一、需求分析

美國CSI/FBI的調(diào)查結(jié)果顯示，企業(yè)和政府機構(gòu)因重要信息被竊所造成的損失超過病毒感染和黑客攻擊所造成的損失，80%以上的安全威脅來自內(nèi)部。中國國家信息安全測評認證中心的調(diào)查結(jié)果也表明，信息安全問題主要來自泄密和內(nèi)部人員犯罪，而非病毒和外來黑客引起。

因此，如何保護企業(yè)的敏感信息、知識產(chǎn)權(quán)，如何防范內(nèi)部人員犯罪，發(fā)生信息泄漏事件之后如何進行取證已經(jīng)成為廣大黨政機關(guān)、企事業(yè)單位迫切需要解決的問題。

二、中軟內(nèi)網(wǎng)安全解決方案

解決信息安全問題僅僅依靠技術(shù)手段是不現(xiàn)實的，所以業(yè)界有“三分技術(shù)，七分管理”的說法。具體到內(nèi)網(wǎng)安全問題，就更是如此，因為內(nèi)網(wǎng)安全防范的主要對象是內(nèi)部人員。所以，中軟公司率先提出結(jié)合了管理手段和技術(shù)手段的內(nèi)網(wǎng)安全解決方案，為客戶提供切實可行的內(nèi)網(wǎng)安全保護。

1、管理制度

中軟公司為客戶提供標準化的內(nèi)網(wǎng)安全管理制度供客戶參考，或者為客戶量身定制適合客戶具體需求的管理制度。

2、功能體系

中軟內(nèi)網(wǎng)安全解決方案依托的技術(shù)手段主要是中軟防水墻系列產(chǎn)品。中軟防水墻系統(tǒng)綜合利用密碼、身份認證、訪問控制和審計跟蹤等技術(shù)手段，對涉密信息、重要業(yè)務(wù)數(shù)據(jù)和技術(shù)專利等敏感信息的存儲、傳播和處理過程，實施全方位的安全保護。

(1) 網(wǎng)絡(luò)方式信息泄漏防護

* 網(wǎng)絡(luò)層監(jiān)控：IP地址、TCP端口、UDP端口、IP&PORT訪問控制。

* 應(yīng)用層監(jiān)控：FTP、HTTP、SMTP、TELNET、NETBIOS、WEBMAIL/BBS監(jiān)控。

* 非法外聯(lián)監(jiān)控：Modem撥號、GPRS無線撥號、CDMA無線撥號監(jiān)控。

* 非法內(nèi)聯(lián)監(jiān)控：防止非法主機接入內(nèi)網(wǎng)，對非法接入內(nèi)網(wǎng)的計算機進行報警和阻斷。

監(jiān)控策略包括：自由訪問，完全禁止，條件防護，只禁止黑名單和只禁止白名單。

(2) 存儲介質(zhì)信息泄漏防護

* 普通移動存儲介質(zhì)防護: 支持禁止使用、自由使用、自由使用記錄日志、自由使用備份文件、文件加密等控制策略。

* 可信移動存儲介質(zhì)防護：根據(jù)國家對涉密介質(zhì)管理的要求，提供對移動存儲介質(zhì)從購買、使用到銷毀全過程的管理和控制。它基于虛擬磁盤技術(shù)，從密級識別、認證授權(quán)、訪問控制、鎖定自毀、違規(guī)監(jiān)控、扇區(qū)加密、安全審計等方面對移動存儲介質(zhì)進行失泄密防護管理。支持涉密介質(zhì)接入或安裝在非涉密計算機上將不能使用，非涉密介質(zhì)接入或安裝在涉密計算機上也不能使用；數(shù)據(jù)始終以密文形式存儲在涉密介質(zhì)上，涉密介質(zhì)丟失不會造成泄密事故。

(3) 打印機信息泄漏防護

支持禁止使用、自由使用、允許使用并記錄日志、允許使用并記錄文件內(nèi)容。

(4) 外設(shè)接口信息泄漏防護

包括USB接口、SCSI接口、串行總線、并行總線、無線網(wǎng)卡接口、藍牙接口、紅外接口、PCMCIA接口、軟盤控制器、DVD/CD-ROM驅(qū)動器，支持啟用和禁止兩種控制策略。

(5) 文件安全服務(wù)

* 我的加密文件夾：默認為每一個注冊用戶建立一個“我的加密文件夾”，加密存放個人重要數(shù)據(jù)。

* 文件加密共享：強大的文件加密共享機制，支持個人加密、小組用戶加密、公共用戶加密和跨域個人加密。

(6) 信息資產(chǎn)管理

自動搜集軟硬件資產(chǎn)清單；軟硬件資產(chǎn)變更報警；軟硬件資產(chǎn)分類統(tǒng)計報告。

(7) 運行狀況監(jiān)控

* 系統(tǒng)資源占用情況監(jiān)控:包括CPU、MEM、硬盤占用情況、網(wǎng)路流量等，超出門限值告警。

* 當前活動情況監(jiān)控:包括當前應(yīng)用程序、進程、網(wǎng)絡(luò)連接、共享文件夾、服務(wù)等。

(8) 安全審計

* 安全事件日志：記錄與安全策略相關(guān)的日志，包括網(wǎng)絡(luò)失泄密日志、可信移動介質(zhì)使用日志、媒體介質(zhì)日志、打印機日志、文件安全服務(wù)日志等。

* 黑匣子：中軟公司參照航空業(yè)事故調(diào)查中的“黑匣子”概念，在本地文件中記錄主機的詳細操作日志，用于安全事故的分析與調(diào)查，以追究泄密責任。

3、系統(tǒng)部署

中軟防水墻系統(tǒng)由三部分組成：防水墻客戶端、防水墻服務(wù)器和防水墻控制臺。

(1) 防水墻客戶端

防水墻客戶端是部署在受監(jiān)控主機上的代理軟件，負責執(zhí)行管理員下發(fā)的安全策略和管理命令并收集適當?shù)臄?shù)據(jù)傳輸給服務(wù)器。

(2) 防水墻服務(wù)器

負責將管理員制定的管理策略存入數(shù)據(jù)庫并下發(fā)給客戶端；接受客戶端收集的各種數(shù)據(jù)存入數(shù)據(jù)庫并將適當?shù)臄?shù)據(jù)傳遞給控制臺顯示。

(3) 防水墻控制臺

是系統(tǒng)與管理員的人機接口，實現(xiàn)策略管理、系統(tǒng)管理、參數(shù)配置、事件管理和系統(tǒng)審計等功能。

三、成功案例

目前，中軟內(nèi)網(wǎng)安全解決方案已經(jīng)成功應(yīng)用在國家工商行政管理總局、中國兵器工業(yè)集團、航天科工集團某研究院、中國石油天然氣股份有限公司、三星電子中國通信研究院、三一重工股份有限公司等數(shù)百家單位，試用用戶上千家。在實際應(yīng)用中多次為客戶發(fā)現(xiàn)了信息泄漏事件，避免了泄密損失，贏得了用戶的一致好評。