一種中小企業(yè)信息管理系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開(kāi)了一種中小企業(yè)信息管理系統(tǒng)����,包括路由器���、交換機(jī)���、系統(tǒng)控制臺(tái)�����、平臺(tái)服務(wù)器和客戶端�����,所述交換機(jī)分別與路由器��、交換機(jī)���、系統(tǒng)控制臺(tái)和平臺(tái)服務(wù)器相連,所述路由器與互聯(lián)網(wǎng)相連����。此系統(tǒng)兼顧了保密性和開(kāi)放性,通過(guò)提供工作模式或者普通模式來(lái)改變客戶端計(jì)算機(jī)的連接狀態(tài)�����,為內(nèi)網(wǎng)構(gòu)建一個(gè)安全的數(shù)據(jù)使用環(huán)境,具有完善的模式切換方式����。建立安全數(shù)據(jù)區(qū),具備離線工作模式����,具備外設(shè)禁用功能,采用統(tǒng)一的用戶管理模式��,用戶可以是簡(jiǎn)單的用戶名/口令用戶�,也可以跟安全認(rèn)證系統(tǒng)相結(jié)合,使用統(tǒng)一的令牌用戶���。
【專利說(shuō)明】一種中小企業(yè)信息管理系統(tǒng)
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及一種管理系統(tǒng)�,尤其涉及一種中小企業(yè)信息管理系統(tǒng)�����。
【背景技術(shù)】
[0002] 許多企業(yè)內(nèi)部雖然安裝有防火墻防護(hù)�,但是無(wú)法防護(hù)企業(yè)內(nèi)部入侵;然而操作系 統(tǒng)本身自帶的加密功能又十分脆弱�。很多員工的安全意識(shí)較薄弱,將攜帶木馬或病毒常常 通過(guò)移動(dòng)設(shè)備(如U盤���、移動(dòng)硬盤等)插入辦公電腦中����,這些病毒自動(dòng)植于局域網(wǎng)電腦中, 利用局域網(wǎng)"偷窺"網(wǎng)內(nèi)的文件信息或者破壞文件��,造成重大損失。由于沒(méi)有專業(yè)的防護(hù)軟 件監(jiān)控�,沒(méi)有日志記錄�,計(jì)算機(jī)管理員查找原因費(fèi)時(shí)有費(fèi)力。國(guó)內(nèi)只有較少的單位涉及面對(duì) 中小企業(yè)的基于商用密碼產(chǎn)品的���,上網(wǎng)行為審計(jì)��,網(wǎng)絡(luò)準(zhǔn)入�,文件加密的產(chǎn)品�,其他公司的 產(chǎn)品,只能實(shí)現(xiàn)一項(xiàng)功能的產(chǎn)品��,而且部署復(fù)雜���,管理繁瑣�。
【發(fā)明內(nèi)容】
[0003] 本發(fā)明的目的在于提供一種中小企業(yè)信息管理系統(tǒng)���,基于內(nèi)網(wǎng)安全理論與加密理 論研發(fā)的安全管理產(chǎn)品���,以密碼技術(shù)為支撐��,身份認(rèn)證為基礎(chǔ)��,數(shù)據(jù)�����、內(nèi)網(wǎng)安全以核心���、監(jiān)控 審計(jì)為輔助,可靈活全面的定制并實(shí)施各種安全策略����,實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)中用戶、計(jì)算機(jī)和信息的 安全管理�����,達(dá)到有效的用戶身份管理���、計(jì)算機(jī)設(shè)備管理�����、數(shù)據(jù)安全保密存儲(chǔ)和防止機(jī)密信息 泄露等目標(biāo)����。
[0004] 本發(fā)明采用如下技術(shù)方案實(shí)現(xiàn):
[0005] -種中小企業(yè)信息管理系統(tǒng),其特征在于�,包括路由器、交換機(jī)��、系統(tǒng)控制臺(tái)���、平臺(tái) 服務(wù)器和客戶端,所述交換機(jī)分別與路由器����、交換機(jī)、系統(tǒng)控制臺(tái)和平臺(tái)服務(wù)器相連�,所述 路由器與互聯(lián)網(wǎng)相連。
[0006] 本發(fā)明具備的有益技術(shù)效果是:
[0007] 此系統(tǒng)兼顧了保密性和開(kāi)放性���,有效實(shí)現(xiàn)了企業(yè)內(nèi)部計(jì)算機(jī)既要連接外網(wǎng)又要防 止核心數(shù)據(jù)泄密的目標(biāo)���,還可以跟中小企業(yè)信息管理系統(tǒng)其他系統(tǒng)統(tǒng)一使用���,從而建立企 業(yè)完善的集身份認(rèn)證、安全管理和安全保密于一體的信息安全保障體系�����。
[0008] 通過(guò)提供工作模式或者普通模式來(lái)改變客戶端計(jì)算機(jī)的連接狀態(tài)����,為內(nèi)網(wǎng)構(gòu)建一 個(gè)安全的數(shù)據(jù)使用環(huán)境。用戶登錄普通模式可介入互聯(lián)網(wǎng)�,但不能介入企業(yè)內(nèi)部受管理的 數(shù)據(jù)服務(wù)器和業(yè)務(wù)系統(tǒng)之中;切換到工作模式后����,即進(jìn)入保密數(shù)據(jù)工作環(huán)境,此時(shí)只能介入 內(nèi)網(wǎng)受管理的數(shù)據(jù)服務(wù)器和業(yè)務(wù)系統(tǒng)�,同事將自動(dòng)切斷內(nèi)部系統(tǒng)之外的所有通信。
[0009] 完善的模式切換方式���。用戶可能需要切換各種工作模式�,在不同的工作模式之間 切換的時(shí)候��,為了有效清除內(nèi)存和緩沖區(qū)數(shù)據(jù),防止不同模式之間的泄密�����,管理員可以設(shè)定 不同模式之間的切換動(dòng)作�,包括:注銷、重啟或直接切換��。
[0010] 建立安全數(shù)據(jù)區(qū)��,所有存儲(chǔ)數(shù)據(jù)都是加密的���,客戶端僅在進(jìn)入工作模式情況下才 能訪問(wèn)��,所有數(shù)據(jù)都不會(huì)被泄密到普通模式中,從而有效實(shí)現(xiàn)數(shù)據(jù)保密功能��。
[0011] 具備離線工作模式�����。在計(jì)算機(jī)與服務(wù)器斷開(kāi)連接后����,進(jìn)入離線工作模式。進(jìn)入離 線工作模式后,將切斷所有網(wǎng)絡(luò)和存儲(chǔ)輸出�,但可以在安全數(shù)據(jù)區(qū)的加密受控空間工作,存 儲(chǔ)數(shù)據(jù)���。
[0012] 具備外設(shè)禁用功能�����?�?筛鶕?jù)需要設(shè)定在某種工作模式下�,強(qiáng)制禁止客戶端計(jì)算機(jī) 的所有外設(shè)輸出端口����,進(jìn)一步增強(qiáng)客戶端數(shù)據(jù)使用環(huán)境的安全性。這些外設(shè)包括常用的數(shù) 據(jù)輸出端口���,如USB����、紅外�����、光驅(qū)、軟驅(qū)�、串口、并口��、1394等��。
[0013] 采用統(tǒng)一的用戶管理模式�����,用戶可以是簡(jiǎn)單的用戶名/ 口令用戶�����,也可以跟安全 認(rèn)證系統(tǒng)相結(jié)合����,使用統(tǒng)一的令牌用戶。
【專利附圖】
【附圖說(shuō)明】
[0014] 圖1是本發(fā)明中小企業(yè)信息管理系統(tǒng)的整體結(jié)構(gòu)圖��。
[0015] 圖2是客戶端注冊(cè)流程圖����。
[0016] 圖3是客戶端卸載流程圖����。
[0017] 圖4是實(shí)時(shí)命令執(zhí)行流程圖�。
[0018] 圖5是行為管理執(zhí)行流程圖��。
