Chinasec數(shù)據(jù)安全解決方案

Chinasec數(shù)據(jù)安全解決方案北京明朝萬達科技有限公司2012/91現(xiàn)狀和需求隨著全面信息化時代到來，人們越來越多地借助以計算機、互聯(lián)網(wǎng)等先進技術(shù)為代表信息手段，將企業(yè)經(jīng)營及管理流程在線實現(xiàn)，所有業(yè)務數(shù)據(jù)經(jīng)由系統(tǒng)處理，快速形成管理層所需商業(yè)智能，這樣，信息數(shù)據(jù)就成為企業(yè)信息主要存儲方式及企業(yè)內(nèi)、外部之間進行信息交換重要載體。如何保護信息數(shù)據(jù)安全問題，作為信息安全領(lǐng)域一個重要內(nèi)容，必將越來越受到重視。對于企業(yè)來說，網(wǎng)絡中包含了很多重要信息資料，比如網(wǎng)絡中積累和掌握了大量客戶信息、研發(fā)數(shù)據(jù)、生產(chǎn)數(shù)據(jù)和運營信息等，組織不希望這些資料離開內(nèi)部網(wǎng)絡環(huán)境，甚至不允許在網(wǎng)絡外部傳遞與交流，該釆取什么防范措施？現(xiàn)代組織不能拒絕互聯(lián)網(wǎng)交互，不能將機構(gòu)封閉在一個信息孤島。但用戶在隨意上傳下載和發(fā)行網(wǎng)絡中文件同時，可能會把組織許多重要信息流通到網(wǎng)絡外部，從而使重要知識產(chǎn)權(quán)受到嚴重侵害。知識產(chǎn)權(quán)保護需要依靠法律和行政手段進行規(guī)范和管理，同時利用必要技術(shù)手段輔助實現(xiàn)知識產(chǎn)權(quán)保護可管理性。從管理和技術(shù)兩個層面杜絕機密信息泄漏，才是解決問題根本辦法，才能防患于未然。2Chinasec系統(tǒng)解決方案根據(jù)上述分析，建議采用Chinasec可信網(wǎng)絡認證系統(tǒng)對公司核心終端進行安全管控。Chinasec可信網(wǎng)絡認證系統(tǒng)建立在“雙因素認證”基礎上。該方法前提是一個用戶記住因素，如口令，但口令本身只能對真實性進行低級認證，任何竊取口令人都可以冒用合法性；因此需要增加第二個物理認證因素，以使認證確定性按指數(shù)級遞增。借助Chinasec可信網(wǎng)絡認證系統(tǒng)，可以向授權(quán)員工登記發(fā)放Usbkey令牌，并對每個令牌進行授權(quán)以確認令牌合法性。員工通過密碼激活令牌,然后通過保護網(wǎng)絡可信認證服務器能夠驗證這個令牌合法性。對令牌訪問必須提供密碼，這個密碼長度最長可達16個字節(jié)，并且一旦輸入錯誤達到預先設定值，令牌立即鎖定，這樣可以防止令牌丟失后對令牌強行字典攻擊。同時，令牌中密鑰（即數(shù)字證書）是唯一且不可復制，別人不能通過復制證書、復制令牌等方法來偽造用戶身份?；诿艽a學算法PKI技術(shù)是一種公認最安全和通用身份認證方法，該方式使得攻擊者兒乎不可能在沒有取得該令牌使用權(quán)情況下冒充合法員工權(quán)限，并且由于國家電子簽名法案通過，數(shù)字證書認證方式得到了國家法律有力保障。Chinasec可信網(wǎng)絡認證系統(tǒng)可以和用戶當前Usbkey令牌完全無縫隙結(jié)合。2.1與Windows認證結(jié)合基于以上兩層保護，一旦某用戶提供了正確密碼和對應證書令牌，即可確信該用戶即是合法用戶。同時，Chinasec可信網(wǎng)絡認證系統(tǒng)在實現(xiàn)了上述安全登陸前提下，還提供了如下擴展功能：Chinasec可信網(wǎng)絡認證系統(tǒng)與Windows認證是相互獨立兩個認證系統(tǒng)，用戶必須使用經(jīng)過授權(quán)USB令牌并且輸入正確密碼后，才能登錄Windows,繼續(xù)進行Windows認證。為了減少用戶多次繁瑣登錄，Chinasec可信網(wǎng)絡認證系統(tǒng)對Windows認證系統(tǒng)進行了集成，本系統(tǒng)跟Windows登錄界面完全集成在一起，用戶在第一次正確登錄Windows之后，自動將Windows用戶夕1/密碼記錄在USB硬件令牌中，在通過本鑒別后，客戶端代理會自動啟動Windows登錄。所以，在普通用戶看來，只需要插入USB令牌，輸入令牌密碼，即可完成系統(tǒng)登錄，不需要輸入兩次口令。

