《赞嘉NAS安全增强系统解决方案V1.2》由会员分享,可在线阅读,更多相关《赞嘉NAS安全增强系统解决方案V1.2(26页珍藏版)》请在金锄头文库上搜索。
1、赞嘉数据集中存储 安全解决方案赞嘉电子科技(北京)有限公司公司介绍 赞嘉公司一直致力于军工企业、军队和政府的集中存储和终端数据安全 采用协议层技术为基于NAS和SAN架构的集中存储提供线速的加密设备 国内首家采用先进的操作系统底层技术为涉密单机提供一体化的解决方案 根据现有内网存在的风险,率先提出内网安全加固解决方案 国家密码管理局指定的商用密码产品生产定点研发单位 产品通过保密局、国密局和公安部等相关权威部门的认证 已成功为中电科技、航天科工、航天科技、中航工业、中船重工等所属的多家科研院所提供涉密单机和内网的解决方案相关资质保密局产品检测证书公安部销售许可证商用密码产品定点单位软件著作权公
2、司 资质认证商用密码产品型号解放军测评中心成功案例 航天科工集团 中航工业集团 中电科技集团 核工业 中船重工 船舶工业 国家统计局 国家开发银行 华夏银行 中国平安集中存储应用现状随着企业数据的快速增长,利用集中存储设备可以 方便地实现企业数据的海量存储与共享;存储设备存有 企业海量的重要数据及文件,一旦存储系统遭受攻击将 造成非常严重的后果。企业 1、科研资料 2、财务数据金融 1、决策分析 2、储户信息 3、账目分析 4、交易资料政府 1、国家机密 2、内控指标 3、统计数据 4、共享数据军工 1、国家机密 2、型号信息 3、商业秘密医疗 1、病例信息 2、病人隐私集中存储(核心数据资产
3、)存储安全威胁备份管理员存储安全威胁存储管理员外协单位远程存储 管理人员磁带 运输人员管理决策国家机密商业秘密财务报告管理 部门财务 部门科研 部门系统管理员网络管理员存储存储修复/服务人员/ 陪同人员80% 的威胁来自防火墙后端 采用的NAS存储是国外设备,一旦留有后门,后果将不堪设想 军工企业、军队和政府部门,尚不完全具备三员访问控制机制,对NAS设备或不敢使用,或存在安全隐患,影响了信息化深入发展 各重要行业建立灾难备份和数据备份中心时,急需确保数据不被非法访问 存储设备损坏返厂维修和运输途中数据一旦丢失或被窃,将造成严重后果核心储存系统存在重大安全隐患,一旦遭受攻击将造成 巨大的损失和
4、影响NAS存储安全威胁NAS存储应用和部署现状 :无法满足“三员安全管理”的规定NAS存储安全现状 NAS存储系统安全完全由存储管理员进行管理 管理员仅一人,同时兼任系统管理员、安全管理员、审计管理员 客户端用户通过NAS存储设定的用户访问NAS存储中的数据1. 单一部署应用(不与AD域结合)NAS存储安全现状NAS存储应用和部署现状 :无法满足“三员安全管理”的规定NAS自身访问 控制不健全 可分配管理用户的数量有限,限制了NAS的实际应用 无法与现有身份认证机制相结合,安全性和管理性低 访问控制规则不够细粒度管理员 权限高度集中 NAS系统管理员可任意访问NAS存储所有机密数据 NAS系统
5、管理员可任意设置用户权限 NAS系统管理员可篡改审计日志,无安全的监督机制局 限 性 和 风 险 性1. 单一部署应用(不与AD域结合)NAS存储安全现状 NAS存储系统安全由存储和AD域管理员进行管理 AD域管理员对域用户进行访问控制规则的设定 客户端用户通过自身的域用户访问NAS存储中的数据2. 复合部署应用(与AD域结合)NAS存储应用和部署现状 :无法满足“三员安全管理”的规定NAS存储安全现状管理员 权限过大 NAS存储管理员可不受控的任意访问NAS存储数据 AD域管理员可随意更改用户访问控制列表用户权限 易被盗用 Windows存在的漏洞易导致AD域管理员权限被窃取, 导致NAS存
6、储被非法用户恶意访问风 险 和 安 全 隐 患无细粒度 访问控制 AD域中的访问控制规则仅限于对共享文件夹设置用户 或用户组;无法对用户访问NAS的IP地址、访问时间进行 限制审计管理 漏洞 NAS系统管理员兼任审计职责,可修改和删除审计日志 ,日志审计缺乏可靠性2. 复合部署应用(与AD域结合)NAS存储应用和部署现状 :无法满足“三员安全管理”的规定赞嘉NAS安全增强系统赞嘉NAS安全增强系统为NAS存储系统中的静态数据提供完善的数据保护 访问控制系统 日志审计 数据加解密 透明部署 密钥管理系统 数据安全删除 冗余部署赞嘉NAS安全增强系统部署架构NAS存储明文密文NAS安全增强系统赞嘉
