《内网信息防泄漏一体解决方案》由会员分享,可在线阅读,更多相关《内网信息防泄漏一体解决方案(64页珍藏版)》请在金锄头文库上搜索。
1、中软终端“一体化”安全解决方案2024/7/252024/7/25内网安全管理终结者构筑互信网络、打造安全世界 中国软件与技术服务股份有限公司通用产品研发中心信息安全实验室一、公司概况及需求分析一、公司概况及需求分析二、解决方案二、解决方案三、产品概述三、产品概述四、系统功能四、系统功能五、统计分析五、统计分析六、应急响应六、应急响应七、知识库七、知识库八、系统部署八、系统部署提纲一、公司概况及需求分析公司概况公司概况中国软件与技术服务股份有限公司(简称:中国软件、中软)中国软件与技术服务股份有限公司(简称:中国软件、中软)是中国电子信息产业集团公司(简称:中国电子,CEC)控股的国家重要软件
2、骨干企业,是国内极具综合竞争优势的高科技软件上市企业。其前身是成立于1990年的中国计算机软件与技术服务总公司。注册资金注册资金2.26亿,总资产亿,总资产28亿元,员工近亿元,员工近10000人人总部设在北京,在国内其他主要省市设有分支机构,并在美国、日本、香港设有分公司。主营业务:软件与信息产品开发、应用软件开发与服务、软件与服务外包;产品范围:包括系统软件、平台软件、安全软件、政府信息化软件和企业信息化软件五大系列。上海上海A股上市公司,股票代码:股上市公司,股票代码:600536(亿元)亿元)406812182003200420052006中国软件资产规模增长图中国软件资产规模增长图(
3、年)(年)(亿元)亿元)061218242003200420052006中软系统资产规模增长图中软系统资产规模增长图(年)(年)(亿元)亿元)10357152003200420052006中国软件经营业绩增长图中国软件经营业绩增长图(年)(年)91113(亿元)亿元)204812182003200420052006中软系统经营业绩增长图中软系统经营业绩增长图(年)(年)v 原国家计委批准三大软件基地中的北方软件基地v 国家火炬计划北京软件产业基地中的中软软件园v 国家863成果产业化基地,国家规划布局内重点软件企业v 首批通过了全国“软件企业”认证v 通过了科技部和中科院组织的“双高认证”v
4、首批通过了国家计算机信息系统集成一级资质认证v 通过了涉及国家秘密的计算机信息系统集成资质认证v 通过了ISO9001质量体系认证及CMM5认证v 排名“2006中国软件产业最大规模前100家企业”第16位品牌优势安全产品科研力量雄厚安全产品科研力量雄厚产学研相结合产学研相结合产学研相结合产学研相结合的安全组织模式:的安全组织模式:的安全组织模式:的安全组织模式:vv信息安全事业部信息安全事业部信息安全事业部信息安全事业部 安全产品产业化安全产品产业化安全产品产业化安全产品产业化 市场推广市场推广市场推广市场推广 安全系统集成安全系统集成安全系统集成安全系统集成vv信息安全博士后科研工作站信息
5、安全博士后科研工作站信息安全博士后科研工作站信息安全博士后科研工作站 教学教学教学教学/ /科研科研科研科研/ /基础研究基础研究基础研究基础研究vv信息安全实验室信息安全实验室信息安全实验室信息安全实验室 安全产品研究开发安全产品研究开发安全产品研究开发安全产品研究开发 安全产品安全产品安全产品安全产品测试测试测试测试vv战略合作伙伴战略合作伙伴战略合作伙伴战略合作伙伴 微软微软微软微软- - 开放开放开放开放win2000win2000 以上所有源代码以上所有源代码以上所有源代码以上所有源代码中软昌平软件中软昌平软件中软昌平软件中软昌平软件研发基地研发基地研发基地研发基地研发资质研发资质通
6、过首批软件开发、系统集成和培训服务的通过首批软件开发、系统集成和培训服务的通过首批软件开发、系统集成和培训服务的通过首批软件开发、系统集成和培训服务的ISO9001ISO9001ISO9001ISO9001质量体系认证质量体系认证质量体系认证质量体系认证通过美国贝尔试验室关于软件开发成熟度通过美国贝尔试验室关于软件开发成熟度通过美国贝尔试验室关于软件开发成熟度通过美国贝尔试验室关于软件开发成熟度 CMMI5 CMMI5 CMMI5 CMMI5 级评估级评估级评估级评估产品资质产品资质中软安全实验室:中软安全实验室:国内国内最早最早内网安全理念的提出者内网安全理念的提出者国内国内最早最早内网安全
7、产品推出者内网安全产品推出者国内国内最早最早的信息安全博士后科研工作站的信息安全博士后科研工作站一、需求概述 美国美国 结论:在全部的安全事件中,信息外泄这样的内部安全威胁占结论:在全部的安全事件中,信息外泄这样的内部安全威胁占结论:在全部的安全事件中,信息外泄这样的内部安全威胁占结论:在全部的安全事件中,信息外泄这样的内部安全威胁占85%85%信息来源信息来源信息来源信息来源 : : CSI/FBI CSI/FBI 2002002002005 5 5 5 Computer Crime & Security SurveyComputer Crime & Security Survey计算机安全
8、损失计算机安全损失85%020%40%60%80%100%黑客攻击黑客攻击 内部安全威胁内部安全威胁42% 未授权服务未授权服务16%内部未授权存取内部未授权存取14%12% 专利信息窃取专利信息窃取5%内部人员财务欺骗内部人员财务欺骗 2006年计算机安全事件年计算机安全事件2006年美国年美国CSI/FBI调查情况调查情况根据美国根据美国根据美国根据美国CSI/FBI Computer Crime and Security SurveyCSI/FBI Computer Crime and Security Survey,在计算,在计算,在计算,在计算机安全事件中信息泄露造成的经济损失连续机
