《网盾安全解决方案白皮书》由会员分享,可在线阅读,更多相关《网盾安全解决方案白皮书(16页珍藏版)》请在金锄头文库上搜索。
1、 上海格尔软件股份有限公司 上海市余姚路 288 号 A 楼 4 层 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http:/ 1网盾安全解决方案白皮书 上海格尔软件股份有限公司 上海格尔软件股份有限公司 上海市余姚路 288 号 A 楼 4 层 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http:/ 2声明:声明:Copyright 2005,2008 上海格尔软件股份有限公司 版权所有,保留一切权利。非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,
2、并不得以任何形式传播。上海格尔软件股份有限公司 上海市余姚路 288 号 A 楼 4 层 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http:/ 3目 录 1 个人电脑安全现状、需求及分析 .4 1.1 为何要保护数据? .4 1.2 如何保护数据?.5 1.3 网盾能做什么?.5 1.4 网盾的局限 .6 2 解决方案.6 2.1 电脑与关键数据保护 .6 2.2 邮件安全.7 2.2.1 传送层信件加密,SSL .7 2.2.2 网络层信件加密,VPN.9 2.2.3 邮件内容安全,端到端的安全邮件模式 .9 2.2.4 邮件内容
3、安全,邮件网关模式 .10 2.3 Lotus Notes的安全扩展 .11 2.3.1 文档保存时的自动加密签名流程.12 2.3.2 文档发送时的自动加密签名流程.13 2.3.3 文档打开时的自动验证签名并解密流程 .14 附录A:名词解释.15 附录B:统计数据参考 .16 笔记本电脑失窃统计数据 .16 1 个人电脑安全现状、需求及分析个人电脑安全现状、需求及分析 1.1 为何要保护数据?为何要保护数据? 信息通常被认为是企业最宝贵的资产(70% 或更多公司的价值在于其知识产权资产),这部分数据的损失或被窃可能造成严重后果,甚至会威胁企业在市场中的地位。根据 2002 CSI/FBI
4、 计算机犯罪与安全调查的调查结果,由于安全性被破坏而导致的最为严重的财务损失包括所有权信息的被窃(26个被访者报告的损失超过$170,000,000)。 对于企业来说,对企业品牌的损害可能会有多种形式,但每种形式都会降低企业在市场中的地位。例如,如果企业的客户数据(如信用卡信息)被窃并被公布到其他 Web 站点上,该企业可能会陷入难以使客户对其品牌恢复信任的困境。 有以下两个方面统计数据: (1)美国联邦调查局(FBI)和计算机安全机构(CSI)的调查结果显示,企业上海格尔软件股份有限公司 上海市余姚路 288 号 A 楼 4 层 Tel: (86-021) 62327010 Fax: (86
5、-021) 62327015 URL: http:/ 4上海格尔软件股份有限公司 上海市余姚路 288 号 A 楼 4 层 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http:/ 5和政府机构因重要信息被窃所造成的损失超过病毒感染和黑客攻击所造成的损失,80%以上的安全威胁来自内部。 (见上图) (2)中国国家信息安全测评认证中心的调查结果也表明, 信息安全问题主要来自泄密和内部人员犯罪,而非病毒和外来黑客引起。 由此看来解决重要数据安全的问题已经是势在必行。 1.2 如何保护数据?如何保护数据? 保护数据有两种办法:一种是把数据锁起
6、来,即不管是用技术的还是物理的方法,尽可能保证数据不外泄;另一种是给数据加一层安全防护,没有授权的人即使拿到数据也无法破解使用。 这两种方法各有利弊: 前者的强制性更好些, 但数据的使用效率会受到影响,且难以做到完全杜绝堵住外泄途径,适应于数据流通少、数据量小的情况;后者更加方便灵活,但要求使用者有更高的自觉性。 网盾采用的是后一种方式,注重于将高加密强度和使用的方便性综合起来,提高安全数据的使用效率。 1.3 网盾能做什么?网盾能做什么? 网盾是一个系列产品,涵盖了主要的桌面安全和数据通信领域,具体功能介绍请参见网盾白皮书,主要包括以下几个方面: ? 采用虚拟磁盘技术来加密和保存敏感数据;
