摘要: 1. 典型用户简介 某大型涉密单位,承担国家多项重要的机密科研项目,经过多年的信息化建设,形成了比较复杂的信息系统,网络信息中心管理了一千多台涉密计算机终端,其中包括几十台涉密单机。这上千台计算机终端通过该单位的园区网连接在一起共同处理业务,该涉密单位的网络...
1. 典型用户简介
某大型涉密单位,承担国家多项重要的机密科研项目,经过多年的信息化建设,形成了比较复杂的信息系统,网络信息中心管理了一千多台涉密计算机终端,其中包括几十台涉密单机。这上千台计算机终端通过该单位的园区网连接在一起共同处理业务,该涉密单位的网络为内部的局域网,另外根据涉密工作的要求,还会单独部署若干台涉密单机,这些计算机不连接网络,用于内外数据信息交换。计算机网络拓扑图如下:
2. 用户技术需求
由于科研任务和日常业务的需要,这些计算机尤其分布在不同部门的涉密单机,每天都会随机的处理各种电子文档的打印和光盘刻录工作。但是涉密单位的领导和涉密计算机的管理人员,总是遇见下面的两类问题:
(1) 内部人员使用计算机可以随意使用打印机打印文件而无法进行监控和审计
(2) 内部人员使用计算机可以随意使用刻录光驱刻录文件而无法进行监控和审计
上面的这些问题直接影响着一个单位内部重要资料、文件或数据的安全,一旦出现单位的重要资料、文件或数据通过打印或刻录被泄密出去,大则给国家社会造成危害,小则给单位造成经济损失,因此单位的管理者迫切需要采用一种技术措施,解决上面在实际中出现的问题,并对尚未出现的危害安全行为进行防范,以满足国家保密局对涉密信息系统中文件输出的合规性要求。
3. 技术解决方案
西安交大捷普网络科技有限公司作为一家专业从事网络安全的企业,充分考虑到用户的需求,经过精心设计和开发,推出了一套专门针对企事业单位尤其是涉密单位的内部计算机文件打印、刻录和拷贝等输出行为进行监管的软件产品--捷普电子文档打印刻录监控与审计系统。该系统是一套纯软件的计算机文档输出防护类安全产品,主要应用的客户是政府部门、军工企业、科研机构等涉及国家秘密的单位用户,也可以包括安全意识较高的、信息系统建设较为完备的行业用户,例如通信、电力、金融、交通、教育等行业,另外一些私营企业或外资企业也能适用该产品所提供的防护功能。
捷普电子文档打印刻录监控与审计整个系统从版本上划分为网络版和单机版。
1.网络版
网络版系统主要由三个部分组成:客户端、服务器端和管理平台。各部分主要功能如下:
l 客户端
安装在受控计算机上的代理软件。接收从服务器下发,由管理员配置的安全策略;客户端根据相应的安全策略对用户文档输出的行为进行监控;当有非法行为发生时,客户端可以中断非法行为,保护资源的安全,同时还能够产生相应的报警日志,方便管理者进行追查、处理;另外客户端还包括打印审批端工具和专用刻录软件,打印审批端工具用于审批客户端的文档打印申请,专用刻录软件完成光盘刻录的各种功能。
l 服务器端
提供管理员定义安全策略的接口,用于受控计算机的安全策略制定;同时接收受控计算机客户端发送的各类事件信息,进行存储、管理。还向管理人员提供安全日志报警、查询接口。服务器还能够提供日志自动备份和计算机IP地址自动扫描等功能
l 管理平台
通过访问管理平台提供的WEB 服务,经过用户身份认证和使用权限控制,管理者能够进入对应的管理界面,对安全策略进行管理配置,以及对系统日志进行查询、备份和统计。
2.单机版
单机版系统主要由两个部分组成:客户端和单机管理平台。各部分主要功能如下:
l 客户端
单机版客户端除了不包括网络监控功能外与网络版的客户端在功能上基本相同。单机版客户端也可以安装专用刻录软件进行光盘刻录。单机版客户端生成的日志存储在本机数据库中。
l 单机管理平台
单机管理平台也运行在单机客户端上,通过身份认证后才能使用单机管理平台提供的功能。单机管理平台提供对单机客户端进行监控策略配置、日志审计和导出、客户端升级与注册等管理功能。
3.1系统功能
l 文档打印监控与审计
1. 对安装客户端的文件打印行为进行监控并记录行为,文档打印控制分为允许打印、审批打印和禁止打印(审批打印需要打印审批员对待打印的文件进行预览和审批)。
2. 对待打印的文件内容进行关键字过滤,记录出现关键字的统计信息。
