1、 中孚 信息股份有限公司 第 1 页 内网信息 安全 防护解决 方案 中孚信息股份有限公司 版权所有 翻版必究 中孚 信息股份有限公司 第 2 页 目 录 一、 背景 .3 二、 建设目标 .3 三、 平台总体设计 .4 1. 平台应用架构 4 2. 分级部署 5 四、 平台功能描述 .6 1. 内网接入控制 6 2. 终端安全防护 8 五、 项目预算 . 17 六、 平台系统特点 . 18 1. 符合技术标准要求 18 2. 体系自身安全性强 18 3. 组件化模块化设计 18 4. 终端系统兼容性强 18 5. 终端防被终止卸载 18 6. 技 术市场成熟度强 18 七、 产品应用 . 1
2、9 1. 政府领域、军队 19 2. 公检法系统 19 3. 中央企业、军工企业 20 中孚 信息股份有限公司 第 3 页 一、 背景 中办、国办 联合印发的 “十二五”时期全国保密事业发展规划 、以及 国家保密局 印发的 “十二五”时期全国保密系统信息化建设规划 , 对全国信息安全 工作提出了明确要求, 需要 加强对 内网计算机的监督管理、技术管控、检查查处等相应的安全防范措施。加快提升安全保密系统信息化,促进数据共享、形成全面的数据辅助决策分析与支持, 提高管理部门的监测预警能力、发现处置能力 。 中孚 信息 内网信息安全防护综合解决方案 , 包括 网络准入控制、 终端安全 防护、 检查
3、查处 、敏感信息实时监测等功能 ,实现 网络安全、信息 安全 、技术防护 和 管理工作的网络化、信息化。平台 采取 统一规划、部署,采用模块化的系统架构,能灵活扩展。 针对不断变化的保密防护 要求和新的窃密技术,能够有效地动态跟踪,避免重复建设投资,不断满足 信息 安全保密 工作发展的需要。 二、 建设目标 根据 XXXX 内网实际情况 , 结合中孚目前产品功能情况,本次建设预期达到以下目标: 1、 规范 内网 用户接入 实 时监测和识别 所有入网计算机信息,非法计算机或违规计算机立即隔离出网 ,接入专网的计算机需经过主管部门的审查、审批,严格用户身份管理,并可根据业务需求,限定访问权限 ;
4、对入网设备 进行安全指标检查,主要包括按照规定必须安装的软件检查、 设备在网情况、设备违规情况及 其他应用软件检查等, 可 防止用户非法卸载等行为发生,确保软件的存活率。 2、 移动存储介质管控 对 内网 使用的移动存储介质进行管控,经过授权的移动存储介质 才能在 内网 授权范围内使用,未经注册的移动存储介质无法在 内网 使用,主管部门可限定移动存储介质的使用范围 ,并能实现专网计算机其他 外设设备的控制(如红外、蓝牙、光驱等)。 可单独指定计算机作为输入输出专用计算机,配合单向导入设备。 3、 违规外联监控 对 内网 计算机连接互联网进行监控, 一旦违规连接互联网,则立刻阻断网络,并报警。
5、中孚 信息股份有限公司 第 4 页 4、 终端安全登录防护 实现 内网 的边界安全防护,采用用户身份认证方式,实现终端计算机的安全登录控制。 5、 敏感信息实时监控 对 内网 计算机存储的信息进行实时监测,针对起草、编辑、存储以及插入的移动存储介质中的信息进行实时监测,一旦有敏感、涉密信息,则立即报警 ,并对违规行为进行有效的审计和取证。 三、 平台 总体设计 整个平台包括 4 大方面 ,平台充分考虑了模块化、组件化的设计,系统可统一部署,也可分批分级实施,后期可动态的增加子模块 (如光盘刻录、打印监控、补丁分发等) ,自动化升级减少人工安装实施,有效的避免重复建设投资 。内网功能架构图如下图
