一、项目背景

军队信息化基础设施经过多年建设，已形成较大规模，大部分部门已建设了WWW 、FTP、DNS、Email、OA等服务器。计算机和计算机网络已经成为军队各部门和其它各种组织的重要信息载体和传输渠道。很明显，计算机、计算机网络和其所带来的信息数字化大幅度提供了工作效率，也使得海量的信息存储和处理成为了现实。但是，在享受到计算机以及计算机网络所带来的方便性的同时，也出现了目前受到广泛关注的信息安全问题。

二、需求分析

由于军队在管理、生产和设计中涉及到大量机密的信息，为了有效的保证网络系统的正常运行和信息的安全性，因此有必要对网络系统进行以计算机资源控制和数据信息安全保护为中心的信息安全实施建立，总结需求如下：

保证所有科研、生产和管理用计算机都处于受控的状态，不受管理的计算机不能接入到网内。

保证机要数据的安全，不被非法人员使用移动存储设备拷贝带走；

对于用户身份管理的加强，保证单机在脱离了网络的情况下不能正常使用或仅能使用非常有限的资源，以便做到有效的“离线数据隔离”

对于外设的有效管理，特别是对于同一个外设接口可能接入的不同设备可以识别，对于所有的移动存储设备都能有效禁止，但是对于经认证的设备则可以正常使用；

提供基于网络或者基于外设的移动安全“数据交换通道”；

对于主机资源的审计，能够有效的对每一台安全域的计算机的资源进行审计和管理；

对整个网络实施分段、分域管理和访问控制。

确保特定的信息只能对特定的人群开放，非指定人群不能获得信息和使用该类信息

受保护数据在区域内受加密保护，且该加密实施对终端用户透明。

所有数据流动的信息都能进行跟踪和审计。

在此基础上，建立信息安全保障体系，确保网络中应用信息的安全性，提高信息网络的管理能力，优化网络资源，充分发挥现有的网络设施，这个思路在技术上和经济上都是可行的。

三、产品介绍

3.1ChinaSec可信网络安全平台

ChinaSec可信网络安全平台由可信网络认证系统、可信网络保密系统、可信网络监控系统三个系统组成，从用户身份管理、计算机授权访问、数据自身保密、网络传输控制、外设安全管理、移动存储设备管理、用户行为管理、综合安全设计等方面保证机密数据安全，从而达到防止用户敏感信息泄密的目的，以下详细介绍三个系统的功能：

3.1.1可信网络认证系统

中安源可信认证系统提供一个完整的基础认证平台，解决信息资源统一用户授权和管理的问题。中安源可信认证系统包括服务器、控制台、客户端代理、用户USB令牌和认证代理五个部分组成，其列表清单如下：

中安源可信网络认证系统主要实现了以下功能：

• 实现统一集中的信息服务器资源和计算机资源管理，通过在信息服务器前端放置本系统认证代理网关，可以实现在本系统服务器统一对用户进行各个服务器资源和计算机资源的访问授权，而不再需要分别对每台服务器和计算机进行配置，极大降低了管理工作量；

• 实现了计算机资源的有效管理，管理员可以指定每台计算机的一个或者多个使用者，也可以指定某个用户只能使用那些计算机资源；并且如果用户离机拔出USB Key，用户计算机随即锁定系统，增强了计算机使用的安全性；

• 实现了基于PKI技术的双因素高强度认证，通过USB Key内置的密码芯片和PIN码保护，实现了高强度身份认证，用户身份冒充可能性降到很低；

• 提供了安全保密磁盘，针对每个用户，可以建立自己的保密磁盘，在公共使用的计算机上拥有自己的私人空间，加强了保密性；

• 提供了详细的用户登陆记录，对用户访问服务器资源和登陆计算机的动作进行了详细的记录，利于单位对用户的行为做出评估和审计；

• 支持通用CA中心颁发的X.509证书，可以建立单位统一的认证体系，包括内部资源管理、网上银行、网上报税、数字签名以及其它基于数字证书的应用。

3.1.2可信网络保密系统

中安源可信网络保密系统按照安全级别将网络划分成多个虚拟保密子网（VCN），对虚拟子网内网络通信和文件系统数据交换全面保护。中安源可信网络保密系统包括服务器（VCN Server）、管理中心（VCN MC）、安全网关（VCN Gateway）、转发网关（VCN Switcher）和客户端代理（VCN Agent）五个部分组成，其列表清单如下：

