内网安全解决方案PPT60张

《内网安全解决方案PPT60张》由会员分享，可在线阅读，更多相关《内网安全解决方案PPT60张（61页珍藏版）》请在金锄头文库上搜索。

1、整体一致的内网安全解决方案,明朝万达团队的孵化,专业的网络和数据安全产品研发、生产企业 2003年：涉足内网安全的研发，率先提出内网安全的理念 申请和获得多项国家发明专利，并积极申请和参与多项国家项目的研究 在广州,上海和重庆设立了办事处,并携手30多家的合作伙伴，为用户提供本地化的服务和支持 与中办北京电子科技学院、国家保密技术研究所和公安部三所等建立良好的合作关系 。,中办北京电子科技学院,内网安全市场的宏观应用环境,涉密内网计算机信息系统保密管理规定国家保密局（2006）； 互联网安全保护技术措施规定（公安部第82号令2006）； ISO 27001:2005, ISO/IEC 1779

2、9 ISO信息安全管理体系要求； 塞班斯法案（2005）美国 关于加强新技术产品使用保密管理的通知 国家保密局； 涉及国家秘密的信息系统分级保护管理办法 国家保密局； 涉及国家秘密的计算机信息系统安全保密方案设计指南； 信息技术 安全技术 信息技术安全性评估准则 第2部分: 安全功能要求； 涉及国家秘密的计算机信息系统保密技术要求； 计算机信息系统安全保护等级划分准则； 计算机信息系统保密管理暂行规定（国保发19981号）；,相关政策法规与国际标准,目录 内网安全技术概述 ChinasecTM内网安全体系 关键技术分析 产品特点 产品资质与应用案例,内网安全概念的提出,Internet,内网可

3、信区,外网非信任区,网络边界,！,？,内网安全隐患,2:8 规则,通过内网网络交换设备或者直连网线非法接入内网或者计算机终端,利用局域网中的某一台主机，通过网络攻击或欺骗的手段，非法取得其他主机甚至是某台网络服务器的重要数据,内部员工将只允许在局域网内部使用的数据通过磁盘复制、打印、非法拨号外联等手段泄漏到单位外部,内部人员窃取管理员用户名和密码，非法进入单位重要的业务和应用服务器获取内部重要数据,内网安全的两大误区,内网安全审计监控,内网安全数据加密,内网 安全,什么是真正的内网安全体系,身份认证,授权管理,数据加密,监控审计,完整的内网信息安全管理体系,内网安全核心,“你是谁？”,“你能做

4、什么？”,“你做了什么？”,目录 内网安全技术概述 ChinasecTM内网安全体系 关键技术分析 产品特点 产品资质与应用案例,ChinasecTM产品体系简介,可信网络认证系统（TIS）,可信网络保密系统（VCN）,可信网络监控系统（MGT）,可信数据管理系统（DMS）,ChinasecTM可信网络安全平台,ChinasecTM可信网络安全平台,服务器 （Server）,控制台 （MC）,客户端代理 （Agent）,平台架构,网关 （可选）,USB KEY （可选）,策略的存储中心； 系统运行和维护的中心； 存储用户信息、计算机信息、组织体系、策略信息及日志信息。,用户操作界面，实现对服务

5、器的远程管理； 整个平台控制中心，平台各个系统都可以集中体现在该控制台中； 基于Windows标准的MMC技术。,运行在受控计算机终端上； 采用安全通信技术接收服务器的统一管理并接收下发的策略； 通知相应功能模块执行指令。,ChinasecTM可信网络安全平台,平台模块化功能,监控审计,数据加密,身份认证,实时监控,MSN/QQ监控,补丁分发,完全模块化的设计，实现“按需定制”，满足不同组织的信息安全需求。,ChinasecTM可信网络安全平台,服务器的连接和通信端口加密，并且需要进行认证； 对于具有管理权限的控制连接，通过基于硬件USB令牌的严格密码协议进行通信 ； 服务器的运行必须使用 合

