Chinasec数据安全解决方案

北北京京明明朝朝万万达达科科技技有有限限公公司司Chinasec数据安全解决方案CChhiinnaasseecc数数据据安安全全解解决决方方案案北北京京明明朝朝万万达达科科技技有有限限公公司司22001122//99北北京京明明朝朝万万达达科科技技有有限限公公司司Chinasec数据安全解决方案1现状和需求随着全面信息化时代的到来，人们越来越多地借助以计算机、互联网等先进技术为代表的信息手段，将企业的经营及管理流程在线实现，所有业务数据经由系统处理，快速形成管理层所需商业智能，这样，信息数据就成为企业信息的主要存储方式及企业内、外部之间进行信息交换的重要载体。如何保护信息数据的安全问题，作为信息安全领域的一个重要内容，必将越来越受到重视。对于企业来说，网络中包含了很多重要的信息资料，比如网络中积累和掌握了大量的客户信息、研发数据、生产数据和运营信息等，组织不希望这些资料离开内部的网络环境，甚至不允许在网络外部传递与交流，该采取什么防范措施？现代组织不能拒绝互联网的交互，不能将机构封闭在一个信息孤岛。但用户在随意上传下载和发行网络中的文件的同时，可能会把组织的许多重要信息流通到网络外部，从而使重要的知识产权受到严重侵害。知识产权的保护需要依靠法律和行政手段进行规范和管理，同时利用必要的技术手段辅助实现知识产权保护的可管理性。从管理和技术两个层面杜绝机密信息的泄漏，才是解决问题的根本办法，才能防患于未然。2Chinasec系统解决方案根据上述分析，建议采用Chinasec可信网络认证系统对公司的核心终端进行安全管控。Chinasec可信网络认证系统建立在“双因素认证”基础上。该方法的前提是一个用户记住的因素，如口令，但口令本身只能对真实性进行低级的认证，任何窃取口令的人都可以冒用合法性；因此需要增加第二个物理认证因素，以使认证的确定性按指数级递增。借助Chinasec可信网络认证系统，可以向授权的员工登记发放Usbkey令牌，并对每个令牌进行授权以确认令牌的合法性。员工通过密码激活令牌，然后通过保护网络的可信认证服务器能够验证这个令牌的合法性。对令牌的访问必须提供密码，这个密码长度最长可达16个字节，并且一旦输入错误达到预先设定的值，令牌立即锁定，这样可以防止令牌丢失后对令牌的强行字典攻击。同时，令牌中的密钥（即数字证书）是唯一且不可复制的，别人不能通过复制证书、复制令牌等方法来伪造用户身份。北北京京明明朝朝万万达达科科技技有有限限公公司司Chinasec数据安全解决方案基于密码学算法的PKI技术是一种公认的最安全和通用的身份认证方法，该方式使得攻击者几乎不可能在没有取得该令牌使用权的情况下冒充合法员工权限，并且由于国家电子签名法案的通过，数字证书的认证方式得到了国家法律的有力保障。Chinasec可信网络认证系统可以和用户当前的Usbkey令牌完全无缝隙结合。2.1与Windows认证的结合基于以上两层保护，一旦某用户提供了正确的密码和对应的证书令牌，即可确信该用户即是合法用户。同时，Chinasec可信网络认证系统在实现了上述安全登陆的前提下，还提供了如下的扩展功能：Chinasec可信网络认证系统与Windows认证是相互独立的两个认证系统，用户必须使用经过授权的USB令牌并且输入正确的密码后，才能登录Windows，继续进行Windows认证。为了减少用户的多次繁琐登录，Chinasec可信网络认证系统的对Windows认证系统进行了集成，本系统跟Windows的登录界面完全集成在一起，用户在第一次正确登录Windows之后，自动将Windows的用户名/密码记录在USB硬件令牌中，在通过本鉴别后，客户端代理会自动启动Windows登录。所以，在普通用户看来，只需要插入USB令牌，输入令牌密码，即可完成系统登录，不需要输入两次口令。上面的流程图对本系统和Windows身份认证的交换过程做了描述，其中，windows用户和密码是从USB令牌中由本代理读取并自动用来登录Windows。2.2拔Key锁机用户如果临时离开计算机，只需将USB令牌拔出带走，计算机即可自动锁定，用户回北北京京明明朝朝万万达达科科技技有有限限公公司司Chinasec数据安全解决方案到计算机旁边时，插入令牌，计算机自动恢复到锁定前的状态。该功能可以进一步增强计算机的安全性，防止利用人员临时离开情况下偷取机密材料情况的发生，如下图所示：2.3个人保险柜考虑到每个用户都有一些相对比较重要的文件，这些文件如果和其他文件混合存储的话，相对而言不是很安全。Chinasec可信网络认证系统为用户提供了‘个人保险柜’功能，此功能结合本认证系统，为每个用户提供自己的安全存储空间，采用了完全透明的加密技术，具有如下特点：安全保密磁盘里面存储的数据和文件都是加密的；只有创建该安全保密磁盘的用户才能打开该安全磁盘；用户令牌拔出计算机后，安全保密磁盘自动关闭；多个用户可以在同一台计算机上各自创建自己的安全保密磁盘；安全保密磁盘可以设定为插入令牌后自动打开或者手动打开；安全保密磁盘可以指定特定的盘符从而适用于安装应用程序；安全保密磁盘支持自有算法、DES、3DES、AES或者其他国产算法2.4终端监控审计和日志追溯解决方案对于完善保密工作而言，事中控制和事后审计无疑是最后也是最有利的一种方式管理方式，通过对控制和审计，既可以对已发生的动作起到补充，又可以对以后的行为起到警示。