平台名稱
平台簡介
可信網路安全平台
中安源可信網路安全平台是一款基於區域網路安全和可信計算理論研發的安全管理產品,以密碼技術為支撐,以數據安全為核心,以身份認證為基礎,可靈活全面地定製並實施安全策略,實現對區域網路中用戶、計算機和信息的安全管理,達到有效的用戶身份管理、計算機設備管理、數據安全保密存儲和防止機密信息泄漏等目標。
中安源可信網路安全平台採用C/S模式,由三個系統組成,分別是中安源可信網路認證系統、中安源可信網路保密系統和中安源可信網路監控系統。這三個系統既可以單獨使用,也可以聯合使用,非常方便,根據用戶的需要進行靈活的組合。
中安源可信網路安全平台三個系統的聯合使用,通過主動加密、事前控制、事中監視、事後審計四種手段相結合,可以達到外部入侵進不來、非法外接出不去、內外勾結拿不走、拿走東西看不懂的效果,有效防止機密敏感信息的泄漏。
中安源可信網路安全平台已經通過國家保密局和中辦機要局等相關機構的評審認定,並在雲南省玉溪市機要政務網等單位成功實施,效果良好。
認證系統
中安源可信網路認證系統是一個基於PKI技術和公開密鑰技術實現的網路資源認證系統統一,這裡所指的網路資源包括計算機、OA伺服器、FTP伺服器和Mail伺服器等內部的服務資源。
中安源可信網路認證系統通過接管Windows作業系統的認證模組,對客戶端登入計算機進行強制性認證,使得只有合法的通過認證的用戶才能使用計算機和訪問網路內部的公共服務資源,達到對計算機和服務資源統一有效控制的目的。
中安源可信網路認證系統由認證伺服器、客戶端認證代理、管理控制台、認證網關和USB Key令牌組成。
所有的用戶通過管理員都會獲得一個經過在認證伺服器註冊的USB Key硬體令牌,該令牌內置算法晶片,並且提供用戶可修改的PIN碼保護,從而實現了高強度的雙因素身份認證。用戶插入令牌的時候,認證代理會發起認證過程,當認證通過後,用戶被允許進入作業系統,並獲得其相應的訪問各個資源提供伺服器的許可權,從而實現了單點登入。認證過程簡單描述如下:
1) 認證代理產生一個隨機數Rap,使用伺服器的公鑰Psg加密,得到加密的隨機數Rae,並將Rae跟其它用戶USB Key的ID信息一起發給伺服器;
2) 伺服器使用自己的私鑰Pss解密Rae,得到解密的隨機數Rad,同時產生一個新的隨機數RBP,並使用用戶發來的USB Key ID對應的公鑰Pcg加密,得到加密隨機數Rbe,然後將Rad和Rbe一起發回給客戶端認證代理;
3) 客戶端認證代理對比Rad和Rap,如果不一致,證明伺服器是非法的,認證失敗;如果一致,客戶端認證代理繼續使用USB Key的私鑰Pcs解密Rbe,得到Rbd,並將Rbd發回給伺服器;
4) 伺服器接受到Rbd,對比Rbd和Rbp,如果不一致,認證失敗;如果一致,認證通過,取得該客戶ID的相關許可權,並發回給客戶端認證代理,完成認證過程,客戶可以進入作業系統,並獲得相應的伺服器資源訪問許可權。
此外,每個用戶還可以在本地創建一個或者多個安全保密磁碟,磁碟的操作跟普通磁碟一樣,但是保存在磁碟中的檔案都是加密的,而且只有該用戶自己才能夠打開,這主要是因為磁碟加密的主密鑰是保存在硬體的USB Key裡面,並且每個Key的密鑰都是不同。為了保證因為Key丟失可能帶來的數據丟失,每個USB Key在伺服器還保留了可以恢復的備份數據。
系統功能
總得來說,通過公開密鑰算法、作業系統登入認證系統的接管以及認證網關的相互作用,中安源可信網路認證系統可以實現以下的功能:
1) 基於硬體USB令牌提供用戶的真實身份;
2) 支持數字證書;
