内网信息防泄漏一体解决方案.ppt

,中软终端“一体化”安全解决方案,2023/2/24,内网安全管理终结者构筑互信网络、打造安全世界,中国软件与技术服务股份有限公司通用产品研发中心信息安全实验室,一、公司概况及需求分析二、解决方案三、产品概述四、系统功能五、统计分析六、应急响应七、知识库八、系统部署,提纲,一、公司概况及需求分析,原国家计委批准三大软件基地中的北方软件基地 国家火炬计划北京软件产业基地中的中软软件园 国家863成果产业化基地，国家规划布局内重点软件企业 首批通过了全国“软件企业”认证 通过了科技部和中科院组织的“双高认证”首批通过了国家计算机信息系统集成一级资质认证 通过了涉及国家秘密的计算机信息系统集成资质认证 通过了ISO9001质量体系认证及CMM5认证 排名“2006中国软件产业最大规模前100家企业”第16位,品牌优势,安全产品科研力量雄厚,产学研相结合的安全组织模式：,信息安全事业部 安全产品产业化 市场推广 安全系统集成信息安全博士后科研工作站 教学/科研/基础研究,信息安全实验室 安全产品研究开发 安全产品测试战略合作伙伴 微软-开放win2000 以上所有源代码,中软昌平软件研发基地,研发资质,通过首批软件开发、系统集成和培训服务的ISO9001质量体系认证通过美国贝尔试验室关于软件开发成熟度 CMMI5 级评估,产品资质,中软安全实验室：国内最早内网安全理念的提出者国内最早内网安全产品推出者国内最早的信息安全博士后科研工作站,一、需求概述,美国,结论：在全部的安全事件中，信息外泄这样的内部安全威胁占85%,信息来源:CSI/FBI 2005 Computer Crime&Security Survey,计算机安全损失,85%,0,20%,40%,60%,80%,100%,黑客攻击,内部安全威胁,42%,未授权服务,16%,内部未授权存取,14%,12%,专利信息窃取,5%,内部人员财务欺骗,2006年计算机安全事件,2006年美国CSI/FBI调查情况,根据美国CSI/FBI Computer Crime and Security Survey，在计算机安全事件中信息泄露造成的经济损失连续5年排在第一位,同时中国的CNCERT也作了相关调查，结论基本一致。,2004,(china soft),安全事件,损失程度,1,000,500,外部安全事件,内部安全事件,400,300,防范手,1,500,关注程度,防范手段,调查表明,目前多数企业的解决方案,被动的安全方案禁止存有重要数据的电脑上网禁止使用移动存储设备（如U盘）拆除光驱、软驱贴封条，定期检查人为控制，监督管理的安全管理方式人工填写日志相对松散的管理机制风险和问题存在安全隐患-依靠员工的责任心，无法自觉杜绝失泄密，工作效率下降-本方案带来使用上的不便，,企业面临的问题,如何保证关键数据不被木马、摆渡病毒窃取。如何发现终端设备的系统漏洞并自动分发补丁。如何防范移动电脑和存储设备随意接入内网。如何防范内网设备非法外联。如何管理终端资产，保障网络设备正常运行。如何在全网制订统一的安全策略。如何及时发现网络中占用带宽最大的终端。如何排查异常终端的运行。如何防范内部涉密重要信息的泄露。如何构架功能强大的统一网络安全报警处置平台，进行安全事件响应和事件查询，全面管理网络资源。,业务目标,内网终端安全一体化、平台化的需求越来越强烈，迫切需要“一体化”（“大、一、统”）的安全解决方案，该产品的主要目标：一、整合各种内网终端技术；二、清理桌面各种冗余的安全组件；三、统一内网终端安全管理；四、提供安全、高效、可信的终端运行平台。