以下的文章主要描述的是中軟信息安全和保密的破解方案，其中也有對系統需求，中軟防水墻系統介紹，用中軟防水墻系統構筑信息安全保密解決方案，等內容的介紹，望大家會對其有更好的收獲。

中軟信息安全與保密解決方案

一、概述

防火墻、IDS、內外網隔離以及其它針對外部網絡的訪問控制系統，可有效防范來自網絡外部的進攻，但對于企業內部的信息保密問題，卻一直沒有好的防范方法：內部人員可以輕松地將計算機中的機密信息通過網絡、存儲介質和打印等方式泄露出去。

一旦這些敏感信息、重要數據、設計圖紙等流失到敵對勢力、競爭對手手中，將給國家、企、事業單位造成重大損失。政府機關、承擔國家敏感課題的科研部門，包括涉及更多的國家機密，對于涉密信息采取嚴密的防護措施顯得非常必要。

目前，盡管國家制定了很多相關規章制度，并明確規定這些企事業單位的涉密計算機必須采取相應的安全防護措施，但是為了保障內部信息的安全，僅靠傳統的行政管理措施已不能滿足要求，必須依靠一些技術手段。本文重點介紹，如何應用中軟防水墻系統構造“防止信息泄露，保障信息安全”的整體解決方案。

二、系統需求

信息保密是保障國民經濟發展的重要保證。為保障我國電子政務、武器裝備、科研生產單位的信息安全，國家制定了相關規章制度，從不同方面保障通信、計算機信息系統及辦公自動化設備的安全，其中主要部分明確規定：

1、禁止使用涉密計算機上國際互聯網或者其它非涉密信息系統，禁止在非涉密計算機

上處理涉密信息;

2、禁止將涉密存儲介質接入或安裝在非涉密計算機上;

3、涉密信息應具備相應的密級標識;

4、涉密計算機應具備符合要求的身份鑒別機制、安全訪問控制機制和安全審計機制;

5、涉密計算機應具備違規外聯監控機制。

為滿足國家規定的各種保密要求，各單位僅靠傳統的保密措施，顯得捉襟見肘，迫切需要選用一個功能強大、運行穩定的安全軟件系統。技術手段在現代化的保密工作中扮演著越來越重要的角色。

三、中軟防水墻系統介紹

“中軟防水墻WaterBox”是防止內部信息外泄的安全系統。它從內部安全體系架構和網絡管理層面上，實現了內部安全的***統一，有效降低“堡壘從內部攻破”的可能性。防水墻系統是綜合利用密碼、身份認證、訪問控制和審計跟蹤等技術手段，對涉密信息、重要業務數據和技術專利等敏感信息的存儲、傳播和處理過程實施安全保護，***限度地防止敏感信息的泄漏、被破壞和違規外傳，并完整記錄涉及敏感信息的操作日志以便事后審計和追究泄密責任。

1、體系結構

完整的防水墻系統由三部分組成，防水墻服務器(WaterBox Server)、防水墻控制臺(WaterBox Console)和防水墻客戶端(WaterBox Watcher)。

(1)防水墻服務器。包括服務器端軟件和支持數據庫，是防水墻系統的核心部分。通過安全認證機制，建立與多個客戶端(受控制的個人計算機)系統的連接，實現對多個客戶端系統的配置、策略制定、資產管理、操作審計等功能。

(2)防水墻控制臺。它是系統管理員、操作員、審計員等和防水墻系統交互的圖形界面，實現系統管理、參數配置、策略管理和系統審計等功能?？刂婆_采用分權分級的授權模式，嚴格限制對敏感信息的訪問權限，以提高系統的安全性，保證信息安全。

(3)防水墻客戶端。它是安裝于受監控主機上的監測軟件，是站在客戶機旁邊的“安

全哨兵”。它強制執行來自服務器的安全策略，根據安全策略監測客戶端用戶的行為?？蛻舳塑浖捎昧藝烂艽胧?，防止本地用戶自行卸載、關閉監控程序。

其中，防水墻控制臺和客戶端軟件，可從服務器端獲得***版本，實現遠程自動升

級。

2、防水墻系統設計理念

防水墻系統的設計理念是保護用戶敏感信息不被非法外傳、防止泄密事件發生，從而保證內部安全。它主要從以下五個方面來保障內網安全：

(1)失泄密防護：信息外傳途徑主要有網絡傳輸、移動存儲帶出和打印到紙介質文稿三種情況。防水墻系統針對這三種泄密途徑都做了全面的防護，可以根據實際情況選擇啟用或禁用，還可選記錄日志以備事后追蹤。另外，防水墻系統還能夠根據策略“啟用”和“禁用”主機上可能造成泄密的外設接口，作為實施失泄密防護在硬件層次上的輔助手段。

