网盾安全决方案白皮书.pdf

上海格尔软件股份有限公司 上海市余姚路 288 号 A 楼 4 层 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: 1 网盾安全解决方案白皮书 上海格尔软件股份有限公司 上海格尔软件股份有限公司 上海市余姚路 288 号 A 楼 4 层 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: 2 声明：声明： Copyright 2005，2008 上海格尔软件股份有限公司 版权所有，保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部 分或全部，并不得以任何形式传播。 上海格尔软件股份有限公司 上海市余姚路 288 号 A 楼 4 层 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: 3 目 录 1 个人电脑安全现状、需求及分析 .4 1.1 为何要保护数据？ .4 1.2 如何保护数据？.5 1.3 网盾能做什么？.5 1.4 网盾的局限 .6 2 解决方案6 2.1 电脑与关键数据保护 6 2.2 邮件安全.7 2.2.1 传送层信件加密，SSL 7 2.2.2 网络层信件加密，VPN9 2.2.3 邮件内容安全，端到端的安全邮件模式 9 2.2.4 邮件内容安全，邮件网关模式 .10 2.3 Lotus Notes的安全扩展 11 2.3.1 文档保存时的自动加密签名流程12 2.3.2 文档发送时的自动加密签名流程13 2.3.3 文档打开时的自动验证签名并解密流程 14 附录A：名词解释15 附录B：统计数据参考 .16 笔记本电脑失窃统计数据 16 1 个人电脑安全现状、需求及分析个人电脑安全现状、需求及分析 1.1 为何要保护数据？为何要保护数据？ 信息通常被认为是企业最宝贵的资产（70% 或更多公司的价值在于其知识 产权资产)，这部分数据的损失或被窃可能造成严重后果，甚至会威胁企业在市 场中的地位。根据 2002 CSI/FBI 计算机犯罪与安全调查的调查结果，由于安全 性被破坏而导致的最为严重的财务损失包括所有权信息的被窃(26个被访者报告 的损失超过$170,000,000)。 对于企业来说，对企业品牌的损害可能会有多种形式，但每种形式都会降低 企业在市场中的地位。例如，如果企业的客户数据（如信用卡信息）被窃并被公 布到其他 Web 站点上，该企业可能会陷入难以使客户对其品牌恢复信任的困 境。 有以下两个方面统计数据： (1)美国联邦调查局（FBI）和计算机安全机构（CSI）的调查结果显示，企业 上海格尔软件股份有限公司 上海市余姚路 288 号 A 楼 4 层 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: 4 上海格尔软件股份有限公司 上海市余姚路 288 号 A 楼 4 层 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: 5 和政府机构因重要信息被窃所造成的损失超过病毒感染和黑客攻击所造成的损 失，80%以上的安全威胁来自内部。 （见上图） (2)中国国家信息安全测评认证中心的调查结果也表明， 信息安全问题主要来 自泄密和内部人员犯罪，而非病毒和外来黑客引起。 由此看来解决重要数据安全的问题已经是势在必行。 1.2 如何保护数据？如何保护数据？ 保护数据有两种办法：一种是把数据锁起来，即不管是用技术的还是物理的 方法，尽可能保证数据不外泄；另一种是给数据加一层安全防护，没有授权的人 即使拿到数据也无法破解使用。 这两种方法各有利弊： 前者的强制性更好些， 但数据的使用效率会受到影响， 且难以做到完全杜绝堵住外泄途径，适应于数据流通少、数据量小的情况；后者 更加方便灵活，但要求使用者有更高的自觉性。 网盾采用的是后一种方式，注重于将高加密强度和使用的方便性综合起来， 提高安全数据的使用效率。 1.3 网盾能做什么？网盾能做什么？ 网盾是一个系列产品，涵盖了主要的桌面安全和数据通信领域，具体功能介 绍请参见网盾白皮书，主要包括以下几个方面： ? 采用虚拟磁盘技术来加密和保存敏感数据； ? 通过邮件代理技术确保 Outlook Express 与 Microsoft Outlook 电子邮件的安 全； ? 通过提供插件的手段确保 Lotus Notes 邮件与文档的安全，为办公自动化 （OA）提供安全的平台； ? 