防水墙5.0产品模块介绍(基本模块).doc

.防水墙系统(网络版)V5.0.2.x技术白皮书上海山丽信息安全有限公司Sanlen Information Security Co., LTD. 版权所有20082012;.版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属上海山丽信息安全有限公司所有，受到有关产权及版权法保护。任何个人、机构未经上海山丽信息安全有限公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。 山丽、Sanlen、防水墙、数据门卫、Datagate、安铁诺、Antiunknown、环境指纹均是山丽信息安全有限公司的注册商标。本方案提供商山丽信息安全有限公司(简称“山丽网安”)是信息安全防泄漏产品国家标准的起草者之一；本方案中提到的数据生命周期管理（DLM：Data Life Management）原创提出者是山丽网安；本方案提供商山丽网安持有数据防泄密产品国内第一个专利，也是一个奠基性的发明专利。（专利号：ZL 2004 1 0017241.3）专利名称：具有指纹限制的机密文件访问授权系统。（2009年9月19日得到授权）本方案提供商山丽网安持有数据防泄密产品国际专利，也是一个奠基性的发明专利。（专利号：US 7，890，993 B2）专利名称：Secret file access authorization system with fingerprint limitation。（2011年1月15日得到授权）2011年8月1日本产品获得计算机软件著作权一项，软件名称：山丽防水墙数据防泄漏软件（简称：山丽防水墙）V5.0，登记号：2011SR053635。2008年8月28日“防水墙”获为中华人民共和国境内之注册商标，注册号：第3875196号。目 录版权声明I目 录II1 概述12 设计理念22.1 系统目标22.2 系统特点32.3 系统模块42.4 系统流程63 系统设计73.1 防水墙系统服务器73.2 防水墙系统控制台83.3 防水墙系统安全管理员端83.4 防水墙系统客户端93.6 网络结构104 系统功能114.1 产品功能对透明加密管理的满足114.2 产品功能对加密模式本地策略管理的满足124.3 产品功能对文件解密申请管理的满足134.4 产品功能对OA服务器融合管理的满足145 系统策略175.1 应用环境的无缝融合175.2 全方位的文档保护控制175.3 细粒度审计186 安装要求196.1 硬件要求196.2 软件要求197 技术指标208 技术支持219 典型案例2210 产品资质251 概述2012年1月16日，中国互联网络信息中心(CNNIC)发布第29次中国互联网络发展状况统计报告(下称报告)。报告显示，截至2011年12月底，中国网民规模突破5亿，达到5.13亿。网民的生活、信息交流、办公已经无法离开互联网；基于网络的工作、创新、仿真、制造、管理已经是当代企业生存的必要条件。随着云计算、云存储的发展，互联网已经成长为了人类从事先进生产活动无法替代的生产工具。同时，国际、国内企业之间竞争的进一步加剧、各个国家保护产权创新的力度和范围大有不同，基于个人或者企业的信息泄密事件时时在发生中产品配方、程序源码、客户资料、销售计划、财务报表、设计图纸等文档，往往是公司或组织机构中的机密信息、重要资产。这些包含敏感信息的文档资料如果泄漏出去，轻者在谈判中处于被动局面，造成较大的经济损失；重者使企业失去竞争中的市场先机，被竞争对手赶超或者击败；更有甚者给企业的信誉造成重大损失，直至无法在市场上立足。超过80%是由内部员工故意或无意地泄漏和破坏引起的信息安全的核心是内部信息安全的问题，是对内部电脑资源设备的管控和电脑资源设备上的数据文档的管控。山丽防水墙信息安全管理系统（数据防泄漏系统）具备双重的管理对象：1、管理的对象首先是计算机本身。比如管理计算机的IT资产、管理计算机的端口和介质、管理计算机的程序使用。2、管理的对象还需要是计算机上存在的各种密级的文档。这些文档才是真正的财富来源。管理的目标之一就是不能防止泄密。在世界范围内，各国不断出具各种法律对信息审计进行管控，其中以美国的SOX法案、日本的暗号化为代表。