贊嘉NAS安全增強(qiáng)系統(tǒng)解決方案V.ppt

贊嘉數(shù)據(jù)集中存儲(chǔ) 安全解決方案,贊嘉電子科技(北京)有限公司,公司介紹,贊嘉公司一直致力于軍工企業(yè)、軍隊(duì)和政府的集中存儲(chǔ)和終端數(shù)據(jù)安全 采用協(xié)議層技術(shù)為基于NAS和SAN架構(gòu)的集中存儲(chǔ)提供線(xiàn)速的加密設(shè)備 國(guó)內(nèi)首家采用先進(jìn)的操作系統(tǒng)底層技術(shù)為涉密單機(jī)提供一體化的解決方案 根據(jù)現(xiàn)有內(nèi)網(wǎng)存在的風(fēng)險(xiǎn)，率先提出內(nèi)網(wǎng)安全加固解決方案 國(guó)家密碼管理局指定的商用密碼產(chǎn)品生產(chǎn)定點(diǎn)研發(fā)單位 產(chǎn)品通過(guò)保密局、國(guó)密局和公安部等相關(guān)權(quán)威部門(mén)的認(rèn)證 已成功為中電科技、航天科工、航天科技、中航工業(yè)、中船重工等所屬的多家科研院所提供涉密單機(jī)和內(nèi)網(wǎng)的解決方案,相關(guān)資質(zhì),成功案例,航天科工集團(tuán) 中航工業(yè)集團(tuán) 中電科技集團(tuán) 核工業(yè) 中船重工 船舶工業(yè) 國(guó)家統(tǒng)計(jì)局 國(guó)家開(kāi)發(fā)銀行 華夏銀行 中國(guó)平安,集中存儲(chǔ)應(yīng)用現(xiàn)狀,隨著企業(yè)數(shù)據(jù)的快速增長(zhǎng)，利用集中存儲(chǔ)設(shè)備可以方便地實(shí)現(xiàn)企業(yè)數(shù)據(jù)的海量存儲(chǔ)與共享；存儲(chǔ)設(shè)備存有企業(yè)海量的重要數(shù)據(jù)及文件，一旦存儲(chǔ)系統(tǒng)遭受攻擊將造成非常嚴(yán)重的后果。,企業(yè) 1、科研資料 2、財(cái)務(wù)數(shù)據(jù),金融 1、決策分析 2、儲(chǔ)戶(hù)信息 3、賬目分析 4、交易資料,政府 1、國(guó)家機(jī)密 2、內(nèi)控指標(biāo) 3、統(tǒng)計(jì)數(shù)據(jù) 4、共享數(shù)據(jù),軍工 1、國(guó)家機(jī)密 2、型號(hào)信息 3、商業(yè)秘密,醫(yī)療 1、病例信息 2、病人隱私,存儲(chǔ)安全威脅,存儲(chǔ)安全威脅,存儲(chǔ)管理員,外協(xié)單位,遠(yuǎn)程存儲(chǔ) 管理人員,80% 的威脅來(lái)自防火墻后端,采用的NAS存儲(chǔ)是國(guó)外設(shè)備，一旦留有后門(mén)，后果將不堪設(shè)想 軍工企業(yè)、軍隊(duì)和政府部門(mén)，尚不完全具備三員訪(fǎng)問(wèn)控制機(jī)制，對(duì)NAS設(shè)備或不敢使用，或存在安全隱患，影響了信息化深入發(fā)展 各重要行業(yè)建立災(zāi)難備份和數(shù)據(jù)備份中心時(shí)，急需確保數(shù)據(jù)不被非法訪(fǎng)問(wèn) 存儲(chǔ)設(shè)備損壞返廠(chǎng)維修和運(yùn)輸途中數(shù)據(jù)一旦丟失或被竊，將造成嚴(yán)重后果,核心儲(chǔ)存系統(tǒng)存在重大安全隱患，一旦遭受攻擊將造成 巨大的損失和影響,NAS存儲(chǔ)安全威脅,NAS存儲(chǔ)應(yīng)用和部署現(xiàn)狀 ：無(wú)法滿(mǎn)足“三員安全管理”的規(guī)定,NAS存儲(chǔ)安全現(xiàn)狀,NAS存儲(chǔ)系統(tǒng)安全完全由存儲(chǔ)管理員進(jìn)行管理 管理員僅一人，同時(shí)兼任系統(tǒng)管理員、安全管理員、審計(jì)管理員 客戶(hù)端用戶(hù)通過(guò)NAS存儲(chǔ)設(shè)定的用戶(hù)訪(fǎng)問(wèn)NAS存儲(chǔ)中的數(shù)據(jù),單一部署應(yīng)用（不與AD域結(jié)合）,NAS存儲(chǔ)安全現(xiàn)狀,NAS存儲(chǔ)應(yīng)用和部署現(xiàn)狀 ：無(wú)法滿(mǎn)足“三員安全管理”的規(guī)定,NAS自身訪(fǎng)問(wèn)控制不健全,管理員 權(quán)限高度集中,局限性和風(fēng)險(xiǎn)性,單一部署應(yīng)用（不與AD域結(jié)合）,NAS存儲(chǔ)安全現(xiàn)狀,NAS存儲(chǔ)系統(tǒng)安全由存儲(chǔ)和AD域管理員進(jìn)行管理 AD域管理員對(duì)域用戶(hù)進(jìn)行訪(fǎng)問(wèn)控制規(guī)則的設(shè)定 客戶(hù)端用戶(hù)通過(guò)自身的域用戶(hù)訪(fǎng)問(wèn)NAS存儲(chǔ)中的數(shù)據(jù),2. 