9、安全事件中信息泄露造成的经济损失连续机安全事件中信息泄露造成的经济损失连续机安全事件中信息泄露造成的经济损失连续5 5年排在第一位年排在第一位年排在第一位年排在第一位, ,同时同时同时同时中国的中国的中国的中国的CNCERTCNCERT也作了相关调查,结论基本一致。也作了相关调查,结论基本一致。也作了相关调查,结论基本一致。也作了相关调查,结论基本一致。q 2004 ( ( ( (china softchina softchina softchina soft) ) ) )安全事件安全事件安全事件安全事件损失程度损失程度损失程度损失程度1,0001,000500500外部安全事件外部安全事件内
10、部安全事件内部安全事件400300防范手防范手防范手防范手1,500关注程度关注程度关注程度关注程度防范手段防范手段防范手段防范手段调查表明调查表明内部内部内部内部信息信息信息信息泄漏泄漏泄漏泄漏灾难灾难灾难灾难性不性不性不性不可挽可挽可挽可挽回回回回不完善不完善不完善不完善成熟成熟成熟成熟综合综合综合综合的安的安的安的安全系全系全系全系统统统统有限有限有限有限可挽回可挽回可挽回可挽回较低较低较低较低较高较高较高较高黑客黑客黑客黑客攻击攻击攻击攻击目前多数企业的解决方案目前多数企业的解决方案?有没有更好更科学有没有更好更科学有没有更好更科学有没有更好更科学的方法呢的方法呢的方法呢的方法呢vv被
11、动的安全方案被动的安全方案被动的安全方案被动的安全方案vv禁止存有重要数据的电脑上网禁止存有重要数据的电脑上网禁止存有重要数据的电脑上网禁止存有重要数据的电脑上网vv禁止使用移动存储设备(如禁止使用移动存储设备(如禁止使用移动存储设备(如禁止使用移动存储设备(如U U盘)盘)盘)盘)vv拆除光驱、软驱拆除光驱、软驱拆除光驱、软驱拆除光驱、软驱vv贴封条,定期检查贴封条,定期检查贴封条,定期检查贴封条,定期检查vvvv人为控制,监督管理的安全管理方式人为控制,监督管理的安全管理方式人为控制,监督管理的安全管理方式人为控制,监督管理的安全管理方式vv人工填写日志人工填写日志人工填写日志人工填写日志
12、vv相对松散的管理机制相对松散的管理机制相对松散的管理机制相对松散的管理机制vvvv风险和问题风险和问题风险和问题风险和问题vv存在安全隐患存在安全隐患存在安全隐患存在安全隐患- -依靠员工的责任心,无法自觉杜绝失泄密,依靠员工的责任心,无法自觉杜绝失泄密,依靠员工的责任心,无法自觉杜绝失泄密,依靠员工的责任心,无法自觉杜绝失泄密,vv工作效率下降工作效率下降工作效率下降工作效率下降- -本方案带来使用上的不便,本方案带来使用上的不便,本方案带来使用上的不便,本方案带来使用上的不便,vv企业面临的问题p如何保证关键数据不被木马、摆渡病毒窃取。如何保证关键数据不被木马、摆渡病毒窃取。p如何发现终
13、端设备的系统漏洞并自动分发补丁。如何发现终端设备的系统漏洞并自动分发补丁。p如何防范移动电脑和存储设备随意接入内网。如何防范移动电脑和存储设备随意接入内网。p如何防范内网设备非法外联。如何防范内网设备非法外联。p如何管理终端资产,保障网络设备正常运行。如何管理终端资产,保障网络设备正常运行。p如何在全网制订统一的安全策略。如何在全网制订统一的安全策略。p如何及时发现网络中占用带宽最大的终端。如何及时发现网络中占用带宽最大的终端。p如何排查异常终端的运行。如何排查异常终端的运行。p如何防范内部涉密重要信息的泄露。如何防范内部涉密重要信息的泄露。p如何构架功能强大的统一网络安全报警处置平台,进行安
14、全事件响如何构架功能强大的统一网络安全报警处置平台,进行安全事件响应和事件查询,全面管理网络资源。应和事件查询,全面管理网络资源。业务目标 内网终端安全一体化、平台化的需求越来越强烈,迫切需要内网终端安全一体化、平台化的需求越来越强烈,迫切需要“一体化一体化”( “大、一、统大、一、统” )的安全解决方案,该产品的主要目标:)的安全解决方案,该产品的主要目标: 一、整合各种内网终端技术;一、整合各种内网终端技术; 二、清理桌面各种冗余的安全组件;二、清理桌面各种冗余的安全组件; 三、统一内网终端安全管理;三、统一内网终端安全管理; 四、提供安全、高效、可信的终端运行平台。四、提供安全、高效、可
15、信的终端运行平台。 Firewall : 阻止外部攻击的安全系统阻止外部攻击的安全系统 (象一扇门象一扇门) IDS : 阻止外部智能攻击阻止外部智能攻击 ( 象一台安全摄象机象一台安全摄象机 )病毒防护病毒防护: 计算机病毒疫苗计算机病毒疫苗 WaterBox : 站在用户身边的保密员站在用户身边的保密员InternetRouterIDS (入侵检测系统入侵检测系统)Printing PaperCD-R/RW E-Mail/ Web-Mail/ Web-HDDHDD theftFD / ZIP / MOJAZZ/USB/1394Serial /ParallelFlash Device/ P2
16、P/ FTP安全解决方案安全解决方案 内部信息安全漏洞内部信息安全漏洞防止内部信息防止内部信息泄漏泄漏病毒防护病毒防护FirewallFirewall (防火墙防火墙)WaterboxWaterbox (防水墙防水墙)二、解决方案 一体化平台通过一体化平台通过“安全管理中心安全管理中心”、“应急响应中心应急响应中心”、“统计分析中心统计分析中心”推动推动“防护、检测、响应防护、检测、响应”螺旋上升,达到持续改进的目的。螺旋上升,达到持续改进的目的。安全防护模型-PDR行业行业标准标准国家国家法律法律企业企业规划规划技术技术方向方向支撑体系支撑体系 根据国家关于涉密系统安全管理根据国家关于涉密系
