电力规划设计院知识产权保护方案.docx
《电力规划设计院知识产权保护方案.docx》由会员分享,可在线阅读,更多相关《电力规划设计院知识产权保护方案.docx(29页珍藏版)》请在冰豆网上搜索。
电力规划设计院知识产权保护方案
电力规划设计院知识产权保护方案
1需求分析
电力规划设计院一般是统一的网络,通过统一防火墙进行出口控制,因为内部存在通过Internet跟外部网络进行设计图纸交换、资料查找的需求,所以目前除了能够对内部POP3和SMTP服务器进行比较有效的控制外,其它网络交换途径如Web和FTP服务基本无法管理,可能造成机密设计图纸的泄漏。
另一方面,由于计算机终端外设端口数据交换的方法越来越方便,特别是移动存储设备(如U盘)等的广泛使用,使得设计图纸等机密文件的保密性更加难以控制。
这些设计院重要材料的泄漏,对设计院的知识产权保护构成极大的威胁,需要从技术手段和管理手段进行提升,建立有效的设计院知识产权保护体系,维护和提高设计院的长期竞争力。
归纳起来,电力设计院的需求有下述几点。
1.开放网络的保密管理
在电力规划设计院,因为工作人员需要上网进行资料查找,也需要跟其它外部网络进行设计图纸的交换,所以网络必须对外开放,否则将严重降低设计院的工作效率。
但是,网络开放随之带来的问题就是信息的不可控制性,内部设计人员或者计算机上的木马可能把设计院的重要资料通过网络泄漏出去。
所以,必须提供一种有效的解决方案,可以在开放的网络状态下,实现关键资料的知识产权保密。
2.存储设备的保密管理
存储设备是网络之外最主要的数据交换途径之一。
目前,随着轻便的移动存储设备越来越普及,对数据保密的管理提出了更高的挑战。
如何实现对移动存储设备和甚至本地硬盘的有效管理,防止重要资料的泄密是电力设计院安全系统的关注点之一。
3.网络行为的审计监控
为了加强对设计院内网的有效管理,提高应对内网安全风险的能力,还需要提供对主机的一些审计监控功能,主要包括:
邮件监控、网页监控、FTP监控和文件操作监控等。
4.图纸文件的交换安全
设计院作为电力行业的设计单位,经常需要跟客户进行图纸或者其它文件的交换;在单位领导出差或者不在设计院的情况下,也需要通过网络将文件发给领导审批。
所有上述的情况,文件都需要脱离内网,在非安全的数据载体或者链路上进行交换,为此,需要提供一种完善的解决方案,实现以下要求:
Ø文件脱离时必须以加密状态保存;
Ø文件只能由指定的接受者阅读,即便是发送者本身,在文件脱离内网安全环境下也无法阅读使用该文件。
5.移动计算机的安全性
设计院的工作人员经常要出差到客户现场,为了防止笔记本途中丢失,或者在客户现场并其它人偷阅材料,要求提供对计算机的安全管理手段:
Ø非授权人员不能进入计算机操作系统;
Ø员工离开计算机自动锁定;
Ø计算机或者硬盘丢失不会造成数据泄密。
6.安全系统的可扩展性
由于安全的需求可能随着信息化程度的提高和业务的需要增加,所以本方案提供的安全系统必须具备可扩展性,主要考虑要点如下:
Ø员工身份统一管理认证的需求,以及使用第三方数字证书的兼容性;
Ø应用系统数字签名的可能性;
Ø新应用的支持。
2解决方案
2.1设计原则
1.安全系统应该统一规划,分步实施,实施各个阶段应该保持良好的衔接;
2.安全系统与应用相关性应该尽可能低,支持应用系统的升级和新应用的扩展;
3.安全系统的选型必须是基于现有的成熟产品和系统,具有可靠的稳定性;
4.安全系统应用具有良好的可管理性和可维护性,有统一的管理中心,依据“分布式控制、集中式管理”管理的原则;
5.安全系统必须具有良好的易用性和兼容性,不会改变业务系统的主要结构,也不会对业务系统的操作人员带来过多的习惯改变;
6.安全系统应该符合国家制定的相关安全管理规范,取得相关资质。
2.2总体方案
根据上述原则和目前市场产品的情况,本方案基于中安源(Chinasec)可信网络安全平台提出。