復(fù)合部署應(yīng)用（與AD域結(jié)合）,NAS存儲(chǔ)應(yīng)用和部署現(xiàn)狀 ：無(wú)法滿(mǎn)足“三員安全管理”的規(guī)定,NAS存儲(chǔ)安全現(xiàn)狀,管理員 權(quán)限過(guò)大,用戶(hù)權(quán)限 易被盜用,風(fēng)險(xiǎn)和安全隱患,無(wú)細(xì)粒度 訪(fǎng)問(wèn)控制,審計(jì)管理 漏洞,2. 復(fù)合部署應(yīng)用（與AD域結(jié)合）,NAS存儲(chǔ)應(yīng)用和部署現(xiàn)狀 ：無(wú)法滿(mǎn)足“三員安全管理”的規(guī)定,贊嘉NAS安全增強(qiáng)系統(tǒng),贊嘉NAS安全增強(qiáng)系統(tǒng)為NAS存儲(chǔ)系統(tǒng)中的靜態(tài)數(shù)據(jù)提供完善的數(shù)據(jù)保護(hù) 訪(fǎng)問(wèn)控制系統(tǒng) 日志審計(jì) 數(shù)據(jù)加解密 透明部署 密鑰管理系統(tǒng) 數(shù)據(jù)安全刪除 冗余部署,贊嘉NAS安全增強(qiáng)系統(tǒng),部署架構(gòu),NAS安全增強(qiáng)系統(tǒng),贊嘉NAS安全增強(qiáng)系統(tǒng),訪(fǎng)問(wèn)控制系統(tǒng) 解決存儲(chǔ)管理員權(quán)限過(guò)大的安全隱患 實(shí)現(xiàn)NAS系統(tǒng) “三員管理” 細(xì)粒度的訪(fǎng)問(wèn)控制（基于IP、用戶(hù)、時(shí)間等規(guī)則） 有效避免系統(tǒng)及安全策略隱患 可與現(xiàn)有的訪(fǎng)問(wèn)控制系統(tǒng)透明集成 支持雙因子的身份認(rèn)證，使得認(rèn)證安全可靠 贊嘉NAS安全增強(qiáng)系統(tǒng)的強(qiáng)訪(fǎng)問(wèn)控制和身份認(rèn)證系統(tǒng)為存儲(chǔ)數(shù)據(jù)提供了強(qiáng)有力的安全保障，有效的保證了存儲(chǔ)數(shù)據(jù)無(wú)法被非法用戶(hù)訪(fǎng)問(wèn),贊嘉NAS安全增強(qiáng)系統(tǒng),“三員管理”安全管理 NAS存儲(chǔ)管理員：負(fù)責(zé)NAS存儲(chǔ)設(shè)備的日常維護(hù)，僅具有對(duì)NAS存儲(chǔ)設(shè)備進(jìn)行管理的權(quán)利 AD域管理員：負(fù)責(zé)為NAS存儲(chǔ)中的用戶(hù)，對(duì)其訪(fǎng)問(wèn)共享文件夾的訪(fǎng)問(wèn)規(guī)則進(jìn)行設(shè)置和管理 安全增強(qiáng)系統(tǒng)管理員：負(fù)責(zé)對(duì)用戶(hù)的細(xì)粒度的訪(fǎng)問(wèn)控制進(jìn)行設(shè)置,贊嘉NAS安全增強(qiáng)系統(tǒng),通過(guò)NAS存儲(chǔ)、AD域服務(wù)器和NAS安全增強(qiáng)系統(tǒng)三者的組合，使整個(gè)系統(tǒng)中的各個(gè)管理員的權(quán)限分離、責(zé)任明確、并相互限制。 任何一個(gè)管理員都無(wú)法隨意訪(fǎng)問(wèn)NAS存儲(chǔ)的機(jī)密數(shù)據(jù)，使系統(tǒng)的安全性得到最有效的控制。