敏感信息防护解决方案

敏感信息防护解决方案

ImportantDataProtection

----中软防水墙系统WaterBox

IntroductiontoCSSWaterBoxSystem陈尚义通用产品研发中心中国软件与技术效劳股份 2005年5月目录什么是防水墙?为什么需要防水墙?防水墙如何防止信息泄露?为什么选择中软防水墙系统?什么是防水墙?

LPFSRMHSWaterBox™SSO为什么需要防水墙?

LPFSRMHSWaterBox™SSO

[美国]结论：在全部的平安事件中，信息外泄事件占97%信息来源:2002CSI/FBIComputerCrime&SecuritySurvey计算机安全损失97%020%40%60%80%90%100%阴谋破坏

信息外泄55%未授权服务32%拒绝服务31%25%外部系统攻击13%信息盗窃2002年计算机平安事件2002年美国CSI/FBI调查情况…根据美国CSI/FBIComputerCrimeandSecuritySurvey，在计算机平安事件中信息泄露造成的经济损失连续5年排在第一位惊人的结论分类主要的次要的安全事件信息泄漏事件黑客攻击事件发起者企业内部的员工外部的黑客损失灾难性的、不可挽回的有限的、可以快速弥补的关注程度大多数尚为引起足够重视得到了过多的关注防范手段没有完善的系统有多个成熟的、综合的安全系统内部平安解决方案的不完善针对外部攻击的安全策略针对内部信息的安全策略病毒防御〔Anti-Virus〕防火墙〔Firewall〕入侵检测〔IDS〕漏洞扫描〔Scanner〕信息监控〔NetMonitor〕……平安体系的缺陷、不完善！网络化失泄密?外设接口失泄密?存储介质失泄密?打印失泄密利用防水墙系统构建内部平安管理体系针对外部攻击的平安策略针对内部信息的平安策略病毒防御〔Anti-Virus〕防火墙〔Firewall〕入侵检测〔IDS〕漏洞扫描〔Scanner〕信息监控〔Monitor〕应用平安(SecureAPP)真正统一、全面的平安体系中软防水墙系统资源平安管理平安文件系统网络化失泄密控制外部设备与接口管理媒体与介质管理打印机管理运行状况监控……身份认证和访问控制防水墙是如何防止信息泄露的?

LPFSRMHSWaterBox™SSO内部平安防护体系事前预防事中监督事后审计对攻击行为的检测和报警功能对网络传输、媒体介质使用、计算机接口和打印控制黑匣子,根据系统日志，联机事件审计、防水墙审计工具失密泄密途径防范系统运行状况监控主机资源信息管理安全文件系统扩展身份认证网络巡逻员集中平安管理事前预防-策略(1)策略的定义策略的有效时间/生命周期普通策略和紧急策略默认策略策略的维护

策略的继承依据策略模版实施监控工作策略调度管理用户状态监控管理用户管理功能设计文件平安效劳密钥对选取系统状态轮巡检查：托管状态〔时间段〕；申请脱管状态；网络性能影响的脱管状态；违规带出的脱管状态。网络通信方式信息泄漏防护功能;外设接口信息泄漏防护功能;存储媒体/介质信息泄漏防护功能;文件平安效劳功能;系统资源平安管理功能;综合审计分析报告功能;平安策略管理功能;打印机信息泄漏防护〔可选〕;平安文件柜功能〔可选〕;系统运行状况监控功能〔可选〕;系统运行状况黑匣子功能〔可选〕;扩展身份认证功能〔可选〕;托管策略〔时间段1〕；托管策略〔时间段N〕；脱管策略〔申请托管〕；脱管策略〔网络性能影响〕；脱管策略〔违规带出〕。设备密钥对；用户密钥对；平安域密钥对；全控制域密钥对。事前预防-策略(2)允许使用 自由使用 记录事件的概要情况(如文件名,网站地址) 记录详细内容(如文件内容,浏览的网站内容) 其它(如U盘使用,其内容均需加密)禁止使用 对攻击行为的监视和报警事前预防-分权分级管理系统操作员信息平安官平安审计员系统管理员角色设计Administrator；口令认证；登陆，修改口令，退出系统；系统角色注册管理，权限分配；效劳器系统根本环境建立；黑匣子读取权之一；系统日志信息管理权限；其它。Auditor；口令认证；由系统管理员注册和权限分配；对系统管理员、平安审计员工作状况审计;黑匣子读取权限之一；其他。Operator；口令认证；系统操作、管理；系统审计分析报告；其他。