6、所示: 1. 平台应用 架构 平台由管理端、终端组成的 B/S, C/S 相组结合的模式 。 管理端 由 管理中心、审计中心、通讯服务器、数据库服务器等组成 。 终端软件由介质控制、违规外联、光盘、主机监控审计等中孚 信息股份有限公司 第 5 页 组成 。系统架构图如下图所示: 2. 分级部署 平台可 级联 部署,支持 大规模集中管控。支持分级数据实时查看、策略发下管控等功能,下级单位也可层层上报数据,形成全网数据汇总。 平台分级部署图如下图所示: 中孚 信息股份有限公司 第 6 页 四、 平台 功能 描述 按照 XXXX 目前的情况,建设 形成以内网 “信息安全综合 防护 管理平台” 为核心
7、的 安全监管 体系,下面 针对 对 所 涉及到的接入控制、 终端防护 、敏感信息监控等 方面做详细的 介绍 。 1. 内 网接 入控制 中孚网络接入控制系统 ,是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统,秉承“无需改变网络、终端部署灵活”的特性,研制的新一代入网规范管理系统。 中孚网络接入控制系统 改变了 业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念。实现了广泛地结合用户已有的交换机、杀毒软件、 AD 域、 LDAP 服务器等,并完全实践了“入网 -在网 -出网”的整体化流程,能够达到“违规不入网、入网必合规”的管理规范。 中孚网络接入控制系统
8、的管理思路为:身份鉴别 安全评估 策略下发 实时监测 威胁响应 风险分析 网络治理。 产品功能支持包括:身份认证、设备智能识别管理、软件安装情况检查、全网安全结构管理、友好 WEB 重定向引导、基于角色的动态授权访问控制、可配置的安全检查规范库 、“一键式”智能修复、实名日志审计等功能。一方面满足等级保护对网络边界、终端防护的相应要求,同时提供更高效、更智能的网络准入防护体系。 设备图示 中孚 信息股份有限公司 第 7 页 1. 入网安全管理 实时监测和识别所有入网计算机信息( ip、 mac 地址、所属部门等), 非法计算机或违规计算机立即隔离出网,保证所辖网络的和谐规范; 对入网计算机进行
9、安全指标检查,主要包括: 杀毒软件检查,主要检查杀毒软件的安装情况,同时对其他杀毒软件的安装情况进行上报和统计; 补丁更新情况检查,对严重和重要的补丁进行自动修复更新,并记录全网补丁更新的情况; 对所有设备进行 ip-mac 绑定,私自修改 ip 地址的计算机将被及时阻断出网,违规行为将被及时上报; 其他必须安装软件 (如中孚 内网综合防护系统、敏感信息 监控 、杀毒软件 等)的检查和管理; 不符合安全指标要求的高危计算机进入隔离区,并能够及时得到修复; 入网人员身份鉴别,入网需要经过身份认证; 中孚 信息股份有限公司 第 8 页 2. 在网安全管理 对所有在网计算机下发安全策略,规范人员的网
10、络行为和计算机使用行为; 对全网的 ip 使用情况进行有效管理,形成 ip 地址池的全局视图; 能够对出现问题的计算机进行远程维护; 生成一体的接入安全视图,对机构所辖的 网络进行实时的观测,并依据数据和报表制定相应的网络管理规范,从而符合 PDCA 的管理模型。 3. 出网安全管理 对所有出网的计算机进行审计,从而记录所有接入计算机的在线时长,方便跟踪其网络访问行为; 形成接入计算机的历史安全记录,方便集中进行统计和安全汇报。 2. 终端安全防护 终端安全防护系统主要包含以下部分: 终端安全登录 、 违规外联监控 、 介质使用管理 、 主机监控审计 、 打印审计、 光盘刻录审计 、 资产管理
