山丽防水墙系统
Sanlen water wall (TM) Systems
------------------------------------------------------------------------------- 系统描述
现代社会企业之间的竞争归根结底是技术实力的竞争,企业的信息安全保障是一个企业安全策略中最为核心的内容,企业只有更多地保证自己的商业机密安全,才可以在对手林立的现代商业社会立于卓然地位。
那么,谁来保护企业的机密信息?
一、 问题
•如何保障机密文件不被盗拷出公司?
•如何保障机密文件不被盗拷出笔记本电脑?
•如何留下每一个人对机密文件的操作证据(拷贝,打印,修改,删除)?
•如何保障机密文件的限时授权? 当授权过期,如何保障机密文件的自我销毁?
二、 案例
•某律师事务所,一件重要案件的材料被离职员工带走,并泄露给法庭对手,从而输掉了该案件。
•某大学向警方报案:其下属公司研制的疑难病症的专用药剂发生重大失密。据负责研发该项目的教授称,该项目研制了8年,属国家级高科技项目,其技术处于世界领先地位,学校已先期投入2000余万元,如成功投产,将造福千万患者。技术资料是从教授电脑上失窃的 …
•某上市公司,由于财务报表提前泄露,导致当天紧急停牌……
•……
三 、防水墙系统 - 山丽网安的解决方案
共享文件如何加密•网络环境:机密文件只能在指定的网络环境访问,在指定环境之外,该机密文件的任何副本都不可用。
•移动环境:机密文件只能在指定的笔记本电脑上访问,如将该机密文件复制到其它电脑,则立刻自毁,不再可用。
•在指定的网络环境或移动环境,只有持有密钥的用户才能访问机密文件。密钥具有生存周期,最短可为几分钟,最长可为几年。没有密钥或密钥过期,该机密文件都将不可用。
•任何人对机密文件的操作都记录在案。操作包括拷贝,打印,读取,修改,删除。
记录的详细信息有:操作者用户名,机器名,IP地址,日期,时间,操作的文件名称。
四、 主要功能
z权限控制
o以机器为单位的权限控制
加密文件,只能由授权机器使用,而机器的指定是基于机器本身独有特征来判断
的。任何人,只能在授权机器上对被加密文件进行操作,所有对该文件的任何操
作,都有日志,并且日志是加密的。
o以用户为单位的权限控制
加密文件,只能由授权用户使用,被授权的用户,可以根据用户的用户名,在任
何有效环境里的任何一台机器上对保密文件进行操作,所有对该文件的任何操
作,都有日志,并且日志是加密的。
o以机器和用户为单位的权限管理
加密的文件,只能在已授权的机器上,由已被授权的用户进行操作,所有对该
文件的任何操作,都有日志,并且日志是加密的。
o以小组为单位的权限控制
根据小组的工作性质、任务及工作日程等为工作小组授予不同的权限,同一小
组里也可以“机器为单位”、“用户为单位机器”、“机器和用户为单位”的权限
管理。
z加密文件服务
o局域网加密文件服务
在局域网里,被加密的文件,只有被授权的用户,机器,或小组,才能通过共
享文件、HTTP、FTP等方式对该文件进行操作,所有对该文件的任何操作,都有
日志,并且日志是加密的。
o互联网上的加密文件服务
在互联网上,被加密的文件,只有被授权的用户,才能通HTTP、FTP等方式对
该文件进行操作,所有对该文件的任何操作,都有日志,并且日志是加密的。
z文件防盗功能
对被保护的文件,做到:
文件加密:盗走了,拿走了,没法用;
权限控管:谁能看,谁能印,防篡改;
时间期限:过期了,离职后,不能用;
使用追踪:谁看过,谁印过,有记录。
z机密环境和非机密环境的切换
解决加密文件在被授权者和非授权者之间的传输问题。
五、 技术指标
•内核技术:
由山丽环指密(环境指纹加密)技术, 动态内核加解密技术,AUK内核实时监控技术
三部分构成。
o环指密技术:从网络环境中独一无二的网络标识符采集指纹,由此指纹产生密钥。