中国政府通过制定企业内部控制基本规范、等级保护、分级保护等系列法规对不同类型的组织机构进行信息安全的评估管理，一场全面的信息安全普及推广正在国内有力推动。山丽网安（SanlenSecurity）是内网信息安全行业的领导企业，在上海、西安、成都设立有研发机构设，在北京、上海、广州设立有营销机构，通过CMMI3软件能力成熟度管理模型和PMI项目管理模型的结合，为社会提供最先进的安全技术服务。2 设计理念山丽防水墙系统是一款基于“环境指纹”的信息安全软件管理系统, 用于企业内部终端管理和数据文档管理，通过终端、数据双对象的管理方法，实现机密信息资料的防泄漏、防拷贝、防未授权访问等安全维护和管理，提供为商业及其他核心机密应用环境构建强大而实用的安全防线和数据信息保护策略。终端管理上，通过管理外设、端口、程序使用、IT资产审计等软硬件的手段，实现对终端设备的实时管理，如同“档案室”、“保险柜”的硬件管理，达到“七分管理、三分技术”中“七分管理”的技术实现。数据管理上，通过管理数据本身，依赖BLP数据控制模型和DLM数据生命周期模型结合，真正实现对最有价值资产的管理，如同档案室和保险柜中的“档案”管理，达到了“七分管理、三分技术”中“三分技术”的技术实现。脱离了技术本质的安全管理形同虚设，虚实结合才是管理的终极解决方案。这种被控制的文件，在山丽防水墙系统模块下，和任何文件格式无关，这区别于其它任何国内国际同类软件系统。在文档控制的方法上，防水墙采用了透明加解密的方法，并采用了对称算法和非对称算法共同保护文档安全，其中对称算法分商密算法和普密算法两种版本，满足国家规定的信息强制涉密和非强制涉密不同组织和单位的需求，满足国家关于等级保护、分级保护的规范管理。2.1 系统目标山丽防水墙数据防泄漏系统（Watervall，以下简称“防水墙”）是一款属于强控制类型的终端管理系统和文档保护系统。系统基于山丽信息安全有限公司的多个专利技术：具有指纹限制的机密文件访问授权系统剪切板信息保护装置和方法文件加密装置和方法以及文件解密装置监控键盘钩子的装置移动存储设备监控方法和装置应用程序保护装置和方法应用程序过滤方法和装置 依据基础专利中的技术“环境指纹”在物理设备和网络中授权建立安全的可信环境，在可信环境中文档被强制加密，保持文档的机密性，这种可信环境在山丽防水墙系统中被称为“授权环境”。山丽防水墙系统可以保证合法用户在该“授权环境”中可以自由使用有权限的文档，但不能将文档内容泄漏到“授权环境”之外。2.2 系统特点 山丽防水墙在产品功能、性能、兼容性、易用性、可靠性、扩展性、产品的后续发展方面都具有鲜明的特点。 山丽防水墙产品功能完善，涵盖了终端管理和数据管理双重对象，尤其是产品采用的透明加密方式和文件格式无关，对企业源代码的保护具有天然的扩展适用性；目前大多公司使用的加密方式和文件格式有关，如果这类企业不进行相关产品的开发，将会使得购买的软件无法支持新的文件格式，产品的扩展性将是灾难性的； 在产品性能方面，基于山丽遵循CMMI研发管理体系，对产品的质能指标具有完美的保障，产品对电脑cpu、内存的占用均比较小，不会产生明显影响，目前，其客户端对cpu的影响在1%以内，占用内存在1020M左右； 在产品的兼容性方面，目前支持win7，64位系统支持；在易用性方面，产品采用面向对象方法设计，操作简单，对客户端几乎没有影响，不会增加明显的使用成本； 在部署方面，防水墙系统的实施，不改变用户网络结构，不影响用户原有的使用习惯；客户端具有低反感；大面积自动化实施的部署的技术支持。在可靠性方面，产品服务器端通过20，000小时的独立运行测试，运行可靠，并无障碍；在数据保护模块，山丽防水墙的透明加解密尤其具有特色：1、 山丽防水墙对文件的加解密，不受文件格式（类型）的限制；2、 和存储介质无关，在任何现有的存储介质上都以密文形式出现；3、 和应用程序无关，可以和各种PDM/PLM应用程序无缝融合；4、 对文件的加解密，是完全动态的，无须人工操作；5、 完全防止有权限人员把加密文件的恶意外泄；6、 可以根据实际需要对加密文件进行自动加密或自动解密的传输；7、 系统管理员可以根据用户不同的安全级别，制定不同安全级别的登陆策略、加解密策略；2.3 系统模块山丽防水墙产品系统模块包括:序号产品结构功能模块模块功能说明选配项1 