中软信息安全与保密解决方案

　　一、概述

　　防火墙、IDS、内外网隔离以及其它针对外部网络的访问控制系统，可有效防范来自网络外部的进攻，但对于企业内部的信息保密问题，却一直没有好的防范方法：内部人员可以轻松地将计算机中的机密信

　　息通过网络、存储介质和打印等方式泄露出去，一旦这些敏感信息、重要数据、设计图纸等流失到敌对势力、竞争对手手中，将给国家、企、事业单位造成重大损失。政府机关、承担国家敏感课题的科研部门，包括涉及更多的国家机密，对于涉密信息采取严密的防护措施显得非常必要。

　　目前，尽管国家制定了很多相关规章制度，并明确规定这些企事业单位的涉密计算机必须采取相应的安全防护措施，但是为了保障内部信息的安全，仅靠传统的行政管理措施已不能满足要求，必须依靠一些技术手段。本文重点介绍，如何应用中软防水墙系统构造“防止信息泄露，保障信息安全”的整体解决方案。

　　二、系统需求

　　信息保密是保障国民经济发展的重要保证。为保障我国电子政务、武器装备、科研生产单位的信息安全，国家制定了相关规章制度，从不同方面保障通信、计算机信息系统及办公自动化设备的安全，其中主要部分明确规定：

　　1、禁止使用涉密计算机上国际互联网或者其它非涉密信息系统，禁止在非涉密计算机

　　上处理涉密信息；

　　2、禁止将涉密存储介质接入或安装在非涉密计算机上；

　　3、涉密信息应具备相应的密级标识；

　　4、涉密计算机应具备符合要求的身份鉴别机制、安全访问控制机制和安全审计机制；

　　5、涉密计算机应具备违规外联监控机制。

　　为满足国家规定的各种保密要求，各单位仅靠传统的保密措施，显得捉襟见肘，迫切需要选用一个功能强大、运行稳定的安全软件系统。技术手段在现代化的保密工作中扮演着越来越重要的角色。

　　三、中软防水墙系统介绍

　　“中软防水墙WaterBox”是防止内部信息外泄的安全系统。它从内部安全体系架构和网络管理层面上，实现了内部安全的完美统一，有效降低“堡垒从内部攻破”的可能性。防水墙系统是综合利用密码、身份认证、访问控制和审计跟踪等技术手段，对涉密信息、重要业务数据和技术专利等敏感信息的存储、传播和处理过程实施安全保护，最大限度地防止敏感信息的泄漏、被破坏和违规外传，并完整记录涉及敏感信息的操作日志以便事后审计和追究泄密责任。

　　1、体系结构

　　完整的防水墙系统由三部分组成，防水墙服务器（WaterBox Server）、防水墙控制台（WaterBox Console）和防水墙客户端（WaterBox Watcher）。

　　（1）防水墙服务器。包括服务器端软件和支持数据库，是防水墙系统的核心部分。通过安全认证机制，建立与多个客户端（受控制的个人计算机）系统的连接，实现对多个客户端系统的配置、策略制定、资产管理、操作审计等功能。

　　（2）防水墙控制台。它是系统管理员、操作员、审计员等和防水墙系统交互的图形界面，实现系统管理、参数配置、策略管理和系统审计等功能。控制台采用分权分级的授权模式，严格限制对敏感信息的访问权限，以提高系统的安全性，保证信息安全。

　　（3）防水墙客户端。它是安装于受监控主机上的监测软件，是站在客户机旁边的“安

　　全哨兵”。它强制执行来自服务器的安全策略，根据安全策略监测客户端用户的行为。客户端软件采用了严密措施，防止本地用户自行卸载、关闭监控程序。

　　其中，防水墙控制台和客户端软件，可从服务器端获得最新版本，实现远程自动升级。

　　2、防水墙系统设计理念

　　防水墙系统的设计理念是保护用户敏感信息不被非法外传、防止泄密事件发生，从而保证内部安全。它主要从以下五个方面来保障内网安全：

　　（1）失泄密防护：信息外传途径主要有网络传输、移动存储带出和打印到纸介质文稿三种情况。防水墙系统针对这三种泄密途径都做了全面的防护，可以根据实际情况选择启用或禁用，还可选记录日志以备事后追踪。另外，防水墙系统还能够根据策略“启用”和“禁用”主机上可能造成泄密的外设接口，作为实施失泄密防护在硬件层次上的辅助手段。