17、统安全管理的相关标准,综合平衡考虑系统的相关标准,综合平衡考虑系统安全要求、系统所面临安全风险安全要求、系统所面临安全风险和实施安全保护措施的成本,进和实施安全保护措施的成本,进行安全保护行安全保护法规依据-保密规范网网络络管管理理介介质质管管理理笔笔记记本本管管理理密密级级管管理理加强加强加强加强领导领导领导领导三、产品介绍终端安全管理系统有三部分组成终端安全管理系统有三部分组成终端安全管理里系统客户端终端安全管理里系统客户端终端安全管理里系统客户端终端安全管理里系统客户端UNITIFIED DESKTOP MANAGMENTUNITIFIED DESKTOP MANAGMENTUNITIF
18、IED DESKTOP MANAGMENTUNITIFIED DESKTOP MANAGMENTvv 安装在个人桌面系统的代理安装在个人桌面系统的代理安装在个人桌面系统的代理安装在个人桌面系统的代理vv 实现客户端安全策略合规性管理实现客户端安全策略合规性管理实现客户端安全策略合规性管理实现客户端安全策略合规性管理vv 站在用户身边的安全管理员站在用户身边的安全管理员站在用户身边的安全管理员站在用户身边的安全管理员vv 管理员的系统管理工具管理员的系统管理工具管理员的系统管理工具管理员的系统管理工具vv通过安全认证建立与防水墙服务器的连接通过安全认证建立与防水墙服务器的连接通过安全认证建立与防
19、水墙服务器的连接通过安全认证建立与防水墙服务器的连接vv实现策略的制定下发以及数据的审计管理实现策略的制定下发以及数据的审计管理实现策略的制定下发以及数据的审计管理实现策略的制定下发以及数据的审计管理终端安全管理里系统服务器终端安全管理里系统服务器终端安全管理里系统服务器终端安全管理里系统服务器UNITIFIED DESKTOP MANAGMENTUNITIFIED DESKTOP MANAGMENTUNITIFIED DESKTOP MANAGMENTUNITIFIED DESKTOP MANAGMENTvv 专业的数据服务器,通过级联实现大规模布控专业的数据服务器,通过级联实现大规模布控专
20、业的数据服务器,通过级联实现大规模布控专业的数据服务器,通过级联实现大规模布控vv 通过安全认证建立与多个客户端系统的连接通过安全认证建立与多个客户端系统的连接通过安全认证建立与多个客户端系统的连接通过安全认证建立与多个客户端系统的连接vv 实现客户端策略的配置下发、日志的上传审计实现客户端策略的配置下发、日志的上传审计实现客户端策略的配置下发、日志的上传审计实现客户端策略的配置下发、日志的上传审计 平台组成终端安全管理里系统控制台终端安全管理里系统控制台终端安全管理里系统控制台终端安全管理里系统控制台UNITIFIED DESKTOP MANAGMENTUNITIFIED DESKTOP M
21、ANAGMENTUNITIFIED DESKTOP MANAGMENTUNITIFIED DESKTOP MANAGMENT四、系统功能功能概述覆盖了终端安全的整个生命周期覆盖了终端安全的整个生命周期p终端用户管理p用户行为管理p终端准入(健康检查)p终端策略管理p终端的数据管理p补丁管理p软件分发p个人防火墙p远程维护p资产管理p性能监控终端安全管理网网络络进进程程访访问问控控制制终端准入(健康性检查)终端准入(健康性检查)用用户户登登录录身身份份认认证证病毒软件监测病毒软件监测系统补丁管理系统补丁管理安全策略管理安全策略管理安全操作管理安全操作管理终端入网健康检查支持VPN、局域网、 无线
22、网不需要更换现有的交换机 可以方便自定义策略支持802.1x,不需要增添任何软件用户身份认证1 1、登录系统身份认证,采用与格尔、登录系统身份认证,采用与格尔USBKEYUSBKEY相结合的认证方式,实现双相结合的认证方式,实现双因子认证提高系统登录的安全性。因子认证提高系统登录的安全性。2 2、登录帐户权限监视、登录帐户权限监视 ,统一配置登录帐户的用户权限,有效地管理,统一配置登录帐户的用户权限,有效地管理WindowsWindows用户。用户。登录系统身份认证登录帐户权限监视安全策略管理统一配置统一配置WindowsWindows安全策略,监测策略执行情况,当监测到不符合安全安全策略,监
23、测策略执行情况,当监测到不符合安全策略要求的终端实时报警。策略要求的终端实时报警。帐户密码策略监视帐户密码策略监视 帐户锁定策略监视帐户锁定策略监视 审核策略监视审核策略监视 屏保策略监视屏保策略监视共享策略监视共享策略监视 病毒软件监测对终端安装的病毒软件进行监测,及时报告软件的安装、升级、病毒对终端安装的病毒软件进行监测,及时报告软件的安装、升级、病毒库版本等相关信息。库版本等相关信息。 一、病毒软件监测,支持自定义病毒软件特征。一、病毒软件监测,支持自定义病毒软件特征。二、病毒软件的安装统计,病毒库版本统计。二、病毒软件的安装统计,病毒库版本统计。序号计算机名病毒软件名称安装时间病毒库版
24、本备注1 1SECPATRONSECPATRON瑞星瑞星200520052005020120050201060801060801NoNo2 2COMPUTORCOMPUTORNONON/AN/AN/AN/ANoNo3 3WATERBOXWATERBOX毒霸毒霸200620062005020120050201060910060910NoNo4 4PROGRAMTEAMPROGRAMTEAMNorton 9.0Norton 9.02005020120050201060321060321NoNo5 5ASSESSASSESSMacfeeMacfee20050201200502010611020611
