整体一致内网安全解决方案.ppt

《整体一致内网安全解决方案.ppt》由会员分享，可在线阅读，更多相关《整体一致内网安全解决方案.ppt（51页珍藏版）》请在三一办公上搜索。

1、整体一致 内网安全解决方案技术研讨会,1,北京明朝万达科技有限公司厦门锐思特软件科技有限公司,创新融汇世界领先技术 打造信息安全保障体系！,会议议程安排,2,ChinasecTM整体一致的内网安全解决方案,北京明朝万达科技有限公司,4,目 录内网风险安全体系规划内网建设目标常见技术分析解决之道,5,传统的网络安全措施侧重对外部威胁的防范；防火墙、入侵检测和防病毒软件等传统安全技术的采用并没有解除企业面临的安全风险；,大量新技术的应用使得传统的网络安全边界理论不再适用，企业面临越来越多新的安全性威胁；终端的安全防护逐步成为新的安全重点，数据的安全性保障逐渐提上企业发展的日程。,内网风险,6,内网

2、风险,信息安全的投资现状：威胁与投资倒挂的“二.八”规则,“企业的安全事件在过去80是因为内部安全管理的漏洞、内部人员的泄密等事件产生，仅仅有20的事件是来自外部的攻击行为。”,籍此传达的信息：长久以来，组织对来自内外的安全威胁采取了不一致的对待方式信息安全投资的不均衡性为组织带来了严重的安全风险,“攘外而不安内”的做法无法确保企业的信息资产安全安全风险防范只有做到内外兼修，才能达到全面安全管理的目标,内网威胁,外网威胁,外网投资,内网投资,7,内网风险,组织面临的主要内网安全管理问题,信息泄密风险,IT资源管理,“商业间谍”行为员工离职风险电脑遗失存储设备遗失外来人员访问内部系统电子邮件、M

3、SN和QQ外发不当打印,病毒主动防护补丁分发终端资产管理用户行为管理外设管理上网行为管理移动存储设备管理,8,目 录内网风险安全体系规划内网建设目标常见技术分析解决之道,9,安全体系规划,安全体系规划遵循依据,国际标准,国内标准,ISO 27001 BS 7799,GB 17859-1999 计算机信息系统安全保护等级划分准则；BMB17-2006 涉及国家秘密的信息系统分级保护技术要求终端资产管理BMB202007 涉及国家秘密的信息系统分级保护管理规范；BMB1-2000 涉及国家秘密的计算机信息系统保密技术要求；,10,安全体系规划,安全体系规划设计原则：,适度安全原则：要在安全风险分析

4、的基础上，实事求是、因地制宜地确定安全措施地防护程度，并保证安全措施切实可行，达到最佳防护目的；整体性原则：网络安全系统安全保密的强度取决于系统中最薄弱的环节，必须采取技术和管理相结合的、整体的安全保密措施；,前瞻性原则：系统采用国际、国内前沿的安全体系和标准，符合当前信息安全发展的趋势 分步建设原则：在满足保密要求的前提下，综合考虑建设成本、产品技术、建设周期的因素，分期分批的进行安全建设。对于重点区域、重大风险优先重点规划，优先处理。,管理制度,技术手段,11,数据安全风险评估考虑的问题,安全体系规划,风险评估,系数据可能造成的业务损失，包含由于信息和其它资产的保密 性、完整性或可用性损失

5、可能造成的后果；,当前主要的威胁和漏洞带来的现实安全问题，以及目前实施的控制措施。,12,安全体系规划设计原则,安全体系规划,系统运行原则,数据保密风险控制和管理,系统运行稳定性和兼容性是安全体系构建的基础,企业上线成本和下线成本，考虑远景规划中系统升级,应用可靠性和安全的完整性，需要结合企业的实际应用环境能够灵活适用,13,安全体系构建方法,安全体系规划,PDCA模式,策略阶段,实施阶段,检查阶段,改进阶段,系统构建方法将按照PDCA模式执行，即通过“策划实施检查改进”的循环过程，不断调整、完善内网信息安全体系。PDCA模式贯穿整个内网安全体系建设的全过程。,14,目 录内网风险安全体系规划