采用随机数填充技术来确保删除文件后不在硬盘上残留数据； ? 支持通过硬件加密设备(如 IC 卡或 Usb Key) 登录局域网与保护计算机； ? 在 SSLv3 标准协议的基础上实现了网络数据的安全传输。 1.4 网盾的局限网盾的局限 网盾提供高安全性和尽可能多的方便性，但是要求使用者自觉使用。可以把 网盾看作一个坚固的“盾” ，使用得当可以化解各种攻击于无形，但是如果使用 者不自觉使用，网盾无法有效发挥保护数据的作用。 2 解决方案解决方案 2.1 电脑与关键数据保护电脑与关键数据保护 目前电脑笔记本因携带方便，基本成为工作交流的必备助手。为使用方便， 这些电脑中往往携带一些重要数据，此时如何保证电脑的安全？如何保护数据 不被非法使用？如何保证电脑不慎遗失时，其中重要数据的安全性？ 目前电脑笔记本因携带方便，基本成为工作交流的必备助手。为使用方便， 这些电脑中往往携带一些重要数据，此时如何保证电脑的安全？如何保护数据 不被非法使用？如何保证电脑不慎遗失时，其中重要数据的安全性？ 这就要用到网盾中的 PC 保护、文件保险箱、碎纸机功能。见下图： 网盾中的PC使用、 文件保险箱和碎纸机是保护PC以及数据安全的 “三剑客” ， 实现了由外到内多个层面的安全保护： ? PC 保护防止对电脑的非法使用，用户使用 IC 卡进入电脑，拔卡时电脑 自动锁屏，并增强了原有口令登录的安全性。 上海格尔软件股份有限公司 上海市余姚路 288 号 A 楼 4 层 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: 6 上海格尔软件股份有限公司 上海市余姚路 288 号 A 楼 4 层 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: 7 ? 文件保险箱可以对机密数据提供高强度的安全保护，同时不影响用户的 正常操作。即使电脑遗失，也不会泄密。 ? 碎纸机可以彻底删除文件内容， 避免他人用一些恢复工具得到机密信息。 2.2 邮件安全邮件安全 在局域网或广域网中，如何保障邮件传输和内容的安全？在局域网或广域网中，如何保障邮件传输和内容的安全？ 不同的用户的网络情况不同，邮件的使用情况不同，对安全的要求不同。考 虑到不同用户的各种情况， 网盾电子邮件安全系统提出了多种典型方案供用户选 择。这些方案大体分为两类：数据传输层加密，包括 SSL Mail 和 VPN；邮件的 内容安全，包括端到端和网关模式。在实际应用中，经常同时采用两类方式。 2.2.1 传送层信件加密，传送层信件加密，SSL 原理原理 SMTP，即 Simle Mail Transfer Protocol，简单邮件传输协议，是发信的协议 标准；POP，即 Post Office Protocol，邮箱协议，是收信的协议。SSL SMTP 和 SSL POP 即在 SSL 所建立的安全传输通道上运行 SMTP 和 POP 协议，同时又对 这两种协议作了一定的扩展，以更好地支持加密的认证和传输。这种模式要求客 户端的 EMAIL 软件和服务器端的 EMAIL 服务器都支持，而且都必须安装 SSL 证 书。 优势优势 ? 配置简单：以 Lotus Domino 和 Microsoft Exchange Server 为代表的商用 邮件服务器、以 Microsoft Outlook Express 和 Lotus Notes 为代表的商用 邮件客户端都支持 SSL 连接协议。 上海格尔软件股份有限公司 上海市余姚路 288 号 A 楼 4 层 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: 8 ? 信箱口令安全：目前，对邮件信箱的安全性控制基本依赖信箱的口令。 建立 SSL 安全连接后，才会传送用户的信箱名字和口令，传送的数据都 是加密传送的。 Web 邮件邮件 SSL 连接不仅适用于邮件服务器和客户端的连接，也适用于类似门户网站的 Web 邮件系统。 Microsoft Internet Information Server、 Lotus Domino Web Server和Apatch 是最常用的三种 Web 服务器，它们都支持 SSL 协议，即 https 安全 web 协议。 使用 https 协议访问 web 邮件系统的网站，就可获得安全性。 弱点弱点 ? 邮件存储的安全隐患 即使使用 SSL 协议这样的链路层加密协议保护网络上数据的安全，但 SMTP 协议是存储转发协议，意味着它允许邮件通过一系列的服务器发送到最终目的 地。