数据防泄漏系统解决方案

数据防泄漏系统解决方案
北京网信安盟科技有限公司
2010-01-11
目录
第1章概述 (3)
第2章安全风险分析 (4)
第3章解决方案 (6)
3.1用户访问内网办公服务器认证、授权、审计 (6)
3.2数据防泄漏软件系统 (8)
3.3内网用户访问因特网有序管控 (11)
第4章防御效果 (14)
4.1非法用户“进不来” (14)
4.2网络行为“有规则” (15)
4.3有效信息“拿不走” (15)
4.4涉密信息“读不懂” (15)
4.5非法行为“跑不了” (15)
第5章产品介绍 (17)
5.1数据防泄漏系统功能 (17)
5.2SSL VPN功能 (20)
5.3上网行为管理产品的价值 (29)
第六章方案报价 (34)
第1章概述
随着信息技术的飞速发展，计算机和网络已成为日常办公、通信交流和协作互动的必备工具和途径。

但是，信息系统在提高人们工作效率的同时，也对信息的存储、访问控制及传输关键数据，如何有效防止其丢失和泄漏等一系列问题提出了安全需求。

目前对局域网的安全解决方案，还停留在采用防火墙、入侵检测、网络防病毒等保护网络、限制信息访问或者监控行为的被动防护手段上。

在过去的一年中，全球98.2％的计算机用户使用杀毒软件；90.7％设有防火墙；75.1％使用反间谍程序的软件。

但却有83.7％的用户遭遇过至少一次病毒、蠕虫或木马攻击事件；79.5％遭遇至少一次间谍程序攻击事件。

据国家计算机信息安全测评中心数据显示：由于内部重要机密通过网络泄漏而造成经济损失的单位中，重要资料被黑客窃取和被内部员工泄漏的比例为：1：99。

这是来自于国家计算机信息安全测评中心的一个数据，据调查显示，互联网接入单位由于内部重要机密通过网络泄漏而造成重大损失的事件中，只有 1%是被黑客窃取造成的，而99%都是由于内部员工有意或无意的一些泄密行为所导致的。

第2章安全风险分析
根据我们的总结分析，来自内部的安全威胁主要有以下几类：
●窃取者将自己的计算机通过内网网络交换设备或者直连网线非法就接
入内网或者计算机终端，窃取内网重要数据；
●窃取者直接利用局域网中的某一台主机，通过网络攻击或欺骗的手
段，非法取得其他主机甚至是某台网络服务器的重要数据；
●内部员工将只允许在局域网内部使用的数据通过磁盘复制、打印非法
拨号外联等手段泄漏到单位外部；
●内部人员窃取管理员用户名和密码，非法进入单位重要的业务和应用
服务器获取内部重要数据。

●内部员工在工作时间浏览无关的网站，导致恶意程序在内网横行，阻
塞正常网络带宽
●应用系统（OA，业务系统）等未考虑应用级的安全，任何文件都是明
文传输，明文存贮在应用系统的数据库，这样文件极易被截获，并且
文件容易被人从数据库中提取，发生泄密事件。

●内部数据存贮在硬盘中，由于未使用数据加密技术，在PC电脑出现故
障，需要维修时，维修人员可以轻易从硬盘中获得任何数据。

●对于目前办公内网所使用的监控和审计系统，这类系统虽然提供了一
定的网络控制功能，但其重点是对网络数据进行记录和审计，因此并
不能很好地阻止单位信息泄密事件的发生。

一旦泄密事件发生，对单
位已经造成损失，此类产品的安全作用有限
●使用文档加密系统来对敏感数据进行保护的方式，对于这类系统主要
是采用各种加密软件实现对计算机数据的加密，但是其对网络、计算
机、用户的管理不灵活，而且内网资源众多，需要分别进行权限的设
置，管理难度大，尤其当用户权限发生频繁更换的时候，容易造成漏
洞。