根据需求分析,本方案分成重要数据保密、网络集中管理和移动计算机安全三个部分。
重要数据保密主要基于Chinasec可信数据管理系统(DMS)实现,可以有效解决开放网络和存储设备的保密管理问题。
网络集中管理主要基于Chinasec可信网络监控系统实现(MGT),可以满足网络行为的审计监控问题。
移动计算机安全主要基于Chinasec可信网络认证系统(TIS)实现。
因为上述三个系统都是基于统一的Chinasec可信网络安全平台开发,所以具有良好的相互兼容性,可以使用统一的服务器和管理中心,从而简化管理工作。
2.3重要数据保密
DMS系统通过模式切换满足在开放网络条件下网络保密和存储保密的需求。
在DMS系统中,可以定义工作模式和普通模式,所有设计相关的工作文件只能在工作模式下使用和存储,普通模式仅用于处理非工作文件、上网查询资料或者传输文件等。
计算机开机登录操作系统后,即进入普通模式,在普通模式下,安全系统对计算机基本上不进行控制,用户可以自由地使用存储设备、网络和处理文件等。
但是,在普通模式下,用户将不能接入设计院的内部文件服务器、OA服务器和图纸服务器等各种设计资源,同时也不能打开本地的可信数据区。
可信数据区是一个特殊的存储区域,其空间由本地硬盘和远程的文件服务器两部分组成。
其中,本地硬盘空间存储的数据是自动加密的。
可信数据区仅在用户登录工作模式的时候会自动开启。
可信数据区的远程文件服务器组成部分以目录的方式映射到本地,用户可以跟使用自己计算机的一个文件夹一样存储数据和建立文件,并且可以针对自己的文件存储区设立权限,从而实现跟其它用户共享数据。
如果用户需要开始设计工作或者处理保密工作相关的文件时,可以模式切换和认证,可以登录进入工作模式。
在工作模式状态下,用户将可以接入和使用内部的文件服务器、OA服务器和图纸服务器等各种保密资源,并且将自动开启可信数据区。
但是,这时候所有的非受控网络(即互联网和其它管理员没设定为工作模式允许使用的网络)都将被切断隔离,而且非可信数据区的其它存储设备(包括本地硬盘和移动存储设备等)文件存储都将被禁止,并且可以强制要求关闭计算机所有通用的数据通信端口(红外、USB和串并口等),但是用户可以读取普通模式下的所有文件。
用户一旦退出工作模式,可信数据区自动关闭,系统内存也会清空,从而彻底隔离工作模式和用户模式的数据。
即在工作模式下,用户所有的工作处于一种安全环境下,所有数据只能存储在可信数据区或者服务器上,使用者无法将工作模式下产生的新文件或者数据带出工作模式,从而有效实现了在开放网络下的网络和存储数据保密问题。
2.4网络集中管理
MGT系统提供了全面的监控功能,在本方案中,可以实现对邮件发送监控、邮件接受审计、FTP审计、网页访问控制以及文件操作审计。
邮件发送监控可以接受者的地址设定黑/白名单,并且支持通配符的规则设置。
系统还可以将发送的所有邮件进行完整的记录(包括附件),存储在服务器中。
邮件接受监控以发送者的地址设置名单,可以记录接受邮件的完整内容。
网页访问控制也可以网站设定黑/白名单,并记录访问网址的信息,包括用户、计算机、网址和时间等。
FTP审计和文件操作审计将记录所有计算机用户FTP和文件操作,并上传到服务器中。
2.5移动计算机安全
TIS系统提供每个合法用户一个USB接口的硬件令牌,该令牌内置标识是唯一的,并且提供了口令的双重保护。
安装了TIS系统的移动计算机,必须在插入使用者自己的USB令牌并输入正确的口令后,才能登录进入Windows操作系统,从而防止计算机被非法使用。
如果使用需要短期离开计算机,只要拔出USB令牌,计算机自动锁定屏幕和键盘鼠标等输入,从而确保了离机安全。
TIS系统还提供了安全保密磁盘,该虚拟磁盘在现有硬盘空间创建,但是仅有特定用户的USB令牌插入计算机后才能自动开启,拔出计算机该磁盘自动关闭消失,并且以加密的方式保存在计算机中,从而有效防止信息泄密。