,Firewall:阻止外部攻击的安全系统(象一扇门)IDS:阻止外部智能攻击(象一台安全摄象机)病毒防护:计算机病毒疫苗 WaterBox:站在用户身边的保密员,Internet,Router,IDS(入侵检测系统),Printing Paper,CD-R/RW,E-Mail/Web-Mail/Web-HDD,HDD theft,FD/ZIP/MOJAZZ/USB/1394Serial/ParallelFlash Device,/P2P/FTP,内部信息安全漏洞,病毒防护,Firewall(防火墙),Waterbox(防水墙),二、解决方案,一体化平台通过“安全管理中心”、“应急响应中心”、“统计分析中心”推动“防护、检测、响应”螺旋上升，达到持续改进的目的。,安全防护模型-PDR,行业标准,国家法律,企业规划,技术方向,支撑体系,根据国家关于涉密系统安全管理的相关标准，综合平衡考虑系统安全要求、系统所面临安全风险和实施安全保护措施的成本，进行安全保护,法规依据-保密规范,网络管理,介质管理,笔记本管理,密级管理,积极防御综合防范,加强领导,三、产品介绍,终端安全管理系统有三部分组成,终端安全管理里系统客户端UNITIFIED DESKTOP MANAGMENT,安装在个人桌面系统的代理 实现客户端安全策略合规性管理 站在用户身边的安全管理员,管理员的系统管理工具通过安全认证建立与防水墙服务器的连接实现策略的制定下发以及数据的审计管理,终端安全管理里系统服务器UNITIFIED DESKTOP MANAGMENT,专业的数据服务器，通过级联实现大规模布控 通过安全认证建立与多个客户端系统的连接 实现客户端策略的配置下发、日志的上传审计,平台组成,终端安全管理里系统控制台UNITIFIED DESKTOP MANAGMENT,四、系统功能,功能概述,覆盖了终端安全的整个生命周期终端用户管理用户行为管理终端准入(健康检查)终端策略管理终端的数据管理补丁管理软件分发个人防火墙远程维护资产管理性能监控,终端安全管理,网络进程访问控制,终端准入（健康性检查）,用户登录身份认证,病毒软件监测,系统补丁管理,安全策略管理,安全操作管理,终端入网健康检查,支持VPN、局域网、无线网不需要更换现有的交换机 可以方便自定义策略支持802.1x，不需要增添任何软件,用户身份认证,1、登录系统身份认证，采用与格尔USBKEY相结合的认证方式，实现双因子认证提高系统登录的安全性。2、登录帐户权限监视，统一配置登录帐户的用户权限，有效地管理Windows用户。,登录系统身份认证,登录帐户权限监视,安全策略管理,统一配置Windows安全策略，监测策略执行情况，当监测到不符合安全策略要求的终端实时报警。,帐户密码策略监视 帐户锁定策略监视,审核策略监视,屏保策略监视共享策略监视,病毒软件监测,对终端安装的病毒软件进行监测，及时报告软件的安装、升级、病毒库版本等相关信息。一、病毒软件监测，支持自定义病毒软件特征。二、病毒软件的安装统计，病毒库版本统计。,系统补丁管理,降低带宽消耗 软件包就近下载 采用“扇出”技术进行软 件包分发 软件包压缩传输 支持断点续传安全保证 终端接入认证 软件包下载前进行有效身 份认证 软件包数据签名 终端和管理点之间的通信 信息加密和签名,网络进程控制,对主机的网络服务和网络连接进行管理，控制非授权或禁止的网络服务和网络连接，实现黑客和病毒“进不来、出不去”。一、禁止未授权网络进程访问网络，黑、白名单控制方式有：1、禁止所有 2、开放所有 3、禁止黑名单 4、开放白名单二、网络访问进程的端口绑定，包括本地监听端口和远程连接端口。三、动态监测网络连接状况,网络进程连出,绑定端口黑白名单检测,进程名黑白名单检测,动态监测网络并记录日志,网络监听进程,绑定端口黑白名单检测,进程名黑白名单检测,动态监测网络并记录日志,安全操作管理,能够自动清理系统在处理敏感信息所遗留的临时文件，如：Word等通用办公软件所产生的临时文件。