安全生产_整体一致的内网安全解决方案

整体一致的内网安全解决方案 明朝万达 团队的孵化 专业的网络和数据安全产品研发 生产企业2003年 涉足内网安全的研发 率先提出内网安全的理念申请和获得多项国家发明专利 并积极申请和参与多项国家项目的研究在广州 上海和重庆设立了办事处 并携手30多家的合作伙伴 为用户提供本地化的服务和支持与中办北京电子科技学院 国家保密技术研究所和公安部三所等建立良好的合作关系 中办北京电子科技学院 内网安全市场的宏观应用环境 涉密内网计算机信息系统保密管理规定 国家保密局 2006 互联网安全保护技术措施规定 公安部第82号令 2006 ISO27001 2005 ISO IEC17799 ISO信息安全管理体系要求 塞班斯法案 2005 美国 关于加强新技术产品使用保密管理的通知 国家保密局 涉及国家秘密的信息系统分级保护管理办法 国家保密局 涉及国家秘密的计算机信息系统安全保密方案设计指南 信息技术安全技术信息技术安全性评估准则第2部分 安全功能要求 涉及国家秘密的计算机信息系统保密技术要求 计算机信息系统安全保护等级划分准则 计算机信息系统保密管理暂行规定 国保发 1998 1号 相关政策法规与国际标准 目录内网安全技术概述ChinasecTM内网安全体系关键技术分析产品特点产品资质与应用案例 内网安全 概念的提出 Internet 内网 可信区 外网 非信任区 网络边界 内网安全隐患 2 8规则 通过内网网络交换设备或者直连网线非法接入内网或者计算机终端 利用局域网中的某一台主机 通过网络攻击或欺骗的手段 非法取得其他主机甚至是某台网络服务器的重要数据 内部员工将只允许在局域网内部使用的数据通过磁盘复制 打印 非法拨号外联等手段泄漏到单位外部 内部人员窃取管理员用户名和密码 非法进入单位重要的业务和应用服务器获取内部重要数据 内网安全的两大误区 内网安全 审计监控 内网安全 数据加密 内网安全 什么是真正的内网安全体系 身份认证 授权管理 数据加密 监控审计 完整的内网信息安全管理体系 内网安全核心 你是谁 你能做什么 你做了什么 目录内网安全技术概述ChinasecTM内网安全体系关键技术分析产品特点产品资质与应用案例 ChinasecTM产品体系简介 可信网络认证系统 TIS 可信网络保密系统 VCN 可信网络监控系统 MGT 可信数据管理系统 DMS ChinasecTM可信网络安全平台 ChinasecTM可信网络安全平台 服务器 Server 控制台 MC 客户端代理 Agent 平台架构 网关 可选 USBKEY 可选 策略的存储中心 系统运行和维护的中心 存储用户信息 计算机信息 组织体系 策略信息及日志信息 用户操作界面 实现对服务器的远程管理 整个平台控制中心 平台各个系统都可以集中体现在该控制台中 基于Windows标准的MMC技术 运行在受控计算机终端上 采用安全通信技术接收服务器的统一管理并接收下发的策略 通知相应功能模块执行指令 ChinasecTM可信网络安全平台 平台模块化功能 监控审计 数据加密 身份认证 实时监控 MSN QQ监控 补丁分发 完全模块化的设计 实现 按需定制 满足不同组织的信息安全需求 ChinasecTM可信网络安全平台 服务器的连接和通信端口加密 并且需要进行认证 对于具有管理权限的控制连接 通过基于硬件USB令牌的严格密码协议进行通信 服务器的运行必须使用合法的授权令牌 良好的自保护措施 文件 进程及注册表的隐藏和保护 系统远程线程注入技术监控和阻止试图破坏客户端代理的行为发生 双向认证机制 确保双方身份的可信性 完全加密的机制 数据 指令和策略的传输都是加密的 有效防止了窃听和篡改等欺骗破坏行为的发生 使用授权的硬件USB令牌与服务器进行相互认证和通信 才能取得管理权限分权制衡原则 管理员和审计员 服务器安全 客户端安全 通信安全 管理安全 平台安全性实现 