Top
首页 > 老文章 > 正文

李玉龙:构建涉密计算机的六层防护体系

asd

李玉龙:构建涉密计算机的六层防护体系
发布时间:2006-06-16 16:55        来源:        作者:李玉龙
主持人:下面有请北京鼎普科技有限公司技术部销售部主管李玉龙先生,他主讲的题目是“构建涉密计算机的六层防护体系”。有请问。 李玉龙:各位领导、专家、先生们、女士们大家下午好!很荣幸能够在这样的场合向大家介绍我们鼎普科技的安全解决方案。首先请允许我先简单一下我们鼎普科技,鼎普科技有限公司成立于2003年,是专于信息安全保密产品高新技术软件企业。鼎普科技拥有一只具有相当实力的研发团队,硕士、博士占员工总数25%,公司去年获得了国家保密局颁发的相关资质证明。 随着计算机的高速发展,很多涉密信息敏感文件都存储在计算机中,政府部委、军工单位、军队对有很的技术、业务的敏感信息存储在计算机中,信息安全发展中存在的一些问题,就是对内部计算机防护重视不够,缺乏审计、追查违规行为的机制。审计是记录终端用户使用计算机系统进行所有活动的所有记录它能够指出系统正在被怎样的被使用。对于确定是否游敏感信息泄密情况发生,审计信息尤为重要。如果没有对敏感计算机进行必要的审计,一旦出现事件不利于责任的定位,促使用户用户的安全防范意识。 在涉密计算机的日常业务中存在一些隐患,一方面是来自本机的隐患。大家知道已知的绕过Windows审计的方法很多,仅使用Windows身份认证显然不能满足安全的要求。没有授权的非法用户登陆计算机系统首先会破坏涉密文件。第二,敏感计算机存储的文件都是以Word、TXT等存在,存储过程中编辑这些文件的软件也非常常见,比较普及。这就是非授权用户拿到这些文件就可以随意察看。第三,缺乏对存储在敏感计算机借口、外设的监控。再一个是缺乏对用户行为的监控手段。用户行为监控主要来自非法外延的隐患,违规打印的隐患,安装卸载程序带来的隐患。一旦计算机非法外联就易成为黑客攻击的目标,非法外联还有可以感染病毒。 还有一部分是来自网络的隐患。 一方面是非授权计算机私自联入网络。这些外来计算机接入网络之后可能会发起一起攻击获得一些意外的敏感信息等等。还有就是用户私自设置一些IP地址,我们明明发现某个IP计算机正在做违规的事件,但是就是找不到,内部网络网络往往是从泄露IP地址开始的。 从上述来自本机和网络的隐患都在计算机安全管理中非常的棘手,是比较难以解决的问题。我们需要有一个手段、措施、机制、方法能够监控外流信息的监控。 现在随着科技的进步,移动存储借介质越来越大,体积越来越小,非常容易丢失而且往往没有防护性的措施,一旦措施里面的涉密信息和文件就一览无余,会造成很大的损害。上面提到的来自信息安全发展过程中存在的一些问题,以及对计算机而言的隐患,来自管理和网络的分析以后我们就容易得出目前信息系统防护起码要包含几方面的因素。一个是身份认证,再一个是对计算机和重要文件的保护。 我们鼎普科技在前段时间提出六强防护体系,达到了进不来、看不到、拿不走、读不懂,毁不掉的体系。我在六级防护的体系上提出了更新的解决方案就是3+X,3就是身份认证、文件安全和行为监控。在这个基础上我们需要做出一些前瞻性的防护,就是对未来的防护做的再细致一些就是增强模块。包括可信介质管理、可信终端管理、和打印集中管理。我们鼎普科技提出的3+X方案主要包括这这几个方面。基础模块包括身份认证,就是在Windows身份认证基础上添加一个双子认证,文件包括包括安全存储、安全删除等等。是通过硬件控制它的隐藏出现达到有效防护敏感文件的目的。对于加密传输和文件的安全删除和禁止访问等,禁止访问就是对不常用的禁止进行任何的操作。敏感文件在纯属的过程中进行加密。 