6、法的授权令牌。,良好的自保护措施：文件、进程及注册表的隐藏和保护，系统远程线程注入技术监控和阻止试图破坏客户端代理的行为发生； 双向认证机制，确保 双方身份的可信性 。,完全加密的机制，数据、 指令和策略的传输都是 加密的，有效防止了窃听和篡改等欺骗破坏行为的发生 。,使用授权的硬件USB 令牌与服务器进行相互 认证和通信，才能取得管理权限 分权制衡原则：管理员和审计员,服务器安全,客户端安全,通信安全,管理安全,平台安全性实现,ChinasecTM可信网络安全平台,网关（硬网关,ChinasecTM可信网络监控系统,监控系统（MGT)功能,IP与端口控制,外设控制,邮件控制,互联网访问控制,

7、文件传输协议监控(FTP),FTP用户绑定,客户端实时监控,应用程序控制,IP地址绑定,WINDOWS 标准安装程序控制,打印监控,资产审计,文件分发,邮件智能加密,非法接入阻断,刻录光驱控制,违规记录,ChinasecTM可信网络监控系统,监控系统（MGT)特点,实现对每台计算机的网络状况进行实时监控。,可以实现计算机的远程监控，对所有内网计算机进行有效地集中管理；,支持灵活的策略模型；,对用户的操作行为进行有效管理 ；,实现对计算机外设使用的“细粒度”管理控制；,ChinasecTM可信网络监控系统,监控系统（MGT)特点,与Chinasec可信网络认证系统联合使用，实现更加强大和灵活的功

8、能，可以根据用户和计算机的不同组合实施不同的授权和策略 。,提供邮件智能加密功能，确保同一个安全域内的用户可以自由收发邮件 ；,提供IP绑定和非法IP阻断等网管功能；,提供资产管理和资产审计功能，提供各种丰富的资产管理报表；,提供完整的审计信息 ；,ChinasecTM可信网络保密系统,网络保密系统（VCN)功能,内网保密网络“分级分域”管理，实现不同等级终端逻辑隔离,数据传输和存储加密,移动存储设备管理,网络数据控制,本地存储控制,01100011010, ,ChinasecTM可信网络保密系统,保密系统（VCN)特点,有效防止了非法外连和非法接入；,部署、使用简单方便,无须改变原有网络拓扑

9、结构，透明加解密，不会影响用户的使用习惯 ；,数据加密传输，网络更加安全可靠 ；,在内网中按照安全等级、信任关系等标准可设多个VCN，实现分级分域管理；,强制加密除本地系统盘外的所有本地磁盘保存的文件；,实现严格有效的移动存储设备管理；,通过安全网关建立一个安全的服务器区，可以对组织的所有重要信息服务资源进行有效保护,可使用转发网关构建开放服务器区，用来放置单位公开的服务器，接受内网计算机和外网计算机的访问，同时有效隔离内网和外网。,ChinasecTM可信数据管理系统,数据管理系统（DMS)功能,创新的模式切换理念，在单一终端上虚拟出多种工作环境；,统一用户管理功能；,可信数据区,文件权限管

10、理,离线工作管理,模式切换功能,ChinasecTM可信数据管理系统,数据管理系统（DMS)特点,独有模式切换技术， 实现数字知识产权保护与 互联网访问兼得效果,Internet,模式切换,ChinasecTM可信桌面认证系统,桌面认证系统功能,计算机登录认证,计算机离机锁定,安全保密磁盘,USB令牌管理,使用令牌建立； 数据完全加密，只有使用本人的令牌才能打开自己建立的安全磁盘； 打开方式可以设为自动或者手动，也可以指定盘符； 当多人使用同一台计算机的时候，每个人都可以建立自己的安全磁盘； 虚拟的安全磁盘是一个文件，可以拷贝复制，在其它计算机系统使用合法令牌可以读取。,ChinasecTM可

11、信网络系统部署示意图,Internet,分支机构,移动商务人员,安全/转发网关,服务器群,Server,MC,Agent,VPN网关,非法接入终端,Agent,Agent,总 部,目录 内网安全技术概述 ChinasecTM内网安全体系 关键技术分析 产品特点 产品资质与应用案例,ChinasecTM关键技术分析,身份认证技术,存储加密技术,高性能安全 服务器技术,资源控制技术,网络加密技术,ChinasecTM 核心技术,ChinasecTM关键技术分析,724小时的持续服务能力 较强的抗攻击和抗病毒能力 高效的负载能力,综合应用多线程、队列、主动轮询,高效并发处理技术,基于公开密钥算法的安