中安源可信保密系统主要实现了以下功能：

实现对物理网络逻辑上划分成不同的虚拟保密子网，每个虚拟保密子网授权访问服务器区域和Internet，虚拟保密子网之间可以设定信任关系，只有信任的保密子网才能够相互访问，不在虚拟保密网内的计算机不能访问虚拟保密子网中的计算机。

通过安全网关硬件设备建立受保护的服务器区域，只有经过认证的计算机才能访问这个区域的服务器资源，非法用户禁止访问服务器资源。

网络通信数据内容加密，防止非法接入，保证资网络资源及机密数据不被非法接入的计算机占用、攻击及盗取；防止用户通过拨号设备连接Internet泄漏机密数据。

对移动存储设备授权管理，只有经过认证的移动存储设备才能够使用，非法用户的移动存储设备不能在系统中使用，移动存储设备可以认证为正常读写、加密读写、只读、信任域只读、信任域读写等策略，控制了移动存储设备使用权限，保证了数据安全，同时认证后的移动存储设备数据读写对用户透明，不影响用户使用习惯。

操作系统盘禁止写数据，防止用户通过操作系统盘泄密数据。

本地硬盘数据加密，在不影响用户使用习惯情况下，对本地硬盘数据读写实行透明加解密，防止硬盘丢失后数据泄密。

3.1.3可信网络监控系统

中安源可信网络监控系统是针对计算机终端管理和控制而设计的安全产品。可以对计算机网络连接、操作系统已安装程序、正在运行的程序、服务、驱动、网络共享、网邻使用情况、用户桌面等状态信息进行监控，对计算机进程、程序窗口、计算机各种类型外设端口进行控制，有效的管理和控制了计算机终端，达到了对计算机用户行为的管理和审计。中安源可信网络监控系统包括服务器（MGT Server）、管理中心（MGT MC）和客户端代理（MGT Agent）三个部分组成，其列表清单如下：

中安源可信保密系统主要实现了以下功能：

实现计算机实时状态监控，实时监视客户端运行服务及状态、正在打开的程序窗口、正在运行的进程、网络连接状态、共享文件夹状态、用户和用户文件夹状态、系统事件日志等等，随时了解计算机状态；

计算机外部设备开关式管理，对红外端口、拨号设备、USB输入设备（鼠标、键盘、优盘等）、串口、并口、1394端口、PCMICA、软盘、光盘驱动器的开关控制；

计算机网络控制，使用黑白名单方式对计算机进出数据进行双向控制，对网络中重要数据进行保护；

计算机用户行为控制和违规记录审计，对计算机运行进程、窗口、服务进行控制，防止非法程序运行，监控用户行为，同时用户行为进行审计，达到事后追溯的目的。

计算机在线\离线两种策略，笔记本电脑在公司执行一种策略，离开公司后执行另一种策略，严格控制笔记本电脑使用，防止泄密。

支持不用用户在一台计算机上设定不同的策略，方便一台计算机多个用户使用。

3.2系统部署图

本方案由可信网络安全平台系统组成。可信网络安全平台三个系统的服务器、控制台、客户端部署在一起，对用户来说是一套系统。具体如下所示：

■ 可信网络安全平台服务器端部署在一台专用服务器上；

■ 可信网络安全平台控制台软件安装在一台普通的计算机上；

■ 需要保护的计算机安装可信网络安全平台客户端软件；

■ 网络中部署安全网关、转发网关各一台；

■ 根据保密要求将网络划分成不同的虚拟保密子网；

■ 所有内网服务器部署在安全网关的后面；

四、项目实施效果

4.1防止非法主机接入

可信网络保密系统的虚拟保密子网功能对网络传输数据进行加密，防止恶意用户通过网络监听方式窃取保密数据；防止非法主机接入，从而防止非法用户盗取、破坏机密数据；合法使用拨号连接进行非法外联，由于其数据是加密的，所以也不能跟外部网络进行正常的通信。

