng)中的計算機。
通過安全網(wǎng)關(guān)硬件設(shè)備建立受保護的服務(wù)器區(qū)域,只有經(jīng)過認證的計算機才能訪問這個區(qū)域的服務(wù)器資源,非法用戶禁止訪問服務(wù)器資源。
網(wǎng)絡(luò)通信數(shù)據(jù)內(nèi)容加密,防止非法接入,保證資網(wǎng)絡(luò)資源及機密數(shù)據(jù)不被非法接入的計算機占用、攻擊及盜取;防止用戶通過撥號設(shè)備連接Internet泄漏機密數(shù)據(jù)。
對移動存儲設(shè)備授權(quán)管理,只有經(jīng)過認證的移動存儲設(shè)備才能夠使用,非法用戶的移動存儲設(shè)備不能在系統(tǒng)中使用,移動存儲設(shè)備可以認證為正常讀寫、加密讀寫、只讀、信任域只讀、信任域讀寫等策略,控制了移動存儲設(shè)備使用權(quán)限,保證了數(shù)據(jù)安全,同時認證后的移動存儲設(shè)備數(shù)據(jù)讀寫對用戶透明,不影響用戶使用習(xí)慣。
操作系統(tǒng)盤禁止寫數(shù)據(jù),防止用戶通過操作系統(tǒng)盤泄密數(shù)據(jù)。
本地硬盤數(shù)據(jù)加密,在不影響用戶使用習(xí)慣情況下,對本地硬盤數(shù)據(jù)讀寫實行透明加解密,防止硬盤丟失后數(shù)據(jù)泄密。
3.1.3可信網(wǎng)絡(luò)監(jiān)控系統(tǒng)
中安源可信網(wǎng)絡(luò)監(jiān)控系統(tǒng)是針對計算機終端管理和控制而設(shè)計的安全產(chǎn)品。可以對計算機網(wǎng)絡(luò)連接、操作系統(tǒng)已安裝程序、正在運行的程序、服務(wù)、驅(qū)動、網(wǎng)絡(luò)共享、網(wǎng)鄰使用情況、用戶桌面等狀態(tài)信息進行監(jiān)控,對計算機進程、程序窗口、計算機各種類型外設(shè)端口進行控制,有效的管理和控制了計算機終端,達到了對計算機用戶行為的管理和審計。中安源可信網(wǎng)絡(luò)監(jiān)控系統(tǒng)包括服務(wù)器(MGT Server)、管理中心(MGT MC)和客戶端代理(MGT Agent)三個部分組成,其列表清單如下:
中安源可信保密系統(tǒng)主要實現(xiàn)了以下功能:
實現(xiàn)計算機實時狀態(tài)監(jiān)控,實時監(jiān)視客戶端運行服務(wù)及狀態(tài)、正在打開的程序窗口、正在運行的進程、網(wǎng)絡(luò)連接狀態(tài)、共享文件夾狀態(tài)、用戶和用戶文件夾狀態(tài)、系統(tǒng)事件日志等等,隨時了解計算機狀態(tài);
計算機外部設(shè)備開關(guān)式管理,對紅外端口、撥號設(shè)備、USB輸入設(shè)備(鼠標(biāo)、鍵盤、優(yōu)盤等)、串口、并口、1394端口、PCMICA、軟盤、光盤驅(qū)動器的開關(guān)控制;
計算機網(wǎng)絡(luò)控制,使用黑白名單方式對計算機進出數(shù)據(jù)進行雙向控制,對網(wǎng)絡(luò)中重要數(shù)據(jù)進行保護;
計算機用戶行為控制和違規(guī)記錄審計,對計算機運行進程、窗口、服務(wù)進行控制,防止非法程序運行,監(jiān)控用戶行為,同時用戶行為進行審計,達到事后追溯的目的。
計算機在線\離線兩種策略,筆記本電腦在公司執(zhí)行一種策略,離開公司后執(zhí)行另一種策略,嚴格控制筆記本電腦使用,防止泄密。
支持不用用戶在一臺計算機上設(shè)定不同的策略,方便一臺計算機多個用戶使用。
3.2系統(tǒng)部署圖
本方案由可信網(wǎng)絡(luò)安全平臺系統(tǒng)組成。可信網(wǎng)絡(luò)安全平臺三個系統(tǒng)的服務(wù)器、控制臺、客戶端部署在一起,對用戶來說是一套系統(tǒng)。具體如下所示:
