内网安全及数据保密解决方案

ChinasecTM内网安全及数据保密解决方案北京明朝万达科技有限公司目录•概要•泄密风险•解决方案•实施建议•案例回顾3概要„国内内网安全市场的倡导者和领先者，国内数据安全领域市场占有率最高的品牌。„我们专注于内网数据安全，为客户提供整体的安全解决方案和服务„ChinasecTM致力于帮助客户保护价值数据、提升管理绩效，让IT系统真正服务于用户的业务发展„我们服务的客户广泛分布在各个国家部委、军工集团、设计院所和制造、通信、金融等领域的500强企业42008年大中型企业用户市场份额分布图目前市场上数据保密软件产品主要三类即文档加密、监控审计和Chinasec安全产品。文档加密类产品的很多，但由于安全级别较低所以并未成为市场的主流。监控审计类产品虽然实现了对计算机终端进行了有效的管理，但是他不能对内网信息数据提供有效的控制。Chinasec安全产品结合了两种产品的优点并弥补了其缺点，呈现给客户的是整体的解决方案。50%其它20%15%15%文档加密类监控审计类概要目录•概要•泄密风险•解决方案•实施建议•案例回顾6组织网络所存在的泄密风险泄密风险随着计算机软硬件技术的飞速发展与信息化网络办公的普及，通过计算机终端进行办公已越来越为政府部门、企事业单位、社会大众所接受。但如何保护组织办公网内服务器与终端上所存放数据的安全确是令各方都无法回避的难题。很多的单位、组织采购了IDS、软硬件防火墙、杀毒软件等，但它们只能防护外来的黑客入侵与防止病毒漫延，无法有效降低来源于组织内部的泄密风险。美国FBI与CSI每年都会对内部窃密事件进行抽样调查，在06年时，随机抽取的484家公司损失总额已经超过了6000万美元。7网络所存在的泄密风险泄密风险只有约20%来自于外部攻击组织安全事件80%左右来自于内部泄密8实例分析泄密风险x公司系北方某大型机车制造企业(提供厂房与部门资金)与加拿大(提供技术与部分资金)合资开办的独立的集设计\研发\生产与一体的新型机车制造公司.2007年某月,国内某城市抛出机车采购大单,采取公开招标的方式购买多量机车,x公司紧集调配人力\物力进行技术公关,在最短的时间内完成了符合采购方要求的机车设计方案.开标的结果令人失望,项目被一同参与竞标的x公司的母级投资方拿到,而且设计方案与x公司所提供的几近相同,价格却低的多.事后,x公司异常震怒,要求网络中心人员必须在最短时间内把网络中存在的泄密途径全部去除掉,以保证同类事件不会再次发生.9笔记本电脑等移动终端遗失或失窃1跨部门或跨计算机的数据转移及外来计算机的非法联入2服务器被非法入侵7存储介质随意使用3打印，CD-ROM,DVD刻录5网络外发程序(Mail\QQ\MSN\...)的滥用4数据被合规外带后的二次传播6泄密风险10泄密风险网络所存在的泄密风险•计算机遗失以笔记本为代表的便携式办公终端满足了单位、企业相关人员移动办公的需求，但也存在较大的安全同险。虽然可以有操作系统密码可以做为“钥匙”防护手段，但其极易被破解。•公司内部的网络互考及外来计算机的非法联入数据在组织网络内部的流通行为往往没有得到限制，涉密数据的内网传播得以“畅通无阻”。用划分VLAN的方法来进行防治,往往需要改变拓扑结构,且无法阻止外来计算机与网内机算机的点对点直连。11泄密风险网络所存在的泄密风险Ｕ设是最为常见的数据承载体，也是组织最为重视的数据外泄途径之一。但是完全禁用它会给正常办公带来一定的不便，不禁用又无法区分“办公”与“私用”。•存储介质的使用-移动U设的混用硬盘外带数据的两种形式，一是将外来的硬盘挂接到组织内部的计算机上考取数据后外带，二是直接将存有数据的内部硬盘进行外带。