涉密网络内网信息安全解决方案模版
X涉密单位信息中心内网安全管理平台
建设方案
2006.08 北京明朝万达科技有限公司
目 录
========================================================
1. 需求分析 ........................................................................................................................... - 1 -
1.1 X涉密单位信息中心内网安全管理现状 ........................................................................ - 1 -
1.2 X涉密单位信息中心内网安全需求分析 ........................................................................ - 1 -
2. 解决方案 ................................................................................................................................ - 3 -
2.1设计原则 ........................................................................................................................... - 3 -
2.2 总体方案 ........................................................................................................................... - 3 -
2.3分域管理 ........................................................................................................................... - 4 -
2.4 用户管理 ........................................................................................................................... - 5 -
2.5身份认证 ........................................................................................................................... - 6 -
2.6 终端安全 ........................................................................................................................... - 7 -
2.7主机监控 ........................................................................................................................... - 8 -
2.8负载均衡和多机热备 ....................................................................................................... - 9 -
2.9系统配置 ......................................................................................................................... - 10 -
2.10系统部署图 ................................................................................................................... - 12 -
2.11方案效果 ....................................................................................................................... - 12 -
3. 售后服务 .............................................................................................................................. - 14 -
4. 成功案例 .............................................................................................................................. - 14 -
1. 需求分析 1.1 X涉密单位信息中心内网安全管理现状
X涉密单位作为国家的重要部委机关,在进行信息网络建设的时候,一般对安全性做了成熟的考虑,但是主要基于传统的网络安全,主要是边界防护设备、灾难备份、病毒防护以及简单的身份认证措施。随着分散在各个内网主机和服务器上的有价值的信息越来越多,内网安全成为信息中心不得不重视的问题,也已经成为国家各部委,政府机关等主要的安全威胁和建设要务之一。国家保密局在2006年出台的《涉密内网计算机信息系统保密管理规定》(以下简称“保密规定”)中对内网安全管理提出了严格的要求。
1.2 X涉密单位信息中心内网安全需求分析
⏹ 计算机的集中管理和监控
计算机终端是计算机网络的主要组成部分,也是用户操作和数据使用的主要环境。因此,对于内部信息系统来说,其安全威胁的起源(包括导入病毒、泄密信息和发起针对内部的攻击等)也主要集中在计算机终端中,按照保密规定要求,涉密信息网络应当采取系统安全保密监控管理等技术措施,防止内部人员进行违法操作,例如打印保密文件等,对内部人员的操作必须提供详细的日志审计功能。必须采用有效的措施对网络中所有的计算机终端进行有效的集中管理和监控,并针对性进行桌面资源使用权限的集中授权管理,降低安全隐患和风险。
⏹ 信息网络分域分级管理
内网的计算机终端存储和访问大量的内部甚至涉及国家机密的信息,这些信息分布在不同部门和不同人的计算机当中。“涉密信息网络必须坚持等级保护的原则,应依据国家保密标准《涉及国家秘密的信息系统分级保护技术要求》确定系统等级,必须按照不同等级进行逻辑划分,不同等级之间的网络不能互通,以防止信息泄密。对于包含多个安全域的信息系统,各安全域可以分别确定保护等级。不同安全域应当实行分域管理,不同安全域之间原则上不允许通讯,只有相
⏹ 非法计算机的隔离管理 互信任的安全域才能够相互通讯。”因此,需要对不同部门的计算机进行逻辑分域管理(不仅仅是网络VLAN的划分),并且根据计算机的使用性质,设置不同等级的保护策略,从而避免秘密信息的随意传播和泄密。
信息中心内网规模较大,怀有恶意的内部和外来人员会寻找机会将自己的计算机接入内部的涉密网络,这就可能导致信息泄密以及其它威胁信息安全事件的发生。这样的案例近年来层出不穷,因此,保密规定明确要求涉密信息网络中应当采取加密保护等技术措施,以防止信息在网络上传输时被窃取。涉密信息和数据必须按照保密规定进行采集、存储、处理、传递、使用和销毁,计算机信息系统存储、处理、传递、输出的涉密信息也必须采取加密保护等技术手段,防止泄密。所以,必须采取有效的措施,对所有数据交换的途径进行统一有效的管理,隔离本单位计算机以外的终端。
⏹ 移动存储设备的管理
移动存储设备是另一个主要的信息传递通道。信息中心根据工作需要,经常会通过U盘或移动硬盘等交换数据,这就大大增加了信息泄密的可能性。“保密规定”第十一条中明确指出:未经允许或者未经管理员注册的计算机信息媒体或载体(指计算机硬盘、移动硬盘、U盘、软盘、磁带及其它设备),一律不得在涉密信息网络中使用。在涉密计算机上使用计算机信息媒体或载体(指计算机硬盘、移动硬盘,U盘、软盘、磁带及其它设备)必须有详细的登记和使用记录,包括何时使用,进行了哪些操作等等。因此,必须对内网中移动存储设备的使用进行统一的管理和授权:禁止不受信任的设备接入内网;受信任的设备明确使用范围,使其可以在内网正常使用,但不能将数据带出内网。
⏹ 统一用户身份认证