(2)文件安全服務：文件安全服務提供了對敏感文件的加解密安全防護，充分利用對稱和非對稱算法的優點對文件和密鑰進行管理。為了保證敏感信息不被非法解讀，防水墻系統使用了加密域的概念。加密域是一組防水墻系統用戶的組合，每個文件在加密時均選擇加密域，只有處于選擇的域內的用戶才能進行解密閱讀。有效地防止了文件在傳輸途中可能造成的泄密，也防止了電腦丟失可能做成的泄密事件的發生。

(3)運行狀況監測：對受控主機，監控其歷史運行狀況。包括：用戶刪除文件、系統服務，屏幕截取等記錄，方便系統管理員查看管理。是計算機安全保密的有效措施之一。

(4)系統資源管理：系統資源管理功能用于收集受控主機上的軟硬件信息，并上傳至服務器作為初始資源信息備份。系統管理人員可以隨時獲得所管理部門的主機的系統資源信息。完整的系統資源管理信息包括：系統信息、硬件信息、用戶和組等信息。

(5)擴展身份認證：接管身份認證。如果接管Windows身份認證，只需輸入合法的防水墻用戶名和口令即可登錄Windows系統。#p#

四、用中軟防水墻系統構筑信息安全保密解決方案

利用中軟防水墻系統的主要功能，對系統內部進行如下幾方面防護，可以***限度的保障系統的安全。

1、身份驗證機制：用戶身份的鑒別和防護，是保證計算機系統安全的***道防線，眾多失泄密事件都是由于用戶身份認證的不嚴格而引起的。

防水墻系統提供了自身的身份驗證系統，用戶要登錄到防水墻客戶端時，除需要提供操作系統用戶名和口令外，還需要提供防水墻用戶名和口令，用戶口令長度為8位以上的數字和字母組合，保證了口令的可靠性，同時口令的驗證與存放均使用哈希函數中的MD5算法，有效防止被暴力破解。

與此同時，防水墻系統還提供了完善的對外接口，可與第三方廠商的加解密體系進行緊密接合，盡***可能保障用戶信息的安全。如：與上海格爾的身份識別系統的結合，利用格爾網盾IC卡身份認證系統增強防水墻身份認證體系;與衛士通公司的“一Key通”身份認證系統的結合;等等。

2、訪問控制體系：完善的完全體系應包括控制單位內部員工的訪問操作，即采取主動的方式，盡可能多的封鎖住各種可能造成失泄密的渠道，防止由于內部員工的有意或無意的操作，造成泄密事件的發生。

防水墻系統提供了三種訪問控制體系，基本涵蓋可能造成泄密的各種途徑：

(1)網絡訪問控制：可以有效的控制終端用戶的網頁瀏覽、網上文件上傳下載、Email控制、Modem撥號、Telnet、網絡共享等網絡操作。

(2)接口控制：可對計算機的USB接口、1394接口、串口、并口等10種外設接口進行控制，使終端用戶無法使用相應接口的硬件設備，所控制的10種接口基本涵蓋所有可能造成失泄密的情況。

(3)打印機控制：對系統內部用戶使用打印機進行控制，可根據需要設定禁止使用、自由使用記錄日志、自由使用記錄影像等不同程度的策略。

3、“非法外聯”控制。不難看出，通過上面討論的“網絡訪問控制”和“接口控制”，可以嚴密防止單位內部“非法外聯”情況的發生。因為通過禁止網絡訪問或通過禁止可能訪問網絡的外設接口，就有效地控制了“非法外聯”。

4、設備密級標識。信息是分密級的。在一個合格的安全體系中，不同密級的信息必須保存在不同的位置或不同的存儲介質上，這樣可以***限度保障信息的安全。為此，需要將網絡體系中所有的計算機系統、可移動介質設置為不同的密級，用以存放相應密級的數據，只有具備相關權限的人員才能對涉密信息進行訪問。

