圖1科頓內網安全平臺架構計算機認證信息用戶認證信息科頓內網安全平臺架構可信網絡基礎設施平臺可信網絡認證授權子系統可信桌面管理子系統可信移動存儲媒體管理子系統可信網絡監控子系統可信網絡域管理子系統可信文檔安全子系統
該系統的目標可概括如下:
敏感信息不能帶走。系統提供外設管理功能,通過控制終端外設的使用,終端用戶不能將敏感信息未經授權復制或傳輸到企業或單位外部。
敏感信息不能看。通過對敏感信息的透明加密和解密,系統實現了未授權用戶即使帶走敏感信息也無法讀取。
文件操作的強審計。系統提供文件控制功能,通過嚴密審計敏感文件的操作,事後可追溯用戶的非法操作;
監控用戶行為。在監控方面,系統提供遠程終端監控功能,管理員可以實時監控用戶正在運行的應用、桌面狀態、內存和硬盤使用情況。如果用戶的行為不符合企業或單位的要求,可以通過鎖定或截屏的方式終止其行為或實時取證。在控制方面,系統提供了進程控制功能來控制是否允許用戶運行某個程序。該功能壹方面可以規範用戶行為,有效提高員工工作效率,另壹方面也保證了終端的穩定性,防止病毒攻擊。
終端資產的可計量性。管理員可以統計終端的軟硬件資產,並跟蹤其變化,防止企業或單位的資產流失。
數據分發可以是自動的。管理員可以向終端分發文檔、軟件或補丁,並根據它們的性質選擇存儲、安裝或執行它們。
信息交互的即時性。管理員和最終用戶之間的信息交換用於企業或單位(1)移動存儲介質集中註冊管理中的公告和反饋。通過該系統,管理員可以集中註冊內部使用的移動存儲介質,從而進壹步統壹管理這些移動存儲介質,實現訪問控制和安全日誌審計。註冊內容包括:
l存儲介質的元信息:包括設備名稱、主管部門、下屬部門、使用部門、負責人、用戶、備註等元信息;
l使用期限:表示移動存儲介質在內網中的使用期限。壹旦到期,系統將自動禁止該設備在網絡中使用。
(2)註冊移動存儲介質時,私有磁盤格式管理員可以將介質註冊為特殊磁盤格式,這樣存儲介質只能在企業內網使用,內部人員取出後將無法被外部機器識別,從而防止內部數據丟失。
(3)嚴格的媒體訪問控制在訪問內部計算機後,系統將能夠識別其認證信息,並采用不同的機制進行訪問控制:
l認證媒介。對於註冊合法的可移動存儲介質,管理員可以設置自己可以使用的計算機範圍和用戶範圍,具體的訪問控制可以細分為三種:
A.如果未經授權的用戶使用該介質,或者內部人員在未經授權的機器上使用該介質,系統將自動阻止它,以防止機密數據的丟失;
b、移動存儲介質只有在合法用戶在合法機器上訪問才能正常使用;
C.管理員可以方便地報告存儲介質的丟失。壹旦掛失,相關存儲介質將無法訪問內網。
l未經認證的媒體。對於未認證的媒體,管理員可以統壹設置媒體是否可以在內網使用。如果管理員禁止使用,該設備將無法訪問企業內部網。
(4)靈活的訪問控制移動存儲介質連接內部計算機後,管理員可以從控制臺設置其使用權限。系統支持的五種控制模式包括:
l禁止使用。媒體不能在管理員授權的範圍內使用。
l只讀控件。在管理員授權的範圍內,設備只能以只讀方式使用,用戶不能將任何文件復制到介質上。
l讀寫控制。在管理員授權的範圍內,用戶可以讀寫移動存儲介質。
l透明解密只讀控件。在管理員授權的範圍內,設備只能以只讀方式使用,用戶不能將任何文件復制到介質上;與只讀控制模式不同的是,當用戶讀取文件時,系統會對讀取的數據進行透明解密。