信息中心内部人员数量众多,所属部门,职责和权限各不相同,如果某个人员访问了其权限以外的信息资源,如重要计算机,数据库服务器等,将会对内网的信息安全构成极大的威胁。现有的资源控制手段基本上是用户名-口令的形式,比如windows登录名和密码等,很容易被侦听,破解和窃取。基于此考虑,保密规定明确要求涉密信息网络和涉密内网中的计算机,必须保证专人专机,专
机专用,未授权用户不得使用内网计算机,内网计算机的使用必须有明确的登记和使用记录,防止计算机非法使用。操作人员离开计算机时,必须关闭计算机或者锁定计算机,防止在操作人员离开期间计算机被别人盗用。第九条中指出: 必须对涉密内网中的数据库服务器和其他应用服务器采取严格的技术安全保密措施,防止未授权用户和未授权的计算机访问受保护的服务器。因此,必须要有一套强大和完善的用户身份认证体制,对信息中心的人员进行认证和授权。每个人只能访问到权限范围内的计算机,文件和网络资源等。
2. 解决方案
2.1设计原则
根据信息中心内网的规模、管理情况和国家保密局保密规定要求,本解决方案根据以下原则进行信息中心内网安全管理平台的设计。
1) 平台应该统一规划,分步实施,实施各个阶段应该保持良好的衔接;
2) 平台与应用相关性应该尽可能低,支持应用系统的升级和新应用的扩
展;
3) 平台的选型必须是基于现有的成熟产品和系统,具有可靠的稳定性;
4) 平台应具有良好的可管理性和可维护性,有统一的管理中心;
5) 平台必须具有良好的易用性和兼容性,不会改变业务系统的主要结构,
也不会对业务系统的操作人员带来过多的习惯改变;
6) 平台应该符合国家制定的相关安全管理规范,取得相关资质。
2.2 总体方案
通过以上的需求分析,本方案将以“保密规定”为指导,从Chinasec可信网络认证系统,Chinasec可信网络保密系统和Chinasec可信网络监控系统三个部分来构造内网安全管理和保密体系,并采用Chinasec可信网络安全平台来作为技术支撑。
Chinasec可信网络认证系统提供了统一用户身份认证的手段,通过USBKey硬件来确认用户身份,并在此基础上进行认证和各项授权。认证系统还为所有用
储设备的授权管理。 户提供了个人安全磁盘,确保用户的重要的数据不被窃取。 Chinasec可信网络保密系统通过在内网中划分逻辑上的“虚拟安全域”的方式实现了信息中心内网的分域分级管理,所有的内网主机按照职能和级别不同被划入不同的“虚拟安全域”中进行管理,隔离非本单位的计算机,并提供移动存
Chinasec可信网络监控系统提供了对内网计算机终端进行集中的资源和用户行为授权管理,并提供详细的审计记录的功能,减少单位内网的安全漏洞和风险,提高了管理效率。
Chinasec可信网络安全平台是整个安全体系的基础,实现了内网办公计算机的统一管理,可信网络保密系统和可信网络认证系统都在平台上运行。
2.3分域管理
⏹ 虚拟保密子网划分
Chinasec可信网络保密系统可以将内网划分为一个或者多个保密子网(VCN),同一个保密子网内部的计算机可以实现相互自由的数据交换(通过网络或者存储设备),不在同一个保密子网内部的计算机相互之间不能进行正常的数据交换,除非获得管理员的授权。
通过保密子网的划分,可以在保障网络统一维护的前提下,对信息中心内部不同的部门等实现有效的数据隔离,例如重要技术部门和其他部门独立开来,增加内网安全级别,降低安全风险。通过保密子网,还可以有效防止非法外连或者非法接入。非法外连不管是基于Modem、ADSL拨号或者双网卡,都能够有效防止;非法接入不管是通过交换机接入或者通过网线将两台计算机直连,也都能够有效防止。不同保密子网(VCN)之间可以设定信任关系,从而允许他们的计算机之间进行数据交换。
⏹ 服务器访问授权
Chinasec可信网络保密系统使用安全网关构建安全服务器区域,受保护的服务器接入到安全网关后面,用户访问服务器要通过安全网关进行身份认证,通过建立安全服务器区可以用来保护单位重要的应用服务器和数据服务器;或者将所
⏹ 移动存储设备管理 有服务器划分到一个保密子网中,授权其他保密子网访问;这样,仅有安装了VCN并且经过管理员批准的客户端计算机能够访问安全服务器区内相应的服务器,有效实现了安全授权,也实现了防止针对服务器的非法接入访问。
