咨询热线:020-85550310  /  ENGLISH

新闻中心

您现所在的位置:首页 > 解决方案 > 数据加密防泄漏

数据涉密终端安全防护解决方案
时间:2015-03-10   

导读:中软防水坝TM涉密终端综合安全防护解决方案以分级保护标准为准绳,针对涉密终端关键安全问题,有机整合多个涉密合规安全产品,打造立体化、多层次的涉密信息防护体系。。

新闻中心


中软防水坝涉密终端安全防护解决方案

中软防水坝TM涉密终端综合安全防护解决方案以分级保护标准为准绳,针对涉密终端关键安全问题,有机整合多个涉密合规安全产品,打造立体化、多层次的涉密信息防护体系。
通过部署中软防水坝TM涉密终端综合安全防护解决方案,可以有效支撑用户的分级保护测评,保障涉密终端的合规,提升IT可用性和安全性,降低涉密内网安全管理成本,提升涉密内网管理效率。
中软防水坝涉密终端安全防护解决方案

一、政府行业背景介绍
政府行业的主体时国家行政机关及其下属机构,信息化程度比较高,近些年针对政府网站的攻击也越来越频繁,信息安全的形势较为紧迫。政府的一些涉密部门的信息化建设是按照分级保护要求来做的,同时其他部门是按照等级保护的要求进行信息化建设。
二、网络现状及安全现状的分析
中软防水坝涉密终端安全防护解决方案

