清华同方安全产品介绍同方计算机产业本部安全战略公司发展策略:基于民族精品的品牌策略基于信息安全的商用市场策略基于自主设计地消费市场策略基于远程服务的服务策略同方电脑安全战略:民族品牌,承担我国的信息安全是我们义不容辞的责任。信息安全是国产品牌差异化竞争的必经之路。同方具备信息安全产品方面的核心技术及核心能力。3同方安全产品历史沿革•2006年初,国家密码管理局创建了可信计算工作组。同方作为工作组核心成员、联盟的倡导者,参与起草、拟定了我国自主可信计算领域多项规范及国标;•2006年至今作为主承担单位,参与编写了《可信计算密码模块》和《可信计算平台密码应用接口规范》等,并且是国产TCM安全芯片标准的制定者之一,进一步完善我国自主可信计算的产业规范、标准体系,持续推动产业发展;•《商用密码管理条例》第二章第七条规定商秘产品必须由国家密码管理局授权生产。同方作为国密的战略合作伙伴,唯一纯国产PC的民族品牌,拥有商秘的使用权,并已通过公安、国密、军队的多项认证。•2007年同方发布整体安全解决方案,并明确作民族品牌的“信息安全战略”为公司的核心战略•2008年至今,同方积极推进面对政府、军队、大企业、中小企业等各领域的信息安全解决方案的研发及产业化推广工作,先后在可信计算机、可信移动存储设备、高速流加密芯片、可信网络介入、可信网络支付等产品领域取得重大进展。产品、方案介绍安全产品分类介绍A安全电脑---TST2.0安全电脑管理平台安全电脑---安全USB端口管控CB安全方案---安域加密系统DE安全移动存储--移动数据保密机、移动加密转接器安全方案---网络接入控制系统TST2.0安全电脑管理平台同方安全电脑•同方TST2.0安全电脑管理平台:•同方TST(TongfangSecurityTechnology)安全平台是基于TCM安全芯片针对计算机系统及用户数据进行全方位保护的整体解决方案6同方安全电脑—TST2.0安全电脑管理平台授权密网即时备份个人密盘行为审计信息安全应用软件TCM安全加解密芯片信息安全应用软件国产自主加密芯片用户进行数据保护的应用软件由硬件来实现数据保护的加密过程应用场景:A公司王老板将《销售代理协议书》及“税务信息”存放到自己的电脑中,电脑有问题送到维修点去修,修好后,维修工程师找到了这两份,并敲诈王老板,王老板苦不堪言。如果用了TST2.0中的个人密盘来保护数据,维修工根本就感觉不到这些文件的存在,他就不会得逞了。TST2.0安全电脑管理平台--个人密盘您可以在其中存放重要的私人文件,如照片;企业绝密文件,税务数据。这些文件将被加密保护,只有您启用TST后,输入个人密码,才能打开个人密盘查看文件。TST2.0安全电脑管理平台--个人密盘个人密盘个人秘密文件、秘密照片的保险箱8个人私密的文件存于特定的盘符中;其他用户无法访问这些文件;甚至不能从系统中察觉这些文件的存在;个人私密的文件存于特定的盘符中;个人私密的文件存于特定的盘符中;个人密盘对文件的保护甚至到了,就算打开密盘看到文件存在,把它拷走都另一台电脑上都是无法观看的。TST2.0安全电脑管理平台--个人密盘个人密盘个人秘密文件、秘密照片的保险箱910TST2.0安全电脑管理平台—授权密网应用场景:某软件公司研发总监最近又招来一批研发人员,它把刚开发好的软件的源代码分别通过网络共享给这些人来审查代码。其中一名员工突然被竞争对手挖走,结果对手抢先申请专利并发布,十个月的工作付出东流。那么如何做到在将核心资料与大家分享的同时,还能保证信息的安全性呢?为用户创建一个被加密保护的网络工作域,支持网络办公与移动办公,通过严格的权限控制,有效管控数据传播范围,TST2.0安全电脑管理平台—授权密网授权密网个人密盘总经理电脑授权密网--销售安全域授权密网--财务安全域TST2.0TCM授权密网--研发安全域财务数据技术文档技术文档客户名单开辟授权密网密盘,将共享文件放入该密盘中,就可起到及共享又保护的作用除了有效管控数据传播范围,还可以阻止截屏等窃取手段,防止组织内部的主动/被动信息泄漏,既能实现信息共享,又能保护信息不被非法窃取。