涉密網(wǎng)行業(yè)解決方案

一、概述

隨著信息化建設(shè)的加快,企業(yè)、政府網(wǎng)絡(luò)的信息傳遞和信息共享日益頻 繁,信息安全已經(jīng)受到越來(lái)越多的重視。特別是在政府、軍隊(duì)、能源等涉及國(guó)家秘密的行業(yè),信息的安全保密顯得尤為重要。當(dāng)前,國(guó)內(nèi)很多涉密網(wǎng)存在著很大的風(fēng) 險(xiǎn)性和危險(xiǎn)性;有些涉密網(wǎng)使用的安全設(shè)備都是從國(guó)外直接引進(jìn)的,難以保證安全利用和有效監(jiān)控;有些涉密網(wǎng)雖然采取了一些安全保密技術(shù),但是從實(shí)際效果看并 不十分理想;藍(lán)屏死機(jī)、軟件不兼容、驅(qū)動(dòng)沖突、系統(tǒng)崩潰、病毒感染、黑客入侵、網(wǎng)絡(luò)濫用、非法訪問(wèn)等眾多終端問(wèn)題嚴(yán)重影響了涉密網(wǎng)的信息安全和工作效率, 在政府機(jī)關(guān)、保密部門(mén)、科研機(jī)構(gòu)、銀行與證券等單位的涉密網(wǎng)中的終端設(shè)備管理也都非常薄弱,存在很大的風(fēng)險(xiǎn)。盡管有些單位制訂嚴(yán)格的計(jì)算機(jī)管理制度,但由 于沒(méi)有相應(yīng)的技術(shù)手段和足夠的技術(shù)人員,管理策略無(wú)法有效落實(shí),再加上工作人員普遍缺乏計(jì)算機(jī)知識(shí),導(dǎo)致終端系統(tǒng)崩潰、信息泄露、黑客攻擊、蠕蟲(chóng)病毒傳播 等事件頻繁發(fā)生。


傳統(tǒng)終端管理是基于操作系統(tǒng)平臺(tái)之上的應(yīng)用程序,操作系統(tǒng)及其 他應(yīng)用程序的不穩(wěn)定使傳統(tǒng)的終端管理工具無(wú)法從根本上解決涉密網(wǎng)對(duì)網(wǎng)絡(luò)、系統(tǒng)及信息安全的高需求,目前如何從根本上解決涉密網(wǎng)的管理和安全問(wèn)題變得格外緊 迫,涉密網(wǎng)運(yùn)行中出現(xiàn)任何問(wèn)題都可能造成難以估量的損失,因此,確保其安全、穩(wěn)定、高效的運(yùn)行是十分重要的。

天正科技從當(dāng)前的網(wǎng)絡(luò)整體狀況及用戶需求出發(fā),結(jié)合自身產(chǎn)品的優(yōu)勢(shì)為涉密行業(yè)用戶提供前瞻、專業(yè)、務(wù)實(shí)的技術(shù)解決方案。

 timg.jpg

二、涉密網(wǎng)需求分析

 根據(jù)《涉密網(wǎng)保密管理制度》要求,涉密網(wǎng)的安全要從物理安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、應(yīng)用安全及管理安全等多方面進(jìn)行分析和設(shè)計(jì),涉密網(wǎng)安全保密體系框架如圖:

本方案主要從系統(tǒng)安全、網(wǎng)絡(luò)安全和應(yīng)用安全這三個(gè)方面進(jìn)行分析。

1.系統(tǒng)安全

涉密網(wǎng)在系統(tǒng)安全方面的需求通常是指網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全。目前的操作系統(tǒng)和應(yīng)用系統(tǒng)或多或少存在安全漏洞,這些安全漏洞可能造成重大安全事故。