上面流程圖對本系統(tǒng)和Windows身份認證交換過程做了描述，其中，windows用戶和密碼是從USB令牌中由本代理讀取并自動用來登錄Windowso2.2拔Key鎖機用戶如果臨時離開計算機，只需將USB令牌拔出帶走，計算機即可自動鎖定，用戶回到計算機旁邊時，插入令牌，計算機自動恢復到鎖定前狀態(tài)。該功能可以進一步增強計算機安全性，防止利用人員臨時離開情況下偷取機密材料情況發(fā)生，如下圖所示：2.3個人保險柜考慮到每個用戶都有一些相對比較重要文件，這些文件如果和其他文件混合存儲話，相對而言不是很安全。Chinasec可信網(wǎng)絡認證系統(tǒng)為用戶提供了'個人保險柜'功能，此功能結(jié)合本認證系統(tǒng)，為每個用戶提供自己安全存儲空間，采用了完全透明加密技術(shù)，具有如下特點：?安全保密磁盤里面存儲數(shù)據(jù)和文件都是加密；?只有創(chuàng)建該安全保密磁盤用戶才能打開該安全磁盤；?用戶令牌拔出計算機后，安全保密磁盤自動關(guān)閉；?多個用戶可以在同一臺計算機上各自創(chuàng)建自己安全保密磁盤；?安全保密磁盤可以設定為插入令牌后自動打開或者手動打開；?安全保密磁盤可以指定特定盤符從而適用于安裝應用程序；?安全保密磁盤支持自有算法、DES、3DES、AES或者其他國產(chǎn)算法2.4終端監(jiān)控審計和日志追溯解決方案對于完善保密工作而言，事中控制和事后審計無疑是最后也是最有利一種方式管理方式，通過對控制和審計，既可以對已發(fā)生動作起到補充，又可以對以后行為起到警示。具體能夠?qū)崿F(xiàn)如下：2.4.1終端計算機實時監(jiān)控和遠程控制實時遠程監(jiān)視和控制客戶端計算機狀態(tài)，這些狀態(tài)包括：＞監(jiān)視安裝程序、操作系統(tǒng)補丁等安裝信息；＞監(jiān)視服務、驅(qū)動運行狀態(tài)是否異常；監(jiān)視當前網(wǎng)絡連接狀態(tài)是否有異常;＞監(jiān)視用戶打開窗口是否違規(guī)，管理員可關(guān)閉違規(guī)窗口;＞監(jiān)視運行進程是否違規(guī)，如發(fā)現(xiàn)異常進程（木馬、病毒）可及時結(jié)束；＞監(jiān)視系統(tǒng)用戶和用戶組；＞監(jiān)控網(wǎng)絡共享情況，管理員可以關(guān)閉共享目錄；＞監(jiān)視用戶屏幕信息。Chinasec為網(wǎng)絡管理員提供遠程桌面工具，管理員通過Chinasec控制端可以登錄任意臺計算機，診斷并解決存在問題。Chinasec遠程協(xié)助功能具有操作方便、響應快速、網(wǎng)絡資源占用少特點。2.4.2終端行為控制審計＞外設管理監(jiān)控外設監(jiān)控策略運行管理員針對每臺計算機進行外設端口使用授權(quán)，比如允許或者禁止USB存儲設備使用等。這些端口和設備類型包括USB存儲設備、USB普通設備、紅外、串口、并口（打印端口）、鍵盤鼠標、光驅(qū)、軟驅(qū)和1394端口等，用戶還可以根據(jù)關(guān)鍵字和設備類型進行自定義，管理所有計算機上設備。使用關(guān)鍵字是一種非常靈活方式，比如只允許公司個別打印機使用，而其它任何打印機不能使用等，或者禁止刻錄機刻錄功能而保留讀盤功能等等。＞應用程序管理應用監(jiān)控提供了管理員集中授權(quán)管理客戶端應用方法。