Chinasec内网安全解决方案PPT推荐.ppt

1、n涉及国家秘密的信息系统分级保护管理办法 国家保密局；n涉及国家秘密的计算机信息系统安全保密方案设计指南；n信息技术 安全技术 信息技术安全性评估准则 第2部分:安全功能要求；n涉及国家秘密的计算机信息系统保密技术要求；n计算机信息系统安全保护等级划分准则；n计算机信息系统保密管理暂行规定（国保发19981号）；相关政策法规与国际标准相关政策法规与国际标准目录内网安全技术概述ChinasecTM内网安全体系关键技术分析产品特点产品资质与应用案例内网安全概念的提出内网安全概念的提出内网可信区外网非信任区网络边界网络边界！？内网安全隐患内网安全隐患2:8规则n通过内网网络交换设备或者直连网线非法接

2、入内网或者计算机终端n利用局域网中的某一台主机，通过网络攻击或欺骗的手段，非法取得其他主机甚至是某台网络服务器的重要数据n内部员工将只允许在局域网内部使用的数据通过磁盘复制、打印、非法拨号外联等手段泄漏到单位外部n内部人员窃取管理员用户名和密码，非法进入单位重要的业务和应用服务器获取内部重要数据内网安全的两大误区内网安全的两大误区内网安全审计监控内网安全审计监控内网安全数据加密内网安全数据加密内网安全什么是真正的内网安全体系什么是真正的内网安全体系身份认证授权管理数据加密监控审计完整的内网信息安全管理体系完整的内网信息安全管理体系内网安全核心“你是谁？”“你能做什么？”“你做了什么？”目录内网

3、安全技术概述ChinasecTM内网安全体系关键技术分析产品特点产品资质与应用案例ChinasecTM产品体系简介产品体系简介可信网络认证系统（TIS）可信网络保密系统（VCN）可信网络监控系统（MGT）可信数据管理系统（DMS）ChinasecTM可信网络安全平台ChinasecTM可信网络安全平台可信网络安全平台服务器（Server）控制台（MC）客户端代理（Agent）平台架构平台架构网关（可选）USB KEY（可选）策略的存储中心；系统运行和维护的中心；存储用户信息、计算机信息、组织体系、策略信息及日志信息。用户操作界面，实现对服务器的远程管理；整个平台控制中心，平台各个系统都可以集中

4、体现在该控制台中；基于Windows标准的MMC技术。运行在受控计算机终端上；采用安全通信技术接收服务器的统一管理并接收下发的策略；通知相应功能模块执行指令。ChinasecTM可信网络安全平台可信网络安全平台平台模块化功能平台模块化功能监控审计数据加密身份认证数据管理移动远程接入文件安全分发保密磁盘实时监控外设监控MSN/QQ监控非法接入阻断补丁分发邮件监控监控审计数据加密身份认证实时监控MSN/QQ监控补丁分发完全模块化的设计，实现“按需定制”，满足不同组织的信息安全需求。ChinasecTM可信网络安全平台可信网络安全平台n服务器的连接和通信端口加密，并且需要进行认证；n对于具有管理权限

5、的控制连接，通过基于硬件USB令牌的严格密码协议进行通信；n服务器的运行必须使用 合法的授权令牌。n良好的自保护措施：文件、进程及注册表的隐藏和保护，系统远程线程注入技术监控和阻止试图破坏客户端代理的行为发生；n双向认证机制，确保双方身份的可信性。n完全加密的机制，数据、指令和策略的传输都是加密的，有效防止了窃听和篡改等欺骗破坏行为的发生。n使用授权的硬件USB令牌与服务器进行相互认证和通信，才能取得管理权限n分权制衡原则：管理员和审计员 服务器安全客户端安全通信安全管理安全平台安全性实现ChinasecTM可信网络安全平台可信网络安全平台网关（硬网关网关（硬网关网关（硬网关网关（硬网关&软网

