人民检察院内网安全建设解决方案(V1.0)
XXX 人民检察院计算机内网安全建设
解决方案
V1.0
北京峰盛博远科技有限公司
2010-9-15
目录
一、项目背景........................................................................................... - 1 -
二、需求概述........................................................................................... - 1 -
2.1 安全风险分析.............................................................................. - 1 -
2.2 需求总结 .................................................................................... - 2 -
2.3 实现目标 .................................................................................... - 3 -
三、科盾解决方案..................................................................................... - 3 -
3.1 简述 .......................................................................................... - 3 -
3.2 解决方案 .................................................................................... - 4 -
3.3 安全策略规划............................................................................ - 10 -
3.4 系统架构 .................................................................................. - 11 -
3.5 功能和特点............................................................................... - 11 -
3.6 关键技术性能............................................................................ - 12 -
3.7 系统安全性............................................................................... - 12 -
4.1 运行环境要求............................................................................ - 14 -
4.2 部署方式 .................................................................................. - 14 -
4.3 项目预算 .................................................................................. - 14 -
五、技术支持服务................................................................................... - 15 -
5.1 系统实施服务............................................................................ - 15 -
5.2 系统培训服务............................................................................ - 15 -
5.3 系统售后服务............................................................................ - 16 -
六、公司和团队介绍................................................................................ - 16 -
6.1 公司介绍 .................................................................................. - 16 -
6.2 技术力量及专业背景 .................................................................. - 17 -
6.3 技术咨询与服务优势 .................................................................. - 17 -
七、产品资质和案例................................................................................ - 17 -
7.1科盾计算机内网安全平台资质....................................................... - 17 -
7.2 科盾计算机内网安全平台应用的部分案例:................................... - 17 -
附录一可选功能模块列表........................................................................ - 19 -附录二防护情景分析.............................................................................. - 24 -
一、项目背景
XXX人民检察院目前已建成与下级市县检察院专网连接,内部办公网实现网络隔离。并实现了视频会议和计算机数据专线传输的功能。
网络建设的目的是为了应用,检察信息化的应用将从检察业务系统、视频会议系统以及电子邮件系统等方面展开。推行利用网络进行信息发布和电子文件信息传递,利用已建成的专线网和局域网,进行日常工作管理。召开电视电话会议,开展网上信息简报浏览、工作请示汇报和讨论修改文件等,把上网办公作为各级检察院转变工作作风和解除“文山会海”的重要手段,逐步减少纸张文件的印刷量和发放量,实现检察业务信息、内部公文的远程自动流转处理。
随着检察院内部数据信息的电子化不断深入,如何保证数据的使用安全、传输安全、存储安全就成为信息安全建设的重中之重了。这些数据信息在内部流通的过程中可能通过某个端点被泄露出去,无论是用户的有意行为,还是无意识的数据传输,都会给国家检察系统带来严重的后果,甚至是威胁国家的安全稳定。然而计算机传输数据途径是多方面的,如内部文件共享访问、U盘的随意使用、打印刻录等等,这些数据不断传输,另管理者防不胜防。可能出现了数据泄密,而我们却一无所知,即使知道,也无从追及是谁在使用这些数据,是谁传播出去的!因此XXX人民检察院急需通过技术手段解决目前数据共享、网络应用过程中的无保护状态。
北京峰盛博远科技有限公司正是根据XXX人民检察院在信息化、网络安全建设的需要提出的针对重要数据的保密性、完整性、可靠性要求,提出的计算机内网安全整体解决方案。主要解决数据从产生、保存、传输及销毁整个生命周期的安全问题,规范计算机内网用户对数据的使用权限、操作行为,为XXX人民检察院的计算机内网信息安全保驾护航。
二、需求概述
2.1 安全风险分析
XXX人民检察院目前办公计算机终端,统一通过专网接入检察系统。下级市县均通过专网接入州检察院,实现计算机内网数据共享。计算机内网与互联网隔离,禁止未通过授权访问外网,禁止外部计算机未经授权接入计算机内网。根据目前的网络现状分析,存在以下几方面的安全风险,均会给检察系统的数据安全带来威胁。
安全风险一:非法外联。检察院计算机内网虽然没有互联网接口,但用户仍可以通过无线网卡、拨号、3G网卡连接外网,从而绕过检察院系统边界的防护。将计算机中的数据暴露后,来自互联网的黑客攻击、木马病毒等会轻意取走检察院的机密数据。
安全风险二:非法接入。检察院内部网接口提供了系统扩展的需要,如果外部移动计算机未经授权进入检察院通过网线连接,简单填上IP地址就可以访问检察院系统的内部资源,而这是不被允许的。
安全风险三:身份认证。内部计算机的使用对用户不透明,管理者不知道是谁在什么时间、什么地方操作机密数据,数据泄密无法追查责任人;WINDOWS采用弱密码认证,存在人员越权访问其他人员计算机的风险。