l透明的加密解密讀寫控制。在管理員授權的範圍內,用戶可以讀寫移動存儲介質;不同於讀寫控制模式,系統會在用戶讀取數據時自動解密,寫入數據時自動加密,從而丟失內部數據。
(5)離線策略控制當用戶將計算機帶離內網(如出差)時,管理員可以通過采用第二套離線策略來控制其移動存儲介質的使用。同時離線時可以自動記錄用戶的移動存儲介質操作記錄,在線壹次會自動上傳日誌。
(6)安全事件預警和審計系統會記錄用戶在企業內網移動存儲介質上的操作。當管理員預先定義的預警事件發生時,系統會及時上報這些事件,並以預警的形式顯示出來。具體操作日誌包括:
l可移動存儲媒體訪問事件。當用戶在內網訪問移動存儲介質時,系統會記錄訪問事件,包括訪問時間、人員、位置和設備編號。
l文件復制事件。當用戶將內網數據復制到移動存儲介質時,系統會自動記錄復制事件,包括復制事件、人員、位置、設備號、文件信息等。與同類產品相比,該系統具有以下特點:
1,標準化設計。本系統嚴格按照移動存儲介質涉密網絡的管理要求設計,符合國家相關法規和標準。
2.設備獨立性。該系統與具體的移動存儲介質和計算機硬件無關,可以將企業原有的移動存儲介質轉化為“可信移動存儲介質”並進行嚴格管理。
3.廣泛支持。該系統可以完全支持各種類型的移動存儲介質,包括u盤、移動硬盤、數碼相機和MP3播放器。
4.註冊策略是靈活的。管理員可以靈活管理移動存儲介質可以使用的計算機(組)和用戶(組)。
5、操作簡單。私有磁盤格式和系統內核級數據加密對用戶完全透明,用戶無需額外培訓,降低了成本。
6.支持離線策略控制。內部人員在外網使用移動存儲介質時,也會受到離線策略的控制。
7.強有力的跟蹤審計。它具有強大的移動存儲介質跟蹤和日誌審計功能,可以在整個生命周期內安全地跟蹤存儲介質的使用情況。可信文檔安全子系統主要包括以下功能:
l強制加密
通過指定文檔類型或處理過程,可以對所有存儲介質上存在的所有此類文件進行加密,從而有效防止機密信息的泄露。
l輸入控制
通過限制分發文件的閱讀權限和閱讀範圍,可以有效控制流通範圍,降低機密文件泛濫的可能性,提供集中存儲和方便快捷的查詢服務,完善文件服務器的功能。
l輸出控制
通過自安裝控制程序,設置國外單位的閱讀權限,有效防止本單位知識產權信息的泄露。可信文檔安全子系統主要包括以下關鍵技術。
l內核級動態加密和解密
動態加解密技術通過不同的安全策略通道對數據進行加密保存,使存儲的數據無法通過任何手段泄露(包括:各種移動存儲設備、網絡、郵件、即時通訊工具:MSN、QQ、泡泡、Skype等。);當合法用戶讀取數據時,加密的數據會通過動態加解密技術和正確的安全策略通道被安全解密;對於內存中的明文數據內容,提供了獨特的內存文件內容保護系統,防止內容通過網絡或其他應用被非法竊取,導致泄密。加密和解密過程是自動完成的,對用戶完全透明,在用戶沒有任何感知的情況下保護了文件的安全。
l只讀控件
文件的只讀控制由以下策略組合控制,主要包括另存為、保存、打印、復制粘貼、讀取時長。
剪貼板控件
文件包打開後,如果是只讀的,就不能通過Ctrl+C和Ctrl+V復制或者復制粘貼。主要目的是防止用戶將文件內容復制到不受控制的進程中。
打印控制
您可以設置文件的打印權限。
n另存為控件
對於受控文件,點擊“另存為”保存文件,以確保文件不會被復制。
保存控件
受控文檔,可以編輯和修改,但不能保存。
閱讀期
將任何文檔制作打包為NSD文件時,可以設置打開時間,超過時間限制的無法打開。