4.2保密网络管理

4.2.1保密子网分域管理

保密网络分域管理，系统管理员可以按照行政部门将物理网络划分成不同的虚拟保密子网，各个部门间根据安全级别设定信任关系，安全级别高的部门完全隔离开，如果有临时需要可以设定成允许其他部门访问，这样在不影响网络资源使用的情况下，还保证了网络数据通信的安全性。

4.2.2保密子网中移动存储设备管理

移动存储设备在保密网中授权使用，移动存储设备可以设置成在某个保密子网中授权使用，例如：可以设置成在保密级别高的网络中为只读策略，其他保密子网为正常读写，这样方便了使用又阻止了保密级别高的网络中数据复制到移动存储设备中，降低了泄密的风险。

4.3统一身份认证与授权

4.3.1计算机登录认证

可信网络认证系统可以实现计算机登录认证功能，只用合法用户拥有令牌和pin码才能够访问允许访问的计算机，可以设定一个用户允许访问多台计算机，也可以设定一台计算机允许多个用户登录，与可信网络监控可以根据用户和在线\离线状态设定不同的安全策略。

4.3.2内网服务器访问认证

通过使用安全网关设备将内网运行的服务器统一管理起来，只有经过认证的用户才有权利访问服务器上面的资源，保证了内网服务器数据安全性。

4.4防止敏感信息外泄

4.4.1防止网络途径的信息外泄

通过使用可信网络保密系统划分虚拟保密子网功能，设定各个保密子网的访问权限，防止机密数据通过内部网络主动泄密；通过网络数据加密功能防止网络数据被恶意监听和非法计算机接入泄密；通过使用安全网关设备防止服务器机密数据通过网络泄密；

4.4.2防止计算机外设途径的信息外泄

通过可信网络监控系统的外设控制功能对计算机外部设备进行开关式管理，防止机密数据通过外部设备泄密。

4.4.3防止存储介质途径的信息外泄

可信网络保密系统对存储解密实现授权管理，可以将存储设备设定成正常读写、加密读写、只读、保密域使用策略，限定了机密数据通过移动存储设备的传输范围，严格保证了数据传输的安全性和保密性。

4.4.4防止打印途径的信息外泄

可信网络监控系统可以关闭打印端口，禁止了打印机泄漏机密数据。

4.4.5防止计算机硬盘被盗途径的信息外泄

可信网络保密系统的本地硬盘数据加密功能，可以将本地硬盘数据加密，即使硬盘被盗，数据也不能正常读写，保证了数据安全性。

4.4.6笔记本电脑丢失的信息外泄

可信网络认证系统的虚拟安全磁盘功能和用户相关联，每个用户可以建立自己的虚拟安全磁盘，机密数据可以放在这个磁盘上，虚拟磁盘使用强加密算法，如果没有用户令牌就不能打开这个磁盘，即使笔记本电脑丢失也不用担心数据外泄。

4.4.7对核心及敏感数据的保护

可信网络认证系统的虚拟安全磁盘功能使用强加密算法，提供对核心及敏感数据的保护，只有拥有与之关联的令牌和pin码才能访问虚拟安全磁盘，保证了核心数据安全性。

4.4.8对计算机软、硬件的安装、使用监控和管理

可信网络保密系统禁止操作系统盘写功能可以禁止软件安装和硬件驱动安装，对用户软件和硬件安装进行监控，可信网络监控系统实时监控功能实现对软件安装和硬件安装实时管理。

4.4.9用户行为审计

可信网络监控系统对用户行为进行实时监视，对用户行为进行管理，最后产生审计报告，对用户行为进行有效追溯。

总结

本方案从网络管理和内网数据安全两个方面对网络进行建设和加固，有效的保证网络系统的正常运行和计算机终端信息的安全性，从而达到防止机密信息泄漏的目的。