安全风险四:文件共享安全。检察院内部文件共享的使用,数据库的开放性,内部人员只要猜得用户名及密码就可以随意下载重要文件了。这无疑加大了数据流动泄密的风险。
安全风险五:打印安全。通过本地或网络打印机对重要文件的打印。
安全风险六:移动介质使用。作为信息的载体,移动存储介质具有的灵活性、便捷性使它迅速得到普及,越来越多的敏感信息、秘密数据和档案资料被存贮在无保护的移动存储介质里。无疑给单位内部的涉密和敏感信息资源带来了相当大的安全隐患。
安全风险七:安全域控制。XXX检察系统是由各个下级市县检察院小型局域网统一通过专线接入XXX检察院,从而形成巨大的局域网环境,各种终端设备互连互通。这就存在一点故障,影响全网的隐患。如ARP病毒可能导致全网不能正常工作。
2.2 需求总结
根据以上对XXX人民检察院计算机内网安全风险的分析,总结需求功能如下,同时由于计算机数量的不断增多,也给计算机内网资产的统计、软件的安装带来了不便,利用计算机内网安全系统可以实现资产的自动统计,软件的自动分发。
1)非法外联控制。实现检察系统专网用户未经授权无法通过任何方式(拨号、3G)访问互联网,杜绝互联网带来的风险;
2)非法接入控制。实现禁止外部计算机在未经授权的情况下接入计算机内网,并对于接入行为进行记录,保证有据可查,防止内部重要数据通过移动计算机泄露;
3)身份认证管理。保证进入计算机内网进行操作的人员可信,系统统一分配帐户,指定对计算机的操作权限,进入计算机内网的操作行为进行详细记录;
4)共享文件管理。实现企业内部共享文件的安全访问,只允许数据在内部指定用户间进行流通,防止恶意修改、删除等;
5)移动介质管理。实现内部U盘、移动硬盘等存储设备进行注册认证,防止在外网使用,禁止外部U盘进入计算机内网,不影响非存储设备(USB键盘、鼠标等)的正常使用;
6)将检察院计算机内网计算机按照不同职能进行通信隔离,防止数据的随意传输、病毒的扩散;
7)软件应用管理。对计算机内网用户软件使用行为进行监控,防止用户随意在上班时间使用炒股软件、游戏软件等,通过黑白名单形式只允许工作需要的应用程序;
8)资产管理。实现对检察院计算机内网计算机硬件资产进行自动上报,并实时监控变动行为,硬件资产的变更自动报警。对于终端计算机使用的软件信息进行监控,防止用户自行安装有风险的软件,以及将系统重要客户端进行卸载(如杀毒软件客户端);
9)软件分发。实现自动分发软件到目标终端主机,通过设置实现强制默认安装;
10)日志管理。管理员可以在本地实时查看网络日志,即时处理存在的风险。
2.3 实现目标
保障计算机内网信息系统能够高效、可靠、安全地持续工作,保障计算机内网信息系统数据在产生、处理、存储、传输及销毁整个生命周期中的可用性、可控性、完整性和保密性:对计算机内网信息系统,非法主机“进不来”
对不符合计算机内网安全规则的主机将被强行禁止其接入计算机内网,并且及时报警,实现非法主机“进不来”计算机内网系统。
对秘密信息,非法用户“拿不走”
防止对企业重要文件越权操作、非法访问文件和一切移动存储设备的非法文件拷贝实现非法用户“拿不走”有效信息;
非法用户作案后“跑不了”
通过严密审计跟踪受控资源的使用情况,实现了非法用户只要作案,一定“跑不了”,便于追查责任事故;
移动存储设备“不怕丢”
对所有移动存储设备的存储操作进行透明加、解密,数据以密文的方式存储,实现了移动存储设备如移动硬盘、U盘等“不怕丢”。
三、科盾解决方案
3.1 简述
根据以上对XXX检察院计算机内网安全建设需求的总结,提出使用“科盾计算机内网安全平台”解决检察院计算机内网存在的风险。并在保证正常的业务运营的同时,最大限度减少数据泄密、网络受攻击等带来的损失。科盾计算机内网安全平台对计算机内网主机进行隐蔽植入客户端,支持实时监控、上网报告、违规行为分析统计等多种策略操作,监视网络用户对重要文件的操作、互联网的使用。它能在出现可能的安全问题之前发现并切断违规网络连接,并于第一时间通知管理员。
采用C/S(客户/服务器)结构,使用一台服务器作为监控端,其他主机安装受控端。大部分常用的网络拓扑结构均可安装本产品,支持多网段环境。客户端采用强制安装,阻止没有安装客户端主机进入网络。用户可以访问WEB服务器下载客户端并安装,安装成功后
方可访问网络资源。
3.2 解决方案
通过部署科盾计算机内网安全平台,可信认证授权管理子系统、可信桌面安全管理子系统、可信移动介质管理子系统、可信分域管理子系统实现对XXX人民检察院计算机内网的安全防护。
3.2.1 可信认证授权管理子系统
用户(计算机)管理