l記錄外發包裝
選定的文件被壓縮和加密,以防止惡意訪問。
生成exe文件以支持自動部署控制環境。
包中文件的只讀控制。
讀取授權方式包括密碼授權和註冊碼授權,可以嚴格控制非法訪問系統。
(1)完全獨立於計算機網絡系統原有的認證體系,具有更高的安全性和可靠性,支持各種標準CA服務器,使用方便,對原有網絡系統影響小。
(2)基於PKI技術的雙因素認證。用戶必須使用合法的身份驗證令牌,並提供與身份驗證令牌對應的PIN碼,然後才能使用可信身份驗證代理登錄到計算機操作系統。兩層保護提高了身份驗證的安全級別。
(3)具有服務資源的安全增強功能。服務器的用戶賬號可以與代表用戶身份的硬件USB令牌強制綁定,避免內部盜用領導或其他人的賬號使用服務資源的情況發生。
(3)它提供了高級別的個人計算機保護功能。用戶可以設置電腦操作系統在令牌拔出後自動鎖定,保護個人電腦安全;您可以禁用安全模式。
(4)可以建立安全的服務器區域。使用虛擬安全網關,管理員可以指定每個用戶可以訪問公司內的哪些特定應用服務器,或者指定哪些用戶只能被授權使用服務器。這些用戶在訪問這些服務器之前,需要通過服務器的統壹認證,獲得授權。
(5)令牌分發、令牌撤銷、令牌授權、令牌更新等操作都可以由管理員在管理中心完成,大大提高了管理的效率。
(6)當令牌的PIN碼輸入錯誤次數達到預設值時,將立即鎖定令牌,防止令牌丟失後受到強制字典攻擊。令牌中的密鑰是唯壹的、不可復制的,用戶的身份不能通過復制令牌來偽造。
(7)自動生成包括每次登錄操作的審計線索信息,並具有自動日誌維護功能,有助於防止內部員工濫用訪問權限或疏於執行安全策略而造成的損失。
(8)具有認證USB令牌的擴展功能。包括:智能存儲USB硬件認證設備,支持128m ~ 1g大容量存儲空間,支持天妃程心、大明五洲、明華、奇奇等公司設備。智能指紋令牌;智能指紋USB硬件認證裝置。支持天妃程心、大明五洲、明華、奇奇等公司設備。系統特征
(1)端點防火墻可以過濾URL,防止用戶瀏覽惡意網頁和特洛伊木馬。
(2)為了兼顧管理和安全,端點防火墻為用戶的網絡訪問控制提供了分時控制功能,管理員可以靈活配置指定用戶在指定時間段內的訪問範圍。
(3)強大的網頁附件控制功能,可以防止通過網頁論壇粘貼附件、通過網絡硬盤傳輸文件等方式泄露信息。
(4)流量控制和帶寬控制功能提供對不同粒度對象的控制,如用戶或用戶組,並提供實時統計顯示。
(5)可以強制綁定主機的IP和MAC地址,對惡意修改IP的用戶進行斷網處罰。
(6)智能ARP防火墻不僅可以免疫ARP病毒,還可以阻止其破壞性活動。更重要的是,它可以改善豐富的日誌信息,以追蹤病毒的來源。壹般來說,企業或單位的安全域由外部域和內部域組成。其中,內部域分為訪問域和核心處理域。外部域主要是企業或單位網絡邊界之外的部分,如Internat;接入域主要是企業或單位內網中由辦公、運營、生產機器組成的邏輯區域,按照不同的業務特點由部門組織管理;核心處理域主要是放置企業或單位的業務系統主機的區域。CNSDMS主要解決企業或單位在內網安全防護方面的以下三個需求:
1)如果壹個接入域A的安全級別高於壹個接入域B,如何阻止B中的主機訪問A中的主機?
2)如果壹個接入域的安全級別降低,或者需要與其他接入域進行互訪,如何恢復它們的通信?
3)由於企業或單位的特殊應用需求,如果需要臨時調動不同域的人進行合作,如何打破他們原有的通信限制?