3) 基於物理參數特徵提供計算機的真實身份;
4) 計算機和信息服務資源進行統一集中的授權;
5) 基於USB Key令牌技術,用戶只需登入一次即可;
6) 離機鎖定,用戶令牌拔出計算機即鎖定;
7) 按需創建虛擬的私人安全保密磁碟。
可信網路保密系統
中安源可信網路保密系統是基於密碼技術、網路驅動技術和系統檔案核心驅動技術,針對內部網路和主機信息保密開發的系統。可信網路保密系統針對數據交換的最常用的兩個途徑,即網路和存儲設備進行了保密措施加固,並結合靈活的管理功能,達到了網路保密的效果,防止機密信息從網路途徑或者存儲設備的途徑泄漏出去。這裡的存儲設備,包括移動硬碟、固定硬碟、隨身碟和軟碟等。
中安源可信網路保密系統由伺服器、管理控制台、轉發網關、安全網關和客戶端保密代理組成。
技術特點
中安源可信網路保密系統通過對IP層數據包的改造和特殊保密格式的封裝,實現了網路途徑的保密,其主要技術關鍵點如下:
1) 客戶端保密代理對所有IP包採用特殊格式進行封裝,然後才傳送到網路中進行傳輸;
2) 同一個虛擬保密子網(VCN)直接的計算機客戶端保密代理共享一個數據包格式封裝變換隨機數,從而使得同一個VCN的計算機相互之間能夠進行正常的網路通信,並且對上層套用是完全透明的。不同VCN之間的計算機相互之間的封裝變化隨機數不相同,所以不同VCN之間的計算機相互之間不能進行直接互聯互通。
3) 通過管理員允許,不同VCN之間的計算機可以通過轉發網關進行網路的連線,轉發網關進行兩個VCN之間數據封裝格式的翻譯;
4) 如果VCN內的計算機要訪問外網,經過管理員允許,可以通過轉發網關進行訪問;
5) 重要的套用伺服器可以放置在安全網關後面,只有經過管理員允許的VCN域內的計算機才可能訪問安全網關後面的伺服器資源。
6) 沒有安裝VCN或者沒經過管理員允許的計算機,不能通過網路方式(不管是之間網卡對接還是通過交換設備)訪問部署了VCN系統的任何一台客戶端或者被安全網關保護的伺服器,從而達到防止非法接入的目的。
中安源可信網路保密系統還通過系統核心檔案系統驅動的加固,實現了對存儲設備數據交換的有效保密控制,主要技術關鍵點如下:
1) 通過檔案系統的控制,普通的邏輯存儲設備(如隨身碟或者移動硬碟)不經過管理員的註冊和認證,不能夠在安裝了VCN的客戶端計算機使用。
2)管理員註冊存儲設備的時候,可以根據需要,註冊成唯讀、安全讀寫或者普通讀寫模式。唯讀模式的時候,使用該存儲設備只能將沒裝VCN系統的計算機的數據複製到內部網路中來,而VCN內部的計算機數據不能通過該存儲設備複製出去;安全讀寫模式使用透明加解密技術,使得使用該模式的存儲設備複製存儲的數據只能在同一個VCN或者在其信任VCN內的計算機上正常使用,而不能在指定VCN外的計算機上使用;普通讀寫模式則是正常的數據存儲模式,安全漏洞大,一般不建議管理員註冊該模式的存儲設備。
3) 管理員可以通過策略,將本地的所有硬碟存儲數據也進行加密;同時可以設定系統為使用模式,從而防止用戶在客戶端安裝其它未經允許安裝的軟體造成安全和管理漏洞。上述兩種模式的結合使用可以防止硬碟丟失帶來的數據泄密危險。
中安源可信網路保密系統是一個創新性的系統,通過上述的措施和手段,實現了以下可以達到內部網路信息保密的功能:
1) 可以將內部網路根據保密需要,劃分成不同的VCN,實現邏輯隔離。
2) 同一個VCN的計算機相互能夠進行正常的網路通信,不同VCN之間的計算機未經管理員的允許不能直接進行網路通信,哪怕是通過網卡對接的方式也不能進行數據交換,從而確保網路信息保密;