基于终端用户的管理。终端用户在进入Windows操作系统之前,都必须输入安全管理中心统一分配的平台用户名和密码到科盾服务器进行认证,如果认证成功,则允许进入操作系统,否则,则拒绝进入操作系统。同时,可以绑定USB-key实现身份认证。
并支持与CA、指纹等认证系统联动。
注:解决了风险三的问题。
非法接入控制
主要目的是防止将外部主机接入到计算机内网中从而带来安全隐患。对于这种外部接入行为,本系统提供了两种控制措施:接入预警和禁止接入。
(1)接入预警。对接入的非法主机进行预警,安全管理员可以根据预警信息找到外部接入的主机,并且采取相应的安全措施。
(2)禁止接入。对接入的非法主机采取隔离措施,使其网络设备不能正常工作,从而无法成功接入到内部网络中。
注:解决了风险二的问题。
非法外联管理
对于用户访问互联网权限进行有效控制,禁止计算机未经授权访问互联网。包括禁止目前存在访问互联网技术,如拨号、3G等形式。对于非法外联的主机进行日志记录,方便管理员追查原因。管理员可以灵活设置终端计算机对互联网的使用权限。
注:解决了风险一的问题。
图3-1 认证授权管理效果图
3.2.2 可信桌面安全管理子系统
远程监控和桌面管理
(1)屏幕监控。实时监视终端用户的计算机屏幕状态,并提供了远程控制开关选项,支持从科盾控制台对终端用户进行远程协助,远程解决系统问题。提供抓屏功能,为终端用户的操作行为保留现场。
(2)终端共享文件管理。能够实时查看终端用户文件共享情况,能够远程删除非法的共享文件夹,对文档共享情况进行控制。
外部设备管理
通过终端用户外设管理功能,系统能够充分保护网络中终端主机的安全性,保证数据不被恶意的盗窃,防止外接设备随意连接到计算机,保证秘密信息不被窃取。
(1)端口控制。提供对串口并口、1394、红外、蓝牙、PCMCIA、SCSI控制器、调制解调器等端口的控制。
(2)存储设备。提供对USB存储设备(包括U盘、移动硬盘等存储设备,不包括USB鼠标等非存储设备)、光驱、软驱以及磁带机的控制。
(3)打印设备。本系统控制的打印机设备包括本地打印机、网络打印机和虚拟打印机。控制策略包括禁止使用打印操作和允许使用打印操作。在允许打印操作的情况下,对打印文件进行缓存副本记录。
注:解决了风险五的问题。
(4)设备属性控制。对网络适配器属性、设备管理器及任务管理器等进行控制。
进程行为控制
通过设置进程的签名白名单、签名黑名单方式来对进程行为进行控制。控制方式为通过验证应用程序的MD5值确定程序的合法性,防止用户通过修改进程名方式绕过防护。
(1)进程签名白名单控制。用户只能运行管理员进行签名认可的程序,其它程序全部禁止使用,有效防止用户使用与工作无关的程序。这是最严格地用户进程控制方式,也是最安全的进程控制方式,即使用户更改了应用程序名也无法运行。
(2)进程签名黑名单控制。用户不能运行黑名单中出现的程序,其它程序可以运行。
(3)进程分时段控制。为了控制方式更加灵活,本系统提供了对进程的分时段控制机制。
(4)日志记录。对终端用户运行的程序进行日志记录,包括操作者、运行时间、运行的进程名称等信息。
文件安全管理
文件安全管理功能提供共享文件访问控制、文件访问日志记录、移动存储设备透明加解密、文件保险柜以及文件安全锁等功能。
(1)共享文件访问控制。在禁止访问其他主机共享文件的策略下,终端主机将不能访问任何主机的共享文件;在禁止其他主机访问终端主机的策略下,任何主机都不能访问该终端主机的共享文件。
(2)文件访问日志记录。对访问本地文件和访问其他主机共享文件的操作进行日志记录。记录的操作日志包括文件的新建、打开、删除、重命名以及修改等操作。
(3)文件保险柜。用户通过文件保险柜设置向导设置属于自己的安全目录,一个用户可以拥有多个安全目录。
注:解决了风险四的问题。
资产管理
终端资产管理功能包括硬件资产管理和软件资产管理两部分,并且提供强大的统计功能。
(1)硬件资产管理。本系统在用户登入后,记录下终端的所有硬件安装信息。实时检测终端发生变动的硬件信息,并且提供对照信息方便管理员进行浏览对比。
(2)软件资产管理。本系统在用户登入后,记录下终端的所有软件安装信息并且进行日志记录。检测终端发生变动的软件信息,并且记录日志。
(3)资产统计。提供丰富的统计工具,管理员能够方便地了解计算机内网中的所有资产情况。
软件(补丁)分发
对于一个大中规模的内部网络,在安装软件或补丁时要求管理员逐台主机进行安
装,那将会导致工作效率非常低。软件(补丁)分发功能提供了有效的方式来分发和安装软件和补丁程序,大大提高了管理员的工作效率。该功能提供了三种软件分发模式:文件传输、执行软件和安装软件。
(1)文件传输。如果设定文件传输模式,那么管理员选定的文件将被传输到终端主机的指定目录。
