一、案例背景:
中国石化工程建设有限公司(Sinopec Engineering Incorporation,简称SEI)是中国石油化工集团公司直属的,以工程设计为主体,可实施工程建设总承包和工程项目管理的工程公司。按2011年统计,公司在册职工2200余人,资产总额158亿元人民币。
SEI集高素质的人才、丰富的工程设计和建设经验、雄厚的技术实力,在石油炼制和石油化工、煤液化和煤化工、天然气加工、环境工程与公用工程等诸多领域,为国内外客户提供优质全面的工程服务。公司能够同时运作大型炼油化工联合工厂的总体设计、炼油化工装置设计、大中型炼油化工EPC或PMC项目,并在炼油化工一体化项目上具有独特的优势。
在SEI实力不断壮大的同时,计算机技术也在飞速发展,计算机应用范围的不断拓展使得现在几乎所有的企事业单位都有自己的内部计算机网络,一些涉密信息也不可避免的存储在位于内部网络的计算机当中。
当前内网中计算机的泄密途径,主要有网络输出、移动存储介质带出、打印带出、电磁辐射泄漏、偷窥记忆带出等情况。其中,移动存储介质以其使用方便、存储量大、隐蔽难以防范的特点,成为内部网络泄密的主要途径。加强移动存储介质的风险分析和风险管理已成为有效保障涉密内网中信息安全的重要工作。
SEI迫切需要一套完善的"移动存储介质使用管理系统",从而有效解决以下移动存储介质管理问题:企业外部移动存储介质未经授权在内部使用;企业内部移动存储介质及信息资源被带出,在外部非授权使用;使用过程的疏忽,导致病毒感染;存贮在媒体中的秘密信息在联网交换时被泄露或被窃取,存贮在媒体中的秘密信息在进行人工交换时泄密;移动存储介质发生故障时,存有秘密信息的介质不经处理或无人监督就带出修理,或修理时没有懂技术的人员在场监督,而造成泄密;移动存储介质管理不规范,秘密信息和非秘密信息放在同一媒体上,明密不分,媒体介质不标密级,不按有关规定管理秘密信息的媒体,容易造成泄密;媒体失窃,存有秘密信息的磁盘等媒体被盗,就会造成大量的国家或企业秘密信息外泄,其危害程度将是难以估量的,丢失造成后果非常严重;移动存储介质的使用过程无审计,事后没有追究责任的依据。
针对SEI所提出的移动存储介质管理问题与需求,北京圣博润高新技术股份有限公司为其建立了LanSecS移动存储介质使用管理系统。
二、解决方案:
LanSecS移动存储介质使用管理系统
1.产品简介
LanSecS移动存储介质管理系统是北京圣博润高新技术股份有限公司(以下简称圣博润)推出的专门用于政府和企业的移动存储介质安全管理系统。系统通过对移动存储介质实施分类注册和使用管理,有效避免了移动存储介质的滥用,以此提高政府和企业存储介质的安全性。LanSecS移动存储介质使用管理系统可为用户解决如下一系列问题:
◆敏感信息和涉密信息的非法拷贝
◆未经授权存储介质在企业内部使用
◆内部授权存储介质在外部非法使用
◆恶意病毒通过存储介质在企业网内传播
◆存储介质使用不规范造成数据丢失或泄密
◆涉密信息在拷贝中被窃取或丢失
◆存储介质维修造成敏感数据泄密
◆存储介质报废造成重要信息丢失
◆存储介质丢失造成私密信息外泄
◆存储介质使用的操作记录和审计管理
在为用户提供终端安全保护手段的同时,LanSecS移动存储介质使用管理系统更加强调为用户提供便利的移动存储介质管理手段,提供集中式、人性化的介质管理功能是LanSecS移动存储介质使用管理系统的特色。
2.产品构架
LanSecS移动存储介质管理系统在架构设计上采用了三层管理结构:安全代理、总控中心、管理控制台。
图1 LanSecS移动存储介质使用管理系统架构
安全代理以服务的形式运行于终端计算机上,是终端计算机管理的核心和基础部件,用于管理和审计终端计算机的安全介质使用。安全代理的设计充分考虑了稳定性、安全性和兼容性要求。安全代理可防止恶意停止,并全面兼容各类防病毒软件、防火墙软件、设计开发软件、业务软件、办公软件。
总控中心用于移动存储介质的集中管理,为安全代理和管理控制台提供一系列的管理服务。由策略管理服务、审计管理服务、注册服务和数据库组成。视企业网络规模和性能要求,这些服务可分别部署在不同的硬件平台上,也可部署在同一个硬件平台上。
管理控制台为系统管理人员提供系统管理入口,采用B/S方式进行系统管理,通过管理控制台可以完成系统管理的全部操作。
三层管理结构大大提高了系统设计开发、安装部署和运行维护的灵活性、便利性和扩展性。
3.产品功能
未注册介质管理:系统对未注册介质的管理通过分发主机策略实现。通过主机策略,可以设置主机对未注介质的使用权限。主机对介质使用权限可以设置为只读、只写、读写、禁用几种,建议用户在初次部署系统时,将未注册移动存储介质管理策略设置为禁用,以保证移动存储介质使用的安全。
介质加密管理:系统可以对移动存储介质进行加密管理。加密管理过程需要对移动存储介质进行授权和注册,通过对介质的加密注册管理保证该介质只能在特定的网络环境使用,提高了介质使用的安全性。建议用户在部署系统时,将绝大部分需要管理的介质采用加密管理方式进行管理,既可以保证移动存储介质使用的安全性,也可以保持一定的使用方便性。
