西科分布式网络信息安全系统技术白皮书.docx

西科分布式网络信息安全系统技术白皮书.docx

《西科分布式网络信息安全系统技术白皮书.docx》由会员分享，可在线阅读，更多相关《西科分布式网络信息安全系统技术白皮书.docx（15页珍藏版）》请在冰豆网上搜索。

西科分布式网络信息安全系统技术白皮书

西科分布式网络信息安全系统技术白皮书

陕西西科电子信息科技有限公司二零零九年九月

目录

1开发背景.........................................................................................................................................................................2

1.1内网信息安全分析..................................................................................................................................................21.2内网信息失泄密途径及防护措施..........................................................................................................................3

2西安分布式网络信息安全系统.....................................................................................................................................4

2.1产品设计目标..........................................................................................................................................................42.2产品设计原则..........................................................................................................................................................52.3产品组成..................................................................................................................................................................52.3.1端口控制系统（SafePort.......................................................................................................................52.3.2网络控制系统（SafeNet.........................................................................................................................72.3.3资源管控系统（SafeReso.......................................................................................................................92.3.4内网信息审计（Audit.............................................................................................................................10

3产品功能.......................................................................................................................................................................11

3.1信息的防泄漏........................................................................................................................................................113.2外部设备接口管理................................................................................................................................................113.3网络控制................................................................................................................................................................113.4内网管控与审计系统............................................................................................................................................12

4产品特点.......................................................................................................................................................................12

4.1集中管理、分布防护............................................................................................................................................124.2内部系统信息防护体系........................................................................................................................................124.3内部安全策略管理机制........................................................................................................................................124.4系统自身安全保障体系........................................................................................................................................12

5体系结构.......................................................................................................................................................................12

6工作原理.......................................................................................................................................................................13

7运行环境.......................................................................................................................................................................14

8良好的兼容性与稳定性...............................................................................................................................................14

9相关核心技术简介.......................................................................................................................................................14

9.1网络控制技术........................................................................................................................................................149.2隐藏与反跟踪技术................................................................................................................................................149.3端口控制与保护技术............................................................................................................................................149.4WINDOWS内核嵌入技术......................................................................................................................................14

1开发背景

1.1内网信息安全分析

随着信息技术的高速发展,计算机信息系统在中国众多重要部门和领域得到广泛的应用,它对于中国政治、经济、军事、文化等社会各层面都产生了深远的积极影响。

但是与此同时,中国计算机信息安全存在的问题也十分突出,计算机泄密、窃密事件不断发生,给国家、军队、企业造成巨大的损失。

根据美国联邦安全局的资料显示,80%以上的信息安全问题来自内部用户窃密或泄密,在计算机安全事件中信息泄露造成的经济损失连续5年排在第一位。

随着信息化建设的进一步深化,内部网络数据安全成为计算机信息安全更为关键的领域。

它关注的对象不仅仅包括外部网络的所有用户,也包括了更可能引起信息安全威胁的内部网络用户。

我国相关部门统计,结果显示与美国信息安全情况类似。

惊人的结论:

1.2内网信息失泄密途径及防护措施

其泄漏方式及途径主要有以下几个方面:

1、受到黑客、病毒攻击,信息被篡改、窃取等;

2、计算机硬盘、笔记本电脑被盗;

3、外出携带笔记本电脑、U盘等存储介质丢失;

4、内部人员有意无意在网上传输重要信息;

5、内部人员非法拷贝窃取重要信息等。

主要的信息安全威胁:

内部安全问题解决

外网安全系统主要防止黑客攻击,以及由此造成的系统破坏、信息被盗,其核心是要防止黑客入侵。

内网信息安全系统除了要防止内部黑客攻击外,更主要的是对内部数据进行安全保护。

其各自保护的技术措施如下图1-1所示。

安全威胁人为因素自然灾害恶意攻击非恶意攻击外部攻击者

内部攻击者例如:

黑客、罪犯、竞争对手

例如:

对单位不满的人员

例如:

无知的疏忽例如:

洪灾、大火、地震龙卷风

图1-12西科分布式网络信息安全系统

2.1产品设计目标

信息安全专家将内网计算机信息安全归纳为以下七个问题:

如何防止非法人员进入服务器及用户终端窃取信息?

如何防止内部人员有意或无意拷走信息?

如何防止因存贮介质丢失或被盗造成信息泄漏?

如何控制内部人员利用互联网发送信息?

如何保证内部信息传输的安全?

如何在网内建立可靠、可行的计算机信息安全策略?

如何实时掌握信息流向及整个网络配置参数变化?