Chinasec可信网络保密系统可以实现对移动存储设备的有效管理。管理员可以设定没有注册的移动存储设备(U盘或者移动硬盘等)默认的使用策略,可选策略包括禁用(没有注册的磁盘禁止使用)、只读(可以将没注册磁盘数据拷入到VCN网内的计算机,但不能拷出数据)或者加密读写(所有写入该未注册磁盘的数据自动加密,加密的数据只能在计算机所在的VCN内使用)。如果移动存储设备要在VCN中获得默认策略以外的权限,则必须经过管理员注册,注册的权限包括:只读、加密读写和直接读写,并可以设定信任域是否也能够使用。加密读写可以有效控制数据的安全共享范围,并且不影响存储设备使用的方便性。直接读写策略则将以普通明文的方式输出数据,存在风险,一般不建议使用。
2.4 用户管理
⏹ 用户注册
内网安全管理平台对用户进行集中管理。用户通过网络申请获得合法的数字证书(载体为配发的硬件USB令牌)后,可以远程注册到平台用户认证服务器上。该注册过程由系统客户端代理自动完成,用户只需要将自己的USB令牌插入计算机,并输入正确的PIN码,该用户令牌即会自动注册到安全支撑平台的用户认证服务器上。
新注册的用户,在服务器上处于挂起状态,管理员通过用户证书和注册信息的确认,激活用户,即完成用户注册过程。
⏹ 权限管理
用户注册成功后,管理员必须为用户赋予相应权限,以使用户获得在内部网络中的使用权。权限管理的内容包括计算机登录权限和服务器访问权限等。
如果该新增用户属于一个已经存在的并且设置好权限的部门分组中,管理员只需要将用户分配到其所在的部门分组,用户即可自动获得其相应权限。如果用
用户的授权管理工作。
殊权限,则需赋予新的权限策略。
⏹ 用户挂起 户具有特殊权限或者是一个权限的部门,则需要进行相应的权限设置,从而完成如果用户职位发生变化,管理员可能需要对用户进行权限变更的管理。如用户部门发生变更,只需要将用户重新分配至其所在的新部门即可;如果用户由特
如果因为用户USB令牌丢失或者用户临时不再使用该身份进入系统(如出国培训),为了确保安全,可以将用户置为挂起状态,这时候用户暂时丧失其进入内网信息系统的权限。
如果需要重新启用该用户,只需要重置为正常状态即可。
⏹ 用户注销
如果用户因为离职或者其它原因离开信息中心,那么为了取消用户在内网信息系统内的一切权限,必须对该用户身份进行注销。用户身份注销后,系统删除用户一切权限和信息。
用户的注销可以通过平台的管理员在安全系统中注销,也可以通过吊销证书与更新证书吊销列表从而实现用户注销。
2.5身份认证
⏹ 认证流程
内网安全管理平台的身份认证系统采用Chinasec可信网络认证系统进行集中的认证,用户必须通过认证后,才能进入操作系统并获得其相应的权限以访问信息中心内部各个应用服务器。认证的过程简单描述如下:
1) 在计算机上插入用户USB令牌并输入正确的PIN码;
2) 客户端计算机的代理发起认证请求,向认证服务器发送硬件令牌的证书
等信息;
3) 认证服务器验证用户发送的认证信息,并通过几个交互确认用户的身份
合法性;
4) 认证服务器通过认证,用户获得合法的访问令牌和相关的授权,可以登
关的网络资源。 录计算机(需要经管理员授权才可以登录当前使用的计算机)并访问相
5) 当用户访问相关的受控网络资源的时候,必须经过认证网关(Gateway)。
如果用户经过授权可以访问认证网关后面的某个应用服务器,将会获得相应的授权,并顺利通过认证网关,否则将不能建立网络链接。
2.6 终端安全
终端安全包括台式计算机和笔记本计算机。
⏹ 用户登录安全
启用该功能模块后,计算机必须是使用者(经过管理员授权)使用自己的USB令牌插入计算机,并输入正确PIN码后,才能进入计算机操作系统,从而避免了计算机可能面临被第三者偷用的风险。该模块跟Windows登录子系统集成在一起,用户只需输入一次PIN码即可,不会增加用户登录操作系统的复杂度。
⏹ 离机锁定
用户如果临时离开计算机,只要将USB令牌拔出带走,计算机即刻自动锁定,用户回到计算机旁边时,插入令牌,计算机自动恢复到锁定前的状态。该功能可以进一步增强计算机的安全性,防止利用人员临时离开情况下偷取机密材料情况的发生。
⏹ 安全保密磁盘
Chinasec可信网络认证系统提供了安全保密磁盘,作为用户存储重要数据的空间。安全保密磁盘由用户自己建立,可以建立一个或者多个,并且跟USB令牌相关,只有建立该保密磁盘的用户令牌能够插入计算机后才能打开该保密磁盘。
插入合法的用户令牌后,该令牌对应的安全保密磁盘自动加载,体现形式为一个普通的磁盘分区,可以跟使用普通磁盘分区一样,在里面保存和编辑重要的材料。令牌拔出后,该磁盘自动卸载,并一个加密文件的形式存储在系统硬盘中。没有合法的令牌,即便获得该保密文件,该保密磁盘将无法打开,里面的文件也无法获取,从而使得即便笔记本丢失,也不用担心数据泄密发生。
丢失造成的资料泄密损失。 安全保密磁盘对笔记本计算机具有非常重要的意义,大大降低了因为笔记本
