摘要: 项目背景 随着信息化时代的到来, 计算机与网络系统已经普及应用 ,企业都在最大化地利用信息技术以提高企业的运营效率,致使企业绝大部分的知识产权,如商业 机密文件、设计图纸、敏感信息、重要数据、配方、软件源代码 等是以电子信息的形式存在。而在这个过程中,网络...
项目背景
随着信息化时代的到来, 计算机与网络系统已经普及应用 ,企业都在最大化地利用信息技术以提高企业的运营效率,致使企业绝大部分的知识产权,如商业 机密文件、设计图纸、敏感信息、重要数据、配方、软件源代码 等是以电子信息的形式存在。而在这个过程中,网络、 U 盘、移动硬盘、打印机等都充当了传输信息的重要载体和渠道。与传统的信息传递相比这无疑可以企业带来很大的方便、快捷、节省给,但同时也存在着很大的信息安全性问题。对外,大多数的企业都能够做的很好,可以通过路由器、防火墙、杀毒软件等拦截或杜绝外网对企业内部资料的窃取。但是对内部员工,大多数的公司却没有任何的防范,所谓 “ 外寇易御,家贼难防 ” , IDC 调研表明 84% 的机密信息泄漏是由企业内部员工造成的。 内部人员可以轻松地将计算机中的机密信息通过移动存储设备或者通过电子邮件、 MSN 、 QQ 等网络途径泄露出去,而且他们可以删除已发送邮件,清楚所有聊天记录,不会留下任何痕迹。这些使得失泄密事件频频发生。 目前大多数企业或机构针对内部员工的泄密行为,所采取的措施包括禁止使用网络或严禁涉密计算机上网,禁止使用可移动存储器等。现实发现,这些传统的防止信息泄露的手段已经不能满足要求。传统方法依靠内部人员的责任心、自觉性,对失、泄密行为难以做到有效的预防和检查。而且传统的解决办法还采用强制的管理方法,既增加成本,又不便于管理。
网络化造成的失泄密及对策
通常网络化造成失泄密途径有:内部人员通过 Http 、 Mail 、 FTP 、 PSTN 等方式使用网络,有意或者无意将企业内部敏感信息或涉密信息传送到外部造成失泄密;内部人员使用互联网传送秘密信息时被窃取 ; 在互联网上,利用特洛伊木马技术,对网络进行控制,如 BO 、 BO2000; 对网络失泄密进行防护,应该从网络层、传输层及应用层三个层面上进行控制。 IP 访问控制, TCP 访问控制, UDP 访问控制,对应用层的控制管理,应该对信息流出的方式进行考虑防护。针对这一失泄密方式,从控制粒度及全面性来说,防水墙系统占有优势。防水墙系统实现了从粗粒度到细粒度的控制,控制范围从网络层到应用层。控制策略有完全禁止、条件防护 ( 黑名单、白名单 ) 、自由访问。防水墙系统对通过网络造成失泄密的各种可能途径进行了有效的防护。
外部接口失泄密及对策
为了使用的便利,现代的计算机提供了大量的、各式各样的外设接口。而这些外设接口都可能是造成信息泄漏的途径。这些外设接口有: USB 接口、串行总线、并行总线、红外接口、 PCMCIA 接口、软盘控制器、 DVD/CD-ROM 驱动器等等。
防水墙产品对目前常见的计算机外部接口要采取管理措施,采取了有效的防护。开关量的控制足以防护通过计算机外部接口造成的失泄密事件的发生。
移动介质失泄密及对策
越来越多的敏感信息、秘密数据和档案资料被存贮在计算机里,大量的秘密文件和资料变为磁性介质、光学介质,存贮在无保护的介质里。例如:非法拷贝秘密信息到移动介质中,存贮在媒体中的秘密信息通过互联网被泄露或被窃取,存贮在媒体中的秘密信息在进行人工交换时泄密,存有秘密信息的磁盘等媒体被盗等,有些秘密外泄的危害程度是难以估量的。各种存贮设备存贮量大,丢失后造成后果非常严重。
移动存储介质的防护不仅仅要实现开关量的控制,更要对拷贝到存储介质的文件进行管理,采取文件内容备份或是拷贝内容进行加密处理。在对移动存储介质进行防护时,在强调安全性的同时不可忽视易用性。
