《人民检察院内网安全建设解决方案(V1.0)》由会员分享,可在线阅读,更多相关《人民检察院内网安全建设解决方案(V1.0)(32页珍藏版)》请在金锄头文库上搜索。
1、 XXX人民检察院内网安全解决方案XXX 人民检察院计算机内网安全建设解 决 方 案 V1.0 北京峰盛博远科技有限公司2010-9-15北京峰盛博远科技有限公司 目 录一、项目背景- 1 -二、需求概述- 1 -2.1 安全风险分析- 1 -2.2 需求总结- 2 -2.3 实现目标- 3 -三、科盾解决方案- 3 -3.1 简述- 3 -3.2 解决方案- 4 -3.3 安全策略规划- 10 -3.4 系统架构- 11 -3.5 功能和特点- 11 -3.6 关键技术性能- 12 -3.7 系统安全性- 12 -4.1 运行环境要求- 14 -4.2 部署方式- 14 -4.3 项目预算-
2、 14 -五、技术支持服务- 15 -5.1 系统实施服务- 15 -5.2 系统培训服务- 15 -5.3 系统售后服务- 16 -六、公司和团队介绍- 16 -6.1 公司介绍- 16 -6.2 技术力量及专业背景- 17 -6.3 技术咨询与服务优势- 17 -七、产品资质和案例- 17 -7.1科盾计算机内网安全平台资质- 17 -7.2 科盾计算机内网安全平台应用的部分案例:- 17 -附录一 可选功能模块列表- 19 -附录二 防护情景分析- 24 -一、项目背景XXX人民检察院目前已建成与下级市县检察院专网连接,内部办公网实现网络隔离。并实现了视频会议和计算机数据专线传输的功能。
3、 网络建设的目的是为了应用,检察信息化的应用将从检察业务系统、视频会议系统以及电子邮件系统等方面展开。推行利用网络进行信息发布和电子文件信息传递,利用已建成的专线网和局域网,进行日常工作管理。召开电视电话会议,开展网上信息简报浏览、工作请示汇报和讨论修改文件等,把上网办公作为各级检察院转变工作作风和解除“文山会海”的重要手段,逐步减少纸张文件的印刷量和发放量,实现检察业务信息、内部公文的远程自动流转处理。随着检察院内部数据信息的电子化不断深入,如何保证数据的使用安全、传输安全、存储安全就成为信息安全建设的重中之重了。这些数据信息在内部流通的过程中可能通过某个端点被泄露出去,无论是用户的有意行为
4、,还是无意识的数据传输,都会给国家检察系统带来严重的后果,甚至是威胁国家的安全稳定。然而计算机传输数据途径是多方面的,如内部文件共享访问、U盘的随意使用、打印刻录等等,这些数据不断传输,另管理者防不胜防。可能出现了数据泄密,而我们却一无所知,即使知道,也无从追及是谁在使用这些数据,是谁传播出去的!因此XXX人民检察院急需通过技术手段解决目前数据共享、网络应用过程中的无保护状态。北京峰盛博远科技有限公司正是根据XXX人民检察院在信息化、网络安全建设的需要提出的针对重要数据的保密性、完整性、可靠性要求,提出的计算机内网安全整体解决方案。主要解决数据从产生、保存、传输及销毁整个生命周期的安全问题,规
5、范计算机内网用户对数据的使用权限、操作行为,为XXX人民检察院的计算机内网信息安全保驾护航。二、需求概述2.1 安全风险分析XXX人民检察院目前办公计算机终端,统一通过专网接入检察系统。下级市县均通过专网接入州检察院,实现计算机内网数据共享。计算机内网与互联网隔离,禁止未通过授权访问外网,禁止外部计算机未经授权接入计算机内网。根据目前的网络现状分析,存在以下几方面的安全风险,均会给检察系统的数据安全带来威胁。安全风险一:非法外联。检察院计算机内网虽然没有互联网接口,但用户仍可以通过无线网卡、拨号、3G网卡连接外网,从而绕过检察院系统边界的防护。将计算机中的数据暴露后,来自互联网的黑客攻击、木马
