基于i-Safe系列产品的企业安全解决方案

基于i-Safe产品的信息安全解决方案基于i-Safe系列产品的企业安全解决方案1.前言信息技术的飞速进步，推动了人类社会生产力的发展，改变了人们的生产生活方式。然而伴随着人们对计算机等信息终端、信息网络的依赖程度越来越高，信息安全问题也逐渐暴露出来，尤其是近几年的信息泄密事件也越来越多，从人隐私到企业经营计划，再到重要实验数据，国家发展计划等都有很多泄密的案例，这些事件轻则影响个人声誉，重则关系国家安全。为了解决这些信息安全隐患，公司组织研发了内网信息安全监控管理系统（英文简称i-Safe）系列产品（以下简称i-Safe系列产品），能有效的将企事业单位内部的计算机网络、终端、介质有效监控管理起来，协助单位开展信息安全管理工作，杜绝人脑以外的失泄密事件发生。2.基于i-Safe系列产品的解决方案针对国内企事业单位目前的信息安全需求，本公司研发了i-Safe系列产品，为政府机关、国防机构、军工企业、科研单位等提供全套的信息安全解决方案。3.1i-Safe3.1.1系统概述i-Safe是一个对内部网络系统进行安全管理、审计、检测控制、记录分析、报告的信息安全管理系统。它以完备的PKI密码体系为基础，集成了密码、身份认证、访问控制、检测、审计、分析等技术，对敏感涉密信息和数据的存储、传播和处理等提供全面的安全保护，并对系统运行状态与资源进行实时监控，有效地降低和防止了主动或被动的信息泄漏，从而保障了系统信息的安全。它是目前国内功能最全面、最灵活、最务实的内部信息安全监管与审计系统之一。基于i-Safe系列产品的企业安全解决方案i-Safe采取CSA（ConsoleServerAgent）设计模式，透过功能强大的Agent，对企业最为广泛使用的计算机系统（台式机、笔记本电脑和相关主机服务器等）进行访问控制、审计和安全管理。它能有效地监控、记录用户的操作行为，阻止系统中敏感信息的外泄，控制系统资源的滥用；能够实现敏感信息文件的加密存储和传输。i-Safe支持安全策略，支持安全域和群组管理，能够将系统按照使用者的行政隶属关系进行安全子域划分管理，实现使用者的安全等级划分及等级保护、安全域和群组管理。i-Safe不仅能够管理计算机的软硬件资源配置及使用状况，而且能够控制、记录使用者的操作行为，还能够为计算机系统部署一套完备的密码体系保证桌面信息资产的安全。它既管理计算机资产，又管理资产的使用者；既管理软件，又管理硬件；既管理信息，又管理行为；既负责联网状态安全，又管理离网状态安全等等，是企业信息与网络安全产品中最为务实的安全产品之一。3.1.2体系结构i-Safe为了适应大规模计算机系统的安全管理需要，将系统分成三个层次C/S/A（Console-Server-Agent），每个层次执行不同的安全功能和管理功能，并且这种层次结构可以根据企业的网络管理模式需要进行扩充和调整。客户端（i-SafeAgent）服务器系统（i-SafeServer）安全管理中心(i-SafeConsole)内网信息安全监控管理系统客户端i-Safe客户端是一个服务程序，用于防止系统的任何重要数据泄漏。系统为客户端的内部安全都设定了安全策略，并且会自动运行。基于i-Safe系列产品的企业安全解决方案i-Safe客户端无法中止。i-Safe客户端在安装过后，用户是不能删除或者中止该程序的。所有用户都受到安全策略的控制。i-Safe客户端将会记录和控制客户端信息，诸如通讯、软件、打印、邮件、CDR/RW，可移动存储设备操作等。i-Safe™系统当前支持的操作系统：i-SafeAgentforMSWindows2000系列；i-SafeAgentforMSWindows2003系列；i-SafeAgentforMSWindowsXP。内网信息安全监控管理系统服务器系统i-Safe服务器负责记录各种日志数据、客户端传过来的原始文件及其他们的状态信息。