11、 、 补丁软件分发 等,可同步建设,也可后期中孚 信息股份有限公司 第 9 页 进行扩展建设 。 2.1 终端安全登录 加强对 Windows 身份验证,进行实名制身份登录审计。 支持多种登录验证方式( PIN 码、 CA 证书、登录码) 管理端统一对登录 KEY 进行实名制登记、授权; 详细记录系统登录、注销、锁定,解除绑定等操作日志 2.2 违规外联监控 内网计 算机违规连接国际互联网和其它公共信息网络将会带来极大的泄密风险 。对管辖范围内计算机的 “ 一机两用 ” 、 “ 违规外联 ” 等行为进行统一监控和管理,这也是管理工作的关键。 违规外联监控模块 主要用于监控内部计算机通过电话线、
12、 ISDN、 ADSL、无线网卡、GPRS/CDMA、双网卡、代理服务器等多种方式导致的内网涉密计算机连接互联行为,一旦发现违规外联 国际互联网,第一时间上报 信息 安全 主管部门,并阻断计算机的网络连接,杜绝非法外联的可能,有效保障 信息的安全。 日志会保留在终端计算机,重新接入内网后,则立即上传到管理平台。 如需要管理员在计算机违规外联时,立即收到报警,则需要搭建外联监控平台,外联监控平台部署在互联网, 产品由报警中心、 报警信息处理 中心、 网络单向传输 设备组成,可实现短信、邮件、声音等方式进行既时报警 。 中孚 信息股份有限公司 第 10 页 外联监控平台 外联监控地图 一旦有计算机
13、违规接入互联网, 在监控屏上动态显示违规计算机详细信息,所属单位、部门、责任人、计算机网卡 MAC 地 址、操作系统、主板序列号等。报警信息处理服务器解密并呈现给 管理人员。 通过短信、邮件、声音、地图多方 式提醒 管理人员及时处理。 。 中孚 信息股份有限公司 第 11 页 2.3 介质 管理 该 系统提供了对可移动存储介质从购买、使用到销毁整 个生命周期闭环管理控制 ,借助于注册授权、身份验证、密级识别、访问控制、驱动级文件加解密、日志审计等技术手段对可移动存储介质进行失泄密防护,真正增强移动存储介质的保密管理,做到“拿进来的非法移动存储介质用不了”、“拿出去的涉密移动存储介质不能用” 。
14、 移动存储介质由管理中心、审计中心、终端代理以及专用安全 U 盘等组成。管理端界面 如下: 介质管理系统通过对终端外设端口的控制,如 智能手机 、 蓝牙、红外等端口的禁用,保留光驱、打印有限数据口的可控。 如下图所示: 中孚 信息股份有限公司 第 12 页 系统提供对内部普通 U 盘注册登记,终端软件根据 U 盘权限情况进行放行、只读、禁止等控制等。也可通过一种专用的安全 U 盘, U 盘拥有独立的数据安全区,必须通过私有接口访问,按键式口令验证,能够有效的防止病毒木马。 该系统支持单向导入设备 ,用户可选择指定部分计算机配备单向导入设备,实现数据的单向导入,关于数据导出, 可通过刻录光盘的方
15、式,该模块同时支持普通 U 盘可信策略 ,通过此 U 盘可以将数据导出。 中孚 信息股份有限公司 第 13 页 2.4 主机监控审计 新标准主机监控审计,主要针对 15 大类审计,重点侧重于违规行为审计 。 主机监控审计系统构成图 用户可灵活的配置关注的审计项目,完成主机的行为监测、事件审计,对非法行为进行详细记录,完成追踪、审查和取证。 中孚 信息股份有限公司 第 14 页 2.5 资产管理 完成单位计算机等相关设备的资产管理、形成对资产全生命周期的监管。 自动采集主机软、硬件详细信息 支持自定义资产维护 跟踪资产变更情况 生成资产详细信息报表 2.6 光盘刻录审计 (可扩展模块) 可能 存
