防水墙内外网数据安全解决方案.docx

1、防水墙内外网数据安全解决方案防水墙内外网数据安全解决方案1项目背景在国家安全部门，政府部门，国家社科院校，国家科研单位，以及注重核心信息资产的企业因为互联网愈发变得普及，电脑、网络已经成为了政府部门或者科研院校或者企业单位对外工作的主要途。如何确保办公网络数据的安全，如何确保外发数据的安全，以及如何确保内外网数据交互时候的安全成为了摆在IT系统安全管理人员面前一道棘手的问题。本方案目的在于寻求解决内网数据安全，外网数据安全，以及内外网数据交互安全。2网络场景图：用户网络结构图图：用户部署结构图3用户需求情况在内网、外网存在多种场景的应用程序，这些应用程序采用BS或者CS的方式部署，为使用者提供

2、丰富多彩的业务，是企业IT信息系统的核心组成部分，而且，随着全球数据大集中和云计算技术的发展，基于云服务方式的应用将成为IT系统提供应用的最重要方式，这种方式在服务器端往往不进行内外网的区分，只是用户在因为处于不同网络环境从而只能允许使用不同的应用而已。本方案用户的实际情况如下：3.1 网络情况当前公司正处于发展壮大中，构建有办公用的局域网，同时在外建设有分公司分公司和总部共用相同的ERP服务器；3.2 工作场景现场PLC操作平台数据修改，操作文档制作，各种业务运行数据分析等笔记本可以链接外网，笔记本可以上网。服务器交互：数据会存储保存在图库等应用服务器上。3.3 目前安全措施目前企业内部暂时

3、未部署有任何对应信息安全产品。3.4 用户信息安全需求1， 数据可以自由进入，非经过允许，不能随意出；2， 在内部的数据，存在服务器上，电脑上，笔记本电脑上，云盘或者网盘上，均处于加密状态，无法被非授权泄露；3， 对不同角色的用户，执行不同的安全加密策略:空加密，目录加密，格式加密，全盘加密等；加密技术效果需要达到一文一密钥，和格式无关，采用多模加密技术；4， 在需要将这些数据脱密的时候，可以经过自主脱密、绿色邮箱脱密、自动审核、人工审核；5， 数据还可以进行半脱密处理，防止数据发给用户的时候，用户造成的二次泄密，即：用户收到收据后，对数据的使用接收次数、时间、打印、水印、绑定U盘电脑等的设置

4、；6， 在带入公司内部的U盘、移动硬盘等外设进行注册、认证处理，确保这些数据设备只能在公司内部或者内部制定的电脑上使用；7， 在员工出差的时候，可以给用户设置固定时间离线的工作模式；8， 在员工临时回家加班的时候，可以为员工提供U盘客户端，然员工在家里电脑也可以自由处理涉密数据而不会造成泄密；9， 当数据加密系统服务器崩溃的72小时内，客户端可以切换为本地登录，让员工仍然可以自由的处理涉密数据；10， 对公司ERP服务器数据进行防护，防止通过ERP等应用系统产生的数据泄密；用户特殊信息安全需求： 1，程序的防泄密：防水墙采用多模加密中全盘加密实现防护 2，程序的到时禁止使用：防水墙的离线控制使

5、用； 3，数据往PLC设备里面的烧录：防水墙的烧录管理模块的使用； 4，个别文件的时间控制：防水墙的密文明送控制使用； 防护方式： 在用户提交的设备上，安装部署防水墙软件，实现对整体的数据防护。 4安全风险数据泄密存在被动和主动两类，既要放置数据主动泄密，也要防止数据被动泄密。更要方法数据在无意识之间造成的泄密。可能的泄密途径，应该来讲主要包括： 服务器上泄密、 工作站泄密、 移动设备泄密、 网络泄密、 输出设备泄密、 客户泄密、 合作单位员工转发泄密等主要的表现形式如下：服务器泄密：1、 网络维护人员在进行维护时使用移动硬盘将服务器上的资料自备一份。2、 维护人员知道服务器密码，远程登陆上，

