科顿内网安全平台产品介绍
图1科顿内网安全平台架构计算机认证信息用户认证信息科顿内网安全平台架构可信网络基础设施平台可信网络认证授权子系统可信桌面管理子系统可信移动存储媒体管理子系统可信网络监控子系统可信网络域管理子系统可信文档安全子系统
该系统的目标可概括如下:
敏感信息不能带走。系统提供外设管理功能,通过控制终端外设的使用,终端用户不能将敏感信息未经授权复制或传输到企业或单位外部。
敏感信息不能看。通过对敏感信息的透明加密和解密,系统实现了未授权用户即使带走敏感信息也无法读取。
文件操作的强审计。系统提供文件控制功能,通过严密审计敏感文件的操作,事后可追溯用户的非法操作;
监控用户行为。在监控方面,系统提供远程终端监控功能,管理员可以实时监控用户正在运行的应用、桌面状态、内存和硬盘使用情况。如果用户的行为不符合企业或单位的要求,可以通过锁定或截屏的方式终止其行为或实时取证。在控制方面,系统提供了进程控制功能来控制是否允许用户运行某个程序。该功能一方面可以规范用户行为,有效提高员工工作效率,另一方面也保证了终端的稳定性,防止病毒攻击。
终端资产的可计量性。管理员可以统计终端的软硬件资产,并跟踪其变化,防止企业或单位的资产流失。
数据分发可以是自动的。管理员可以向终端分发文档、软件或补丁,并根据它们的性质选择存储、安装或执行它们。
信息交互的即时性。管理员和最终用户之间的信息交换用于企业或单位(1)移动存储介质集中注册管理中的公告和反馈。通过该系统,管理员可以集中注册内部使用的移动存储介质,从而进一步统一管理这些移动存储介质,实现访问控制和安全日志审计。注册内容包括:
l存储介质的元信息:包括设备名称、主管部门、下属部门、使用部门、负责人、用户、备注等元信息;
l使用期限:表示移动存储介质在内网中的使用期限。一旦到期,系统将自动禁止该设备在网络中使用。
(2)注册移动存储介质时,私有磁盘格式管理员可以将介质注册为特殊磁盘格式,这样存储介质只能在企业内网使用,内部人员取出后将无法被外部机器识别,从而防止内部数据丢失。
(3)严格的媒体访问控制在访问内部计算机后,系统将能够识别其认证信息,并采用不同的机制进行访问控制:
l认证媒介。对于注册合法的可移动存储介质,管理员可以设置自己可以使用的计算机范围和用户范围,具体的访问控制可以细分为三种:
A.如果未经授权的用户使用该介质,或者内部人员在未经授权的机器上使用该介质,系统将自动阻止它,以防止机密数据的丢失;
b、移动存储介质只有在合法用户在合法机器上访问才能正常使用;
C.管理员可以方便地报告存储介质的丢失。一旦挂失,相关存储介质将无法访问内网。
l未经认证的媒体。对于未认证的媒体,管理员可以统一设置媒体是否可以在内网使用。如果管理员禁止使用,该设备将无法访问企业内部网。
(4)灵活的访问控制移动存储介质连接内部计算机后,管理员可以从控制台设置其使用权限。系统支持的五种控制模式包括:
l禁止使用。媒体不能在管理员授权的范围内使用。
l只读控件。在管理员授权的范围内,设备只能以只读方式使用,用户不能将任何文件复制到介质上。
l读写控制。在管理员授权的范围内,用户可以读写移动存储介质。
l透明解密只读控件。在管理员授权的范围内,设备只能以只读方式使用,用户不能将任何文件复制到介质上;与只读控制模式不同的是,当用户读取文件时,系统会对读取的数据进行透明解密。