■ 可信網(wǎng)絡(luò)安全平臺服務(wù)器端部署在一臺專用服務(wù)器上;
■ 可信網(wǎng)絡(luò)安全平臺控制臺軟件安裝在一臺普通的計算機上;
■ 需要保護的計算機安裝可信網(wǎng)絡(luò)安全平臺客戶端軟件;
■ 網(wǎng)絡(luò)中部署安全網(wǎng)關(guān)、轉(zhuǎn)發(fā)網(wǎng)關(guān)各一臺;
■ 根據(jù)保密要求將網(wǎng)絡(luò)劃分成不同的虛擬保密子網(wǎng);
■ 所有內(nèi)網(wǎng)服務(wù)器部署在安全網(wǎng)關(guān)的后面;
四、項目實施效果
4.1防止非法主機接入
可信網(wǎng)絡(luò)保密系統(tǒng)的虛擬保密子網(wǎng)功能對網(wǎng)絡(luò)傳輸數(shù)據(jù)進行加密,防止惡意用戶通過網(wǎng)絡(luò)監(jiān)聽方式竊取保密數(shù)據(jù);防止非法主機接入,從而防止非法用戶盜取、破壞機密數(shù)據(jù);合法使用撥號連接進行非法外聯(lián),由于其數(shù)據(jù)是加密的,所以也不能跟外部網(wǎng)絡(luò)進行正常的通信。
4.2保密網(wǎng)絡(luò)管理
4.2.1保密子網(wǎng)分域管理
保密網(wǎng)絡(luò)分域管理,系統(tǒng)管理員可以按照行政部門將物理網(wǎng)絡(luò)劃分成不同的虛擬保密子網(wǎng),各個部門間根據(jù)安全級別設(shè)定信任關(guān)系,安全級別高的部門完全隔離開,如果有臨時需要可以設(shè)定成允許其他部門訪問,這樣在不影響網(wǎng)絡(luò)資源使用的情況下,還保證了網(wǎng)絡(luò)數(shù)據(jù)通信的安全性。
4.2.2保密子網(wǎng)中移動存儲設(shè)備管理
移動存儲設(shè)備在保密網(wǎng)中授權(quán)使用,移動存儲設(shè)備可以設(shè)置成在某個保密子網(wǎng)中授權(quán)使用,例如:可以設(shè)置成在保密級別高的網(wǎng)絡(luò)中為只讀策略,其他保密子網(wǎng)為正常讀寫,這樣方便了使用又阻止了保密級別高的網(wǎng)絡(luò)中數(shù)據(jù)復(fù)制到移動存儲設(shè)備中,降低了泄密的風(fēng)險。
4.3統(tǒng)一身份認證與授權(quán)
4.3.1計算機登錄認證
可信網(wǎng)絡(luò)認證系統(tǒng)可以實現(xiàn)計算機登錄認證功能,只用合法用戶擁有令牌和pin碼才能夠訪問允許訪問的計算機,可以設(shè)定一個用戶允許訪問多臺計算機,也可以設(shè)定一臺計算機允許多個用戶登錄,與可信網(wǎng)絡(luò)監(jiān)控可以根據(jù)用戶和在線\離線狀態(tài)設(shè)定不同的安全策略。
4.3.2內(nèi)網(wǎng)服務(wù)器訪問認證
通過使用安全網(wǎng)關(guān)設(shè)備將內(nèi)網(wǎng)運行的服務(wù)器統(tǒng)一管理起來,只有經(jīng)過認證的用戶才有權(quán)利訪問服務(wù)器上面的資源,保證了內(nèi)網(wǎng)服務(wù)器數(shù)據(jù)安全性。
4.4防止敏感信息外泄
4.4.1防止網(wǎng)絡(luò)途徑的信息外泄
通過使用可信網(wǎng)絡(luò)保密系統(tǒng)劃分虛擬保密子網(wǎng)功能,設(shè)定各個保密子網(wǎng)的訪問權(quán)限,防止機密數(shù)據(jù)通過內(nèi)部網(wǎng)絡(luò)主動泄密;通過網(wǎng)絡(luò)數(shù)據(jù)加密功能防止網(wǎng)絡(luò)數(shù)據(jù)被惡意監(jiān)聽和非法計算機接入泄密;通過使用安全網(wǎng)關(guān)設(shè)備防止服務(wù)器機密數(shù)據(jù)通過網(wǎng)絡(luò)泄密;
