整体一致的内网安全解决方案明朝万达-团队的孵化•专业的网络和数据安全产品研发、生产企业•2003年:涉足内网安全的研发,率先提出内网安全的理念•申请和获得多项国家发明专利,并积极申请和参与多项国家项目的研究•在广州,上海和重庆设立了办事处,并携手30多家的合作伙伴,为用户提供本地化的服务和支持•与中办北京电子科技学院、国家保密技术研究所和公安部三所等建立良好的合作关系。中办北京电子科技学院内网安全市场的宏观应用环境《涉密内网计算机信息系统保密管理规定》-国家保密局(2006);《互联网安全保护技术措施规定》(公安部第82号令-2006);ISO27001:2005,ISO/IEC17799-ISO信息安全管理体系要求;塞班斯法案(2005)-美国《关于加强新技术产品使用保密管理的通知》-国家保密局;《涉及国家秘密的信息系统分级保护管理办法》-国家保密局;《涉及国家秘密的计算机信息系统安全保密方案设计指南》;《信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求》;《涉及国家秘密的计算机信息系统保密技术要求》;《计算机信息系统安全保护等级划分准则》;《计算机信息系统保密管理暂行规定》(国保发{1998}1号);相关政策法规与国际标准目录•内网安全技术概述•ChinasecTM内网安全体系•关键技术分析•产品特点•产品资质与应用案例内网安全-概念的提出内网-可信区外网-非信任区网络边界!?内网安全隐患2:8规则通过内网网络交换设备或者直连网线非法接入内网或者计算机终端利用局域网中的某一台主机,通过网络攻击或欺骗的手段,非法取得其他主机甚至是某台网络服务器的重要数据内部员工将只允许在局域网内部使用的数据通过磁盘复制、打印、非法拨号外联等手段泄漏到单位外部内部人员窃取管理员用户名和密码,非法进入单位重要的业务和应用服务器获取内部重要数据内网安全的两大误区内网安全=审计监控内网安全=数据加密内网安全什么是真正的内网安全体系身份认证授权管理数据加密监控审计完整的内网信息安全管理体系内网安全核心“你是谁?”“你能做什么?”“你做了什么?”目录•内网安全技术概述•ChinasecTM内网安全体系•关键技术分析•产品特点•产品资质与应用案例ChinasecTM产品体系简介可信网络认证系统(TIS)可信网络保密系统(VCN)可信网络监控系统(MGT)可信数据管理系统(DMS)ChinasecTM可信网络安全平台ChinasecTM可信网络安全平台服务器(Server)控制台(MC)客户端代理(Agent)平台架构网关(可选)USBKEY(可选)•策略的存储中心;•系统运行和维护的中心;•存储用户信息、计算机信息、组织体系、策略信息及日志信息。•用户操作界面,实现对服务器的远程管理;•整个平台控制中心,平台各个系统都可以集中体现在该控制台中;•基于Windows标准的MMC技术。•运行在受控计算机终端上;•采用安全通信技术接收服务器的统一管理并接收下发的策略;•通知相应功能模块执行指令。ChinasecTM可信网络安全平台平台模块化功能监控审计数据加密身份认证数据管理移动远程接入文件安全分发保密磁盘实时监控MSN/QQ监控非法接入阻断邮件监控监控审计数据加密身份认证实时监控MSN/QQ监控补丁分发完全模块化的设计,实现“按需定制”,满足不同组织的信息安全需求。ChinasecTM可信网络安全平台服务器的连接和通信端口加密,并且需要进行认证;对于具有管理权限的控制连接,通过基于硬件USB令牌的严格密码协议进行通信;服务器的运行必须使用合法的授权令牌。良好的自保护措施:文件、进程及注册表的隐藏和保护,系统远程线程注入技术监控和阻止试图破坏客户端代理的行为发生;双向认证机制,确保双方身份的可信性。完全加密的机制,数据、指令和策略的传输都是加密的,有效防止了窃听和篡改等欺骗破坏行为的发生。