l透明的加密解密读写控制。在管理员授权的范围内,用户可以读写移动存储介质;不同于读写控制模式,系统会在用户读取数据时自动解密,写入数据时自动加密,从而丢失内部数据。
(5)离线策略控制当用户将计算机带离内网(如出差)时,管理员可以通过采用第二套离线策略来控制其移动存储介质的使用。同时离线时可以自动记录用户的移动存储介质操作记录,在线一次会自动上传日志。
(6)安全事件预警和审计系统会记录用户在企业内网移动存储介质上的操作。当管理员预先定义的预警事件发生时,系统会及时上报这些事件,并以预警的形式显示出来。具体操作日志包括:
l可移动存储媒体访问事件。当用户在内网访问移动存储介质时,系统会记录访问事件,包括访问时间、人员、位置和设备编号。
l文件复制事件。当用户将内网数据复制到移动存储介质时,系统会自动记录复制事件,包括复制事件、人员、位置、设备号、文件信息等。与同类产品相比,该系统具有以下特点:
1,标准化设计。本系统严格按照移动存储介质涉密网络的管理要求设计,符合国家相关法规和标准。
2.设备独立性。该系统与具体的移动存储介质和计算机硬件无关,可以将企业原有的移动存储介质转化为“可信移动存储介质”并进行严格管理。
3.广泛支持。该系统可以完全支持各种类型的移动存储介质,包括u盘、移动硬盘、数码相机和MP3播放器。
4.注册策略是灵活的。管理员可以灵活管理移动存储介质可以使用的计算机(组)和用户(组)。
5、操作简单。私有磁盘格式和系统内核级数据加密对用户完全透明,用户无需额外培训,降低了成本。
6.支持离线策略控制。内部人员在外网使用移动存储介质时,也会受到离线策略的控制。
7.强有力的跟踪审计。它具有强大的移动存储介质跟踪和日志审计功能,可以在整个生命周期内安全地跟踪存储介质的使用情况。可信文档安全子系统主要包括以下功能:
l强制加密
通过指定文档类型或处理过程,可以对所有存储介质上存在的所有此类文件进行加密,从而有效防止机密信息的泄露。
l输入控制
通过限制分发文件的阅读权限和阅读范围,可以有效控制流通范围,降低机密文件泛滥的可能性,提供集中存储和方便快捷的查询服务,完善文件服务器的功能。
l输出控制
通过自安装控制程序,设置国外单位的阅读权限,有效防止本单位知识产权信息的泄露。可信文档安全子系统主要包括以下关键技术。
l内核级动态加密和解密
动态加解密技术通过不同的安全策略通道对数据进行加密保存,使存储的数据无法通过任何手段泄露(包括:各种移动存储设备、网络、邮件、即时通讯工具:MSN、QQ、泡泡、Skype等。);当合法用户读取数据时,加密的数据会通过动态加解密技术和正确的安全策略通道被安全解密;对于内存中的明文数据内容,提供了独特的内存文件内容保护系统,防止内容通过网络或其他应用被非法窃取,导致泄密。加密和解密过程是自动完成的,对用户完全透明,在用户没有任何感知的情况下保护了文件的安全。
l只读控件
文件的只读控制由以下策略组合控制,主要包括另存为、保存、打印、复制粘贴、读取时长。
剪贴板控件
文件包打开后,如果是只读的,就不能通过Ctrl+C和Ctrl+V复制或者复制粘贴。主要目的是防止用户将文件内容复制到不受控制的进程中。
打印控制
您可以设置文件的打印权限。
n另存为控件
对于受控文件,点击“另存为”保存文件,以确保文件不会被复制。
保存控件
受控文档,可以编辑和修改,但不能保存。
阅读期
将任何文档制作打包为NSD文件时,可以设置打开时间,超过时间限制的无法打开。