3) 可以有效防止非法撥號外聯或者非法接入,結合安全網關,保護了從客戶端到伺服器所有可能存在敏感信息的內部網路信息設備;
4) 可以實現對存儲設備特別是移動存儲設備的有效管理,發揮移動存儲設備的方便性的同時有效控制數據的安全使用範圍;並且解決了硬碟丟失或者從光碟和軟碟啟動可能造成的信息泄漏問題。
5) VCN部署不需要改變現有網路結構,並且可以靈活更改,操作簡單靈活。
可信網路監控系統
中安源可信網路監控系統通過系統遠程監控技術、設備控制技術和網路控制技術實現了對客戶端計算機的集中管理、控制和審計,從而達到了依據內部管理制度有效落實管理措施的效果。中安源可信網路監控系統主要實現了客戶端計算機的集中實時狀態監控、外設連線埠控制、用戶行為控制、網路連線埠控制和相關審計的功能。
中安源可信網路監控系統實時狀態監控主要利用了Windows作業系統本身提供的API接口機制實現,監控的狀態主要包括:
1) 中安源網路安全平台系列產品安裝信息和其它客戶端安裝的應用程式;
2) 客戶端安裝運行的服務和驅動以及他們的狀態;
3) 客戶端正在打開的視窗標題;
4) 客戶端正在運行的進程;
5)客戶端的活動網路連線狀態;
6) 客戶端的已分享檔案夾狀態;
7) 客戶端的用戶和用戶組情況;
8) 客戶端的系統事件日誌;
中安源可信網路監控系統通過驅動對外設連線埠進行了控制,其主要控制功能類型包括:
1) 紅外連線埠的開關控制;
2) 撥號設備的關閉控制;
3) USB 輸入設備(如鍵盤和滑鼠)的開關控制;
4) 串口的開關控制;
5)並口的開關控制;
6) 1394口的開關控制;
7) PCMICA的開關控制。
8) 輸入設備(鍵盤和滑鼠)的開關控制;
9) USB 存儲設備的開關控制;
10) USB 其它設備的開關控制。
中安源可信網路監控系統通過網路驅動技術,實現了對網路連線埠雙向的開關控制,主要包括:
1)網路連線埠的進/出雙向的開關控制;
2) 網路IP位址的進/出雙向開關控制;
3) 網路IP和連線埠綁定的進/出雙向開關控制;
4) 上述策略都支持白名單或者黑名單兩種模式。
中安源可信網路監控系統通過Hook技術,實現了對客戶端用戶行為的控制,主要包括:
1) 對用戶運行的應用程式的開關控制;
2) 對用戶運行的服務的開關控制;
3) 對用戶打開的視窗標題為要素的開關控制;
4) 上述策略都支持白名單和黑名單兩種模式。
中安源可信網路監控系統還通過了違規記錄等審計功能,包括:
1) 違反指定的控制規則的行為記錄,如試圖打開撥號設備的行為;
2) 檔案創建、刪除和複製的完整操作記錄。
中安源可信網路監控系統提供了線上和離線兩種自動切換的狀態管理。所謂線上狀態,是指客戶端能夠跟伺服器建立實時連線的狀態,比如在單位接入網路的情況下;所謂離線狀態,是指客戶端脫離伺服器實時管理的狀態,如將移動筆記本拿會家裡辦公的情況下。在狀態發生改變的時候,客戶端自動切換到當前狀態對應的策略,比如管理員設定某台計算機線上USB 輸入設備打開,離線USB輸入設備關閉的情況下,如果用戶將該台計算機區域網路網線拔掉,那么就會啟動離線狀態策略,自動將USB 輸入設備關閉,比如你用的是USB鍵盤和滑鼠,這時候都不能使用鍵盤和滑鼠進行系統操作了。線上和離線狀態的方式,極大滿足了移動筆記本等設備的條件安全管理要求。
中安源可信網路監控系統如果跟中安源可信網路認證系統共同使用,則可以更加靈活,比如同一台計算機,用戶A登入可以使用USB連線埠,用戶B登入則不能使用USB連線埠,從而可以根據用戶許可權實現更加靈活的控制措施。