Chinasec-整体一致的内网安全解决方案.ppt

《Chinasec-整体一致的内网安全解决方案.ppt》由会员分享，可在线阅读，更多相关《Chinasec-整体一致的内网安全解决方案.ppt（43页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ChinasecTM整体一致的内网安全解决方案北京明朝万达科技有限公司1 目 录概要内网风险关于我们产品与服务案例分享2概要n内网安全市场的倡导者和领先者，国内数据保密领域市场占有率最高的品牌n我们专注于内网安全，为客户提供整体的内网安全解决方案和服务nChinasec致力于帮助客户保护价值数据、提升管理绩效，让IT系统真正服务于用户的业务发展n我们服务的客户广泛分布在各个国家部委、军工集团、设计院所和制造、通信、金融等领域的500强企业3 目 录概要内网风险关于我们产品与服务案例分享4内网风险组织面临的主要内网安全管理问题信息泄密风险IT资源管理“商业间谍”行为员工离职风险电脑遗失存储设备遗

2、失外来人员访问内部系统电子邮件、MSN和QQ外发不当打印病毒主动防护补丁分发终端资产管理用户行为管理外设管理上网行为管理移动存储设备管理5内网风险信息安全的投资现状：威胁与投资倒挂的“二.八”规则“企业的安全事件在过去80是因为内部安全管理的漏洞、内部人员的泄密等事件产生，仅仅有20的事件是来自外部的攻击行为。”籍此传达的信息：n长久以来，组织对来自内外的安全威胁采取了不一致的对待方式n信息安全投资的不均衡性为组织带来了严重的安全风险n“攘外而不安内”的做法无法确保企业的信息资产安全n安全风险防范只有做到内外兼修，才能达到全面安全管理的目标内网威胁外网威胁外网投资内网投资6内网安全体系建设试图

3、解决的问题内网风险防止数据泄密l对价值数据进行保密化处理（数据加密）：加密的数据即使流失，也无法读取l对重要信息按保密级别进行分级管理：根据员工权限，设定可以访问相应级别的数据l对保密数据的操作记录及违规操作记录：对数据的操作保留日志，并可进行分析，找出可疑人员l防止非正常数据流失：防止非法打印，非法复制，非法邮件输出，非法上传等7内网安全体系建设试图解决的问题内网风险规范员工行为l病毒防护：有效隔离病毒和木马程序，限制使用人员随意下载、传播染毒程序、文件l流量管理：限制BT、网络视频、网络游戏等应用对企业带宽资源的不合理利用l身份认证和授权管理：对内部员工实现分组管理，加强授权管理机制l内部

4、网络接入控制：限制非授权人员接入企业内部网络，将临时外来人员控制在受控的网络区间8内网安全体系建设试图解决的问题内网风险规范员工行为l针对笔记本电脑的安全策略：笔记本电脑带出公司后，或意外丢失后，如何防止公司机密流失l针对可移动存储设备的安全策略：在不一律封杀各种移动存贮设备的情况下，如何保证移动存贮设备的安全使用l邮件的监控、审计：对泄漏公司机密信息的邮件进行监控、审计l网络行为管理：互联网访问控制，MSN和QQ等即时通信工具的合理使用9内网安全的投资价值数据安全合规性管理终端维护控制运营成本和内部损耗，保护创新成果内网风险内网安全价值投资10 目 录概要内网风险关于我们产品与服务案例分享1

5、1关于我们成长轨迹2002年2005年1月2005年10月2006年Q1当前2006年Q4n率先提出内网安全理念n公司注册，推出可信网络安全平台n获得国家保密局、公安部等资质认证n合作完成中办机要系统首个试点工程n签约奇瑞、一汽、步步高等知名企业，成为一线品牌n签约终端数超过20万，广泛部署在党政军各级机构和500强企业12关于我们不断深化的市场领导地位经过持续的发展，Chinasec已成为国内数据保密市场最大的供应商n在汽车制造、电子通讯、家电等具有自主创新成果的企业市场逐步形成强势领导地位n2008年，与陆航研究院合作，通过全军涉密产品资质认证，在全军推广内网安全系统n2008年，以贵州省

6、保密局为试点单位，在全省保密单位推广应用可信网络管理系统n2007年，与总参五十六所签署战略合作协议，在涉密单位共同推广全线产品n2006年，与公安部三所在信息安全领域展开全面合作，在全国推广移动安全接入平台和内网安全管理平台n2005年，与中办北电院签署战略合作协议，在全国机要系统合作推广可信网络安全平台13其他监控审计类文档加密类关于我们产品市场份额【数据来源：CCID】10%10%15%15%20%20%55%55%赛迪顾问网14关于我们n计算机信息防护解决方案优秀奖业内嘉奖n“2007年最受用户欢迎的内网安全品牌”n“2007年中国制造业信息化优秀推荐产品”n中国制造业信息化优秀供应商