16、在 刻录内容无从知道、刻录无法控制,造成数据泄密 等问题 。实现 审计、控制 两个方面的管理 。 一是审计,审计刻录的信息以及内容,实名制记录 。 二是控制,实现刻录权限、刻录时间、次数、文件类型、关键字、光盘类型进行全面控制。 通过控制光驱权限、光盘类型、文件类型、刻录时间、次数等,是否启用审批机制等。审计终端刻录信息以及内容、实现光盘刻录行为在可控范围之内。 中孚 信息股份有限公司 第 15 页 高级功能: 可形成条码光盘,在光盘面上打上一维码,二维码 可提供网络刻录机,像网络打印机一样,集中刻录、集中审计。 网络刻录机能够一次放置上百张光盘、自动化批量刻录 提供实名制刷卡刻录,刷卡后自动
17、执行 刻录任务,无须人工干予。 网络刻录机 刷卡器 中孚 信息股份有限公司 第 16 页 条码光盘 条码扫描器 2.7 补丁软件分发 (可扩展模块) 补丁分发解决内网及时打补丁问题,堵住微软安全漏洞,终端安全代理根据策略自动下载、安装所需补丁。 软件分发解决内网软件的推送安装、升级问题,减少人工实施降低人力成本。支持自定义软件分发,自动汇报安装情况,及时掌握安装状态 。 中孚 信息股份有限公司 第 17 页 五、 项目预算 项目预算表 序号 名称 配置 单价(元) 数量 总计 备注 1 中孚网络接入控制系统 中孚 ,服务器硬件 +软件 150000 1 150000 可选 2 内网综合管理平台
18、管理端软件 中孚 ,综合管理平台 50000 1 50000 3 内网综合防护系统客户端软件 中孚, 含介质管理模块、主机 监控与 审计模块、打印监控与审计模块、违规外联监控模块、资产管理模块 500 1 500 4 单向导入设备 中孚,多功能导入设备(制定输入 /输出计算机使用) 900 1 900 合计价格 小写(人民币): 201400.00 元 大写(人民币): 贰拾万零壹仟肆佰元整 中孚 信息股份有限公司 第 18 页 六、 平台 系统 特点 1. 符合技术标准要求 整个体系功能符合国家 公安部 等级保护等相关技术规范。 2. 体系自身安全性强 访问控制安全 方面, 系统管理员、审计
19、员、操作员 按各自权限范围进行管理,身份识别通过 KEY 验证,防止非授权访问。 3. 组件化模块化设计 可动态增加子系统、子模块,通过自身的软件升级系统进行升级,减少人工安装实施,有效的避免重复建设投资。 4. 终端 系统兼容性 强 兼容常见杀毒软件、主动防御软件,确保终端软件正常运行。 5. 终端 防 被 终止卸载 能够防止用户通过任务管理器 等专用工具,对软件终止、卸载终端,具备自我恢复机制。 6. 技术市场 成熟度强 技术 方面, Windows 驱动级外设端口控制、控制力度强,效率高、资源占用低,特别针对国外的软件、硬件设备等实现彻底控制。 市场 方面: 子模块检查从 2004 年就
20、形成产品,外联监控、介质管理等从 2006 年已形成产品,应用遍布全国各地。 中孚 信息股份有限公司 第 19 页 七、 产品应用 1. 政府领域、军队 中共中央办公厅 国务院办公厅 外交部 中央机构编制办 国家保密局 商务部 国家海洋局 国家林业局 全国政协 海关总署 共青团中央 全军技检办 空军技检办 总参三部 2. 公检法系统 山东省公安厅 辽宁省公安厅 山西省检察院 黑龙江检察院 山东省检察院 中孚 信息股份有限公司 第 20 页 3. 中央企业、军工企业 中国石油天然气集团 中国铝业集团 国机集团 中国国电集团 中煤能源 煤炭科工 中粮集团 中国电子科技集团 中国航天科技集团 中国船舶重工集团 航空工业集团