[0019] 圖6是令牌注冊(cè)流程圖�。
[0020] 圖7是令牌認(rèn)證流程圖。
[0021] 圖8是網(wǎng)絡(luò)數(shù)據(jù)管理流程圖�����。
【具體實(shí)施方式】
[0022] 通過(guò)下面對(duì)實(shí)施例的描述���,將更加有助于公眾理解本發(fā)明����,但不能也不應(yīng)當(dāng)將申 請(qǐng)人所給出的具體的實(shí)施例視為對(duì)本發(fā)明技術(shù)方案的限制���,任何對(duì)部件或技術(shù)特征的定義 進(jìn)行改變和/或?qū)φw結(jié)構(gòu)作形式的而非實(shí)質(zhì)的變換都應(yīng)視為本發(fā)明的技術(shù)方案所限定 的保護(hù)范圍���。
[0023] 現(xiàn)有技術(shù)概述:國(guó)內(nèi)已有的基于云計(jì)算的安全管理平臺(tái)技術(shù)研究提出了一種基于 云計(jì)算的安全管理平臺(tái)模型,該模型采用先進(jìn)的云計(jì)算技術(shù)����,利用其提供的強(qiáng)大數(shù)據(jù)處理 能力解決海量安全事件處理效率低的難題���;實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全設(shè)備的分布化、虛擬化���、服務(wù)透 明化的實(shí)時(shí)管理�����;充分保證網(wǎng)絡(luò)的安全性����、可靠性�,降低網(wǎng)絡(luò)風(fēng)險(xiǎn)。
[0024] 國(guó)內(nèi)已有一種云計(jì)算安全架構(gòu)的實(shí)現(xiàn)方法��,是用網(wǎng)閘將云計(jì)算平臺(tái)分成云計(jì)算中 心的前臺(tái)和云計(jì)算中心的后臺(tái)���,在云計(jì)算中心前臺(tái)存儲(chǔ)云用戶的明文文件�,在云計(jì)算中心 的后臺(tái)存儲(chǔ)云用戶的密文文件�,在云用戶端與云計(jì)算中心的后臺(tái)之間建立加密通道,保證 云用戶將程序及其數(shù)據(jù)����,通過(guò)加密通道安全、完整的傳輸?shù)皆朴?jì)算中心的后臺(tái)��,并在云計(jì)算 中心的后臺(tái)運(yùn)行程序���,再將程序運(yùn)行"結(jié)果"通過(guò)加密通道�����,安全����、完整傳輸?shù)皆朴脩舳说目?戶機(jī)里��,在云安全中心建立登錄日志數(shù)據(jù)庫(kù)和操作日志數(shù)據(jù)庫(kù)�����,監(jiān)控外部黑客對(duì)云計(jì)算平 臺(tái)的攻擊��,監(jiān)控云計(jì)算平臺(tái)來(lái)自內(nèi)部管理的非法操作��,從而建立云計(jì)算的安全系統(tǒng)��。
[0025] 國(guó)內(nèi)已有基于云計(jì)算的USBKey身份認(rèn)證技術(shù)研究�����,在相關(guān)文獻(xiàn)中闡述了云計(jì)算 和USBKey身份認(rèn)證的基本概念和框架,分析USBKey在身份認(rèn)證中存在的不足���,將云計(jì)算與 USBKey緊密結(jié)合起來(lái)�����,建立一種基于云計(jì)算的USBKey身份認(rèn)證模型����,該模型簡(jiǎn)單���、安全�����、實(shí) 用���,充分體現(xiàn)了云計(jì)算的優(yōu)勢(shì),有效的解決了 USBKey身份認(rèn)證的安全問(wèn)題�。
[0026] 本發(fā)明基于云計(jì)算的高性能安全控制和管理系統(tǒng),采用基于云計(jì)算技術(shù)��、密碼硬 件芯片的用戶標(biāo)識(shí)、口令用戶標(biāo)識(shí)����、獨(dú)立于windows域的集中認(rèn)證系統(tǒng)及采用主動(dòng)加密�、強(qiáng) 制加密方法、支持策略模型�,對(duì)安全策略、各硬件和系統(tǒng)進(jìn)行統(tǒng)一的安全控制盒管理�。對(duì)日 志等信息進(jìn)行關(guān)聯(lián)分析,支持集群的負(fù)載均衡���、實(shí)現(xiàn)計(jì)算機(jī)遠(yuǎn)程監(jiān)控的及身份認(rèn)證�����、安全管 理和安全保密于一體�。
[0027] 現(xiàn)有的加密技術(shù)往往占用系統(tǒng)資源較大����、容易產(chǎn)生內(nèi)存碎片;容易受到病毒的感 染�����;加密密碼容易忘記后很難破解;被動(dòng)加密�,需要人為主動(dòng)執(zhí)行加密操作;加密體系的局 限性����,要么針對(duì)文件,要么針對(duì)磁盤�����,要么針對(duì)網(wǎng)絡(luò)���,不夠全面���。而且現(xiàn)有技術(shù)方案中,各個(gè) 系統(tǒng)來(lái)自不同的廠家���,系統(tǒng)架構(gòu)繁瑣�,各個(gè)子系統(tǒng)之間不兼容���,沖突不斷��,經(jīng)常造成系統(tǒng)整 體癱瘓����,管理不當(dāng)就會(huì)造成重要文件外泄,造成信息安全事故��。不僅占用大量的軟硬件資 源����,而且會(huì)大量增加部署及管理成本�。影響計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)整體運(yùn)行速率,也不能合理����、全 面的管理整個(gè)網(wǎng)絡(luò)系統(tǒng)。
[0028] 本發(fā)明的中小企業(yè)信息管理系統(tǒng)系列產(chǎn)品是基于內(nèi)網(wǎng)安全理論與加密理論研發(fā) 的安全管理產(chǎn)品��,以密碼技術(shù)為支撐����,身份認(rèn)證為基礎(chǔ),數(shù)據(jù)�、內(nèi)網(wǎng)安全以核心、監(jiān)控審計(jì)為 輔助�����,可靈活全面的定制并實(shí)施各種安全策略,實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)中用戶��、計(jì)算機(jī)和信息的安全管 理�,達(dá)到有效的用戶身份管理、計(jì)算機(jī)設(shè)備管理����、數(shù)據(jù)安全保密存儲(chǔ)和防止機(jī)密信息泄露等 目標(biāo)。
[0029] 中小企業(yè)信息管理系統(tǒng)系列產(chǎn)品是在中小企業(yè)信息管理系統(tǒng)基礎(chǔ)上���,由五個(gè)系統(tǒng) 組成��,分別是安全認(rèn)證系統(tǒng)(ATS)����、終端安全保密系統(tǒng)(SNW)����、終端安全監(jiān)控系統(tǒng)(MCS)、文 檔數(shù)據(jù)管理系統(tǒng)(DCS)���、移動(dòng)存儲(chǔ)設(shè)備管理系統(tǒng)(RMS)���。這五個(gè)系統(tǒng)均采用模塊化設(shè)計(jì)���,根 據(jù)安全機(jī)制的需求將模塊打包成產(chǎn)品基礎(chǔ)包,基礎(chǔ)包作為終端安全產(chǎn)品單獨(dú)使用���,同時(shí)又 可根據(jù)用戶特殊需求與可選包進(jìn)行靈活組合��。
[0030] 本發(fā)明的中小企業(yè)信息管理系統(tǒng)系列產(chǎn)品注重從信息的源頭開(kāi)始抓安全����,對(duì)信息 的存儲(chǔ)��、交換和使用等環(huán)節(jié)實(shí)現(xiàn)全面保護(hù)�,從而達(dá)到信息的全程安全�,主要有以下幾個(gè)特 點(diǎn)。
[0031] 對(duì)內(nèi)網(wǎng)原網(wǎng)絡(luò)系統(tǒng)性能影響小�����。此產(chǎn)品體系完全基于TCP/IP協(xié)議�����,不需要改變現(xiàn) 有網(wǎng)絡(luò)結(jié)構(gòu),支持遠(yuǎn)程管理�。