6、建设目标常见技术分析解决之道,15,内网安全体系建设试图解决的问题,建设目标,防止数据泄密,对价值数据进行保密化处理（数据加密）：加密的数据即使流失，也无法读取,对重要信息按保密级别进行分级管理：根据员工权限，设定可以访问相应级别的数据,对保密数据的操作记录及违规操作记录：对数据的操作保留日志，并可进行分析，找出可疑人员,防止非正常数据流失：防止非法打印，非法复制，非法邮件输出，非法上传等,16,内网安全体系建设试图解决的问题,建设目标,规范员工行为,病毒防护：有效隔离病毒和木马程序，限制使用人员随意下载、传播染毒程序、文件,流量管理：限制BT、网络视频、网络游戏等应用对企业带宽资源的不合理利

7、用,身份认证和授权管理：对内部员工实现分组管理，加强授权管理机制,内部网络接入控制：限制非授权人员接入企业内部网络，将临时外来人员控制在受控的网络区间,17,内网安全体系建设试图解决的问题,建设目标,规范员工行为,针对笔记本电脑的安全策略：笔记本电脑带出公司后，或意外丢失后，如何防止公司机密流失,针对可移动存储设备的安全策略：在不一律封杀各种移动存贮设备的情况下，如何保证移动存贮设备的安全使用,邮件的监控、审计：对泄漏公司机密信息的邮件进行监控、审计,网络行为管理：互联网访问控制，MSN和QQ等即时通信工具的合理使用,18,内网安全的投资价值,数据安全,合规性管理,终端维护,控制运营成本和内部

8、损耗，保护创新成果,建设目标,内网安全价值投资,19,目 录内网风险安全体系规划建设目标常见技术分析建设手段,20,常见技术分析,监控审计,文档加密,整体解决方案,基于过程的控制：“百密难免一疏”缺乏主体认证和授权，缺乏数据源的加密防护，经不起技术推敲,基于数据源的控制：可以有效防护被动泄密行为，对于主动泄密行为缺乏有效管理手段存在先天的技术局限性，很容易破解在兼容性和综合管理方面严重欠缺,常见的安全手段,21,常见技术分析,管理和技术控制的结合,终端安全偏向于管理数据保密偏向于被动泄密,终端管理注重控制和手段数据保密注重主动泄密,国外技术国内技术,22,目 录内网风险安全体系规划建设目标常见

9、技术分析解决之道,23,有效防止内部敏感信息的外泄；有效解决企业互联网接入与内网关键信息访问并存的问题；强化内部身份认证管理；确保数据的存储和传输实现加密处理；扩展内网范围，确保分支机构和移动办公人员接入企业内部网络的安全性；全面的桌面管理功能，实现对PC资产的监控管理。,以系统化的思维解决内网信息安全面临的所有问题！,外部入侵进不来，非法外联出不去，内外勾结拿不走，拿走东西看不懂,信息源,传播途径,访问者,解决之道,24,可信网络认证系统（TIS）,ChinasecTM可信网络安全平台,可信数据管理系统（DMS）,可信网络保密系统（VCN）,可信网络监控系统（MGT）,可信移动存储介质管理系

10、统（RSM）,产品体系架构-全面均衡的产品体系,解决之道,25,身份认证,授权管理,数据保密,监控审计,完整的内网信息安全防护体系,信息安全防护的核心,“你是谁？”,“你能干什么？”,“你干过了什么？”,解决之道,26,访问控制粒度：分别对用户、终端进行内网资源和重要信息的访问控制,访问控制跟身份认证统一，可以根据用户的身份进行授权,用户的权限可以实现漫游，即不同的用户在相同的计算机终端上登录可以拥有不同的权限,信息输出操作监控：对系统内保密信息和重要信息的输出（如打印、复制、屏幕截取）操作进行控制,内网信息安全体系：访问控制（TIS）,解决之道-访问控制,27,对信息系统中服务器、用户终端以

11、及应用程序的本地登录和远程登录进行用户身份鉴别,统一生成用户身份标识符并保证在系统生命周期的唯一性身份标识符列表不被非授权地方防问、修改或删除用户标识符与安全审计相关联，保证系统内安全事件的可核查性,用户身份鉴别,身份标识符,解决之道-访问控制,28,终端可能的泄密方式与解决方式,移动存储设备拷贝,硬盘遗失,网络发送,OA或共享服务器中转,红外、蓝牙等外部设备发送,U盘注册及授权,本地硬盘加密,网络加密控制,文件外发加密,外设控制,解决之道-数据保密,29,用户行为管理,用户行为管理,远程实时管理计算机状态并进行远程控制,应用授权：限制或许可安装使用特定的应用软件,Windows应用组件的使用