7、? 通过邮件代理技术确保 Outlook Express 与 Microsoft Outlook 电子邮件的安全; ? 通过提供插件的手段确保 Lotus Notes 邮件与文档的安全,为办公自动化(OA)提供安全的平台; ? 采用随机数填充技术来确保删除文件后不在硬盘上残留数据; ? 支持通过硬件加密设备(如 IC 卡或 Usb Key) 登录局域网与保护计算机; ? 在 SSLv3 标准协议的基础上实现了网络数据的安全传输。 1.4 网盾的局限网盾的局限 网盾提供高安全性和尽可能多的方便性,但是要求使用者自觉使用。可以把网盾看作一个坚固的“盾” ,使用得当可以化解各种攻击于无形,但是如果使
8、用者不自觉使用,网盾无法有效发挥保护数据的作用。 2 解决方案解决方案 2.1 电脑与关键数据保护电脑与关键数据保护 目前电脑笔记本因携带方便,基本成为工作交流的必备助手。为使用方便,这些电脑中往往携带一些重要数据,此时如何保证电脑的安全?如何保护数据不被非法使用?如何保证电脑不慎遗失时,其中重要数据的安全性?目前电脑笔记本因携带方便,基本成为工作交流的必备助手。为使用方便,这些电脑中往往携带一些重要数据,此时如何保证电脑的安全?如何保护数据不被非法使用?如何保证电脑不慎遗失时,其中重要数据的安全性? 这就要用到网盾中的 PC 保护、文件保险箱、碎纸机功能。见下图: 网盾中的PC使用、 文件保
9、险箱和碎纸机是保护PC以及数据安全的 “三剑客” ,实现了由外到内多个层面的安全保护: ? PC 保护防止对电脑的非法使用,用户使用 IC 卡进入电脑,拔卡时电脑自动锁屏,并增强了原有口令登录的安全性。 上海格尔软件股份有限公司 上海市余姚路 288 号 A 楼 4 层 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http:/ 6上海格尔软件股份有限公司 上海市余姚路 288 号 A 楼 4 层 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http:/ 7? 文件保险箱可以对机密
10、数据提供高强度的安全保护,同时不影响用户的正常操作。即使电脑遗失,也不会泄密。 ? 碎纸机可以彻底删除文件内容, 避免他人用一些恢复工具得到机密信息。 2.2 邮件安全邮件安全 在局域网或广域网中,如何保障邮件传输和内容的安全?在局域网或广域网中,如何保障邮件传输和内容的安全? 不同的用户的网络情况不同,邮件的使用情况不同,对安全的要求不同。考虑到不同用户的各种情况, 网盾电子邮件安全系统提出了多种典型方案供用户选择。这些方案大体分为两类:数据传输层加密,包括 SSL Mail 和 VPN;邮件的内容安全,包括端到端和网关模式。在实际应用中,经常同时采用两类方式。 2.2.1 传送层信件加密,
11、传送层信件加密,SSL 2.2.1.1 原理原理 SMTP,即 Simle Mail Transfer Protocol,简单邮件传输协议,是发信的协议标准;POP,即 Post Office Protocol,邮箱协议,是收信的协议。SSL SMTP 和SSL POP 即在 SSL 所建立的安全传输通道上运行 SMTP 和 POP 协议,同时又对这两种协议作了一定的扩展,以更好地支持加密的认证和传输。这种模式要求客户端的 EMAIL 软件和服务器端的 EMAIL 服务器都支持,而且都必须安装 SSL 证书。 2.2.1.2 优势优势 ? 配置简单:以 Lotus Domino 和 Micro
12、soft Exchange Server 为代表的商用邮件服务器、以 Microsoft Outlook Express 和 Lotus Notes 为代表的商用邮件客户端都支持 SSL 连接协议。 上海格尔软件股份有限公司 上海市余姚路 288 号 A 楼 4 层 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http:/ 8? 信箱口令安全:目前,对邮件信箱的安全性控制基本依赖信箱的口令。建立 SSL 安全连接后,才会传送用户的信箱名字和口令,传送的数据都是加密传送的。 2.2.1.3 Web 邮件邮件 SSL 连接不仅适用于邮件服务器和客户端的连接,也适用于类似门户网站的Web 邮件系统。 Microsoft Internet Information Server、 Lotus Domino Web Server和Apatch是最常用的三种 Web 服务器,它们都支持 SSL 协议,即 https 安全 w