这样,结合DMS系统的可信数据区,即便计算机丢失或者硬盘丢失,也不会导致保密数据泄密。
3产品介绍
3.1Chinasec可信网络安全平台
3.1.1平台的结构
Chinasec可信网络安全平台是所有产品共同的工作平台,其基本结构分为服务器(Server)、客户端代理(Agent)和控制台(ManagementConsole)三部分,全部为软件系统。
Chinasec可信网络安全平台的系列产品都运行在这个共同的平台上,使用共同的服务器、共同的控制台和共同的核心客户端代理引擎。
它们的通信体系和通道也是共同的,基于这个平台,Chinasec的全系列产品能够相互协调,并保证了占用最少的系统资源和网络资源。
服务器(Server)是可信网络安全平台的核心组成部分,是所有策略的存储中心,也是系统运行和维护的中心。
在服务器上,存储着用户信息、计算机信息、组织体系、策略信息以及日志信息。
服务器软件需要一个授权的硬件USB令牌,才能够正常运行。
中安源(Chinasec)不同的系统,其服务器都使用共同的核心运行。
客户端代理(Agent)运行在可信网络安全平台需要控制的计算机终端上,该客户端代理采用安全的方式接受服务器(Server)的统一管理,接受服务器下发的策略,并通知相应的功能模块执行。
所有的Chinasec可信网络安全平台系列产品的系统,其功能模块都通过平台的核心代理引擎与服务器进行通信。
控制台(ManagementConsole)是可信网络安全平台的用户界面,用于实现对服务器(Server)的远程管理,它是整个平台的控制中心,平台中的各个系统都可以集中体现在该控制台中。
控制台基于Windows标准的MMC技术,用户界面友好。
下图是一个典型的Chinasec可信网络安全基本架构。
控制台只通过服务器对客户端进行管理,跟所有客户端代理之间没有直接的通信连接建立。
3.1.2平台的模块化功能
Chinasec可信网络安全平台具备完全模块化的设计,平台上所有的系统,都是以平台基本架构为核心进行模块化设计的。
在服务器(Server)端,不同的系统需要向服务器注册不同的策略目录和功能模块,服务器将通知控制台显示这些新的系统和功能模块,并提供管理员用户界面。
在客户端(Agent),不同的系统拥有不同的功能模块,这些功能模块注册到客户端代理核心引擎上,并与服务器建立相应的通信,接受服务器下发的指令和状态管理。
Chinasec可信网络安全平台每个系统的设计也模块化的,即一个系统可能由多个功能组成,每个功能都是独立的,可以接入到整个平台的架构中,从而实现良好的模块化,也可以实现按需组合。
Chinasec可信网络安全平台良好的模块化设计使得基于该平台的系列产品具有更好的伸缩性,能够满足市场和用户千变万化的需求。
3.1.3平台的安全性
3.1.3.1服务器安全
服务器是整个可信网络安全平台的核心,保存着用户资料、计算机信息和其它各种策略,它的安全性至关重要。
由于中安源(Chinasec)可信网络安全平台服务器是一个软件,所以首先要求服务器具有良好的抗攻击能力,平台服务器本身也进行安全性的考虑。
首先,服务器的连接和通信端口是加密的,并且需要进行认证,不管是客户端还是控制台,要和可信网络安全平台的服务器建立连接,都必须经过认证。
其中,对于具有管理权限的控制连接,更是通过基于硬件USB令牌的严格密码协议进行通信。
其次,服务器的运行必须使用合法的授权令牌才行,没有合法的授权令牌,服务器将无法正常运行。
并且在客户端或者控制台和服务器建立连接的时候,一样将对服务器的身份进行验证,防止了服务器受到攻击或者冒充服务器行为的发生。
3.1.3.2客户端安全
客户端代理安装在需要加强管理的计算机终端上,面临各种复杂的环境,其需要考虑的安全因素更多。