4.4.2防止計算機外設(shè)途徑的信息外泄
通過可信網(wǎng)絡(luò)監(jiān)控系統(tǒng)的外設(shè)控制功能對計算機外部設(shè)備進行開關(guān)式管理,防止機密數(shù)據(jù)通過外部設(shè)備泄密。
4.4.3防止存儲介質(zhì)途徑的信息外泄
可信網(wǎng)絡(luò)保密系統(tǒng)對存儲解密實現(xiàn)授權(quán)管理,可以將存儲設(shè)備設(shè)定成正常讀寫、加密讀寫、只讀、保密域使用策略,限定了機密數(shù)據(jù)通過移動存儲設(shè)備的傳輸范圍,嚴格保證了數(shù)據(jù)傳輸?shù)陌踩院捅C苄浴?/span>
4.4.4防止打印途徑的信息外泄
可信網(wǎng)絡(luò)監(jiān)控系統(tǒng)可以關(guān)閉打印端口,禁止了打印機泄漏機密數(shù)據(jù)。
4.4.5防止計算機硬盤被盜途徑的信息外泄
可信網(wǎng)絡(luò)保密系統(tǒng)的本地硬盤數(shù)據(jù)加密功能,可以將本地硬盤數(shù)據(jù)加密,即使硬盤被盜,數(shù)據(jù)也不能正常讀寫,保證了數(shù)據(jù)安全性。
4.4.6筆記本電腦丟失的信息外泄
可信網(wǎng)絡(luò)認證系統(tǒng)的虛擬安全磁盤功能和用戶相關(guān)聯(lián),每個用戶可以建立自己的虛擬安全磁盤,機密數(shù)據(jù)可以放在這個磁盤上,虛擬磁盤使用強加密算法,如果沒有用戶令牌就不能打開這個磁盤,即使筆記本電腦丟失也不用擔(dān)心數(shù)據(jù)外泄。
4.4.7對核心及敏感數(shù)據(jù)的保護
可信網(wǎng)絡(luò)認證系統(tǒng)的虛擬安全磁盤功能使用強加密算法,提供對核心及敏感數(shù)據(jù)的保護,只有擁有與之關(guān)聯(lián)的令牌和pin碼才能訪問虛擬安全磁盤,保證了核心數(shù)據(jù)安全性。
4.4.8對計算機軟、硬件的安裝、使用監(jiān)控和管理
可信網(wǎng)絡(luò)保密系統(tǒng)禁止操作系統(tǒng)盤寫功能可以禁止軟件安裝和硬件驅(qū)動安裝,對用戶軟件和硬件安裝進行監(jiān)控,可信網(wǎng)絡(luò)監(jiān)控系統(tǒng)實時監(jiān)控功能實現(xiàn)對軟件安裝和硬件安裝實時管理。
4.4.9用戶行為審計
可信網(wǎng)絡(luò)監(jiān)控系統(tǒng)對用戶行為進行實時監(jiān)視,對用戶行為進行管理,最后產(chǎn)生審計報告,對用戶行為進行有效追溯。
總結(jié)
本方案從網(wǎng)絡(luò)管理和內(nèi)網(wǎng)數(shù)據(jù)安全兩個方面對網(wǎng)絡(luò)進行建設(shè)和加固,有效的保證網(wǎng)絡(luò)系統(tǒng)的正常運行和計算機終端信息的安全性,從而達到防止機密信息泄漏的目的。
完全物理隔絕內(nèi)網(wǎng)外網(wǎng)的數(shù)據(jù)泄露---光盤擺渡系統(tǒng)在軍隊信息安全的應(yīng)用指掌易便攜式手機合規(guī)檢測工具 助力涉密單位檢測工作高效進行畫方科技網(wǎng)絡(luò)準入管理系統(tǒng)——技術(shù)白皮書“翻墻有兇險,觸網(wǎng)須謹慎”華鑫杰瑞防網(wǎng)絡(luò)“翻墻”系統(tǒng)方案5G——便攜違規(guī)手機及賬外機快速查找定位設(shè)備專網(wǎng)網(wǎng)絡(luò)安全防護解決方案防止激光竊聽 激光阻斷膜產(chǎn)品介紹手機數(shù)據(jù)智能糾察員——虛擬身份核驗系統(tǒng)DAT-205C多功能信號屏蔽器-軍用、公安部雙認證手機探測門可以探測到移除SIM卡和拔掉電池的手機嗎?