　　（2）文件安全服务：文件安全服务提供了对敏感文件的加解密安全防护，充分利用对称和非对称算法的优点对文件和密钥进行管理。为了保证敏感信息不被非法解读，防水墙系统使用了加密域的概念。加密域是一组防水墙系统用户的组合，每个文件在加密时均选择加密域，只有处于选择的域内的用户才能进行解密阅读。有效地防止了文件在传输途中可能造成的泄密，也防止了电脑丢失可能做成的泄密事件的发生。

　　（3）运行状况监测：对受控主机，监控其历史运行状况。包括：用户删除文件、系统服务，屏幕截取等记录，方便系统管理员查看管理。是计算机安全保密的有效措施之一。

　　（4）系统资源管理：系统资源管理功能用于收集受控主机上的软硬件信息，并上传至服务器作为初始资源信息备份。系统管理人员可以随时获得所管理部门的主机的系统资源信息。完整的系统资源管理信息包括：系统信息、硬件信息、用户和组等信息。

　　（5）扩展身份认证：接管身份认证。如果接管Windows身份认证，只需输入合法的防水墙用户名和口令即可登录Windows系统。

　　四、用中软防水墙系统构筑信息安全保密解决方案

　　利用中软防水墙系统的主要功能，对系统内部进行如下几方面防护，可以最大限度的保障系统的安全。

　　1、身份验证机制：用户身份的鉴别和防护，是保证计算机系统安全的第一道防线，众多失泄密事件都是由于用户身份认证的不严格而引起的。

　　防水墙系统提供了自身的身份验证系统，用户要登录到防水墙客户端时，除需要提供操作系统用户名和口令外，还需要提供防水墙用户名和口令，用户口令长度为8位以上的数字和字母组合，保证了口令的可靠性，同时口令的验证与存放均使用哈希函数中的MD5算法，有效防止被暴力破解。

　　与此同时，防水墙系统还提供了完善的对外接口，可与第三方厂商的加解密体系进行紧密接合，尽最大可能保障用户信息的安全。如：与上海格尔的身份识别系统的结合，利用格尔网盾IC卡身份认证系统增强防水墙身份认证体系；与卫士通公司的“一Key通”身份认证系统的结合；等等。

　　2、访问控制体系：完善的完全体系应包括控制单位内部员工的访问操作，即采取主动的方式，尽可能多的封锁住各种可能造成失泄密的渠道，防止由于内部员工的有意或无意的操作，造成泄密事件的发生。

　　防水墙系统提供了三种访问控制体系，基本涵盖可能造成泄密的各种途径：

　　（1）网络访问控制：可以有效的控制终端用户的网页浏览、网上文件上传下载、Email控制、Modem拨号、Telnet、网络共享等网络操作。

　　（2）接口控制：可对计算机的USB接口、1394接口、串口、并口等10种外设接口进行控制，使终端用户无法使用相应接口的硬件设备，所控制的10种接口基本涵盖所有可能造成失泄密的情况。

　　（3）打印机控制：对系统内部用户使用打印机进行控制，可根据需要设定禁止使用、自由使用记录日志、自由使用记录影像等不同程度的策略。

　　3、“非法外联”控制。不难看出，通过上面讨论的“网络访问控制”和“接口控制”，可以严密防止单位内部“非法外联”情况的发生。因为通过禁止网络访问或通过禁止可能访问网络的外设接口，就有效地控制了“非法外联”。

　　4、设备密级标识。信息是分密级的。在一个合格的安全体系中，不同密级的信息必须保存在不同的位置或不同的存储介质上，这样可以最大限度保障信息的安全。为此，需要将网络体系中所有的计算机系统、可移动介质设置为不同的密级，用以存放相应密级的数据，只有具备相关权限的人员才能对涉密信息进行访问。