l记录外发包装
选定的文件被压缩和加密,以防止恶意访问。
生成exe文件以支持自动部署控制环境。
包中文件的只读控制。
读取授权方式包括密码授权和注册码授权,可以严格控制非法访问系统。
(1)完全独立于计算机网络系统原有的认证体系,具有更高的安全性和可靠性,支持各种标准CA服务器,使用方便,对原有网络系统影响小。
(2)基于PKI技术的双因素认证。用户必须使用合法的身份验证令牌,并提供与身份验证令牌对应的PIN码,然后才能使用可信身份验证代理登录到计算机操作系统。两层保护提高了身份验证的安全级别。
(3)具有服务资源的安全增强功能。服务器的用户账号可以与代表用户身份的硬件USB令牌强制绑定,避免内部盗用领导或其他人的账号使用服务资源的情况发生。
(3)它提供了高级别的个人计算机保护功能。用户可以设置电脑操作系统在令牌拔出后自动锁定,保护个人电脑安全;您可以禁用安全模式。
(4)可以建立安全的服务器区域。使用虚拟安全网关,管理员可以指定每个用户可以访问公司内的哪些特定应用服务器,或者指定哪些用户只能被授权使用服务器。这些用户在访问这些服务器之前,需要通过服务器的统一认证,获得授权。
(5)令牌分发、令牌撤销、令牌授权、令牌更新等操作都可以由管理员在管理中心完成,大大提高了管理的效率。
(6)当令牌的PIN码输入错误次数达到预设值时,将立即锁定令牌,防止令牌丢失后受到强制字典攻击。令牌中的密钥是唯一的、不可复制的,用户的身份不能通过复制令牌来伪造。
(7)自动生成包括每次登录操作的审计线索信息,并具有自动日志维护功能,有助于防止内部员工滥用访问权限或疏于执行安全策略而造成的损失。
(8)具有认证USB令牌的扩展功能。包括:智能存储USB硬件认证设备,支持128m ~ 1g大容量存储空间,支持天妃程心、大明五洲、明华、奇奇等公司设备。智能指纹令牌;智能指纹USB硬件认证装置。支持天妃程心、大明五洲、明华、奇奇等公司设备。系统特征
(1)端点防火墙可以过滤URL,防止用户浏览恶意网页和特洛伊木马。
(2)为了兼顾管理和安全,端点防火墙为用户的网络访问控制提供了分时控制功能,管理员可以灵活配置指定用户在指定时间段内的访问范围。
(3)强大的网页附件控制功能,可以防止通过网页论坛粘贴附件、通过网络硬盘传输文件等方式泄露信息。
(4)流量控制和带宽控制功能提供对不同粒度对象的控制,如用户或用户组,并提供实时统计显示。
(5)可以强制绑定主机的IP和MAC地址,对恶意修改IP的用户进行断网处罚。
(6)智能ARP防火墙不仅可以免疫ARP病毒,还可以阻止其破坏性活动。更重要的是,它可以改善丰富的日志信息,以追踪病毒的来源。一般来说,企业或单位的安全域由外部域和内部域组成。其中,内部域分为访问域和核心处理域。外部域主要是企业或单位网络边界之外的部分,如Internat;接入域主要是企业或单位内网中由办公、运营、生产机器组成的逻辑区域,按照不同的业务特点由部门组织管理;核心处理域主要是放置企业或单位的业务系统主机的区域。CNSDMS主要解决企业或单位在内网安全防护方面的以下三个需求:
1)如果一个接入域A的安全级别高于一个接入域B,如何阻止B中的主机访问A中的主机?
2)如果一个接入域的安全级别降低,或者需要与其他接入域进行互访,如何恢复它们的通信?
3)由于企业或单位的特殊应用需求,如果需要临时调动不同域的人进行合作,如何打破他们原有的通信限制?
