Chinasec(安元)移动PC安全管理解决实施方案

Chinasec 安元安元 移动移动 PC 安全管理解决实安全管理解决实 施方案施方案 导读 Chinasec 安元 移动 PC 安全管理解决实施方案 Chinasec 安元 移动 PC 安全管理解决方案背景介绍随着工作节 奏日益加快 工作流动性日益增加 移动办公 已成为时代发 展的必然趋 势 办工人 书信模板 chinasec 安元 应用系统安全解决方案 文档使用审 计管理 Chinasec 安元 移动 PC 安全管理解决实施方案 Chinasec 安元 移动 PC 安全管理解决方案背景介绍随着工作节奏日益加快 工作流动性日益增加 移动办公 已成为时代发展的必然趋 势 办工人员可在任何时间 任何地点处理与业务相关的任何事 情 这种全新的办公模式 可以摆脱时间和空间对办公人员的束 缚 提高工作效率 加强远程协作 尤其是可轻松处理 常规办 公模式下难以解决的紧急事务 然而 由于这些终端缺乏安全机制保障终端的安全和用户的 合法性 存在非法用户 非 法设备非法使用问题 这些终端接 入缺乏安全认证机制 存在未认证用户 未认证设备非授 权访 问等问题 同时由于该类终端接入采用公共通信网络 单位敏 感信息在传输过程中存在 被泄露或被篡改等风险 因此该类终 端接入给维护单位业务系统的完整性 及时性 准确性 提出了 新的挑战 需求分析企业网络中的数据在生产 存储 使用 交互环节 上相对比较自由 而由于生产环节 存储环节 使用环节都是 作用在办公网内部 因此安全隐患相对较小 而在交互环节上 由 于内网存在大量移动办公终端或者外部 办公终端 当内部数据交互至外网之后 就会存在安 全隐患 在各大企业中存在很多外出办公的使用场景 例如回家办公 或者出差办公等 这些人员 需要访问公司内部系统进行远程办 公 处于安全考虑 有些企业可能已经部署了 VPN 设备对 这 些人员的身份安全以及链路安全进行了保障 但是无法做到内 部数据的下载落地安全的防 护 并且通过 VPN 连入内网的计 算机设备类型繁多 机场 网吧 酒店 这些终端的安全等 级 参差不齐 很难防范终端电脑的病毒木马攻击 外部办公身份认证需求 企业内部人员在外办公的时 通过 VPN 设备远程连入内部生 产系统 过程中需要防止非授权人 员私自连入 要保障连入人员身份的正确性 同时对连入 人员 的身份进行划分 能够根据标准 自动识别和控制重要岗位人 员的身份权限和普通岗位 人员身份的权限 同时对重要岗位的人员能够做到通过硬件介质的身份判别和 控制 加强安 全性保障 外部办公数据安全需求 外部计算机在通过身份认证 链路 安全等防护以后可以访问 到办公等生产系统中进行数据流转 查看 审批等工作 在这个过程中数据在链路上是以密 文方式进行传输的 但是 在文件落地以后是以明文方式进行存储的 这样使用人员存在 泄密 行为 或者在公用计算机中对下载文件的忘记删除 销毁 等情况的发生 导致重要数据的外 泄 为了有效的防止办公的数据泄密 对于企业办公人员从生产 系统中下载下来的数据能够 在一个安全可控的空间中进行使用 保护数据安全 防止非法外带 传阅等行为的发生 只 有经过身份确认才能够连接内网使用数据 退出系统以后 所有落地数据不能够使用 外部办公易用性需求 该项目是针对于在外办公人员办公时 的提供安全保障 还需要 保障系统的易用性 减少不必要操作 提高员工应急办公过程中的使用效率 在保障安全性 的同时 提高使用的便利性 提供安全系统中对于功能实现的软件部分进行封装 通过 USBKEY 的方式进行功能加载实现 无需再终端计算机 部署客户端软件 只需插入 USBKEY 运 行相关程序即可实现 相关功能 对于身份认证的环节需要尽可能减少用户名密码的录入 方 便用户操作行为 外部办公兼容性需求 在保障身份安全 数据安全的前提下 需要对产品的兼容性进 行保障 对于在外办公人员的终端计算机 由于使用的是非企业资产 计算机 导致终端环境 1 4 