1、基于 i-Safe 产品的信息安全解决方案基于 i-Safe 系列产品的企业安全解决方案1. 前言信息技术的飞速进步,推动了人类社会生产力的发展,改变了人们的生产生活方式。然而伴随着人们对计算机等信息终端、信息网络的依赖程度越来越高,信息安全问题也逐渐暴露出来,尤其是近几年的信息泄密事件也越来越多,从人隐私到企业经营计划,再到重要实验数据,国家发展计划等都有很多泄密的案例,这些事件轻则影响个人声誉,重则关系国家安全。为了解决这些信息安全隐患,公司组织研发了内网信息安全监控管理系统(英文简称 i-Safe)系列产品(以下简称 i-Safe 系列产品) ,能有效的将企事业单位内部的计算机网络、终端
2、、介质有效监控管理起来,协助单位开展信息安全管理工作,杜绝人脑以外的失泄密事件发生。2. 基于 i-Safe 系列产品的解决方案针对国内企事业单位目前的信息安全需求,本公司研发了 i-Safe 系列产品,为政府机关、国防机构、军工企业、科研单位等提供全套的信息安全解决方案。3.1 i-Safe 3.1.1系统概述i-Safe 是一个对内部网络系统进行安全管理、审计、检测控制、记录分析、报告的信息安全管理系统。它以完备的 PKI 密码体系为基础,集成了密码、身份认证、访问控制、检测、审计、分析等技术,对敏感涉密信息和数据的存储、传播和处理等提供全面的安全保护,并对系统运行状态与资源进行实时监控,
3、有效地降低和防止了主动或被动的信息泄漏,从而保障了系统信息的安全。它基于 i-Safe 系列产品的企业安全解决方案是目前国内功能最全面、最灵活、最务实的内部信息安全监管与审计系统之一。i-Safe 采取 CSA(Console Server Agent)设计模式,透过功能强大的Agent,对企业最为广泛使用的计算机系统(台式机、笔记本电脑和相关主机服务器等)进行访问控制、审计和安全管理。它能有效地监控、记录用户的操作行为,阻止系统中敏感信息的外泄,控制系统资源的滥用;能够实现敏感信息文件的加密存储和传输。i-Safe 支持安全策略,支持安全域和群组管理,能够将系统按照使用者的行政隶属关系进行安
4、全子域划分管理,实现使用者的安全等级划分及等级保护、安全域和群组管理。i-Safe 不仅能够管理计算机的软硬件资源配置及使用状况,而且能够控制、记录使用者的操作行为,还能够为计算机系统部署一套完备的密码体系保证桌面信息资产的安全。它既管理计算机资产,又管理资产的使用者;既管理软件,又管理硬件;既管理信息,又管理行为;既负责联网状态安全,又管理离网状态安全等等,是企业信息与网络安全产品中最为务实的安全产品之一。3.1.2 体系结构i-Safe 为了适应大规模计算机系统的安全管理需要,将系统分成三个层次C/S/A( Console-Server-Agent) ,每个层次执行不同的安全功能和管理功能
5、,并且这种层次结构可以根据企业的网络管理模式需要进行扩充和调整。 客户端(i-Safe Agent) 服务器系统(i-Safe Server) 安全管理中心(i-Safe Console) 内网信息安全监控管理系统客户端基于 i-Safe 系列产品的企业安全解决方案i-Safe 客户端是一个服务程序,用于防止系统的任何重要数据泄漏。系统为客户端的内部安全都设定了安全策略,并且会自动运行。i-Safe 客户端无法中止。i-Safe 客户端在安装过后,用户是不能删除或者中止该程序的。所有用户都受到安全策略的控制。i-Safe 客户端将会记录和控制客户端信息,诸如通讯、软件、打印、邮件、CDR/RW
6、,可移动存储设备操作等。i-Safe系统当前支持的操作系统: i-Safe Agent for MS Windows 2000 系列; i-Safe Agent for MS Windows 2003 系列; i-Safe Agent for MS Windows XP。 内网信息安全监控管理系统服务器系统i-Safe 服务器负责记录各种日志数据、客户端传过来的原始文件及其他们的状态信息。所有管理中心和客户端的交互信息都通过服务器进行中转。由于所有客户端信息输出不是来自同一安全子域,i-Safe 服务器依据他们不同的目的和来源排序并存储这些原始数据文件和日志文件到数据库中,以提供管理中心查询使