25、02NoNo系统补丁管理降低带宽消耗降低带宽消耗 软件包就近下载软件包就近下载 采用采用“扇出扇出”技术进技术进行软行软 件包分发件包分发 软件包压缩传输软件包压缩传输 支持断点续传支持断点续传安全保证安全保证 终端接入认证终端接入认证 软件包下载前进行有软件包下载前进行有效身效身 份认证份认证 软件包数据签名软件包数据签名 终端和管理点之间的终端和管理点之间的通信通信 信息加密和签信息加密和签名名OFFICEOFFICEOFFICEOFFICE终端用户终端用户终端用户终端用户Window2000Window2000终端用户终端用户终端用户终端用户windows2003windows2003终
26、端用户终端用户终端用户终端用户Window XPWindow XP终端用户终端用户终端用户终端用户补丁状况统计补丁状况统计补丁状况统计补丁状况统计补丁安装情况扫描补丁安装情况扫描补丁安装情况扫描补丁安装情况扫描统计报表统计报表自定义报表自定义报表网络进程控制对主机的网络服务和网络连接进行管理,控制非授权或禁止的网络服对主机的网络服务和网络连接进行管理,控制非授权或禁止的网络服务和网络连接,实现黑客和病毒务和网络连接,实现黑客和病毒“进不来、出不去进不来、出不去”。 一、禁止未授权网络进程访问网络,黑、白名单控制方式有:一、禁止未授权网络进程访问网络,黑、白名单控制方式有: 1 1、禁止所有、禁
27、止所有 2 2、开放所有、开放所有 3 3、禁止黑名单、禁止黑名单 4 4、开放白名单、开放白名单二、网络访问进程的端口绑定,包括本地监听端口和远程连接端口。二、网络访问进程的端口绑定,包括本地监听端口和远程连接端口。三、动态监测网络连接状况三、动态监测网络连接状况网络进程连出网络进程连出网络进程连出网络进程连出绑定端口黑白名单检测绑定端口黑白名单检测绑定端口黑白名单检测绑定端口黑白名单检测进程名黑白名单检测进程名黑白名单检测进程名黑白名单检测进程名黑白名单检测动态监测网络并记录日志动态监测网络并记录日志动态监测网络并记录日志动态监测网络并记录日志网络监听进程网络监听进程网络监听进程网络监听进
28、程绑定端口黑白名单检测绑定端口黑白名单检测绑定端口黑白名单检测绑定端口黑白名单检测进程名黑白名单检测进程名黑白名单检测进程名黑白名单检测进程名黑白名单检测动态监测网络并记录日志动态监测网络并记录日志动态监测网络并记录日志动态监测网络并记录日志安全操作管理能够自动清理系统在处理敏感信息所遗留的临时文件,如:能够自动清理系统在处理敏感信息所遗留的临时文件,如:WordWord等通用办等通用办公软件所产生的临时文件。公软件所产生的临时文件。能够对指定文件或文件夹进行安全擦写,安全擦写遍数可自定义。能够对指定文件或文件夹进行安全擦写,安全擦写遍数可自定义。 处理敏感信息处理敏感信息的临时文件的临时文件
29、文件安全擦写文件安全擦写涉密文件涉密文件临时文件临时文件临时文件临时文件上网临时文件上网临时文件终端运维管理资产管理资产管理资产管理资产管理远程帮助远程帮助远程帮助远程帮助运行监控运行监控运行监控运行监控软件分发软件分发软件分发软件分发远程管理远程管理远程管理远程管理运行维护管理运行维护管理 软件分发通过程序化的软件自动分发方式,简化企业大规模软件部署的复杂度,通过程序化的软件自动分发方式,简化企业大规模软件部署的复杂度,缩短软件部署时间。缩短软件部署时间。资产管理p 建立终端主机上的软硬件资产的运行基线;建立终端主机上的软硬件资产的运行基线;p 根据根据“软硬件黑白名单软硬件黑白名单”,发现
30、非授权的软硬件时告警;,发现非授权的软硬件时告警;p 支持自定义的硬件黑名单配置,发现黑名单硬件能够实时阻止黑名支持自定义的硬件黑名单配置,发现黑名单硬件能够实时阻止黑名单硬件的启动,单硬件的启动,“软硬件黑白名单软硬件黑白名单”可配置。可配置。p 形成企业资产信息报表;形成企业资产信息报表; 运行监控及时报告客户端的运行情况和资源使用情况,为管理员的远程监控提供帮助及时报告客户端的运行情况和资源使用情况,为管理员的远程监控提供帮助. . p系统资源占用情况监控,包括系统资源占用情况监控,包括CPUCPU、MEMMEM、硬盘占用情况等,超出门限值告、硬盘占用情况等,超出门限值告警;警;p监测网
31、络流量情况,包括静态获取终端主机网络实时流量;实时监控终端监测网络流量情况,包括静态获取终端主机网络实时流量;实时监控终端主机网络流量,当前终端主机网络实时流量超过了报警阀值设定的值,就向主机网络流量,当前终端主机网络实时流量超过了报警阀值设定的值,就向服务器报警;服务器报警;p网络共享文件夹监控,静态获取终端主机共享信息;管理员能够远程取消网络共享文件夹监控,静态获取终端主机共享信息;管理员能够远程取消客户端的共享文件夹;对共享文件夹的增加、删除等变化进行监控。客户端的共享文件夹;对共享文件夹的增加、删除等变化进行监控。p监控计算机名称、监控计算机名称、IPIP地址、系统服务、用户和组的变化
32、情况;地址、系统服务、用户和组的变化情况;p获取系统日志,跟踪系统运行状况。获取系统日志,跟踪系统运行状况。远程管理通过远程管理的方式对特定的系统资源进行控制,维护远程计算机通过远程管理的方式对特定的系统资源进行控制,维护远程计算机: :系统信息系统信息, ,硬件、驱动信息,系统进程、硬件、驱动信息,系统进程、CPUCPU、内存状态、内存状态, ,网络连接网络连接, ,用户和组用户和组, ,服务信息服务信息, ,程序窗口程序窗口, ,数据共享数据共享, ,安装程序安装程序, ,硬盘信息硬盘信息, ,系统系统日志日志, ,实时截屏实时截屏, ,会话信息会话信息, ,鼠标键盘监控。鼠标键盘监控。I
