目前區域網路安全防護主要通過加強區域網路計算機的外設端口管理、介質使用情況管理、接入認證管理、非法外聯管理等手段,對硬體設備的使用狀況和使用者的操作行為進行監控,從而達到防止內部泄密事件發生的目的。但作為防護核心對象的涉密數據信息仍分散存儲在各計算機中,凸顯出了最為核心的安全問題——即終端用戶不僅是涉密文檔的產生者和使用者,也是涉密文檔的存儲者和所有者。
使用權和所有權沒有分離,致使終端用戶手裡留有大量的涉密信息,泄密事件自然屢禁不止,對存密的個體帶來保密管理風險——不得不擔心疏忽或意外導致的涉密責任;對秘密的所有者(單位或集體)也帶來保密管理風險——不得不面對數量龐大的個人泄密源,涉密事件隨時可能一觸即發。
鼎普科技股份有限公司積極探索信息化條件下保密管理的新模式,採用自主技術研發出“鼎普涉密電子信息集中管控平台”,該平台是一個面向涉密行業的高可靠的信息安全管理系統。
平台通過對軍工、軍隊等重要信息系統中各類機密數據信息的授權、加密安全保護,可以顯著提高機構中核心數據資產的安全防護能力。同時在對檔案安全保護的基礎上,又通過對文檔的集中控制,使得涉密人員可以使用密,但不留密、不存密,有效切斷了內部人員泄漏機構機密信息的途徑,防止內部竊密事件的發生。
平台由六個部分組成,採用C/S+B/S的設計架構,即集中管理子系統與客戶端以C/S模式工作,保證了系統的使用安全;平台管理端對檔案集中存儲伺服器的管理以B/S結構工作,方便管理員的操作。
1 平台九大基本功能:
1) 檔案集中存儲
安裝本系統後,用戶可將原來分散在計算機終端上的涉密電子檔案單向上傳到集中存儲子系統,部署後再生成的一切電子檔案,均自動存入集中存儲子系統,本地不會保存任何檔案信息。
2) 提供終端安全辦公環境
客戶端的虛擬安全工作域,提供了經簽名校驗的套用軟體及辦公環境,同時採取核心修剪、數字簽名等多種技術,控制用戶通過各種方式對數據的操作,有效防止用戶的主動泄密,並且私密存儲區“我的私有文檔”其他任何用戶無法訪問。
3) 文檔許可權精確控制
本系統對文檔的許可權控制,並沒有像其他同類軟體一樣僅停留在資料夾層面,而是把操作許可權精確控制到每一個文檔,使得文檔的共享流轉更安全快捷,同時掌握了每一個文檔的安全使用狀態。
4) 軟體安裝行為可控,防止木馬病毒
用戶在客戶端發起安裝應用程式的簽名申請,由安全管理員審批授權。通過對運行程式的數字簽名,確保只有經授權的程式才能安裝使用,避免任何主動或被動行為導致的木馬病毒及惡意程式的非法竊密。
5) 設備管理控制功能
管理員通過對磁碟、介質、光碟機等一系列設備的讀、寫、執行、複製等操作許可權的策略配置,實現對終端計算機常用設備的精確控制。
6) 公文流轉審批功能
用戶對“我的私有文檔”中的檔案擁有完全的控制權和使用權,可以根據辦公需求將其共享給指定的同事或領導,但共享過程需經上級首長審批授權。
7) 文檔列印審批功能
即使在文檔集中管控的環境裡,隨意的檔案列印也是泄密的重要途徑。在本系統中,對於需要列印的文檔,終端用戶可以提交列印申請,由用戶的上級首長或其他指定人員審批後方可進行列印。
8) 文檔外帶審批功能
對於需要外帶的檔案,系統提供單人審批或多人逐層審批功能,檔案獲得審批後才可下載到安全介質中外帶,並依據上級首長審批時賦予的相應許可權進行使用,同時生成相應的審計記錄。
9) 日誌管理