6、病毒等会轻意取走检察院的机密数据。安全风险二:非法接入。检察院内部网接口提供了系统扩展的需要,如果外部移动计算机未经授权进入检察院通过网线连接,简单填上IP地址就可以访问检察院系统的内部资源,而这是不被允许的。安全风险三:身份认证。内部计算机的使用对用户不透明,管理者不知道是谁在什么时间、什么地方操作机密数据,数据泄密无法追查责任人;WINDOWS采用弱密码认证,存在人员越权访问其他人员计算机的风险。安全风险四:文件共享安全。检察院内部文件共享的使用,数据库的开放性,内部人员只要猜得用户名及密码就可以随意下载重要文件了。这无疑加大了数据流动泄密的风险。安全风险五:打印安全。通过本地或网络打印机
7、对重要文件的打印。安全风险六:移动介质使用。作为信息的载体,移动存储介质具有的灵活性、便捷性使它迅速得到普及,越来越多的敏感信息、秘密数据和档案资料被存贮在无保护的移动存储介质里。无疑给单位内部的涉密和敏感信息资源带来了相当大的安全隐患。安全风险七:安全域控制。XXX检察系统是由各个下级市县检察院小型局域网统一通过专线接入XXX检察院,从而形成巨大的局域网环境,各种终端设备互连互通。这就存在一点故障,影响全网的隐患。如ARP病毒可能导致全网不能正常工作。2.2 需求总结根据以上对XXX人民检察院计算机内网安全风险的分析,总结需求功能如下,同时由于计算机数量的不断增多,也给计算机内网资产的统计、
8、软件的安装带来了不便,利用计算机内网安全系统可以实现资产的自动统计,软件的自动分发。1)非法外联控制。实现检察系统专网用户未经授权无法通过任何方式(拨号、3G)访问互联网,杜绝互联网带来的风险;2)非法接入控制。实现禁止外部计算机在未经授权的情况下接入计算机内网,并对于接入行为进行记录,保证有据可查,防止内部重要数据通过移动计算机泄露;3)身份认证管理。保证进入计算机内网进行操作的人员可信,系统统一分配帐户,指定对计算机的操作权限,进入计算机内网的操作行为进行详细记录;4)共享文件管理。实现企业内部共享文件的安全访问,只允许数据在内部指定用户间进行流通,防止恶意修改、删除等;5)移动介质管理。
9、实现内部U盘、移动硬盘等存储设备进行注册认证,防止在外网使用,禁止外部U盘进入计算机内网,不影响非存储设备(USB键盘、鼠标等)的正常使用;6)将检察院计算机内网计算机按照不同职能进行通信隔离,防止数据的随意传输、病毒的扩散;7)软件应用管理。对计算机内网用户软件使用行为进行监控,防止用户随意在上班时间使用炒股软件、游戏软件等,通过黑白名单形式只允许工作需要的应用程序;8)资产管理。实现对检察院计算机内网计算机硬件资产进行自动上报,并实时监控变动行为,硬件资产的变更自动报警。对于终端计算机使用的软件信息进行监控,防止用户自行安装有风险的软件,以及将系统重要客户端进行卸载(如杀毒软件客户端);9
10、)软件分发。实现自动分发软件到目标终端主机,通过设置实现强制默认安装;10)日志管理。管理员可以在本地实时查看网络日志,即时处理存在的风险。2.3 实现目标保障计算机内网信息系统能够高效、可靠、安全地持续工作,保障计算机内网信息系统数据在产生、处理、存储、传输及销毁整个生命周期中的可用性、可控性、完整性和保密性:l 对计算机内网信息系统,非法主机“进不来”对不符合计算机内网安全规则的主机将被强行禁止其接入计算机内网,并且及时报警,实现非法主机“进不来”计算机内网系统。l 对秘密信息,非法用户“拿不走”防止对企业重要文件越权操作、非法访问文件和一切移动存储设备的非法文件拷贝实现非法用户“拿不走”