　　防水墙系统提供专门的授权模块，对计算机终端或移动存储介质等设定相应的密级标识。不同密级的计算机执行不同密级的策略，接受不同程度的管理监控。在防水墙系统中，密级标识从低到高级分别为：普通、秘密、机密、绝密。而密级标识本身使用加密等措施进行有效存储。

　　5、动存储介质的有效管理。存储介质（如USB盘、移动硬盘等）作为企业核心机密和敏感信息的载体，实现对它们安全、有效的管理是保证企业信息安全的重要手段。防水墙系统提供了可信移动存储介质管理功能，通过将移动存储介质划分密级、加密存储等技术手段，可以有效防止移动存储介质在计算机上跨密级使用。可信移动存储管理功能是对设备密级标识的充分应用，防水墙系统的可信移动存储功能中的密级访问控制包括：

　　（1）高密级移动存储介质不能在低密或者普通计算机上使用；

　　（2）涉密移动存储介质不能在非涉密计算机上使用

　　（3）低密级移动存储不能（或者只读）在高密级计算机上使用

　　（4）非授权的移动存储介质不能在涉密计算机上使用

　　（5）即使密级相同，也只能在用户或者计算机得到许可的情况下才能够使用

　　防水墙系统中的“可信移动存储介质管理系统”充分利用信息保密、访问控制、审计等技术手段，对企业移动存储设备实施安全保护，使企业信息资产、涉密信息不能通过移动存储设备非法泄漏，用技术的手段，真正实现移动存储设备信息安全的“五不”原则，即：进不来、拿不走、读不懂、改不了、走不脱。

　　“进不来”，是指外部的移动存储介质拿到单位内部来不能用；“拿不走”是指单位内部的存储介质拿出去使不了；“读不懂”是指只有授权的人才能解密阅读，任何未经授权的人大不开其中的文件，这意味着即使存储介质丢失也不会造成泄密；“改不了”是指其中的信息篡改不了；“走不脱”是指系统具有事后审计功能，对违反策略的行为和事件可以跟踪审计。

　　6、安全审计。防水墙系统具有“事前预防、事中控制、事后审计”三大特征，在信息保密的各个阶段实施对敏感信息的强有力的保护。防水墙系统提供的“黑匣子”和“审计平台”，能够快速对出现的安全事件进行审计。所谓“黑匣子”，是指安装于防水墙客户端、用于记录用户操作的加密文件系统，假如发生泄密事件，具有“安全官”（系统最高使用权限，如保密委员会授权的人员）权限的用户可以从控制台导入泄密主机“黑匣子”，使用防水墙黑匣子分析仪对其进行分析，以追究泄密责任。审计平台主要针对历史性的数据库备份文件和日志文件进行对应审计，进行更全面的问题追责。

　　从上面的介绍可以看出，防水墙系统的受控主机集合构成了一个相对独立的“内部安全体系”，有时我们也称其为“防水墙系统安全域”。域内的主机是受到防水墙策略的严格控制的，这些主机的用户行为是受到监控的，其泄密后果是可以追查和审计的。

　　7．非法主机控制。以上六种防护措施均是针对“防水墙安全域”内部用户的。对于接入到“防水墙安全域”中的外部主机（如用户很容易地将笔记本电脑接入到“防水墙安全域”中）如果它没有安装防水墙客户端软件，不能接受防水墙系统的监控，会对企业的安全体系造成破坏，造成失泄密事件的发生。防水墙系统的“网络巡逻员”可以对连接到网络中没有安装防水墙的“非法”主机进行检测，及时报告非法主机的接入，并可根据策略对其进行报警与阻断。

　　五、结束语

　　防水墙系统是目前国内市场中一款非常成熟的内网安全管理系统，政府机关、军工企业、涉密的企、事业单位，通过应用部署该系统，能很好的满足内网安全防护的需要，切实降低信息泄密的风险，同时提高了单位的工作效率，具有良好的应用效果。目前上千家用户的实践经验表明：基于防水墙系统构筑信息保密安全体系和解决方案，是切实可行的，是新时期保密工作的有力武器。