發展背景
隨著信息技術特別是網路技術的發展,網路在人們的日常工作中發揮著越來越重要的作用。目前,大部分的企業或機關單位都組建了內部的區域網路,實現了資源共享,在方便信息傳遞的同時,極大地提高了工作效率。
區域網路開放共享的特點,使得分布在各台主機中的重要信息資源處於一種高風險的狀態,內部信息泄露已經給許多企業單位帶來了巨額的損失。而根據FBI和CSI對484家公司進行的網路安全專項調查結果顯示:超過85%的安全威脅來自公司內部,在損失金額上,由於內部人員泄密導致了6056.5萬美元的損失,是黑客造成損失的16倍,是病毒造成損失的12倍。另據中國國家信息安全測評認證中心調查,信息安全的現實威脅也主要為內部信息泄露和內部人員犯罪,而非病毒和外來黑客引起。 這些安全威脅不是防火牆、
入侵檢測和防病毒等傳統安全手段所能解決的。應該看到信息安全要立足於終端,從源頭抓起,才能從根本上解決安全問題;同時信息安全也要和套用系統緊密結合,才能做到有的放矢,真正有效地滿足我國各行業的迫切需求。
面對這種現狀,Chinasec(安元)可信網路安全平台系列產品,經過多年的積累應時而生。擁有
區域網路安全管理平台和移動安全管理平台兩大系列產品。其中,區域網路安全管理平台主要解決用戶在傳統PC架構下的數據安全問題,針對內部網路的用戶身份和計算機終端管理、數據信息保密、數字
智慧財產權保護、套用系統保護、文檔安全保密以及網路狀況監控維護等安全問題提出了整體的解決方案;移動安全管理平台則主要解決用戶在移動網際網路架構下構建移動商務套用中面臨的用戶身份安全、接入安全、手機終端安全、數據保密和套用保護等問題。
系統組成
Chinasec(安元)
數據安全管理平台系列產品是在Chinasec(安元)數據安全管理平台的基礎上,由以下系統組成:
致力於為用戶提供數據安全防範措施,減少數據泄密風險。系統具有
硬碟加密、
移動存儲介質管理、外設管理、協定外發加密和應用程式外發加密等功能,以用戶單位內部區域網路為邊界對敏感數據進行保護。系統同時具有完善的
安全審計功能,提供事後追蹤手段;可與
身份認證系統聯動,實現高強度的身份認證;可與檔案審批系統聯動,建立完善文檔審批機制,規範員工外發行為。
對用戶文檔提供
全生命周期的細粒度管理。其中:
主動加密及許可權管理提供單個檔案和多個檔案的主動加密功能,加密同時可以設定對單個文檔使用者或者使用組設定文檔的使用許可權,包括唯讀、讀寫、另外儲存、脫密、抓屏、拷貝、無水印列印、帶水印列印、離線使用、再授權等十種基本文檔許可權。管理員可以通過控制台設定
文檔加密的模板,用戶在終端可選擇該加密模板,加密後的檔案具有模板設有的時用許可權;
資料夾加密提供整個資料夾加密功能,文檔目錄可由使用者自行設定,並可設定該資料夾中的文檔使用許可權。用戶可以通過拷貝、拖拽方式將文檔放入資料夾中,文檔自動加密及設定許可權。如果加密資料夾路徑在伺服器中,可實現檔案帶許可權共享功能。具有相應文檔使用權的用戶,可從伺服器中下載檔案;
檔案集中管理平台提供文檔集中管理機制,各終端文檔可由伺服器集中存儲、文檔許可權可由伺服器統一設定。
套用保護系統
以用戶的核心信息套用系統(OA、ERP、CRM、
PDM等)為邊界提供數據防範措施,對終端其他系統的數據不產生影響。任意格式的文檔一旦脫離套用系統,就會自動加密並賦予使用許可權。文檔的使用者在未經授權的情況下,無法將文檔下載或外帶。
對區域網路計算機終端進行集中的資源管理,並提供詳細的審計記錄,減少單位區域網路的安全漏洞和風險,提高了管理效率。系統包括
實時監控、遠程控制、應用程式控制、IP連線埠控制管理、網址
訪問控制等功能。所有監控策略,根據客戶端的狀態,可以分為離線策略和線上策略兩種。線上策略是指客戶端計算機在系統伺服器的實時管理網路中,能實時接收伺服器的管理,比如接入單位內部網路的時候,自動啟用線上策略。離線策略則是指客戶端計算機不能接入伺服器所在的網路的時候,比如筆記本電腦出差或者帶回家的時候,這時候客戶端自動執行離線策略。基於這兩種策略模式,管理員可以根據用戶計算機的不同環境設定不同的用戶使用策略,比如在單位(線上)設定寬鬆的策略,離開單位(離線)設定嚴格的策略。
檔案審批系統
為文檔許可權更改及檔案交換提供有效的管理流程,在不破壞各數據保密系統密閉安全環境下提供文檔許可權更改、文檔交換申請、審批、執行等用戶行為管理流程,實現可控、可追蹤的檔案使用和互動,提供可執行、可跟蹤、靈活配置的管理手段。
通過對檔案內部打入唯一標識來追溯檔案的來源,是一種逆向追溯管理方案。可以實現一旦出現泄密事件的有痕可查。提供詳細的日誌查詢功能,無需部署客戶端即可實現涉密文檔泄密追蹤,便於責任認定和管理。
