《2022年文件加密功能列表参考 .pdf》由会员分享,可在线阅读,更多相关《2022年文件加密功能列表参考 .pdf(11页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Chinasec 可信网络安全平台功能列表1 管理和监控功能1.1.客户端实时监控实时远程监视和控制客户端计算机的运行状态,包括:进程、服务、驱动、安装程序、网络连接状态、用户和用户组、共享目录、设备管理器等;远程控制客户端计算机(类似PcAnyWhere);查看客户端当前屏幕,定时进行屏幕记录。1.2.软件控制1.2.1.软件使用授权控制用户可以使用的软件,并可以限制只能使用某种软件的特定版本。比如:禁止使用QQ;禁止使用 6.0 以外的 ProE 版本。1.2.2.软件(文件)分发统一下发应用程序、系统补丁、文档等。预先指定需要接收的客户端(组),接收方自动从服务器下载,并在下载完成后提醒
2、用户安装或后台强制安装。1.2.3.软件使用审计对客户端安装的软件信息进行汇总,提供审计报表。对客户端软件的安装和卸载情况进行记录,提供审计报表。名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页,共 11 页 -1.3.外设控制1.3.1.外设使用授权对外设端口设备使用进行授权。端口设备包括USB 存储设备、USB 普通设备、红外、串口、并口、蓝牙、键盘鼠标、光驱、软驱和1394 口等。授权方式为禁用或启用,可以根据在线离线状态分别授权。注:可以根据同类设备的不同型号分别授权,比如只允许使用某种打印机而不能使用其他打印机。1.3.2.打印记录审计记录客户端打印行为,包括打印文件名、打印
3、人、打印时间、打印内容 等。打印内容根据打印机不同会生成不同格式,使用第三方查看工具进行查看。1.3.3.刻录机控制可以控制刻录机能否使用,或者只能读盘不能刻盘。1.3.4.硬件资产审计对客户端的硬件信息进行汇总(包括 CPU、内存、硬盘、网卡、声卡、显卡、光驱、Modem、鼠标、键盘等),提供审计报表。比如:共有硬盘多少个,其中40G 硬盘多少,80G 硬盘多少,可以通过图形形象显示。对客户端的硬件变更信息进行记录,提供审计报表。比如:客户端更换了网卡,减少了内存等等。名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页,共 11 页 -1.4.网络控制1.4.1.IP 与端口控制类似个
4、人防火墙功能。管理员统一制定策略。比如禁止客户端对80 端口的访问,或者禁止客户端开放445 端口。1.4.2.IP 地址绑定客户端的IP 和 GUID(安装时自动生成的数字,标识客户端身份)绑定,禁止随便修改IP。1.4.3.网址访问控制设定客户端可以访问的网站黑白名单,对访问网址记录进行审计。1.4.4.FTP 控制设定客户端可以访问的FTP 站点黑白名单,对 FTP 访问记录和上传下载的文件名进行审计。可以将客户端访问FTP 的帐号/密码和 GUID 绑定,禁止越权访问FTP。1.4.5.非法接入阻断未安装客户端的计算机试图接入内网中时,将受到客户端发起的网络攻击,无法连入内网。2 数据
5、保密功能Chinasec 可信网络安全平台的数据保密功能以”介质保密”为核心,文档加密为辅助,对内网中的数据流进行控制。“介质保密”指的是通过对数据存储,交互时使用的硬盘、U 盘、网络、邮件等承载数据的介质进行加密和控制,达到高安全级别的数据保密效果,同时不依赖于用户使用的应用系统,文件类型,易用性、兼容性和通用性好。名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页,共 11 页 -2.1.移动存储设备管理2.1.1.移动存储设备保密管理管理员可以设定U 盘和客户端计算机(组)之间的对应使用策略。策略分为禁用、只读、和加密读写三种。比如设定某个U 盘只能在某个客户端计算机组内加密读写,
6、则该组内的计算机可以正常使用该 U 盘,但是任何写入U 盘的文件后台自动加密,组外(包括内网之外)的计算机无法从U盘上获取文件。又比如设定某个U 盘是对外的U 盘,则该U 盘可以从任何一台计算机上拷贝明文数据。总之,U 盘和客户端计算机(组)之间的使用关系可以根据实际需求灵活设定。2.1.2.移动存储设备使用审计管理员可以对所有内网中的U 盘进行登记,注册,和注销。系统自动跟踪并记录U 盘的详细使用日志,包括U 盘的插入/拔出操作,拷入或拷出的文件记录。2.2.邮件保密管理2.2.1.邮件发送(SMTP)授权授权客户端可以发送的SMTP 邮件地址黑白名单。比如设定*wonder-(公司邮箱)的