CSO；口令认证；系统管理员这册与管理；黑匣子读取权限之一；原厂商的操作者。事前预防-配套规章制度单位内部的平安管理规章制度中软对防水墙系统实施和管理的建议事中监督-Protection(1)网络化失泄密防护外设与接口失泄密防护媒体与介质失泄密防护打印机失泄密防护网络层（IP,禁止，完全开放，条件开放，黑名单，白名单，记录日志）传输层（TCP/UDP，禁止，完全开放，条件开放，黑名单，白名单，日志）网络层和传输层组合控制（同上）应用层（HTTP,SMTP,WebMail/BBS,FTP,Telnet,MODEM,NetBios）中软防水墙系统SCSI（小型计算机系统）接口USB（通用串行总线架构）接口SERIAL（串行总线架构）接口PARALLEL（并行总线架构）接口IrDA（红外架构）接口1394（火线架构）接口PCMCIA（个人计算机存储卡）接口CF（CompactFlash）接口CDRW/CDROM可刻录光盘FlashMemories电可擦写式（E2PROM）闪存1394StorageDevicesUSBStorageDevicesFD软盘本地打印机（禁止使用，自由使用，条件使用，日志，备份，范围控制）网络打印机（禁止使用，自由使用，条件使用，日志，备份，范围控制）事中监督-Protection(2)状况监控运行状况记录仪〔黑匣子〕时间戳用户操作/应用/调用/命令扩展信息详细内容备注系统进程网络连接用户和组窗口程序屏幕键盘NETBIOS信息〔NETSHARE〕效劳中软防水墙系统事中监督-Protection(3)文件平安效劳支持用户加密文件柜支持创建加密文件柜；支持用户访问控制；支持对称算法和非对称算法。支持自动加解密本地文件存储加密和解密支持文件交换/传输加密和解密支持数据共享文件操作支持普通文件/目录文件加解密；支持对称算法和非对称算法。安全域内交换和传输；安全组内交换和传输；任意个人的交换与传输。支持加密数据共享功能；支持个人加解密服务；支持安全域加解密服务；支持全域加解密服务；支持特定个体加解密服务；支持对称算法和非对称算法。文件删除；文件修改；文件拷贝；文件重命名。中软防水墙系统事中监督-Protection(4)软件资源硬件资源硬件设备活动的硬件设备禁止的硬件设备设备实时控制系统信息系统进程网络连接用户和组窗口程序已安装应用程序屏幕键盘网络拨号NETBIOS信息（NETFILE，NETSHARE，NETSESSION，NETUSE）服务和驱动打印串并口软件实时控制中软防水墙系统事中监督-网络巡逻员主动巡逻，发现不合法接入网络的主机，并对该主机进行报警。绑定MAC地址，查看主机的IP和MAC地址是否与地址映射列表的一致；查看主机是否安装了防水墙；对于不合法的主机进行报警与阻断；生成日志信息；生成报表信息事后审计-黑匣子详细记录:防水墙系统的运行信息；用户操作黑匣子分析仪控制台通知效劳器从客户端取得黑匣子文件并传送到控制台，控制台在黑匣子分析仪翻开黑匣子文件进行分析，即完成黑匣子的导入。与此同时，客户端清空已经上传的黑匣子文件事后审计-在线审计文件平安效劳日志统计运行状况监控日志统计系统资源管理日志统计丰富的报表内容

用户在线状况统计网络失泄密日志统计媒体介质防护日志统计打印机失泄密日志统计支持多种报表形式〔柱状图、曲线图、饼状图、雷达图〕支持精确时间检索支持关键字检索支持实时刷新报表支持报表打印支持自动跳转支持多种类型的文档导出方式。强大的报表功能事后审计-防水墙审计工具专门的审计环境 将系统记录的所有日志以及相关文件备份到非运行环境下,以备事后审计;离线的工作平台防水墙事件的集中审计支持大容量的日志快速的查询反响灵活的查询方式和其他产品一道构成严密的平安体系Firewall:阻止外部攻击的平安系统(象一扇门)IDS:阻止外部智能攻击(象一台平安摄象机)防病毒软件:计算机病毒疫苗WaterBox:站在用户身边的平安管理员……InternetRouter

FirewallIDS(入侵检测系统)

e-Mail检测系统

PrintingPaperCD-R/RW

E-Mail/Web-Mail/Web-HDDHDDtheftFD/ZIP/MOJAZZ/USB/1394Serial/ParallelFlashDevice/P2P/FTP内部信息平安漏洞安全解决方案内部信息平安漏洞为什么选择中软防水墙系统?

LPFSRMHSWaterBox™SSO科学的体系架构严密的内部平安防护体系灵活、完备的策略机制基于角色的分级分权管理平安的网络通信机制可靠的数据存储形式强大的自我防护能力基于多用户的管理独特的黑匣子记录仪方便、灵活的平安文档系统系统特点关于中国软件〔CSS〕和中软平