l 光盘刻录监控与审计
1. 对安装客户端的计算机光盘刻录进行监控并记录行为,使得Windows操作系统自带的刻录程序和第三方的商业刻录软件的刻录功能失效。
2. 提供专门的刻录软件用于光盘刻录,并在使用过程中记录文件刻录的相关信息。
3. 专门的刻录软件提供普通数据、ISO、音频、视频等格式的刻录,还能够进行光盘对刻和安全光盘的刻录
l USB移动存储介质监控与审计
1. 对USB移动存储介质(如U盘、MP3等)进行全方位的生命周期管理,从介质的注册、发放、回收和注销等不同阶段进行相应的监控和审计
2. 对接入计算机的移动存储介质进行认证和使用权限控制并记录行为(使用权限控制分为可用或禁用,可用又分为只读或读写)。
3. 对从安装客户端的计算机拷贝至USB移动存储介质中的文件自动进行加密,保证数据在外带过程中的安全。
4. 对移动存储介质上的文档在进行访问、修改、复制、重命名、删除等操作时实施控制并记录行为。
l 其他重要功能
1. 对安装客户端的计算机中软件运行进行监控,能够禁止设定的刻录软件的运行。
2. 自动进行网内计算机的IP扫描,发现未安装监控客户端的计算机IP地址和客户端运行异常的计算机IP地址。
3. 对安装客户端的计算机IP/MAC地址进行监控,能够绑定计算机IP/MAC地址,并禁止修改。
4. 对安装客户端的计算机硬件外设进行监控,启用或禁用计算机的串口、并口、软驱、光驱、红外、蓝牙、无线网卡、1394、PCMCIA、打印机、扫描仪、Modem等外设。
5. 对安装客户端的计算机的网络进行监控,发现涉密的计算机和互联网有通路时关闭所有网络连接。
6. 在安装客户端的计算机与网络断开或与监控服务器不通的情况下,能够依然执行原先的各种的监控功能或关闭网络连接。
7. 对安装客户端的计算机所产生的各种日志能够进行查询、备份、导出、下载和报表统计。
8. 对单机(即与网络不连接的计算机)也能够通过安装单机版客户端来实施各种监控,并可以使用单机管理平台对单机进行监控策略设置和日志审计。
3.2系统特色
1. 集中式管理、分布式防护
系统由客户端、服务器和管理平台三部分组成,将所有管理配置功能集中在管理平台上,管理平台通过WEB方式访问就可以完成所有的管理配置工作,而将具体监管、审计功能由部署在用户计算机上的受控客户端来完成,将管理与防护有机分开,实现了真正的集中式管理、分布式防护;
2. 科学的内部安全策略管理机制
系统对用户哪些行为进行监管及审计是通过各种安全策略来实现的,系统提供策略组和用户组(或部门)绑定的设计思路,使得管理员可以灵活的将不同安全策略应用到不同用户组中(或部门);系统提供三种类型的管理员:系统管理员、安全保密管理员和安全审计员,使得对系统的操作处于互相管理、互相监督的机制中,确保系统内部的安全管理
3. 采用模块化设计,便利的系统升级
系统采用模块化的设计,将各个监控功能通过模块实现,保证了非常优异的系统扩展性,计算机受控客户端的升级只需要从管理平台进行操作即可,新的升级文件通过自动分发就可以应用到客户端。在管理平台,管理员能够通过查看计算机受控客户端版本号来确定新的客户端是否分发成功,确保最新监控功能的即时应用。
4. 支持对离线计算机的安全策略设置
针对离线计算机,包括网络中断或移动计算机,系统提供了相应的安全机制。管理员可以设定每个策略组的断网间隔时间和断网处理,一旦计算机离开网络,将自动继续应用原有的安全策略,如果断网间隔时间超时,将会按照管理员设置的安全策略执行,包括应用原有策略或关闭网络连接,来管理离线计算机的使用。
5. 系统的部署具有优秀的兼容性
系统计算机受控客户端和服务器的部署采用C/S结构,在通讯上采用了封装知名端口数据包的方式,保证客户端和服务器的通讯不会因为安装个人防火墙或其他认证保护措施而中断,极大的增强了整个系统在部署上和其他产品的兼容性
6. 多重安全机制,确保自身安全性
为了保证系统自身的运行安全,设计中采用了多种安全机制。数据安全性,所有的通讯采用了SSL 加密方式传输,确保数据在传输过程中不会被篡改或欺骗;访问安全性,系统采用信任计算机和用户分权的双重方式保证系统的访问安全,只有信任计算机和具有权限的的用户才能进行登陆管理,防止非授权用户的访问。