所有管理中心和客户端的交互信息都通过服务器进行中转。由于所有客户端信息输出不是来自同一安全子域，i-Safe服务器依据他们不同的目的和来源排序并存储这些原始数据文件和日志文件到数据库中，以提供管理中心查询使用。服务器对客户端发送的数据进行统计分析，提供诸如关键字等的查询方式。内网信息安全监控管理系统安全管理中心i-SafeConsole实现大规模网络系统中多套i-Safe服务器的集中管理：策略管理、配置管理、证书管理和运行管理。i-SafeConsole能够管理多个服务器与客户端，能够实现大规模敏感信息/涉密系统的防信息泄漏和系统安全管理。3.1.3功能介绍网络通信方式信息泄漏防护功能网络通讯方式信息泄漏防护是失泄密防护的重点之一。i-Safe的网络通讯方式信息泄漏防护实现了基于SPI的分层防护和多级别控制。在网络层实现对任意IP地址和TCP/UDP端口的访问控制。在应用层结合常见应用（FTP/HTTP/SMTP/TELNET）的端口实现了对诸类应用的访问控制，通过对URL地址的判断实现了对WEBMAIL/BBS的访问控制。网络层控制和应用层控制在不同层次发挥作用，提高了网络通讯方式信息泄漏防护的可靠性基于i-Safe系列产品的企业安全解决方案和灵活性。网络层控制分项有：IP访问控制；TCP端口访问控制；UDP端口访问控制。应用层控制分项有：FTP控制；HTTP控制；SMTP控制；TELNET控制；WEBMAIL/BBS控制。访问控制策略有自由访问，完全禁止和条件防护三种，具体描述如下：自由访问，不记录日志。禁止访问，不记录日志。条件开放，记录日志。允许自由进行访问，但是其任何访问足迹都将被记录日志。可以设置黑、白名单。被列入“白名单”中的，将允许自由地进行访问，不记录日志；被列入“黑名单”中的，将禁止访问。FTP、SMTP方式有可能外传文件信息造成泄密，因此有必要对外传内容进行备份。FTP和SMTP方式中，系统将自动备份外传文件信息，全文加密存放到服务器上并在日志中记录该文件路径。只有admin权限加两个硬件令牌才能审计备份文件内容。移动存储介质信息泄漏防护功能移动存储介质是主要的信息泄漏途径之一。移动存储介质防护包括软盘存储器防护，可移动存储器防护和CD-R/W防护。此处可移动存储器包括USB接口和火线1394接口的所有可移动存储设备，包括U盘、移动硬盘和MO盘等，以下可移动存储器所指的就是这些设备。对可移动存储器的控制有如下策略：禁止使用，不记录日志。自由使用，不记录日志。基于i-Safe系列产品的企业安全解决方案只读，不记录日志。只能从移动存储设备拷出数据到客户端，不能从客户端向移动设备拷入数据，移动存储器相当于只读的光盘。自由使用，记录日志。设备可以自由使用，但所有在设备上的操作都将被审计。自由使用，内容审计。设备可以自由使用，但所有在设备上的操作都将被审计。此外所有拷贝的文件内容将自动备份到服务器上加密存储，只有admin权限加两个硬件令牌才能审计文件内容。拷贝加密，记录日志。所有从客户端硬盘拷贝到移动存储设备的数据自动加密，并记录日志。从移动存储设备拷贝到客户端硬盘自动解密。整个加解密过程是透明的，对用户的使用没有影响。对CD-R/W的控制有如下策略：禁用CD-R/W设备，不记录日志自由使用CD-R/W设备，不记录日志移动存储介质绑定功能系统对USB接口的移动存储设备提供存储绑定功能。移动存储设备可先在管理中心进行注册，USB2.0以上U盘注册时读取硬件序列号，USB2.0以下的U盘和移动硬盘采用系统产生的序列号。注册后的移动存储设备可与计算机帐户进行绑定，下发策略后，未绑定的U盘在该计算机帐户上禁止使用，而绑定的U盘使用移动存储介质管理策略。对U盘绑定有如下控制策略：不绑定U盘。U盘绑定（只支持硬件序列号）。提供U盘绑定功能，但只绑定硬件序列号，没有硬件序列号的不能进行绑定。U盘绑定（支持硬件序列号和软序列号）。