[0032] 提供一致的內(nèi)網(wǎng)安全解決方案,基于統(tǒng)一管理平臺(tái)����,提供身份認(rèn)證、授權(quán)管理�����、數(shù) 據(jù)保密和監(jiān)控審計(jì)的完整互動(dòng)安全策略�����。
[0033] 提供多種靈活的透明加密措施�,根據(jù)用戶需求可以進(jìn)行文件加密、文件夾加密�、應(yīng) 用系統(tǒng)加密、本地磁盤加密����、移動(dòng)存儲(chǔ)設(shè)備加密等。
[0034] 具備廣域網(wǎng)和大用戶數(shù)等大規(guī)模網(wǎng)絡(luò)部署的架構(gòu)和性能�,支持多機(jī)熱備、負(fù)載平 衡�、分級(jí)管理和多級(jí)部署的功能���。
[0035] 支持基于用戶、計(jì)算機(jī)和控制內(nèi)容的三要素策略設(shè)計(jì)思想�����,策略可以靈活控制��,針 對(duì)不同的用戶和不同的計(jì)算機(jī)實(shí)現(xiàn)不同的策略�,支持權(quán)限在內(nèi)部信息網(wǎng)絡(luò)中的漫游。
[0036] 充分考慮和尊重一般企業(yè)既要訪問(wèn)互聯(lián)網(wǎng)����,又希望對(duì)核心數(shù)據(jù)進(jìn)行保護(hù)的需求, 提供基于模式切換的解決方案��,幫助用戶有效實(shí)現(xiàn)既要上網(wǎng)又要保密數(shù)據(jù)的目標(biāo)�,提供靈 活的企業(yè)數(shù)據(jù)安全解決方案���。
[0037] 提供了對(duì)移動(dòng)存儲(chǔ)設(shè)備的強(qiáng)大管理功能��,提供針對(duì)移動(dòng)存儲(chǔ)設(shè)備的注冊(cè)����、認(rèn)證、策 略控制和使用審計(jì)等措施�����。其中��,策略控制支持禁用�����、制度��、加密�、解密等方式,注冊(cè)則可以 基于用戶��、計(jì)算機(jī)和控制策略三要素進(jìn)行管理
[0038] 提供了基于應(yīng)用系統(tǒng)的數(shù)據(jù)保護(hù)功能��,能夠有效地區(qū)分應(yīng)用系統(tǒng)流轉(zhuǎn)的受控?cái)?shù)據(jù) 和本地非受控?cái)?shù)據(jù)�,對(duì)應(yīng)用系統(tǒng)中的受控?cái)?shù)據(jù)采用加密和權(quán)限控制技術(shù),本地其他非受控 數(shù)據(jù)的使用則不受影響��。
[0039] 提供豐富的授權(quán)管理內(nèi)容����,包括服務(wù)器訪問(wèn)�、中端計(jì)算機(jī)使用��、外設(shè)����、網(wǎng)絡(luò)、應(yīng)用程 序和U盤使用等��。
[0040] 支持豐富的日志審計(jì)��、報(bào)表生成以及實(shí)時(shí)報(bào)警監(jiān)控等功能���,提供豐富的管理手段�����。
[0041] 1.關(guān)鍵技術(shù)
[0042] 2. 1高性能安全服務(wù)器技術(shù)
[0043] 中小企業(yè)信息管理系統(tǒng)是內(nèi)網(wǎng)計(jì)算機(jī)的安全管理平臺(tái)��,其服務(wù)器是整個(gè)安全管理 系統(tǒng)核心�,需要對(duì)所有計(jì)算機(jī)客戶端進(jìn)行實(shí)時(shí)管理和策略實(shí)時(shí)�����,并接受客戶端代理的日志 和監(jiān)控信息���,所以必須保證服務(wù)器的穩(wěn)定性���,使其具有365天的持續(xù)服務(wù)能力,并具有較強(qiáng) 的抗攻擊和抗病毒能力�����。同時(shí)��,因?yàn)锽omse服務(wù)器的客戶端可能是多大上萬(wàn)臺(tái)�,要求服務(wù)器 具有高校的負(fù)載能力。具有上述兩點(diǎn)�,中小企業(yè)信息管理系統(tǒng)在設(shè)計(jì)的時(shí)候充分考慮了以 下關(guān)鍵要點(diǎn),并在技術(shù)上取得了突破�。
[0044] 1. 1. 1資源最小化運(yùn)行技術(shù)
[0045] 在中小企業(yè)信息管理系統(tǒng)設(shè)計(jì)中,資源最小化主要關(guān)注的內(nèi)容包括:CPU使用率�、 內(nèi)存使用率和第二方程序依賴程度等。
[0046] 為了降低CPU使用率����,對(duì)服務(wù)器的流程和動(dòng)作做了各方面的分析和優(yōu)化,減少冗 余的運(yùn)算和操作���,降低CPU使用率的同時(shí)提高了服務(wù)器的性能和穩(wěn)定性��。內(nèi)存控制技術(shù)使 用了內(nèi)存重用技術(shù)�,減少可能產(chǎn)生的系統(tǒng)內(nèi)存碎片,減少系統(tǒng)內(nèi)存消耗�����。在設(shè)計(jì)過(guò)程中�����,為 了減少用戶的投資和保證服務(wù)器的資源充分�,最大程度降低對(duì)第三方程序的依賴,如數(shù)據(jù) 庫(kù)和其他各種協(xié)議等�����,使用中小企業(yè)信息管理系統(tǒng)的服務(wù)器資源最小化�,環(huán)境適應(yīng)型號(hào)。同 事�����,為了適應(yīng)用戶的需求�,也預(yù)置了通過(guò)遠(yuǎn)程通信方式與第三方數(shù)據(jù)程序進(jìn)行協(xié)同工作的 借口,從而減少本地服務(wù)器的系統(tǒng)負(fù)載�,提供本地服務(wù)器系統(tǒng)的穩(wěn)定性。
[0047] 1. 1. 2高效并發(fā)處理技術(shù)
[0048] 中小企業(yè)信息管理系統(tǒng)服務(wù)器是整個(gè)網(wǎng)絡(luò)安全管理的核心�,負(fù)責(zé)對(duì)多大上萬(wàn)個(gè)客 戶端代理的登錄認(rèn)證、實(shí)時(shí)管理�、策略實(shí)施和日志記錄工作,其負(fù)載非常大����,并發(fā)的鏈接數(shù) 量也必然龐大。為了建立高效的并發(fā)處理機(jī)制����,確保服務(wù)器能夠在高負(fù)載情況下正常提供 服務(wù),中小企業(yè)信息管理系統(tǒng)的服務(wù)器設(shè)計(jì)中通過(guò)綜合應(yīng)用多線程����、隊(duì)列、主動(dòng)輪詢等技 術(shù)�����,使得服務(wù)器具有良好的高效并發(fā)處理能力����,能夠滿足任何大型網(wǎng)絡(luò)安全管理需求。
[0049] 1. 1. 3安全認(rèn)證技術(shù)
[0050] 中小企業(yè)信息管理系統(tǒng)的服務(wù)器是整個(gè)系統(tǒng)的核心,管理控制著內(nèi)網(wǎng)所有客戶端 機(jī)器�。為了確保服務(wù)器的安全性,防止服務(wù)器被冒充等行為的發(fā)生�����,中小企業(yè)信息管理系統(tǒng) 的服務(wù)器采用了基于公開(kāi)密鑰算法的安全認(rèn)證技術(shù)��,基于硬件授權(quán)令牌啟動(dòng)服務(wù)器�����,確保 服務(wù)器的身份真實(shí)性���。
[0051] 2. 1.4傳輸加密技術(shù)
[0052] 中小企業(yè)信息管理系統(tǒng)服務(wù)器與客戶端之劍傳輸著策略日志等敏感信息����,為了防 止竊聽(tīng)和攻擊����,服務(wù)器和客戶端、服務(wù)器和控制臺(tái)之間的傳輸信道都采用了加密技術(shù)��,保障 了服務(wù)器的安全性和抗攻擊能力����。
[0053] 2. 2身份認(rèn)證技術(shù)