此类产品并不利于单位内部信息的安全管理。

上述风险分析中可以看出数据在使用、传输、存储过程中最容易出现安全隐患。

这些安全威胁不是防火墙、入侵检测和防病毒等传统全手段所能解决的。

应该看到信息安全要立足于终端，从源头抓起，才能从根本上解决安全问题；同时信息安全也要和应用系统紧密结合，才能做到有的放矢。

第3章解决方案
从现状分析而知，首先需要树立安全保密的意识，然后制订针对电子信息保密的规范，并且在日常中贯彻执行。

我们既要有完整的、可靠的信息安全理论指导我们的方向，也要有经过验证的、实用的方案实现我们的想法，下面将介绍以：
1、ssl vpn系统
2、数据防泄漏软件系统
3、上网行为管理系统
为核心的企业数据防泄漏完整解决方案。

本方案考虑了从数据的存储、使用到传输过程中的全方位的防泄漏解决办法。

根据对XX公司需求的分析，本方案采用SSL VPN、数据防泄漏软件和上网行为管理系统相结合的方案，在公司总部使用深信服科技的M5100-S SSLVPN设备和M5100-AC上网行为管理设备，以及数据防泄漏软件系统。

通过M5100-S移动办公人员可以使用SSL VPN协议，实现内部用户和出差在外用户经过严格的身份认证和授权后，安全便捷的接入公司内部网络核心应用服务器，进行科研和业务工作处理。

准入系统可根据接入电脑的安全级别控制是否允许其接入核心服务器。

通过M5100-AC上网行为管理设备，通过方便的Web身份认证，管理用户上网权限，封堵工作不需要访问的URL站点和网络应用，控制用户上网下载流量，避免网络拥塞，减少带宽成本，准入系统还可强制用户电脑使用统一的安全软件和工作软件。

3.1用户访问内网办公服务器认证、授权、审计
针对武汉XX公司的需求，并综合SSL VPN特性，组网方案如下：
方案说明：
1、XX公司内网SSL VPN设备承载着重要的应用，是整个办公网络系统的
核心节点，所以，推荐采用深信服科技SSL VPN设备SINFOR M5100-S，同时，为了提高整个系统的稳定性，在条件允许时，该设备的部署可考虑采用双机热备的方式，当一台设备出现问题的时候可以无缝的切换到另外一台设备工作，保证核心业务不会被中断。

2、因为本次项目规划只为完成现有员工办公电脑的接入，在后续拓展接入
用户时，只需增加SINFOR SSL VPN设备的接入授权既可，无需再做任何其它设置改动。

3、所用用户通过SSL VPN接入时只需在浏览器中输入用户认证信息既可，
认证通过后页面自动后台运行，用户电脑上无需安装任何客户端，用户使用简单，所有用户策略、权限分配完毕后，维护量为零。

用户认证还可跟手机短信、USB-KEY、动态令牌等多种措施相结合，加强认证安全性。

4、通过认证的用户将被授权，即根据已设置的策略分配给已通过认证的用
户相应的访问应用服务的权限。

5、通过认证的用户的一切网络行为都将被SINFOR SSL VPN设备记录日
志，以便审计。

6、本拓补图中VPN设备采用桥接模式部署，除了桥接部署模式之外，
SINFOR SSL VPN设备还支持网关部署和旁路模式部署，极大的适应用
户原有的网络环境。

7、SINFOR SSL VPN虚拟专线功能可实现当用户接入内网应用系统时自动
与外网断开，保证内网服务器安全。

SINFOR SSL VPN的详细功能请参见3.2节。

3.2数据防泄漏软件系统
3.2.1系统架构
上图为数据防泄漏系统的系统架构示意图。

其中每个客户端和应用数据服务器中均可存有受控加密文件。

数据防泄漏系统由管理中心、控制台和客户端组成：
管理中心用于存储系统数据和提供在线认证。

控制台是管理员用于对系统进行配置的管理工具，
客户端从管理中心下载策略并根据策略完成对机密文件的保护。

整套系统基于C/S模式，其实施架构如图
3.2.2文档保护
文档加密系统使用微软Windows标准文件过滤驱动框架实现的透明加密内核，可以在文档写入时进行自动加密，读取时自动解密，这样用户根本感觉不到该文档是加密文档，但实际在硬盘上该文档都已被加密。