11、有效信息;l 非法用户作案后“跑不了”通过严密审计跟踪受控资源的使用情况,实现了非法用户只要作案,一定“跑不了”, 便于追查责任事故;l 移动存储设备“不怕丢”对所有移动存储设备的存储操作进行透明加、解密,数据以密文的方式存储,实现了移动存储设备如移动硬盘、U盘等“不怕丢”。三、科盾解决方案3.1 简述根据以上对XXX检察院计算机内网安全建设需求的总结,提出使用“科盾计算机内网安全平台” 解决检察院计算机内网存在的风险。并在保证正常的业务运营的同时,最大限度减少数据泄密、网络受攻击等带来的损失。科盾计算机内网安全平台对计算机内网主机进行隐蔽植入客户端,支持实时监控、上网报告、违规行为分析统计等
12、多种策略操作,监视网络用户对重要文件的操作、互联网的使用。它能在出现可能的安全问题之前发现并切断违规网络连接,并于第一时间通知管理员。 采用C/S(客户/服务器)结构,使用一台服务器作为监控端,其他主机安装受控端。大部分常用的网络拓扑结构均可安装本产品,支持多网段环境。客户端采用强制安装,阻止没有安装客户端主机进入网络。用户可以访问WEB服务器下载客户端并安装,安装成功后方可访问网络资源。3.2 解决方案通过部署科盾计算机内网安全平台,可信认证授权管理子系统、可信桌面安全管理子系统、可信移动介质管理子系统、可信分域管理子系统实现对XXX人民检察院计算机内网的安全防护。3.2.1 可信认证授权管
13、理子系统 用户(计算机)管理基于终端用户的管理。终端用户在进入Windows操作系统之前,都必须输入安全管理中心统一分配的平台用户名和密码到科盾服务器进行认证,如果认证成功,则允许进入操作系统,否则,则拒绝进入操作系统。同时,可以绑定USB-key实现身份认证。并支持与CA、指纹等认证系统联动。注:解决了风险三的问题。 非法接入控制主要目的是防止将外部主机接入到计算机内网中从而带来安全隐患。对于这种外部接入行为,本系统提供了两种控制措施:接入预警和禁止接入。(1)接入预警。对接入的非法主机进行预警,安全管理员可以根据预警信息找到外部接入的主机,并且采取相应的安全措施。(2)禁止接入。对接入的非
14、法主机采取隔离措施,使其网络设备不能正常工作,从而无法成功接入到内部网络中。注:解决了风险二的问题。 非法外联管理对于用户访问互联网权限进行有效控制,禁止计算机未经授权访问互联网。包括禁止目前存在访问互联网技术,如拨号、3G等形式。对于非法外联的主机进行日志记录,方便管理员追查原因。管理员可以灵活设置终端计算机对互联网的使用权限。注:解决了风险一的问题。图3-1 认证授权管理效果图3.2.2 可信桌面安全管理子系统 远程监控和桌面管理(1)屏幕监控。实时监视终端用户的计算机屏幕状态,并提供了远程控制开关选项,支持从科盾控制台对终端用户进行远程协助,远程解决系统问题。提供抓屏功能,为终端用户的操
15、作行为保留现场。(2)终端共享文件管理。能够实时查看终端用户文件共享情况,能够远程删除非法的共享文件夹,对文档共享情况进行控制。 外部设备管理通过终端用户外设管理功能,系统能够充分保护网络中终端主机的安全性,保证数据不被恶意的盗窃,防止外接设备随意连接到计算机,保证秘密信息不被窃取。(1)端口控制。提供对串口并口、1394、红外、蓝牙、PCMCIA、SCSI控制器、调制解调器等端口的控制。(2)存储设备。提供对USB存储设备(包括U盘、移动硬盘等存储设备,不包括USB鼠标等非存储设备)、光驱、软驱以及磁带机的控制。(3)打印设备。本系统控制的打印机设备包括本地打印机、网络打印机和虚拟打印机。控制策略包括禁止使用打印操作和允许使用打印操作。在允许打印操作的情况下,对打印文件进行缓存副本记录。注:解决了风险五的问题。(4)设备属