(1)操作系統(tǒng)安全

要求采用安全性較高的網(wǎng)絡(luò)操作系統(tǒng),并且對(duì)操作系統(tǒng)進(jìn)行必要的 安全配置、確保操作系統(tǒng)能及時(shí)的進(jìn)行安全掃描和漏洞修補(bǔ)。目前的操作系統(tǒng)或應(yīng)用系統(tǒng)無(wú)論是Windows還是其它任何商用UNIX操作系統(tǒng)以及其它廠商開(kāi) 發(fā)的應(yīng)用系統(tǒng),其開(kāi)發(fā)廠商必然有其Back-Door。而且系統(tǒng)本身必定存在安全漏洞。這些"后門(mén)"或安全漏洞都將存在重大安全隱患。但是從實(shí)際應(yīng)用上, 系統(tǒng)的安全程度跟對(duì)其進(jìn)行安全配置及系統(tǒng)的應(yīng)用面有很大關(guān)系,操作系統(tǒng)如果沒(méi)有采用相應(yīng)的安全配置,則其是漏洞百出,掌握一般攻擊技術(shù)的人都可能入侵得 手。如果進(jìn)行安全配置,比如,填補(bǔ)安全漏洞,關(guān)閉一些不常用的服務(wù),禁止開(kāi)放一些不常用而又比較敏感的端口等,那么入侵者要成功進(jìn)行內(nèi)部網(wǎng)是不容易,這需 要相當(dāng)高的技術(shù)水平及相當(dāng)長(zhǎng)時(shí)間。因此應(yīng)正確估價(jià)自己的網(wǎng)絡(luò)風(fēng)險(xiǎn)并根據(jù)自己的網(wǎng)絡(luò)風(fēng)險(xiǎn)大小作出相應(yīng)的安全解決方案。

和信VEMS涉密網(wǎng)解決方案

(2)應(yīng)用系統(tǒng)安全

需要防止網(wǎng)絡(luò)系統(tǒng)遭到?jīng)]有授權(quán)訪問(wèn)及非法接入、接出;在數(shù)據(jù)安全方面機(jī)構(gòu)則需要防止機(jī)要、敏感數(shù)據(jù)被竊取或非法使用等。同時(shí)要求充分利用操作系統(tǒng)和應(yīng)用系統(tǒng)本身的日志功能,對(duì)用戶所訪問(wèn)的信息做記錄,為事后審查提供依據(jù)。

應(yīng)用系統(tǒng)的安全涉及很多方面。應(yīng)用系統(tǒng)是動(dòng)態(tài)的、不斷變化的。應(yīng)用的安全性也是動(dòng)態(tài)的。這就需要我們對(duì)不同的應(yīng)用,檢測(cè)安全漏洞,采取相應(yīng)的安全措施,降低應(yīng)用的安全風(fēng)險(xiǎn)。

總之,操作系統(tǒng)平臺(tái)和應(yīng)用程序自身都隨時(shí)存在著各種安全隱患,需要找到從根本上消除安全隱患的方法。

2.網(wǎng)絡(luò)安全

涉密網(wǎng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)主要包括以下幾種情況:

(1)涉密網(wǎng)與外網(wǎng)互聯(lián)的安全危脅;

(2)涉密網(wǎng)與單位內(nèi)網(wǎng)互聯(lián)的安全威脅;

(3)涉密網(wǎng)內(nèi)部的安全威脅。

涉密網(wǎng)一般采用物理隔離的方式將自身與單位內(nèi)網(wǎng)和外網(wǎng)隔離,所 以涉密網(wǎng)與外網(wǎng)互聯(lián)的危險(xiǎn)并不突出,關(guān)鍵在于涉密網(wǎng)內(nèi)部的安全威脅,比如內(nèi)部人員故意泄漏內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu);安全管理員有意透露其用戶名及口令;內(nèi)部不 懷好意員工編些破壞程序在內(nèi)部網(wǎng)上傳播或者內(nèi)部人員通過(guò)各種方式盜取他人涉密信息傳播出去。種種因素都將網(wǎng)絡(luò)安全構(gòu)成很的威脅。防止此類威脅的主要方式在 于:

(1)身份認(rèn)證和權(quán)限管理

采用嚴(yán)格的身份認(rèn)證和權(quán)限管理,保留了口令方式進(jìn)行身份認(rèn)證和權(quán)限管理。

針對(duì)涉密網(wǎng),口令的使用有一些嚴(yán)格的要求,比如增加口令復(fù)雜程度、不要使用與用戶身份有關(guān)的、容易猜測(cè)的信息作為口令等。