7、白名单,则用户只能向公司邮箱发送邮件。2.2.2.邮件收发(SMTP 和 POP3)审计对客户端收发的所有邮件进行记录,包括正文和附件内容。审计记录自动上传到服务器,管理员可以随时查看。名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页,共 11 页 -2.2.3.Web 文件提交授权和审计对客户端的Web 文件提交(包括通过Web 邮件发送附件,OA 系统提交文件等)进行授权,并进行记录。2.2.4.邮件(附件)智能加密客户端向特定邮件地址发送的邮件,附件自动加密。比如设定*wonder-(公司邮箱),则发送到公司邮箱的邮件,附件(包括SMTP附件和Web附件)自动加密。公司内部任意一
8、台客户端计算机登录公司邮箱接受加密邮件时,后台会自动解密,使用者无需进行任何额外操作。非客户端计算机不能解密加密后的附件。如有需要,比如合作伙伴之间的邮件交流,可向管理员提出申请,批准后从管理员处获取解密程序,从而将邮件解密。解密程序初次使用时需要输入注册码,同样从管理员处获取。管理员根据申请人的情况给予其相应的使用时间(比如1 个月),生成注册码。申请人使用加密程序超过授权时间后,需要重新向管理员申请新的注册码。2.3.网络保密除了网络控制和邮件保密管理外,Chinasec 可信网络安全还提供两个独特的对网络数据进行保密的功能。2.3.1.内部网络传输加密对内网客户端之间的网络传输通道进行加
9、密,从而达到以下的目的:1)从根本上防止任何形式的非法外联和非法接入,因为所有的网络传输数据都是加密的,非客户端无法和客户端之间建立任何连接;2)防止 Sniffer 等软件进行嗅探。加密在客户端系统底层进行,针对所有的IP 数据包,对用户的网络使用完全透明,经优化后对网络传输性能几乎没有影响。加密可以根据部门的不同使用的密钥,隔离不同部门之间的网络通讯。名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页,共 11 页 -该功能适合于对保密要求较高的用户。2.3.2.文件防外发通过限制客户端外发数据的大小,起到在不禁止用户正常上网的情况下防止用户网络泄密的作用。具体功能如下:客户端计算机
10、可以自由的上网、聊天、下载文件,使用任何网络应用程序,但是不能通过任何方式外发文件,包括邮件、Web 上传、QQ、MSN、共享、FTP、网络硬盘等各种文件传送方式,即网络数据“能进不能出“。管理员可以将此功能和网络邮件保密功能结合使用,开放出受控的邮件通道。2.4.硬盘保密硬盘上存储的重要数据是否强制保密是衡量一个安全系统是否真正安全的标准。否则,使用者可以简单通过重装操作系统或者将硬盘外接等手段,绕过所有控制,窃取数据。2.4.1.本地硬盘加密对客户端硬盘的分区(C 盘和系统所在的分区除外)进行加密。所有写入加密分区的数据在磁盘扇区层进行加密处理。用户正常使用时感觉不到任何变化,但如果将硬盘
11、窃取外接或者重装操作系统,加密分区的数据无法正常读取。2.4.2.系统盘保护系统盘(通常是C 盘)加密将会给用户的正常使用带来不变,因此,对于系统盘,Chinasec采用了类似硬盘还原卡的保护功能。即用户可以向系统盘写入数据,但是重启后新写入的数据自动消失,系统盘始终保持最初的状态。该功能完全通过软件实现。用户如果必须在系统盘安装软件,需要经过管理员的批准,开放系统盘写权限。2.4.3.备注1)关于硬盘数据加密后的恢复问题名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页,共 11 页 -客户端计算机如果操作系统崩溃,必须要重装操作系统,则重装后加密分区数据将无法读取,此时,只需要重新安
12、装客户端,并经过管理员批准,将原客户端节点信息通过控制台推送到客户端,加密分区数据即可正常使用。为了确保硬盘数据加密后可以恢复,服务器,客户端注册表和硬盘隐藏扇区内均有加密密钥的备份。只要硬盘数据本身没有损坏,数据均可恢复。2)对于硬盘加密的误解硬盘加密指的是对硬盘存储的数据进行加密,目的是防止使用者通过重装操作系统或者将硬盘外接的手段,绕过所有控制,窃取数据。数据一旦从读取到内存中,均会自动解成明文。不能防止使用者通过U 盘或者网络等方式泄密,需要通过其他保密功能来进行控制。2.5.文档加密前面提到,Chinasec 可信网络安全平台的核心数据保密功能都是以“介质”为单位,在数据流通的“出入
