内网安全解决方案PPT60张

1、整体一致的内网安全解决方案,明朝万达团队的孵化,专业的网络和数据安全产品研发、生产企业 2003年：涉足内网安全的研发，率先提出内网安全的理念 申请和获得多项国家发明专利，并积极申请和参与多项国家项目的研究 在广州,上海和重庆设立了办事处,并携手30多家的合作伙伴，为用户提供本地化的服务和支持 与中办北京电子科技学院、国家保密技术研究所和公安部三所等建立良好的合作关系 。,中办北京电子科技学院,内网安全市场的宏观应用环境,涉密内网计算机信息系统保密管理规定国家保密局（2006）； 互联网安全保护技术措施规定（公安部第82号令2006）； ISO 27001:2005, ISO/IEC 1779

2、9 ISO信息安全管理体系要求； 塞班斯法案（2005）美国 关于加强新技术产品使用保密管理的通知 国家保密局； 涉及国家秘密的信息系统分级保护管理办法 国家保密局； 涉及国家秘密的计算机信息系统安全保密方案设计指南； 信息技术 安全技术 信息技术安全性评估准则 第2部分: 安全功能要求； 涉及国家秘密的计算机信息系统保密技术要求； 计算机信息系统安全保护等级划分准则； 计算机信息系统保密管理暂行规定（国保发19981号）；,相关政策法规与国际标准,目录 内网安全技术概述 ChinasecTM内网安全体系 关键技术分析 产品特点 产品资质与应用案例,内网安全概念的提出,Internet,内网可

3、信区,外网非信任区,网络边界,！,？,内网安全隐患,2:8 规则,通过内网网络交换设备或者直连网线非法接入内网或者计算机终端,利用局域网中的某一台主机，通过网络攻击或欺骗的手段，非法取得其他主机甚至是某台网络服务器的重要数据,内部员工将只允许在局域网内部使用的数据通过磁盘复制、打印、非法拨号外联等手段泄漏到单位外部,内部人员窃取管理员用户名和密码，非法进入单位重要的业务和应用服务器获取内部重要数据,内网安全的两大误区,内网安全审计监控,内网安全数据加密,内网 安全,什么是真正的内网安全体系,身份认证,授权管理,数据加密,监控审计,完整的内网信息安全管理体系,内网安全核心,“你是谁？”,“你能做

4、什么？”,“你做了什么？”,目录 内网安全技术概述 ChinasecTM内网安全体系 关键技术分析 产品特点 产品资质与应用案例,ChinasecTM产品体系简介,可信网络认证系统（TIS）,可信网络保密系统（VCN）,可信网络监控系统（MGT）,可信数据管理系统（DMS）,ChinasecTM可信网络安全平台,ChinasecTM可信网络安全平台,服务器 （Server）,控制台 （MC）,客户端代理 （Agent）,平台架构,网关 （可选）,USB KEY （可选）,策略的存储中心； 系统运行和维护的中心； 存储用户信息、计算机信息、组织体系、策略信息及日志信息。,用户操作界面，实现对服务

5、器的远程管理； 整个平台控制中心，平台各个系统都可以集中体现在该控制台中； 基于Windows标准的MMC技术。,运行在受控计算机终端上； 采用安全通信技术接收服务器的统一管理并接收下发的策略； 通知相应功能模块执行指令。,ChinasecTM可信网络安全平台,平台模块化功能,监控审计,数据加密,身份认证,实时监控,MSN/QQ监控,补丁分发,完全模块化的设计，实现“按需定制”，满足不同组织的信息安全需求。,ChinasecTM可信网络安全平台,服务器的连接和通信端口加密，并且需要进行认证； 对于具有管理权限的控制连接，通过基于硬件USB令牌的严格密码协议进行通信 ； 服务器的运行必须使用 合

6、法的授权令牌。,良好的自保护措施：文件、进程及注册表的隐藏和保护，系统远程线程注入技术监控和阻止试图破坏客户端代理的行为发生； 双向认证机制，确保 双方身份的可信性 。,完全加密的机制，数据、 指令和策略的传输都是 加密的，有效防止了窃听和篡改等欺骗破坏行为的发生 。,使用授权的硬件USB 令牌与服务器进行相互 认证和通信，才能取得管理权限 分权制衡原则：管理员和审计员,服务器安全,客户端安全,通信安全,管理安全,平台安全性实现,ChinasecTM可信网络安全平台,网关（硬网关,ChinasecTM可信网络监控系统,监控系统（MGT)功能,IP与端口控制,外设控制,邮件控制,互联网访问控制,