从上图我们可看出,由于行业性质,网络结构分为物理隔离的内部网络和外网(即互联网),对其安全现状作如下分析:
第一,终端信息泄露。过去,我们长期以来把目光关注在防止外部攻击的行为上面,对于内部职工有意识或无意识将信息外泄出去的情况关注得很少。我们忘记了一条,堡垒最容易从内部攻破。以前的攻击可能是无意识的攻击,但现在变成了有目标性的攻击,攻击的目标性越来越强。无意识攻击对我们造成的损失不是很大,有目标的攻击是有备而来的。内部的信息泄露是有目标的,有商业价值,出卖政府及军工单位的内部机密,对其造成的损失是直接的、巨大的。
从终端信息泄露的途径来看,由于网络的大量使用,人们可以轻而易举地通过网络把信息传输出去。现行条件下,通过技术手段和法律保证还不太好跟踪和追究责任。
移动存储器的大量使用,移动存储器包括移动硬盘,USB盘,数码相机,MP3,MP4等设备。它们的容量越来越大,使用越来越方便,体积越来越小,这些东西容易造成政府军工行业信息的泄露。在关注政府军工行业信息泄密的政府军工行业和机构内部,人们最担心的是移动存储的滥用,或者是不规范使用。不规范使用不仅仅是指信息泄露到外面,还包括很多其它方面,比如说不同密级的文件存在同一个U盘里面,这个U盘交叉使用就可能引起不同密级之间的混用,虽然没有泄露到外面,但违反了内部的保密规定。过去我们说,红头文件不能带出办公室,不能带回家,但信息化时代,移动存储器的大量使用,对于信息的保密造成了巨大的威胁,因为过去的那些手段根本不能解决信息化条件下的保密问题。还有打印机,它的泄密问题虽然是个传统的老话题,但至少,前几年并没有很好的追踪和审计手段。还有各种接口,例如红外接口,蓝牙接口等,这些接口也可以用来泄密。综上所述,利用终端泄密的途径有很多种,在信息化的条件下,保密工作受到了巨大的挑战。
第二,安全策略合规性受到了严重的挑战。这是什么意思呢?比如说一个政府军工行业,在安全方面,有形或者无形的都存在着安全策略,有的可能是体现在公司的其他文件里面,有的可能是领导反复强调的那些方面,书面和非书面的,反正存在各种各样的安全策略。比如说,这个文件不允许某人打印,那个文件不能拷出去。或者是补丁要及时打,这样的问题,单位领导不一定具体强调,但它是一个暗含的策略。总而言之,每个政府军工行业内部是存在这样那样的安全策略。
安全策略的实施受到一个很大的挑战。终端量大面广,分布在单位各个不同的角落里,有的可能是在不同的地理位置。安全策略的实施非常困难。再加上用户水平参差不齐,不同用户有不同安全的意识,每个人的经验和背景不一样,对于安全的认识高度不一样。所有这些,影响了政府军工行业的安全意图和策略在终端上执行的有效性。还有,由于缺乏有效的策略管理工具,致使安全策略的合规性得不到评估,根本无法知道公司高层的策略有没有得到有效地贯彻和实施。
第三,终端运行失去了有效的控制和管理。实际上不仅是一个运行管理的问题,同时也是一个安全问题。拿终端设备的软件配置为例,政府军工行业的安全策略里面,允许装什么软件,不允许装什么软件,都有明确的规定,还比如说上班的时候不能做与上班无关的事情,这是公司所希望的,有些也是出于安全策略上的考虑。硬件方面的配制,公司当时给员工配备一个什么样配置的电脑,用户不能随便更改。配置的更改,意味着终端的安全性受到了改变和降低。客户面临的问题是软、硬件资产的配置不能有效地监控。对于系统的运行状况,如用户在终端上启动了什么样的进程,发生了什么样的网络连接,跟谁连接,系统的这些运行状况要得到管理和控制。政府军工行业对资源使用情况掌握也存在问题,比如说配置的CPU就是2G的,内存是1G等等,对于电脑的使用情况,CPU是否过大还是嫌小?内存是否够用?管理者是无法量化知道的。一般来讲,员工和信息部门总是希望电脑的配置越高越好,但是管理者会考虑到成本,到底是什么样的配置既满足工作需要,又能节约成本,这需要一个量化的数字做决策。这就需要管理层拿到资源使用情况的数据。这不仅仅是一个运行管理的问题,同时也是一个系统安全的问题。终端设备的任意改变,终端运行状况不清楚,都会导致终端的安全性模糊,会失去控制。
第四,谋一时而未谋全局,终端系统被划分为多个独立的信息安全孤岛。各政府军工行业在解决各种内网安全问题上,通常缺乏统一、全面的内网安全解决方案。按照“头痛医头,脚痛医脚”的内网安全防护思路,采购并部署了多款终端安全管理的产品,比如:身份认证、补丁管理、软件分发、病毒防护软件等等。但是这些终端安全防护软件来自于不同的安全厂商,各种软件之间各自为政,缺乏统一管理、协调工作的机制,最终导致个人桌面系统被划分为一个个独立的信息安全孤岛,因此出现了终端安全管理混乱、内网安全漏洞百出,内网安全事件防不胜防。另外在功能上,尽管各个代理程序的核心功能不一样,但其附带的功能大都雷同,各个代理程序之间在功能上存在相当的重复。这意味着用户花钱买了重复的功能,还有个要命的问题是终端资源代理过多,导致了终端性能急剧下降,系统维护成本急剧增加。
基于上述内网安全的问题分析,我们可以看到,政府军工行业需要一个终端安全一体化的解决方案。通过对信息化管理需求的深入分析,通过信息化管理项目,打造一体化的终端安全管理平台,实现对政府军工行业内部的终端实现有效地安全管理,确保政府军工行业内部的信息安全。
三、解决方案
采用中软防水坝涉密终端安全护一体化解决方案,具体如下:
1、中软主机监控与审计系统
系统实现了从主机状态监控、用户行为监控、违规行为审计和异常行为分析等多层面实现安全保障,产品遵循国家保密局的技术标准。采用C\S架构,兼容微软Windows系列操作系统。
2、涉密计算机及移动存储介质保密管理系统
系统实现计算机外设监控、移动存储介质统一管理、非法外联的监控报警和存储介质数据单向导入四大功能。底层采用驱动级设备接口控制,部署方式也兼顾单机模式及联机模式。
3、中软电子文档安全管理系统
系统实现了密级标识、电子审批、文件授权及文档权限控制等功能,基于密级标识技术,避免了涉密信息在内部发布与交互过程中的不可控因素,实现涉密文档的安全使用。
4、中软网络接入控制系统
为防止访客或别有用心的人员连入公司网络窃取信息或散播病毒,中软CNAC可对接入者的身份进行鉴别,唯有合法用户可以按照指定的访问策略进行网络访问。非法用户无法与其他任何一台终端进行通信,从而防止窃密事件发生。
5、中软终端安全登录与文件保护系统
系统采用USBKEY与PIN码相结合的身份认证方式,利用文件过滤驱动、虚拟磁盘等核心技术实现终端计算机的安全登录和终端计算机的涉密文件保护。
6、中软存储介质信息消除工具
该工具采用完善的数据消除算法,实现对存储介质中数据的安全清除,确保数据不能被恢复,有效的解决涉密数据安全清除的问题。
四、方案优势
采用中软防水坝涉密产品将会政府行业带来很大的收益:
降低风险(安装加密系统,大大降低由于人员流动带来的泄密风险)
避免风险(通过加密、外发控制下游厂商以及图纸可能传播的范围)
量化风险(集中量化违规报警平台,集中优势资源处理关键事故)
保护数据安全:最大程度上确保用户数据安全,确保用户涉密信息的安全性
规范员工行为:通过策略管理、权限收缩,培训教育逐步从意识和行为上统一和规范职工行为
减小用户运维投入:增加运维保障力度,减小运维人员投入
加强合规性管理:统一安全策略,确保用户终端策略合规
信息安全威胁预警:通过对每台计算机的监控,对于主动和无意识违规的行为阻止并告警
加速企业发展:降低和预警风险。化解当前威胁,使得由于信息安全顾虑而抑制的研发得以顺畅开展
五、广东成功案例
广西壮族自治区区国土资源厅
广东省交通集团有限公司
广东省高速公路有限公司
广州市公安局
广东省交通集团
广州测绘所
广州广船国际股份有限公司
广东省高速公路发展股份有限公司
广东电网公司广州供电局
京信通信系统(广州)有限公司
广州立白企业集团有限公司
广州海格集团
广州市英格风电设备制造有限公司
...
广州微步通信技术有限公司
广州英格风电设备制造有限公司
广州中海达卫星导航技术股份有限公司
广州广船国际股份有限公司
中国移动通信集团南方基地
广州三星研究院
西门子(中国)安全研究院
大亚湾核电运营公司
中广核集团有限公司
中国核动力研究院
广船国际(船舶工业)
南方电网
TCL光电科技(惠州)
...