33、nternetInternet关闭端口关闭端口停止服务停止服务查杀进程查杀进程关闭共享关闭共享求助计算机求助计算机远程帮助1 1、服务器、服务器- -客户端远程消息控制,通过控制台向客户端发送消息通告,接客户端远程消息控制,通过控制台向客户端发送消息通告,接收消息的客户端可以是一个人、几个人或一个群体。支持客户端通过消息收消息的客户端可以是一个人、几个人或一个群体。支持客户端通过消息传递方式实现客户端和服务器一对一的消息交流传递方式实现客户端和服务器一对一的消息交流. .2 2、支持管理员对远端主机进行远程控制,实现远程技术支持和问题解决、支持管理员对远端主机进行远程控制,实现远程技术支持和问
34、题解决帮助。管理员实现远程控制需要得到主机本地用户的许可确认,管理员能帮助。管理员实现远程控制需要得到主机本地用户的许可确认,管理员能够通过够通过NetMeetingNetMeeting方式连接终端主机,进行远程故障诊断与恢复方式连接终端主机,进行远程故障诊断与恢复 请升级病毒库192.168.0.11192.168.0.11远程帮助安全通道远程帮助安全通道211.157.248.12211.157.248.123 3远程协助管理员远程协助管理员远程协助管理员远程协助管理员故障终端故障终端故障终端故障终端用户行为管理网络控制网络控制网络控制网络控制网络层控制,网络层控制,网络层控制,网络层控制
35、,IP/TCP/UDP/ICMPIP/TCP/UDP/ICMP以以以以及及及及PORTPORT应用层控制:应用层控制:应用层控制:应用层控制:FTPFTPHTTPHTTPSMTPSMTPTELNET TELNET NETBIOSNETBIOSBBS/WEBMAILBBS/WEBMAIL非法外联,非法外联,非法外联,非法外联,MODEMMODEM存储介质存储介质存储介质存储介质软盘软盘软盘软盘移动存储:移动存储:移动存储:移动存储:U U盘、移动硬盘盘、移动硬盘盘、移动硬盘盘、移动硬盘MP3MP3、数码相机、数码相机、数码相机、数码相机存储卡存储卡存储卡存储卡CDROMCDROM与与与与CDRW
36、CDRW辅助硬盘辅助硬盘辅助硬盘辅助硬盘外设接口外设接口外设接口外设接口USBUSBSCSISCSI串行总线串行总线串行总线串行总线并行总线并行总线并行总线并行总线红外接口红外接口红外接口红外接口 PCMCIAPCMCIA火线火线火线火线1394 1394 无线网卡无线网卡无线网卡无线网卡 蓝牙接口蓝牙接口蓝牙接口蓝牙接口自定义接口自定义接口自定义接口自定义接口 打印机打印机打印机打印机 本地打印机本地打印机本地打印机本地打印机网络打印机网络打印机网络打印机网络打印机虚拟打印机虚拟打印机虚拟打印机虚拟打印机文件安全服务文件安全服务文件安全服务文件安全服务 文件安全柜文件安全柜文件安全柜文件安全
37、柜数据强制加密数据强制加密数据强制加密数据强制加密网络层失泄密IP地址控制地址控制只开放白名单只开放白名单只开放白名单只开放白名单只禁止黑名单只禁止黑名单只禁止黑名单只禁止黑名单条件访问条件访问条件访问条件访问pp黑名单黑名单黑名单黑名单pp白名单白名单白名单白名单TCP端口控制端口控制只开放白名单只开放白名单只开放白名单只开放白名单只禁止黑名单只禁止黑名单只禁止黑名单只禁止黑名单条件访问条件访问条件访问条件访问pp黑名单黑名单黑名单黑名单pp白名单白名单白名单白名单UDPUDP端口控制端口控制端口控制端口控制只开放白名单只开放白名单只开放白名单只开放白名单只禁止黑名单只禁止黑名单只禁止黑名单
38、只禁止黑名单条件访问条件访问条件访问条件访问pp黑名单黑名单黑名单黑名单pp白名单白名单白名单白名单IP/PORTIP/PORT只开放白名单只开放白名单只开放白名单只开放白名单只禁止黑名单只禁止黑名单只禁止黑名单只禁止黑名单条件访问条件访问条件访问条件访问pp黑名单黑名单黑名单黑名单pp白名单白名单白名单白名单ICMPICMP控制控制控制控制只开放白名单只开放白名单只开放白名单只开放白名单只禁止黑名单只禁止黑名单只禁止黑名单只禁止黑名单条件访问条件访问条件访问条件访问pp黑名单黑名单黑名单黑名单pp白名单白名单白名单白名单应用层失泄密SMTPSMTP控制控制HTTPHTTP控制控制TELNET
39、TELNET控制控制FTPFTP控制控制WEBMAILWEBMAIL控制控制NETBIOSNETBIOS控制控制1.1.开放网络应用服务开放网络应用服务p自由访问网络p只禁止黑名单2.2.禁止网络应用服务禁止网络应用服务p禁止访问网络p只开放白名单记录禁止访问记录禁止访问记录信任访问记录信任访问记录未知访问记录未知访问禁止连接禁止连接开放连接开放连接条件访问条件访问控制连入控制连入控制连出控制连出双向控制双向控制非法内外联非法外联非法外联: :内网的计算机通过内网的计算机通过MODEMMODEM或或GPRSGPRS、CDMACDMA的方式连接外部网络。的方式连接外部网络。非法内联:局域网外部的
40、计算机,未经过安全检查私自接入网络访问内部网非法内联:局域网外部的计算机,未经过安全检查私自接入网络访问内部网络资源。络资源。外部网络外部网络外部网络外部网络内部网络内部网络非法拨号非法拨号外部外部外部外部内部网络内部网络非法内联非法内联存储介质管理1.1.1.1.自由使用自由使用自由使用自由使用移动存储设备移动存储设备移动存储设备移动存储设备2.2.2.2.禁止禁止禁止禁止使用使用使用使用移动存储设备移动存储设备移动存储设备移动存储设备3.3.3.3.只读方式只读方式只读方式只读方式使用使用使用使用移动存储设备移动存储设备移动存储设备移动存储设备4.4.4.4.移动存储设备带出文件加密移动存