7、NAS安全增强系统n 访问控制系统 解决存储管理员权限过大的安全隐患 实现NAS系统 “三员管理” 细粒度的访问控制(基于IP、用户、时间等规则) 有效避免系统及安全策略隐患 可与现有的访问控制系统透明集成 支持双因子的身份认证,使得认证安全可靠赞嘉NAS安全增强系统的强访问控制和身份认证系统为存储数据提供了强有力的安全保障,有效的保证了存储数据无法被非法用户访问赞嘉NAS安全增强系统“三员管理”安全管理 NAS存储管理员:负责NAS存储设备的日常维护,仅具有对NAS存储设备进行管理的权利 AD域管理员:负责为NAS存储中的用户,对其访问共享文件夹的访问规则进行设置和管理 安全增强系统管理员:
8、负责对用户的细粒度的访问控制进行设置NAS存储 管理员AD域 管理员安全增 强系统 管理员NAS 系统安全赞嘉NAS安全增强系统 通过NAS存储、AD域服务器和NAS安全增强系统三者的组合,使整个系统中的各个管理员的权限分离、责任明确、并相互限制。 任何一个管理员都无法随意访问NAS存储的机密数据,使系统的安全性得到最有效的控制。赞嘉NAS安全增强系统用户最终权限为原有NAS系统及增强系统管理员所赋予权限的交集XY仅允许访问 文件夹Y增强系统管理员用户An 安全增强系统管理员 系统管理员 - 批准安全增强系统其他管理员的操作行为 安全管理员 - 设置安全增强系统参数和安全策略 审计管理员 -
9、审查安全增强系统的审计日志 (审计管理员为两名) 备份管理员 - 备份/恢复加密机参数和密钥应用确认系统管理员安全增强系统 参数和安全策 略设置备份恢复安全管理员备份管理员备份管理员审计审计管理员1审计审计管理员2赞嘉NAS安全增强系统n 细粒度的访问控制 共享组设置 用户组设置 读写权限设置 IP地址设置 访问时间设置 用户同名目录绑定用户的访问控制规则设置可精确细化到用户的访问时间、访问时所使用的IP地址等,整个访问控制策略的更改对最终用户端完全透明,最终用户端无需任何改变。赞嘉NAS安全增强系统赞嘉NAS安全增强系统n 日志审计系统 安全增强系统管理员操作审计日志 管理员用户 操作时间
10、操作对象 操作行为 由审计管理员进行审计 用户对NAS访问操作审计日志 用户 操作时间 操作对象 操作行为 由安全管理员进行审计赞嘉NAS安全增强系统提供的管理员和用户审计日志,同时结合双 审计管理员的设置,确保NAS存储系统日志的详实、安全、可靠n 基于硬件的线速加解 基于底层对标准协议分析的数据加解密 不影响上层应用程序 无兼容性问题 延时可忽略不计 达到1-2Gbps的线速数据传输赞嘉NAS安全增强系统,对经过它的数据进行加密并存储于NAS设备中,保证存储数据为密文,有效防止磁盘丢失、被窃或维修造成数据泄漏;同时有效解决了异地容灾备份的安全问题赞嘉NAS安全增强系统n 透明部署 基于标准
11、NAS存储协议 支持Windows、Linux操作客户端或服务器 无需任何代理软件 支持国内外不同厂家、类型NAS存储设备 与现在NAS环境无缝透明集成 与单一部署应用环境无缝集成(不与AD域结合) 与复合部署应用环境无缝集成(与AD域集合)赞嘉NAS安全增强系统NAS安全增强系统部署 拓扑图(无AD域环境)部署拓扑图赞嘉NAS安全增强系统NAS安全增强系统部署 拓扑图(有AD域环境)n 密钥管理系统 全自动产生(根据随机噪声信号产生密钥) 安全存储,存储于硬件设备内 采用密钥拆分技术对密钥进行备份 采用密钥安全恢复机制,保证密钥的安全恢复和数据的高可用性赞嘉NAS安全增强系统基于安全的密钥周期管理系统,可有效 保证密钥的安全可靠,使得存储数据无法被非法访问赞嘉NAS安全增强系统n 数据安全删除 仅需删除密钥即可达到数据删除的目的 立即删除 删除彻底 删除后的数据无法被恢复赞嘉NAS安全增强系统提供的数据安全删除,解决了海量数据难以彻底删除的问题,在减少了时间及成本的同时,有效的防止数据被泄露的风险赞嘉NAS安全增强系统