7、文件传输协议监控(FTP),FTP用户绑定,客户端实时监控,应用程序控制,IP地址绑定,WINDOWS 标准安装程序控制,打印监控,资产审计,文件分发,邮件智能加密,非法接入阻断,刻录光驱控制,违规记录,ChinasecTM可信网络监控系统,监控系统（MGT)特点,实现对每台计算机的网络状况进行实时监控。,可以实现计算机的远程监控，对所有内网计算机进行有效地集中管理；,支持灵活的策略模型；,对用户的操作行为进行有效管理 ；,实现对计算机外设使用的“细粒度”管理控制；,ChinasecTM可信网络监控系统,监控系统（MGT)特点,与Chinasec可信网络认证系统联合使用，实现更加强大和灵活的功

8、能，可以根据用户和计算机的不同组合实施不同的授权和策略 。,提供邮件智能加密功能，确保同一个安全域内的用户可以自由收发邮件 ；,提供IP绑定和非法IP阻断等网管功能；,提供资产管理和资产审计功能，提供各种丰富的资产管理报表；,提供完整的审计信息 ；,ChinasecTM可信网络保密系统,网络保密系统（VCN)功能,内网保密网络“分级分域”管理，实现不同等级终端逻辑隔离,数据传输和存储加密,移动存储设备管理,网络数据控制,本地存储控制,01100011010, ,ChinasecTM可信网络保密系统,保密系统（VCN)特点,有效防止了非法外连和非法接入；,部署、使用简单方便,无须改变原有网络拓扑

9、结构，透明加解密，不会影响用户的使用习惯 ；,数据加密传输，网络更加安全可靠 ；,在内网中按照安全等级、信任关系等标准可设多个VCN，实现分级分域管理；,强制加密除本地系统盘外的所有本地磁盘保存的文件；,实现严格有效的移动存储设备管理；,通过安全网关建立一个安全的服务器区，可以对组织的所有重要信息服务资源进行有效保护,可使用转发网关构建开放服务器区，用来放置单位公开的服务器，接受内网计算机和外网计算机的访问，同时有效隔离内网和外网。,ChinasecTM可信数据管理系统,数据管理系统（DMS)功能,创新的模式切换理念，在单一终端上虚拟出多种工作环境；,统一用户管理功能；,可信数据区,文件权限管

10、理,离线工作管理,模式切换功能,ChinasecTM可信数据管理系统,数据管理系统（DMS)特点,独有模式切换技术， 实现数字知识产权保护与 互联网访问兼得效果,Internet,模式切换,ChinasecTM可信桌面认证系统,桌面认证系统功能,计算机登录认证,计算机离机锁定,安全保密磁盘,USB令牌管理,使用令牌建立； 数据完全加密，只有使用本人的令牌才能打开自己建立的安全磁盘； 打开方式可以设为自动或者手动，也可以指定盘符； 当多人使用同一台计算机的时候，每个人都可以建立自己的安全磁盘； 虚拟的安全磁盘是一个文件，可以拷贝复制，在其它计算机系统使用合法令牌可以读取。,ChinasecTM可

11、信网络系统部署示意图,Internet,分支机构,移动商务人员,安全/转发网关,服务器群,Server,MC,Agent,VPN网关,非法接入终端,Agent,Agent,总 部,目录 内网安全技术概述 ChinasecTM内网安全体系 关键技术分析 产品特点 产品资质与应用案例,ChinasecTM关键技术分析,身份认证技术,存储加密技术,高性能安全 服务器技术,资源控制技术,网络加密技术,ChinasecTM 核心技术,ChinasecTM关键技术分析,724小时的持续服务能力 较强的抗攻击和抗病毒能力 高效的负载能力,综合应用多线程、队列、主动轮询,高效并发处理技术,基于公开密钥算法的安

12、全认证技术，基于硬件授权令牌启动服务器,安全认证技术,服务器和客户端、服务器和管理控制台之间的传输信道都采用了加密技术,传输加密技术,CPU使用率、内存使用率和第三方程序依赖程度,资源最小化稳定运行技术,高性能安全服务器技术,Chinasec关键技术分析,身份认证技术,认证技术的扩展性能：安全保密磁盘 与离机锁定,基于密码硬件芯片的用户标识,基于PKI体制的数字证书认证技术,独立于Windows域的集中认证系统,基于认证的资源授权控制,Chinasec关键技术分析,TIS系统认证流程,插入USB令牌,输入PIN码,读取TIS用户信息,登录TIS服务器认证,拒绝登录,取域用户名/密码,登录域服务

