Chinasec数据安全解决方案_第1页
Chinasec数据安全解决方案_第2页
Chinasec数据安全解决方案_第3页
Chinasec数据安全解决方案_第4页
Chinasec数据安全解决方案_第5页
已阅读5页,还剩5页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

Chinasec数据安全解决方案北京明朝万达科技有限公司2012/91现状和需求随着全面信息化时代到来,人们越来越多地借助以计算机、互联网等先进技术为代表信息手段,将企业经营及管理流程在线实现,所有业务数据经由系统处理,快速形成管理层所需商业智能,这样,信息数据就成为企业信息主要存储方式及企业内、外部之间进行信息交换重要载体。如何保护信息数据安全问题,作为信息安全领域一个重要内容,必将越来越受到重视。对于企业來说,网络中包含了很多重要信息资料,比如网络中积累和掌握了大量客户信息、研发数据、生产数据和运营信息等,组织不希望这些资料离开内部网络环境,甚至不允许在网络外部传递与交流,该釆取什么防范措施?现代组织不能拒绝互联网交互,不能将机构封闭在一个信息孤岛。但用户在随意上传下载和发行网络中文件同时,可能会把组织许多重要信息流通到网络外部,从而使重要知识产权受到严重侵害。知识产权保护需要依靠法律和行政手段进行规范和管理,同时利用必要技术手段辅助实现知识产权保护可管理性。从管理和技术两个层面杜绝机密信息泄漏,才是解决问题根本办法,才能防患于未然。2Chinasec系统解决方案根据上述分析,建议采用Chinasec可信网络认证系统对公司核心终端进行安全管控。Chinasec可信网络认证系统建立在“双因素认证”基础上。该方法前提是一个用户记住因素,如口令,但口令本身只能对真实性进行低级认证,任何窃取口令人都可以冒用合法性;因此需要增加第二个物理认证因素,以使认证确定性按指数级递增。借助Chinasec可信网络认证系统,可以向授权员工登记发放Usbkey令牌,并对每个令牌进行授权以确认令牌合法性。员工通过密码激活令牌,然后通过保护网络可信认证服务器能够验证这个令牌合法性。对令牌访问必须提供密码,这个密码长度最长可达16个字节,并且一旦输入错误达到预先设定值,令牌立即锁定,这样可以防止令牌丢失后对令牌强行字典攻击。同时,令牌中密钥(即数字证书)是唯一且不可复制,别人不能通过复制证书、复制令牌等方法来伪造用户身份。基于密码学算法PKI技术是一种公认最安全和通用身份认证方法,该方式使得攻击者儿乎不可能在没有取得该令牌使用权情况下冒充合法员工权限,并且由于国家电子签名法案通过,数字证书认证方式得到了国家法律有力保障。Chinasec可信网络认证系统可以和用户当前Usbkey令牌完全无缝隙结合。2.1与Windows认证结合基于以上两层保护,一旦某用户提供了正确密码和对应证书令牌,即可确信该用户即是合法用户。同时,Chinasec可信网络认证系统在实现了上述安全登陆前提下,还提供了如下扩展功能:Chinasec可信网络认证系统与Windows认证是相互独立两个认证系统,用户必须使用经过授权USB令牌并且输入正确密码后,才能登录Windows,继续进行Windows认证。为了减少用户多次繁琐登录,Chinasec可信网络认证系统对Windows认证系统进行了集成,本系统跟Windows登录界面完全集成在一起,用户在第一次正确登录Windows之后,自动将Windows用户夕1/密码记录在USB硬件令牌中,在通过本鉴别后,客户端代理会自动启动Windows登录。所以,在普通用户看来,只需要插入USB令牌,输入令牌密码,即可完成系统登录,不需要输入两次口令。