Chinasec 安元 移动 PC 安全管理解决实施方案的统一性无法 保障 终端计算机环境可能非常混乱 那么为了保障可用性 需要对安全管控 系统的兼容性进行保障 使的防泄漏系统能够 在正常运行的计算机上能够顺利使用 能够兼 容使用人员必用 的一些日常办公软件的运行 Chinasec 移动 PC 安全解决方案 身份管理体系 在外部办公 的过程中首先要确定外部人员的安全性 然后在对终端电脑进 行管控 在该 部分中客户端的具有 U key 展现形式 通过内 网中的 Chinasec 服务器进行统一管理 同时 通过 CA 服务器 进行用户证书管理 示意图如下所示 客户端形式 作为承载客户端以及用户证 书的载体 Chinasec 将采用嵌入式技术 将 Chinasec 程序 用户只需要插入 USBkey 即可启动 Chinasec 程序 Chinasec 会将执行程序和 USBkey 进行 核心绑定 最大化的 实现计算机无需安装程序的目标 同时 由于客户端软件需要获取本地 系统的一些关键信息 因此需要当前系统为 administration 权限 U key 中还将存储用户证书用以标识 绑定用户 作为用户 身份的验证方式 代表用户 身份 同时根据该用户信息和服务器进行通讯时进行行为审计及同 步相关安全策略 客户端环境 在使用移动计算机访问内网数据时 将使用 Chinasec 客户端对内网落地数据进行全方 位的管控 用户插入 U key 以后将启动 Chinasec 客户端环境 对于保 护示意图如下 2 4 Chinasec 安元 移动 PC 安全管理解决实施方案 在终端计算 机中虚拟环境 在虚拟环境中通过技术手段在计算机底层虚拟 环境出一个数据 空间 该数据空间是一个独立 屏蔽的数据空 间 环境外任何工具都不能直接访问虚拟环境 内数据 在虚拟 环境内部可以根据服务器中的安全策略发布相关的应用 例如 浏览器 OFFICE 等工作组件 提供虚拟环境中访问办公 编 辑办公文档的需求 同时根据企业要求 能够将终端计算机中 已经安装过的应用程序 通过 Chinasec 的安全策略方式发布到 虚拟环 境中进行使用 通过该方式发布的功能组件具有良好兼 容性 能够达到安全访问企业生产系 统数据的要求 数据防泄漏 当终端用户进入虚拟环境中以后 只能和指定 的目标地址进行通讯 例如办公系统 其 他需要访问的系统可 以通过策略来进行开放访问 从办公上落入虚拟环境中的文件 只能在虚拟环境中进行使 用 不能通过互联网 移动 存储介质 以及红外 蓝牙 1394 等数据接口将数据外发出虚拟环境 通过虚拟环境保护不仅可以保护外部进入的数据文件 在虚 拟环境中通过 office 等应 用生成的文件以及临时文件都将保 存在虚拟环境中 能够保障落入虚拟环境中的数据绝对安 全 拔掉 U key 或者手动关闭虚拟环境以后内部所有数据 外 部落入数据 虚拟环境内生成 数据 缓存数据等都被锁定或者 进行删除 关闭虚拟环境以后内部所有数据表现为不可用状 态 行为审计 由于使用虚拟环境方案能够对内网落地数据进行 严格保护 同时因为外出办公链路带宽 有所限制 所以无需提 供过多的审计记录 防止数据过多导致网络变慢等情况的发生 在该方案中能够提供如下的操作审计功能 能够对用户插 入 U key 打开虚拟环境 关闭虚拟环境进行行为审计 能够对用户证书登录情况进行行为审计 部署方案 3 4 Chinasec 安元 移动 PC 安全管理解决实施方案解决方案效果 通过该方案中对企业内部计算机以及外部办公计算机的安全性 能够做到有的放矢的保护 具体管控效果如下 对在外进行 数据办公时候的数据安全性提供完整的数据保护 在不影响使 用的前提下 提高管控的安全性 保障内部数据在使用过程汇 总可管可控 便利性较好 使用 U key 技术封装功能组件 只 需简单动作就可以建立安全管控环境 同时尽量减少身份认证 次数 实现单点登录 保障操作便利性 兼容性较好 通过虚拟环境技术对数据进行保护 只借用 系