具体能够实现如下：北北京京明明朝朝万万达达科科技技有有限限公公司司Chinasec数据安全解决方案2.4.1终端计算机实时监控和远程控制实时远程监视和控制客户端计算机的状态，这些状态包括：监视安装的程序、操作系统补丁等安装信息；监视服务、驱动的运行状态是否异常；监视当前网络连接状态是否有异常；监视用户打开的窗口是否违规，管理员可关闭违规窗口；监视运行的进程是否违规，如发现异常进程（木马、病毒）可及时结束；监视系统的用户和用户组；监控网络共享情况，管理员可以关闭共享目录；监视用户屏幕信息。Chinasec为网络管理员提供远程桌面工具，管理员通过Chinasec控制端可以登录任意台计算机，诊断并解决存在的问题。Chinasec远程协助功能具有操作方便、响应快速、网络资源占用少的特点。2.4.2终端行为控制审计外设管理监控外设监控策略运行管理员针对每台计算机进行外设端口使用的授权，比如允许或者禁止USB存储设备的使用等。这些端口和设备类型包括USB存储设备、USB普通设备、红外、串口、并口（打印端口）、键盘鼠标、光驱、软驱和1394端口等，用户还可以根据关键字和设备类型进行自定义，管理所有计算机上的设备。使用关键字是一种非常灵活的方式，比如只允许公司个别打印机使用，而其它任何打印机不能使用等，或者禁止刻录机的刻录功能而保留读盘功能等等。应用程序管理应用监控提供了管理员集中授权管理客户端应用的方法。管理员可以黑名单或者白名单的方式授权，并且可以基于进程名称、服务名称或者窗口名称进行管理。例如：管理员可以禁止BT、emule等网络下载工具和各种与企业工作无关的软件运行。由于采用了针对程序窗口名的监控方式，用户即使是修改了程序名也北北京京明明朝朝万万达达科科技技有有限限公公司司Chinasec数据安全解决方案不能避开系统的监控。打印监控提供全方位的打印监控和管理功能，监控信息包括：打印机名称，打印人，打印电脑，打印时间等，对打印信息分用户，分日期进行统计查询，完善的管理功能加上全面报表类型从费用、负荷等全方面反映打印情况。文件操作审计一个文件从新建写入保存修改删除的过程我们称之为生命周期，文件操作记录可以将这个周期中所有的行为都记录下来，管理员可以方便在的控制台查看，最终日志还可以通过报表分类导出。屏幕历史记录可以记录客户端屏幕的历史，供管理员查看，时间可以灵活设置；文件/补丁分发管理通过设置可将文件分发给指定的终端，并支持exe、doc、pdf等所有格式的文件，另外如果分发的文件为安装程序，即便没有安装权限的用户也可暂时得到权限进行安装。2.4.3网络行为控制审计IP端口控制Chinasec可信网络监控系统提供集中管理和控制的客户端防火墙，其策略由管理员根据单位管理需要指定，可以根据IP地址、网络端口和数据流向等设定客户端计算机或者用户访问的权限，以白名单或者黑名单的方式工作。例如发现蠕虫病毒，可及时全网统一封锁相应的传播端口，从而有效控制该类型病毒的破坏程度。IP地址绑定管理员集中授权绑定主机IP地址、子网掩码和网关地址，禁止用户随意更改。这样，管理员可以不对交换机进行任何更改就可以实现IP-MAC绑定的功能。Internet网址管理管理员集中授权计算机和用户访问的网址范围，可以白名单或者黑名单的方北北京京明明朝朝万万达达科科技技有有限限公公司司Chinasec数据安全解决方案式设置。同时可以进行审计和记录。使用此策略，用户所访问的网址会受到控制，比如禁止用户访问这个网站，就可以使用此策略。而且下发策略之后，我们可以在控制台审计到用户访的违法行为。邮件监控审计管理员集中授权计算机和用户可以发送和接受的邮件地址范围，可以白名单或者黑名单的方式设置，同时根据需要对各种邮件收发工具（如Outlook、Foxmail等等）接收和发送的电子邮件进行监控，可以知道邮件的主题、发件人、收件人、时间等，还可以截获电子邮件的内容，这可以有效地阻止通过电子邮件窃取企业机密的行为。（注：WEB邮件目前不能审计到正文，审计附件可以）；2.4.4资产审计管理计算机软硬件信息更改是企业中最常见的资产变化，检查计算机及其软硬件的遗失也是企业资产管理中的难点。通过“资产发现、资产报表、资产变化记录”对计算机资产的集中管理，能够了解现有计算机资产信息，防止资产遗失，提高计算机使用效率。Chinasec资产管理实现：自动清点个人或者企业IT资产清单，并生成详细报表；判断计算机硬件配置是否支持新的软件升级；识别任何时间段内对计算机所做的所有的配置更改；收集所有资产数据并将其集成到管理数据库中，简化资产的跟踪,并可以将所需软件，硬件资产（如IP,MAC,硬盘等）等信息导出到EXCEL表格供领导查看。3Chinasec系统模块配置序号系统模块备注1Chinasec基本平台框架2Chinasec可信网络认证系统3Usbkey令牌4Chinasec可信网络监控系统4系统部署图Chinasec可信网络认证系统产品包括Chinasec平台软件、硬件令牌两部分：北北京京明明朝朝万万达达科科技技有有限限公公司司Chinasec数据安全解决方案