6、关）软网关）软网关）软网关）安全网关转发网关VPN网关TIS/VCN/DMSVCNSSL VPN所有网关均提供软网关和硬网关（百兆/千兆）等多种类型，以满足不同性能、投资需求。ChinasecTM可信网络安全平台可信网络安全平台平平平平台台台台增增增增强强强强功功功功能能能能服务器双机热备服务器负载均衡服务器分级管理实时监视器ChinasecChinasecTMTM可信网络认证系统可信网络认证系统认认证证系系统统（T TI IS S）功功能能令牌用户集中管理/认证客户端计算机登录权限控制 客户端保密磁盘（与令牌绑定）服务器访问授权（增强型）客户端保密文件远程VPN接入ChinasecChina

7、secTMTM可信网络认证系统可信网络认证系统认认认认证证证证系系系系统统统统（T TI IS S）特特特特点点点点n“离机锁定”与安全模式禁用功能。n完全独立于组织原有的认证体系，安全可靠性更高，支持各类标准的CA服务器；n基于PKI技术的“双因素认证”，提高了认证安全级别；n支持在USB令牌用户之间的安全文件数据传输；n具备FTP安全增强功能；ChinasecChinasecTMTM可信网络认证系统可信网络认证系统认认认认证证证证系系系系统统统统（T TI IS S）特特特特点点点点n自动生成包括每次登录操作的审计追踪信息，且具备自动日志维护功能。n安全磁盘功能，防止核心数据泄密；n支持创

8、建安全服务器区；n令牌分发、令牌吊销、令牌授权、令牌更新等操作由管理员在管理中心即可完成，管理的效率得到了极大的提高。n令牌安全防护机制：令牌PIN码输入错误的次数达到预先设定的值，令牌立即锁定;ChinasecChinasecTMTM可信网络监控系统可信网络监控系统监监监监控控控控系系系系统统统统（MMGGT T）功功功功能能能能IP与端口控制外设控制邮件控制互联网访问控制文件传输协议监控（FTP）FTP用户绑定客户端实时监控应用程序控制IP地址绑定WINDOWS标准安装程序控制打印监控资产审计文件分发邮件智能加密非法接入阻断刻录光驱控制违规记录ChinasecChinasecTMTM可信网

9、络监控系统可信网络监控系统监监监监控控控控系系系系统统统统（MMGGT T）特特特特点点点点n实现对每台计算机的网络状况进行实时监控。n可以实现计算机的远程监控，对所有内网计算机进行有效地集中管理；n支持灵活的策略模型；n对用户的操作行为进行有效管理；n实现对计算机外设使用的“细粒度”管理控制；ChinasecChinasecTMTM可信网络监控系统可信网络监控系统监监监监控控控控系系系系统统统统（MMGGT T）特特特特点点点点n与Chinasec可信网络认证系统联合使用，实现更加强大和灵活的功能，可以根据用户和计算机的不同组合实施不同的授权和策略。n提供邮件智能加密功能，确保同一个安全域内

10、的用户可以自由收发邮件；n提供IP绑定和非法IP阻断等网管功能；n提供资产管理和资产审计功能，提供各种丰富的资产管理报表；n提供完整的审计信息；ChinasecChinasecTMTM可信网络保密系统可信网络保密系统网网网网络络络络保保保保密密密密系系系系统统统统（V VC CN N）功功功功能能能能内网保密网络“分级分域”管理，实现不同等级终端逻辑隔离数据传输和存储加密移动存储设备管理网络数据控制本地存储控制01100011010 ChinasecChinasecTMTM可信网络保密系统可信网络保密系统保保保保密密密密系系系系统统统统（V VC CN N）特特特特点点点点n有效防止了非法外连