TST2.0安全电脑管理平台—授权密网授权密网用户设定好待备份的文件后,备份过程在后台自动完成,增量备份无需用户手动操作;TST2.0安全电脑管理平台--即时备份即时备份用户可以设定多个还原点,每个文件可以有多个备份的版本;并可以针对特定类型文件进行备份,实现个性化选择。TST2.0安全电脑管理平台--即时备份即时备份TST2.0安全电脑管理平台--审计日志15通过审计管理员密码登陆后,可通过日志审计页面查看用户的操作日志,日志为分页记录。点击“导出”,可将日志导出到本地。管理员可通过检索日期、操作类型、操作结果等检索条件检索查看日志。审计日志16同方TST2.0安全电脑管理平台功能技术要点•同方TST(TongfangSecurityTechnology)安全电脑管理平台•是基于TCM安全芯片对计算机系统数据进行全方位保护的整体解决方案;•同方TST2.0安全平台•提供个人密盘、授权密网、即时备份、审计日志四大功能,不仅对个人单机数据提供安全保护,同时提供了网络共享数据以及移动存储数据的安全保护,而且在高级保护中可以做到终身保护、防拷屏、防复制,可谓全方位安全;•同方TST2.0安全平台可以说是:•对外防偷又防丢---保护政府、企业数据、个人数据不被外来威胁窃取;•对内防主动泄密---防御企业内部员工的主动或无意识泄密安全USB端口管控同方安全电脑同方安全移动存储—安全端口管控应用场景:某航天研究院为防止信息泄露,员工所用PC相互间无任何网络连接,USB端口被禁用。每当两台PC间需要相互传递信息时,需经逐级审批后,再使用光盘传递信息,时效性低,且仍不能做到完全安全。那么如何才能做到既允许员工使用U盘传递信息的同时,还能保证信息的安全性呢?19同方安全电脑—安全USB端口管控USB端口管控卡同方TF32A09安全芯片USB端口加密机安全USB端口管控基于同方TF3209A高速流加密芯片,对电脑的USB端口进行加密、封闭、开放等形式的管控,以保证使用USB移动存储设备传输或存储设备时的数据安全安全USB端口管控20装有USB安全端口管控卡的电脑,并经过同一USB端口加密机配置过后,就可以用移动存储设备在这些电脑间传递保密数据了。同方安全电脑—安全端口管控安全USB端口管控安全端口管控功能及技术要点21•同方安全USB端口管控:•是基于同方TF3209A安全加密芯片,对电脑的USB端口进行加密、封闭、开放等形式的管控,以保证使用USB移动存储设备传输或存储设备时的数据安全,并完全是硬件级的加解密。•同方安全USB端口管控:•通过装有USB端口管控卡的电脑和统一的USB端口加密机互相配合,解决局部范围内不同计算机间使用移动存储设备经性保密数据交互的问题。•同方安全USB端口管控:•完全依赖硬件处理,独立于上层OS,不需安装任何驱动,无需补丁程序,对用户来说简单易使用。•同方安全USB端口管控:•基于同方TF32A09安全加密芯片,它采用国家密码管理局SM1密码算法,实现通过USB端口的加密管控。•通过同方安全USB端口管控可以使电脑的USB端口处于•端口加密:对USB数据流透明加密,加密速率可达20MBps。•端口开放:USB端口加密功能关闭,用户可将其作为普通端口使用。•端口封闭:USB端口禁用,不识别任何USB设备。网络接入控制系统同方安全芯片23带有TCM模块的计算机终端,拥有以硬件标识的不可更改的唯一设备身份标识,在网络接入时依据预定策略控制其网络行为范围。同方安全电脑—网络接入控制系统网络接入控制同方安全电脑—网络接入控制系统应用场景:S单位按照国家要求,进行了严格的内、外网物理隔离,一定程度上解决了内网数据、外网数据的分隔。但是S单位仍无法解决未授权设备接入内网的问题,整套系统仍面临非法内联的威胁,一旦一台带有“病毒”的外部终端设备无意间接入到内网上,那么,这个“病毒”将有可能迅速扩散到整个内部网络上,导致信息的丢失和系统的破坏。