[0054] 確認(rèn)用戶身份����,確保信息習(xí)用中用戶身份的真實(shí)性��,是一個(gè)安全系統(tǒng)的基本要素���, 也是進(jìn)行授權(quán)、管理和監(jiān)控的基礎(chǔ)���。中小企業(yè)信息管理系統(tǒng)采用高強(qiáng)度身份認(rèn)證技術(shù)����,確保 用戶身份的安全性和可靠性�����,并在此基礎(chǔ)上實(shí)現(xiàn)了靈活的用戶管理體制��。
[0055] 2. 2. 1基于密碼硬件芯片的用戶標(biāo)識(shí)
[0056] 中小企業(yè)信息管理系統(tǒng)采用內(nèi)置密碼芯片的USB KEY作為用戶身份標(biāo)識(shí)的載體����, 所有關(guān)于用戶身份確認(rèn)的關(guān)鍵運(yùn)算步驟都在USB KEY的密碼芯片上完成���,不會(huì)暴露在計(jì)算 機(jī)的內(nèi)存中,避免了在計(jì)算機(jī)中可能遭遇木馬攻擊等危險(xiǎn)�����,從而提高安全性�����。
[0057] USB KEY還采用了雙因素身份的思想��,設(shè)置了用戶個(gè)人識(shí)別碼(PIN)�����,并設(shè)置了可 以防止重放攻擊的自動(dòng)死鎖功能��,進(jìn)一步提高了用戶的安全性�����。
[0058] 2.2.2 口令用戶標(biāo)識(shí)
[0059] 中小企業(yè)信息管理系統(tǒng)支持非硬件的用戶標(biāo)識(shí)�,用戶使用一個(gè)字符串(用戶名 稱)作為用戶身份的標(biāo)識(shí),用戶名稱配合一個(gè)密碼(支持復(fù)雜密碼驗(yàn)證)�,提高用戶的安全 性���。普通用戶標(biāo)識(shí)增加保密的同時(shí)降低成本。
[0060] 2. 2. 3基于PKI體系的數(shù)字證書(shū)認(rèn)證技術(shù)
[0061] 中小企業(yè)信息管理系統(tǒng)采用了 PKI技術(shù)�����,支持目前通用的各種CA運(yùn)營(yíng)商發(fā)放的 X. 509數(shù)字證書(shū)��,PKI技術(shù)是目前公認(rèn)的安全強(qiáng)度可靠的身份認(rèn)證技術(shù)�����,并得到了國(guó)家的大 力支持���。國(guó)家電子簽名方案在2004年通過(guò),使得數(shù)字證書(shū)的認(rèn)證技術(shù)和簽名技術(shù)具有了法 律效應(yīng)�����。安全認(rèn)證系統(tǒng)嚴(yán)格按照PKI的思想和標(biāo)準(zhǔn)進(jìn)行設(shè)計(jì)����,結(jié)合硬件USB KEY作為數(shù)字 證書(shū)載體,使用戶身份得到了高強(qiáng)度的安全保證�����。
[0062] 2. 2. 4獨(dú)立于windows域的集中認(rèn)證系統(tǒng)
[0063] 中小企業(yè)信息管理系統(tǒng)的認(rèn)證系統(tǒng)是一個(gè)獨(dú)立的系統(tǒng),與Windows域是相互獨(dú)立 的��。安全認(rèn)證系統(tǒng)有自己的獨(dú)立認(rèn)證服務(wù)器中心和策略中心�����,不需要依賴于Windows域而 存在����。獨(dú)立的認(rèn)證系統(tǒng)給用戶提供了更多靈活性和更高的安全性。用戶可以跨域?qū)嵤╈`活 的用戶認(rèn)證策略�,給不同Windows域的用戶制定相同的認(rèn)證策略,從而提高管理的靈活性�。 安全認(rèn)證系統(tǒng)采用了完全基于PKI體制達(dá)到認(rèn)證協(xié)議,獨(dú)立于Windows系統(tǒng)��,從而給用戶提 供了更加專業(yè)的認(rèn)證技術(shù)保證����。
[0064] 雖然安全認(rèn)證系統(tǒng)獨(dú)立于Windows的安全域,但是為了更加方便用戶使用��,安全 認(rèn)證系統(tǒng)支持內(nèi)置Windows登錄信息��,并與Windows的登錄系統(tǒng)緊密結(jié)合,從而使得用戶可 以實(shí)現(xiàn)快速的一次性登錄����,方便且安全。
[0065] 2. 2. 5基于認(rèn)證的資源授權(quán)控制
[0066] 首先��,可以針對(duì)用戶授權(quán)其能否使用計(jì)算機(jī)�����,指定某個(gè)用戶只能登錄使用某幾臺(tái) 計(jì)算機(jī)��,或者某臺(tái)計(jì)算機(jī)只能由哪些經(jīng)過(guò)授權(quán)的用戶使用�����。如果用戶沒(méi)有經(jīng)過(guò)授權(quán)��,即便其 擁有計(jì)算機(jī)的管理員賬號(hào)�,其也不能登錄使用該計(jì)算機(jī)�����。
[0067] 此外�����,基于安全認(rèn)證系統(tǒng),還能夠授權(quán)用戶能否使用計(jì)算機(jī)上的各種資源���,這些資 源包括應(yīng)用程序�、各種外設(shè)資源��、網(wǎng)絡(luò)資源和設(shè)備等�。
[0068] 安全認(rèn)證系統(tǒng)通過(guò)安全網(wǎng)關(guān),還可以對(duì)內(nèi)網(wǎng)中的各種服務(wù)器資源進(jìn)行有效的授 權(quán)����,這些服務(wù)器資源包括0A系統(tǒng)、Mail服務(wù)器和FTP服務(wù)器等����。通過(guò)安全認(rèn)證系統(tǒng),給不 同的用戶授予不同的訪問(wèn)權(quán)限���,從而做到對(duì)內(nèi)部用戶進(jìn)有效的權(quán)限管理���。
[0069] 2.2.6認(rèn)證技術(shù)的擴(kuò)展性能
[0070] 結(jié)合認(rèn)證技術(shù),還有更多靈活的擴(kuò)展功能。
[0071] 安全保密磁盤為每個(gè)用戶提供了個(gè)人的保密存儲(chǔ)空間��,從而實(shí)現(xiàn)了再公共計(jì)算機(jī) 上的個(gè)人安全保密需求�����。
[0072] 離機(jī)鎖定功能使得用戶可以在離開(kāi)計(jì)算機(jī)時(shí)�����,拔出USB令牌使計(jì)算機(jī)自動(dòng)處于鎖 定狀態(tài)�����,防止計(jì)算機(jī)被非授權(quán)人員使用��,安全方便�����。
[0073] 2. 3存儲(chǔ)加密技術(shù)
[0074] 2. 3. 1存儲(chǔ)加密體系綜述
[0075] 中小企業(yè)信息管理系統(tǒng)是以密碼技術(shù)為支撐����,加密技術(shù)在系統(tǒng)中占有重要的組成 部分����。其加密體系分為網(wǎng)絡(luò)加密體系和存儲(chǔ)加密體系�����,其中存儲(chǔ)加密體系考慮非常周全���,既 考慮了從企業(yè)和管理者出發(fā)需要的強(qiáng)制加密,也考慮了個(gè)人自己需求的主動(dòng)加密����,并且讓 這兩者得到了有機(jī)結(jié)合。
[0076] 2.3.2主動(dòng)加密
[0077] 2. 3. 2. 1安全保密磁盤
[0078] 安全保密磁盤時(shí)安全認(rèn)證系統(tǒng)的功能模塊之一�,主要用于為每個(gè)用戶提供自己的 安全隱私空間,采用了完全透明的加密技術(shù)�。
[0079] 在安全認(rèn)證系統(tǒng)中,系統(tǒng)管理員為每個(gè)用戶注冊(cè)和發(fā)放一個(gè)USB硬件凌攀作為個(gè) 人身份的標(biāo)識(shí)��,用戶使用這個(gè)硬件凌攀登錄自己的計(jì)算機(jī)后�����,可以在管理界面創(chuàng)建一個(gè)或 多個(gè)安全保密磁盤��。安全保密磁盤本質(zhì)上是一個(gè)加密文件��,存儲(chǔ)在里面的文件數(shù)據(jù)都是加 密的。安全保密磁盤的特性如下:
[0080] 安全保密磁盤里面的存儲(chǔ)的數(shù)據(jù)和文件都是加密的�;
[0081] 只有創(chuàng)建該安全保密磁盤的用戶才能打開(kāi)該安全磁盤;
[0082] 安全保密磁盤的使用與普通磁盤分區(qū)完全相同��;
[0083] 用戶注銷后�����,安全保密磁盤自動(dòng)關(guān)閉�����;
[0084] 多個(gè)用戶可以在同一計(jì)算機(jī)上各自創(chuàng)建自己的安全保密磁盤��;
[0085] 安全保密磁盤文件可以隨時(shí)轉(zhuǎn)移到其他計(jì)算機(jī)���;
[0086] 安全保密磁盤可以設(shè)定為插入令牌后自動(dòng)打開(kāi)或手動(dòng)打開(kāi)�����;
[0087] 安全保密磁盤可以指定特定的盤符從而適用于安裝應(yīng)用程序��;
[0088] 安全保密磁盤支持自由算法、DES��、3DES、AES或者其他國(guó)產(chǎn)算法��。2. 3. 2. 2客戶端 保S文件子系統(tǒng)
[0089] 客戶端保密文件子系統(tǒng)完全依賴于可惜網(wǎng)絡(luò)認(rèn)證系統(tǒng)�����。該躬耕模塊主要為企業(yè)計(jì) 算機(jī)用戶之間安全傳輸文件數(shù)據(jù)提供有利的安全保障�,采用了非透明的加密技術(shù)。
[0090] 客戶端保密文件子系統(tǒng)依賴于ATS系統(tǒng)的授權(quán)用戶��,支持在ATS用戶之間的安全 文件數(shù)據(jù)傳輸����。例如用戶A要安全傳輸一個(gè)文件給用戶B,如果直接傳輸����,可以能會(huì)因?yàn)榫W(wǎng) 絡(luò)竊聽(tīng)或存儲(chǔ)設(shè)備丟失造成泄密事件。為了避免這種情況�,用戶A可以開(kāi)啟客戶端保密文 件字系統(tǒng),選擇接收文件的對(duì)象���,然后加密��。經(jīng)過(guò)加密的文件可以通過(guò)任何數(shù)據(jù)交換途徑交 給B���,B必須使用自己的用戶名和密碼才能解密和閱讀該文件��。使得即使在加密文件傳輸過(guò) 程中文件被竊聽(tīng)或丟失���,取得文件的人因?yàn)闆](méi)有B的用戶名和密碼,也不能閱讀該文件�,從 而實(shí)現(xiàn)了有效客戶端保密文件。
[0091] 更重要的是��,客戶端保密文件子系統(tǒng)和文件審計(jì)相互呼應(yīng)����,文件在需要外帶請(qǐng)求 審批時(shí)可以在文件審批模塊上直接調(diào)用保密文件對(duì)文件進(jìn)行授權(quán),在數(shù)據(jù)交換時(shí)能夠極大 滿足數(shù)據(jù)在交換過(guò)程中的安全需求�����。保密文件可以與SNW移動(dòng)存儲(chǔ)設(shè)備管理模塊相互協(xié) 調(diào)�,從而相實(shí)現(xiàn)在不突破SNW儲(chǔ)存滾利規(guī)則的情況下,和在SNW系統(tǒng)外的特殊權(quán)限用戶進(jìn)數(shù) 據(jù)交換����,滿足企業(yè)緊急情況下或者管理者遠(yuǎn)程工作情況下文件審批需要。
[0092] 2.3.3強(qiáng)制加密
[0093] 2. 3. 3. 1SNW移動(dòng)存儲(chǔ)設(shè)備管理
[0094] SNW移動(dòng)存儲(chǔ)設(shè)備管理用于對(duì)軟盤�����、U盤和移動(dòng)硬盤燈便攜式存儲(chǔ)設(shè)備進(jìn)行有效 的管理���,當(dāng)移動(dòng)存儲(chǔ)設(shè)備被注冊(cè)為加密讀寫策略時(shí)候�����,所有寫入該移動(dòng)存儲(chǔ)設(shè)備的文件數(shù) 據(jù)將被強(qiáng)制加密���。采用了透明加密技術(shù)。
[0095] SNW移動(dòng)存儲(chǔ)設(shè)備管理加密的數(shù)據(jù)文件在默認(rèn)狀況下�����,只能在加密該數(shù)據(jù)的計(jì)算 機(jī)所在的虛擬保密子網(wǎng)SNW內(nèi)使用�,S卩如果使用移動(dòng)存儲(chǔ)設(shè)備將這些數(shù)據(jù)攜帶到不在指定 的SNW,將是毫無(wú)意義的加密數(shù)據(jù)�,無(wú)法正確解密。該技術(shù)有效限定了數(shù)據(jù)的共享范圍���,這 樣����,對(duì)于用戶來(lái)說(shuō),既可以享受移動(dòng)存儲(chǔ)設(shè)備共享數(shù)據(jù)的方便性�����,又可以實(shí)現(xiàn)有效地?cái)?shù)據(jù)共 享范圍管理���。如果數(shù)據(jù)要在兩臺(tái)不屬于同一 SNW的計(jì)算機(jī)上進(jìn)行共享����,那么需要者兩個(gè)SNW 建立信任關(guān)系���,并且管理員給該數(shù)據(jù)所在磁盤授權(quán)有允許信任域共享的權(quán)限����。
[0096] SNW移動(dòng)存儲(chǔ)設(shè)備管理的加密技術(shù)是完全透明的��,對(duì)于用戶來(lái)說(shuō)����,只要在允許范圍 內(nèi)使用數(shù)據(jù),跟使用普通U盤活移動(dòng)硬盤完全一樣�����,對(duì)于用戶來(lái)說(shuō)沒(méi)有任何習(xí)慣上的改變, 但是如果用戶試圖將數(shù)據(jù)在非指定SNW內(nèi)計(jì)算機(jī)上使用�,則數(shù)據(jù)是無(wú)效的。
[0097] 2. 3. 3. 2SNW本地磁盤加密
[0098] SNW系統(tǒng)安裝后�����,可以設(shè)定本地磁盤加密策略��。本功能模塊也同樣采用了透明加密 技術(shù)���。
[0099] 本模塊啟用后,所有本地磁盤保存的文件���,都被SNW系統(tǒng)自動(dòng)強(qiáng)制加密保存在磁 盤中��,這樣����,即使磁盤被盜用或丟失�����,都不會(huì)造成企業(yè)重要信息的泄密�����。魷魚(yú)采用了透明的 加密技術(shù),對(duì)用戶和應(yīng)用程序來(lái)說(shuō)都不會(huì)有任何影響����,也不會(huì)因?yàn)榘踩缘奶岣叨绊懹?戶的使用習(xí)慣。該功能模塊是強(qiáng)制加密�,適用于需要加強(qiáng)其數(shù)據(jù)保密安全措施的企業(yè)。
[0100] 2. 3. 3. 3DCS本地受控加密區(qū)
[0101] 本地受控加密區(qū)是DCS系統(tǒng)用戶用于緩存數(shù)據(jù)到本地的區(qū)域���,該區(qū)域同樣采用了 透明加密技術(shù)�,屬于DCS安全數(shù)據(jù)區(qū)的一部分����。
[0102] DCS啟動(dòng)并進(jìn)入工作模式后,一般情況下將禁止用戶將任何數(shù)據(jù)保存在本地磁盤����。 但是存在這種情況,即筆記本用戶如果出差或離開(kāi)公司需要工作的時(shí)候�,可能需要查閱或 者使用一些文件,而這時(shí)候不能連接上公司文件服務(wù)器��。為了解決用戶這個(gè)需求,DCS系統(tǒng) 提供了本地受控加密區(qū)���,即用戶在工作模式下���,可以將文件保存在本地這個(gè)加密區(qū),這個(gè)加 密區(qū)是受控的����,僅在工作模式下才能打開(kāi),即意味著數(shù)據(jù)不能通過(guò)網(wǎng)絡(luò)或者其他存儲(chǔ)設(shè)備 保存在別的任何地方��。推出工作模式后��,加密受控區(qū)即刻關(guān)閉�,其數(shù)據(jù)加密保存在本地磁盤 的某個(gè)地方�����。