cnsdms與VLAN的比較
VLAN(Virtual Local Area Network)是壹種端到端的邏輯網絡,它可以通過使用基於交換局域網的網絡管理軟件來跨越不同的網段和網絡。從技術角度來看,VLAN可以根據不同的原則進行劃分。壹般來說,劃分VLAN有三種方法:基於端口、基於MAC地址和基於路由。基於端口的劃分是將壹臺或多臺交換機上的幾個端口劃分為壹個邏輯組,網絡管理員只需要重新分配網絡設備的交換端口,而不考慮端口所連接的設備;基於MAC地址的劃分是將壹些主機按照MAC地址劃分成壹個邏輯子網;基於路由的劃分需要路由器和路由交換機(即三層交換機),允許VLAN跨越多個交換機或壹個端口位於多個VLAN中。目前VLAN賽區主要采用上述1和3方式,第二種方式為輔助方案。
使用VLAN有以下優點:
1)控制廣播風暴:VLAN是壹個邏輯廣播域。通過創建VLAN,隔離廣播,縮小廣播範圍,可以控制廣播風暴的產生。
2)提高網絡的整體安全性:通過路由訪問列表、MAC地址分配等VLAN劃分原則,可以控制用戶訪問權限和邏輯網段的大小,將不同的用戶組劃分到不同的VLAN中,從而提高交換網絡的整體性能和安全性。
3)簡單直觀的網絡管理:對於交換式以太網,如果重新分配壹些用戶,網絡管理員需要重新調整網絡系統的物理結構,甚至需要增加網絡設備,這將增加網絡管理的工作量。對於使用VLAN技術的網絡,VLAN可以根據部門職能、對象組或應用將不同地理位置的網絡用戶劃分到壹個邏輯網段中。工作站可以在工作組或子網之間任意移動,而無需改變網絡的物理連接。
使用VLAN有以下缺點:
1) VLAN之間的通信:如果VLAN 1) VLAN的用戶要與VLAN2的用戶通信,他們不能直接連接,必須在交換機上配置。如果這種情況經常發生,將會不方便與VLAN解決,從而失去其優勢。
2)VLAN的復雜性:如果全網大規模擴容,VLAN的復雜性會迅速增加。所以壹旦網絡崩潰,維護就要花很多錢。
3)路由器負載能力:使用壹臺路由器在VLANs之間路由。如果網絡不是很大,路由器可以承擔工作量,但是如果應用在有很多VLANs的大型網絡中,把所有的負載都加到壹個路由器上並不是壹個好的方法。
根據VLAN的優劣勢分析,CNSDMS可以彌補VLAN的不足,與VLAN的建設不沖突,可以增強企業或單位現有網絡拓撲上邏輯網絡的安全接入能力。
第三,CNSDMS的功能
3.1相關概念
CNSDMS涉及四個概念:虛擬安全域、公共交換域、工作組和可信域:
虛擬安全域對應接入域,是將企業或單位內安裝有內網安全終端的機器按照不同的安全級別進行劃分,實現域間的安全接入。其中,壹臺機器只能屬於壹個虛擬安全域。虛擬安全域的功能主要實現域間的通信控制和外部網絡的訪問控制。
公共* * *交換域對應核心處理域,可以與所有虛擬安全域相互接入,保證企業或單位業務的順暢。在CNSDMS中,公共交換域中包含的機器分為兩類:壹類是企業或單位的公共網關、公共路由器或業務服務器;二是安裝或不安裝內網安全終端的機器。
工作組是壹個臨時的虛擬部門,有有效期,可以對應實際的項目組。壹個工作組必須包含至少兩臺具有虛擬安全域的計算機,並且壹臺計算機可以屬於多個工作組。
可信域是指虛擬安全域之間的信任關系,是對稱的。具有信任關系的安全域可以相互訪問。
3.2 cns DMS的技術優勢
技術上,CNSDMS通過在操作系統的NDIS層攔截所有網絡數據包,實現了域間機器的安全隔離,因此網絡阻斷高效徹底。此外,CNSDMS的技術優勢還包括以下兩點:
1)使用CNSDMS不需要改造現有網絡;
2)安全域的創建和編輯具有很大的靈活性;
3.3 cns DMS的工作原理
CNSDMS的工作原理如下圖所示。科頓控制中心負責創建和編輯虛擬安全域、公共交換域和工作組。
對於虛擬安全域,管理員可以根據職能部門的安全級別,對內網中安裝了安全終端的機器進行劃分,為了保證業務活動的順利進行,將內網中的公共網關、公共路由器或業務服務器劃分到公共* * *交換域中(類似於工作組創建虛擬安全域);其次,通過設置虛擬安全域是否可以訪問外部網絡以及虛擬安全域之間的信任關系,指定特定安全域的安全策略;最後,安全策略通過科頓服務器將安全策略發送到安全終端,實現域間的網絡阻斷和信息加密。目前,科頓內網安全平臺分為B/S和C/S兩個版本。
C/S支持WINDOWS2000/XP/2003/WIN7 32位全系列操作系統。
B/S支持WinodWS 2000/XP/2003/win 7/win 8/32位和64位全系統操作系統,支持LINUX系統的版本正在內測階段,將於2013年底發布。科頓處於信息安全的前沿。