12、全认证技术，基于硬件授权令牌启动服务器,安全认证技术,服务器和客户端、服务器和管理控制台之间的传输信道都采用了加密技术,传输加密技术,CPU使用率、内存使用率和第三方程序依赖程度,资源最小化稳定运行技术,高性能安全服务器技术,Chinasec关键技术分析,身份认证技术,认证技术的扩展性能：安全保密磁盘 与离机锁定,基于密码硬件芯片的用户标识,基于PKI体制的数字证书认证技术,独立于Windows域的集中认证系统,基于认证的资源授权控制,Chinasec关键技术分析,TIS系统认证流程,插入USB令牌,输入PIN码,读取TIS用户信息,登录TIS服务器认证,拒绝登录,取域用户名/密码,登录域服务

13、器认证,进入操作系统,Chinasec关键技术分析,存储加密技术存储加密体系综述,加密体系：网络加密体系和存储加密体系,主动加密和强制加密,透明加密技术和非透明加密技术,Chinasec关键技术分析,存储加密技术主动加密,安全保密磁盘,存储的数据和文件都经加密处理；,只有创建该安全保密磁盘的用户（令牌）才能打开该安全磁盘；,使用方式与普通磁盘分区完全相同；,用户令牌拔出计算机后，安全保密磁盘自动关闭；,多个用户可以在同一台计算机上各自创建自己的安全保密磁盘；,可以随时转移到其他计算机；,可以设定为插入令牌后自动打开或者手动打开；,可以指定特定的盘符从而适用于安装应用程序；,支持自有算法、DES

14、、3DES、AES或者其他国产算法。,Chinasec关键技术分析,存储加密技术主动加密,客户端保密文件子系统,可以对文件或者文件夹进行加密，文件加密基于公开密钥算法，采用随机密钥，具有很高的安全性；,可以选定接收文件的用户或者用户组，只有指定的用户才能打开和阅读被加密的文件，用户采用统一的身份认证管理，使用硬件USB令牌进行标识，安全强度高；,加密文件可以通过网络或者存储设备等进行交换传输，而不用担心传输过程中的安全性；,安全文件子系统可以与VCN移动存储设备管理模块相协调，对特殊用户具有穿透功能，在不改变VCN存储管理规则的情况下，能够满足远程文件安全传输的需要。,Chinasec关键技术

15、分析,存储加密技术强制加密,基于域密钥进行管理，加密数据只能在指定的范围内（计算机群）使用； 数据加密和解密是透明的，对于用户来说不会改变其操作系统； 加密策略基于管理员集中管理，属于强制加密，适用于单位强制的数据安全保密管理； 可以通过信任域设置和存储设备信任域注册实现不同VCN之间的计算机数据共享。,Chinasec关键技术分析,存储加密技术强制加密,采用透明的强制加密技术，不改变用户使用习惯； 数据仅在工作模式下才能使用，退出工作模式后该区自动关闭，严格防止文件数据被未授权复制或者传输； 该加密受控区除了可以跟DMS系统安全文件服务器进行数据交换外，不存在其他任何数据交换渠道。,Chin

16、asec关键技术分析,存储加密技术强制加密,采用高速透明加密技术，对本地数据分区进行加密保护； 本地磁盘的数据只能在VCN系统启动的情况下才能正常使用，防止了因为硬盘丢失、多操作系统和光盘启动等造成的数据泄密事件的发生。,Chinasec关键技术分析,存储加密技术加密体系协调,应用程序和数据文件等,客户端保密文件子系统,安全保密磁盘,VCN移动存储设备,VCN本地磁盘加密 DMS受控加密区,穿透通道,Chinasec关键技术分析,多层次的网络加密技术； 灵活的加密算法接口和密钥管理体制，支持多种不同强度的算法。,网络加密技术,在IP层实现； 根据策略进行灵活的密钥和算法管理； 采用集中的密钥管理