•存储介质的使用-外来硬盘与内部硬盘携数据外带12泄密风险网络所存在的泄密风险•网络外发程序的滥用令管理者比较头痛的是，由于业务需要，往往需要授权网内的终端可以访问外网，常见的外联方式为QQ、MSN、Mail等。但是员工假借办公之名进行涉密数据外发的行为却屡见不鲜。•终端计算机外设的非合规使用传统的外设如打印机、串并口设备、Modem与新兴的外设如红外、蓝牙、无线网卡等设备都具备数据外发能力，如非合规使用，亦存在较为明显的泄密风险。13泄密风险网络所存在的泄密风险现行数据的外发仅靠象征性的签字等方式进行备案，但对被外带数据的使用与二次传播无法进行有效的管控，留下了极大的安全风险与泄密隐患。•数据外带流程的滥用服务器通常是计算机网络的最为关键的部分，往往存放大量的涉密数据。如果只以操作系统的用户名、密码的方式进行计算机的接入控制无法提供较高安全度的支撑防护。•服务器被非法入侵目录•概要•泄密风险•解决方案•实施建议•案例回顾15TISTIS可信网络认证系统MGTMGT可信网络监控系统VCNVCN可信网络保密系统DMSDMS可信数据管理系统RSMRSM可信移动存储介质管理系统解决方案16解决方案可信网络认证系统(TIS)可信网络认证系统的主要功能是用户身份的集中式认证，兼容口令与U-Key的登录方式，提高终端的准入安全级别，子功能如下：终端登录授权管理Windows域用户信息同步用户私有保密磁盘空间划分文件外带权限设置实现功能：密码防窃取，规范文件外带后的使用行为17解决方案可信网络认证系统(TIS)集中式的用户登录权限管理18解决方案可信网络认证系统(TIS)置于操作系统前端的登录控制界面19解决方案可信网络保密系统(VCN)可信网络保密系统的主要功能是网络边界的控制，加强对终端硬盘数据的防护，提升网络与终端的安全级别，子功能如下：本地硬盘加密网络通信加密不同安全级别的逻辑域划分网络准入控制实现功能：禁止非法联入、联出，防止硬盘外带泄密20解决方案可信网络保密系统(VCN)1．基于磁盘驱动层的加解密方式,丝毫不改变用户原有的办公习惯；2．磁盘加密在透明化的同时也把对网络与终端资源的占用率降到了最低；3.磁盘加密不涉及到对单个文件或某种类型文档的加密,减小了因加密而造成文档损坏的风险.21Chinasec网关服务器群ServerMCXXvcn1vcn2vcn31．根据内部组织结构和对敏感数据的接触权限划分不同的安全等级；2．根据不同安全等级的数据和终端制定不同的安全策略；3.数据的传输信道实现加密处理；4.安全域的划分不涉及物理网络架构的调整。解决方案可信网络保密系统(VCN)非法接入终端22解决方案可信移动存储介质管理系统(RSM)可信移动存储设备管理系统的主要功能是配置计算机与移动存储设备之间的对应关系、应用属性等，在数据安全的大前提下实现移动存储设备的生命周期化使用与管理，其子功能如下：计算机默认USB读写控制USB存储设备注册、挂失、注销等USB存储设备使且范围设定、使用属性设定已注册USB设备使用情况审计实现功能：防止私用U盘外带数据，管控公用U盘使用状况23解决方案可信移动存储介质管理系统(RSM)注册过程与已注册设备列表24解决方案可信移动存储介质管理系统(RSM)设定设备使用范围与使用权限25解决方案可信网络监控系统(MGT)可信网络监控系统与要是对终端计算机的操作行为进行有效的控制与监管并生成相应的日志记录以备审计，对可对非法操作进行报，其子功能如下：计算机外设管理邮件加密与记录、限制文件外发行为（加密或流控）计算机操作监管（打印、登录、软件、资产变更等）计算机网络监管(QQ\MSN聊天、IP或端口开放情况)实现功能：防止外设泄密、限定\审计终端操作行为26设备数据接口：对并口、串口、USB等数据接口和光、软等设备接口进行控制，防止被非授权使用具有设备扩展性，能够控制新增的设备接口类型能够进一步区分HID输入设备、存储设备和其他类型设备等对刻录光驱提供只读功能的控制，防止刻录功能的滥用。