7、用。服务器对客户端发送的数据进行统计分析,提供诸如关键字等的查询方式。 内网信息安全监控管理系统安全管理中心i-Safe Console 实现大规模网络系统中多套 i-Safe 服务器的集中管理:策略管理、配置管理、证书管理和运行管理。i-Safe Console 能够管理多个服务器与客户端,能够实现大规模敏感信息/涉密系统的防信息泄漏和系统安全管理。3.1.3 功能介绍 网络通信方式信息泄漏防护功能网络通讯方式信息泄漏防护是失泄密防护的重点之一。i-Safe 的网络通讯方基于 i-Safe 系列产品的企业安全解决方案式信息泄漏防护实现了基于 SPI 的分层防护和多级别控制。在网络层实现对任意
8、 IP 地址和 TCP/UDP 端口的访问控制。在应用层结合常见应用(FTP/HTTP/SMTP/TELNET)的端口实现了对诸类应用的访问控制,通过对 URL 地址的判断实现了对 WEBMAIL/BBS 的访问控制。网络层控制和应用层控制在不同层次发挥作用,提高了网络通讯方式信息泄漏防护的可靠性和灵活性。网络层控制分项有: IP 访问控制; TCP 端口访问控制; UDP 端口访问控制。应用层控制分项有: FTP 控制; HTTP 控制; SMTP 控制; TELNET 控制; WEBMAIL/BBS 控制。访问控制策略有自由访问,完全禁止和条件防护三种,具体描述如下: 自由访问,不记录日志
9、。 禁止访问,不记录日志。 条件开放,记录日志。允许自由进行访问,但是其任何访问足迹都将被记录日志。可以设置黑、白名单。被列入“白名单”中的,将允许自由地进行访问,不记录日志;被列入“黑名单”中的,将禁止访问。FTP、SMTP 方式有可能外传文件信息造成泄密,因此有必要对外传内容进行备份。FTP 和 SMTP 方式中,系统将自动备份外传文件信息,全文加密存放到服务器上并在日志中记录该文件路径。只有 admin 权限加两个硬件令牌才能审计备份文件内容。 移动存储介质信息泄漏防护功能移动存储介质是主要的信息泄漏途径之一。移动存储介质防护包括软盘存储器防护,可移动存储器防护和 CD-R/W 防护。此
10、处可移动存储器包括 USB基于 i-Safe 系列产品的企业安全解决方案接口和火线 1394 接口的所有可移动存储设备,包括 U 盘、移动硬盘和 MO 盘等,以下可移动存储器所指的就是这些设备。对可移动存储器的控制有如下策略: 禁止使用,不记录日志。 自由使用,不记录日志。 只读,不记录日志。 只能从移动存储设备拷出数据到客户端,不能从客户端向移动设备拷入数据,移动存储器相当于只读的光盘。 自由使用,记录日志。设备可以自由使用,但所有在设备上的操作都将被审计。 自由使用,内容审计。设备可以自由使用,但所有在设备上的操作都将被审计。此外所有拷贝的文件内容将自动备份到服务器上加密存储,只有 adm
11、in 权限加两个硬件令牌才能审计文件内容。 拷贝加密,记录日志。所有从客户端硬盘拷贝到移动存储设备的数据自动加密,并记录日志。从移动存储设备拷贝到客户端硬盘自动解密。整个加解密过程是透明的,对用户的使用没有影响。对 CD-R/W 的控制有如下策略: 禁用 CD-R/W 设备,不记录日志 自由使用 CD-R/W 设备,不记录日志 移动存储介质绑定功能系统对 USB 接口的移动存储设备提供存储绑定功能。移动存储设备可先在管理中心进行注册,USB2.0 以上 U 盘注册时读取硬件序列号,USB2.0 以下的U 盘和移动硬盘采用系统产生的序列号。注册后的移动存储设备可与计算机帐户进行绑定,下发策略后,