13、口”处进行控制,不针对具体的文件类型。同时,这些保密功能均由管理员制定策略强制下发,客户端用户无法抗拒。Chinasec 可信网络安全平台也提供客户端主动发起的对文件加密的功能,帮助用户安全存储和传输重要文档。2.5.1.安全磁盘客户端用户可以在本机建立多个虚拟的保密磁盘,使用方法和普通磁盘完全相同,但是存储在这些保密磁盘中的数据是完全加密的,只有使用创建保密磁盘时使用的用户名/密码或者USB 令牌才能打开。虚拟的安全磁盘是一个文件,用户在更换计算机或者出差的时候,可以将该磁盘文件带走,在别的计算机系统只要使用自己的令牌,一样可以打开使用,携带方便。2.5.2.文档加密授权客户端用户可以手动对
14、重要文档进行加密,并指定一个或多个接收者,只有指定的接收者使用自己的用户名/密码或者USB 令牌才能正确解密文件。其他任何没有权限的人获取该文件,都将无法获得有效的信息。名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页,共 11 页 -加密文件的创建者还可以设定接收者对于文件二次传播的权限,比如禁止另存,禁止复制粘贴,禁止拷屏等。该功能为用户提供了一种文件安全传递和外发的方法,防止文件在传播过程中引起泄密。2.6.服务器保护使用安全网关(硬件设备),提供通用的对重要数据和应用服务器的保护功能。安全网关是一台二层设备,位于服务器和内网之间,对访问服务器的数据包进行检查,确认是管理员授权的
15、客户端发出的数据包后,才允许通过。同时,对客户端和安全网关之间的网络信道进行加密。服务器系统不需要进行任何改动2.7.VCN 和 DMS Chinasec 根据政府和企业的不同需求,将以上的数据保密功能进行有机组合,并设定特定的策略模板,提供基本的解决方案模型,分别称为VCN(虚拟安全域)和DMS(可信数据管理系统)。VCN 突出的是“分域分级”的思想。通过提供“虚拟安全域“的策略模板,结合移动存储设备管理,网络保密和硬盘保密的功能,使得内网所有数据只能在受限的范围内流通。DMS 突出的是“一机两用“的思想,提供”工作模式“的策略模板,使得企业员工在计算机上同时存储私人数据和工作数据,又能够达
16、到数据保密的效果。VCN 和 DMS 都使用了上述的数据保密功能,只不过组合的方式不同,提供的策略模板不同。VCN 的策略体系比较固化,客户端计算机上的所有分区全部加密,同时一台计算机只能加入一个“虚拟安全域“,用户对系统盘的任何写入操作(比如安装软件)均需要得到管理员的批准,管理严格而简单。DMS 的策略体系比较灵活,客户端计算机上可以同时存在存储工作数据的加密分区和存储应用软件及私人数据的普通分区。同时,一台计算机可以进入多个工作模式,管理比较灵活。从以上对比看出,VCN 和 DMS 的根本区别在于设计理念不同,策略体系不同,可以根据用户的实际需求推荐使用。名师资料总结-精品资料欢迎下载-
17、名师精心整理-第 8 页,共 11 页 -3 身份认证功能Chinasec 内网安全体系的核心思想可以描述成“什么人在什么计算机上可以干什么“。身份认证功能实现的是第一步,对计算机的使用者进行身份确认。3.1.身份识别对计算机使用者进行身份识别的依据有两种:硬件USB 令牌和用户名/密码。硬件USB 令牌是一个内置智能芯片的硬件设备,包含了数字证书相关的密码算法,用于作为每个用户的标识,并且可心使用PIN 吗进行双重保护,兼容X.509 数字证书,具有很高的身份安全性。用户名/密码由 Chinasec 系统管理员统一创建并下发。3.2.令牌用户集中管理/认证单位中每个需要使用计算机的人员,都发
18、放一个代表数字身份的硬件USB 令牌,在打开计算机登录操作系统之前,需要将该令牌插入计算机USB 端口;TIS 系统客户端代理会自动启动跟 TIS 服务器的认证过程,通过令牌的信息跟服务器进行交互认证,认证通过后,服务器告知客户端代理开始运行,用户才能登录进入Windows 操作系统。3.3.客户端计算机登录权限控制管理员可以设定某个用户能够使用哪些计算机,也可以设定某台计算机只允许指定的一个或者多个用户使用。没有授权的用户,在使用自己令牌登录计算机的时候,将不能通过认证,从而不能进入该计算机的操作系统使用。用户令牌还具有离线锁定的功能,即一旦使用者要离开计算机一段时间,为了防止其他人在此期间