郵件安全系統
通過郵件
透明加解密技術,在不影響用戶使用習慣的情況下實現防止郵件主動泄密和信箱密碼被破解等被動泄密風險,並通過設定郵件地址的黑白名單,滿足單位內部實際需求。
實現用戶安全身份認證功能。包括計算機作業系統身份認證及Chinasec系統身份認證,支持口令、
USB令牌、生物識別等多種識別方式。同時支持集成第三方的用戶身份,例如AD域帳號導入、第三方
CA證書結合等。該系統完全獨立於計算機、網路系統原有的認證體系,採用基於
PKI技術的“
雙因素認證”。
終端套用模式切換系統
同一台機器在不同的套用場景中,具有不同的安全需求。典型的場景如工作套用場景和個人套用場景,工作套用場景中有較高的安全需求,工作數據為需要保密的數據,所以應具有
防泄密的安全措施,同時對使用的環境有較高的
安全防範能力;而個人套用場景中有較高的靈活度需求,包括上網、檔案互動等。Chinasec終端套用模式切換作為Chinasec-DLP的一個增強模組,為不同安全需求的用戶提供套用模式切換的功能,提供一個個人模式和多個工作模式,在不同模式下可以提供不同的
安全策略,每個工作模式中具有獨立的安全虛擬分區,保護工作數據。
提供完善的
移動存儲設備管理方案,實現對已註冊設備、未註冊設備進行統一管理,並通過註冊、授權、掛失、註銷等手段實現移動存儲設備生命周期管理。系統提供豐富的事後審計功能。支持對移動存儲設備的檔案操作記錄,日誌項包括:操作類型(創建、修改、刪除和重命名等)、時間、用戶名、檔案名稱、檔案內容等詳細日誌信息;同時,支持對移動存儲設備的使用和管理行為進行記錄,包括移動存儲設備設備的註冊、掛失、解除掛失、插入與拔出等操作,管理者通過記錄可以確定客戶端移動設備的使用情況。
移動安全接入系統
Chinasec(安元)移動安全接入系統為
移動智慧型終端用戶的接入、傳輸、通信和套用提供了一條安全通道。可單獨使用,也可與移動套用安全系統和移動終端管理系統組成智慧型移動終端整體安全使用環境,保障敏感數據由防範嚴密的內部網路延伸至移動互聯中。
網路通信安全採用國密算法進行通信加密,結合終端多樣性的特點,支持代理和隧道兩種方式啟用安全通道。
套用訪問控制根據終端登錄用戶的身份對套用系統進行細粒度的角色
管理控制,實現套用系統有效的訪問控制。
移動終端管理系統
隨著移動終端類型的多樣化及其與企業業務的緊密結合,作為公司資產的一部分,對
移動終端管理和控制尤為重要。Chinasec(安元)移動終端管理系統實現對終端設備的遠程管理和控制能力,降低企業的
管理成本。 對移動性靈活的設備達到實時管理,對終端的操作進行審計,識別風險,並通過策略手段來控制使用。
移動安全套用系統
Chinasec(安元)移動安全套用系統為各種各樣的移動終端套用提供安全環境。具有安全瀏覽器、安全郵件和安全通訊錄等特色安全功能。安全套用使用的所有數據將被加密存放,並且對上層套用透明,不改變用戶操作習慣。
深度整合業務流程,為套用系統提供
數據加密控制、文檔標籤注入以備事後追溯和多系統
統一身份認證。中間件良好的擴展性,可以實現和各種傳統PC終端、
移動智慧型終端及
雲終端的數據聯動,構建全IT構架的數據安全體系。中間件的專業封裝,使套用經過輕量級開發即可大大提高安全性。
通過桌面虛擬鏡像數據加密功能,解決雲端數據
集中存儲帶來的管理員優先訪問與
虛擬機逃逸隱患;結合PKI 技術的雙因子云終端身份認證,保證雲終端身份認證安全,提升遠程使用安全性;依據
雲終端劃分
虛擬安全域,加強數據傳輸安全管控;數據動態邊界自動加密功能,實現雲中部門間數據可控互動,防止雲終端網路通信造成泄密;構建全IT 架構協同聯動,統一平台支持多種終端網路協同管理,有效應對企業IT 架構快速變革與延伸。
系統布置
以上系統以
密碼技術為支撐,以
數據安全為核心,以身份認證為基礎,通過
主動加密、事前控制、事中監視、事後審計四種手段相結合,可以達到外部入侵進不來、非法外接出不去、內外勾結拿不走、拿走東西看不懂的效果,有效防止機密敏感信息的泄漏,為企事業單位構建了一個可信可控的區域網路,確保“一切盡在掌控之中”。
服務支持
為實現全國客戶服務統一管理,為客戶提供標準化服務,保障在服務有效期內的簽約用戶獲得全方位的產品服務與技術支持,Chinasec圍繞項目的整個生命周期構建了一套完整的服務體系。該體系包括專業
安全服務、項目實施管理、安全培訓和系統售後服務等一系列內容。
Chinasec的服務體系中包含了專業的
區域網路安全技術人員,這些人員在項目管理、安全顧問、項目實施、
系統維護、培訓等方面有著豐富的經驗。同時,Chinasec還在全國各地建立了自己的總代理和技術支持中心.,拉近了客戶和Chinasec之間的距離。