(2)信息加密及外設(shè)管控

涉密信息不保存在本地硬盤(pán)而是直接存儲(chǔ)在服務(wù)器端,并可以創(chuàng)建個(gè)人加密磁盤(pán),對(duì)涉密信息進(jìn)行加密保存,訪問(wèn)信息需認(rèn)證。限制或監(jiān)控使用USB、光驅(qū)、軟驅(qū)及打印機(jī)等外設(shè),以防止信息通過(guò)上述通道外泄。

(3)安全審計(jì)跟蹤

在涉密網(wǎng)系統(tǒng)中配置安全審計(jì)跟蹤系統(tǒng),可以跟蹤用戶的訪問(wèn)行為,并可根據(jù)需求對(duì)通信內(nèi)容進(jìn)行審計(jì),防止敏感信息的泄漏以及非法信息的傳播。

3.應(yīng)用安全

(1)共享控制

嚴(yán)格控制內(nèi)部員工對(duì)涉密網(wǎng)內(nèi)資源的共享。要求在涉密網(wǎng)中一般不要輕易開(kāi)放共享目錄,對(duì)有經(jīng)常交換信息需求的用戶,在共享時(shí)也必須加上必要的口令認(rèn)證機(jī)制。

(2)病毒防護(hù)及補(bǔ)丁升級(jí)

在傳統(tǒng)網(wǎng)絡(luò)中由于病毒的傳播難以控制,病毒一旦進(jìn)入,有可能馬 上殃及整個(gè)涉密網(wǎng),其破壞力非常巨大。另外,操作系統(tǒng)的漏洞讓各種病毒及攻擊輕易得逞,嚴(yán)重威脅網(wǎng)絡(luò)安全。因此,要求建立一個(gè)全方位的病毒防范及補(bǔ)丁管理 系統(tǒng),要求涉密網(wǎng)中的各個(gè)計(jì)算機(jī)都必須配置病毒防護(hù)系統(tǒng)并及時(shí)更新補(bǔ)丁。

 

三、傳統(tǒng)終端管理技術(shù)解決上述問(wèn)題的局限性

 防病毒軟件

防病毒軟件已經(jīng)經(jīng)過(guò)了幾十年的發(fā)展,從管理角度來(lái)看,依然還是無(wú)法解決軟件自身被隨意卸載、病毒庫(kù)沒(méi)有及時(shí)更新、無(wú)法有效遏制蠕蟲(chóng)病毒傳播。

內(nèi)網(wǎng)安全管理軟件

內(nèi)網(wǎng)安全管理系統(tǒng)無(wú)法阻止用戶自行安裝軟件導(dǎo)致出現(xiàn)的網(wǎng)絡(luò)濫用行為,也無(wú)法防止各種最新病毒木馬的侵入。同時(shí),對(duì)于操作系統(tǒng)本身出現(xiàn)的驅(qū)動(dòng)沖突更是無(wú)能為力。

桌面管理技術(shù)

桌面管理系統(tǒng)側(cè)重于對(duì)信息資產(chǎn)的管理,無(wú)法解決病毒、木馬等問(wèn)題,在終端應(yīng)用的控制方面基于規(guī)則庫(kù)進(jìn)行,很難滿足客戶個(gè)性化的需求。

NC、瘦客戶機(jī)技術(shù)

瘦客戶機(jī)使用專業(yè)嵌入式處理器、小型本地閃存的基于PC工業(yè)標(biāo)準(zhǔn)設(shè)計(jì)的小型行業(yè)專用商用PC。但瘦客戶機(jī)性能低下,通常采用精簡(jiǎn)版本的操作系統(tǒng),和人們?nèi)?常使用的計(jì)算機(jī)大不相同,無(wú)法實(shí)現(xiàn)人性化的應(yīng)用,只能適用于部分中小學(xué)教室、證券炒股終端這類對(duì)應(yīng)用要求極低的場(chǎng)合。

 

四、虛擬終端管理系統(tǒng)解決方案設(shè)計(jì)