能够对指定文件或文件夹进行安全擦写，安全擦写遍数可自定义。,处理敏感信息的临时文件,文件安全擦写,涉密文件,临时文件,临时文件,上网临时文件,终端运维管理,资产管理,远程帮助,运行监控,软件分发,远程管理,运行维护管理,软件分发,通过程序化的软件自动分发方式，简化企业大规模软件部署的复杂度，缩短软件部署时间。,资产管理,建立终端主机上的软硬件资产的运行基线；根据“软硬件黑白名单”，发现非授权的软硬件时告警；支持自定义的硬件黑名单配置，发现黑名单硬件能够实时阻止黑名单硬件的启动，“软硬件黑白名单”可配置。形成企业资产信息报表；,运行监控,及时报告客户端的运行情况和资源使用情况，为管理员的远程监控提供帮助.系统资源占用情况监控，包括CPU、MEM、硬盘占用情况等，超出门限值告警；监测网络流量情况，包括静态获取终端主机网络实时流量；实时监控终端主机网络流量，当前终端主机网络实时流量超过了报警阀值设定的值，就向服务器报警；网络共享文件夹监控，静态获取终端主机共享信息；管理员能够远程取消客户端的共享文件夹；对共享文件夹的增加、删除等变化进行监控。监控计算机名称、IP地址、系统服务、用户和组的变化情况；获取系统日志，跟踪系统运行状况。,远程管理,通过远程管理的方式对特定的系统资源进行控制，维护远程计算机:系统信息,硬件、驱动信息，系统进程、CPU、内存状态,网络连接,用户和组,服务信息,程序窗口,数据共享,安装程序,硬盘信息,系统日志,实时截屏,会话信息,鼠标键盘监控。,Internet,关闭端口停止服务查杀进程关闭共享,求助计算机,远程帮助,1、服务器-客户端远程消息控制，通过控制台向客户端发送消息通告，接收消息的客户端可以是一个人、几个人或一个群体。支持客户端通过消息传递方式实现客户端和服务器一对一的消息交流.2、支持管理员对远端主机进行远程控制，实现远程技术支持和问题解决帮助。管理员实现远程控制需要得到主机本地用户的许可确认，管理员能够通过NetMeeting方式连接终端主机，进行远程故障诊断与恢复,请升级病毒库,192.168.0.11,远程帮助安全通道,211.157.248.123,远程协助管理员,故障终端,用户行为管理,网络控制,网络层控制，IP/TCP/UDP/ICMP以及PORT应用层控制：FTPHTTPSMTPTELNET NETBIOSBBS/WEBMAIL非法外联，MODEM,存储介质,软盘移动存储：U盘、移动硬盘MP3、数码相机存储卡CDROM与CDRW辅助硬盘,外设接口,USBSCSI串行总线并行总线红外接口 PCMCIA火线1394 无线网卡 蓝牙接口自定义接口,打印机,本地打印机网络打印机虚拟打印机,文件安全服务,文件安全柜数据强制加密,网络层失泄密,IP地址控制只开放白名单只禁止黑名单条件访问黑名单白名单,TCP端口控制只开放白名单只禁止黑名单条件访问黑名单白名单,UDP端口控制只开放白名单只禁止黑名单条件访问黑名单白名单,IP/PORT只开放白名单只禁止黑名单条件访问黑名单白名单,ICMP控制只开放白名单只禁止黑名单条件访问黑名单白名单,应用层失泄密,SMTP控制,HTTP控制,TELNET控制,FTP控制,WEBMAIL控制,NETBIOS控制,禁止连接开放连接条件访问,控制连入控制连出双向控制,非法内外联,非法外联:内网的计算机通过MODEM或GPRS、CDMA的方式连接外部网络。,非法内联：局域网外部的计算机，未经过安全检查私自接入网络访问内部网络资源。,外部网络,内部网络,非法拨号,外部,内部网络,非法内联,存储介质管理,自由使用移动存储设备禁止使用移动存储设备只读方式使用移动存储设备移动存储设备带出文件加密加密数据，只能本用户查看加密数据，只能本小组查看加密数据，只能本安全域查看5.