以下的文章主要描述的是中軟信息安全和保密的破解方案，其中也有對系統(tǒng)需求，中軟防水墻系統(tǒng)介紹，用中軟防水墻系統(tǒng)構(gòu)筑信息安全保密解決方案，等內(nèi)容的介紹，望大家會對其有更好的收獲。

中軟信息安全與保密解決方案

一、概述

防火墻、IDS、內(nèi)外網(wǎng)隔離以及其它針對外部網(wǎng)絡(luò)的訪問控制系統(tǒng)，可有效防范來自網(wǎng)絡(luò)外部的進(jìn)攻，但對于企業(yè)內(nèi)部的信息保密問題，卻一直沒有好的防范方法：內(nèi)部人員可以輕松地將計(jì)算機(jī)中的機(jī)密信息通過網(wǎng)絡(luò)、存儲介質(zhì)和打印等方式泄露出去。

一旦這些敏感信息、重要數(shù)據(jù)、設(shè)計(jì)圖紙等流失到敵對勢力、競爭對手手中，將給國家、企、事業(yè)單位造成重大損失。政府機(jī)關(guān)、承擔(dān)國家敏感課題的科研部門，包括涉及更多的國家機(jī)密，對于涉密信息采取嚴(yán)密的防護(hù)措施顯得非常必要。

目前，盡管國家制定了很多相關(guān)規(guī)章制度，并明確規(guī)定這些企事業(yè)單位的涉密計(jì)算機(jī)必須采取相應(yīng)的安全防護(hù)措施，但是為了保障內(nèi)部信息的安全，僅靠傳統(tǒng)的行政管理措施已不能滿足要求，必須依靠一些技術(shù)手段。本文重點(diǎn)介紹，如何應(yīng)用中軟防水墻系統(tǒng)構(gòu)造“防止信息泄露，保障信息安全”的整體解決方案。

二、系統(tǒng)需求

信息保密是保障國民經(jīng)濟(jì)發(fā)展的重要保證。為保障我國電子政務(wù)、武器裝備、科研生產(chǎn)單位的信息安全，國家制定了相關(guān)規(guī)章制度，從不同方面保障通信、計(jì)算機(jī)信息系統(tǒng)及辦公自動化設(shè)備的安全，其中主要部分明確規(guī)定：

1、禁止使用涉密計(jì)算機(jī)上國際互聯(lián)網(wǎng)或者其它非涉密信息系統(tǒng)，禁止在非涉密計(jì)算機(jī)

上處理涉密信息;

2、禁止將涉密存儲介質(zhì)接入或安裝在非涉密計(jì)算機(jī)上;

3、涉密信息應(yīng)具備相應(yīng)的密級標(biāo)識;

4、涉密計(jì)算機(jī)應(yīng)具備符合要求的身份鑒別機(jī)制、安全訪問控制機(jī)制和安全審計(jì)機(jī)制;

5、涉密計(jì)算機(jī)應(yīng)具備違規(guī)外聯(lián)監(jiān)控機(jī)制。

為滿足國家規(guī)定的各種保密要求，各單位僅靠傳統(tǒng)的保密措施，顯得捉襟見肘，迫切需要選用一個功能強(qiáng)大、運(yùn)行穩(wěn)定的安全軟件系統(tǒng)。技術(shù)手段在現(xiàn)代化的保密工作中扮演著越來越重要的角色。

三、中軟防水墻系統(tǒng)介紹

“中軟防水墻WaterBox”是防止內(nèi)部信息外泄的安全系統(tǒng)。它從內(nèi)部安全體系架構(gòu)和網(wǎng)絡(luò)管理層面上，實(shí)現(xiàn)了內(nèi)部安全的***統(tǒng)一，有效降低“堡壘從內(nèi)部攻破”的可能性。防水墻系統(tǒng)是綜合利用密碼、身份認(rèn)證、訪問控制和審計(jì)跟蹤等技術(shù)手段，對涉密信息、重要業(yè)務(wù)數(shù)據(jù)和技術(shù)專利等敏感信息的存儲、傳播和處理過程實(shí)施安全保護(hù)，***限度地防止敏感信息的泄漏、被破壞和違規(guī)外傳，并完整記錄涉及敏感信息的操作日志以便事后審計(jì)和追究泄密責(zé)任。

1、體系結(jié)構(gòu)

完整的防水墻系統(tǒng)由三部分組成，防水墻服務(wù)器(WaterBox Server)、防水墻控制臺(WaterBox Console)和防水墻客戶端(WaterBox Watcher)。