管理員可以黑名單或者白名單方式授權(quán)，并且可以基于進程名稱、服務名稱或者窗口名稱進行管理。例如：管理員可以禁止BT、emule等網(wǎng)絡下載工具和各種與企業(yè)工作無關(guān)軟件運行。由于采用了針對程序窗口名監(jiān)控方式，用戶即使是修改了程序名也不能避開系統(tǒng)監(jiān)控。＞打印監(jiān)控提供全方位打印監(jiān)控和管理功能，監(jiān)控信息包括：打印機名稱，打印人，打印電腦，打印時間等，對打印信息分用戶，分日期進行統(tǒng)計查詢，完善管理功能加上全面報表類型從費用、負荷等全方面反映打印情況。＞文件操作審計一個文件從新建〉寫入〉保存〉修改＞刪除過程我們稱之為生命周期，文件操作記錄可以將這個周期中所有行為都記錄下來，管理員可以方便在控制臺查看，最終口志還可以通過報表分類導出。＞屏幕歷史記錄可以記錄客戶端屏幕歷史，供管理員查看，時間可以靈活設置；＞文件/補丁分發(fā)管理通過設置可將文件分發(fā)給指定終端，并支持exe、doc、pdf等所有格式文件，另外如果分發(fā)文件為安裝程序，即便沒有安裝權(quán)限用戶也可暫時得到權(quán)限進行安裝。2.4.3網(wǎng)絡行為控制審計＞IP端口控制Chinasec可信網(wǎng)絡監(jiān)控系統(tǒng)提供集中管理和控制客戶端防火墻，其策略由管理員根據(jù)單位管理需要指定，可以根據(jù)IP地址、網(wǎng)絡端口和數(shù)據(jù)流向等設定客戶端計算機或者用戶訪問權(quán)限，以白名單或者黑名單方式工作。例如發(fā)現(xiàn)蠕蟲病毒，可及時全網(wǎng)統(tǒng)一封鎖相應傳播端口，從而有效控制該類型病毒破壞程度。IP地址綁定管理員集中授權(quán)綁定主機IP地址、子網(wǎng)掩碼和網(wǎng)關(guān)地址，禁止用戶隨意更改。這樣，管理員可以不對交換機進行任何更改就可以實現(xiàn)IP-MAC綁定功能。Internet網(wǎng)址管理管理員集中授權(quán)計算機和用戶訪問網(wǎng)址范圍，可以白名單或者黑名單方式設置。同時可以進行審計和記錄。使用此策略，用戶所訪問網(wǎng)址會受到控制，比如禁止用戶訪問這個網(wǎng)站，就可以使用此策略。而且下發(fā)策略之后，我們可以在控制臺審計到用戶訪違法行為。>郵件監(jiān)控審計管理員集中授權(quán)計算機和用戶可以發(fā)送和接受郵件地址范圍，可以白名單或者黑名單方式設置，同時根據(jù)需要對各種郵件收發(fā)工具（如Outlook>Foxmail等等）接收和發(fā)送電子郵件進行監(jiān)控，可以知道郵件主題、發(fā)件人、收件人、時間等，還可以截獲電子郵件內(nèi)容，這可以有效地阻止通過電子郵件竊取企業(yè)機密行為。（注：WEB郵件目前不能審計到正文,審計附件可以）;2.4.4資產(chǎn)審計管理計算機軟硬件信息更改是企業(yè)中最常見資產(chǎn)變化，檢查計算機及其軟硬件遺失也是企業(yè)資產(chǎn)管理中難點。通過“資產(chǎn)發(fā)現(xiàn)、資產(chǎn)報表、資產(chǎn)變化記錄”對計算機資產(chǎn)集中管理，能夠了解現(xiàn)有計算機資產(chǎn)信息，防止資產(chǎn)遺失，提高計算機使用效率。Chinasec資產(chǎn)管理實現(xiàn)：＞自動清點個人或者企業(yè)IT資產(chǎn)清單，并生成詳細報表；＞判斷計算機硬件配置是否支持新軟件升級；?識別任何時間段內(nèi)對計算機所做所有配置更改；收集所有資產(chǎn)數(shù)據(jù)并將其集成到管理數(shù)據(jù)庫中，簡化資產(chǎn)跟蹤，并可以將所需軟件，硬件資產(chǎn)（如IP,MAC,硬盤等）等信息導出到EXCEL表格供領(lǐng)導查看。3Chinasec系統(tǒng)模塊配置序號系統(tǒng)模塊