12、权限控制,文件分发：操作系统和应用程序补丁程序的远程升级管理,解决之道-监控审计,30,网络行为管理,设定使用者可以访问的网站,限制邮件服务器的应用范围，针对邮件附件的外传控制,文件的外发控制，避免设计成果等敏感数据通过网络传播,限制、记录MSN、QQ等即时通讯工具的使用状况,Internet,IP地址绑定，避免员工随意修改IP地址,解决之道-监控审计,31,审计管理,记录员工通过FTP上传或下载的完整文件,自动记录计算机上的文件操作记录，包括创建、删除、复制和重命名等,记录用户的打印行为，可以针对打印内容和打印文件名、打印人、打印计算机和打印时间进行统计分析,对客户端主机的PC、内存、硬盘、

13、显卡、光驱等外设进行资产审计管理并提供图文并茂的审计报告,解决之道-监控审计,32,设备安全-外设控制,设备数据接口：对并口、串口、USB等数据接口和光、软等设备接口进行控制，防止被非授权使用,具有设备扩展性，能够控制新增的设备接口类型,能够进一步区分HID输入设备、存储设备和其他类型设备等,对刻录光驱提供只读功能的控制，防止刻录功能的滥用。,解决之道-监控审计,33,设备安全-外设控制,设备数据接口：对并口、串口、USB等数据接口和光、软等设备接口进行控制，防止被非授权使用,具有设备扩展性，能够控制新增的设备接口类型,能够进一步区分HID输入设备、存储设备和其他类型设备等,对刻录光驱提供只读

14、功能的控制，防止刻录功能的滥用。,解决之道-监控审计,34,打印输出设备,非法接入控制,针对打印机，制图机等输出设备的安全控制，防止打印输出结果被非授权查看和获取。,防止非授权计算机通过现有的或者空余的网络接口（交换机接口）接入内网；防止外来计算机通过网线交叉直连的方式与内网涉密计算机建立数据通信。,X,设备安全-外设控制,解决之道-监控审计,35,介质使用-非授权的介质不能在内部系统或单机上使用，不同安全等级的信息存取介质不能交叉使用。携带外出的介质处于有效控制之下,存储在内部使用介质上（硬盘或者移动存储设备）的数据提供加密等措施，防止因为介质丢失或者被窃取导致数据泄密,对可移动设备的接入进

15、行鉴别，控制可移动设备的非授权接入。可以提供禁用、只读、安全读写和普通读写的多种灵活授权机制,移动存储介质的管理,解决之道-移动存储管理,36,解决之道-扩展平台,37,双线进展，共同促进，将数据保密对日常工作的影响降低到最小,解决之道,38,部署前机构图,部署前,Switch,PC,PC,PC,PC,PC,PC,PC,解决之道,39,部署后效果图,安全域A,安全域B,需注册,需注册,硬盘加密,VCN Server,VCN MC,系统盘禁写,解决之道,40,部署后结构图,部署后,VCN Server,VCN MC,VCN agent,VCN agent,VCN agent,VCN agent,

16、VCN agent,VCN agent,VCN agent,解决之道,41,网络传输,外设接口,登陆身份认证,网络访问权限,身份认证,本地磁盘加密,移动存储加密,存储介质,虚拟保密子网,网络传输加密,文件外发控制,文件外发加密,邮件智能加密,单点登陆,系统分区保护,数据,监控审计,实时监控,文件分发,应用控制,邮件监控,网址监控,FTP控制,打印记录,文件操作记录,IP地址绑定,IP端口控制,MSN聊天记录,资产审计,屏幕历史记录,扩展功能,负载均衡,安全网关,服务器多级管理,USB令牌支持,服务器双机热备,Windows域用户支持,客户端保密文件,客户端保密磁盘,外设管理,刻录光驱控制,数据

17、保密为核心,监控审计为辅助,易用扩展平台为支撑,身份认证为基础,QQ聊天记录,解决之道,42,产品优势,技术优势,性能优势,资质优势,整体一致的解决方案：覆盖内网安全各个范畴，实现内网安全均衡管理；产品紧扣ISO 27001/BMB 17等技术标准，全面满足组织内部信息系统安全建设要求；,全面的资质认证，所有研发产品都通过了国家保密局、公安部和军方权威检测机构认证；,产品的兼容性、稳定性好；历经五年时间的产品预研和市场考验，用户涵盖了政府、军工和企业等广泛市场；,稳定、强大的研发力量，核心研发人员均来自中科院、清华大学，在信息安全领域具有长期的研发经验。,全方位的领先优势,Chinasec-产