19、使用自己的计算机,可以将令牌拔出带走,这时候计算机就自动进入锁定作态,只有使用者再次将自己的令牌插入该计算机,才能够解锁。3.4.服务器访问授权配合安全网关的使用,管理员可以指定每个用户能够访问单位内部哪些特定的应用服务名师资料总结-精品资料欢迎下载-名师精心整理-第 9 页,共 11 页 -器,或者指定某台服务器只能授权哪些用户使用。这些用户访问这些服务器之前,都需要通过服务器的统一认证,获得授权。3.5.与监控、保密系统的结合使用使用身份认证功能以后,监控和保密功能的策略可以下发到用户。比如:可以设定一般员工只能使用自己的计算机,不能打印,不能使用光驱,高级别的管理人员可以使用任何人的计算
20、机,打印和使用光驱。管理策略可以跟随用户身份在内网中“漫游“,而不是固定在每台计算机上。4 系统自身管理功能4.1.服务器双机热备在大型网络中,服务器的不间断服务能力显得尤其重要,Chinasec 提供了服务器双机热备模块作为Chinasec 可信网络安全平台持续服务能力的保障措施。Chinasec 服务器双机热备模块要求部署两天服务器,一台为主服务器,一台为从服务器,同时只能有一台服务器处于工作状态,另外一台服务器处于休眠状态。主服务器和从服务器之间保持状态通信,一旦主服务器崩溃,备份服务器会自动从休眠状态转入工作状态,对客户端提供服务,从而确保了Chinasec 可信网络安全平台持续的服务
21、能力。4.2.服务器负载均衡对于大型的信息网络,单台服务器的负载能力是不够,Chinasec 可信网络安全平台提供了负载均衡模块,用于支持大型或者超大型用户网络的需求。负载均衡服务器可以部署两台或者多台,根据用户数量而定。在所有的负载均衡服务器中,需要设定一个主服务器,作为管理的主要服务器,其他服务器都作为从服务器接收主服务器的统一调度和管理,主服务器根据各个服务器的负载情况进行客户端的分配。主服务器如果发生故障,其他从服务器依然可以保持正常的服务,但是增加和删除客户端或者用户账号等管理操作将暂时不能执行,直到主服务器修复或者管理员重新指定一个从服务器作为主服务器。从这个意义上说,负载均衡模块
22、同样具有热备的功能。负载均衡服务器的部署可以分为两种方式,一种是集中式部署,一种是分布式部署。集中名师资料总结-精品资料欢迎下载-名师精心整理-第 10 页,共 11 页 -式部署适用于区域集中或者网络通信有良好保障的网络,服务器群集中部署在总部。分布式部署适用于物理区域分散或者多级的网络,如省、市、县部署的方式,分布式部署的情况下,可以将主服务器部署在总部,其他各个地方分别放置一个从服务器,在这种部署结构中,即使下级网络和上级网络的网络线路发生中断,下级网络中Chinasec 可信网络安全平台依然可以通过从服务器提供持续的服务能力。结合Chinasec 网络安全平台的分级管理模块,就可以实现
23、多级部署和分级管理。4.3.服务器分级管理在大型网络中部署Chinasec 可信网络安全平台,单个管理员管理成千上百台计算机和用户显然是不可能的,必须要具备灵活的授权管理机制和分级管理机制。Chinasec 可信网络安全平台服务器分级管理模块提供了分级管理的支持。分级管理模块安装后,系统的超级管理员可以将具体每个分组或者用户组的管理权限下放给一个普通的用户(该用户必须使用USB 令牌做认证),该普通用户可以其权限范围内的用户和计算机进行管理,并且可以通过进一步划分用户组和计算机组,将权限再下放给具体的用户,从而实现层层分级管理,灵活地适应各种复杂管理模型的需要。4.4.实时监视器为了确保对整个
24、网络的实时监视,Chinasec 可信网络安全平台提供了实时监视器。通过实时监视器,管理员可以在不登录管理控制台的情况下,实时接收Chinasec 可信网络安全平台各个系统的实时状态信息,这些信息包括:普通日志信息,包括用户登录、文件日志和其他日志信息;违规记录,违反管理员制定的管理规则的记录;变更记录,包括硬件设备变更和软件变更等信息。实时监视器的输出信息分为日志、警告和报警三个级别,其中,违规记录是默认的报警信息,而设备变更等可以根据管理员需要是否设定为报警级别,设定为报警的时候,可以发出报警声音。实时监视器还可以指定管理计算机的范围,在一般情况下,依据上级管理员的设定(详见分级管理部分),管理员只能接收到自己管理权限内的计算机实时信息。名师资料总结-精品资料欢迎下载-名师精心整理-第 11 页,共 11 页 -