[0103] 由于一臺(tái)計(jì)算機(jī)可能由不同用戶使用���,DCS系統(tǒng)針對(duì)每個(gè)用戶自動(dòng)建立本地的受 控加密區(qū)���,采用不同的密鑰進(jìn)行加密,從而避免不同用戶之間數(shù)據(jù)相互泄密。
[0104] 2· 3· 3. 4RMS移動(dòng)存儲(chǔ)設(shè)備加密
[0105] RMS系統(tǒng)作為客戶端移動(dòng)存儲(chǔ)設(shè)備提供完善的管理方案�����,通過(guò)對(duì)移動(dòng)存儲(chǔ)設(shè)備的 注冊(cè)�、授權(quán)、掛失和注銷進(jìn)行各種控制����。一般情況下客戶端禁止使用移動(dòng)存儲(chǔ)設(shè)備,但實(shí)際 情況中客戶端用戶需要使用移動(dòng)存儲(chǔ)設(shè)備進(jìn)行相關(guān)工作����,為解決用戶合理的需求,RMS系統(tǒng) 授權(quán)用戶可以在客戶端使用移動(dòng)存儲(chǔ)設(shè)備����,同時(shí)該設(shè)備的使用權(quán)限收到管理員控制。本模 塊采用了透明加密技術(shù)���。
[0106] 由于客戶端使用移動(dòng)存儲(chǔ)設(shè)備非常頻繁��,為方便管理員查看管理設(shè)備的使用情 況��,RMS系統(tǒng)對(duì)移動(dòng)存儲(chǔ)設(shè)備進(jìn)行日志記錄����,記錄包括客戶端移動(dòng)存儲(chǔ)設(shè)備的使用和設(shè)備里 文件的操作記錄。管理者可以隨時(shí)查看各個(gè)計(jì)算機(jī)上移動(dòng)存儲(chǔ)設(shè)備的文件操作日志����,而且 可以通過(guò)記錄確定客戶端移動(dòng)存儲(chǔ)設(shè)備的使用情況。
[0107] 2. 3. 4存儲(chǔ)加密體系協(xié)調(diào)
[0108] 中小企業(yè)信息管理系統(tǒng)的存儲(chǔ)加密體系是一個(gè)完整的存儲(chǔ)加密體系���,考慮到了企 業(yè)和個(gè)人��、存儲(chǔ)和傳輸�����、易用和安全等方面因素。對(duì)于底層三個(gè)功能模塊�����,由于是強(qiáng)制性的��, 所以策略啟動(dòng)后所有符合規(guī)定的文件都被強(qiáng)制使用該策略�����,對(duì)于主動(dòng)加密的功能來(lái)說(shuō),則 用戶具有其他的選擇途徑�����。
[0109] 2. 4網(wǎng)絡(luò)加密技術(shù)
[0110] 網(wǎng)絡(luò)加密技術(shù)是中小企業(yè)信息管理系統(tǒng)的關(guān)鍵技術(shù)之一��,在平臺(tái)的研發(fā)和設(shè)計(jì) 中����,采用了多層次的網(wǎng)絡(luò)加密技術(shù),既有用于保障中小企業(yè)信息管理系統(tǒng)自身可靠性的系 統(tǒng)信息加密�����,又有實(shí)現(xiàn)虛擬保密網(wǎng)等功能的傳輸加密技術(shù)����。
[0111] 2. 4.1數(shù)據(jù)傳輸加密
[0112] 中小企業(yè)信息管理系統(tǒng)的多個(gè)系統(tǒng)采用了數(shù)據(jù)傳輸加密技術(shù),包括SNW����、ATS、DCS 系統(tǒng)���。數(shù)據(jù)傳輸加密時(shí)實(shí)現(xiàn)平臺(tái)功能的關(guān)鍵技術(shù)之一�。當(dāng)數(shù)據(jù)傳輸加密功能因?yàn)樘囟ú呗?被啟動(dòng)后,點(diǎn)到點(diǎn)之間的所有數(shù)據(jù)傳輸都被加密��?;跀?shù)據(jù)傳輸加密技術(shù),實(shí)現(xiàn)了中小企業(yè) 信息管理系統(tǒng)中的許多重要特性和功能����,如SNW分域、安全網(wǎng)關(guān)和DCS網(wǎng)絡(luò)管理技術(shù)等����。
[0113] 中小企業(yè)信息管理系統(tǒng)的數(shù)據(jù)傳輸加密在IP層實(shí)現(xiàn),并根據(jù)策略進(jìn)行靈活的密 鑰和算法管理��。中小企業(yè)信息管理系統(tǒng)的數(shù)據(jù)傳輸中�����,采用了集中的密鑰管理體制���,定期更 細(xì)密鑰,并且每個(gè)中端都使用不同的密鑰進(jìn)行數(shù)據(jù)加密��。
[0114] 2.4.2系統(tǒng)信息加密
[0115] 中小企業(yè)信息管理系統(tǒng)為了保證系統(tǒng)自身安全��,對(duì)系統(tǒng)之間傳輸?shù)闹噶睢⒉呗院?日志等信息也進(jìn)行了加密�����。中小企業(yè)信息管理系統(tǒng)對(duì)系統(tǒng)信息傳輸?shù)募用苁窃趹?yīng)用協(xié)議層 實(shí)現(xiàn)的�。
[0116] 2.5資源控制技術(shù)
[0117] 2. 5.1資源控制概述
[0118] 中小企業(yè)信息管理系統(tǒng)的各個(gè)系統(tǒng)總的來(lái)說(shuō)就是提供一種有效的資源控制手段, 根據(jù)管理需要和規(guī)則對(duì)內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的各種資源進(jìn)行有效控制���。這些資源是廣泛的����, 包括計(jì)算機(jī)資源����、服務(wù)器資源和網(wǎng)絡(luò)資源等。
[0119] 在中小企業(yè)信息管理系統(tǒng)的設(shè)計(jì)理念中��,所有的控制對(duì)象都是一宗資源�。中小企 業(yè)信息管理系統(tǒng)的系統(tǒng)所有這些有價(jià)值的資源進(jìn)行控制,采用了授權(quán)使用�����、違規(guī)記錄及審 計(jì)等多種手段結(jié)合���,確保了所有資源的可控性�,從而提高了內(nèi)網(wǎng)信息系統(tǒng)的安全性和可管 理性。
[0120] 授權(quán)使用是指中小企業(yè)信息管理系統(tǒng)的所有資源必須經(jīng)過(guò)管理員授權(quán)的用戶在 制定狀態(tài)下才能使用�。
[0121] 違規(guī)記錄是指中小企業(yè)信息管理系統(tǒng)用戶違反管理規(guī)則,試圖使用美經(jīng)過(guò)授權(quán)的 資源�����。
[0122] 審計(jì)是指中小企業(yè)信息管理系統(tǒng)對(duì)用戶行為和信息系統(tǒng)的一些重要信息進(jìn)行記 錄�����。記錄信息包括詳細(xì)描述����、用戶、計(jì)算機(jī)及時(shí)間要素��,可以作為以后查證使用����,也可以在此 基礎(chǔ)上生成更加有意義的審計(jì)報(bào)表。
[0123] 2. 5. 2狀態(tài)策略控制
[0124] 中小企業(yè)信息管理系統(tǒng)的系統(tǒng)中����,尤其在安全監(jiān)控系統(tǒng)中,狀態(tài)是策略中的重要 元素�����。所謂狀態(tài)��,是指策略應(yīng)該在什么條件下生效或者失效����,目前,中小企業(yè)信息管理系統(tǒng) 中支持在線/離線兩種狀態(tài)����。
[0125] 所謂在線狀態(tài),是指受控客戶端代理能夠跟服務(wù)器之間建立實(shí)時(shí)心跳鏈接����,收到 服務(wù)器的實(shí)時(shí)管理和控制,這種狀態(tài)一般是在受控設(shè)備在企業(yè)的時(shí)候��。
[0126] 所謂離線狀態(tài)�����,是指受控客戶端與服務(wù)器之間不能建立實(shí)時(shí)心跳連接�����,這種狀態(tài) 一般是指受控設(shè)備脫離內(nèi)部網(wǎng)絡(luò)狀況。