ChinasecTM可信网络安全平台 网关 硬网关 软网关 安全网关 转发网关 VPN网关 TIS VCN DMS VCN SSLVPN 所有网关均提供软网关和硬网关 百兆 千兆 等多种类型 以满足不同性能 投资需求 ChinasecTM可信网络安全平台 平台增强功能 服务器双机热备 服务器负载均衡 服务器分级管理 实时监视器 ChinasecTM可信网络认证系统 认证系统 TIS 功能 令牌用户集中管理 认证 客户端计算机登录权限控制 客户端保密磁盘 与令牌绑定 服务器访问授权 增强型 客户端保密文件 远程VPN接入 ChinasecTM可信网络认证系统 认证系统 TIS 特点 离机锁定 与安全模式禁用功能 完全独立于组织原有的认证体系 安全可靠性更高 支持各类标准的CA服务器 基于PKI技术的 双因素认证 提高了认证安全级别 支持在USB令牌用户之间的安全文件数据传输 具备FTP安全增强功能 ChinasecTM可信网络认证系统 认证系统 TIS 特点 自动生成包括每次登录操作的审计追踪信息 且具备自动日志维护功能 安全磁盘功能 防止核心数据泄密 支持创建安全服务器区 令牌分发 令牌吊销 令牌授权 令牌更新等操作由管理员在管理中心即可完成 管理的效率得到了极大的提高 令牌安全防护机制 令牌PIN码输入错误的次数达到预先设定的值 令牌立即锁定 ChinasecTM可信网络监控系统 监控系统 MGT 功能 IP与端口控制 外设控制 邮件控制 互联网访问控制 文件传输协议监控 FTP FTP用户绑定 客户端实时监控 应用程序控制 IP地址绑定 WINDOWS标准安装程序控制 打印监控 资产审计 文件分发 邮件智能加密 非法接入阻断 刻录光驱控制 违规记录 ChinasecTM可信网络监控系统 监控系统 MGT 特点 实现对每台计算机的网络状况进行实时监控 可以实现计算机的远程监控 对所有内网计算机进行有效地集中管理 支持灵活的策略模型 对用户的操作行为进行有效管理 实现对计算机外设使用的 细粒度 管理控制 ChinasecTM可信网络监控系统 监控系统 MGT 特点 与Chinasec可信网络认证系统联合使用 实现更加强大和灵活的功能 可以根据用户和计算机的不同组合实施不同的授权和策略 提供邮件智能加密功能 确保同一个安全域内的用户可以自由收发邮件 提供IP绑定和非法IP阻断等网管功能 提供资产管理和资产审计功能 提供各种丰富的资产管理报表 提供完整的审计信息 ChinasecTM可信网络保密系统 网络保密系统 VCN 功能 内网保密网络 分级分域 管理 实现不同等级终端逻辑隔离 数据传输和存储加密 移动存储设备管理 网络数据控制 本地存储控制 01100011010 ChinasecTM可信网络保密系统 保密系统 VCN 特点 有效防止了非法外连和非法接入 部署 使用简单方便 无须改变原有网络拓扑结构 透明加解密 不会影响用户的使用习惯 数据加密传输 网络更加安全可靠 在内网中按照安全等级 信任关系等标准可设多个VCN 实现分级分域管理 强制加密除本地系统盘外的所有本地磁盘保存的文件 实现严格有效的移动存储设备管理 通过安全网关建立一个安全的服务器区 可以对组织的所有重要信息服务资源进行有效保护 可使用转发网关构建开放服务器区 用来放置单位公开的服务器 接受内网计算机和外网计算机的访问 同时有效隔离内网和外网 ChinasecTM可信数据管理系统 数据管理系统 DMS 功能 创新的模式切换理念 在单一终端上虚拟出多种工作环境 统一用户管理功能 可信数据区 文件权限管理 离线工作管理 模式切换功能 ChinasecTM可信数据管理系统 数据管理系统 DMS 特点 独有模式切换技术 实现数字知识产权保护与互联网访问兼得效果 Internet 模式切换 ChinasecTM可信桌面认证系统 桌面认证系统功能 计算机登录认证 计算机离机锁定 