针对以上问题,我们开发出该计算机网络信息安全安全防护与审计系统。

西科分布式网络信息安全系统,综合利用Windows内核技术、访问控制技术、和审计跟踪等技术手段,对信息的存储、传播和处理过程实施安全保护,以防止敏感信息泄漏、违规外传,并完整记录信息的流向,以便事后审计和追究泄密责任。

本系统解决了目前用户最关心的上述主要的信息安全问题,适用于军队、研究所、政府机关、企事业单位。

与传统信息安全产品相比,本系统以“事前预防”为主,“事后追查”为辅。

由端口控制、网络控制、资源管控与信息审计等四个子系统组成。

2.2产品设计原则

西科分布式网络信息安全系统是在详细分析了用户实际需求的基础上,经过完善的系统规划和设计,综合系统的功能、结构、性能和安全因素,采用PKI技术、Windows内核技术、BIOS调用技术、截获技术、网络控制技术等多种手段研发而成,达到有效、方便的防护网络信息的目的。

2.3产品组成

信息的泄漏是数据安全管理的最重要方面,西科分布式网络信息安全系统在信息存储设备管理、信息传输途径管理和信息使用管理三个层面上提供了防止信息泄漏的技术手段。

这些技术手段支持集中配置和管理,并支持基于安全策略的管理和执行。

西科分布式网络信息安全系统由四个子系统组成,通过对四个子系统的针对性合理配置,构建用户单位完整的内部网络信息安全体系。

系统组成图如图2-1:

图2-1

2.3.1端口控制系统（SafePort

计算机端口是信息交换的最常用途径,即使网络非常流畅的环境,人们也习惯通过各种端口实现计算机与外部的信息交换。

随着技术的发展,各种传输方式的端口愈来愈多,端口的传输能力愈来愈强,端口存储设备存容量愈来愈大。

这些在方便信息交换的同时,也带来了通过端口进行窃密泄密的巨大安全隐患。

例如:

通过高速大容量的USB活动硬盘,可以在较短的时间内将一个局域网存储的重要信息数据全部拷贝走。

SafePort是一种强制的、透明的端口控制系统。

当该系统被安装后,计算机全部端口（如USB、软驱、光驱、串口、并口、红外传输端口、IEEE1394等端口和打印机、Modem、网卡等将被有效控制,并彻底控制计算机的连接能力;根据用户保密需求,这些端口可以控制为四种工作模式,即正常使用、禁止使用、保护输出、只读。

对外来磁盘如软盘、U盘、活动硬盘提供强制性地全透明拷贝数据保护功能。

SafePort端口控制系统控制计算机

上的全部端口,无论是拷文件,还是打印数据,不管在什么情况下,都处于可控状态。

系统功能:

1端口控制:

可以控制（关闭和启用计算机的一切向外连接设备,包括U盘、软驱、光驱、串口、并口、红外传输端口、IEEE1394等端口和打印机、Modem、网卡等设备,彻底控制计算机的连接能力。

2拷贝数据保护:

在打开端口的情况下,对计算机的一切拷出文件进行转换,包括安装本系统之后接新的新硬盘（防止通过挂接新硬盘窃获信息。

只有符合与被保护文件逻辑相同的计算机才能看到该文件,而对非保护数据按正常方式导入。

解决了不切实际的禁止使用端口而带来工作不便,允许使用又难于控制的矛盾。

3服务器统一配置与控制:

上述全部功能可以在服务器端配置完成,然后统一下发到客户端。

4实时监控与审计:

系统日志记录端口配置、修改信息;记录从端口输出文件信息;记录安装和卸载信息。

5易用性和透明性:

本系统充分考虑用户的使用,功能是透明的,用户根本感觉不到它们的存在,并且不可修改、删除。

6其他:

删除共享:

通过配置,可以强制禁止用户共享文件和目录。

设备识别:

可以自动识别设备,并且只对存储设备进行控制,而非存储设备则可以正常使用,给端口管理带来了方便。

本系统对计算机端口的控制充分考虑到端口操作给计算机用户带来的巨大方便,提供了对端口操作适合于用户需要的多种配置:

保护使用、正常使用、只读、完全关闭。

在防止内部人员有意或无意将文件拷出造成信息泄露的同时,又不影响通过端口合法进行信息交流的便利,这是目前其它类似产品所不具备的。

本系统另外一个设计考虑是易用性和透明性:

充分考虑用户的使用,功能透明,用户根本感觉不到它们的存在,同时安装和维护通过服务器完成,实现了集中管理,分布生效,使用方便。

典型应用

1单位整体使用,保证内部之间正常使用U盘,但U盘的文件拿出该单位无法使用,因为文件被保护;

2在公共场合的计算机上使用,防止文件被拷走;

3在重要的台式机和服务器上使用,防止信息数据被盗。

使用方法:

本系统使用非常简单,客户端没有任何显示,一切在服务器端进行:

结构和原理:

通过在Windows系统内核中加入过滤层,在文件拷出时自动转换成保护状态,在拷入时自动解除保护状态。

它的工作原理如下:

2.3.2网络控制系统（SafeNet

网络控制系统（SafeNet是一个分布式的网络控制系统。

分布式网络控制对整个网络、子网以及所有内部各节点均进行完整的安全防护,不仅防止来自外部的网络安全威胁,更多的防止内部网络网络攻击、间谍软件偷取机密信息以及病毒传播。

其体系结构包含如下部分:

分布式网络控制:

它是用于内部网与外部网之间,以及内部网各子网之间的防护。

与传统边界防火墙相比,它多了一种用于对内部子网之间的安全防护层,这样整个网络的安全防护体系就显得更加全面,更加可靠。

主机的防护:

用于对网络中的服务器和桌面机进行防护。

这是传统边界式防火墙所不具备的。

它作用在服务器以及每一个客户端,可以对其访问和服务进行非常

细致而完整地配置,以确保每个节点（包括服务器的安全。

安全策略管理:

分布式网络控制系统服务管理器负责总体安全策略的策划、管理、分发及日志的汇总。

这样整个网络防护系统就可进行智能管理,提高了整体安全防护灵活性,具备可管理性。

特点

（1主机驻留:

驻留在被保护的主机上,该主机以外的网络不管是处在网络内部还是网络外部都认为是不可信任的,因此可以针对该主机上运行的具体应用和对外提供的服务设定针对性很强的安全策略,把安全策略推广延伸到每个网络末端。

（2嵌入操作系统内核:

为自身的安全和彻底堵住操作系统的漏洞,主机防火墙的安全监测核心引擎以嵌入操作系统内核的形态运行,把所有数据包进行检查后再提交操作系统。

（3安全策略强制配置,集中管理,分布下发,独立有效:

安全策略由整个系统的管理员在服务器端统一安排和设置,除了对该桌面机起到保护作用外,也可以对该桌面机的对外访问加以控制,并且这种安全机制是桌面机的使用者不可见和不可改动的。

整个系统的安全检查机制分散布置在整个分布式网络控制体系中。

服务器下发到客户端的安全策略无论与服务器是否连接,一直保持独立有效。

（4增强了系统安全性:

具有对主机的入侵检测和防护功能,加强了对来自内部攻击防范,可以实施全方位的安全策略。

分布于整个内网的分布式网络控制系统使用户可以方便地访问信息,而不会将网络的其他部分暴露在潜在非法入侵者面前。

凭借这种端到端的安全性能,用户通过内部网、外联网、虚拟专用网还是远程访问所实现与企业的互联不再有任何区别。

分布式网络控制系统还可以使企业避免发生由于某一终端的入侵而导致向整个网络蔓延的情况发生,同时也使通过公共帐号登录网络的用户无法进入那些限制访问的计算机系统,防止内部人员通过网络泄漏机密信息,也防止外部人员通过网络盗走机密信息。

（5方便实施主机防护策略,对网络中的各节点可以起到安全的防护。

（6扩展性强。

主要功能

采用软件形式,功能配置更加灵活:

（1Internet访问控制

使用“Internet访问协议”,控制该工作站或工作站组在指定的时间段内是否允许/禁止访问模板或网址列表中所规定的InternetWeb服务器,某个用户可否基于某工作站访问www服务器,同时当某个工作站/用户达到规定流量后确定是否断网。

（2应用访问控制

通过对网络通讯从链路层、网络层、传输层、应用层基于源地址、目标地址、端口、协议的逐层包过滤与入侵监测,控制来自局域网/Internet的应用服务请求。

（3服务控制

对服务器和每个客户端都能进行专门的保护,将访问权限只赋予服务器上的应用所使用的必要的端口及协议,如HTTP、HTTPS、Port80、Port443等。

（4网络状态监控

实时动态报告当前网络中所有的用户登陆、Internet访问、内网访问、网络入侵事件等信息。

（5攻击防御

抵御来自网络内部以及来自Internet的黑客攻击,以及防止木马、病毒在网络内部的传播。

（6日志管理

对工作站协议规则日志、用户登陆事件日志、用户Internet访问日志、入侵检测日志的记录与查询分析。

（7系统工具

包括系统参数的设定、规则等配置信息的备份与恢复。

2.3.3资源管控系统（SafeReso

功能特点:

（1自动搜索详细的IT资产:

对所辖所有计算机IT物理资产实时扫描、记录、管理、监控,包括CPU、主板、内存大小、显卡、硬盘型号和容量,以及移动存储设备（如USB等;

（2记录并管理已安装的软件,包括:

BIOS系统、操作系统、应用软件以及安装的日期、版本;

（3完善的报警功能:

当上述IT资产或软件资源改变,将实时上传到服务器,并以日志

及警报的方式及时通知管理人员;

（4快捷、方便的查询功能:

支持多种组合条件的查询方式,如按照