(1)防水墻服務(wù)器。包括服務(wù)器端軟件和支持?jǐn)?shù)據(jù)庫，是防水墻系統(tǒng)的核心部分。通過安全認(rèn)證機(jī)制，建立與多個客戶端(受控制的個人計(jì)算機(jī))系統(tǒng)的連接，實(shí)現(xiàn)對多個客戶端系統(tǒng)的配置、策略制定、資產(chǎn)管理、操作審計(jì)等功能。

(2)防水墻控制臺。它是系統(tǒng)管理員、操作員、審計(jì)員等和防水墻系統(tǒng)交互的圖形界面，實(shí)現(xiàn)系統(tǒng)管理、參數(shù)配置、策略管理和系統(tǒng)審計(jì)等功能?？刂婆_采用分權(quán)分級的授權(quán)模式，嚴(yán)格限制對敏感信息的訪問權(quán)限，以提高系統(tǒng)的安全性，保證信息安全。

(3)防水墻客戶端。它是安裝于受監(jiān)控主機(jī)上的監(jiān)測軟件，是站在客戶機(jī)旁邊的“安

全哨兵”。它強(qiáng)制執(zhí)行來自服務(wù)器的安全策略，根據(jù)安全策略監(jiān)測客戶端用戶的行為。客戶端軟件采用了嚴(yán)密措施，防止本地用戶自行卸載、關(guān)閉監(jiān)控程序。

其中，防水墻控制臺和客戶端軟件，可從服務(wù)器端獲得***版本，實(shí)現(xiàn)遠(yuǎn)程自動升

級。

2、防水墻系統(tǒng)設(shè)計(jì)理念

防水墻系統(tǒng)的設(shè)計(jì)理念是保護(hù)用戶敏感信息不被非法外傳、防止泄密事件發(fā)生，從而保證內(nèi)部安全。它主要從以下五個方面來保障內(nèi)網(wǎng)安全：

(1)失泄密防護(hù)：信息外傳途徑主要有網(wǎng)絡(luò)傳輸、移動存儲帶出和打印到紙介質(zhì)文稿三種情況。防水墻系統(tǒng)針對這三種泄密途徑都做了全面的防護(hù)，可以根據(jù)實(shí)際情況選擇啟用或禁用，還可選記錄日志以備事后追蹤。另外，防水墻系統(tǒng)還能夠根據(jù)策略“啟用”和“禁用”主機(jī)上可能造成泄密的外設(shè)接口，作為實(shí)施失泄密防護(hù)在硬件層次上的輔助手段。

(2)文件安全服務(wù)：文件安全服務(wù)提供了對敏感文件的加解密安全防護(hù)，充分利用對稱和非對稱算法的優(yōu)點(diǎn)對文件和密鑰進(jìn)行管理。為了保證敏感信息不被非法解讀，防水墻系統(tǒng)使用了加密域的概念。加密域是一組防水墻系統(tǒng)用戶的組合，每個文件在加密時均選擇加密域，只有處于選擇的域內(nèi)的用戶才能進(jìn)行解密閱讀。有效地防止了文件在傳輸途中可能造成的泄密，也防止了電腦丟失可能做成的泄密事件的發(fā)生。

(3)運(yùn)行狀況監(jiān)測：對受控主機(jī)，監(jiān)控其歷史運(yùn)行狀況。包括：用戶刪除文件、系統(tǒng)服務(wù)，屏幕截取等記錄，方便系統(tǒng)管理員查看管理。是計(jì)算機(jī)安全保密的有效措施之一。

(4)系統(tǒng)資源管理：系統(tǒng)資源管理功能用于收集受控主機(jī)上的軟硬件信息，并上傳至服務(wù)器作為初始資源信息備份。系統(tǒng)管理人員可以隨時獲得所管理部門的主機(jī)的系統(tǒng)資源信息。完整的系統(tǒng)資源管理信息包括：系統(tǒng)信息、硬件信息、用戶和組等信息。

(5)擴(kuò)展身份認(rèn)證：接管身份認(rèn)證。如果接管Windows身份認(rèn)證，只需輸入合法的防水墻用戶名和口令即可登錄Windows系統(tǒng)。#p#

四、用中軟防水墻系統(tǒng)構(gòu)筑信息安全保密解決方案

利用中軟防水墻系統(tǒng)的主要功能，對系統(tǒng)內(nèi)部進(jìn)行如下幾方面防護(hù)，可以***限度的保障系統(tǒng)的安全。

1、身份驗(yàn)證機(jī)制：用戶身份的鑒別和防護(hù)，是保證計(jì)算機(jī)系統(tǒng)安全的***道防線，眾多失泄密事件都是由于用戶身份認(rèn)證的不嚴(yán)格而引起的。

防水墻系統(tǒng)提供了自身的身份驗(yàn)證系統(tǒng)，用戶要登錄到防水墻客戶端時，除需要提供操作系統(tǒng)用戶名和口令外，還需要提供防水墻用戶名和口令，用戶口令長度為8位以上的數(shù)字和字母組合，保證了口令的可靠性，同時口令的驗(yàn)證與存放均使用哈希函數(shù)中的MD5算法，有效防止被暴力破解。