cnsdms与VLAN的比较
VLAN(Virtual Local Area Network)是一种端到端的逻辑网络,它可以通过使用基于交换局域网的网络管理软件来跨越不同的网段和网络。从技术角度来看,VLAN可以根据不同的原则进行划分。一般来说,划分VLAN有三种方法:基于端口、基于MAC地址和基于路由。基于端口的划分是将一台或多台交换机上的几个端口划分为一个逻辑组,网络管理员只需要重新分配网络设备的交换端口,而不考虑端口所连接的设备;基于MAC地址的划分是将一些主机按照MAC地址划分成一个逻辑子网;基于路由的划分需要路由器和路由交换机(即三层交换机),允许VLAN跨越多个交换机或一个端口位于多个VLAN中。目前VLAN赛区主要采用上述1和3方式,第二种方式为辅助方案。
使用VLAN有以下优点:
1)控制广播风暴:VLAN是一个逻辑广播域。通过创建VLAN,隔离广播,缩小广播范围,可以控制广播风暴的产生。
2)提高网络的整体安全性:通过路由访问列表、MAC地址分配等VLAN划分原则,可以控制用户访问权限和逻辑网段的大小,将不同的用户组划分到不同的VLAN中,从而提高交换网络的整体性能和安全性。
3)简单直观的网络管理:对于交换式以太网,如果重新分配一些用户,网络管理员需要重新调整网络系统的物理结构,甚至需要增加网络设备,这将增加网络管理的工作量。对于使用VLAN技术的网络,VLAN可以根据部门职能、对象组或应用将不同地理位置的网络用户划分到一个逻辑网段中。工作站可以在工作组或子网之间任意移动,而无需改变网络的物理连接。
使用VLAN有以下缺点:
1) VLAN之间的通信:如果VLAN 1) VLAN的用户要与VLAN2的用户通信,他们不能直接连接,必须在交换机上配置。如果这种情况经常发生,将会不方便与VLAN解决,从而失去其优势。
2)VLAN的复杂性:如果全网大规模扩容,VLAN的复杂性会迅速增加。所以一旦网络崩溃,维护就要花很多钱。
3)路由器负载能力:使用一台路由器在VLANs之间路由。如果网络不是很大,路由器可以承担工作量,但是如果应用在有很多VLANs的大型网络中,把所有的负载都加到一个路由器上并不是一个好的方法。
根据VLAN的优劣势分析,CNSDMS可以弥补VLAN的不足,与VLAN的建设不冲突,可以增强企业或单位现有网络拓扑上逻辑网络的安全接入能力。
第三,CNSDMS的功能
3.1相关概念
CNSDMS涉及四个概念:虚拟安全域、公共交换域、工作组和可信域:
虚拟安全域对应接入域,是将企业或单位内安装有内网安全终端的机器按照不同的安全级别进行划分,实现域间的安全接入。其中,一台机器只能属于一个虚拟安全域。虚拟安全域的功能主要实现域间的通信控制和外部网络的访问控制。
公共* * *交换域对应核心处理域,可以与所有虚拟安全域相互接入,保证企业或单位业务的顺畅。在CNSDMS中,公共交换域中包含的机器分为两类:一类是企业或单位的公共网关、公共路由器或业务服务器;二是安装或不安装内网安全终端的机器。
工作组是一个临时的虚拟部门,有有效期,可以对应实际的项目组。一个工作组必须包含至少两台具有虚拟安全域的计算机,并且一台计算机可以属于多个工作组。
可信域是指虚拟安全域之间的信任关系,是对称的。具有信任关系的安全域可以相互访问。
3.2 cns DMS的技术优势
技术上,CNSDMS通过在操作系统的NDIS层拦截所有网络数据包,实现了域间机器的安全隔离,因此网络阻断高效彻底。此外,CNSDMS的技术优势还包括以下两点:
1)使用CNSDMS不需要改造现有网络;
2)安全域的创建和编辑具有很大的灵活性;
3.3 cns DMS的工作原理
CNSDMS的工作原理如下图所示。科顿控制中心负责创建和编辑虚拟安全域、公共交换域和工作组。
对于虚拟安全域,管理员可以根据职能部门的安全级别,对内网中安装了安全终端的机器进行划分,为了保证业务活动的顺利进行,将内网中的公共网关、公共路由器或业务服务器划分到公共* * *交换域中(类似于工作组创建虚拟安全域);其次,通过设置虚拟安全域是否可以访问外部网络以及虚拟安全域之间的信任关系,指定特定安全域的安全策略;最后,安全策略通过科顿服务器将安全策略发送到安全终端,实现域间的网络阻断和信息加密。目前,科顿内网安全平台分为B/S和C/S两个版本。
C/S支持WINDOWS2000/XP/2003/WIN7 32位全系列操作系统。
B/S支持WinodWS 2000/XP/2003/win 7/win 8/32位和64位全系统操作系统,支持LINUX系统的版本正在内测阶段,将于2013年底发布。科顿处于信息安全的前沿。