18、品优势,43,内网安全涉及到复杂的安全体系，需要足够的重视,选择最合适的，勿求最好的。,完善的内网安全管理体系是可以做到的，但需要完整的从需求分析、方案制作到规范部署的流程。,永远不要指望靠一套产品或方案模板解决所有的问题。,经验分享,44,典型案例与价值评估,核心知识产权和专利的保护-制图文件防止泄密-研发资料保密（设计图纸等）-模具设计专利保护针对销售、采购和商务环节的行为管理和审计应对海外市场对专利保护的要求，实现定向的数据传播,关注数字知识产权保护，保持企业持续竞争力,内网安全需求的提出,A公司：科技型上市公司，中国工程机械装备制造龙头企业，主要从事建筑工程、能源工程、交通工程等国家重

19、点基础设施建设工程所需重大高新技术装备的研发制造,45,涉及部门：研发、设计、销售、采购、商务和海外事业部,需求分析及解决方案,身份认证和授权管理（全部）存储加密（研发和设计部门）OA文件的外发加密（研发和设计部门）邮件监控（销售和采购部门）桌面综合管理和监控审计（全部）非法接入和非法外连监控（全部）,典型案例与价值评估,46,海关总署公安部国家考试中心民航总局云南某市党政机要网中国银行南京市委办公厅中国航天科技陕西人民广播电台中国农业银行中国工程物理研究院解放军二炮某研究院海南省检验检疫局中科院微电子所,典型案例与价值评估,47,中联重科奇瑞汽车民生药业步步高北京德信无线广东朗能集团曲美家具

20、华帝集团青岛一汽成都城市规划设计院南阳防爆集团经纬纺织股份赫克力士普天化工,典型案例与价值评估,48,中石化新东方天瑞（中国）仪器特步（中国）一汽夏利东立通信华晨汽车深圳日海通讯河南少林客车Staples五羊本田内蒙众兴集团深圳益田房地产北京航天智通微宏科技,典型案例与价值评估,49,宁波贝发霍尼韦尔中广核（大亚湾核电站）北京信威通信青岛双瑞天綦科技中国燃气集团深圳捷高电子宇龙通信江苏飞翔化工上海电气科陆电子美斯达上海医药苏州龙盛成都南光,典型案例与价值评估,50,Q&A,MajpjMVcyzj21HLfrvy96dv02lPPfYgxUS7IYmZkyEmZ0kGeYZS3bpLCkYH1l

21、t4EK7CxmUX3ijoYSOer7ZuaVWYgz4EpZrUirVpMzzvNtf1XZw5oswSXOtFaejnOcmfE1lZgnN1RSXg8wLCG8CVQ3XPJMvodPFWcpiYJgZazNSEPNIaklYSu7qSd1UpaxmZDlpN9zW7kljfsLCLi26Yv109ffbnDH8LbUN1G6ACURQ39eG12KHL9tXsZ1jzgoCK8g1kuNOh5eFvcmVT5ZYVQt9zk3rp3qLnf02FovEXxVRxjCcFRNppiJljNiOuk6fONnyX7fyGg7sXZ49BmCN5oy9VesHpKzdjTKwjrkCEQC

22、FDehVmGax3lrOEbw63VscA3YSijtUKoCyiLzAlVRp7l4QgPNHxvJFFDyjUVN3oHlMah0XBd4uTbkfPIhHtw0evPmYOrdhEDoPwvYhzlGplU1AU9mpyiCXH8gpPCBRYjq77VcnbXumNE1yGfyTsbSj89J63kRTKDkKUg3mdS5sJ4X5cQ8dK7oW9IkScssECQdz2O9UTlpRjAFPChjhLdzopQzwxQf8ozdzOhogwAooXpUF83BX4C3jRgjDJiiXEUDMaNz4vQ4n164vspddHvOIVuBBdMA4xp1YhiHk0vOJ8TL

23、1BxogzVlMpmod6ianYGmksQq6NWCEd56hZF4wfaNyZcrGfNxnPiG6ZAxSkfmhJAKtNmCqbRmppeXp8inz4eq3HkWCMSORyMMX522xpHG6basNr6KQfbZsFbHjzyNlJrruLolKFcC84dqfijBO5Dy2NaBcNEBPgQrT12PgpcKx2or2YChN5DPjs80zzdtdAdTKuW4uVv9bbZu3K2SZ2aEhTlIC1UqrIWibkzwHh6p8gLv26zr01mJybfOzFc4T7kQH1IpPwOzMDnAKPLsLrznXGjFNIA9bSWWms6ibKZwQIKrMzalwbFrQJvOP1rPH8rx2KkyYqrtQk5VRwM1HSX,