7、更多荣誉，值得期待n科技部、海淀园区创新基金重点扶持企业n电子政务信息安全优秀产品奖15关于我们专利与信息安全资质操作系统集中保护方法透明的全向安全网络方法文件网络共享范围控制方法文件网络传输通用加密方法邮件附件透明保密控制方法基于身份的存储数据隔离方法防止数据泄密的综合控制方法基于数据流重定向的磁盘保护方法基于模式切换的网络隔离控制方法通用的控制文件通过网络外发的方法基于扇区加密的移动存储设备管理控制方法内置在机箱中可集成多种类型小型USB接口配件设计方法16 目 录概要内网风险关于我们产品与服务案例分享17Chinasec-产品与服务监控审计文档加密整体解决方案基于过程的控制：“百密难免一

8、疏”缺乏主体认证和授权，缺乏数据源的加密防护，经不起技术推敲基于数据源的控制：可以有效防护被动泄密行为，对于主动泄密行为缺乏有效管理手段存在先天的技术局限性，很容易破解在兼容性和综合管理方面严重欠缺内网安全产品的演进18Chinasec-产品与服务可信网络认证系统（TIS）ChinasecTM可信网络安全平台可信数据管理系统（DMS）可信网络保密系统（VCN）可信网络监控系统（MGT）可信移动存储介质管理系统（RSM）产品体系架构-全面均衡的产品体系19Chinasec-产品与服务整体一致的解决方案-均衡安全管理在管理改进中，一定要强调改进我们木板最短的那一块。要坚持均衡发展，不断地强化以流程

9、型和时效型为主导的管理体系的建设华为 任正非在内网安全体系的建设过程中，必须坚持均衡安全管理，保持与企业的业务战略和流程相集成Chinasec内网安全企业管理20安全网关服务器群Chinasec ServerChinasec MCChinasec Agent终端XX分级安全域防护（VCN）-专网环境下的数据保密1根据内部组织结构和对敏感数据的接触划分不同的安全等级2根据不同安全等级的数据和终端制定不同的安全策略3.数据的存储和传输均可实现加密处理4.逻辑安全域的划分不涉及物理网络架构的调整Chinasec的解决之道-数据保密21终端可能的泄密方式与解决方式Chinasec的解决之道-数据保密移

10、动存储设备拷贝硬盘遗失网络发送OA或共享服务器中转红外、蓝牙等外部设备发送U盘注册及授权本地硬盘加密网络加密控制文件外发加密外设控制（MGT）22通过模式切换实现了一机两用工作模式保密模式，核心数据加密处理，重要信息得到全方位的保护，所有数据外传通道切断，无法以任何方式泄密普通模式正常模式，可以访问互联网传输数据，但无法接触核心机密数据工作模式工作模式普通模式普通模式Chinasec的解决之道-数据保密模式切换（DMS）-开放网络环境下的数据保密23模式切换-虚拟工作环境构建（DMS）受控资源-工作模式切断跟非受控网络资源，如Internet、外网和其他管理员未定义网络连接 打开受控网络资源的

11、连接权限 切断本地非受控存储区域（可信数据区除外的所有存储设备）的存储权限，但是保留读取权限打开本地可信数据区，用户可以访问和自由使用可信数据区的数据非受控资源-普通模式自由访问Internet外网使用本地移动存储设备复制数据等不能访问内部的开发代码服务器、OA服务器、DMS安全文件服务器和其他重要的企业数据资源等不允许使用特定的应用程序，如设计软件等也不能访问本地硬盘上的可信数据区 Chinasec的解决之道-数据保密24Chinasec的解决之道-终端安全管理用户行为管理用户行为管理（MGT）远程实时管理计算机状态并进行远程控制应用授权：限制或许可安装使用特定的应用软件Windows应用组

12、件的使用权限控制文件分发：操作系统和应用程序补丁程序的远程升级管理25ChinasecTM的解决之道-终端安全管理网络行为管理（MGT）设定使用者可以访问的网站限制邮件服务器的应用范围，针对邮件附件的外传控制文件的外发控制，避免设计成果等敏感数据通过网络传播限制、记录MSN、QQ等即时通讯工具的使用状况IP地址绑定，避免员工随意修改IP地址26ChinasecTM的解决之道-终端安全管理审计管理（MGT）记录员工通过FTP上传或下载的完整文件自动记录计算机上的文件操作记录，包括创建、删除、复制和重命名等记录用户的打印行为，可以针对打印内容和打印文件名、打印人、打印计算机和打印时间进行统计分析对

13、客户端主机的PC、内存、硬盘、显卡、光驱等外设进行资产审计管理并提供图文并茂的审计报告（提示：打印内容记录非标准配置模块，需另行选购）27设备安全-外设控制(MGT)ChinasecTM的解决之道-终端安全管理设备数据接口：对并口、串口、USB等数据接口和光、软等设备接口进行控制，防止被非授权使用具有设备扩展性，能够控制新增的设备接口类型能够进一步区分HID输入设备、存储设备和其他类型设备等对刻录光驱提供只读功能的控制，防止刻录功能的滥用。28打印输出设备非法接入控制针对打印机，制图机等输出设备的安全控制，防止打印输出结果被非授权查看和获取。防止非授权计算机通过现有的或者空余的网络接口（交换机