安全保密磁盘 USB令牌管理 使用令牌建立 数据完全加密 只有使用本人的令牌才能打开自己建立的安全磁盘 打开方式可以设为自动或者手动 也可以指定盘符 当多人使用同一台计算机的时候 每个人都可以建立自己的安全磁盘 虚拟的安全磁盘是一个文件 可以拷贝复制 在其它计算机系统使用合法令牌可以读取 ChinasecTM可信网络系统部署示意图 Internet 分支机构 移动商务人员 安全 转发网关 服务器群 Server MC Agent VPN网关 非法接入终端 Agent Agent 总部 目录内网安全技术概述ChinasecTM内网安全体系关键技术分析产品特点产品资质与应用案例 ChinasecTM关键技术分析 身份认证技术 存储加密技术 高性能安全服务器技术 资源控制技术 网络加密技术 ChinasecTM核心技术 ChinasecTM关键技术分析 7 24小时的持续服务能力较强的抗攻击和抗病毒能力高效的负载能力 综合应用多线程 队列 主动轮询 高效并发处理技术 基于公开密钥算法的安全认证技术 基于硬件授权令牌启动服务器 安全认证技术 服务器和客户端 服务器和管理控制台之间的传输信道都采用了加密技术 传输加密技术 CPU使用率 内存使用率和第三方程序依赖程度 资源最小化稳定运行技术 高性能安全服务器技术 Chinasec关键技术分析 身份认证技术 认证技术的扩展性能 安全保密磁盘与离机锁定 基于密码硬件芯片的用户标识 基于PKI体制的数字证书认证技术 独立于Windows域的集中认证系统 基于认证的资源授权控制 Chinasec关键技术分析 TIS系统认证流程 插入USB令牌 输入PIN码 读取TIS用户信息 登录TIS服务器认证 拒绝登录 取域用户名 密码 登录域服务器认证 进入操作系统 Chinasec关键技术分析 存储加密技术 存储加密体系综述 加密体系 网络加密体系和存储加密体系 主动加密和强制加密 透明加密技术和非透明加密技术 Chinasec关键技术分析 存储加密技术 主动加密 安全保密磁盘 存储的数据和文件都经加密处理 只有创建该安全保密磁盘的用户 令牌 才能打开该安全磁盘 使用方式与普通磁盘分区完全相同 用户令牌拔出计算机后 安全保密磁盘自动关闭 多个用户可以在同一台计算机上各自创建自己的安全保密磁盘 可以随时转移到其他计算机 可以设定为插入令牌后自动打开或者手动打开 可以指定特定的盘符从而适用于安装应用程序 支持自有算法 DES 3DES AES或者其他国产算法 Chinasec关键技术分析 存储加密技术 主动加密 客户端保密文件子系统 可以对文件或者文件夹进行加密 文件加密基于公开密钥算法 采用随机密钥 具有很高的安全性 可以选定接收文件的用户或者用户组 只有指定的用户才能打开和阅读被加密的文件 用户采用统一的身份认证管理 使用硬件USB令牌进行标识 安全强度高 加密文件可以通过网络或者存储设备等进行交换传输 而不用担心传输过程中的安全性 安全文件子系统可以与VCN移动存储设备管理模块相协调 对特殊用户具有穿透功能 在不改变VCN存储管理规则的情况下 能够满足远程文件安全传输的需要 Chinasec关键技术分析 存储加密技术 强制加密 基于域密钥进行管理 加密数据只能在指定的范围内 计算机群 使用 数据加密和解密是透明的 对于用户来说不会改变其操作系统 加密策略基于管理员集中管理 属于强制加密 适用于单位强制的数据安全保密管理 可以通过信任域设置和存储设备信任域注册实现不同VCN之间的计算机数据共享 Chinasec关键技术分析 存储加密技术 强制加密 采用透明的强制加密技术 不改变用户使用习惯 数据仅在工作模式下才能使用 退出工作模式后该区自动关闭 严格防止文件数据被未授权复制或者传输 该加密受控区除了可以跟DMS系统安全文件服务器进行数据交换外 不存在其他任何数据交换渠道 Chinasec关键技术分析 存储加密技术 强制加密 