 虛擬終端管理系統(tǒng)是上海天正科技科技有限公司基于云計(jì)算環(huán)境下全國(guó)首家推出的全新終端管理系統(tǒng),其整合最新的虛擬安全技術(shù),以終端系統(tǒng)管理為中心出發(fā)點(diǎn),從虛擬防護(hù)、桌面管理、行為控制 等多個(gè)角度構(gòu)建一套完整的終端系統(tǒng)管理體系,防御各種終端異常事件,通過(guò)技術(shù)手段全面貫徹落實(shí)各單位的終端管理策略。

1. 虛擬終端管理系統(tǒng)結(jié)構(gòu)及部署

針對(duì)涉密網(wǎng)對(duì)終端管理及安全提出的功能和性能要求,上海天正科技科技有限公司為了有效的滿足局域網(wǎng)環(huán)境下實(shí)現(xiàn)的要求,故提出以虛擬終端產(chǎn)品作為基礎(chǔ)建設(shè)安全管理系統(tǒng)的構(gòu)想,從系統(tǒng)、網(wǎng)絡(luò)及應(yīng)用安全三個(gè)方面為涉密網(wǎng)提供管理解決方案。

1.1 虛擬終端管理系統(tǒng)架構(gòu)

和信VEMS涉密網(wǎng)解決方案

虛擬終端管理系統(tǒng)分為客戶端和策略管理中心兩個(gè)部分, 其中策略管理中心為服務(wù)器端;通過(guò)建立用戶定制的操作系統(tǒng)鏡像文件及提供虛擬防護(hù)、桌面管理及行為控制等的策略管理,為客戶端提供多方面的系統(tǒng)及策略服 務(wù)??蛻舳送ㄟ^(guò)PXE網(wǎng)絡(luò)啟動(dòng)的方式通過(guò)網(wǎng)絡(luò)加載服務(wù)及信息。

  1.2 系統(tǒng)功能

  1.2.1 虛擬防護(hù):

  –  遠(yuǎn)程虛擬化管理

  –  網(wǎng)關(guān)控制

  –  病毒庫(kù)同步

  –  防ARP欺騙

  –  惡意網(wǎng)站防護(hù)

  –  驅(qū)動(dòng)防火墻

  –  個(gè)性化安全磁盤(pán)

  1.2.2 桌面管理

  –  資產(chǎn)管理

  –  補(bǔ)丁管理

  –  軟件群發(fā)

  –  遠(yuǎn)程支持

  1.2.3 行為控制

  –  外設(shè)控制

  –  應(yīng)用軟件控制

  –  上網(wǎng)監(jiān)控

  –  行為監(jiān)控

1.3 部署方式

虛擬終端管理系統(tǒng)安裝部署非常簡(jiǎn)單方便,只需要在服務(wù)器上安裝好服務(wù)器端程序,建立用戶定制的操作系統(tǒng)鏡像文件,然后將所有客戶機(jī)的開(kāi)機(jī)啟動(dòng)順序改為從網(wǎng)絡(luò)啟動(dòng)即可管理,不需要逐一安裝客戶端代理軟件。

WSMS是微軟公司用于解決終端計(jì)算機(jī)自動(dòng)升級(jí)問(wèn)題的軟件,然而在實(shí)際使用過(guò)程中,終端計(jì)算機(jī)使用者總是由于操作不當(dāng)?shù)榷喾N原因無(wú)法保持操作系統(tǒng)始終處于最新補(bǔ)丁狀態(tài)。在計(jì)算機(jī)數(shù)量眾多的單位,信息技術(shù)人員也無(wú)法及時(shí)發(fā)現(xiàn)。

現(xiàn)有和終端管理相關(guān)的技術(shù)都只解決了終端問(wèn)題的一部分,導(dǎo)致許多單位花費(fèi)大量資金購(gòu)買了各種終端管理設(shè)備進(jìn)行部署。但由于各軟件之間無(wú)法很好的兼容整合,終端管理問(wèn)題始終是信息化建設(shè)中的最大的風(fēng)險(xiǎn)因素。