三員分立的架構設計為系統的安全性和健壯性提供了基礎條件,審計管理員負責對用戶操作記錄、用戶登錄記錄和管理員操作記錄等進行審計並生產報表,是系統安全可靠運行的監督官。
2 平台三大增強功能
1) 建立涉密電子文檔的全局唯一身份標識
為每一份電子文檔建立一個統一的身份標識,即電子標籤,標籤在整個系統內唯一。標籤記錄檔案的創建人、創建時間、密級等信息。在生命周期內,標籤記錄該檔案的流轉過程,使用人員的查閱、修改、複製、列印等操作,形成詳細的審計日誌。
2) 實現對涉密電子文檔的安全外帶辦公
通過保密包實現涉密電子文檔的安全外帶使用,對外帶使用的絕密、機密、秘密信息實施加密保護,防止涉密電子文檔外帶過程中因存儲載體丟失、失竊等帶來的安全隱患,能在不安全的環境中安全地查看和交換涉密電子文檔;
3) 列印可審計,不可抵賴
為每一台計算機賦予唯一的獨立編碼,作為身份識別的憑據,將編碼轉化為數字信息嵌入每一份需要列印的電子檔案中。該水印對用戶透明,不可見、不可改。可以依據該水印定位紙質檔案的具體列印人員,追查列印檔案泄密源頭,定位泄密人員。
1 系統設計優勢
1) 完全自主技術開發
終端用戶工作使用的“虛擬安全域”完全基於Windows平台的底層檔案驅動過濾、作業系統核心修剪等自主技術開發。第一,與Windows作業系統和第三方軟體兼容性高,程式運行穩定;第二,完全採用自主技術,不依賴於任何第三方開原始碼,如開源虛擬機、瘦客戶端等技術,自身安全可控,不易受第三方黑客攻擊,整體設計安全性更高。
2) 敏感數據全面加密
對稱和非對稱加密算法相結合,實現a、通信加密(終端和伺服器間的控制信息加密傳送);c、檔案傳輸加密(終端和伺服器間的用戶電子文檔加密傳輸);d、存儲加密(伺服器端電子文檔加密存儲);e、資料庫核心欄位加密存儲;從而有效杜絕身份假冒、中間人攻擊、網路竊聽、管理員主動泄密等隱患。
2 用戶體驗優勢
1) 用戶操作使用簡單
系統完全基於Windows平台開發,無須另外設計操作界面,因此終端用戶在操作使用上完全與原來保持一致,除了修剪、禁止掉一些Windows原有的高安全風險功能,界面風格上完全保持一致,使用戶對新系統不再有接觸陌生感和牴觸情緒。新增的安全功能,操作習慣上也與Windows保持一致,如視窗風格、右鍵快捷鍵、人機對話框、系統提示對話框、管理平台即時訊息發布提示等,不增加用戶使用負擔。
2) 支持流媒體播放
由於工作需要,用戶在辦公過程中經常使用視頻和流媒體,如教育宣傳短片、學習短片等視頻檔案。在鼎普集中管控環境中用戶可以訪問並播放流媒體檔案,且使用操作與原有模式相同,不改變用戶原有辦公習慣。
3) 兼容用戶關鍵軟體
由於完全基於Windows平台開發,不嵌入任何第三方中間件和開源軟體,先天具有良好的兼容性。兼容主流第三方存儲系統;兼容吉大正元、30所、總參機要局等主流CA;兼容主流防病毒軟體和OA辦公軟體;兼容保密防護系統和國家保密局正配備推廣的三合一涉密專用系統。
3 實施部署優勢
1) 不改變客戶網路架構
鼎普集中管控系統為純軟體形態。集中管理平台安裝在指定的專職硬體務器上,後台管理端通過IE瀏覽器即可登錄管理伺服器,客戶端軟體直接安裝在用戶終端主機上。整個系統實施部署無須改動用戶原有任何網路架構,部署快速,實施簡潔。
2) 適應大規模網路部署
由於平台採用了集中存儲管理、分布運算處理的技術路線,使平台具有較高的運算、分析和管理能力。一套平台可以實現至少500個客戶端並發連線工作的大規模網路部署,適合於大規模網路部署。