防水墙对移动存储介质的控制策略非常灵活、实用。控制策略有 “ 禁止使用移动存储设备 ” 、 “ 自由使用移动存储设备 ” 等等。这些控制策略设置方便、灵活、实用性强,能满足各种用户的需求。防水墙的加密功能可以为用户带来很大的方便,既可以在局域网内使用移动存储器,又可以防止敏感信息外泄,是防水墙的一大亮点。
打印机失泄密及对策
通过打印机打印文件所造成的信息失泄密也不能忽视。将打印的文件通过纸质形式带出,也会造成一些机密、秘密文件的外传泄漏。 对打印机的管理措施应该有开关量的控制,最好能实现对打印的文件内容进行备份,以便事后审计。在目前的产品中,防水墙系统对打印机的策略防护很合理,对打印机的策略有 “ 禁止使用打印机 ” 、 “ 自由使用打印机 ” 、 “ 记录打印原文件或影像文件 ” 。
仁信防水墙产品描述
一、分发
1.1 分发过程
北京仁信科技有限公司安全产品在正式分发给客户之前,都要经过严格的产品软、硬件质检流程,并会在用户手册中明确说明会带来安全问题的各项操作和注意事项。
1.2 修改防止
北京仁信科技有限公司 提供了多种技术保护防水墙产品自身的安全,例如:
● 针对专门的硬件设备的自定义内核
● 安装了针对产品功能用到的服务,抛弃了其他不必要的服务。这些服务
● 通过研发的编译,优化,从完整意义上把服务本身的问题降到了最低点
● 系统默认禁示所有程序访问网络,需要管理员手动放行。
● 软件在对管理 IP ,管理用户,管理超时等用户层面上做了严格的限制,没有指定用户,
系统无法进行登录和系统配置,修改,等维护功能
● 系统传输数据采用自定义的加密算法,从根本上保证用户数据不被监听
● 定时备份数据库,以防数据丢失
● 禁止所有不信任的进程访问本系统的文件夹 , 禁止本系统的进程被结束
二、操作(安装、生成和启动) 2.1 产品的基本组成及功能描述
● 软件产品应具备硬件平台需要二台计算机一台做为服务机,一台做为客户机;软件平台需要三个
安装包 : 客户端,服务器,控制台和数据库: SQL Server ;默认超级管理员用户名为: super, 密码为: super
2.2 产品的安装过程,启动和引导
服务机,客户机 属于硬件产品,无需用户安装。服务器应安装在带有 SQL 的服务机上,客户端安装在客户机上 , 控制台可以安装在服务器或客户机上。
2.3 产品的确省配置和安全策略
产口安装成功后默认下会禁示所有程序访问网络 , 所有进程除 Photoshop.exe 外 , 所有进程访问特定文件时不会加密。记录上网信息,记录移动盘事件,记录系统事件。定时截屏,禁用光盘驱动器,刻录机,红外接口,软盘控制器,蓝牙设备和 PCMCIA 插槽。其他进程不能访问本系统的安装目录,不能结束本系统进程。
2.4 与产品安全功能相关的术语及定义说明 ( 略 )
2.5 日志生成
系统日志:系统登陆,上线,离线,关闭时会调用增加日志函数;上网日志,本系统监控到 IE 核心的浏览器访问网页时会调用增加日志函数,调用此函数之前会先判断是否要记录
上网日志 , 如果要记录则调用 , 解密日志:当我们解密文件时会调用到解密日志,插拔移动盘日志,当有 U 口的移动盘插入时 , 本系统会自动的监控到,并根据要求是否记录日志。本系统所有日志只要和服务器正常连接下此日志会上传到服务器上,不过离线,关闭时因为和服务器是中断的,所有会暂时存在本地数据库中,等下次正常上线时上传到服务器上。
营销渠道:
北京仁信科技有限公司采用分地域、分行业的方式发展代理商、渠道分销商共同经营,代理商、渠道分销商将与我们共同承担对客户的售前、售后、培训、增值服务。为了更好的服务与用户,我们建立了全国范围内的影响网络,行业渠道分销网络,无论您是政府事业机构、教育机构、商业企业还是个人用户、中小企业用户,我们将与代理商、分销商、行业或作伙伴共同与您分忧,为您提供最适合的解决方案。
目前,仁信科技已经在全国 5 个省市、 8 个行业建立了营销网络,销售及客户技术支持覆盖 22 各省市、 10 余行业,欢迎致力于信息产品经营的企业、渠道商加入我们,一起开拓更美好的市场。