此外,在单位内部网络,不同级别的员工所用计算机权限无差异,很容易发生敏感信息泄漏问题。以太网交换机认证服务器客户端设备图例:网线网络拓扑图网络接入控制系统重要技术点25•网络接入控制系统:•设备身份:基于硬件的唯一终端设备身份标识,不可被篡改;•网络接入控制系统:•高度安全:密码算法硬件实现,算法强度高,不可破解•网络接入控制系统:•部署简单:无需变更网络拓扑结构,不影响网络系统性能;•网络接入控制系统:•全程管理:事前验证,事中记录,事后审计,全程保证用户网络安全;•网络接入控制系统:•操作方便:客户端遵循用户日常操作习惯,界面简洁网络接入控制系统。安域加密系统同方安全芯片27在信息系统中部署安域加密系统后,能够对所有流出系统的数据进行自动加密保存,对重新进入系统的加密数据自动解密。同方安全电脑—安域加密系统安域加密系统同方安全电脑—安域加密系统应用场景:A公司老总杨某为了获得同行的核心技术,隐瞒真实身份,凭着扎实的技术功底在B公司求职成功并很快被任命为研发中心主任,该老总很快将B公司的核心技术复制到自己的笔记本电脑中,并且通过刻录机把B公司的机密资料刻录成光盘。之后的第三个月该老总不辞而别。随后,同行B公司发现A公司推出与其主打产品相同的产品,并且以低价到处竞标,造成B公司产品市场占有率急速下降。经调查发现,A公司的法定代表人就是杨某。以太网交换机认证服务器客户端设备图例:网线网络拓扑图安域加密系统重要技术点29•安域加密系统:•基于文件层的加密:基于预定组划分策略的智能动态加解密;•安域加密系统:•内核级的外部设备控制,灵活调整USB存储设备;•安域加密系统:•分级分权,依据不同权限享有对域内不同范围内的文件的浏览编辑处理权限;•安域加密系统:•集中管理,客户端权限统一集中管理更新,对终端网络可全面监控;•安域加密系统:•操作简单,部署成本低。移动数据保密机同方安全移动存储同方安全电脑—移动数据保密机应用场景:某航天研究院总工程师经常会把设计图纸用移动硬盘带回家继续工作。但由于家里的电脑病毒防护做得不好致使移动硬盘上被感染了木马病毒,当他把移动硬盘拿回单位使用后,木马病毒悄悄地在他不察觉的情况下,把单位电脑上的保密数据隐秘拷贝到移动硬盘上,当这位总工再次将移动硬盘拿回家用时木马病毒将保密数据通过互联网发走,造成了泄密事件,只是一个广泛存在的摆渡攻击案例。可信移动存储--移动数据保密机32同方移动数据保密机防丢也防偷其他品牌安全移动硬盘防丢不防偷移动存储设备安全性分级:可信移动存储--移动数据保密机33同方移动数据保密机:内部自带独立的CPU及不可更改的封闭操作系统,这样使得同方移动数据保密机独立于计算机,任何访问行为均需移动数据保密机自身智能识别,并要求用户对数据操作通过身份(指纹)验证,进行许可,能够有效抵御来自计算机操作系统的攻击和由木马病毒导致的摆渡攻击;移动数据保密机重要技术点34•移动数据保密机:•内建CPU及封闭的操作系统,它独立于计算机,任何访问行为均需身份(指纹)验证,能够有效抵御来自计算机操作系统的攻击和摆渡攻击;•移动数据保密机:•主动管理,主动防护,防止摆渡攻击,防偷又防丢,真正做到数据偷不走,丢了不担心•移动数据保密机:•使用者任何操作行为都可审计,对系统中任何文件的操作均有访问记录供查询;•移动数据保密机:•数据存放在保密机中均为密文,加解密采用自主国产商用密码算法实现数据全盘加密;•移动数据保密机:•指纹、密钥双因子身份认证•移动数据保密机:•固态硬盘设计,防摔、防震移动加密转接器同方安全移动存储同方安全电脑—移动加密转接器应用场景:U盘、移动硬盘已经是我们我们个人的必备设备,而U盘、移动硬盘在日常使用过程中也经常会丢失,这样里面的一些私密数据就很可能被别人看到。如果有一个方便携带的U盘保镖,他可以很方便的把我们已有的U盘、移动硬盘变为加密移动存储设备,那就放