第三部分就是对IO和用户行为的监控与审计。主要是对IO的接口、用口、串口、红外等等对可能产生信息外设的接口进行监控和审计。对用户行为,主要是物理外延的途径上,包括接口禁止使用外联设备和外设等等,在行为上我们要禁止他修改IP地址,要禁止他用一些拨号或者外联的软件。如果出现未知情况出现的外联隐患我们提供一个外联监控的报警机制,就是可以实现邮件报警。对终端用户打印行为主要是审计他的文件名、路径、页数和时间。其次就是安装卸载行为,主要是对用户安装了什么程序,都能留有一个供提供之后审计的依据。 基础模块审计:我们确信再好的监控手段和技术如果不能做到事后审计都是徒劳的,敏感计算机安全防护中,建立的审计机制显得非常重要。我们认为审计应该包含报警事件的审计,也就是对敏感计算机用户行为进行审计,对管理员进行审计。 增强模块――可信介质管理: 可信介质,划分可信介质存储区域。可信介质的U盘我们分区,分了三个普通区、隐藏区和加密区。对U盘进行可信划分,就需要对计算机也进行可信划分也要进行可信计算机和非可信计算机的划分。我们采用的是存在有标识号的计算机才是可信计算机。 划分的三个区域以后经过授权的能够在计算机上使用的划分成为可信介质和非可信介质。我们能做到读、写、执行、和信息保护的控制。读就是对可信计算机的读,写就是可修改,就是对可信介质中的文件可以编辑改名等等。执行就是允许用户对可信介质中的文件进行执行的操作。信息保护这一块主要的意思就是要复制到可信中的文件自动打包成一个可执行的文件。这个可信文件只能初始写入可信介质中的时候才能操作,拷到其他的介质就无法使用。不管这个操作成功或者不成功,我们都会留下一个供日后审计的审计记录。 前面我们提到了对敏感网络里面的敏感计算机监控要能发现非法连入,鼎普科技主要采用对联网的计算机必须到我们的服务器进行认证,基于交换机端口的访问控制配置一个802.1X协议,达到试图联网的计算机都要到服务器认证,如果认证失败就直接截断其通信不可能产生任何的数据交换。当用户把涉密文件打出来的时候需要到审计中心发出一个申请,同时把需要打印的文件拷贝到输出服务器上然后再做出决定,如果决定通过终端用户可以打印,如果拒绝,当然终端用户就不能打印文件。打印的过程中要着重体现出来的是审批的过程。也就是说有一个审批的管理者能够看到文件是不是涉及到敏感信息,是不是可能存在打印出去产生泄密的问题? 最后是我们的一个总结:六层防护体系主要体现的是计算机的身份认证、终端安全以及IO和用户行为的监控审计,这三方面形成一个违法用户无法进入计算机终端,非法计算机看不到神秘文件,读不走敏感文件,拿不走神秘文件,毁不掉重要的敏感文件和图纸。逃不脱就是我们对所有的行为都进行了审计。 在这个基础上国家保密局和公安部提出了等级防护计算机和分级防护的要求,我们公司认为在六层保护的基础上还应该增强一些增加模块,我们控制USB口,对U盘以及移动存储介质进行再划分。区分出什么是可信介质,区分什么是可信计算机,这个过程中我们对U盘的使用情况进行一个审计。它里面存储的敏感信息怎么使用?我们对它的使用权限进行一个限定。对于打印我们要体现出审批的过程,也就是说所有的打印必须能有一个管理人员看到这里面的文件是否存在可能泄密的的内容或者是否符合当时要打印的要求等等。 最后,看一下3+X,三就是身份认证、文件安全、行为监控,这是基础模块。加上一个X就是加上对管理再细化,就是授权的可信介质才能在内网中使用。未授权的介质不能使用。同时,可信的介质拿到外面也无法正常使用。再加上对联网计算机的身份认证同时我们对再打印的过程中有一个审批的过程。最后总结一下3+X是内网安全的“钢铁堤坝”。感谢大家对鼎普科技的支持和关心,谢谢!
(e129)
加载更多

专题访谈

合作站点
stat