13、器认证,进入操作系统,Chinasec关键技术分析,存储加密技术存储加密体系综述,加密体系：网络加密体系和存储加密体系,主动加密和强制加密,透明加密技术和非透明加密技术,Chinasec关键技术分析,存储加密技术主动加密,安全保密磁盘,存储的数据和文件都经加密处理；,只有创建该安全保密磁盘的用户（令牌）才能打开该安全磁盘；,使用方式与普通磁盘分区完全相同；,用户令牌拔出计算机后，安全保密磁盘自动关闭；,多个用户可以在同一台计算机上各自创建自己的安全保密磁盘；,可以随时转移到其他计算机；,可以设定为插入令牌后自动打开或者手动打开；,可以指定特定的盘符从而适用于安装应用程序；,支持自有算法、DES

14、、3DES、AES或者其他国产算法。,Chinasec关键技术分析,存储加密技术主动加密,客户端保密文件子系统,可以对文件或者文件夹进行加密，文件加密基于公开密钥算法，采用随机密钥，具有很高的安全性；,可以选定接收文件的用户或者用户组，只有指定的用户才能打开和阅读被加密的文件，用户采用统一的身份认证管理，使用硬件USB令牌进行标识，安全强度高；,加密文件可以通过网络或者存储设备等进行交换传输，而不用担心传输过程中的安全性；,安全文件子系统可以与VCN移动存储设备管理模块相协调，对特殊用户具有穿透功能，在不改变VCN存储管理规则的情况下，能够满足远程文件安全传输的需要。,Chinasec关键技术

15、分析,存储加密技术强制加密,基于域密钥进行管理，加密数据只能在指定的范围内（计算机群）使用； 数据加密和解密是透明的，对于用户来说不会改变其操作系统； 加密策略基于管理员集中管理，属于强制加密，适用于单位强制的数据安全保密管理； 可以通过信任域设置和存储设备信任域注册实现不同VCN之间的计算机数据共享。,Chinasec关键技术分析,存储加密技术强制加密,采用透明的强制加密技术，不改变用户使用习惯； 数据仅在工作模式下才能使用，退出工作模式后该区自动关闭，严格防止文件数据被未授权复制或者传输； 该加密受控区除了可以跟DMS系统安全文件服务器进行数据交换外，不存在其他任何数据交换渠道。,Chin

16、asec关键技术分析,存储加密技术强制加密,采用高速透明加密技术，对本地数据分区进行加密保护； 本地磁盘的数据只能在VCN系统启动的情况下才能正常使用，防止了因为硬盘丢失、多操作系统和光盘启动等造成的数据泄密事件的发生。,Chinasec关键技术分析,存储加密技术加密体系协调,应用程序和数据文件等,客户端保密文件子系统,安全保密磁盘,VCN移动存储设备,VCN本地磁盘加密 DMS受控加密区,穿透通道,Chinasec关键技术分析,多层次的网络加密技术； 灵活的加密算法接口和密钥管理体制，支持多种不同强度的算法。,网络加密技术,在IP层实现； 根据策略进行灵活的密钥和算法管理； 采用集中的密钥管

17、理体制，定期更新密钥，并且每个终端都使用不同的密钥进行数据加密； 对应用程序和用户透明，具有良好的兼容性。,在应用协议层实现,01100011010, ,Chinasec关键技术分析,状态策略控制,用户策略控制,资源控制技术,包括PC资源、服务器资源和网络资源 ； 对所有价值资源都进行控制，采用授权使用、违规记录及审计等多种手段，确保所有资源的可控性，提高内网信息系统的安全性和可管理性； 资源控制，都以策略的方式实现，包括了用户、计算机、资源授权内容和状态几个要素,在线状态VS离线状态,对同一资源，可以针对不同的用户进行有区别的授权,目录 内网安全技术概述 ChinasecTM内网安全体系 关

18、键技术分析 产品特点 产品资质与应用案例,Chinasec内网安全产品特点,整体一致的 内网安全解决方案,对内网原网络系统性能影响小。此产品体系完全基于TCP/IP协议网络，不需要改变现有网络结构，支持远程管理，对原系统的性能影响很小。,1,提供整体一致的内网安全解决方案，基于同一个管理平台，提供身份认证、授权管理、数据保密和监控审计的完整互动安全策略。,2,提供多种灵活的透明加密措施，根据用户需求可以进行文件加密、文件夹加密、本地磁盘加密、移动存储设备加密和邮件智能加密等。,3,Chinasec内网安全产品特点,整体一致的 内网安全解决方案,具备广域网和大用户数等大规模网络部署的架构和性能，

