Chinasec数据安全整体解决方案(内部资料)

Chinasec数据安全整体解决方案（简版）1.公司和产品概况1.1公司介绍北京明朝万达科技有限公司（）是国家级高新技术企业和国家级软件企业，目前拥有国内最大的数据安全和数据保密专业技术团队，是中国领先的内网安全产品与数据保密产品厂商。作为一个专业的网络安全和信息安全产品研发、生产和销售单位，明朝万达建立了一支以清华大学博士和硕士为骨干力量的核心团队（公司总人数150左右，研发技术团队约占65%），致力于解决国家政府、军队和各类企业面临的内网安全管理、信息保密、分级防护和数字知识产权保护问题，为客户提供整体的内网安全解决方案和服务。北京明朝万达科技有限公司已经在上海设立了分公司，广州、成都、长沙、武汉、等地设立办事处，并携手遍布全国的几十家合作伙伴，可以为用户提供本地化的服务和支持。1.2产品介绍作为国内内网安全市场的倡导者和领先者，明朝万达立足于内网安全市场，加强技术创新，成功推出Chinasec（安元）可信网络安全平台，在平台的基础上开发出Chinasec（安元）可信网络认证系统（TIS）、Chinasec（安元）可信网络保密系统（VCN）、Chinasec（安元）可信网络监控系统（MGT）、Chinasec（安元）可信数据管理系统(DMS)、Chinasec（安元）可信移动存储设备管理系统(RSM)和Chinasec（安元）可信应用保护系统（APS）、Chinasec移动安全接入系统(MSAS)，针对内部网络的用户身份和计算机管理、数据信息保密、数字知识产权保护以及网络状况监控维护等安全问题提出了整体的解决方案。1.3案例序号客户名称行业规模地点1二炮军队4000北京2中船重工集团军工4000全国3中国航空工业集团军工4500北京4中国电子科技集团军工2800全国5深圳中广核集团军工8000深圳6北京市公安局政府5000北京7北京清华城市规划设计设计院1200北京研究院8广东省电力设计研究院能源3000广东9中石油集团能源3000北京210中海石油股份有限公司能源5000全国11中国银行总行金融1300）北京12广东发展银行金融2500广东13内蒙移动运营商2500内蒙14广东电信运营商3000广东15上海龙旗电子通讯1000上海16北京医药集团医疗3600全国17奇瑞汽车汽车制造18000点安徽18沈阳华晨汽车汽车制造3000点沈阳19中国一汽汽车制造5000点天津、青岛20南阳防爆集团公司机械制造4000点河南21中联重科集团公司机械制造9500点全国22三一重工集团机械制造6000全国23山东电力建设集团能源6000全球24大唐电力（吉林）能源400吉林25上海电气集团公司机械制造5000上海1.4资质2.Chinasec数据安全整体解决方案简介2.1应用数据安全解决方案2.1.1现状和需求分析随着信息化日益完善，越来越多的企业建立了以业务为支撑的各种应用系统，将传统的办公方式全部集中由业务系统进行处理，其中包含了大量的核心数据和决策文件，对企业来说价值非常重要，其安全风险包括：明文保存、文件权限失控、无法进行泄密追踪等。而在正常工作时，用户不希望干涉其非涉密数据，仅限于对核心应用系统数据的保护，势必需要一套独特的业务保护系统。在这样的背景下，我们提出了Chinasec可信应用保护系统（APS）。2.1.2Chinasec解决方案Chinasec可信应用系统保护系统（APS）是指针对企业常见的B/S模式的业务系统（比如OA、ERP、PDM、CRM、邮件、档案管理系统、财务系统等）进行针对性的保护。通过浏览器插件的方式部署，以嵌入式的保护思路，对业务系统中的数据进行保密，同时又对终端上存储的数据不予过多干涉。2.1.3实现效果和特点通过Chinasec可信应用保护系统（APS），最终可以实现业务系统中的数据一旦离开业务系统，将自动加密保护，加密过后的数据具有默认权限，可以防止文件的越权使用。并且通过文件外发审批机制，实现数据外发的安全。2.2终端数据安全解决方案（内网终端和移动笔记本终端）2.2.1内网终端数据安全解决方案2.3.1.1现状和需求分析随着信息网络技术的发展，内部局域网的建立实现了资源共享，在方便信息传递的同时，极大的提高了工作效率。内网开放共享的特点，使的分布在各台主机中的重要信息资源处于一种高风险的状态，包括：恶意拷贝、非法外发、违规操作、越权使用、追踪失控等等。对于上述风险，应该看到信息安全要立足于终端，从源头抓起，才能从根本上解决安全问题。为了解决数据源头的安全问题，Chinasec的环境保密解决方案也随之出现。