6、将服务器上的资料完全的拷到本地或者自己家里的机器上。工作站泄密：1、 乘同事不在，开启同事电脑，浏览，复制同事电脑里的资料。2、 内部人员将资料通过软盘、U盘或移动硬盘从电脑中拷出带走。3、 将笔记本（或者台式机）带出管控范围重装系统或者安装另外一套系统从而将资料拷走。4、 将笔记本（或者台式机）带出管控范围利用GHOST程序进行资料盗窃。5、 将笔记本（或者台式机）的硬盘拆回家盗窃资料，第二天早早来装上。6、 将办公用便携式电脑直接带回家中。7、 将笔记本（或者台式机）带出管控范围使用光盘启动的方式，使用磁盘管理工具将资料完全拷走。8、 将笔记本（或者台式机）的硬盘或整机送修，资料被好事者拷

7、走。9、 电脑易手后，硬盘上的资料没有处理，导致泄密。10、 笔记本（或者台式机）遗失或者遭窃，里面的资料被完整的窃取。网络泄密：1、 内部人员通过互联网将资料通过电子邮件发送出去。2、 内部人员通过互联网将资料通过网页bbs发送出去。3、 随意将文件设成共享，导致非相关人员获取资料。4、 将自己的笔记本带到公司，连上局域网，使用各种手段如ftp、telnet窃取资料5、 随意点击不认识的程序、上不熟悉的网站导致中了木马产生的泄密。输出设备（移动设备）泄密：1、 移动存储设备共用，导致非相关人员获取资料。移动设备包括：u盘、移动硬盘、蓝牙、红外、并口、串口、1394等2、 将文件打印后带出。客

8、户泄密：1、 客户将公司提供的文件自用或者给了竞争对手。2、 客户处管理不善产生的泄密。3、 员工收到文件后将文件发送给其他人员产生的泄密。5监管政策5.1 信息安全法律 中华人民共和国宪法相关信息安全部分 中华人民共和国刑法相关信息安全部分 中华人民共和国保守国家秘密法 中华人民共和国标准化法 中华人民共和国国家安全法5.2 行政法规 中华人民共和国计算机安全等级保护条例 商用密码管理条例 中华人民共和国产品质量认证管理条例5.3 信息安全部门规章及规范性文件 计算机信息网络国际联网安全保护管理办法 计算机病毒防治管理办法 计算机信息系统国际联网保密管理规定 计算机信息系统安全专用产品检测和

9、销售许可证管理办法 科学技术保密规定 注册信息安全专业人员认证程序 企业内部控制基本规范 商业银行信息科技风险管理指引5.4 信息安全国际、国内技术标准 基础类标准 物理安全标准 系统与网络标准 应用与工程标准 管理标准5.5 行政法规信息安全框架 开放系统安全框架ISO 10181-1) 鉴别框架(ISO 10181-2) 访问控制框架(ISO 10181-3) 抗抵赖框架(ISO l0181-4) 完整性框架(ISO 1018l-5) 保密性框架(ISO l018l-6) 安全审计框架(ISO 1018l-7) 管理框架(ISO 7498-4) 安全保证框架(ISO /IEC WD l54

10、43:1999)6产品方案数据防泄密，有多种解决方案，信息行业共识的方案为：以裁剪后的信息安全标准为规范，结合行政、管理制度，采用数据透明加密是目前最彻底的防护方案。在数据透明加密方面，以加密3.0多模透明加密技术，一文一密钥加密效果，对称加密和非对称加密相结合加密密钥机制成为目前透明加密技术的主流。本解决方案推荐采用防水墙数据防泄密系统5.0来实现数据防护。该产品采用加密3.0多模透明加密技术。6.1加密1.0环境加密和其生存现状环境加密的本质是硬盘引导区的加密，数据本身不加密；全公司采用一个密钥；可以采用引导区重建工具等破解；目前国内还剩一家公司在执行这种技术，已经被大多数公司抛弃。6.2

