西科分布式网络信息安全系统(技术白皮书)

《西科分布式网络信息安全系统(技术白皮书)》由会员分享，可在线阅读，更多相关《西科分布式网络信息安全系统(技术白皮书)（23页珍藏版）》请在金锄头文库上搜索。

1、西科分布式网络信息安全系统 技术白皮书陕西西科电子信息科技有限公司 二零零九年九月目录1 开发背景 . 21.1 内网信息安全分析 2 1.2内网信息失泄密途径及防护措施 32 西安分布式网络信息安全系统 . 42.1产品设计目标 4 2.2产品设计原则 5 2.3 产品组成 . 5端口控制系统（Safe网络控制系统（Safe资源管控系统（Safe内网信息审计(Audit . 103 产品功能 . 113.1 信息的防泄漏 11 3.2外部设备接口管理 11 3.3 网络控制 . 11 3.4内网管控与审计系统 124 产品特点 . 八、 124.1 集中管理、分布防护 12 4.2内部系统信

2、息防护体系 12 4.3内部安全策略管理机制 12 4.4系统自身安全保障体系 125 体系结构 . 126 工作原理 . 137 运行环境 . 148 良好的兼容性与稳定性 . 149 相关核心技术简介 . 149.1 网络控制技术 14 9.2隐藏与反跟踪技术 14 9.3端口控制与保护技术 14 9.4W INDOWS 内核嵌入技术 141 开发背景1.1 内网信息安全分析随着信息技术的高速发展,计算机信息系统在中国众多重要部门和领域得到广 泛的应 用,它对于中国政治、经济、军事、文化等社会各层面都产生了深远的积极 影响。但是与 此同时,中国计算机信息安全存在的问题也十分突出,计算机泄密

3、、窃 密事件不断发生, 给国家、军队、企业造成巨大的损失。根据美国联邦安全局的资料显示, 80%以上的信息安全问题来自内部用户窃密 或泄密, 在计算机安全事件中信息泄露造成的经济损失连续 5 年排在第一位。随着 信息化建设的进 一步深化,内部网络数据安全成为计算机信息安全更为关键的领 域。它关注的对象不仅仅 包括外部网络的所有用户,也包括了更可能引起信息安全 威胁的内部网络用户。我国相关部门统计,结果显示与美国信息安全情况类似。惊人的结论:分类主要的次要的安全事件信息泄漏事件黑客攻击事件发起者企业内部的员工外部的黑客损失灾难性的、不可挽回的有限的、可以快速弥补的关注程度大多数尚未引起足够重视得

4、到了过多的关注防范手段没有完善的系统有多个成熟的、综合的安全系统1.2 内网信息失泄密途径及防护措施 其泄漏方式及途径主要有以下几个方面:1、受到黑客、病毒攻击,信息被篡改、窃取等;2、计算机硬盘、笔记本电脑被盗;3、外出携带笔记本电脑、 U 盘等存储介质丢失;4、内部人员有意无意在网上传输重要信息;5、内部人员非法拷贝窃取重要信息等。 主要的信息安全威胁: 内部安全问题解决 外网安全系统主要防止黑客攻击,以及由此造成的系统破坏、信息被盗,其核心是要 防止黑客入侵。内网信息安全系统除了要防止内部黑客攻击外,更主要的是对 内部数据进行安全保护。其各自保护的技术措施如下图 1-1所示。安全威胁 人

5、为因素 自然灾害 恶意攻击 非恶意攻击 外部攻击者内部攻击者 例如:黑客、罪犯、竞争对手例如:对单位不满 的人员例如:无知的疏忽 例如:洪灾、大火、地震 龙卷风入侵检测(IDS)入侵检测(IDS)入侵检测入侵检测(IDS)漏洞J3描(Scanner)入侵检测(IDS)入侵檢i入侵检测(ft入侵检测(IDS)入侵检测(IDS)图 1-1 2 西科分布式网络信息安全系统2.1 产品设计目标 信息安全专家将内网计算机信息安全归纳为以下七个问题: 如何防止非法人员进入服务器及用户终端窃取信息? 如何防止内部人员有意或无意拷走信息?如何控制内部人员利用互联网发送信息?如何保证内部信息传输的安全?如何在网

