以 Internet
为代表的全球信息化日益深刻,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,典型的如行政部门业务系统、金融业务系统、企业商务系统等。伴随网络的普及,安全日益成为影响网络效能的重要问题,而
Internet
所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。如何使信息网络系统不受黑客和工业间谍的入侵,防止网络资源的非法使用以及计算机病毒等,已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。信息安全是一项系统工程,网络极大地提高了工作效率,降低了行政管理成本。但与此同时,黑客、病毒以及网上作案日益猖獗,信息安全问题越来越显得突出。调查显示,信息安全问题在很多情况下不是由外来的黑客所引起,而是来自于那些“内部人士”或曾经是“内部人士”的威胁。因此,信息安全问题首先应该从内部的安全着手。
Windows终端可信平台ParaWin
v2.0系列产品是软硬件相结合的产品,通过相应的硬件,提高系统的安全性,克服单纯使用软件防护的局限性。
系统构成
系统组成包括硬件和软件两部分:硬件部分是USB-KEY;软件部分包括客户端可信代理、安全策略服务器,以及中央管理控制台软件。
ParaWin v2.0系统由以下三部分组成:
1.ParaWin安全策略服务器
包括服务器端软件和支持数据库,包括安全策略服务器、接入控制服务器、集中日志服务器、数据库服务器等。功能如下:
- 存储系统组织结构,用户信息和系统工作配置参数;
- 保存客户端可信代理用户信息;
- 存储策略,并接收控制台的指令向客户端可信代理下发策略;
- 存储从客户端上传的日志信息;
- 接收控制台用户数据请求指令,传送数据文件到控制台,由控制台进行解密查看分析。
2.ParaWin客户端可信代理
客户端可信代理是安装于受监控主机上的监测软件,包括安全内核、包含数字证书的USB-KEY和客户端通信模块等。软件安装支持本地安装和远程安装两种方式;客户端可信代理的卸载只接收服务器的卸载指令,本地用户不能自行卸载、关闭监控程序。主要功能如下:
- 接收服务器下发的工作策略,并按照该策略控制客户端可信代理的工作模式;
-
信息泄露防护,包括网络层、应用层、媒体介质、打印机和外设接口等造成的的信息泄露防护;
- 运行监测:实时记录文件的删除、重命名、进程、服务、驱动、用户和组的变化情况;
- 资源获取:接收服务器指令,上传系统的软件、硬件信息;
客户端的核心是安全内核,安装在计算机上以后嵌入到Windows操作系统中在USB
KEY的配合下对用户访问计算机各种资源的行为进行监控,特别是对敏感数据的读、写、拷贝、删除等各种访问实施包括加、解密在内的全程安全保护。同时还对受控资源的使用情况进行严密审计,对受控文件的任何访问都在审计之列,以及其他任何可能导致受控文件失密、失控和破坏的事件也将被审计,从而对攻击行为造成心理威慑,达到保护信息系统安全的目的。
3.ParaWin中央管理控制台
ParaWin管理控制台是实现系统管理、参数配置、策略管理、和系统审计的人机交互界面软件系统。功能如下:
-
用户管理,包括:添加、删除、修改;系统用户采用分权分级的管理方式,每个用户都有其授权工作范围和管理权限;
- 安全工作域结构管理,包括创建组织结构层次深度以及添加、删除系统组织结构;
- 客户端可信代理的添加、安装和卸载;
- 客户端可信代理策略的配置和下发;
- 监测日志的查看、分析和审计;
主要功能:
1、身份管理
1) Windows开机增强认证 ParaWin
v2.0的身份认证布控时机提前到Windows操作系统的引导过程中,在系统完全载入就绪之前,就已经完成了对用户身份的确认。
2) Windows离机锁定保护 用户在离开计算机时,不论离开多长时间,把USB
KEY拔走,计算机自动进入锁定作态,并把用户的工作环境保存下来,这时除了原持USB
KEY人外,任何人都不能进入用户工作环境。
2、权限管理
集中认证、统一授权
为每个需要使用计算机的人员,发放一个代表数字身份的硬件USB令牌,在打开计算机登陆操作系统之前,需要将该令牌插入计算机USB接口;客户端可信代理会自动启动跟安全策略中心的认证过程,通过USB
Key的信息与安全策略中心进行交互认证,认证通过则告知客户端可信代理开始运行,用户才能登陆进入Windows操作系统。管理员还可以设定某个用户能够使用那些计算机,也可以设定某台计算机只允许指定的一个或者多个用户使用。没用授权的用户,在使用自己USB
Key登录计算机的时候,将不能通过认证,从而不能进入该计算机的操作系统使用。
3、终端资产管理
通过管理中心对所管辖的计算机软硬件进行管理,包括:地址信息、系统信息、硬件信息、系统进程、安装程序等等。利用该管理模块可以实现:自动汇总内部员工电脑清单、硬件配置、软件安装清单等,及时了解员工电脑配置变动和缺失、软件安装和卸载以及基本设置变动等情况。
4、个人文件管理
计算机终端上的个人文件的管理采用“文件虚拟保险柜”方式,采用访问控制和数据加密技术,对重要的信息进行集中管理,任何想对该保险柜中的文件进行操作的行为,都会受到该模块安全策略的制约,除非其获得合法权限。
每个用户可以建立多个虚拟的保密磁盘分区,使用方法跟普通磁盘分区完全相同,只有本人才能打开自己建立的保密磁盘分区。当多个人使用同一台计算机的时候,每个人都可以建立自己的保密磁盘分区。
5、终端进程管理
通常情况下,内部存在较为严重的违规使用软件的行为。有些人员在计算机上安装使用游戏软件、盗版软件,不但引入了潜在的安全漏洞,降低了计算机系统的安全系数,还有可能惹来版权诉讼的麻烦;一些内部人员出于好奇心或者恶意破坏的目的,在计算机上安装使用一些黑客软件,从内部发起攻击;还有一些内部人员安全意识淡薄,不安装指定的防毒软件等等。这些行为不仅降低员工的工作效率,且对内网构成重大的安全威胁。
ParaWin终端可信平台的进程管理模块,综合运用“黑名单”、“白名单”、“红名单”机制,确保工作终端内,应用程序运行行为可信和可控。可先由管理系统自动搜集各计算机所有的软件信息,汇总到中央控制平台,形成内网计算机的软件资产报表,同时在中央管理控制台上配置软件运行安全策略,指定内网计算机必须运行的软件和禁止运行的软件,从而对计算机的软件运行情况进行检查,对未运行必备软件的情况发出报警,终止已运行的禁用软件的进程。
6、终端端口管理
ParaWin终端可信平台在端口控制方面具有个人防火墙的核心功能。可以控制windows系统65535个端口。
7、终端外设管理
管理人员可在中央管理控制台设定启用或禁用各终端计算机的外设。客户端将根据中央管理控制台下发的配置启用或禁用,即使断开内网,客户端程序依然具有控制作用。
8、敏感资源访问审计
审计主要是对用户使用终端的行为进行监督管理,将使用过程中重要信息记录到并上传到服务器,便于今后发现“可疑”情况,及时追查安全事故责任。而且,审计文件只能审计管理员才能阅读,不许修改。