由于加密功能是在内核拦截方式实现，没有任何临时文件，所以可以达到良好的加密性能，几乎不会对用户有任何影响。

加密的文件密钥均为一次一密，同时加密文件内部已经集成了多用户级别的身份认证权限，在内部文档流转时可以更好地保护机密数据，可以很方便地对文档进行默认的权限范围划分。

文件打开时会对当前进程进行指纹验证以及密文进程保护功能，可以避免木马病毒或其他程序通过改名或注入到合法进程内部进行窃取密文数据的可能，也可以解决网络开放和数据保密不能互存的现象。

3.2.3透明加密技术
文件加密保存是文件安全保护的首要条件。

只要是明文保存文件，无论运用任何手段进行防范，同样会泄密。

泄密的方式多种多样，不法分子获取商业机密的手段更是多种多样，我们防不胜防。

所以治本的方法就是对情报信息加密，使得拿到也没用。

在操作系统中嵌入文档系统过滤驱动程序，从而可对所有应用程序读写的文档执行过滤，当机密文档被读出时，此驱动程序执行对它的解密。

当机密文档被写入时，驱动程序执行对它的加密，从而保证机密文档所有被保存到永久介质上的副本都被加密。

透明加密内核是基于最新的IFS文件过滤驱动架构的透明加密平台。

加密标识内置于文件本身，可支持PKCS7 电子信封、加密算法可在内核，也可在应用层。

支持MS CSP标准，可实现对加密硬件认证的支持。

加解密操作均在受保护的内存区域完成，高效安全，不会产生临时文件，进程防护驱动可防止进程
注入、内存dump。

保护机密资料
3.2.4基于角色的策略配置
将对访问者的控制转换为对角色的控制，从而使授权管理更为方便实用、效率更高。

同时，将系统的一些基础功能，控制方式和权限设置为细粒度的策略，角色与角色之间可以继承权限，使各个角色的策略划分更为清晰、明确，降低了策略管理的复杂性。

角色可以对应现实管理中的行政角色关系，不同角色的用户可以访问不同权限级别的资源和对应不同策略。

系统实现对应用系统对象的访问控制。

其思想为将一类用户归结为一个角色，角色之间可以继承和互斥，通过对角色进行策略控制，达到对用户的管理。

3.2.5移动存储介质管理
针对移动存储介质的管理我们分为两种模式：内网专用模式和内外网混合模式，可以对任何支持的移动介质分别进行这两种介质的模式设置。

内网专用模式的安全级别最高，使用之前必须对介质安全格式化后才可以在公司内网内使用，介质内部数据为全加密状态，该介质脱离公司环境后为未格式化状态；内外混合模式一般用在需要内外交互的情况下使用，可以把资料通过介质拷贝到公司内部，也可以把公司内部资料通过专人授权后带到公司外部，非授权的情况下强制拷贝到该介质的文件全部为加密不可读取状态。

介质的使用权限对应于每个用户的权限都各不相同，内网专用模式的权限可以细划为“只读、不限和禁用”三个权限，内外混合模式的权限可分为“只读、加密、不受控、禁用”四个权限。

3.2.6外发管理
对应已加密的文档，如果需要把文档向公司外部发送，可以申请进行外发转换。

外发时有两个选择方式，一种是完全明文外发，一种是转换成图片进行外发。

图片格式外发安全等级比较高，用户只能看到内容，但不能进行编辑或是复制。

完全明文外发安全级别最低，它会把原始文件的明文以不受控的方式外发给外部用户
3.2.7日志管理
日志内容主要包括加密文件记录、文件基本操作记录、对加密文件进行非法操作的记录
3.3内网用户访问因特网有序管控
我们建议的XX公司上网行为管理设备部署方案如下图所示：
3.3.1控制功能：细致的访问控制，有效管理用户上网
对于内网员工访问各种网页的行为，深信服上网行为管理设备（以下简称AC）通过内置URL库，关键字过滤等方式进行管控。