41、储设备带出文件加密移动存储设备带出文件加密移动存储设备带出文件加密加密数据,只能加密数据,只能加密数据,只能加密数据,只能本用户查看本用户查看本用户查看本用户查看加密数据,只能本小组查看加密数据,只能本小组查看加密数据,只能本小组查看加密数据,只能本小组查看加密数据,只能本安全域查加密数据,只能本安全域查加密数据,只能本安全域查加密数据,只能本安全域查看看看看5.5.5.5.自由使用自由使用自由使用自由使用,带出文件记录日志带出文件记录日志带出文件记录日志带出文件记录日志pp可选项为是否备份文件。可选项为是否备份文件。可选项为是否备份文件。可选项为是否备份文件。 移动存储器移动存储器移动存储器
42、移动存储器CD-ROM/CD-RWCD-ROM/CD-RW辅助硬盘辅助硬盘辅助硬盘辅助硬盘1.1.1.1.自由使用自由使用自由使用自由使用刻录机刻录机刻录机刻录机/CDROM/CDROM/CDROM/CDROM存储存储存储存储设备设备设备设备2.2.2.2.禁止禁止禁止禁止使用使用使用使用刻录机刻录机刻录机刻录机/CDROM/CDROM/CDROM/CDROM存储存储存储存储设备设备设备设备3.3.3.3.只读方式只读方式只读方式只读方式使用使用使用使用刻录机储设备。刻录机储设备。刻录机储设备。刻录机储设备。1.1.1.1.自由使用自由使用自由使用自由使用移动存储设备移动存储设备移动存储设备移
43、动存储设备2.2.2.2.禁止禁止禁止禁止使用使用使用使用移动存储设备移动存储设备移动存储设备移动存储设备3.3.3.3.只读方式只读方式只读方式只读方式使用使用使用使用移动存储设备移动存储设备移动存储设备移动存储设备4.4.4.4.移动存储设备带出文件加密移动存储设备带出文件加密移动存储设备带出文件加密移动存储设备带出文件加密加密数据,只能加密数据,只能加密数据,只能加密数据,只能本用户查看本用户查看本用户查看本用户查看加密数据,只能本小组查看加密数据,只能本小组查看加密数据,只能本小组查看加密数据,只能本小组查看加密数据,只能本安全域查加密数据,只能本安全域查加密数据,只能本安全域查加密数
44、据,只能本安全域查看看看看5.5.5.5.自由使用自由使用自由使用自由使用,带出文件记录日志带出文件记录日志带出文件记录日志带出文件记录日志pp可选项为是否备份文件。可选项为是否备份文件。可选项为是否备份文件。可选项为是否备份文件。 目的:目的:目的:目的: 未授权的存储器拿进来使不了未授权的存储器拿进来使不了未授权的存储器拿进来使不了未授权的存储器拿进来使不了 已授权的存储器拿出去不能用已授权的存储器拿出去不能用已授权的存储器拿出去不能用已授权的存储器拿出去不能用 介质管理系统的主要目的是帮助企业或涉密单位加强对涉密存储介质介质管理系统的主要目的是帮助企业或涉密单位加强对涉密存储介质介质管理
45、系统的主要目的是帮助企业或涉密单位加强对涉密存储介质介质管理系统的主要目的是帮助企业或涉密单位加强对涉密存储介质的管理、事后追踪,严格控制涉密移动存储介质的使用,防止人为或者介的管理、事后追踪,严格控制涉密移动存储介质的使用,防止人为或者介的管理、事后追踪,严格控制涉密移动存储介质的使用,防止人为或者介的管理、事后追踪,严格控制涉密移动存储介质的使用,防止人为或者介质丢失等情况下引起的涉密信息外泄。它基于虚拟磁盘技术,从质丢失等情况下引起的涉密信息外泄。它基于虚拟磁盘技术,从质丢失等情况下引起的涉密信息外泄。它基于虚拟磁盘技术,从质丢失等情况下引起的涉密信息外泄。它基于虚拟磁盘技术,从注册授权
46、、注册授权、注册授权、注册授权、身份验证、密级识别、访问控制报警、锁定自毁、扇区级加解密、日至审身份验证、密级识别、访问控制报警、锁定自毁、扇区级加解密、日至审身份验证、密级识别、访问控制报警、锁定自毁、扇区级加解密、日至审身份验证、密级识别、访问控制报警、锁定自毁、扇区级加解密、日至审计计计计等方面对可移动存储介质进行失泄密防护。等方面对可移动存储介质进行失泄密防护。等方面对可移动存储介质进行失泄密防护。等方面对可移动存储介质进行失泄密防护。可信移动存储介质特点:可信移动存储介质特点:可信移动存储介质特点:可信移动存储介质特点:uu 具有与磁盘接口无关性具有与磁盘接口无关性具有与磁盘接口无关
47、性具有与磁盘接口无关性uu 具有与磁盘类型无关性具有与磁盘类型无关性具有与磁盘类型无关性具有与磁盘类型无关性uu 具有自锁、自毁自我保护模式具有自锁、自毁自我保护模式具有自锁、自毁自我保护模式具有自锁、自毁自我保护模式 可信移动存储介质管理打印机管理监测用户的打印行为,能够监控本地打印机、网络打印机和虚拟打印监测用户的打印行为,能够监控本地打印机、网络打印机和虚拟打印机的用户行为。机的用户行为。禁止使用打印机,不记录日志。禁止使用打印机,不记录日志。自由使用打印机,不记录日志。自由使用打印机,不记录日志。允许使用打印机,并记录打印日志。允许使用打印机,并记录打印日志。( (分记录文件名和文件内
48、容两种分记录文件名和文件内容两种) ) 硬件接口管理从硬件接口层面控制各种接口的外围设备接入。从硬件接口层面控制各种接口的外围设备接入。串行总线串行总线串行总线串行总线 并行总线并行总线并行总线并行总线13941394接口接口接口接口 有线网卡有线网卡有线网卡有线网卡无线网卡接口无线网卡接口无线网卡接口无线网卡接口 自定义接口控制模式自定义接口控制模式自定义接口控制模式自定义接口控制模式SCSISCSI接口接口接口接口USBUSB接口接口接口接口软盘接口软盘接口软盘接口软盘接口红外接口红外接口红外接口红外接口PCMCIAPCMCIA接口接口接口接口 DVD/CD-RWDVD/CD-RW接口接口