(2)执行软件。如果设定软件执行模式,那么管理员选定的软件将被传输到终端主机的指定目录,并且开始执行,可以设置软件以强制方式静默安装(软件本身需支持静默安装)。
(3)安装软件。如果设定安装软件模式,那么管理员选定的软件将被传输到终端主机的指定目录,并且开始进行安装。如果终端用户强行退出安装,重新启动后又将提示终端用户进行安装,直到终端用户成功安装了该软件。
本系统提供了对分发结果进行查询统计;即时终止、编辑软件分发任务;能够针对指定的操作系统进行软件分发;针对特定的计算机分组范围进行软件
图3-2 桌面安全管理效果图
3.2.3 可信移动存储设备管理子系统
实现对移动存储介质安全、有效地管理是保证内部敏感信息安全的重要手段。科盾可信移动存储设备管理子系统通过对XXX人民检察院内部移动存储介质进行注册认证、权限管理、访问控制、数据保护等多种手段,防止因介质的使用造成的信息泄密。并通过对计算机内网移动介质统一管理,记录移动存储介质的使用情况,做到内部移动介质的可控可管。主要功能如下:
1)支持各种类型的移动存储介质,包括U盘、移动硬盘和外挂IDE硬盘等
具有存储功能设备。
2)提供对移动存储介质的注册管理功能,没有经过管理员注册的移动存储介
质,不能在单位内部计算机上使用。移动存储介质要获得使用权,必须经过管理
员注册,并赋予相应的权限。管理员还可以取消对移动存储介质的注册,收回对
该移动存储介质的特殊授权。
3)根据管理需要,管理员可以将特定的移动存储介质注册授权给特定的用户
/用户组和特定的计算机/计算机组,从而实现灵活的细粒度的权限管理。
4)对移动存储介质的权限可分为禁用、只读、安全读写和正常读写四种。所
有写入移动存储介质的数据都会被自动加密,用户在读取文件时,数据能够被自
动解密。
5)提供详细的审计记录,包括注册信息、使用信息和文件操作信息,记录要
素包括使用人、使用计算机、使用时间和动作等,并提供丰富的审计报告。
注:解决了风险六的问题
图3-3 移动介质管理效果图
3.2.4 可信网络分域管理系统
为了加强对国家信息系统的保密管理,确保信息安全,国家明确提出了涉密信息系统的建设使用单位必须根据分级保护管理办法和有关标准,对信息系统分等级实施保护。
(1)内部网络和外网应相互隔离,包括网络设备和移动存储介质在内不应相互连接,不允许将存有涉密数据和信息的存储介质在非涉密网计算机上使用;
(2)内部网络根据信息系统保密等级的不同,要进行逻辑隔离,分域分级管理,实行分等级保护;
(3)两个不同的计算机网络,即使具有相同等级的安全级别,没有管理员特别批准,也不能互联互通;
可信网络分域管理系统可解决两个企业网络安全建设的难题,第一,企业内部实现内、外网隔离。第二,计算机等级划分与保护。将网络中的计算机按照管理需求划分成多个虚拟安全域,所有的计算机内网主机按照职能和级别不同被划入不同的“安全域”中进行管理,隔离外来的计算机,防止内部主机非法连接互联网,实现内部网络的分域分级管理。同一个安全域内的计算机可以相互访问,非同一个安全域的计算机则不能相互访问,只有在获得管理员授权的情况下才能建立信任关系,实现网络连接。
通过IP包重构技术,使得非法外联的连接不能和外部计算机进行正常的网络通信,只在指定计算机内网范围内的计算机和服务器之间才能够通信,有效切断一切非法外联行为;有效阻断非法接入行为,包括交换设备接入和直连线对等网接入,外来的计算机都不能跟计算机内网的计算机进行正常的网络通信。部署效果如下图所示。
注:解决了风险七的问题。
图3-4 分域管理效果图
3.2.4 可信网络监控子系统
IP(MAC)管理
对终端主机的IP地址、MAC地址进行管理是保证网络正常运行的有效方式之一。终端主机随意修改IP地址和MAC地址可能会导致网络混乱,也可能是出于伪造他人身
份进行非法操作的意图。同时,ARP攻击是目前最常见的局域网攻击,其直接会导致局域网瘫痪。本系统提供了两种关于IP(MAC)管理的措施:IP地址和MAC绑定以及ARP病毒免疫。管理员可以通过管控中心远程编辑用户IP,可以将网络IP及MAC地址对应情况以表格形式导出。
(1)IP地址和MAC绑定。自动将终端主机的IP地址和MAC地址注册到科盾服务器。如果终端主机试图改变IP地址或MAC地址,本系统提供了两种控制方式:自动恢复和禁止网络。
(2)ARP病毒免疫。该功能能够有效地杜绝ARP病毒攻击,一旦内部网络中出现了ARP攻击,首先会攻击行为进行预警,然后将ARP攻击所导致的MAC地址混乱的现象进行清理,通过将其设置为静态MAC地址从而避免了ARP攻击所带来的影响。
即时消息
即时消息功能为终端用户和管理员提供了一个交流通道,方便他们及时进行沟通。终端用户可以向管理员发送消息,该消息会显示在管理控制台的预警平台上,管理员可以及时进行处理。管理员可以针对某一个特定用户、一个特定的组或者是整个网络发送管理员公告。