服务器在一个队列中存储到达的邮件，等待发送到下一个目的地。下一个目 的地可以是本地用户，或者是另一个邮件服务器。在邮件传输过程中的每一个节 点上，邮件都被存储到硬盘上。如果黑客窃取了节点上服务器的控制权，就能够 从服务器硬盘上窃取到邮件的内容。 ? 缺少邮件的有效性凭证 使用 SSL，邮件在传送的过程中有数据校验，能够检查出传送过程中的数据 改变。但是这种校验是 SSL 协议的一部分，对邮件是透明的。收到的邮件没有附 加有效性验证信息。 2.2.2 网络层信件加密，网络层信件加密，VPN 基于 VPN 和其他 IP 通道技术， 封装所有的 TCP/IP 服务， 也是实现安全电子 邮件传输的一种方法。这种模式往往是整体网络安全机制的一部分。 VPN 的优势和弱点同 SSL 相似。 2.2.3 邮件内容安全，端到端的安全邮件模式邮件内容安全，端到端的安全邮件模式 端对端的安全电子邮件模式即安全电子邮件程序客户端对客户端发送/接收 的模式。这种模式假设全部网络是不安全的，在网络上传送的邮件都是加密发送 的，对邮件服务器，这种模式没有特殊的要求。 下面以 SMTP/POP3 安全邮件代理为例介绍这种安全电子邮件的安全流程。 安全电子邮件的其他形式（Outlook Express 插件/安全 WebMail 等）只是在用户 界面和应用层接口上有所区别，在安全核心上是完全一样的。 邮件服务器 客户端客户端 Firewall 尔安全日至服务器 网盾邮件安全服务器 格尔试件戳服务格尔签名服务 格尔CA中吉服务器 CA服务器 上海格尔软件股份有限公司 上海市余姚路 288 号 A 楼 4 层 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: 9 上海格尔软件股份有限公司 上海市余姚路 288 号 A 楼 4 层 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: 10 SMTP/POP3 安全邮件代理利用本地邮件代理的原理实现对邮件的自动加解 密操作，从而使用户能完全透明的使用安全邮件和数字签名，在发送和接收邮件 的过程中，用户不用进行任何额外的操作；同时，也能与大多数邮件客户端软件 实现无缝集成，增加了系统的使用范围和稳定性。 安全邮件代理在安装阶段将自动搜索邮件客户端软件，从其中提取有关信箱 账号设置信息，并将这些软件中的 POP3、SMTP 参数设置到指向我们的邮件代 理端口上来。 这样邮件客户端软件和邮件服务器间的通讯都会先被安全邮件代理 程序截获， 由安全邮件代理程序作相应的过滤处理 （加密/解密， 签名/验证签名） 。 2.2.4 邮件内容安全，邮件网关模式邮件内容安全，邮件网关模式 安全邮件网关是一个邮件 SMTP/POP3/IMAP 网关，转发并过滤处理来自广 域网用户的邮件请求，进行适当的加密/解密操作。 广域网用户到局域网的安全电子邮件模式对应于以下情况： 用户通过拨号网络连接到广域网，通过广域网向某个局域网中的用户发送安 全邮件。这时，发送到局域网中的邮件使用安全电子邮件网关的数字证书生成数 字信封，加密后的邮件首先被传送到安全邮件网关，网关验证邮件的签名并解密 邮件，将解密后的邮件原文发往局域网内的邮件服务器。 同样，用户在广域网上收局域网中的邮件时，其请求被首先发送给安全邮件 网关，安全邮件网关从邮件服务器中取到要收的邮件，根据收信人的 email 地址 选择适当的数字证书加密邮件，加密后的邮件发送给广域网上的用户。 局 域 网 邮 件 服 务 器 安 全 邮 件 网 关 明 文 邮 件 广 域 网 安 全 邮 件 客 户 端安 全 邮 件 客 户 端安 全 邮 件 客 户 端 安 全 邮 件 安 全 邮 件 安 全 邮 件 安 全 邮 件 这种模式假设广域网是不安全的，局域网是安全的，在广域网上传送的邮件 都是加密的，局域网上的邮件都是明文传送。广域网上的用户需要安装安全电子 邮件客户端，局域网上的用户不需要安装，局域网用户使用电子邮件的操作不受 影响。 2.3 Lotus Notes 的安全扩展的安全扩展 在一些大型企业使用在一些大型企业使用 Lotus Notes， 作为办公通讯的手段。 如何保证， 作为办公通讯的手段。 如何保证 Notes 的安全性？的安全性？ 