首先,因为Chinasec可信网络安全平台大部分系统是强制安全系统(尤其是可信网络保密系统),计算机使用者可能存在一定的抵触情绪,不排除会做出破坏客户端的行为。
所以,为了确保客户端的安全和稳定运行,客户端代理具备了良好的自身保护措施,包括文件、进程及注册表隐藏和保护,并采用系统远程线程注入技术监控和阻止试图破坏客户端代理的行为发生。
其次,客户端跟服务器建立连接的时候,将采用双向的认证机制,确保双方身份的可信性。
3.1.3.3通信安全
Chinasec可信网络安全平台的通信系统采用了完全加密的机制,数据、指令和策略的传输都是加密的,有效防止了窃听和篡改等欺骗破坏行为的发生。
3.1.3.4管理安全
控制台是管理员对整个系统进行管理的接口,所以,对控制台登陆用户的身份认证采用了严格的措施,即必须使用授权的硬件USB令牌与服务器进行相互认证和通信,才能取得管理权限。
因为可信网络安全平台是整个单位内网安全管理的控制中心,管理员具有极大的权限,为了对管理员的权限进行监督,可信网络安全平台的管理员分为两种:
管理员和审计员。
管理员负责对终端计算机和用户具体策略的实施,即执行和维护可信网络安全平台的功能。
审计员则对管理员的所有操作进行详细的审计,确保管理员的所有动作符合单位的规定。
通过分权管理,一定程度上防止了管理员权力无限扩大可能带来的额外安全隐患。
管理员和审计员的身份都采用硬件USB令牌进行识别,杜绝了冒充的可能性。
3.2Chinasec可信网络认证系统(TIS)
3.2.1认证系统的结构
Chinasec可信网络认证系统基于可信网络安全平台开发,所以其主体架构与安全平台相似,其安全性也得到了Chinasec可信网络安全平台的有力支撑。
Chinasec可信网络认证系统结构包括服务器(Server)、控制台(MC)、客户端代理(Agent)、用户USB令牌以及安全网关(SecureGateway),它们的功能如下表所述:
序号
组件名称
功能描述
1
服务器(Server)
可信网络认证系统的核心部件,存储用户信息、计算机信息、策略信息、权限配置以及审计记录等,实时管理所有客户端代理和网关设备。
2
客户端代理(Agent)
接受系统服务器的管理,负责具体执行服务器的指令和策略,并对用户计算机的状态、资源和行为进行监控。
接管了Windows登陆子系统,必须先经过客户端代理与服务器之间的认证,才能够进入Windows系统。
3
控制台(MC)
系统的管理用户界面,提供对服务器的远程管理功能,所有系统的管理、策略实施和监控审计工作都通过MC完成。
4
硬件USB令牌(Token)
硬件USB令牌是一个内置智能芯片的硬件设备,包含了数字证书相关的密码算法,用于作为每个用户的标识,并且可以使用PIN码进行双重保护,兼容X.509数字证书。
具有很高的身份安全性。
5
安全网关(Gateway)
用于构造安全服务器区,保护重要数据和应用服务器,使用安全网关后,管理员可以针对每个用户进行授权,允许/禁止用户访问应用服务器。
下图是Chinasec可信网络认证系统的结构图。
3.2.2认证系统的功能
Chinasec可信网络认证系统主要提供了单位对用户身份认证、计算机授权管理、服务器授权访问、计算机使用安全和个人安全磁盘功能,详细描述见下表:
序号
模块名称
功能描述
1
集中认证
单位每个需要使用计算机的人员,都发放一个代表数字身份的硬件USB令牌,在打开计算机登陆操作系统之前,需要将该令牌插入计算机USB端口;TIS系统客户端代理会自动启动跟TIS服务器的认证过程,通过令牌的信息跟服务器进行交互认证,认证通过后,服务器告知客户端代理开始运行,用户才能登陆进入Windows操作系统。
2
计算机使用授权
管理员可以设定某个用户能够使用那些计算机,也可以设定某台计算机只允许指定的一个或者多个用户使用。
没用授权的用户,在使用自己令牌登陆计算机的时候,将不能通过认证,从而不能进入该计算机的操作系统使用。