防水墻系統提供專門的授權模塊，對計算機終端或移動存儲介質等設定相應的密級標識。不同密級的計算機執行不同密級的策略，接受不同程度的管理監控。在防水墻系統中，密級標識從低到高級分別為：普通、秘密、機密、絕密。而密級標識本身使用加密等措施進行有效存儲。

5、動存儲介質的有效管理。存儲介質(如USB盤、移動硬盤等)作為企業核心機密和

敏感信息的載體，實現對它們安全、有效的管理是保證企業信息安全的重要手段。防水墻系統提供了可信移動存儲介質管理功能，通過將移動存儲介質劃分密級、加密存儲等技術手段，可以有效防止移動存儲介質在計算機上跨密級使用?？尚乓苿哟鎯芾砉δ苁菍υO備密級標識的充分應用，防水墻系統的可信移動存儲功能中的密級訪問控制包括：

(1)高密級移動存儲介質不能在低密或者普通計算機上使用;

(2)涉密移動存儲介質不能在非涉密計算機上使用

(3)低密級移動存儲不能(或者只讀)在高密級計算機上使用

(4)非授權的移動存儲介質不能在涉密計算機上使用(

(5)即使密級相同，也只能在用戶或者計算機得到許可的情況下才能夠使用

防水墻系統中的“可信移動存儲介質管理系統”充分利用信息保密、訪問控制、審計等技術手段，對企業移動存儲設備實施安全保護，使企業信息資產、涉密信息不能通過移動存儲設備非法泄漏，用技術的手段，真正實現移動存儲設備信息安全的“五不”原則，即：進不來、拿不走、讀不懂、改不了、走不脫。

“進不來”，是指外部的移動存儲介質拿到單位內部來不能用;“拿不走”是指單位內部的存儲介質拿出去使不了;“讀不懂”是指只有授權的人才能解密閱讀，任何未經授權的人大不開其中的文件，這意味著即使存儲介質丟失也不會造成泄密;“改不了”是指其中的信息篡改不了;“走不脫”是指系統具有事后審計功能，對違反策略的行為和事件可以跟蹤審計。

6、安全審計。防水墻系統具有“事前預防、事中控制、事后審計”三大特征，在信息保密的各個階段實施對敏感信息的強有力的保護。防水墻系統提供的“黑匣子”和“審計平臺”，能夠快速對出現的安全事件進行審計。

所謂“黑匣子”，是指安裝于防水墻客戶端、用于記錄用戶操作的加密文件系統，假如發生泄密事件，具有“安全官”(系統***使用權限，如保密委員會授權的人員)權限的用戶可以從控制臺導入泄密主機“黑匣子”，使用防水墻黑匣子分析儀對其進行分析，以追究泄密責任。審計平臺主要針對歷史性的數據庫備份文件和日志文件進行對應審計，進行更全面的問題追責。

從上面的介紹可以看出，防水墻系統的受控主機集合構成了一個相對獨立的“內部安全體系”，有時我們也稱其為“防水墻系統安全域”。域內的主機是受到防水墻策略的嚴格控制的，這些主機的用戶行為是受到監控的，其泄密后果是可以追查和審計的。

7.非法主機控制。以上六種防護措施均是針對“防水墻安全域”內部用戶的。對于接入到“防水墻安全域”中的外部主機(如用戶很容易地將筆記本電腦接入到“防水墻安全域”中)如果它沒有安裝防水墻客戶端軟件，不能接受防水墻系統的監控，會對企業的安全體系造成破壞，造成失泄密事件的發生。

防水墻系統的“網絡巡邏員”可以對連接到網絡中沒有安裝防水墻的“非法”主機進行檢測，及時報告非法主機的接入，并可根據策略對其進行報警與阻斷。

五、結束語

防水墻系統是目前國內市場中一款非常成熟的內網安全管理系統，政府機關、軍工企業、涉密的企、事業單位，通過應用部署該系統，能很好的滿足內網安全防護的需要，切實降低信息泄密的風險，同時提高了單位的工作效率，具有良好的應用效果。目前上千家用戶的實踐經驗表明：基于防水墻系統構筑信息保密安全體系和解決方案，是切實可行的，是新時期保密工作的有力武器。

【編輯推薦】

1. 用高科技武裝保密工作
2. 全國人大通過保密法 網絡運營商應配合泄密調查
3. 蘋果保密工作太差 新一代iPod又被泄露
4. 在CentOS系統為自己保密
5. 百思買披露Win7售前保密措施：偷跑1套罰5000