49、接口接口安全文件柜用户用户用户用户A A的安全文件柜的安全文件柜的安全文件柜的安全文件柜用户用户A A用户用户B B文件存储安全:文件存储安全:文件存储安全:文件存储安全:在本地硬盘中为用户开辟一块敏感信息存储的安全空间在本地硬盘中为用户开辟一块敏感信息存储的安全空间在本地硬盘中为用户开辟一块敏感信息存储的安全空间在本地硬盘中为用户开辟一块敏感信息存储的安全空间 安全文件柜。安全文件柜。安全文件柜。安全文件柜。对安全文件柜的访问只有通过基于对安全文件柜的访问只有通过基于对安全文件柜的访问只有通过基于对安全文件柜的访问只有通过基于USB KeyUSB KeyUSB KeyUSB Key的双因素认
50、证的合法用户才能读取安全文件的双因素认证的合法用户才能读取安全文件的双因素认证的合法用户才能读取安全文件的双因素认证的合法用户才能读取安全文件柜中的内容。即使在笔记本被盗或遗失情况下,将笔记本的硬盘作为第二硬盘挂接在其柜中的内容。即使在笔记本被盗或遗失情况下,将笔记本的硬盘作为第二硬盘挂接在其柜中的内容。即使在笔记本被盗或遗失情况下,将笔记本的硬盘作为第二硬盘挂接在其柜中的内容。即使在笔记本被盗或遗失情况下,将笔记本的硬盘作为第二硬盘挂接在其它系统中,安全文件柜中的数据不能被解密,从而避免了泄密事故。它系统中,安全文件柜中的数据不能被解密,从而避免了泄密事故。它系统中,安全文件柜中的数据不能被
51、解密,从而避免了泄密事故。它系统中,安全文件柜中的数据不能被解密,从而避免了泄密事故。 透明加解密透明化功能是在后台自动执行的,系统自动地进行密码的核对或加密硬件的连接。透明化功能的具体实现过程都是在内存中进行的,不会在磁盘上产生任何文件,以提高文件的安全性。 除了自动化的特性之外,透明化还体现在文件被打开(阅读、编辑)时,合法用户毋须事先对文件进行解密,系统根据安全策略判断,对合法进程的访问,自动对文件进行解密。 关键数据保护功能透明加解密服透明加解密服透明加解密服透明加解密服务实现务实现关关关关键键数据数据数据数据强强强强制保制保制保制保护护。 加密文件审批流程加密文件审批流程加密文件审批
52、带出,方便对外交流可设定文档阅读范围和权限透明加解密服务透明加解密服务无需干预,自动加解密,不改变用户使用习惯,无任何学习成本,适合大规模推广关键数据在硬盘和网络上均为密文,有效防止邮件、msn、QQ等泄密行为 快捷网络安全传输服务快捷网络安全传输服务采用非对称加密,只有授权用户才可阅读支持局域网一键传输,方便快捷安全,杜绝网络侦听 进程指纹识别进程指纹识别数据访问的主体更加准确,杜绝木马、摆渡、窃取数据。事前的预防事前的预防事中的保护事中的保护事后的审计事后的审计中软防水墙全方位保护体系中软防水墙全方位保护体系接口控制接口控制存储介质管理存储介质管理安全文档安全文档打印管理打印管理网络管理网
53、络管理五、系统审计详细日志报表根据安全策略的设置,收集终端所产生的各种日志,形成详尽的日志根据安全策略的设置,收集终端所产生的各种日志,形成详尽的日志报表:报表:p提供各种类型的报表模板提供各种类型的报表模板p支持用户自定义报表输出支持用户自定义报表输出p支持可视化报表输出支持可视化报表输出六、应急响应实时报警行为客户端按照预定义的安全策略实时监测终端主机运行状况,当发现用客户端按照预定义的安全策略实时监测终端主机运行状况,当发现用户异常或可疑行为时,根据系统预定义的报警策略向控制台发送报警户异常或可疑行为时,根据系统预定义的报警策略向控制台发送报警信息,如:信息,如:p违规操作日志,如:用户
54、企图开启已被禁止的违规操作日志,如:用户企图开启已被禁止的USBUSB接口;接口;p异常情况报警,如:网络流量异常,异常情况报警,如:网络流量异常,cpucpu占用率异常;占用率异常;p非法行为,如:终端接入被定义为非法设备的行为;非法行为,如:终端接入被定义为非法设备的行为;管理员可以根据自身网络特点对报警行为进行设置:管理员可以根据自身网络特点对报警行为进行设置:p报警方式归并,全部忽略、按时间归并和按事件数量归并;报警方式归并,全部忽略、按时间归并和按事件数量归并;p报警响应方式,自动消息回复、阻断和自定义。报警响应方式,自动消息回复、阻断和自定义。风险级别定义根据用户违规行为的严重程度
55、进行风险量化,设置为不同风险级别的根据用户违规行为的严重程度进行风险量化,设置为不同风险级别的报警行为。系统报警分为五个等级,每个等级所包含的报警类型支持报警行为。系统报警分为五个等级,每个等级所包含的报警类型支持用户自定义。用户自定义。应急响应流程服务器接收到报警后按照预定义的响应流程,阻止用户的违规行为并服务器接收到报警后按照预定义的响应流程,阻止用户的违规行为并通知责任人及时处理报警,告警方式有:通知责任人及时处理报警,告警方式有:pIMIM远程消息通知;远程消息通知;p声音告警;声音告警;p邮件通知;邮件通知;接收告警接收告警参考方案参考方案处理报警处理报警知识库更新知识库更新七、安全
56、知识(知识库)知识库管理为每种告警事件的登录、处理建立知识库记录,所登录的内容可以包为每种告警事件的登录、处理建立知识库记录,所登录的内容可以包括:处理某种事件所对应企业规定、保密条文以及处理该问题所积累括:处理某种事件所对应企业规定、保密条文以及处理该问题所积累的经验等等。的经验等等。八、系统部署单服务器部署如果您的企业计算机系统节点数量小于1000个,您可以选择单服务器管理模式单服务器管理模式单服务器管理模式单服务器管理模式。基本构架:核心服务器数据库服务器控制台客户端多服务器部署如果您的企业计算机系统节点数量大于1000个,您可以选择多服务器分区式管理模式。多服务器分区式管理模式。多服务
