数据防泄漏系统解决方案

数据防泄漏系统解决方案北京网信安盟科技有限公司2010-01-11北京网信安盟科技有限公司第2页/共34页目录第1章概述......................................................................................................................................3第2章安全风险分析....................................................................................................................4第3章解决方案...............................................................................................................................63.1用户访问内网办公服务器认证、授权、审计............................................................................63.2数据防泄漏软件系统....................................................................................................................83.3内网用户访问因特网有序管控..................................................................................................11第4章防御效果.............................................................................................................................144.1非法用户“进不来”..................................................................................................................144.2网络行为“有规则”..................................................................................................................154.3有效信息“拿不走”..................................................................................................................154.4涉密信息“读不懂”..................................................................................................................154.5非法行为“跑不了”..................................................................................................................15第5章产品介绍.............................................................................................................................175.1数据防泄漏系统功能..................................................................................................................175.2SSLVPN功能............................................................................................................................205.3上网行为管理产品的价值..........................................................................................................29第六章方案报价.............................................................................................................................34北京网信安盟科技有限公司第3页/共34页第1章概述随着信息技术的飞速发展，计算机和网络已成为日常办公、通信交流和协作互动的必备工具和途径。但是，信息系统在提高人们工作效率的同时，也对信息的存储、访问控制及传输关键数据，如何有效防止其丢失和泄漏等一系列问题提出了安全需求。目前对局域网的安全解决方案，还停留在采用防火墙、入侵检测、网络防病毒等保护网络、限制信息访问或者监控行为的被动防护手段上。在过去的一年中，全球98.2％的计算机用户使用杀毒软件；90.7％设有防火墙；75.1％使用反间谍程序的软件。