12、未绑定的 U 盘在该计算机帐户上禁止使用,而绑定的 U 盘使用移动存储介质管理策略。对 U 盘绑定有如下控制策略: 不绑定 U 盘。基于 i-Safe 系列产品的企业安全解决方案 U 盘绑定(只支持硬件序列号) 。提供 U 盘绑定功能,但只绑定硬件序列号,没有硬件序列号的不能进行绑定。 U 盘绑定(支持硬件序列号和软序列号) 。提供 U 盘绑定功能,有硬件序列号的绑定硬件序列号,没有序列号的写入系统唯一的软序列号。 打印机信息泄漏防护功能用打印机打印信息也是主要的信息泄漏途径之一,故打印机信息泄露防护是系统的重要组成部分。打印机包括网络打印、本地打印,和虚拟打印等,下面的控制策略全部适用于这三
13、种打印方式。打印机信息泄漏防护有如下控制策略 自由使用打印机,不记录日志。 禁止使用打印机,不记录日志 自由使用打印机,记录日志。打印机可以自由使用,但所有打印机操作都将被记录,保存到日志文件中。 外设与接口信息泄漏防护功能客户端根据下发的策略,启用或者禁用与信息泄漏有关的外设接口与设备:外设与接口防护有如下策略: 禁止使用,不记录日志。 自由使用,不记录日志。管理的主要外设和接口有:A、接口 串行接口 并行接口 PCMCIA 接口 红外接口基于 i-Safe 系列产品的企业安全解决方案 蓝牙接口 Compact Flash 接口B、外设 MODEM 无线网卡外设接口信息泄漏防护是失泄密防护的
14、辅助手段,从硬件层次阻断信息泄漏的途径,较其余三项失泄密防护手段更为严格,但是也失去了相当程度的灵活性,用户应结合实际安全需求谨慎选用。 文件安全服务功能文件安全服务提供了对敏感文件的安全防护,采用了非对称算法,用户、小组和安全域具有各自独立的证书,私钥对,用户可以根据实际需要对不同范围用户群采用不同的加密方式。对于“个人加密”方式加密的文件,其他用户无权解密查看此文件;对于“小组加密”方式加密的文件,该用户所在小组下的所有用户都有权解密查看此文件,其他小组的用户无权查看;对于“安全域加密”方式加密的文件,整个安全域内的用户都有权解密查看此文件。其具有以下特点: PKI 密码体系 对称/非对称
15、密钥体系支持,使用 AES 对称算法与 RSA 非对称算法嵌套对文件及目录加/解密 最高支持 2048 位密钥长度,128 位初始化向量 不同安全域加/解密(个人、小组、整个安全域) 支持数字签名 文件彻底粉碎功能 扩展身份认证功能管理控制策略: 接管 windows 认证 不接管 windows 认证主要特点:基于 i-Safe 系列产品的企业安全解决方案 客户端 Windows 系统登录认证接管扩展 支持 USB KEY 硬件令牌 支持射频卡令牌 支持动态口令认证 支持生物技术认证 非法接入扫描报警模块要成为一个全面、完善的敏感信息防护系统,非法接入扫描是不可或缺的重要功能之一。本模块可快
16、速、准确地扫描整个内网的在线主机,从中发现未安装客户端的主机,或安装了客户端,由于各种原因未运行的主机,并在管理中心报警。 扫描非法接入系统的主机(未安装客户端) 扫描联网未运行客户端的主机(已安装客户端) 可透过大部分的防火墙 扫描结果在管理中心报警 非法接入阻断非法接入阻断功能是对非法接入扫描功能的延伸与完善。通过非法扫描功能捕获当前接入内部安全网络的计算机,进而采取措施封杀其网络接口,禁止其通过网络访问内部信息资源。 非法外联管理对于内网中的涉密计算机安装好客户端后,如果未经授权允许,非法接入公网,本系统会自动采取措施,禁用其网络接口,防止失泄密事件的发生,并生成响应告警日志信息。 禁止
17、程序运行对于内网中的涉密计算机安装好客户端后,管理员可以禁止客户端运行某些程序;只要将需要禁止运行的程序列入黑名单里即可。 系统资源安全管理功能基于 i-Safe 系列产品的企业安全解决方案系统资源包括硬件资源和软件资源。如果策略设置为允许获取硬件资源,则系统每次启动时自动获取系统的硬件资源信息。有变化则报警;系统软件资源在选中客户端时自动刷新。完整的系统资源管理信息包括:硬件资源: 主板配置:包括主板、处理器和 bios 的详细信息,如型号、主频、制造商、版本等等。 视频系统:包括显卡和显示器的详细信息,如显示芯片、显存容量等等。 存储系统:包括内存和硬盘等的详细信息,如内存类型、大小、条数