11、加密2.0格式加密和其生存现状格式加密的本质是采用驱动级别或者应用程序级别的hook技术，监控具体程序的操作，将该程序特定进程和后缀的文件进行加密；目前国内大部分公司采用的是这个技术。因为这种技术需要用户频繁升级，频繁设置，虽有一定应用但诟病严重，采用单个或者人工干预的多个密钥，无法实现一文一密钥；6.3加密3.0多模加密和其生存现状多模加密技术的特征是采用系统内核级别的驱动技术、采用对称加密和非对称加密相结合，可以实现一文一密钥；目前的代表产品：Windows的EFS、win7的BitLock、Adobe的PDF、山丽网安的防水墙数据防泄漏系统；多模加密的多场景：全盘、格式、目录、空加密、外

12、设加密、网络加密。7解决方案产品功能多维阐述模块序号功能模块通俗解释专业解释效果模拟1多模透明加密模块实现客户端加密方式多样化如全盘加密、目录加密、程序加密等功能的模块支持防水墙客户端采用多种加密模式而不仅仅是加密程序变化的管理模块控制台可以按照用户组、用户的方式对具体的用户（组）设置不同的加密策略，该用户登陆防水墙加密系统将按照对应的策略被约束；2密文明送管理模块对发送到用户客户的明文文件进行阅读次数、阅读时间等进行控制的模块对用户外发到客户处的特殊明文进行权限控制的管理模块，又称作外发控制；用户客户对需要密文明送的文件进行审批，在审批同意之后，该文件将发送出去之后即具有预先设置的控制属性；

13、3多级审批管理模块对用户申请解密的审核者先后次序可以进行自定义设置的模块实现对解密流程按照用户管理结构、管理需要进行设置的管理模块；管理人员按照需要对用户的审批流程进行设置，则用户提交的解密审批文件就会按照设置的流程自动由对应的管理人员审核，审核的时候可以支持串行，也可以支持并行；5可信程序管理模块实现本地密文上传到OA等应用系统上自动加密、下载自动加密的模块通过一系列参数的设置，实现密文上传到应用系统自动解密、下载自动加密的管理模块通过控制台对可信程序管理模块的设置，实现密文上传到应用系统自动解密、下载自动加密7.1产品功能之多模加密技术1，系统内核透明加密功能：可以应企业现有任何软件产生之

14、文件的加密需求；加密模式为实时进行，并对用户透明，不需要用户的任何干预；企业现有软件的加密，包括常用office类软件、可能的设计类软件如CAD等、可能的编程类软件如c+、java等、可能的烧录类软件，如PLC类软件等。加密软件满足对绿色软件的加密，满足对RAR等压缩软件的加密。这些加密均不通过二次开发即可满足。2，加密模式的多样选择功能：防水墙系统采用加密3.0技术多模透明加密技术，领先于加密1.0环境加密技术，加密2.0文件格式加密技术，技术处于业界领导地位。在多模加密模式中，用户创建密文的方式支持主动和被动两种方式，至少包含如下模式：特定格式加密模式、特定目录加密模式、特定格式不加密模式

15、、特定用户空加密模式（但可以修改和查看别人的密文的高级别模式）、特定用户不加密模式（可以查看别人但不能修改别人密文的阅读者模式）、U盘外设加密模式、网上邻居网络加密模式、手动加密、全盘加密等等；这些加密模式可以赋予不同的用户或者用户组。3，一文一密钥透明加密功能：采用对称加密和非对称加密技术，实现任何文件的加密密钥均不一样，防止被破解，安全性能大大优先于单密钥或者多密钥产品。4，文件格式无关透明加密技术：山丽网安承诺，因为用户新使用的应用软件产生的数据不能加密的，终生免费开发，绝不再次收费。5，通讯加密：该功能可以实现防水墙客户端和服务器端间流转的账号、密码、策略等内容无法被监听到或者监听到的均是加密的；6，U盘加密：采用U盘客户端管理模块，系统认定的管理策略将指向U盘，这样，在任何一台电脑上防水墙将登录后执行，并对用户的加密数据执行对应的加密和管控策略；7、密文图标：通过控制台的设置，可以让客户端的密文显示、或者不