采用高速透明加密技术 对本地数据分区进行加密保护 本地磁盘的数据只能在VCN系统启动的情况下才能正常使用 防止了因为硬盘丢失 多操作系统和光盘启动等造成的数据泄密事件的发生 Chinasec关键技术分析 存储加密技术 加密体系协调 应用程序和数据文件等 客户端保密文件子系统 安全保密磁盘 VCN移动存储设备 VCN本地磁盘加密DMS受控加密区 穿透通道 Chinasec关键技术分析 多层次的网络加密技术 灵活的加密算法接口和密钥管理体制 支持多种不同强度的算法 网络加密技术 在IP层实现 根据策略进行灵活的密钥和算法管理 采用集中的密钥管理体制 定期更新密钥 并且每个终端都使用不同的密钥进行数据加密 对应用程序和用户透明 具有良好的兼容性 在应用协议层实现 01100011010 Chinasec关键技术分析 状态策略控制 用户策略控制 资源控制技术 包括PC资源 服务器资源和网络资源 对所有价值资源都进行控制 采用授权使用 违规记录及审计等多种手段 确保所有资源的可控性 提高内网信息系统的安全性和可管理性 资源控制 都以策略的方式实现 包括了用户 计算机 资源授权内容和状态几个要素 在线状态VS离线状态 对同一资源 可以针对不同的用户进行有区别的授权 目录内网安全技术概述ChinasecTM内网安全体系关键技术分析产品特点产品资质与应用案例 Chinasec内网安全产品特点 整体一致的内网安全解决方案 对内网原网络系统性能影响小 此产品体系完全基于TCP IP协议网络 不需要改变现有网络结构 支持远程管理 对原系统的性能影响很小 1 提供整体一致的内网安全解决方案 基于同一个管理平台 提供身份认证 授权管理 数据保密和监控审计的完整互动安全策略 2 提供多种灵活的透明加密措施 根据用户需求可以进行文件加密 文件夹加密 本地磁盘加密 移动存储设备加密和邮件智能加密等 3 Chinasec内网安全产品特点 整体一致的内网安全解决方案 具备广域网和大用户数等大规模网络部署的架构和性能 支持多机热备 负载均衡 分级管理和多级部署的功能 4 支持基于用户 计算机和控制内容的三要素策略设计思想 策略可以灵活控制 针对不同的用户和不同的计算机可以实施不同的策略 支持权限在内部信息网络中的漫游 5 紧扣国家保密局颁发的 涉及国家秘密的信息系统分级保护管理办法 支持对政府 军队和军工等涉密内网的分级分域管理 数据在同一个虚拟保密子网 VCN 内可以正常相互交换 不同虚拟保密子网内数据交换需要管理员授权 实现分域管理 不同保密级别的VCN可以根据需要设置控制力度不同的保密策略 实现分级管理 6 Chinasec内网安全产品特点 整体一致的内网安全解决方案 充分考虑和尊重一般企业既需要访问互联网 又希望对核心数据进行保护的需求 提供基于模式切换的解决方案 帮助用户有效实现既要上网又要保密的目标 提供灵活的企业数据安全解决方案 7 提供了对移动存储设备的强大管理功能 提供针对移动存储设备的注册 认证 策略控制和使用审计等措施 其中 策略控制支持禁用 只读 加密和解密等方式 注册则可以基于用户 计算机和控制策略三要素进行管理 8 提供丰富的授权管理内容 包括服务器访问 终端计算机使用 外设 网络 应用程序和U盘使用等 9 支持丰富的日志审计 报表生成以及实时报警监控等功能 提供丰富的管理手段 10 目录内网安全技术概述ChinasecTM内网安全体系关键技术分析产品特点产品资质与应用案例 典型案例分析 德信无线 目录 客户背景及现状分析客户需求分析产品功能与需求匹配部署效果产品应用价值 一 客户背景及现状分析 项目名称 德信无线内网安全管理项目 客户背景及现状 德信无线技术有限公司 简称 德信无线 NASDAQ股票代码 CNTF 创立于2002年7月 是中国最大的手机软件和整机方案设计供应商之一 集团员工2600人 其中90 以上为技术研发设计人员 办公总面积超过