11、和非法接入；n部署、使用简单方便,无须改变原有网络拓扑结构，透明加解密，不会影响用户的使用习惯；n数据加密传输，网络更加安全可靠；n在内网中按照安全等级、信任关系等标准可设多个VCN，实现分级分域管理；n强制加密除本地系统盘外的所有本地磁盘保存的文件；n实现严格有效的移动存储设备管理；n通过安全网关建立一个安全的服务器区，可以对组织的所有重要信息服务资源进行有效保护 n可使用转发网关构建开放服务器区，用来放置单位公开的服务器，接受内网计算机和外网计算机的访问，同时有效隔离内网和外网。ChinasecChinasecTMTM可信数据管理系统可信数据管理系统数数数数据据据据管管管管理理理理系系系系

12、统统统统（D DMMS S）功功功功能能能能创新的模式切换理念，在单一终端上虚拟出多种工作环境；统一用户管理功能；可信数据区文件权限管理离线工作管理模式切换功能ChinasecChinasecTMTM可信数据管理系统可信数据管理系统数数数数据据据据管管管管理理理理系系系系统统统统（D DMMS S）特特特特点点点点独有模式切换技术，实现数字知识产权保护与互联网访问兼得效果工工 作作 模模 式式普普 通通 模模 式式模式切换模式切换ChinasecChinasecTMTM可信桌面认证系统可信桌面认证系统桌桌桌桌面面面面认认认认证证证证系系系系统统统统功功功功能能能能计算机登录认证计算机离机锁定安

13、全保密磁盘USB令牌管理使用令牌建立；数据完全加密，只有使用本人的令牌才能打开自己建立的安全磁盘；打开方式可以设为自动或者手动，也可以指定盘符；当多人使用同一台计算机的时候，每个人都可以建立自己的安全磁盘；虚拟的安全磁盘是一个文件，可以拷贝复制，在其它计算机系统使用合法令牌可以读取。ChinasecTM可信网络系统部署示意图可信网络系统部署示意图分支机构移动商务人员安全/转发网关服务器群ServerMCAgentVPN网关非法接入终端AgentAgent总 部目录内网安全技术概述ChinasecTM内网安全体系关键技术分析产品特点产品资质与应用案例ChinasecTM关键技术分析关键技术分析身

14、份认证技术存储加密技术高性能安全服务器技术资源控制技术网络加密技术ChinasecChinasecTMTM核心技术核心技术ChinasecTM关键技术分析关键技术分析I.724小时的持续服务能力II.较强的抗攻击和抗病毒能力 III.高效的负载能力综合应用多线程、队列、主动轮询 高效并发处理技术基于公开密钥算法的安全认证技术，基于硬件授权令牌启动服务器 安全认证技术服务器和客户端、服务器和管理控制台之间的传输信道都采用了加密技术 传输加密技术CPU使用率、内存使用率和第三方程序依赖程度 资源最小化稳定运行技术高性能安全服务器技术Chinasec关键技术分析关键技术分析身身份份认认证证技技术术

15、认证技术的扩展性能：安全保密磁盘 与离机锁定 基于密码硬件芯片的用户标识 基于PKI体制的数字证书认证技术 独立于Windows域的集中认证系统 基于认证的资源授权控制 Chinasec关键技术分析关键技术分析T TI IS S系系统统认认证证流流程程 插入USB令牌输入PIN码读取TIS用户信息登录TIS服务器认证拒绝登录取域用户名/密码登录域服务器认证进入操作系统Chinasec关键技术分析关键技术分析存储加密技术存储加密体系综述存储加密技术存储加密体系综述 加密体系：网络加密体系和存储加密体系 主动加密和强制加密 透明加密技术和非透明加密技术 加密模块依赖系统主动/强制透明/非透明安全保密磁盘 VCN移动存储设备管理 VCN本地磁盘加密 DMS本地受控加密区 客户端保密文件子系统 TISVCNVCNDMSTIS主动强制强制强制主动透明透明透明透明非透明Chinasec关键技术分析关键技术分析存储加密技术主动加密存