用户令牌还具有离线锁定的功能,即一旦使用者要离开计算机一段时间,为了防止其它人在此期间使用自己的计算机,可以将令牌拔出带走,这时候计算机就自动进入锁定作态,只有使用者再次将自己的令牌插入该计算机,才能够解锁。
3
保密磁盘
每个用户使用自己的令牌,可以建立多个虚拟的保密磁盘,使用方法跟普通磁盘完全相同,但是存储在这些保密磁盘中的数据是完全加密的,而且只有使用本人的令牌才能打开自己建立的安全磁盘。
当多个人使用同一台计算机的时候,每个人都可以建立自己的安全磁盘,从而为每个人都创建了隐私保密空间。
虚拟的安全磁盘是一个文件,用户在更换计算机或者出差的时候,可以将该磁盘文件带走,在别的计算机系统只要使用自己的令牌,一样可以打开安全文件使用,携带方便。
4
服务器访问授权
配合安全网关的使用,管理员可以指定每个用户能够访问单位内部哪些特定的应用服务器,或者指定某台服务器只能授权哪些用户使用。
这些用户访问这些服务器之前,都需要通过服务器的统一认证,获得授权。
5
文件安全分发系统
安全文件分发系统让用户可以创建安全的加密文件,在创建的时候需要指定一个或者多个接受者,只有指定的接受者使用自己的USB令牌才能够正确解密该文件并打开该文件,其它任何没有权限的人获取该文件,都将不能获得有效的信息。
该功能为用户提供了一种通过网络或者其它途径远程交换文件的安全方法,例如结合电子邮件使用等。
6
FTP安全增强
认证系统该扩展模块可以将某个FTP服务器的用户帐号和代表用户身份的硬件USB令牌强制绑定,用户在使用该令牌登陆使用计算机期间,访问FTP服务器都将使用管理员指定的帐号,从而避免了内部盗用领导或者其它人FTP帐号非法下载资料情况的发生。
3.2.3认证系统的选件
Chinasec可信网络认证系统的可选件包括标准令牌、128M令牌和安全网关。
如果使用者数量超过客户端计算机数量或者需要一些备份使用的令牌,那么用户可以选择购买更多的标准令牌或者128M令牌。
128M令牌除了具有标准令牌的功能外,还附加了一个128M的U盘空间。
如果用户需要对重要服务器使用授权保护,那么需要购买安全网关,安全网关有多种型号可以选择,详见3.6节介绍。
3.3Chinasec可信网络监控系统(MGT)
3.3.1监控系统的结构
Chinasec可信网络监控系统基于Chinasec可信网络安全平台进行开发,其结构与安全平台结构完全一致,组成部分包括服务器(Server)、控制台(MC)和客户端代理(Agent),其各自的功能描述如下表:
序号
组件名称
功能描述
1
服务器(Server)
可信网络监控系统的核心部件。
存储计算机信息、策略信息、权限配置以及审计记录等。
实时管理所有客户端代理。
2
客户端代理(Agent)
接受系统服务器的管理,负责具体执行服务器的指令和策略,并对用户计算机的状态、资源和行为进行监控,同时根据策略对用户的行为进行详细记录和审计。
3
控制台(MC)
系统的管理用户界面,提供对服务器的远程管理功能,所有系统的管理、策略实施和监控审计工作都通过MC完成。
监控系统的结构图如下:
3.3.2监控系统的功能
Chinasec可信网络监控系统提供了对内网计算机终端进行集中的资源和用户行为授权管理,并提供详细的审计记录的功能,减少单位内网的安全漏洞和风险,提高了管理效率。
其功能描述如下表:
序号
模块名称
功能描述
1
实时监控
实时远程监视和控制客户端计算机的状态,这些状态包括:
安装的应用程序、服务、驱动以及他们的运行状态;当前网络连接状态、打开的窗口、运行的进程、系统的用户和用户组、共享目录、当前的屏幕截图等信息,并可以实时远程控制,比如关闭某个打开的进程、服务或者窗口等。
2
端点防火墙
集中管理和控制的客户端防火墙,其策略由管理员根据单位管理需要指定,可以根据IP地址、网络端口和数据流向等设定客户端计算机或者用户访问的权限,以白名单或者黑名单的方式工作。