但却有83.7％的用户遭遇过至少一次病毒、蠕虫或木马攻击事件；79.5％遭遇至少一次间谍程序攻击事件。据国家计算机信息安全测评中心数据显示：由于内部重要机密通过网络泄漏而造成经济损失的单位中，重要资料被黑客窃取和被内部员工泄漏的比例为：1：99。这是来自于国家计算机信息安全测评中心的一个数据，据调查显示，互联网接入单位由于内部重要机密通过网络泄漏而造成重大损失的事件中，只有1%是被黑客窃取造成的，而99%都是由于内部员工有意或无意的一些泄密行为所导致的。北京网信安盟科技有限公司第4页/共34页第2章安全风险分析根据我们的总结分析，来自内部的安全威胁主要有以下几类：窃取者将自己的计算机通过内网网络交换设备或者直连网线非法就接入内网或者计算机终端，窃取内网重要数据；窃取者直接利用局域网中的某一台主机，通过网络攻击或欺骗的手段，非法取得其他主机甚至是某台网络服务器的重要数据；内部员工将只允许在局域网内部使用的数据通过磁盘复制、打印非法拨号外联等手段泄漏到单位外部；内部人员窃取管理员用户名和密码，非法进入单位重要的业务和应用服务器获取内部重要数据。内部员工在工作时间浏览无关的网站，导致恶意程序在内网横行，阻塞正常网络带宽应用系统（OA，业务系统）等未考虑应用级的安全，任何文件都是明文传输，明文存贮在应用系统的数据库，这样文件极易被截获，并且文件容易被人从数据库中提取，发生泄密事件。内部数据存贮在硬盘中，由于未使用数据加密技术，在PC电脑出现故障，需要维修时，维修人员可以轻易从硬盘中获得任何数据。对于目前办公内网所使用的监控和审计系统，这类系统虽然提供了一定的网络控制功能，但其重点是对网络数据进行记录和审计，因此并不能很好地阻止单位信息泄密事件的发生。一旦泄密事件发生，对单位已经造成损失，此类产品的安全作用有限使用文档加密系统来对敏感数据进行保护的方式，对于这类系统主要是采用各种加密软件实现对计算机数据的加密，但是其对网络、计算机、用户的管理不灵活，而且内网资源众多，需要分别进行权限的设置，管理难度大，尤其当用户权限发生频繁更换的时候，容易造成漏洞。此类产品并不利于单位内部信息的安全管理。北京网信安盟科技有限公司第5页/共34页上述风险分析中可以看出数据在使用、传输、存储过程中最容易出现安全隐患。这些安全威胁不是防火墙、入侵检测和防病毒等传统全手段所能解决的。应该看到信息安全要立足于终端，从源头抓起，才能从根本上解决安全问题；同时信息安全也要和应用系统紧密结合，才能做到有的放矢。北京网信安盟科技有限公司第6页/共34页第3章解决方案从现状分析而知，首先需要树立安全保密的意识，然后制订针对电子信息保密的规范，并且在日常中贯彻执行。我们既要有完整的、可靠的信息安全理论指导我们的方向，也要有经过验证的、实用的方案实现我们的想法，下面将介绍以：1、sslvpn系统2、数据防泄漏软件系统3、上网行为管理系统为核心的企业数据防泄漏完整解决方案。本方案考虑了从数据的存储、使用到传输过程中的全方位的防泄漏解决办法。根据对XX公司需求的分析，本方案采用SSLVPN、数据防泄漏软件和上网行为管理系统相结合的方案，在公司总部使用深信服科技的M5100-SSSLVPN设备和M5100-AC上网行为管理设备，以及数据防泄漏软件系统。通过M5100-S移动办公人员可以使用SSLVPN协议，实现内部用户和出差在外用户经过严格的身份认证和授权后，安全便捷的接入公司内部网络核心应用服务器，进行科研和业务工作处理。准入系统可根据接入电脑的安全级别控制是否允许其接入核心服务器。通过M5100-AC上网行为管理设备，通过方便的Web身份认证，管理用户上网权限，封堵工作不需要访问的URL站点和网络应用，控制用户上网下载流量，避免网络拥塞，减少带宽成本，准入系统还可强制用户电脑使用统一的安全软件和工作软件。3.1用户访问内网办公服务器认证、授权、审计针对武汉XX公司的需求，并综合SSLVPN特性，组网方案如下：北京网信安盟科技有限公司第7页/共34页方案说明：1、XX公司内网SSLVPN设备承载着重要的应用，是整个办公网络系统的核心节点，所以，推荐采用深信服科技SSLVPN设备SINFORM5100-S，同时，为了提高整个系统的稳定性，在条件允许时，该设备的部署可考虑采用双机热备的方式，当一台设备出现问题的时候可以无缝的切换到另外一台设备工作，保证核心业务不会被中断。2、因为本次项目规划只为完成现有员工办公电脑的接入，在后续拓展接入用户时，只需增加SINFORSSLVPN设备的接入授权既可，无需再做任何其它设置改动。3、所用用户通过SSLVPN接入时只需在浏览器中输入用户认证信息既可，认证通过后页面自动后台运行，用户电脑上无需安装任何客户端，用户使用简单，所有用户策略、权限分配完毕后，维护量为零。用户认证还可跟手机短信、USB-KEY、动态令牌等多种措施相结合，加强认证安全性。4、通过认证的用户将被授权，即根据已设置的策略分配给已通过认证的用户相应的访问应用服务的权限。北京网信安盟科技有限公司第8页/共34页5、通过认证的用户的一切网络行为都将被SINFORSSLVPN设备记录日志，以便审计。6、本拓补图中VPN设备采用桥接模式部署，除了桥接部署模式之外，SINFORSSLVPN设备还支持网关部署和旁路模式部署，极大的适应用户原有的网络环境。7、SINFORSSLVPN虚拟专线功能可实现当用户接入内网应用系统时自动与外网断开，保证内网服务器安全。SINFORSSLVPN的详细功能请参见3.2节。3.2数据防泄漏软件系统3.2.1系统架构上图为数据防泄漏系统的系统架构示意图。其中每个客户端和应用数据服务器中均可存有受控加密文件。数据防泄漏系统由管理中心、控制台和客户端组成：管理中心用于存储系统数据和提供在线认证。北京网信安盟科技有限公司第9页/共34页控制台是管理员用于对系统进行配置的管理工具，客户端从管理中心下载策略并根据策略完成对机密文件的保护。整套系统基于C/S模式，其实施架构