格尔公司的 网盾 Lotus Notes 安全扩展软件在 PKI 架构的基础上实现了对 Lotus Notes/Domino 模式下 文档保存与发送时自动加密签名、文档打开时的自 动验证签名并解密的支持，保证了数据库中存放的始终是加密签名文档，较大地 提高了 Lotus Notes/Domino 邮件系统及其它在 Lotus Notes/Domino 模式下开 发的 OA 应用系统的安全性。 上海格尔软件股份有限公司 上海市余姚路 288 号 A 楼 4 层 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: 11 网盾 Lotus Notes 安全扩展模块的工作流程分为文档保存时的自动加密签名 流程、文档发送时的自动加密签名流程、文档打开时的自动验证签名并解密流程 三部分。 2.3.1 文档保存时的自动加密签名流程文档保存时的自动加密签名流程 1. 捕获 Notes 发出的保存文档的消息； 2. 本地验证 IC 卡中的用户信息与当前 Notes 用户信息是否一致，若不一致，转 10； 3. 向 CA 服务器验证 IC 卡中的用户信息是否有效，若无效，转 10； 4. 取得用于加密的所有证书的名称(Notes 邮件系统中一般为用户自己的加密证 书， Notes OA 应用系统中一般为所有要求对该文档有读以上权利的用户的加 密证书 )； 5. 向 CA 服务器查询所有证书的内容，若 CA 服务器返回某证书无效或不存在， 转 10； 上海格尔软件股份有限公司 上海市余姚路 288 号 A 楼 4 层 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: 12 上海格尔软件股份有限公司 上海市余姚路 288 号 A 楼 4 层 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: 13 6. 产生一个 256 位的随机密钥，用该随机密钥与格尔公司自主产权的高强度加 密算法(元胞加密算法)加密文档中所有指定的域； 7. 用所有加密证书分别加密该随机密钥，加密结果均附在文档中； 8. 用用户的签名证书对应的私钥签名该文档； 9. 通知 Notes 继续保存操作，转 11； 10. 通知 Notes 中断保存操作； 11. 将控制权交回给 Notes。 （若用户需要替换加密算法，则第 6 部的工作将由替换后的加密算法完成。 ） 2.3.2 文档发送时的自动加密签名流程文档发送时的自动加密签名流程 文档发送时安全扩展模块的工作流程与文档保存时的工作流程基本相同。 1. 捕获 Notes 发出的发送文档的消息； 2. 本地验证 IC 卡中的用户信息与当前 Notes 用户信息是否一致，若不一致，转 10； 3. 向 CA 服务器验证 IC 卡中的用户信息是否有效，若无效，转 10； 4. 取得用于加密的所有证书的名称(Notes 邮件系统中一般为用户自己与所有邮 件接收者的加密证书， Notes OA 应用系统中一般为所有要求对该文档有读以 上权利的用户的加密证书 )； 5. 向 CA 服务器查询所有证书的内容，若 CA 服务器返回某证书无效或不存在， 转 10； 6. 产生一个 256 位的随机密钥，用该随机密钥与元胞加密算法加密文档中所有 指定的域； 7. 用所有加密证书分别加密该随机密钥，加密结果均附在文档中； 8. 用用户的签名证书对应的私钥签名该文档； 9. 通知 Notes 继续发送操作，转 11； 10. 通知 Notes 中断发送操作； 11. 将控制权交回给 Notes。 （若用户需要替换加密算法，则第 6 部的工作将由替换后的加密算法完成。 ） 2.3.3 文档打开时的自动验证签名并解密流程文档打开时的自动验证签名并解密流程 1. 捕获 Notes 发出的打开文档的消息； 2. 本地验证文档的签名是否已被篡改，若已篡改，转 7； 3. 通过 CA 服务器验证签名证书是否有效，若无效，转 7； 4. 使用 IC 卡中的加密证书对应的私钥解密随机密钥，若失败，转 7； 5. 用解密后的随机密钥解密文档； 6. 通知 Notes 继续打开操作，转 8； 7. 通知 Notes 中断打开操作； 8. 将控制权交回给 Notes。 上海格尔软件股份有限公司 上海市余姚路 288 号 A 楼 4 层 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: 14 上海格尔软件股份有限公司 上海市余姚路 288 号 A 楼 4 层 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: htt