57、器分区式管理模式。多服务器分区式管理模式。 基本构架:核心服务器二级服务器数据库服务器控制台客户端中软防水墙系统典型客户名单中国移动河南许昌分公司中国移动河南许昌分公司甘肃电信兰州分公司甘肃电信兰州分公司淄博网通淄博网通上海市高级人民法院上海市高级人民法院成都市国土资源局成都市国土资源局郑州市纪律检查委员会郑州市纪律检查委员会中共新乡市委办公室中共新乡市委办公室攀枝花市商业银行攀枝花市商业银行北京理工大学北京理工大学中国燃气涡轮研究所中国燃气涡轮研究所北京明航技术研究所北京明航技术研究所唐山钢铁设计研究院唐山钢铁设计研究院武汉钢铁集团设计研究院武汉钢铁集团设计研究院攀枝花钢铁设计研究院攀枝花钢
58、铁设计研究院天津电力设计院天津电力设计院邢台电力设计院邢台电力设计院政府政府:国家工商行政管理总局国家工商行政管理总局国家安全部国家安全部国家信访总局国家信访总局北京市信访局北京市信访局全国商业电子信用推广办公室全国商业电子信用推广办公室中国石油天然气股份有限公司中国石油天然气股份有限公司中油测井技术服务有限责任公司中油测井技术服务有限责任公司四川石油管理局四川石油管理局辽河石油勘探局辽河石油勘探局辽河油田勘探局装备工程公司辽河油田勘探局装备工程公司中科院光电所中科院光电所广州市规划局广州市规划局洛阳市公安局洛阳市公安局辽宁省税务局辽宁省税务局南宁市检察院南宁市检察院云南市检察院云南市检察院
59、总装备部某局总装备部某局中国人民解放军某部中国人民解放军某部中国人民解放军某厂中国人民解放军某厂重庆铁马工业集团公司有限公司重庆铁马工业集团公司有限公司晋西机器工业集团有限责任公司晋西机器工业集团有限责任公司山西北方晋东化工有限公司山西北方晋东化工有限公司中国兵器科学研究院中国兵器科学研究院兵器工业集团公司兵器工业集团公司中国兵器工业集团公司第中国兵器工业集团公司第202研究所研究所中国兵器工业集团公司第中国兵器工业集团公司第203研究所研究所中国兵器工业集团公司第中国兵器工业集团公司第204研究所研究所中国兵器工业集团公司第中国兵器工业集团公司第205研究所研究所中国兵器工业集团公司第中国兵
60、器工业集团公司第206研究所研究所中国兵器工业集团公司第中国兵器工业集团公司第207研究所研究所中国兵器工业集团公司第中国兵器工业集团公司第209研究所研究所中国兵器工业集团公司第中国兵器工业集团公司第212研究所研究所中国兵器工业集团公司第中国兵器工业集团公司第213研究所研究所中国兵器科学研究院宁波分院中国兵器科学研究院宁波分院内蒙古北方重工业集团有限公司内蒙古北方重工业集团有限公司内蒙古第一机械制造有限公司内蒙古第一机械制造有限公司内蒙古北方重工业集团公司内蒙古北方重工业集团公司军工军工:中国电子科技集团某研究所中国电子科技集团某研究所中国电子信息产业集团中国电子信息产业集团信息产业部电
61、子第五研究所信息产业部电子第五研究所中国瑞达系统装备公司中国瑞达系统装备公司航天科工集团某研究院航天科工集团某研究院航空一集团某研究所航空一集团某研究所航空二集团某厂航空二集团某厂信阳航天标准件厂信阳航天标准件厂核工业集团某研究所核工业集团某研究所中国船舶重工集团某造船企业中国船舶重工集团某造船企业中国船舶重工集团某研究所中国船舶重工集团某研究所中国船舶工业综合技术经济研究院中国船舶工业综合技术经济研究院厦门船舶重工股份有限公司厦门船舶重工股份有限公司某舰船研究所某舰船研究所二炮某研究所二炮某研究所某海军院校某海军院校酒泉卫星发射中心酒泉卫星发射中心洪都航空工业集团洪都航空工业集团青岛海信通信
62、青岛海信通信深圳九州电子有限公司深圳九州电子有限公司武汉长江融达电子有限公司武汉长江融达电子有限公司南京长江电子技术装备有限公司南京长江电子技术装备有限公司何显毅建筑工程师楼地产发展顾问有限公司何显毅建筑工程师楼地产发展顾问有限公司安凯(软件)技术有限公司安凯(软件)技术有限公司武汉市无线电厂武汉市无线电厂 辽宁庆阳化工有限公司辽宁庆阳化工有限公司河南平原光电有限公司河南平原光电有限公司吉林省隆泰药业有限责任公司吉林省隆泰药业有限责任公司北京阿博泰克北大青鸟信息技术有限公司北京阿博泰克北大青鸟信息技术有限公司(APTCH)北京锦恒佳晖汽车电子系统有限公司北京锦恒佳晖汽车电子系统有限公司山西江阳
63、化工有限公司山西江阳化工有限公司泸州北方化学工业有限公司泸州北方化学工业有限公司河南红阳工业有限责任公司河南红阳工业有限责任公司山西晋东化工有限责任公司山西晋东化工有限责任公司南京北方光电限公司南京北方光电限公司安凯(广州)软件技术有限公司安凯(广州)软件技术有限公司信利半导体信利半导体 制造业制造业:天津胜兴家具有限公司天津胜兴家具有限公司北京三星通信技术研究有限公司北京三星通信技术研究有限公司(三星电子中国通信研究院)(三星电子中国通信研究院)上海裕生特种线材有限公司上海裕生特种线材有限公司三一重工股份有限公司三一重工股份有限公司郑州宇通客车股份有限公司郑州宇通客车股份有限公司河南新飞电器有限公司河南新飞电器有限公司广州立白企业集团有限公司广州立白企业集团有限公司广州周立功单片机发展有限公司广州周立功单片机发展有限公司广州致远电子有限公司广州致远电子有限公司中山力劲机械有限公司中山力劲机械有限公司信利半导体有限公司信利半导体有限公司捷荣航材(广州)有限公司捷荣航材(广州)有限公司桂盟链条(深圳)有限公司桂盟链条(深圳)有限公司倍科电子技术服务有限公司倍科电子技术服务有限公司青岛海晶化工厂青岛海晶化工厂青岛青岛LG空调空调青岛北海船厂青岛北海船厂济南机车制造厂济南机车制造厂谢谢 谢谢2024/7/252024/7/25