服务器端AD域结合单点登录模块域控单点登录系统选配定时备份灾难恢复模块系统容灾备份系统必配2 控制台工作站授权控制管理模块系统管理控制系统必配用户策略管理设置模块加密策略设置系统必配外设使用日志查询模块数据门卫管理系统选配E-key离线控制管理模块软Key离线登陆系统选配E-key离线控制管理模块硬Key离线登陆系统选配3 安全管理员操作日志查询管理模块系统日志审计系统必配用户组解密审批管理模块解密审批管理系统必配4 客户端透明加密解密模块多模式透明加解密系统必配剪贴板管理模块剪贴板截屏管理系统必配密文明送管理模块文档外发控制管理系统必配多种登陆方式模块用户登陆方式管理系统选配5 电子钥匙离线控制管理模块用户离线登录硬件选配遵从一般安全管理模型，系统统筹考虑到企业信息资产的购置和淘汰流程，企业机密文件的流转流通和使用方式，以全局的观点看待信息安全问题，不仅对企业的电脑终端进行管控，对内部机密文件进行保护，对企业外发文件也进行控制，不仅具有文件加密产品的功能，具有文件权限控制产品的特性，还具有终端管理的特性。系统更提出了数据的生命周期管理概念，从作者管理、同事管理、伙伴管理、客户管理、销磁管理五个层面对数据进行严格的管控，实现了真正的数据安全问题。系统还纳入了成熟的了计算机终端管理模式，通过设备资产管理、端口管理、介质管理、外联管理、桌面管理、远程管理一套，在软件实施后可以达到技术手段的管理效果。图 产品管理模型2.4 系统流程图2. 系统工作流程图3 系统设计图3. 防水墙整体设计山丽防水墙系统是一个C/S模型结构系统，它由“服务器端”和“工作站端/控制台/管理员”组成，两者必须配合使用组成山丽防水墙系统，二者构成一个完整的信息安全保护整体，缺一不可。3.1 防水墙系统服务器系统服务器在总公司的架构体系范畴下我们称作主域控制器，在子公司的架构里面我们称作域控制器。系统服务器是系统管理功能的实现端。系统管理员通过控制台进行的操作，由服务器端接收并实现。此外，系统服务器端还向工作站和控制台提供登录、帐号查询等服务。系统服务器的主要功能如下： 用户/用户组数据的管理功能； 工作站/工作站组数据的管理功能； 用户权限数据的管理功能； 电子钥匙数据的管理功能； 系统各种参数数据的管理功能； 工作站配置的数据管理及分发功能； 文档的加密、解密功能； 密钥库功能； 用户登录验证服务； 用户使用权限验证服务； 3.2 防水墙系统控制台系统控制台是提供系统管理员进行系统管理的操作平台，提供系统中的工作站、用户、外设、端口、离线钥匙及机密文档等的管理。系统控制台的主要功能如下： 用户/用户组管理； 工作站/工作站组管理； 用户权限管理； 设定工作站配置； 工作站外设、端口、外联配置 离线钥匙管理； 提供机密文档添加、脱密及明文导出服务； 设置系统各种参数。 通过控制台就可以对用户和机器两个对象进行管理，两个对象之间还可以根据需要甚至优先级。3.3 防水墙系统安全管理员端安全管理的主要功能是实现日志管理和文档导出的审批。日志管理服务是实现日志数据的接收和存储，并向控制台提供日志数据和日志管理功能的实现。其主要功能如下： 接收上传的日志； 存储日志数据； 提供日志数据查询； 实现控制台的日志管理功能。 文档转成明文的审批 密文内容审计 提供日志记录查询操作，支持单条件和多条件的查询； 进行日志备份； 制定备份计划； 日志报表的生成； 设定日志系统参数。3.4 防水墙系统客户端工作站端是用户使用机密文档的终端，主要功能如下： 工作站外设控制 工作站外联控制 工作站桌面管理控制 文档透明加解密； 用户文档操作控制； 网络通信控制； 日志记录及上传； 3.6 网络结构图6. 网络结构图4 系统功能序号产品结构功能模块模块功能说明1 服务器端AD域结合单点登录模块域控单点登录系统定时备份灾难恢复模块系统容灾备份系统2 控制台工作站授权控制管理模块系统管理控制系统用户策略管理设置模块加密策略设置系统外设使用日志查询模块数据门卫管理系统E-key离线控制管理模块软Key离线登陆系统E-key离线控制管理模块硬Key离线登陆系统3 安全管理员操作日志查询管理模块系统日志审计系统用户组解密审批管理模块解密审批管理系统4 客户端透明加密解密模块多模式透明加解密系统剪贴板管理模块剪贴板截屏管理系统密文明送管理模块文档外发控制管理系统5 电子钥匙离线控制管理模块用户离线登录硬件注：更详细的功能模块欢迎向营销人员咨询。