2.7主机监控
⏹ 实时监控
实时远程监视和控制客户端计算机的状态,这些状态包括:安装的应用程序、服务、驱动以及他们的运行状态;当前网络连接状态、打开的窗口、运行的进程、系统的用户和用户组、共享目录、当前的屏幕截图等信息,并可以实时远程控制,比如关闭某个打开的进程、服务或者窗口等。
⏹ 外设监控
外设监控策略运行管理员针对每台计算机进行外设端口使用的授权,比如允许或者禁止USB存储设备的使用等。这些端口和设备类型包括USB存储设备、USB普通设备、红外、串口、并口(打印端口)、键盘鼠标、光驱、软驱和1394端口等,用户还可以根据关键字和设备类型进行自定义,管理所有计算机上的设备。使用关键字是一种非常灵活的方式,比如只允许某个打印机使用,而其它任何打印机不能使用等。
⏹ 应用监控
应用监控提供了管理员集中授权管理客户端应用的方法。管理员可以黑名单或者白名单的方式授权,并且可以基于进程名称、服务名称或者窗口名称进行管理。
自动记录计算机上的文件操作记录,包括创建、删除和复制等操作,并记录用户名、文件名和相应的时间等。
对用户打印行为进行监控,记录打印文件名、打印人、计算机以及打印的时间等。对是否允许客户端安装Windows程序进行授权
⏹ 网络监控
可以根据IP地址、网络端口和数据流向等设定客户端计算机或者用户访问的权限,以白名单或者黑名单的方式工作。例如发现蠕虫病毒,可以及时全网统一封锁相应的传播端口,从而有效控制该类型病毒的破坏效果。
式设置。同时可以进行审计和记录。
管理员集中授权计算机和用户访问的网址范围,可以白名单或者黑名单的方
管理员集中授权计算机和用户可以发送和接受的邮件地址范围,可以白名单或者黑名单的方式设置。同时对邮件的正文和附件进行审计和记录。
管理员可以绑定主机IP地址,禁止用户更改本机的IP地址。
上述的所有监控策略,根据客户端的状态,可以分为离线策略和在线策略。在线策略是指客户端计算机在Chinasec可信网络监控系统服务器的实时管理网络中,能实时接受服务器的管理,比如接入单位内部网络的时候,这时候自动启用在线策略。离线策略则是指客户端计算机不能接入服务器所在的网络的时候,比如笔记本电脑出差或者带回家的时候,这时候客户端自动执行离线策略。基于这两种策略模式,管理员可以根据用户计算机的不同环境设置不同的用户使用策略,比如在单位(在线)设置宽松的策略,离开单位(离线)设置严格的策略。
Chinasec可信网络监控系统还可以和Chinasec可信网络认证系统联合使用,实现更加强大和灵活的功能,可以根据用户和计算机的不同组合实施不同的授权和策略,例如:使用同一台计算机,用户A可以使用光驱,而用户B则没有这个权限不能使用。
Chinasec可信网络监控系统还支持对SQLServer或者Access数据库的支持,将日志写入数据库,并提供后台的关键字查询工具。
2.8负载均衡和多机热备
内网安全管理平台是其他应用系统的基础保障平台,其可靠性、稳定性和处理能力将对其他应用系统产生影响,所以必须考虑负载均衡和多机热备的问题。
⏹ 服务器负载均衡和多机热备
Chinasec可信网络安全平台的服务器提供了集负载均衡和多机热备于一体的解决方案,用户可以根据需要,使用一台或者多台安全服务器,这些服务器同时提供服务,具有负载均衡的能力,一旦某台服务器出现故障停机,另外的服务器将具备热备的功能,自动选择一台作为主服务器,并接管这些服务器的客户端。
⏹ 安全网关双机热备
内网安全管理平台的安全网关是一个网桥设备,串联在重要服务器之前,用来对重要服务器的访问进行授权控制。该网关的可靠性对其他应用服务的提供具有决定性的影响。Chinasec可信网络安全平台对网关提供了完善的热备方案,确保内网安全管理平台具备提供不间断服务的能力。
在部署的时候,可以在网络中以并行的方式将两个网关接入到网络中,但同时只有一个安全网关处于工作状态,另外一个备份安全网关处于休眠状态。两个安全网关都接收安全管理平台服务器的管理,安全管理平台的服务器对安全网关的工作状态保持实时的监控,一旦发现处于工作状态的网关发生故障,将通知备份安全网关立刻转入工作状态,从而确保网络的畅通。
因为安全网关是网桥设备,对于客户端来说是透明的,所以不需要对客户端进行通知。
转发网关双机热备
转发网关在Chinace可信网络网络保密系统中使用,用来转发计算机发出的加密数据,其稳定性对内部不安全工作环境并部署了内网隔离控制系统的计算机能否访问网络具有影响。所以,本方案建议对转发网关采用双机热备。