对于采用SSL方式加密的网页，如钓鱼网站等，AC的证书验证链接黑白名单技术同样可以管控。

AC安全网关不仅可以对员工使用WEB、FTP、EMAIL等常用服务进行控制，通过深度内容检测技术，根据应用数据包四层到七层的特征码，实现对QQ、MSN、SKYPE等IM 聊天工具，BT、电骡等P2P下载工具，PPLive、QQLive等在线影音工具，网络游戏，在线炒股等网络应用行为进行管理和控制。

针对目前P2P行为泛滥和P2P工具版本泛滥的趋势、深信服 AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。

并且对P2P行为严重吞噬带宽资源的问题，提供流量控制功能。

基于Web与LDAP/Radius集成的用户认证功能，又支持LocalDB设备自建帐户、支持POP3、PROXY等认证方式，使得对上网用户的管理变得十分灵活方便。

通过对基于LDAP、POP3、PROXY的单点登录功能，简化用户的操作，方便用户的使用。

AC所具备的各种网络访问控制功能，可以基于用户/用户组、基于时间段、基于不同的目标行为进行灵活权限控制，实现人性化要求。

3.3.2审计功能：防止机密信息泄漏和法律违规事件
谈到安全问题时，大多数人都只关注外网安全，但其实机构的信息资产更多的不是被黑客窃取，而是通过内部泄漏的。

深信服 AC安全网关完善的访问审计和监控功能能够有效防止信息通过Internet泄漏，并建立强大的内部安全的威慑，减少内部泄密的行为。

对于邮件类型的应用采用了深信服“邮件延迟审
计”的专利技术来保证先审计后发送；对于通过Webmail站点发送邮件，全面记录邮件正文和附件等；对于QQ、MSN等聊天内容提供了全面的记录功能；对于BBS、论坛发帖不仅根据关键字进行过滤，成功发布的内容也能全面记录；内网员工访问的URL地址、网页标题、甚至整个网页内容，AC也能够完全监控和记录等。

深信服 AC的访问审计/监控模块为机构构筑了强大的内部安全屏障。

3.3.3安全防护功能，全面提升内网安全级别
作为一个全面的内网管理设备，深信服 AC安全网关还提供了丰富的安全增值功能。

除了强大的防火墙模块外，深信服 AC安全网关还集成了网关防毒和防ARP欺骗等功能，对内网员工接收的邮件、访问的网页、下载的文件进行过滤，降低了内网员工感染病毒的风险。

防DOS攻击功能，不仅防御来自公网的DOS攻击，对于发生于内网的DOS攻击同样提供了彻底的防御；防ARP欺骗，让机构先前遭遇的整个子网用户无法上网的故障得以根除。

AC具备的网络准入规则专利技术，将按照管理员预定策略，检测内网接入终端设备的操作系统版本，操作系统补丁、防毒/防火墙软件安装和更新状况、注册表、硬盘文件、后台进程等，只有符合安全要求的终端设备才允许接入Internet，修复了内网的安全短板。

第4章防御效果
通过部署数据防泄漏软件系统，让每个用户持有一个eKEY软证书，来完成用户访问局域网数据资源的身份认证和访问控制；数据防泄漏软件系统采用透明加密技术在不影响用户使用习惯的前提下保证用户机密文档安全性，完整性；用户相互之间文件交换的安全性，并通过集中监控与审计系统，实现全网的用户数据访问行为监控和日志审计。

4.1非法用户“进不来”
系统利用可信终端网络接入认证系统，严格控制接入局域网的终端，达到非法终端即使实现了与内网的物理连接，也不能进行网络通信，实现非法用户“进不来”局域网络。