18、等等。 网络系统:包括网卡的型号、制造商和网络配置信息等。 外部设备:包括键盘、声卡和各种接口等。软件资源: 基本信息:操作系统和计算机摘要信息。 软件列表:主机安装的程序信息,包括名称、开发商和时间等。 用户列表:主机操作系统所有用户的信息,包括帐户名、帐户类型、帐户状态和描述等。 进程列表:主机操作系统当前运行的进程,包括进程名、进程 id、内存使用等。 网络连接:主机所有当前存在的网络连接信息,包括源地址、目的地址、源端口、目的端口、协议类型和连接状态等。 网络共享:主机所有共享文件夹信息,包括共享名字、共享目录和描述。 系统窗口:主机打开的所有窗口标题列表信息。 违规事件管理模块违规审
19、计管理本模块可以对各种事件进行审计管理,可以根据需要设置各种违规事件是否需要审计,如果设置了审计,则监控相关违规事件并产生审计日志保存至服务器。基于 i-Safe 系列产品的企业安全解决方案 系统违规审计 U 盘违规审计 打印违规审计 接口违规审计 外设违规审计 IP 改变审计 硬件变动审计违规告警管理对上面的违规事件进行告警方式的管理。 窗口告警 声音告警 邮件告警 计算机安全管理功能共享管理 系统可设置为屏蔽 C$、D$、ADMIN$ 等系统默认共享 系统可远程取消客户端的共享IP 管理 系统可锁定 IP, 客户端用户不能修改 IP 管理中心可远程修改客户端 IP目录监控管理管理员可以设置
20、监控客户端的特定目录,只需将客户端的特定目录添加到目录列表中,就可以监控客户端该目录的所有操作,包括文件添加、删除等。 综合审计分析功能 多条件过滤器的归类、检索 多种图表显示 报表生成打印3.1.4 应用部署基于 i-Safe 系列产品的企业安全解决方案i-Safe 为了适应大规模计算机系统的安全管理需要,将系统分成三个层次管理中心/服务器/客户端,即 C/S/A(Console-Server-Agent) ,每个层次执行不同的安全功能和管理功能,并且这种层次结构可以根据企业的网络管理模式需要进行扩充和调整。部署应用一i-SafeAgent客户端客户端i-SafeAgent客户端客户端i-S
21、afeConsole安全管理中心安全管理中心i-SafeServer服务器服务器安全域安全域安全子域安全子域安全子域安全子域部署应用二基于 i-Safe 系列产品的企业安全解决方案i-SafeAgent客户端客户端i-SafeAgent客户端客户端i-SafeConsole安全管理中心安全管理中心i-SafeServer服务器服务器安全域安全域安全子域安全子域安全子域安全子域i-SafeConsole安全管理中心安全管理中心部署应用三i-SafeAgent客户端客户端i-SafeAgent客户端客户端i-SafeConsole安全管理中心安全管理中心i-SafeServer服务器服务器安全域安
22、全域安全子域安全子域安全子域安全子域i-SafeServer服务器服务器3. 结束语i-Safe 系列产品以需要保护的数据信息为中心、以用户为对象、以设备为管基于 i-Safe 系列产品的企业安全解决方案理单元;凭借内网统一安全策略的支持,它预防和禁止了安全意识薄弱的用户以及有意盗窃内部敏感数据信息的用户通过网络连接、移动媒体介质、接口外设与打印机等途径造成的数据信息泄漏,同时向安全意识强的人提供了主动的文件加解密服务,从而有效地保证了电子数据信息安全;依靠统一的安全策略,它还提供了强大的个人计算机软、硬件资源管理控制能力,并对个人计算机的文件系统的安全操作做了特别的管理和控制,从而实现了对内部网络特别是其中敏感电子数据信息的安全管理。产品之间互相配合、和谐统一,为客户提供了完善的信息安全解决方案。为了您企业、部门和您个人的信息安全,i-Safe 内网信息安全监控系统的企业解决方案无疑是您不可缺少的选择。该方案已成功地应用于包括某多个研究所、电力公司等诸多行业极大地方便了企业的现代化管理,受到了一致好评。