注:IP规划安全管理的需要,建议配置。
3.3 安全策略规划
计算机内网安全策略是单位实现计算机内网安全管理的基础,计算机内网安全策略是单位网络信息系统安全建设的指导原则、配置规则和检查依据。计算机内网安全系统的建设主要依据单位网络信息系统统一的内部安全策略。
(1)主机资源审计与保护策略
主机资源审计策略是对主机资源进行收集、并实现统一管理的内部安全策略,它指导如何准确、便捷的收集单位计算机内网内所有主机的相关信息,同时指导我们根据不同主机的资源现状制定不同的保护手段和管理制度。
(2)在线信息保护策略
在线信息保护策略是指根据单位的实际情况,并结合相关的法规政策、单位制度,对单位内部暴露在网络上面的重要信息进行保护的内部安全策略,它指导单位如何定义重要主机、区分不同主机的重要程度、并根据不同主机的重要程度制定不同的保护方案和访问控制规则,同时也保证了我们单位的内部网络资源得到最大化的合理应用。
(3)离线信息保护策略
离线信息保护策略是指根据单位的实际情况,并结合相关的法规政策、单位制度,对单位内部可以通过可以离线方式(包括笔记本、移动存储设备、打印设备等等)传递的重要信息进行保护的内部安全策略,它指导单位如在定义了重要信息以及信息的密级后,同时可以有效的将各种离线的信息传递设备(方式)进行统一的规划和控制。
3.4 系统架构
在XXX人民检察院计算机内网系统应用中,可以采用以下部署方式:系统由四部分组成(1)服务器。存储控制台设置的各种策略数据;收集客户端模块采集的数据,并将其保存到数据库中。(2)控制台。是系统的管理中心,对客户端设置监控策略;定时监控客户端和服务器的运行状况等。(3)客户端。实现及时接收控制台策略并执行,定时将采集的数据传送到服务器等。(4)科盾认证网关。实时发现网络内的非法主机,并WEB页面提示安装客户端,阻止非法主机接入网络。部署效果图如下所示:
图3-5:科盾计算机内网安全平台部署效果图
3.5 功能和特点
对计算机内网段的机器进行跟踪定位、探定机器的运行状态。
自动发现网络中机器私自以拨号等方式接入Internet。
自动检测计算机内网所有机器名称、IP 地址、MAC 地址等相关信息。
对机器进行逻辑分组管理。
具有完善日志记录及查询功能。
自动记录私自上网机器的名称、IP 地址、所属分组,负责人、电话及连接时间等信息。
支持多种日志组合查询。
客户端强制安装,防删除及恶意卸载。
3.6 关键技术性能
(1). 采用基于IP 路由原理的数据包转发技术
本系统的技术核心,通过对网络路由的研究,我们已经能够很好地利用数据包
的转发原理,完成对主机行为的监测。
(2). 系统监测效率和系统消耗
系统设计在解决监视效率和监视消耗问题时注意到:数据量的大小和探测的时间间隔是系统性能的两大重要因素。通过不断的技术革新从这两个方面来控制对网络流量的影响,经实网环境严格测试,将带宽占用降到最低。
(3). 稳定性
本系统广泛应用在各行业大、中型企业,多年的实施应用过程中已确立了具有了良好的稳定性,可以适应复杂的网络结构及不确定的网络环境。软件的基本特征就是稳定性,作为安全管理工作更是如此,所有的不稳定性都对管理工作带来不可低估的后果。(4). 可扩展和可持续升级性
安全管理需求肯定是不断变化和发展的,客户端程序按照需要进行扩展和升级。同时也减小重复植入的管理成本。
3.7 系统安全性
四、系统部署
4.1 运行环境要求
4.2 部署方式
针对XXX人民检察院的网络结构和行政管理需求,我们建议采用州、县两级分级部署。分级部署包括:一级服务器及管控,二级服务器及管控,客户端。(如图1-1)
图1-1
一级服务器:系统数据汇总中心。与信息数据库通信,接受所有二级服务器传来的数据汇总信息,并存入数据库中,接受来自一级管控的命令操作,发送到二级服务器。
一级管控:内网中二级服务器及管控的管理中心。控制二级服务器的日志上报,以及二级管控管理员的授权,并且可远程操作二级管控。
二级服务器:系统数据处理中心。与信息数据库通信,接受所有客户端传来的所有信息进行处理,并存入数据库中;接受来自二级管控台的命令操作,发送到客户端。
二级管控:内网中客户端的管理中心。实现对安全策略的编辑、下发以及对客户端的监控;对内网中客户端机器操作进行审计,并且集成了对客户端的安装工具。
客户端:内网管理终端。根据控制台的策略管理客户端机器,提供被控制端监控的服务。
序
号
软件名称类型功能实现数量
1
科盾内网安全
V2.0服务端(一级
服务器)
软件
系统的核心部件,管理二级科盾
内网安全服务器,存储用户信息、计
算机信息、策略信息、权限配置以及
审计记录;
1
4.3 项目预算