自由使用，带出文件记录日志可选项为是否备份文件。,移动存储器,CD-ROM/CD-RW,辅助硬盘,自由使用刻录机/CDROM存储设备禁止使用刻录机/CDROM存储设备只读方式使用刻录机储设备。,自由使用移动存储设备禁止使用移动存储设备只读方式使用移动存储设备移动存储设备带出文件加密加密数据，只能本用户查看加密数据，只能本小组查看加密数据，只能本安全域查看5.自由使用，带出文件记录日志可选项为是否备份文件。,目的：未授权的存储器拿进来使不了 已授权的存储器拿出去不能用,介质管理系统的主要目的是帮助企业或涉密单位加强对涉密存储介质的管理、事后追踪，严格控制涉密移动存储介质的使用，防止人为或者介质丢失等情况下引起的涉密信息外泄。它基于虚拟磁盘技术，从注册授权、身份验证、密级识别、访问控制报警、锁定自毁、扇区级加解密、日至审计等方面对可移动存储介质进行失泄密防护。,可信移动存储介质特点：具有与磁盘接口无关性 具有与磁盘类型无关性 具有自锁、自毁自我保护模式,可信移动存储介质管理,打印机管理,监测用户的打印行为，能够监控本地打印机、网络打印机和虚拟打印机的用户行为。禁止使用打印机，不记录日志。自由使用打印机，不记录日志。允许使用打印机，并记录打印日志。(分记录文件名和文件内容两种),硬件接口管理,从硬件接口层面控制各种接口的外围设备接入。,串行总线 并行总线1394接口 有线网卡无线网卡接口 自定义接口控制模式,SCSI接口USB接口软盘接口红外接口PCMCIA接口 DVD/CD-RW接口,安全文件柜,用户A的安全文件柜,用户A,用户B,文件存储安全：在本地硬盘中为用户开辟一块敏感信息存储的安全空间 安全文件柜。对安全文件柜的访问只有通过基于USB Key的双因素认证的合法用户才能读取安全文件柜中的内容。即使在笔记本被盗或遗失情况下，将笔记本的硬盘作为第二硬盘挂接在其它系统中，安全文件柜中的数据不能被解密，从而避免了泄密事故。,透明加解密,透明化功能是在后台自动执行的，系统自动地进行密码的核对或加密硬件的连接。透明化功能的具体实现过程都是在内存中进行的，不会在磁盘上产生任何文件，以提高文件的安全性。除了自动化的特性之外，透明化还体现在文件被打开（阅读、编辑）时，合法用户毋须事先对文件进行解密，系统根据安全策略判断，对合法进程的访问，自动对文件进行解密。,关键数据保护功能,透明加解密服务实现关键数据强制保护。,加密文件审批流程加密文件审批带出，方便对外交流可设定文档阅读范围和权限,透明加解密服务无需干预，自动加解密，不改变用户使用习惯，无任何学习成本，适合大规模推广关键数据在硬盘和网络上均为密文，有效防止邮件、msn、QQ等泄密行为,快捷网络安全传输服务采用非对称加密，只有授权用户才可阅读支持局域网一键传输，方便快捷安全，杜绝网络侦听,进程指纹识别数据访问的主体更加准确，杜绝木马、摆渡、窃取数据。,事前的预防,事中的保护,事后的审计,中软防水墙全方位保护体系,五、系统审计,详细日志报表,根据安全策略的设置，收集终端所产生的各种日志，形成详尽的日志报表：提供各种类型的报表模板支持用户自定义报表输出支持可视化报表输出,六、应急响应,实时报警行为,客户端按照预定义的安全策略实时监测终端主机运行状况，当发现用户异常或可疑行为时，根据系统预定义的报警策略向控制台发送报警信息，如：违规操作日志，如：用户企图开启已被禁止的USB接口；异常情况报警，如：网络流量异常，cpu占用率异常；非法行为，如：终端接入被定义为非法设备的行为；管理员可以根据自身网络特点对报警行为进行设置：报警方式归并，全部忽略、按时间归并和按事件数量归并；报警响应方式，自动消息回复、阻断和自定义。