[0127] 管理員在制定策略的時(shí)候�����,可以指定不同狀態(tài)下的策略�,受控客戶端就根據(jù)其狀 態(tài)自動(dòng)啟動(dòng)相應(yīng)的策略,從而實(shí)現(xiàn)靈活控制��。
[0128] 2. 5. 3用戶策略控制
[0129] 中小企業(yè)信息管理系統(tǒng)系統(tǒng)中�,用戶也是策略制定中的重要要素,只要安裝使用 了終端安全認(rèn)證系統(tǒng)�,該要素就可以在策略制定中體現(xiàn)出來(lái)。用戶要素的使用��,使得管理員 制定策略的時(shí)候�,對(duì)同一資源,可以針對(duì)不同的用戶進(jìn)行區(qū)別授權(quán)��。
[0130] 安裝安全認(rèn)證系統(tǒng)后�,只要與用戶相關(guān)的資源,都可以將用戶要素加入����,進(jìn)行策略 制定���,從而適應(yīng)企業(yè)不同人員具有不同權(quán)限的復(fù)雜管理模式��。
[0131] 2.產(chǎn)品特點(diǎn)
[0132] 3. 1安全認(rèn)證系統(tǒng)特點(diǎn)
[0133] 完全獨(dú)立于計(jì)算機(jī)����、網(wǎng)絡(luò)系統(tǒng)原有的認(rèn)證體系,安全可靠性更高����,支持各類標(biāo)準(zhǔn)的 CA服務(wù)器,方便使用�,對(duì)原有的內(nèi)網(wǎng)體系影響很小。
[0134] 基于PKI技術(shù)的"雙因素認(rèn)證"����。用戶必須使用合法的認(rèn)證令牌,并提供認(rèn)證令牌 對(duì)應(yīng)的PIN碼�����,才能登陸安裝了認(rèn)證代理的計(jì)算機(jī)操作系統(tǒng)����,兩層保護(hù)提高了認(rèn)證安全級(jí) 別�����。
[0135] 支持非硬件用戶標(biāo)識(shí)�,用戶擁有合法的用戶名及密碼�����,才能登陸安裝了認(rèn)證代理 的計(jì)算機(jī)操作系統(tǒng)�����,兩層保護(hù)提高了認(rèn)證安全級(jí)別同時(shí)降低成本���。
[0136] 支持將Windows域用戶的用戶名同步到系統(tǒng)作為口令用戶來(lái)處理�����,方便用戶的管 理和使用���。
[0137] 支持在USB令牌用戶之間的安全文件數(shù)據(jù)傳輸。加密文件可以通過(guò)網(wǎng)絡(luò)或者存儲(chǔ) 設(shè)備等進(jìn)行交換傳輸���,只有指定的用戶或者用戶組使用硬件USB令牌才能打開(kāi)或者閱讀被 加密的文件���,提高文件傳輸安全性����。
[0138] 提供了高等級(jí)的個(gè)人計(jì)算機(jī)保護(hù)功能���。用戶可以設(shè)定計(jì)算機(jī)操作系統(tǒng)在凌攀拔出 后自動(dòng)鎖定,以保護(hù)個(gè)人計(jì)算機(jī)的安全�,同時(shí)可以實(shí)現(xiàn)控制安全模式的使用、
[0139] 用戶可以設(shè)置安全磁盤�����,數(shù)據(jù)以加密形式在此磁盤存儲(chǔ)��,與用戶令牌綁定使用��,只 有使用正確的令牌才能加載����。在該磁盤上的操作對(duì)用戶完全透明,和正常的硬盤使用完全 一樣���,并提供了異常情況下的數(shù)據(jù)恢復(fù)功能��。
[0140] 用戶可以創(chuàng)建安全的加密文件���,只有指定的具有解密安全接受者能夠正確解密該 文件并打開(kāi)該文件�。在此基礎(chǔ)上又提供文件二次防泄密功能���,即文件脫離內(nèi)網(wǎng)后���,授權(quán)使用 戶雖然樂(lè)隊(duì),但是其復(fù)制和修改等二次傳播權(quán)限收到限制����。
[0141] 支持客戶端用戶無(wú)需輸入第三方系統(tǒng)用戶名密碼就可以自動(dòng)登錄。
[0142] 建立安全服務(wù)器區(qū)���。使用安全網(wǎng)關(guān)�����,管理員可以指定每個(gè)用戶能夠訪問(wèn)企業(yè)內(nèi)部 哪些特定應(yīng)用服務(wù)器���,或者指定某臺(tái)服務(wù)器只能授權(quán)哪些用戶使用�����。這些用戶訪問(wèn)這些服 務(wù)器之前���,都需要通過(guò)服務(wù)器統(tǒng)一認(rèn)證,獲得授權(quán)�����。
[0143] 令牌分發(fā)��、令牌吊銷���、令牌授權(quán)、令牌更新等操作由管理員在管理中心即可完成�����, 管理效率得到極大提高���。
[0144] 令牌PIN碼輸入錯(cuò)誤達(dá)到預(yù)設(shè)值��,令牌立即鎖定�,防止令牌丟失后對(duì)令牌的強(qiáng)行 字典破解。令牌中的密鑰是唯一且不可復(fù)制的���,不能通過(guò)復(fù)制令牌的能夠方法來(lái)偽造用戶 身份���。
[0145] 3. 2安全保密系統(tǒng)特點(diǎn)
[0146] SNW部署和使用簡(jiǎn)單方便,SNW是在開(kāi)放信息網(wǎng)絡(luò)中劃分出虛擬網(wǎng)絡(luò)�����,各項(xiàng)功能通 過(guò)軟件實(shí)現(xiàn)�,無(wú)需改變?cè)械木W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),且數(shù)據(jù)加密和解密對(duì)永固和計(jì)算機(jī)應(yīng)用來(lái)說(shuō) 都是完全透明���,也不會(huì)影響用戶使用習(xí)慣���。
[0147] 數(shù)據(jù)加密傳輸,網(wǎng)絡(luò)更加安全可靠�����。部署SNW的所有計(jì)算機(jī)���,啟用網(wǎng)絡(luò)策略后��,其 傳輸數(shù)據(jù)都是經(jīng)過(guò)加密的�,且每?jī)膳_(tái)計(jì)算機(jī)使用的通信密鑰都是不一樣的,從而有效防止 網(wǎng)內(nèi)使用惡意監(jiān)聽(tīng)軟件的行為����。網(wǎng)絡(luò)加密的密鑰由SNW服務(wù)器同一管理,并且定時(shí)更新�。
[0148] 在內(nèi)網(wǎng)中按照安全級(jí)別、信任關(guān)系等標(biāo)準(zhǔn)可設(shè)多個(gè)SNW�����,同一 SNW內(nèi)的計(jì)算機(jī)可以 實(shí)現(xiàn)相互之間的數(shù)據(jù)通信�,并可與經(jīng)過(guò)認(rèn)證的存儲(chǔ)設(shè)備進(jìn)行正常的數(shù)據(jù)交換,不在同一 SNW 內(nèi)的計(jì)算機(jī)相互之間不能進(jìn)行正常的數(shù)據(jù)交換��,也不能通過(guò)存儲(chǔ)設(shè)備交換數(shù)據(jù)��,除非獲得 管理員授權(quán)�。
[0149] SNW強(qiáng)制加密所有本地磁盤保護(hù)的文件��,只能在SNW系統(tǒng)啟動(dòng)情況下才能正常使 用本地磁盤��,有效防止了因?yàn)橛脖P丟失�、多操作系統(tǒng)和光盤啟動(dòng)等造成的數(shù)據(jù)泄密事件發(fā) 生��。
[0150] 有效防止了非法外連和非法接入���。SNW內(nèi)的計(jì)算機(jī)不能與SNW外的計(jì)算機(jī)進(jìn)行網(wǎng) 絡(luò)通信,有效防止了基于Modem��、ADSL撥號(hào)或者雙網(wǎng)卡等方式實(shí)現(xiàn)非法外連����,而且防止了通 過(guò)交換機(jī)或者通過(guò)網(wǎng)線將兩臺(tái)計(jì)算機(jī)直連方式的非法接入。