14、接口）接入内网；防止外来计算机通过网线交叉直连的方式与内网涉密计算机建立数据通信。(提示：非标准配置模块，需另行选购)X XChinasecTM的解决之道-终端安全管理设备安全-外设控制(MGT)29n介质使用-非授权的介质不能在内部系统或单机上使用，不同安全等级的信息存取介质不能交叉使用。携带外出的介质处于有效控制之下n存储在内部使用介质上（硬盘或者移动存储设备）的数据提供加密等措施，防止因为介质丢失或者被窃取导致数据泄密n对可移动设备的接入进行鉴别，控制可移动设备的非授权接入。可以提供禁用、只读、安全读写和普通读写的多种灵活授权机制移动存储介质的管理（RSM）ChinasecTM的解决之道

15、-移动存储介质管理30访问控制粒度：分别对用户、终端进行内网资源和重要信息的访问控制访问控制跟身份认证统一，可以根据用户的身份进行授权用户的权限可以实现漫游，即不同的用户在相同的计算机终端上登录可以拥有不同的权限信息输出操作监控：对系统内保密信息和重要信息的输出（如打印、复制、屏幕截取）操作进行控制内网信息安全体系：访问控制（TIS）ChinasecTM的解决之道-访问控制31n对信息系统中服务器、用户终端以及应用程序的本地登录和远程登录进行用户身份鉴别n统一生成用户身份标识符并保证在系统生命周期的唯一性n身份标识符列表不被非授权地方防问、修改或删除n用户标识符与安全审计相关联，保证系统内安全

16、事件的可核查性用户身份鉴别身份标识符ChinasecTM的解决之道-访问控制32平台增强功能服务器双机热备服务器负载均衡服务器分级管理实时监视器安全网关Chinasec-产品与服务33文件外带保密控制单点登录文件外发控制文件外发加密WINDOWS域支持邮件智能加密可选功能模块Chinasec-产品与服务34产品优势技术优势性能优势资质优势n整体一致的解决方案：覆盖内网安全各个范畴，实现内网安全均衡管理；产品紧扣ISO 27001/BMB 17等技术标准，全面满足组织内部信息系统安全建设要求；n全面的资质认证，所有研发产品都通过了国家保密局、公安部和军方权威检测机构认证；n产品的兼容性、稳定性好

17、；历经五年时间的产品预研和市场考验，用户涵盖了政府、军工和企业等广泛市场；n稳定、强大的研发力量，核心研发人员均来自中科院、清华大学，在信息安全领域具有长期的研发经验。Chinasec-产品与服务全方位的领先优势35 目 录概要内网风险关于我们产品与服务案例分享36典型案例与价值评估n核心知识产权和专利的保护-制图文件防止泄密-研发资料保密（油墨、笔杆等）-模具设计专利保护n针对销售、采购和商务环节的行为管理和审计n应对海外市场对专利保护的要求，实现定向的数据传播关注数字知识产权保护，保持企业持续竞争力内网安全需求的提出A公司：全球最大的文具设计与制造商，2008奥运会特许经营商、特许零售商和

18、文具独家供应商 37涉及部门：研发、设计、销售、采购、商务和海外事业部需求分析及解决方案身份认证和授权管理（全部）存储加密（研发和设计部门）OA文件的外发加密（研发和设计部门）邮件监控（销售和采购部门）桌面综合管理和监控审计（全部）非法接入和非法外连监控（全部）典型案例与价值评估38n中联重科n奇瑞汽车n民生药业n步步高n北京德信无线n广东朗能集团n曲美家具n华帝集团n青岛一汽n成都城市规划设计院n南阳防爆集团n经纬纺织股份n赫克力士普天化工典型案例与价值评估39n中石化n新东方n天瑞（中国）仪器n特步（中国）n一汽夏利n东立通信n华晨汽车n深圳日海通讯n河南少林客车nStaplesn五羊本田n内蒙众兴集团n深圳益田房地产n北京航天智通n微宏科技典型案例与价值评估40n宁波贝发n霍尼韦尔n中广核（大亚湾核电站）n北京信威通信n青岛双瑞n天綦科技n中国燃气集团n深圳捷高电子n宇龙通信n江苏飞翔化工n上海电气n科陆电子n美斯达上海医药n苏州龙盛n成都南光典型案例与价值评估41n海关总署n公安部n国家考试中心n民航总局n云南某市党政机要网n中国银行n南京市委办公厅n中国航天科技n陕西人民广播电台n中国农业银行n中国工程物理研究院n解放军二炮某研究院n海南省检验检疫局n中科院微电子所典型案例与价值评估42 Q&A Q&A43