2.3.1.2Chinasec解决方案Chinasec的环境保密数据安全解决方案采用‘整体一致’的设计思想，以‘环境加密技术’为技术基础，采用了多种管理手段结合的方式保护数据在生成、存储、交互、使用过程中的安全环节控制。在可信网络保密系统中主要采用了磁盘加密、网络传输控制、移动存储加密，外设控制、身份认证等技术手段来保障了数据安全环境的建立。2.3.1.3实现效果和特点通过环境保密方案，最终可以实现内部数据不论文件类别、大小、应用程序均可以受到低风险的安全防护，并且从终端登录、数据加密、安全审计多方面的进行防护，实现整体一致的安全效果。2.2.2移动移动笔记本终端安全解决方案2.2.1.1现状和需求分析随着IT技术的发展，笔记本电脑由于其轻巧、方便、全面的特点，已经被广大企业所接受，成为出差办公的不二选择。但是在带来工作便利的同时也带来安全风险，包括：被动遗失、冒名使用、主动泄密等。为了解决笔记本终端的数据安全，国内各个内网安全厂商普遍采用针对某个文件来做控制，对其使用时间和使用权限进行设定。这样做的好处是：思路比较明确，使用者也比较容易接受。但是，在办公文件很多或者文件权限临时需要提升的时候，将会造成很大的使用负担和操作负担，严重的可能导致工作链路断接。基于以上问题，Chinasec提出了全新的保密思路--Chinasec可信数据管理系统（DMS）。2.2.1.2Chinasec解决方案Chinasec可信数据管理系统（DMS）将笔记本硬盘的资源分为涉密和非涉密资源。相对于涉密资源和非涉密资源，Chinasec可信数据管理系统（DMS）系统分为工作模式和普通模式。在工作模式下，授权用户可以访问和使用涉密资源；在普通模式，授权用户可以访问非涉密资源，但不能访问涉密资源。DMS系统通过模式切换，将受控资源和非受控资源使用环境进行了逻辑上的隔离。如图所示：资源普通模式工作模式外设自由使用受限，需要管理员批准软件自由使用自由使用网络自由使用只进不出电子邮件自由使用受限，需要管理员批准保密分区禁止使用只进不出普通分区自由使用只出不进移动存储设备自由使用加密写入数据服务器禁止使用自由使用2.2.1.3实现效果和特点过上述方案，可以实现涉密数据安全的控制，未经授权，不能私自外发数据。继而解决了解决了笔记本电脑的主动泄密和被动泄密的安全问题。同时，化解了笔记本电脑个人数据和涉密数据同盘存储的矛盾。2.3移动智能终端（手机和PDA）安全解决方案2.3.1现状和需求分析着全球化信息网络进程和无线高速网络的迅速发展，企业信息化建设日益进步，各种智能终端应用层出不穷，移动办公、远程办公等快捷高效的工作模式被更多的企业管理者和员工所认可。在方便工作的同时，也带来了极大的安全风险，包括：泄露信息、用户伪装、传输窃听、行为否认、被动遗失等。如何保障移动终端用户身份安全、接入安全、数据保密性以及网络边界完整性等成了移动智能终端应用推广的迫切问题。针对这个问题，明朝万达研发出了Chinasec可信移动安全接入系统(MSAS)。2.3.2Chinasec解决方案Chinasec可信移动安全接入系统(MSAS)从网络的移动用户身份安全、移动终端接入安全、网络通信安全和应用访问控制等环节进行综合安全防护，构成多层次、全方位的移动安全接入体系。Chinasec(安元)移动安全接入系统为移动终端用户的接入、传输、通信和应用提供了一条安全通道。安全功能框架如下图：2.3.3实现效果和特点通过部署本系统，最终可以实现如下效果：加固了用户身份安全，防止非法用户的使用。同时对移动终端进行保护，防止移动终端遗失。采用加密隧道，防止网络窃听。以数字证书来判断用户身份，继而控制访问权限，解决数据越权使用问题。2.4终端计算机监控和审计解决方案2.4.1现状和需求分析计算机终端是网络的主要组成部分，也是用户操作和数据使用的主要环境。因此，对于内部信息系统来说，其安全威胁的起源也主要集中在计算机终端中，必须采用有效的措施对网络中所有的计算机终端进行有效的集中管理和监控，并针对性进行桌面资源使用权限的授权管理，降低安全隐患和风险。2.4.2Chinasec解决方案Chinasec可信网络监控系统（MGT）提供了对内网计算机终端集中资源和行为授权管理，并提供详细的审计记录的功能，减少企业内网的安全漏洞和风险，提高了管理效率。主要包括桌面管理、网络管理、资产变更、违规记录、外设管理、关键数据审计等。2.4.3实现效果和特点通过上述系统解决方案，最终可以实现终端电脑的桌面集中管控，网络行为优化，软硬件资产统一管理的效果。并且可以针对用户的违规行为、敏感行为进行完整的事后审计。