與此同時，防水墻系統(tǒng)還提供了完善的對外接口，可與第三方廠商的加解密體系進(jìn)行緊密接合，盡***可能保障用戶信息的安全。如：與上海格爾的身份識別系統(tǒng)的結(jié)合，利用格爾網(wǎng)盾IC卡身份認(rèn)證系統(tǒng)增強(qiáng)防水墻身份認(rèn)證體系;與衛(wèi)士通公司的“一Key通”身份認(rèn)證系統(tǒng)的結(jié)合;等等。

2、訪問控制體系：完善的完全體系應(yīng)包括控制單位內(nèi)部員工的訪問操作，即采取主動的方式，盡可能多的封鎖住各種可能造成失泄密的渠道，防止由于內(nèi)部員工的有意或無意的操作，造成泄密事件的發(fā)生。

防水墻系統(tǒng)提供了三種訪問控制體系，基本涵蓋可能造成泄密的各種途徑：

(1)網(wǎng)絡(luò)訪問控制：可以有效的控制終端用戶的網(wǎng)頁瀏覽、網(wǎng)上文件上傳下載、Email控制、Modem撥號、Telnet、網(wǎng)絡(luò)共享等網(wǎng)絡(luò)操作。

(2)接口控制：可對計(jì)算機(jī)的USB接口、1394接口、串口、并口等10種外設(shè)接口進(jìn)行控制，使終端用戶無法使用相應(yīng)接口的硬件設(shè)備，所控制的10種接口基本涵蓋所有可能造成失泄密的情況。

(3)打印機(jī)控制：對系統(tǒng)內(nèi)部用戶使用打印機(jī)進(jìn)行控制，可根據(jù)需要設(shè)定禁止使用、自由使用記錄日志、自由使用記錄影像等不同程度的策略。

3、“非法外聯(lián)”控制。不難看出，通過上面討論的“網(wǎng)絡(luò)訪問控制”和“接口控制”，可以嚴(yán)密防止單位內(nèi)部“非法外聯(lián)”情況的發(fā)生。因?yàn)橥ㄟ^禁止網(wǎng)絡(luò)訪問或通過禁止可能訪問網(wǎng)絡(luò)的外設(shè)接口，就有效地控制了“非法外聯(lián)”。

4、設(shè)備密級標(biāo)識。信息是分密級的。在一個合格的安全體系中，不同密級的信息必須保存在不同的位置或不同的存儲介質(zhì)上，這樣可以***限度保障信息的安全。為此，需要將網(wǎng)絡(luò)體系中所有的計(jì)算機(jī)系統(tǒng)、可移動介質(zhì)設(shè)置為不同的密級，用以存放相應(yīng)密級的數(shù)據(jù)，只有具備相關(guān)權(quán)限的人員才能對涉密信息進(jìn)行訪問。

防水墻系統(tǒng)提供專門的授權(quán)模塊，對計(jì)算機(jī)終端或移動存儲介質(zhì)等設(shè)定相應(yīng)的密級標(biāo)識。不同密級的計(jì)算機(jī)執(zhí)行不同密級的策略，接受不同程度的管理監(jiān)控。在防水墻系統(tǒng)中，密級標(biāo)識從低到高級分別為：普通、秘密、機(jī)密、絕密。而密級標(biāo)識本身使用加密等措施進(jìn)行有效存儲。

5、動存儲介質(zhì)的有效管理。存儲介質(zhì)(如USB盤、移動硬盤等)作為企業(yè)核心機(jī)密和

敏感信息的載體，實(shí)現(xiàn)對它們安全、有效的管理是保證企業(yè)信息安全的重要手段。防水墻系統(tǒng)提供了可信移動存儲介質(zhì)管理功能，通過將移動存儲介質(zhì)劃分密級、加密存儲等技術(shù)手段，可以有效防止移動存儲介質(zhì)在計(jì)算機(jī)上跨密級使用。可信移動存儲管理功能是對設(shè)備密級標(biāo)識的充分應(yīng)用，防水墻系統(tǒng)的可信移動存儲功能中的密級訪問控制包括：

(1)高密級移動存儲介質(zhì)不能在低密或者普通計(jì)算機(jī)上使用;