使用授权的硬件USB令牌与服务器进行相互认证和通信,才能取得管理权限分权制衡原则:管理员和审计员服务器安全客户端安全通信安全管理安全平台安全性实现ChinasecTM可信网络安全平台网关(硬网关&软网关)安全网关转发网关VPN网关TIS/VCN/DMSVCNSSLVPN所有网关均提供软网关和硬网关(百兆/千兆)等多种类型,以满足不同性能、投资需求。ChinasecTM可信网络安全平台平台增强功能服务器双机热备服务器负载均衡服务器分级管理实时监视器ChinasecTM可信网络认证系统认证系统(TIS)功能令牌用户集中管理/认证客户端计算机登录权限控制客户端保密磁盘(与令牌绑定)服务器访问授权(增强型)客户端保密文件远程VPN接入ChinasecTM可信网络认证系统认证系统(TIS)特点“离机锁定”与安全模式禁用功能。完全独立于组织原有的认证体系,安全可靠性更高,支持各类标准的CA服务器;基于PKI技术的“双因素认证”,提高了认证安全级别;支持在USB令牌用户之间的安全文件数据传输;具备FTP安全增强功能;①ChinasecTM可信网络认证系统认证系统(TIS)特点自动生成包括每次登录操作的审计追踪信息,且具备自动日志维护功能。安全磁盘功能,防止核心数据泄密;支持创建安全服务器区;令牌分发、令牌吊销、令牌授权、令牌更新等操作由管理员在管理中心即可完成,管理的效率得到了极大的提高。令牌安全防护机制:令牌PIN码输入错误的次数达到预先设定的值,令牌立即锁定;②ChinasecTM可信网络监控系统监控系统(MGT)功能IP与端口控制外设控制邮件控制互联网访问控制文件传输协议监控(FTP)FTP用户绑定客户端实时监控应用程序控制IP地址绑定WINDOWS标准安装程序控制打印监控资产审计文件分发邮件智能加密非法接入阻断刻录光驱控制违规记录ChinasecTM可信网络监控系统监控系统(MGT)特点实现对每台计算机的网络状况进行实时监控。可以实现计算机的远程监控,对所有内网计算机进行有效地集中管理;支持灵活的策略模型;对用户的操作行为进行有效管理;实现对计算机外设使用的“细粒度”管理控制;①ChinasecTM可信网络监控系统监控系统(MGT)特点与Chinasec可信网络认证系统联合使用,实现更加强大和灵活的功能,可以根据用户和计算机的不同组合实施不同的授权和策略。提供邮件智能加密功能,确保同一个安全域内的用户可以自由收发邮件;提供IP绑定和非法IP阻断等网管功能;提供资产管理和资产审计功能,提供各种丰富的资产管理报表;提供完整的审计信息;②ChinasecTM可信网络保密系统网络保密系统(VCN)功能内网保密网络“分级分域”管理,实现不同等级终端逻辑隔离数据传输和存储加密移动存储设备管理网络数据控制本地存储控制01100011010々@♂≒@々≒ChinasecTM可信网络保密系统保密系统(VCN)特点有效防止了非法外连和非法接入;部署、使用简单方便,无须改变原有网络拓扑结构,透明加解密,不会影响用户的使用习惯;数据加密传输,网络更加安全可靠;在内网中按照安全等级、信任关系等标准可设多个VCN,实现分级分域管理;强制加密除本地系统盘外的所有本地磁盘保存的文件;实现严格有效的移动存储设备管理;通过安全网关建立一个安全的服务器区,可以对组织的所有重要信息服务资源进行有效保护可使用转发网关构建开放服务器区,用来放置单位公开的服务器,接受内网计算机和外网计算机的访问,同时有效隔离内网和外网。ChinasecTM可信数据管理系统数据管理系统(DMS)功能创新的模式切换理念,在单一终端上虚拟出多种工作环境;统一用户管理功能;可信数据区文件权限管理离线工作管理模式切换功能ChinasecTM可信数据管理系统数据管理系统(DMS)特点独有模式切换技术,实现数字知识产权保护与互联网访问兼得效果工作模式普通模式模式切换ChinasecTM可信桌面认证系统桌面认证系统功能计算机登录认证计算机离机锁定安全保密磁盘USB令牌管理–使用令牌建立;–数据完全加密,只有使用本人的令牌才能打开自己建立的安全磁盘;–打开方式可以设为自动或者手动,也可以指定盘符;–当多人使用同一台计算机的时候,每个人都可以建立自己的安全磁盘;–虚拟的安全磁盘是一个文件,可以拷贝复制,在其它计算机系统使用合法令牌可以读取。