解决方案可信网络监控系统(MGT)27解决方案可信网络监控系统(MGT)日志查看界面28解决方案可信数据保密系统(DMS)普通模式工作模式外设外设自由使用自由使用受限，需申请受限，需申请软件软件自由使用自由使用自由使用自由使用网络网络自由使用自由使用只进不出只进不出电子邮件电子邮件自由使用自由使用受限，需申请受限，需申请工作分区工作分区禁止使用禁止使用只进不出只进不出普通分区普通分区自由使用自由使用只出不进只出不进移动存储设备移动存储设备自由使用自由使用加密写入加密写入数据库服务器数据库服务器禁止使用禁止使用自由使用自由使用29系统资源、网络行为、日志审计移动存储设备生命周期化管理工作模式与普通模式分级分域、传输与磁盘加密用户身份集中式认证TISMGTRSMDMSVCN解决方案30解决方案方案优点分析信息的快速传递与流通提高了组织办公效率，但也存在多层次的信息泄密风险，帮助企业去除数据安全方面的“短板”是本方安的核心理念，其优点如下：整体性方案架构，防治各类安全隐患事前控制、事中监控、事后审计三位一体的管理模式合法用户透明式操作，非法侵入“无矢可放”系统资源占用极低，融入正常办公流程进程无关性、文件类型无关性，安全理念优越31解决方案实现效果–登录系统先认证–使用资源需授权–数据带走看不懂•身份认证–非法操作被计录•资源受控•数据加密•监控审计目录•概要•泄密风险•解决方案•实施方略•案例回顾33施实方略平台架构总部分支机构移动商务人员Chinasec网关服务器群ChinasecServerChinasecMCChinasecAgent终端34施实方略性能指标主频为3.0GHz,内存为2GB以上服务器可同时负载1000个终端客户端并发加解密网络带宽占有率小于3%。策略可实现实时到达，策略到达客户端时间可在5秒内客户端CPU平均占用率1％，客户端占有内存平均3～4M左右35注意事项施实方略实施的速度主要取绝于采购的终端数量以及下发的策略的复杂程度,但为了加快实施速度,缩短实施周期,可进行以下的准备工作.清理操作系统,保证终端运行环境的清洁对终端机上的重要数据的备份,规避加密风险按照涉密级别或部门结构进行组划分确定功能模块配置方式与受众对象目录•概要•内网风险•解决方案•实施建议•案例回顾37关注数字知识产权保护，保持企业持续竞争力部署清单通过方案与产品的对比，Chinasec脱颖而出，取得了x公司的青睐。案例回顾„身份认证授权(TIS)－－－－－－－－（全部）„存储加密(VCN)－－－－－－－－－－（研发和设计部门）„网络加密(VCN)－－－－－－－－－－（研发和设计部门）„移动存储设备管理(RSM)－－－－－－（研发和设计部门）„邮件监控(MGT)－－－－－－－－－－（销售和采购部门）„桌面综合管理和监控审计(MGT)－－－（全部）38典型案例分享政府部门中国海关总署、南京市委办公厅、教育部考试中心、北京市公安局等军工部门中国工程物理研究院、解放军二炮某研究院、中国航天科技、中船黄埔造船厂等金融行业中国银行总行、中国农业银行、中国农业银行上海分行、汽车制造奇瑞汽车、华晨汽车、一气夏利、一汽解放、东风汽车等机械制造中联重科、上海电气集团、天瑞（中国）仪器有限公司等医疗化工民生药业集团、海南普利制药、中国石油、江苏飞翔化工、扬子石化等其它行业步步高、曲美家具、广东朗能集团、中兴通讯、新东方教育集团、史泰博(Staples)、Honeywell等测绘设计河南省地质测绘总院、成都市市政工程设计研究院、洛阳有色金属研究院、大连市测绘院等39－公安部信息安全产品资质证书－－军方信息安全产品资质证书－－国家保密局涉密产品证书－－国家信息安全产品测评中心认证－－信息安全产品著作权证书－产品资质40Q&A