6、内建立可靠、可行的计算机信息安全策略?如何实时掌握信息流向及整个网络配置参数变化?针对以上问题,我们开发出该计算机网络信息安全安全防护与审计系统。西科分布式网络信息安全系统,综合利用 Windows 内核技术、访问控制技术、 和审计跟踪等技术手段, 对信息的存储、 传播和处理过程实施安全保护 ,以防止敏 感信息泄漏、 违 规外传,并完整记录信息的流向 , 以便事后审计和追究泄密责任。本系统解决了目前用户最关心的上述主要的信息安全问题,适用于军队、研究 所、政 府机关、企事业单位。与传统信息安全产品相比,本系统以“事前预防”为 主,“事后追 查”为辅。由端口控制、网络控制、资源管控与信息审计等四

7、个子系统 组成。2.2 产品设计原则西科分布式网络信息安全系统是在详细分析了用户实际需求的基础上,经过完 善的系统规划和设计，综合系统的功能、结构、性能和安全因素，采用PKI技术、 Windows内核技术、BIOS调用技术、截获技术、网络控制技术等多种手段研发 而成，达到有效 、 方便的 防护网络信息的目的。2.3 产品组成信息的泄漏是数据安全管理的最重要方面，西科分布式网络信息安全系统在信 息存储 设备管理、 信息传输途径管理和信息使用管理三个层面上提供了防止信息 泄漏的技术手段。 这些技术手段支持集中配置和管理，并支持基于安全策略的管理 和执行。西科分布式网络信息安全系统由四个子系统组成，

8、通过对四个子系统的针对性 合理配置，构建用户单位完整的内部网络信息安全体系。系统组成图如图 2-1:图 2-1端口控制系统（Safe Port计算机端口是信息交换的最常用途径,即使网络非常流畅的环境,人们也习惯通 过各 种端口实现计算机与外部的信息交换。随着技术的发展,各种传输方式的端口 愈来愈多, 端口的传输能力愈来愈强,端口存储设备存容量愈来愈大。这些在方便信 息交换的同时, 也带来了通过端口进行窃密泄密的巨大安全隐患。例如:通过高速大 容量的 USB 活动硬 盘,可以在较短的时间内将一个局域网存储的重要信息数据全部 拷贝走。Safe Port 是一种强制的、透明的端口控制系统。当该系统被

9、安装后,计算机全 部端口 （如 USB 、软驱、光驱、串口、并口、红外传输端口、 IEEE1 394等端口和 打印机、 Modem 、 网卡等将被有效控制,并彻底控制计算机的连接能力;根据用户 保密需求,这些端口可 以控制为四种工作模式,即正常使用、禁止使用、保护输出、 只读。对外来磁盘如软盘、U盘、活动硬盘提供强制性地全透明拷贝数据保护功 能。 SafePort 端口控制系统控制计算机上的全部端口 ,无论是拷文件,还是打印数据,不管在什么情况下,都处于可控状 态。 系统功能:1端口控制:可以控制（关闭和启用计算机的一切向外连接设备，包括U盘、软 驱、 光驱、串口、并口、红外传输端口、 IEE

10、E 1 394等端口和打印机、 Modem、 网卡等设 备，彻底控制计算机的连接能力。2 拷贝数据保护 : 在打开端口的情况下 , 对计算机的一切拷出文件进行转换 , 包括 安装本系统之后接新的新硬盘（防止通过挂接新硬盘窃获信息。只有符合与被保 护 文件逻辑相同的计算机才能看到该文件,而对非保护数据按正常方式导入。 解决 了 不切实际的禁止使用端口而带来工作不便,允许使用又难于控制的矛盾。3 服务器统一配置与控制 : 上述全部功能可以在服务器端配置完成 , 然后统一下 发 到客户端。4 实时监控与审计 : 系统日志记录端口配置、修改信息 ; 记录从端口输出文件信 息; 记录安装和卸载信息。5