ChinasecTM可信网络系统部署示意图分支机构移动商务人员安全/转发网关服务器群ServerMCAgentVPN网关非法接入终端AgentAgent总部目录•内网安全技术概述•ChinasecTM内网安全体系•关键技术分析•产品特点•产品资质与应用案例ChinasecTM关键技术分析身份认证技术存储加密技术高性能安全服务器技术资源控制技术网络加密技术ChinasecTM核心技术ChinasecTM关键技术分析I.7×24小时的持续服务能力II.较强的抗攻击和抗病毒能力III.高效的负载能力综合应用多线程、队列、主动轮询高效并发处理技术基于公开密钥算法的安全认证技术,基于硬件授权令牌启动服务器安全认证技术服务器和客户端、服务器和管理控制台之间的传输信道都采用了加密技术传输加密技术CPU使用率、内存使用率和第三方程序依赖程度资源最小化稳定运行技术高性能安全服务器技术Chinasec关键技术分析身份认证技术认证技术的扩展性能:安全保密磁盘与离机锁定基于密码硬件芯片的用户标识基于PKI体制的数字证书认证技术独立于Windows域的集中认证系统基于认证的资源授权控制Chinasec关键技术分析TIS系统认证流程插入USB令牌输入PIN码读取TIS用户信息登录TIS服务器认证拒绝登录取域用户名/密码登录域服务器认证进入操作系统Chinasec关键技术分析存储加密技术-存储加密体系综述加密体系:网络加密体系和存储加密体系主动加密和强制加密透明加密技术和非透明加密技术加密模块依赖系统主动/强制透明/非透明安全保密磁盘VCN移动存储设备管理VCN本地磁盘加密DMS本地受控加密区客户端保密文件子系统TISVCNVCNDMSTIS主动强制强制强制主动透明透明透明透明非透明Chinasec关键技术分析存储加密技术-主动加密安全保密磁盘存储的数据和文件都经加密处理;只有创建该安全保密磁盘的用户(令牌)才能打开该安全磁盘;使用方式与普通磁盘分区完全相同;用户令牌拔出计算机后,安全保密磁盘自动关闭;多个用户可以在同一台计算机上各自创建自己的安全保密磁盘;可以随时转移到其他计算机;可以设定为插入令牌后自动打开或者手动打开;可以指定特定的盘符从而适用于安装应用程序;支持自有算法、DES、3DES、AES或者其他国产算法。Chinasec关键技术分析存储加密技术-主动加密客户端保密文件子系统可以对文件或者文件夹进行加密,文件加密基于公开密钥算法,采用随机密钥,具有很高的安全性;可以选定接收文件的用户或者用户组,只有指定的用户才能打开和阅读被加密的文件,用户采用统一的身份认证管理,使用硬件USB令牌进行标识,安全强度高;加密文件可以通过网络或者存储设备等进行交换传输,而不用担心传输过程中的安全性;安全文件子系统可以与VCN移动存储设备管理模块相协调,对特殊用户具有穿透功能,在不改变VCN存储管理规则的情况下,能够满足远程文件安全传输的需要。Chinasec关键技术分析存储加密技术-强制加密VCN移动存储设备管理VCN本地磁盘加密DMS本地受控加密区基于域密钥进行管理,加密数据只能在指定的范围内(计算机群)使用;数据加密和解密是透明的,对于用户来说不会改变其操作系统;加密策略基于管理员集中管理,属于强制加密,适用于单位强制的数据安全保密管理;可以通过信任域设置和存储设备信任域注册实现不同VCN之间的计算机数据共享。Chinasec关键技术分析存储加密技术-强制加密VCN移动存储设备管理VCN本地磁盘加密DMS本地受控加密区采用透明的强制加密技术,不改变用户使用习惯;数据仅在工作模式下才能使用,退