o动态内核加解密技术:防水墙系统无缝嵌入操作系统内核,检查授权,对IO数据进行高强度加解密。
o AUK内核实时监控技术, 无缝嵌入操作系统内核,实施对指定文件的操作记录和跟踪。
•高强度数据加密
基于公共密钥技术,利用数据加密和完整性检验技术来实现动态密钥交换、一次一密的工作方式、保证数据的私密性和完整性。防水墙系统所采用的非对称式加密系统,大大提高了密钥的分发和使用的安全性。而在加密算法上,防水墙系统采用了国际上最先进的多步加密算法,而要破解这种加密算法在目前是要花费巨大的时间的甚至是不可能的。
•集中式指纹验证
防水墙系统为授权用户的连接请求生成一次性密钥,经过身份认证系统识别身份,然后访问监控器根据用户的身份和授权数据库决定用户是否能够访问某个资源。
而防水墙系统的集中认证是基于SANLEN-GSP技术的安全认证平台能够提供用户只需进行一次登陆就可以访问到所有的授权服务,实现了集中的身份认证方式、统一认证和授权策略。GSP不但避免了多个认
证系统的安全策略必须逐个在不同的系统内进行设置的弊端,而且可以统一分析用户的应用行为,从用户角度进行分析。
•密钥生存周期
系统管理员可为生成的密钥设定生存期,一旦数据被移动到内部环境之外,在一定的密钥生存期内,数据是可阅读的,当生存期过后,数据信息自毁并不可使用。这样同时满足了企业对数据信息的安全需要,也迎合了实际的工作需求。
保护分级
防水墙系统保护分级符合国家标准及美国TCSEC标准,机密保护的四个级别分别为D,C,B,A 从低到高。可以实施于在企业规模,保密级别,行业特点各方面各不相同的多种企业。
•D级 - 国标2级(系统审计保护级), TCSEC标准C2级别
o对机密文件实施访问授权控制,所有对机密文件的操作都被记录(拷贝,打印,读取,修改,删除)。可审计的详细信息有:操作者用户名,机器名,ip
地址,日期,时间,操作的文件名称。
o没有加密保护。
•C级 – 国标3级(安全标记保护级),TCSEC标准B1级别
o安全标记
每个机密文件都用环境指纹加密,并被贴上标记。只当标记有效时,机密文
件方可正常使用。一旦标记失效,则该机密文件不再可用。
在以下三种情况下标记立即失效:
未授权
授权过期
离开授权环境
o密钥生存周期,每个密钥代表一个授权,不同密钥的生存周期可以不同,从而可对不同信任级别的用户给予不同的授权。
o包含D级内容
o应用于单台计算机系统,包括移动式计算机。
•B级别 – 国标4级(结构化保护级), TCSEC标准B2级别
o C/S架构的机密文件保护。
o所有的机密文件都以加密形式存储在服务器上,该服务器为本级别架构的关键部分。
o服务器负责密钥产生,管理,分发,回收。并对客户电脑提供集中的密钥认证服务。
o客户电脑必须通过服务器的密钥认证才能正常访问服务器上的机密文件。
o所有I/O通道(包括移动磁盘,网络)都被加密并进行授权检查。
o包含C级内容
o服务器端包含D级内容
o应用于局域网环境
•A级别 – 国标5级(安全域级保护级),TCSEC标准B3级别
o基于域控制的密钥保护。
o管理员可定义不同权限的用户域,仅能访问相应的机密文件存储区。域分为两种:
本地域,定义在LAN上。
远程域,定义在WAN和Internet上。
o整个系统由主域控制器,域控制器,客户构成。其中:
所有的机密文件都以加密形式存储在域控制服务器上
主域控制器负责所有密钥的产生,管理,分发,回收。
主域控制器对域控制器进行认证,并提供密钥服务。
机密文件的操作由域控制器记录日志,并提交主域控制器进行集中审计。
域控制器对域内客户进行人证,并提供密钥服务和机密文件服务。
o包含B,C,D级内容
o应用于Internet上的分布式环境,也可用于LAN及WAN。
山丽防水墙数据部署图
上海山丽信息安全有限公司网络安全实验室
2008
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论