系统通过在eKey证书中存储用户身份识别的唯一标识，对用户登录系统进行身份认证，使得系统登录与eKey证书紧密捆绑，实现了非法用户“进不来”终端与服务器
4.2网络行为“有规则”
通过上网行为管理、防泄漏系统的部署，可以规范不同部门的员工的网络行为，比如哪些部门或个人可以上因特网、不允许与其他人通信、只允许本地局域网通信，这些都可以在规则策略里进行详细的设置；
4.3有效信息“拿不走”
通过下面的安全访问措施，可以很好的实现有效信息“拿不走”的功能效果：
1)防泄漏系统加密后的数据可以保证终端数据无法拷贝出去；
2)防泄漏系统可以检测并控制终端设备的主机操作和网络通讯，防止终
端非法外联和传输机密数据；
3)通过上网行为管理设备、VPN设备在网络上拦截机密信息；
4)移动存储设备管理控制，默认不允许使用任何USB存储设备，从而防
止数据泄漏；
4.4涉密信息“读不懂”
数据防泄漏系统通过专用加密技术，防止了敏感明文信息的外泄，包括：
1)对于终端设备敏感文件进行安全保护。

加、解密过程对用户透明，无
须对现有的应用平台进行任何的改动；加、解密过程动态进行，保证
了硬盘上任何时刻存放的敏感数据都是密文，即使是意外断电，也不
会导致明文信息的外泄；
2)对于网络传输数据，由VPN加密机提供传输加密功能，由数据防泄漏
系统提供终端对终端、身份认证系统提供终端对服务器的加密传输机
制，实现了即使涉密信息丢失，非法用户也“读不懂”的效果。

4.5非法行为“跑不了”
整个数据防泄漏系统通过网络行为审计、主机行为审计等功能严密审计、
监控、跟踪系统以及受控资源的使用情况，包括：
1)详细记录终端用户针对文件系统的操作行为；
2)严格监测移动存储介质在系统内部的使用情况，确保在出现非法行为
时，一定“跑不了”，便于事后追查责任有据可依；
第5章产品介绍
5.1 数据防泄漏系统功能
5.1.1服务器双机热备
系统可同时设置工作服务器和备份服务器。

当工作服务器发生故障时，备份服务器将自动切换为工作服务器，从而保证了系统的正常运行。

大大提高了系统的健壮性！
5.1.2文件透明加密保护
系统主要采用透明加解密技术对机密文件进行保护，所有加解密行为都在后台由系统自动完成，无需用户参与，不改变用户使用习惯。

在工作模式上，系统包括密文生成模式和密文使用模式：密文生成模式与目前市场上同类产品相同，采用强制加密技术将符合系统策略的机密文件进行加密，而密文使用模式则由“安科”创新推出，采用选择性加解密技术只对原本是密文的文件进行保护，而对明文文件不作任何处理，实现了对同一类型文件的明文和密文作区分处理，开创了文件安全领域的新篇章！
5.1.3可编辑式外发文件保护
可对外发到企业外部的机密文件进行控制，包括设置外发文件的生命周期，只读、打印等使用期限。

5.1.4“密钥分组”和“密钥分级”
系统融入了“密钥分组”和“密钥分级”的概念。

可以满足许多企业对不同部门之间和不通级别之间很细致的文件安全需求，企业可以根据需要设置每
个员工的密钥权限，确保每个员工只能使用其权限范围内的机密文件。

5.1.5内存监控
全程监控机密文件在使用过程中的内存数据，任何妄图通过复制\粘贴、拖动或插入等手段将密文内容导入到明文的行为都将被阻止，并将留下审计日志。

5.1.6权限控制
对密文的只读（密文使用模式下）、打印等权限进行控制，尤其是打印权限，目前市场上的产品普遍只能控制物理打印或者将物理打印和虚拟打印一并控制，而“安科”首推物理打印和虚拟打印区分控制：对于物理打印，企业可根据需要设置客户端用户是否可以对机密文件进行物理打印；对于虚拟打印，用户只能使用我们提供的两个虚拟打印机软件打印加密文件，并且打印出的文件依然是加密文件。