19、支持多机热备、负载均衡、分级管理和多级部署的功能。,4,支持基于用户、计算机和控制内容的三要素策略设计思想，策略可以灵活控制，针对不同的用户和不同的计算机可以实施不同的策略，支持权限在内部信息网络中的漫游。,5,紧扣国家保密局颁发的涉及国家秘密的信息系统分级保护管理办法，支持对政府、军队和军工等涉密内网的分级分域管理。数据在同一个虚拟保密子网（VCN）内可以正常相互交换，不同虚拟保密子网内数据交换需要管理员授权，实现分域管理。不同保密级别的VCN可以根据需要设置控制力度不同的保密策略，实现分级管理。,6,Chinasec内网安全产品特点,整体一致的 内网安全解决方案,充分考虑和尊重一般企业既需

20、要访问互联网，又希望对核心数据进行保护的需求，提供基于模式切换的解决方案，帮助用户有效实现既要上网又要保密的目标，提供灵活的企业数据安全解决方案。,7,提供了对移动存储设备的强大管理功能，提供针对移动存储设备的注册、认证、策略控制和使用审计等措施。其中，策略控制支持禁用、只读、加密和解密等方式，注册则可以基于用户、计算机和控制策略三要素进行管理。,8,提供丰富的授权管理内容，包括服务器访问、终端计算机使用、外设、网络、应用程序和U盘使用等。,9,支持丰富的日志审计、报表生成以及实时报警监控等功能，提供丰富的管理手段。,10,目录 内网安全技术概述 ChinasecTM内网安全体系 关键技术分析

21、 产品特点 产品资质与应用案例,典型案例分析 德信无线,目 录,客户背景及现状分析 客户需求分析 产品功能与需求匹配 部署效果 产品应用价值,一、客户背景及现状分析,项目名称,德信无线内网安全管理项目,客户背景及现状,德信无线技术有限公司（简称“德信无线”，NASDAQ 股票代码：CNTF）创立于2002年7月，是中国最大的手机软件和整机方案设计供应商之一 ； 集团员工2600人，其中 90%以上为技术研发设计人员，办公总面积超过三万平方米； 在进行信息网络建设的时候，对安全性做了成熟的考虑，但是主要基于传统的网络安全，主要是边界防护设备、灾难备份、病毒防护，没有针对内网的安全保护系统； 公司

22、内有大量的软件开发的源代码文档 ；,一、客户背景及现状分析,网络现状,二、客户需求分析,1、软硬件等IT资产数量众多、种类各异，缺乏有效的管理手段； 2、对各种设备缺乏性能监控和评估，IT资源未得到有效利用； 3、整个IT环境存在涉密资料外泄、病毒冲击、系统漏洞等各种安全 隐患； 4、缺乏规范的制度和有效的工具引导和约束用户对IT系统的使用行 为；,德信无线面临的问题,终端管理,监控审计,防泄漏,二、客户需求分析,需求分析,三、产品功能与需求匹配,匹配分析表,四、部署效果,系统部署图,四、部署效果,1、所有内网终端统一管理监控； 2、终端的外设，软件，网络等使用权限控制； 3、防止非法计算机接

23、入网络； 4、移动存储设备使用受到严格控制； 5、文档的安全管理，防泄漏； 6、与现有应用软件及应用系统兼容，如ERP、OA、PROE、PDM等；,部署效果,五、产品应用价值,Chinasec相关信息安全产品资质,信息安全产品著作权证书,公安部信息安全产品资质证书,军方信息安全产品资质证书,国家保密局涉密产品证书,国家信息安全产品测评中心认证,Chinasec应用案例,海关总署信息中心 国家考试中心 玉溪党政机要综合网市、县和乡的安全保密保障系统 中国工程物理研究院 中国农业银行 江西鹰潭市机要局 四川双流机要局 云南高检 ,Chinasec应用案例,北京德信无线科技有限股份公司 广东朗能集团

24、 日立信息系统集成公司 成都城市规划设计院 深圳IDEAL公司 山东寿光增压器有限公司 经纬纺织股份 深圳富山技研有限公司 深圳日海通讯 MORE,THANKS!,46凡事不要说我不会或不可能，因为你根本还没有去做！47成功不是靠梦想和希望，而是靠努力和实践48只有在天空最暗的时候，才可以看到天上的星星49上帝说：你要什么便取什么，但是要付出相当的代价50现在站在什么地方不重要，重要的是你往什么方向移动。51宁可辛苦一阵子，不要苦一辈子52为成功找方法，不为失败找借口53不断反思自己的弱点，是让自己获得更好成功的优良习惯。54垃圾桶哲学：别人不要做的事，我拣来做！55不一定要做最大的，但要做最好的56死