(2)涉密移動存儲介質(zhì)不能在非涉密計(jì)算機(jī)上使用

(3)低密級移動存儲不能(或者只讀)在高密級計(jì)算機(jī)上使用

(4)非授權(quán)的移動存儲介質(zhì)不能在涉密計(jì)算機(jī)上使用(

(5)即使密級相同，也只能在用戶或者計(jì)算機(jī)得到許可的情況下才能夠使用

防水墻系統(tǒng)中的“可信移動存儲介質(zhì)管理系統(tǒng)”充分利用信息保密、訪問控制、審計(jì)等技術(shù)手段，對企業(yè)移動存儲設(shè)備實(shí)施安全保護(hù)，使企業(yè)信息資產(chǎn)、涉密信息不能通過移動存儲設(shè)備非法泄漏，用技術(shù)的手段，真正實(shí)現(xiàn)移動存儲設(shè)備信息安全的“五不”原則，即：進(jìn)不來、拿不走、讀不懂、改不了、走不脫。

“進(jìn)不來”，是指外部的移動存儲介質(zhì)拿到單位內(nèi)部來不能用;“拿不走”是指單位內(nèi)部的存儲介質(zhì)拿出去使不了;“讀不懂”是指只有授權(quán)的人才能解密閱讀，任何未經(jīng)授權(quán)的人大不開其中的文件，這意味著即使存儲介質(zhì)丟失也不會造成泄密;“改不了”是指其中的信息篡改不了;“走不脫”是指系統(tǒng)具有事后審計(jì)功能，對違反策略的行為和事件可以跟蹤審計(jì)。

6、安全審計(jì)。防水墻系統(tǒng)具有“事前預(yù)防、事中控制、事后審計(jì)”三大特征，在信息保密的各個階段實(shí)施對敏感信息的強(qiáng)有力的保護(hù)。防水墻系統(tǒng)提供的“黑匣子”和“審計(jì)平臺”，能夠快速對出現(xiàn)的安全事件進(jìn)行審計(jì)。

所謂“黑匣子”，是指安裝于防水墻客戶端、用于記錄用戶操作的加密文件系統(tǒng)，假如發(fā)生泄密事件，具有“安全官”(系統(tǒng)***使用權(quán)限，如保密委員會授權(quán)的人員)權(quán)限的用戶可以從控制臺導(dǎo)入泄密主機(jī)“黑匣子”，使用防水墻黑匣子分析儀對其進(jìn)行分析，以追究泄密責(zé)任。審計(jì)平臺主要針對歷史性的數(shù)據(jù)庫備份文件和日志文件進(jìn)行對應(yīng)審計(jì)，進(jìn)行更全面的問題追責(zé)。

從上面的介紹可以看出，防水墻系統(tǒng)的受控主機(jī)集合構(gòu)成了一個相對獨(dú)立的“內(nèi)部安全體系”，有時我們也稱其為“防水墻系統(tǒng)安全域”。域內(nèi)的主機(jī)是受到防水墻策略的嚴(yán)格控制的，這些主機(jī)的用戶行為是受到監(jiān)控的，其泄密后果是可以追查和審計(jì)的。

7.非法主機(jī)控制。以上六種防護(hù)措施均是針對“防水墻安全域”內(nèi)部用戶的。對于接入到“防水墻安全域”中的外部主機(jī)(如用戶很容易地將筆記本電腦接入到“防水墻安全域”中)如果它沒有安裝防水墻客戶端軟件，不能接受防水墻系統(tǒng)的監(jiān)控，會對企業(yè)的安全體系造成破壞，造成失泄密事件的發(fā)生。

防水墻系統(tǒng)的“網(wǎng)絡(luò)巡邏員”可以對連接到網(wǎng)絡(luò)中沒有安裝防水墻的“非法”主機(jī)進(jìn)行檢測，及時報(bào)告非法主機(jī)的接入，并可根據(jù)策略對其進(jìn)行報(bào)警與阻斷。

五、結(jié)束語

防水墻系統(tǒng)是目前國內(nèi)市場中一款非常成熟的內(nèi)網(wǎng)安全管理系統(tǒng)，政府機(jī)關(guān)、軍工企業(yè)、涉密的企、事業(yè)單位，通過應(yīng)用部署該系統(tǒng)，能很好的滿足內(nèi)網(wǎng)安全防護(hù)的需要，切實(shí)降低信息泄密的風(fēng)險(xiǎn)，同時提高了單位的工作效率，具有良好的應(yīng)用效果。目前上千家用戶的實(shí)踐經(jīng)驗(yàn)表明：基于防水墻系統(tǒng)構(gòu)筑信息保密安全體系和解決方案，是切實(shí)可行的，是新時期保密工作的有力武器。

【編輯推薦】

1. 用高科技武裝保密工作
2. 全國人大通過保密法 網(wǎng)絡(luò)運(yùn)營商應(yīng)配合泄密調(diào)查
3. 蘋果保密工作太差 新一代iPod又被泄露
4. 在CentOS系統(tǒng)為自己保密
5. 百思買披露Win7售前保密措施：偷跑1套罰5000