提供U盘绑定功能，有硬件序列号的绑定硬件序列号，没有序列号的基于i-Safe系列产品的企业安全解决方案写入系统唯一的软序列号。打印机信息泄漏防护功能用打印机打印信息也是主要的信息泄漏途径之一，故打印机信息泄露防护是系统的重要组成部分。打印机包括网络打印、本地打印，和虚拟打印等，下面的控制策略全部适用于这三种打印方式。打印机信息泄漏防护有如下控制策略自由使用打印机，不记录日志。禁止使用打印机，不记录日志自由使用打印机，记录日志。打印机可以自由使用，但所有打印机操作都将被记录，保存到日志文件中。外设与接口信息泄漏防护功能客户端根据下发的策略，启用或者禁用与信息泄漏有关的外设接口与设备：外设与接口防护有如下策略：禁止使用，不记录日志。自由使用，不记录日志。管理的主要外设和接口有：A、接口串行接口并行接口PCMCIA接口红外接口蓝牙接口CompactFlash接口B、外设MODEM无线网卡外设接口信息泄漏防护是失泄密防护的辅助手段，从硬件层次阻断信息泄基于i-Safe系列产品的企业安全解决方案漏的途径，较其余三项失泄密防护手段更为严格，但是也失去了相当程度的灵活性，用户应结合实际安全需求谨慎选用。文件安全服务功能文件安全服务提供了对敏感文件的安全防护，采用了非对称算法，用户、小组和安全域具有各自独立的证书，私钥对，用户可以根据实际需要对不同范围用户群采用不同的加密方式。对于“个人加密”方式加密的文件，其他用户无权解密查看此文件；对于“小组加密”方式加密的文件，该用户所在小组下的所有用户都有权解密查看此文件，其他小组的用户无权查看；对于“安全域加密”方式加密的文件，整个安全域内的用户都有权解密查看此文件。其具有以下特点：PKI密码体系对称/非对称密钥体系支持，使用AES对称算法与RSA非对称算法嵌套对文件及目录加/解密最高支持2048位密钥长度，128位初始化向量不同安全域加/解密（个人、小组、整个安全域）支持数字签名文件彻底粉碎功能扩展身份认证功能管理控制策略：接管windows认证不接管windows认证主要特点：客户端Windows系统登录认证接管扩展支持USBKEY硬件令牌支持射频卡令牌支持动态口令认证支持生物技术认证非法接入扫描报警模块基于i-Safe系列产品的企业安全解决方案要成为一个全面、完善的敏感信息防护系统，非法接入扫描是不可或缺的重要功能之一。本模块可快速、准确地扫描整个内网的在线主机，从中发现未安装客户端的主机，或安装了客户端，由于各种原因未运行的主机，并在管理中心报警。扫描非法接入系统的主机（未安装客户端）扫描联网未运行客户端的主机（已安装客户端）可透过大部分的防火墙扫描结果在管理中心报警非法接入阻断非法接入阻断功能是对非法接入扫描功能的延伸与完善。通过非法扫描功能捕获当前接入内部安全网络的计算机，进而采取措施封杀其网络接口，禁止其通过网络访问内部信息资源。非法外联管理对于内网中的涉密计算机安装好客户端后，如果未经授权允许，非法接入公网，本系统会自动采取措施，禁用其网络接口，防止失泄密事件的发生，并生成响应告警日志信息。禁止程序运行对于内网中的涉密计算机安装好客户端后，管理员可以禁止客户端运行某些程序；只要将需要禁止运行的程序列入黑名单里即可。系统资源安全管理功能系统资源包括硬件资源和软件资源。如果策略设置为允许获取硬件资源，则系统每次启动时自动获取系统的硬件资源信息。有变化则报警；系统软件资源在选中客户端时自动刷新。完整的系统资源管理信息包括：硬件资源：主板配置：包括主板、处理器和bios的详细信息，如型号、主频、制造商、版本等等。视频系统：包括显卡和显示器的详细信息，如显示芯片、显存容量等基于i-Safe系列产品的企业安全解决方案等。存储系统：包括内存和硬盘等的详细信息，如内存类型、大小、条数等等。网络系统：包括网卡的型号、制造商和网络配置信息等。外部设备：包括键盘、声卡和各种接口等。软件资源：基本信息：操作系统和