,贊嘉NAS安全增強(qiáng)系統(tǒng),用戶(hù)最終權(quán)限為原有NAS系統(tǒng)及增強(qiáng)系統(tǒng)管理員所賦予權(quán)限的交集,X,Y,僅允許訪(fǎng)問(wèn)文件夾Y,用戶(hù)A,安全增強(qiáng)系統(tǒng)管理員 系統(tǒng)管理員 - 批準(zhǔn)安全增強(qiáng)系統(tǒng)其他管理員的操作行為 安全管理員 - 設(shè)置安全增強(qiáng)系統(tǒng)參數(shù)和安全策略 審計(jì)管理員 - 審查安全增強(qiáng)系統(tǒng)的審計(jì)日志 （審計(jì)管理員為兩名） 備份管理員 - 備份/恢復(fù)加密機(jī)參數(shù)和密鑰,贊嘉NAS安全增強(qiáng)系統(tǒng),細(xì)粒度的訪(fǎng)問(wèn)控制 共享組設(shè)置 用戶(hù)組設(shè)置 讀寫(xiě)權(quán)限設(shè)置 IP地址設(shè)置 訪(fǎng)問(wèn)時(shí)間設(shè)置 用戶(hù)同名目錄綁定,用戶(hù)的訪(fǎng)問(wèn)控制規(guī)則設(shè)置可精確細(xì)化到用戶(hù)的訪(fǎng)問(wèn)時(shí)間、訪(fǎng)問(wèn)時(shí)所使用的IP地址等，整個(gè)訪(fǎng)問(wèn)控制策略的更改對(duì)最終用戶(hù)端完全透明，最終用戶(hù)端無(wú)需任何改變。,贊嘉NAS安全增強(qiáng)系統(tǒng),贊嘉NAS安全增強(qiáng)系統(tǒng),日志審計(jì)系統(tǒng) 安全增強(qiáng)系統(tǒng)管理員操作審計(jì)日志 管理員用戶(hù) 操作時(shí)間 操作對(duì)象 操作行為 由審計(jì)管理員進(jìn)行審計(jì) 用戶(hù)對(duì)NAS訪(fǎng)問(wèn)操作審計(jì)日志 用戶(hù) 操作時(shí)間 操作對(duì)象 操作行為 由安全管理員進(jìn)行審計(jì) 贊嘉NAS安全增強(qiáng)系統(tǒng)提供的管理員和用戶(hù)審計(jì)日志，同時(shí)結(jié)合雙審計(jì)管理員的設(shè)置，確保NAS存儲(chǔ)系統(tǒng)日志的詳實(shí)、安全、可靠,基于硬件的線(xiàn)速加解 基于底層對(duì)標(biāo)準(zhǔn)協(xié)議分析的數(shù)據(jù)加解密 不影響上層應(yīng)用程序 無(wú)兼容性問(wèn)題 延時(shí)可忽略不計(jì) 達(dá)到1-2Gbps的線(xiàn)速數(shù)據(jù)傳輸 贊嘉NAS安全增強(qiáng)系統(tǒng)，對(duì)經(jīng)過(guò)它的數(shù)據(jù)進(jìn)行加密并存儲(chǔ)于NAS設(shè)備中，保證存儲(chǔ)數(shù)據(jù)為密文，有效防止磁盤(pán)丟失、被竊或維修造成數(shù)據(jù)泄漏；同時(shí)有效解決了異地容災(zāi)備份的安全問(wèn)題,贊嘉NAS安全增強(qiáng)系統(tǒng),透明部署 基于標(biāo)準(zhǔn)NAS存儲(chǔ)協(xié)議 支持Windows、Linux操作客戶(hù)端或服務(wù)器 無(wú)需任何代理軟件 支持國(guó)內(nèi)外不同廠(chǎng)家、類(lèi)型NAS存儲(chǔ)設(shè)備 與現(xiàn)在NAS環(huán)境無(wú)縫透明集成 與單一部署應(yīng)用環(huán)境無(wú)縫集成（不與AD域結(jié)合） 與復(fù)合部署應(yīng)用環(huán)境無(wú)縫集成（與AD域集合）,贊嘉NAS安全增強(qiáng)系統(tǒng),NAS安全增強(qiáng)系統(tǒng)部署 拓?fù)鋱D（無(wú)AD域環(huán)境）,部署拓?fù)鋱D,贊嘉NAS安全增強(qiáng)系統(tǒng),NAS安全增強(qiáng)系統(tǒng)部署 拓?fù)鋱D（有AD域環(huán)境）,密鑰管理系統(tǒng) 全自動(dòng)產(chǎn)生（根據(jù)隨機(jī)噪聲信號(hào)產(chǎn)生密鑰） 安全存儲(chǔ)，存儲(chǔ)于硬件設(shè)備內(nèi) 采用密鑰拆分技術(shù)對(duì)密鑰進(jìn)行備份 采用密鑰安全恢復(fù)機(jī)制，保證密鑰的安全恢復(fù)和數(shù)據(jù)的高可用性 贊嘉NAS安全增強(qiáng)系統(tǒng)基于安全的密鑰周期管理系統(tǒng)，可有效保證密鑰的安全可靠，使得存