4.1 产品功能对透明加密管理的满足山丽防水墙采用基于操作系统内核的处理技术,并不使用Hook技术,满足对不同的软件加密的需求。目前可以设置成支持所有格式的加密（全盘加密，包括绿色软件的加密，随意压缩格式文件的加密，所有数据库格式文件的加密），可以设置成支持特定格式的加密，可以设置成支持具体目录的加密等等。一般公司的加密软件无法支持所有格式的加密，无法支持绿色软件的加密，甚至都不能支持特定目录的加密。文件的操作者和平常一样，对文件进行正常操作。他们不会感觉到Windows I/O及底层发生的一切变化。文件经过Windows I/O、透明加密技术平台和Windows 文件系统的处理，最后存放在磁盘上的文件是经过加密的。同时，加密策略（算法、密钥和加密文件的指定）是内置在透明加密技术平台中的，由系统管理员集中管理的，文件操作者是无权获取或更改的。透明加密效果示意图4.2 产品功能对加密模式本地策略管理的满足市场上所见的加密技术，或者是采用了个钩子（Hook）技术、或者采用了驱动技术，但这些软件或者只能达到和文件格式有关，或者实际上是硬盘加密，市场上许多硬盘如seagate硬盘已经自带硬盘加密，实际上互联网上已经有了这些加密软件的破解工具！而且和文件格式有关的软件无法适应未来的文件格式，更无法解决软件格式被加壳的情况，而互联网上基本有4000余种加壳工具。山丽防水墙完全和文件格式无关，山丽防水墙的透明加解密模块处于系统内核里面，随系统启动而启动，随系统关闭而关闭。可以应对未来产生的文件格式，更能应对被加壳的文件。最大的区别是山丽防水墙可加密的格式和文档格式无关。管理人员可以自由定义用户（组）的加密模式或策略：全盘加密、目录加密、特定格式加密、特定格式不加密、自主加密等。多种加密模式示意图山丽网安的多种客户端加密模式，管理人员可以自由的组合，以应用与任何组，或者组的成员；区别于一般公司的产品不同的是，山丽网安的产品的这些模式是同时提供给用户的，而不是仅仅只能提供其中一种加密模式，不会造成用户的适用性、扩展性无法满足的现状。另外，互联网上已经有公开的加密软件解密工具可以得到。这些工具可随意的对格式加密类软件进行破解。这也是山丽防水墙提供了多种加密模式的区别。4.3 产品功能对文件解密申请管理的满足密文发送给用户需要解密处理，密文解密需要通过审批流程互动；文件的加密是处于防范泄密的需要，但企业也有数据解密的需要，以用于特殊目的。审批流程图4.4 产品功能对OA服务器融合管理的满足为避免机密数据泄露和协同管理，加密系统必须与公司协同工作平台等兼容。山丽防水墙在设计上充分考虑了系统边界的问题，在底层执行的技术可以确保和各种应用系统完美兼容。系统边界原理图在应用中，山丽防水墙和OA、FTP、PDM、图库等系统有许多灵活应用。在应用系统融合的方案部署中，山丽防水墙可以在可信模块的支持下，发送密文或者明文数据到OA、FTP、SEM/Tribon系统服务器端。当发送密文到OA、FTP、SEM/Tribon服务器端的时候，希望看到服务器上数据的客户端就必须在客户端进入防水墙系统（不然打开是密文），从而保护了OA、FTP、SEM/Tribon系统上的数据不会产生任何泄密。当发送明文到OA、FTP、SEM/Tribon服务器端的时候（在实际部署中，客户选择此种方案的数量还比较多），希望看到OA、FTP、SEM/Tribon服务器上数据的客户端必须在客户端进入防水墙系统，不然无法连接进入OA、FTP、SEM/Tribon服务器端，这是因为山丽防水墙依据自己服务器的TPM装置，天然的在自己的客户端建立了一个自动可信的环境，而没有安装防水墙的客户端无法连接进来，从而保护了OA、FTP、SEM/Tribon系统上的数据不会产生任何泄密。即使在OA、FTP、SEM/Tribon服务器上以明文形式存在的情况下，也可以通过可信设置，设置特定的用户端不安装防水墙客户端就可以连上来，以满足跨区域用户的需要。OA、FTP、SEM/Tribon/图库等系统兼容部署图5 系统策略5.1 应用环境的无缝融合防水墙系统在操作系统内核中嵌入系统过滤程序，从而可对所有设备、所有应用程序、所有读写的文档执行过滤。当外设被使用，当程序被调用，当机密文档被读出时，此程序执行对它的按照预订策略的管控。