上面流程图对本系统和Windows身份认证交换过程做了描述,其中,windows用户和密码是从USB令牌中由本代理读取并自动用来登录Windowso2.2拔Key锁机用户如果临时离开计算机,只需将USB令牌拔出带走,计算机即可自动锁定,用户回到计算机旁边时,插入令牌,计算机自动恢复到锁定前状态。该功能可以进一步增强计算机安全性,防止利用人员临时离开情况下偷取机密材料情况发生,如下图所示:2.3个人保险柜考虑到每个用户都有一些相对比较重要文件,这些文件如果和其他文件混合存储话,相对而言不是很安全。Chinasec可信网络认证系统为用户提供了'个人保险柜'功能,此功能结合本认证系统,为每个用户提供自己安全存储空间,采用了完全透明加密技术,具有如下特点:•安全保密磁盘里面存储数据和文件都是加密;•只有创建该安全保密磁盘用户才能打开该安全磁盘;•用户令牌拔出计算机后,安全保密磁盘自动关闭;•多个用户可以在同一台计算机上各自创建自己安全保密磁盘;•安全保密磁盘可以设定为插入令牌后自动打开或者手动打开;•安全保密磁盘可以指定特定盘符从而适用于安装应用程序;•安全保密磁盘支持自有算法、DES、3DES、AES或者其他国产算法2.4终端监控审计和日志追溯解决方案对于完善保密工作而言,事中控制和事后审计无疑是最后也是最有利一种方式管理方式,通过对控制和审计,既可以对已发生动作起到补充,又可以对以后行为起到警示。具体能够实现如下:2.4.1终端计算机实时监控和远程控制实时远程监视和控制客户端计算机状态,这些状态包括:>监视安装程序、操作系统补丁等安装信息;>监视服务、驱动运行状态是否异常;监视当前网络连接状态是否有异常;>监视用户打开窗口是否违规,管理员可关闭违规窗口;>监视运行进程是否违规,如发现异常进程(木马、病毒)可及时结束;>监视系统用户和用户组;>监控网络共享情况,管理员可以关闭共享目录;>监视用户屏幕信息。Chinasec为网络管理员提供远程桌面工具,管理员通过Chinasec控制端可以登录任意台计算机,诊断并解决存在问题。Chinasec远程协助功能具有操作方便、响应快速、网络资源占用少特点。2.4.2终端行为控制审计>外设管理监控外设监控策略运行管理员针对每台计算机进行外设端口使用授权,比如允许或者禁止USB存储设备使用等。这些端口和设备类型包括USB存储设备、USB普通设备、红外、串口、并口(打印端口)、键盘鼠标、光驱、软驱和1394端口等,用户还可以根据关键字和设备类型进行自定义,管理所有计算机上设备。使用关键字是一种非常灵活方式,比如只允许公司个别打印机使用,而其它任何打印机不能使用等,或者禁止刻录机刻录功能而保留读盘功能等等。>应用程序管理应用监控提供了管理员集中授权管理客户端应用方法。管理员可以黑名单或者白名单方式授权,并且可以基于进程名称、服务名称或者窗口名称进行管理。例如:管理员可以禁止BT、emule等网络下载工具和各种与企业工作无关软件运行。由于采用了针对程序窗口名监控方式,用户即使是修改了程序名也不能避开系统监控。>打印监控提供全方位打印监控和管理功能,监控信息包括:打印机名称,打印人,打印电脑,打印时间等,对打印信息分用户,分日期进行统计查询,完善管理功能加上全面报表类型从费用、负荷等全方面反映打印情况。>文件操作审计一个文件从新建〉写入〉保存〉修改>删除过程我们称之为生命周期,文件操作记录可以将这个周期中所有行为都记录下来,管理员可以方便在控制台查看,最终口志还可以通过报表分类导出。>屏幕历史记录可以记录客户端屏幕历史,供管理员查看,时间可以灵活设置;>文件/补丁分发管理通过设置可将文件分发给指定终端,并支持exe、doc、pdf等所有格式文件,另外如果分发文件为安装程序,即便没有安装权限用户也可暂时得到权限进行安装。2.4.3网络行为控制审计>IP端口控制Chinasec可信网络监控系统提供集中管理和控制客户端防火墙,其策略由管理员根据单位管理需要指定,可以根据IP地址、网络端口和数据流向等设定客户端计算机或者用户访问权限,以白名单或者黑名单方式工作。例如发现蠕虫病毒,可及时全网统一封锁相应传播端口,从而有效控制该类型病毒破坏程度。IP地址绑定管理员集中授权绑定主机IP地址、子网掩码和网关地址,禁止用户随意更改。这样,管理员可以不对交换机进行任何更改就可以实现IP-MAC绑定功能。Internet网址管理管理员集中授权计算机和用户访问网址范围,可以白名单或者黑名单方式设置。同时可以进行审计和记录。使用此策略,用户所访问网址会受到控制,比如禁止用户访问这个网站,就可以使用此策略。而且下发策略之后,我们可以在控制台审计到用户访违法行为。>邮件监控审计管理员集中授权计算机和用户可以发送和接受邮件地址范围,可以白名单或者黑名单方式设置,同时根据需要对各种邮件收发工具(如Outlook>Foxmail等等)接收和发送电子邮件进行监控,可以知道邮件主题、发件人、收件人、时间等,还可以截获电子邮件内容,这可以有效地阻止通过电子邮件窃取企业机密行为。(注:WEB邮件目前不能审计到正文,审计附件可以);2.4.4资产审计管理计算机软硬件信息更改是企业中最常见资产变化,检查计算机及其软硬件遗失也是企业资产管理中难点。通过“资产发现、资产报表、资产变化记录”对计算机资产集中管理,能够了解现有计算机资产信息,防止资产遗失,提高计算机使用效率。Chinasec资产管理实现:>自动清点个人或者企业IT资产清单,并生成详细报表;>判断计算机硬件配置是否支持新软件升级;»识别任何时间段内对计算机所做所有配置更改;收集所有资产数据并将其集成到管理数据库中,简化资产跟踪,并可以将所需软件,硬件资产(如IP,MAC,硬盘等)等信息导出到EXCEL表格供领导查看。3Chinasec系统模块配置序号系统模块

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论