11、易用性和透明性 : 本系统充分考虑用户的使用 , 功能是透明的 , 用户根本感觉不 到它们的存在,并且不可修改、删除。6 其他 :删除共享:通过配置,可以强制禁止用户共享文件和目录。设备识别:可以自动识别设备,并且只对存储设备进行控制,而非存储设备则可以 正 常使用 , 给端口管理带来了方便。本系统对计算机端口的控制充分考虑到端口操作给计算机用户带来的巨大方便, 提供 了对端口操作适合于用户需要的多种配置:保护使用、正常使用、只读、完全 关闭。在防 止内部人员有意或无意将文件拷出造成信息泄露的同时,又不影响通过 端口合法进行信息 交流的便利,这是目前其它类似产品所不具备的。本系统另外一个设计考

12、虑是易用性和透明性:充分考虑用户的使用,功能透明,用 户 根本感觉不到它们的存在 ,同时安装和维护通过服务器完成 , 实现了集中管理,分 布生效 , 使用方便。典型应用1 单位整体使用 , 保证内部之间正常使用 U 盘 , 但 U 盘的文件拿出该单位无法 使用, 因为文件被保护;2 在公共场合的计算机上使用 , 防止文件被拷走 ;3 在重要的台式机和服务器上使用 , 防止信息数据被盗。使用方法:本系统使用非常简单,客户端没有任何显示,一切在服务器端进行:结构和原理:通过在 Windows 系统内核中加入过滤层,在文件拷出时自动转换成保护状态,在 拷入 时自动解除保护状态。它的工作原理如下:网络

13、控制系统（Safe Net网络控制系统(Safe Net是一个分布式的网络控制系统。分布式网络控制对整个网络、子网以及所有内部各节点均进行完整的安全防护, 不仅 防止来自外部的网络安全威胁,更多的防止内部网络网络攻击、间谍软件偷取 机密信息以 及病毒传播。其体系结构包含如下部分:分布式网络控制:它是用于内部网与外部网之间,以及内部网各子网之间的防 护。 与传统边界防火墙相比,它多了一种用于对内部子网之间的安全防护层,这样整 个网络的安全防护体系就显得更加全面,更加可靠。主机的防护:用于对网络中的服务器和桌面机进行防护。这是传统边界式防火 墙 所不具备的。它作用在服务器以及每一个客户端,可以对其

14、访问和服务进行非常细致而完整地配置,以确保每个节点(包括服务器的安全。安全策略管理:分布式网络控制系统服务管理器负责总体安全策略的策划、管 理、 分发及日志的汇总。这样整个网络防护系统就可进行智能管理,提高了整体安 全 防护灵活性 , 具备可管理性。特点(1主机驻留 :驻留在被保护的主机上,该主机以外的网络不管是处在网络内部还 是网络外部都认为是不可信任的,因此可以针对该主机上运行的具体应用和对外提 供的服务设定针对性很强的安全策略 , 把安全策略推广延伸到每个网络末端。(2嵌入操作系统内核 :为自身的安全和彻底堵住操作系统的漏洞,主机防火墙的 安全监测核心引擎以嵌入操作系统内核的形态运行,把所有数据包进行检查后再提 交操作系统。(3 安全策略强制配置,集中管理,分布下发,独立有效:安全策略由整个系统的管 理员在服务器端统一安排和设置,除了对该桌面机起到保护作用外,也可以对该桌面 机的 对外访问加以控制,并且这种安全机制是桌面机的使用者不可见和不可改动 的。整个系统 的安全检查机制分散布置在整个分布式网络控制体系中。服务器下 发到客户端的安全策略 无论与服务器是否连接,一直保持