,风险级别定义,根据用户违规行为的严重程度进行风险量化，设置为不同风险级别的报警行为。系统报警分为五个等级，每个等级所包含的报警类型支持用户自定义。,应急响应流程,服务器接收到报警后按照预定义的响应流程，阻止用户的违规行为并通知责任人及时处理报警，告警方式有：IM远程消息通知；声音告警；邮件通知；,接收告警,参考方案,处理报警,知识库更新,七、安全知识(知识库),知识库管理,为每种告警事件的登录、处理建立知识库记录，所登录的内容可以包括：处理某种事件所对应企业规定、保密条文以及处理该问题所积累的经验等等。,八、系统部署,单服务器部署,如果您的企业计算机系统节点数量小于1000个，您可以选择单服务器管理模式。基本构架：核心服务器数据库服务器控制台客户端,多服务器部署,如果您的企业计算机系统节点数量大于1000个，您可以选择多服务器分区式管理模式。基本构架：核心服务器二级服务器数据库服务器控制台客户端,中软防水墙系统典型客户名单,中国移动河南许昌分公司甘肃电信兰州分公司淄博网通上海市高级人民法院成都市国土资源局郑州市纪律检查委员会中共新乡市委办公室攀枝花市商业银行北京理工大学中国燃气涡轮研究所北京明航技术研究所唐山钢铁设计研究院武汉钢铁集团设计研究院攀枝花钢铁设计研究院天津电力设计院邢台电力设计院,政府:国家工商行政管理总局国家安全部国家信访总局北京市信访局全国商业电子信用推广办公室中国石油天然气股份有限公司中油测井技术服务有限责任公司四川石油管理局辽河石油勘探局辽河油田勘探局装备工程公司中科院光电所广州市规划局洛阳市公安局辽宁省税务局南宁市检察院云南市检察院,总装备部某局中国人民解放军某部中国人民解放军某厂重庆铁马工业集团公司有限公司晋西机器工业集团有限责任公司山西北方晋东化工有限公司中国兵器科学研究院兵器工业集团公司中国兵器工业集团公司第202研究所中国兵器工业集团公司第203研究所中国兵器工业集团公司第204研究所中国兵器工业集团公司第205研究所中国兵器工业集团公司第206研究所中国兵器工业集团公司第207研究所中国兵器工业集团公司第209研究所中国兵器工业集团公司第212研究所中国兵器工业集团公司第213研究所中国兵器科学研究院宁波分院内蒙古北方重工业集团有限公司内蒙古第一机械制造有限公司内蒙古北方重工业集团公司,军工:中国电子科技集团某研究所中国电子信息产业集团信息产业部电子第五研究所中国瑞达系统装备公司航天科工集团某研究院航空一集团某研究所航空二集团某厂信阳航天标准件厂核工业集团某研究所中国船舶重工集团某造船企业中国船舶重工集团某研究所中国船舶工业综合技术经济研究院厦门船舶重工股份有限公司某舰船研究所二炮某研究所某海军院校酒泉卫星发射中心洪都航空工业集团,青岛海信通信深圳九州电子有限公司武汉长江融达电子有限公司南京长江电子技术装备有限公司何显毅建筑工程师楼地产发展顾问有限公司安凯（软件）技术有限公司武汉市无线电厂 辽宁庆阳化工有限公司河南平原光电有限公司吉林省隆泰药业有限责任公司北京阿博泰克北大青鸟信息技术有限公司（APTCH）北京锦恒佳晖汽车电子系统有限公司山西江阳化工有限公司泸州北方化学工业有限公司河南红阳工业有限责任公司山西晋东化工有限责任公司南京北方光电限公司安凯（广州）软件技术有限公司信利半导体,制造业:天津胜兴家具有限公司北京三星通信技术研究有限公司（三星电子中国通信研究院）上海裕生特种线材有限公司三一重工股份有限公司郑州宇通客车股份有限公司河南新飞电器有限公司广州立白企业集团有限公司广州周立功单片机发展有限公司广州致远电子有限公司中山力劲机械有限公司信利半导体有限公司捷荣航材（广州）有限公司桂盟链条（深圳）有限公司倍科电子技术服务有限公司青岛海晶化工厂青岛LG空调青岛北海船厂济南机车制造厂,谢 谢,2023/2/24,