[0151] 通過(guò)安全網(wǎng)關(guān)建立一個(gè)安全服務(wù)器區(qū)�����,可以對(duì)企業(yè)的所有重要信息資源如0A����、 Mail和文件服務(wù)器等進(jìn)行有效保護(hù),防止非法接入計(jì)算機(jī)的攻擊����。
[0152] 3. 3安全監(jiān)控系統(tǒng)特點(diǎn)
[0153] 可以實(shí)現(xiàn)計(jì)算機(jī)遠(yuǎn)程監(jiān)控。對(duì)所有內(nèi)網(wǎng)計(jì)算機(jī)進(jìn)行有效集中的監(jiān)控管理�,及時(shí)監(jiān) 控計(jì)算機(jī)環(huán)境,包括監(jiān)控計(jì)算機(jī)應(yīng)用程序、硬件設(shè)備����、用戶賬號(hào)、網(wǎng)絡(luò)狀況和其他可能信息 等���。
[0154] 支持靈活的策略模型���,可以對(duì)每臺(tái)計(jì)算機(jī)根據(jù)在線/離線狀態(tài)設(shè)置不同的策略, 從而達(dá)到有效控制計(jì)算機(jī)目的���。
[0155] 可以實(shí)現(xiàn)文件分發(fā)功能��,將程序或者文件分發(fā)到客戶端���,客戶端可以選擇性安裝。
[0156] 為了企業(yè)內(nèi)部管理需要和網(wǎng)絡(luò)安全穩(wěn)定需要��,可以對(duì)用戶行為進(jìn)行有效管理�����,t匕 如禁止使用QQ等應(yīng)用程序�,落實(shí)企業(yè)的管理規(guī)章制度�。
[0157] 可以實(shí)現(xiàn)對(duì)計(jì)算機(jī)外設(shè)使用的有效管理控制����,比如對(duì)USB使用���、打印機(jī)的使用或 者撥號(hào)Modem的使用等�����。
[0158] 技能實(shí)現(xiàn)對(duì)每臺(tái)計(jì)算機(jī)的網(wǎng)絡(luò)狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控��,又能對(duì)整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的使用 進(jìn)行有效管理�����。
[0159] 提供IP綁定和非法IP阻斷等網(wǎng)管功能�����。
[0160] 提供文件外發(fā)控制功能�,限制終端網(wǎng)絡(luò)發(fā)送流量�,對(duì)終端的外發(fā)數(shù)據(jù)大小進(jìn)行限 制,可達(dá)到在不禁止用戶正常上網(wǎng)情況下防止用戶網(wǎng)絡(luò)泄密��。
[0161] 提供文件外發(fā)加密功能,控制客戶端用戶外發(fā)文件時(shí)使用的發(fā)送工具程序���,對(duì)用 戶使用該渠道外發(fā)的文件進(jìn)行加密����。
[0162] 提供資產(chǎn)管理和資產(chǎn)審計(jì)功能����,提供各種豐富資源管理報(bào)表。
[0163] 提供完整審計(jì)信息����,對(duì)用戶違法管理規(guī)則的行為進(jìn)行記錄,對(duì)用戶的文件操作進(jìn) 行記錄甚至對(duì)網(wǎng)絡(luò)發(fā)送郵件的內(nèi)容進(jìn)行記錄�����,為以后企業(yè)進(jìn)行信息安全追查提供有力依 據(jù)�����。
[0164] 3. 4文檔數(shù)據(jù)管理系統(tǒng)特點(diǎn)
[0165] 此系統(tǒng)兼顧了保密性和開(kāi)放性���,有效實(shí)現(xiàn)了企業(yè)內(nèi)部計(jì)算機(jī)既要連接外網(wǎng)又要防 止核心數(shù)據(jù)泄密的目標(biāo)����,還可以跟中小企業(yè)信息管理系統(tǒng)其他系統(tǒng)統(tǒng)一使用����,從而建立企 業(yè)完善的集身份認(rèn)證、安全管理和安全保密于一體的信息安全保障體系�。
[0166] 通過(guò)提供工作模式或者普通模式來(lái)改變客戶端計(jì)算機(jī)的連接狀態(tài),為內(nèi)網(wǎng)構(gòu)建一 個(gè)安全的數(shù)據(jù)使用環(huán)境�。用戶登錄普通模式可介入互聯(lián)網(wǎng),但不能介入企業(yè)內(nèi)部受管理的 數(shù)據(jù)服務(wù)器和業(yè)務(wù)系統(tǒng)之中����;切換到工作模式后,即進(jìn)入保密數(shù)據(jù)工作環(huán)境��,此時(shí)只能介入 內(nèi)網(wǎng)受管理的數(shù)據(jù)服務(wù)器和業(yè)務(wù)系統(tǒng)���,同事將自動(dòng)切斷內(nèi)部系統(tǒng)之外的所有通信���。
[0167] 完善的模式切換方式。用戶可能需要切換各種工作模式����,在不同的工作模式之間 切換的時(shí)候����,為了有效清除內(nèi)存和緩沖區(qū)數(shù)據(jù)�����,防止不同模式之間的泄密�����,管理員可以設(shè)定 不同模式之間的切換動(dòng)作��,包括:注銷�、重啟或直接切換。
[0168] 建立安全數(shù)據(jù)區(qū)���,所有存儲(chǔ)數(shù)據(jù)都是加密的�,客戶端僅在進(jìn)入工作模式情況下才 能訪問(wèn)����,所有數(shù)據(jù)都不會(huì)被泄密到普通模式中,從而有效實(shí)現(xiàn)數(shù)據(jù)保密功能�����。
[0169] 具備離線工作模式。在計(jì)算機(jī)與服務(wù)器斷開(kāi)連接后���,進(jìn)入離線工作模式�����。進(jìn)入離 線工作模式后����,將切斷所有網(wǎng)絡(luò)和存儲(chǔ)輸出����,但可以在安全數(shù)據(jù)區(qū)的加密受控空間工作�����,存 儲(chǔ)數(shù)據(jù)����。
[0170] 具備外設(shè)禁用功能?��?筛鶕?jù)需要設(shè)定在某種工作模式下��,強(qiáng)制禁止客戶端計(jì)算機(jī) 的所有外設(shè)輸出端口���,進(jìn)一步增強(qiáng)客戶端數(shù)據(jù)使用環(huán)境的安全性��。這些外設(shè)包括常用的數(shù) 據(jù)輸出端口����,如USB�����、紅外��、光驅(qū)����、軟驅(qū)、串口��、并口�、1394等。
[0171] 采用統(tǒng)一的用戶管理模式�,用戶可以是簡(jiǎn)單的用戶名/ 口令用戶,也可以跟安全 認(rèn)證系統(tǒng)相結(jié)合��,使用統(tǒng)一的令牌用戶。
[0172]當(dāng)然�����,本發(fā)明還可以有其他多種實(shí)施例�����,在不背離本發(fā)明精神及其實(shí)質(zhì)的情況下��, 熟悉本領(lǐng)域的技術(shù)人員可以根據(jù)本發(fā)明做出各種相應(yīng)的改變和變形��,但這些相應(yīng)的改變和 變形都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護(hù)范圍���。
【權(quán)利要求】
1. 一種中小企業(yè)信息管理系統(tǒng),其特征在于���,包括路由器���、交換機(jī)、系統(tǒng)控制臺(tái)�、平臺(tái)服 務(wù)器和客戶端,所述交換機(jī)分別與路由器���、交換機(jī)��、系統(tǒng)控制臺(tái)和平臺(tái)服務(wù)器相連��,所述路 由器與互聯(lián)網(wǎng)相連�����。
【文檔編號(hào)】H04L12/28GK104219077SQ201310217252
【公開(kāi)日】2014年12月17日 申請(qǐng)日期:2013年6月4日 優(yōu)先權(quán)日:2013年6月4日
【發(fā)明者】陳黎 申請(qǐng)人:成都睿恒科技有限公司