例如发现蠕虫病毒,可以及时全网统一封锁相应的传播端口,从而有效控制该类型病毒的破坏效果。
3
外设监控
外设监控策略运行管理员针对每台计算机进行外设端口使用的授权,比如允许或者禁止USB存储设备的使用等。
这些端口和设备类型包括USB存储设备、USB普通设备、红外、串口、并口(打印端口)、键盘鼠标、光驱、软驱和1394端口等,用户还可以根据关键字和设备类型进行自定义,管理所有计算机上的设备。
使用关键字是一种非常灵活的方式,比如只允许某个打印机使用,而其它任何打印机不能使用等。
4
邮件监控
邮件监控功能提供了集中控制和管理终端计算机发送邮件的手段。
管理员可以白名单或者黑名单的方式设定用户允许使用的邮件服务器和地址。
并可以完整记录(包括附件)发送和接受的邮件内容和时间等。
5
网页监控
网页监控提供了管理员集中授权计算机和用户访问的网址范围,可以白名单或者黑名单的方式设置。
同时可以进行审计和记录。
6
FTP监控
FTP监控提供了管理员记录和控制FTP协议和客户端使用的方法,可以记录所有用户上传和下载的完整FTP文件。
7
应用监控
应用监控提供了管理员集中授权管理客户端应用的方法。
管理员可以黑名单或者白名单的方式授权,并且可以基于进程名称、服务名称或者窗口名称进行管理。
8
文件操作记录
自动记录计算机上的文件操作记录,包括创建、删除和复制等操作,并记录用户名、文件名和相应的时间等。
9
违规记录
对所有试图违反管理员设定和授权规则的行为进行记录。
上述的所有监控策略,根据客户端的状态,可以分为离线策略和在线策略。
在线策略是指客户端计算机在Chinasec可信网络监控系统服务器的实时管理网络中,能实时接受服务器的管理,比如接入单位内部网络的时候,这时候自动启用在线策略。
离线策略则是指客户端计算机不能接入服务器所在的网络的时候,比如笔记本电脑出差或者带回家的时候,这时候客户端自动执行离线策略。
基于这两种策略模式,管理员可以根据用户计算机的不同环境设置不同的用户使用策略,比如在单位(在线)设置宽松的策略,离开单位(离线)设置严格的策略。
Chinasec可信网络监控系统还可以和Chinasec可信网络认证系统联合使用,实现更加强大和灵活的功能,可以根据用户和计算机的不同组合实施不同的授权和策略,例如:
使用同一台计算机,用户A可以使用光驱,而用户B则没有这个权限不能使用。
3.4Chinasec可信网络保密系统(VCN)
3.4.1保密系统的结构
Chinasec可信网络保密系统基于Chinasec可信网络安全平台进行开发,其主体架构依赖于Chinasec可信网络安全平台,主要由服务器(Server)、控制台(MC)、客户端代理(Agent)、安全网关(Gateway)和转发网关(Switcher)组成,各部分功能描述如下表:
序号
组件名称
功能描述
1
服务器(Server)
可信网络保密系统的核心部件。
存储计算机信息、策略信息、权限配置以及审计记录等。
实时管理所有客户端代理和网关设备。
2
客户端代理(Agent)
接受系统服务器的管理,负责具体执行服务器的指令和策略,并对用户计算机的状态、资源和行为进行监控。
3
控制台(MC)
系统的管理用户界面,提供对服务器的远程管理功能,所有系统的管理、策略实施和监控审计工作都通过MC完成。
4
转发网关(Switcher)
用于在VCN网络和外部非受控网络之间转发数据,当内部的计算机需要访问外部网络的时候,需要经过转发网关进行数据转发;当需要构建公共服务器区的时候,也需要使用转发网关。
5
安全网关(Gateway)
用于构造安全服务器区,保护重要数据和应用服务器,使用安全网关后,管理员可以针对每台计算机进行授权,允许/禁止计算机访问应用服务器。
Chinasec可信网络保密系统的结构如下:
3.4.2保密
升级会员 