部署的时候,可以将两个转发网关并联接入交换机,设定其中一个为主转发网关,另外一个为备份转发网关。安全服务器实时监控这两个转发网关的状态,一旦发现主转发网关发生故障,离开启用备份转发网关,并通知被管理的客户端计算机。
2.9系统配置
根据的需求,推荐使用Chinasec可信网络安全平台系统配置如下:
2.10系统部署图
如上图所示:Chinasec MC和Chinasec Server分别是控制台和认证服务器。Chinasec Agent是分域分级管理的终端,没有Agent的计算机被隔离。Chinasec Gateway 和Chiansec Swither都是可选的硬件设备。其中 Gateway用来保护重要的服务器,使其不会收到内网管理员授权以外的终端的访问,并通过加密的方式保证终端和Gateway之间的信道安全;Switcher 是实现了网络加密的终端的“翻译”设备,网络加密终端通过授权访问普通服务器和外网时,通过Switcher进行密文和明文的转换。
2.11方案效果
通过上述系统配置方案,能够实现如下效果:
1. 实现了有效的高强度用户身份认证,并在此基础上实现了有效的资源集
中授权管理,保护内网终端的安全
通过Chinasec可信网络认证系统(TIS),基于数字证书技术,为每个用户
发放一个代表用户身份的硬件USB令牌。每个令牌内置运算芯片,具有不可复制性,结合PIN码访问控制,具有锁定功能,安全强度高。
所有用户在本系统的服务器进行统一认证和授权,授权的内容包括计算机终端的使用和研究所内部各个数据服务器和应用服务器的使用。
管理员可以指定某一个用户只能使用某一台或者某几台计算机,或者该用户能够访问那些研究所内部的服务器;管理员也可以指定某一台计算机只能由那几个用户使用。如果需要变更户用的权限,仅需要管理员在控制台进行简单的授权更改即可。
基于安全文件传输子系统,可以实现有效的用户文件加密传输功能,只有发送者制定的用户能够阅读接受到的文件,从而实现安全的文件传输。
2. 有效实现了内网安全保密,对网络和移动存储两个主要数据交换途径进
行了有效的管理控制
通过Chinasec可信网络保密系统(VCN),可以根据需要将研究所内部网络按照业务群体分成不同的虚拟保密子网(VCN)。同一个VCN内的计算机可以通过网络或者移动存储设备进行正常的数据交换,但是如果处于不同VCN之间的计算机要进行数据交换,则需要管理员的授权。这些保密措施使用了透明的数据加密和解密处理技术,对用户和应用程序都是不可见的,不改变用户的计算机使用习惯。
在同一个VCN之间计算机通信,每两台计算机直接的数据传输都使用了独特的密钥进行加密,所以可以有效防止恶意的Sniffer之类的网络监听软件。
实现了有效的移动存储设备管理,没有经过授权的移动存储设备在受控VCN网络中的计算机上不能使用。
有效防止了非法外联和非法接入的行为。非法外联的防止不仅仅限于拨号方式,所有基于IP协议传输的非法外联方式都可以得到有效的控制。非法接入的控制也非法有效,不管是通过网络交换设备接入还是通过网线直接将两台计算机直联,都可以被有效防止。
可以实现本地硬盘的加密,防止因为硬盘丢失或者失窃造成的数据泄密行为。
名单和设备关键字进行控制。
3. 实现了灵活有效的外设和应用管理,并可以结合用户进行授权 可以对计算机所有通用的外设进行管理,不仅仅局限于常见的外设端口(如USB、红外、串并口、光驱软驱、打印机等),计算机所有的设备都可以根据黑白
对应用程序也可以进行有效的授权管理,允许或者禁止使用某种应用程序的执行,并可以通过进程名称、服务名称或者窗口标题进行关键字控制。
结合认证系统,还可以实现在同一台计算机上,给不同的用户授予不同的权限,如A用户能够使用软驱,而B用户则不能使用。
具有离线策略管理功能,即便计算机脱离服务器所在网络,依然能够得到有效的管理。
4. 提供详细的审计信息,并提供分日期查询功能
能够实时查看客户端的所有状态,包括应用程序安装运行情况、设备安装使用情况以及用户桌面信息等,有效实现远程维护和监控。
能够详细记录用户文件操作信息,包括文件的创建、删除、重命名等操作。 能够记录用户的违规行为。
能够记录用户每次登陆系统的信息。
3. 售后服务
免费提供一年备件更换和软件升级服务。 免费提供现场安装调试服务。
一年免费服务期过后,有偿提供备件更换和软件升级服务,按年记价。
4. 成功案例
截止到2006年7月31日,Chinasec可信网络平台系列产品主要用户单位及系统配置情况如下:
(说明:因为国家和用户单位保密需要,某些用户名称不能详细列出。)