反之亦然。从而保证终端设备、机密文档的安全。图 系统边界5.2 全方位的文档保护控制防水墙系统基于“授权环境”概念，实现机密文档的保护与控制。授权环境概念是基于山丽信息安全有限公司的专利技术“环境指纹”，根据“环境指纹”识别属于同一个授权环境的工作站及服务器。从而在同一物理设备和网络环境中划分出用于处理机密数据的授权环境和处理非机密数据的非授权环境。并根据访问控制中的Bell-LaPadula模型对数据进行保护和控制。具体体现为以下几个方面：(1) 透明加解密Bell-LaPadula模型定义了一个“不允许向上读、不允许向下写”的控制规则，具体定义为：不允许低安全级别的实体从较高安全级别的对象中读取信息；不允许较高安全级别的实体向较低安全级别的对象中写信息。在授权环境中，创建文件或写数据在保存到存储介质上时即被加密为密文形式；在授权环境中，非机密文件被编辑后保存到存储介质上时也即刻被加密为密文形式。实现了模型中定义的“不允许向下写”。在授权环境外，机密数据总是保持为密文形式不能被解密，实现了模型中定义的“不允许向上读”。(2) 访问控制防水墙中的文件访问控制结合了以密级为控制规则和基于安全政策的强访问控制模式，和基于ACL的自主访问控制模型两种方式。在保护文档的同时也提供给用户的使用便利性。密级控制：对文件、用户及计算机赋以密级标识。只有当主体（用户、计算机）的密级标识等于或高于对象（文件）的密级时，访问才被允许。安全政策控制：对用户和计算机设置安全政策，保证该用户或计算机创建的文档按照政策被加以规定的约束。基于ACL控制：文档的作者用户在密级及安全政策限定的范围内，还可以自主地对文档进行用户授权，进一步指定允许访问的用户及使用方式。(3) 离线使用控制防水墙系统为满足需要离线使用的需求，提供了文档的离线使用控制机制。系统管理员一方面可对需要离线使用的文档，设置离线时的使用权限，如设为只读；一方面通过钥匙控制文档的可使用周期，一旦使用期耗尽后文档不能再背使用。(4) 防泄漏控制防水墙系统通过多角度的控制，防止密文文档被未授权地从授权环境中泄漏。5.3 细粒度审计防水墙中提供了细粒度的审计，记录详细的审计信息：事件名、时间、主体、对象、对象原位置、对象目标位置等；审计的范围包括用户对机密文件的操作和管理员对系统的管理操作。此外，在记录和存储审计信息的基础上，系统还提供了根据事件、用户、对象的可视化图形审计。6 安装要求6.1 硬件要求部件硬件要求系统控制台CPU：1G HZ；内存：512M；网卡：100M；系统服务器CPU：1G HZ；内存：2G；网卡：100M；日志管理控制台CPU：1G HZ；内存：512M；网卡：100M；工作站端CPU：奔腾166 MMX 以上；内存:1G以上；网卡：100M；6.2 软件要求部件软件要求系统控制台Windows2000以上版本系统服务器Windows2000以上Server版本日志管理控制台Windows2000以上版本日志管理服务器Windows2000以上Server版本工作站端Microsoft Windows 2000/XP/2003 /win77 技术指标最大工作站节点数：62500最大域服务器节点数：250最大并发认证数：62500最大并发文件连接：10000加密位数：128位/256位加密算法：3DES-X/RSA/SM1支持网络类型：局域网/广域网/互联网文件访问支持协议：NetBIOS/HTTP/FTP支持平台：Microsoft Windows 2000/XP/Server 2003/vistra/windows7 32/64内核网络协议：TCP/IP加密算法： 3DES-X/RSA/SM1每秒加密字节数: 30Mb每秒解密字节数： 50Mb加密延迟： 200ms解密延迟： 100ms系统负荷： 3%最长生存期： 不受约束最短生存期： 不受约束时间合成算法： 不可逆主要技术及性能指标：达到计算机信息系统安全保护等级划分准则 GB 17859-1999第四级：结构化保护级，第五级：访问验证保护级，执行的质量标准是：中华人民共和国国家标准 计算机信息系统安全保护等级划分准则 GB 17859-1999。 8 技术支持 公司通过cmm3级软件能力成熟度评估（iso9001相当于软件行业的cmm1），具有国际机构认证