5.1.7在线工作流-安全流水线
提供在线工作流处理客户端用户需要解密和外发的文件。

客户端用户只需提交申请，系统会根据设置的流程自动在后台进行处理（管理中心审核或管理员审核），一旦请求被通过，被申请的源文件即被上传到管理中心，留待文件审计员日后审计，而客户端用户也会立即获得经解密或者外发处理后的文件。

流水线式的工作模式大大提升了工作效率，减轻了用户负担，事后追踪机制更为机密文件的安全性增加了一份保障。

5.1.8文件备份
要保证机密文件的安全性，首先要保证机密文件的可用性。

系统可以对机密文件进行多版本自动备份（同一个文件最多可备份5个版本），提供本地备份和远程备份两种备份模式，提供密文备份和明文备份两种备份格式。

让用户在任何时候都可高枕无忧！
5.1.9离线控制
对于需要脱离管理中心工作的客户端，管理员可为其发放外发eKey或设置离线工作权限使其可离线工作。

无论何种方式，都可设置客户端用户离线使用的时间或次数，对客户端的离线使用进行控制。

将对机密文件的保护延伸到离线模式，既不影响客户端用户的正常工作，又保证了机密文件的安全性。

使企业真正做到了“运筹帷幄之间，决胜千里之外”！
5.1.10日志审计
日志管理员可对系统生成的详尽日志进行审计，可以生成各种图形报表并导出。

审计的日志类型包括：系统日志、文件日志、网络日志、聊天日志、邮件审计日志、HTTP网页访问日志、以及在线消息，并可以生成各种图形报表并导出。

5.1.11打印内容监控
对物理打印机和虚拟打印机打印过的文件均进行监管，并且可以审计打印内容。

5.1.12邮件管理
支持对所有发送和接收的邮件进行审计、禁止、放行（不被审计）；
新增邮件解密的功能：设置策略通过邮件发送加密文件到指定的邮箱，系统会自动解密的加密的。

邮件支持通配符的关键字进行过滤。

5.1.13内网管理
提供强大的局域网在线管理功能，方便管理员对系统的维护；
可以实时查看用户的CPU、内存、网络的使用情况；
可以用户的当前系统信息包括内存、处理器、磁盘、网卡等基本信息。

可以监控用户当前的进程状态，并可以在线禁止用户运行的进程；还可以把用户的进程加入到进程黑名单里面，加入黑名单的进程无法再次启动。

可以查看用户目前安装了那些软件，并可以强行卸载某些软件。

补丁更新,客户端会自动从服务器下载最新的补丁并自动安装。

在线消息管理。

接入安全：即IP绑定的功能，绑定用户的ＩＰ之后，如果用户非法修改ＩＰ地址，用户将无法访问外网（可以访问局域网）。

5.1.14资产审计
对企业硬件资产进行集中管理，可以查询到所有用户的资产信息，并可以导出报表。

如果用户的硬件资产变动，系统会自动向管理员发送消息，提示某个用户的硬件资产已经变动。

5.2 SSL VPN功能
5.2.1安全、高速、便利的远程接入
深信服SSL VPN安全网关对于内部员工、合作伙伴、移动人员可利用SSL VPN的易用性实现安全接入。

最大限度地发挥了SSL VPN给企业带来的效益，节约了企业大量的管理成本和投入成本。

5.2.2客户端安全检查，保证接入安全
深信服SSL VPN支持对客户端进行全面的检查，支持对操作系统及版本、注册表、进程、文件、登录终端、接入线路IP、接入IP、登录时间和登录终端的组合规则登录前、登陆后的检测。

通过客户端的安全检测，可限定用户在指定的终端范围、使用指定安全级别的终端、在指定的时间、通过指定的线路进行SSL VPN登录。