多分区介质管理:多分区U盘管理模式是系统特有的一种U盘管理模式,适用于U盘类移动存储介质。在这种模式下,普通U盘将被分为启动区、加密区、交换区和日志区等四个物理分区,使得U盘的使用更加灵活。利用多分区特性,可以实现多种场景模式应用,适合差旅人员对数据的携带,既有一定的数据保护能力,又可方便的存取使用数据。建议用户在部署系统时,视情况对部分U盘采用多分区方式对其进行管理,以实现安全的内外网单向数据交换。
特权介质管理:特权介质管理是系统对普通介质的一种特殊管理模式,适用于移动硬盘、SD卡、CF卡、MMC卡和记忆棒等特种存储介质的管理。系统对介质进行特权标签标记,表明该介质的独特身份,该标签不影响介质在外网使用,但是在安装有安全代理的计算机上,安全代理可以识别该标签,并可根据策略对其进行访问控制。建议在部署系统时,应尽量避免特权介质管理模式使用,因为该管理模式仍会给内网带来一定的安全风险。
专用安全U盘管理:专用安全U盘是系统配套使用提供单独硬件加密的存储介质。专用安全U盘与多分区U盘的结构类似,也分为启动区、加密区、交换区、日志区四个分区,各分区用途也与多分区U盘类似。与其它类型介质相比,专用安全U盘具有更安全更便携的特点,适合在内网和外网共同使用。建议在部署系统时,视情况采购部分专用安全U盘,实现更加安全的内外网单向数据交换和差旅模式应用。
4.产品特点
完善的分级管理架构,"分散不分立":LanSecS移动存储介质使用管理系统支持分级管理,上级可对下级进行实时的监控,管理下级的安全策略;同时下级的安全事件可以按照设定的上报策略进行逐级上报。通过分级管理,LanSecS移动存储介质使用管理系统可实现跨地域分散部署和集中管理,"分散不分立",形成有效和有机安全管理架构。
灵活的分权管理机制,"集中不集权":在LanSecS移动存储介质使用管理系统中,由统一的管理中心对主机代理进行管理。同时,LanSecS系统提供了基于安全角色的授权管理机制,用户可以根据功能模块分类以及行政机构的划分自定义安全角色,一种安全角色只能执行其所辖部门范围内的相应安全代理的安全策略和审计事件的管理。"集中不集权",保证了管理的安全和合理性。
多层次的安全性措施,保证系统运行的安全可靠:LanSecS移动存储介质使用管理系统的设计充分考虑了自身的安全性,从系统、数据库、网络通讯、策略分发与存储等多个层面加强了安全保护,确保系统运行的安全可靠。
全方位的安全审计功能,有效的防止泄密:LanSecS移动存储介质使用管理系统提供对所有接入移动存储介质的操作进行综合的监控和审计,全方位的监控存储介质的运行状态以及用户的操作行为,实现涉密信息的全程审计与跟踪。
完善的基于数字证书的身份认证机制:LanSecS移动存储介质使用管理系统内嵌身份认证服务,实现了与数字证书的完美结合,管理控制台、安全代理、总控中心以及所有系统管理用户和计算机用户均可通过数字证书进行身份认证。
丰富、多样的统计报表功能:LanSecS移动存储介质使用管理系统提供列表和统计图的报表输出,报表的输出支持HTML、EXCEL、PDF、RTF等四种格式;同时提供手动报表、自动报表两种运行模式,用户可以通过手动报表实时定义过滤条件进行报表的输出,也可以通过自动报表完成基于自定义报表模版的定时输出,自动报表提供日报表、周报表、月报表等三种形式。
高度模块化设计,需求响应迅速:LanSecS移动存储介质使用管理系统管理控制台、安全代理和总控中心均采用模块化设计,并提供用户设计、开发接口和示例,用户可以根据企业的安全需求定制采购,同时也可以根据需求的变化,在运行时动态改变其工作状态,提高系统的运行效率。针对新的安全需求用户可以采用委托开发或者自主开发方式扩展和增强移动存储介质管理功能。
所有组件支持自动升级,系统维护方便、快捷:LanSecS移动存储介质使用管理系统的主机代理及其功能模块均支持基于版本号的网络自动下载更新,只需要在总控中心一次部署即可以完成全网的自动升级。对于总控中心的升级,则可采用系统升级补丁包本地运行的方式完成。
安全代理程序安装部署方式灵活、多样:LanSecS移动存储介质使用管理系统安全代理程序同时支持域模式安装、本地安装、网络分发安装以及WEB安装等多种安装部署方式,用户可以根据实际网络环境自由选择,采取最适合自己环境的安装部署方式,从而极大限度地满足不同网络和不同用户的部署需求。
三、效果分析:
LanSecS移动存储介质使用管理系统的建立,使SEI在移动存储介质管理中可对多分区介质实施加密区,交换区可指定适用策略,管理交换区、加密区的读写权限,对多分区介质实施访问加密处理;实现了对所有介质的注册、使用、权限、维护、销毁做全程管理和信息记录;对所有通过移动存储介质进行数据交换的行为做详细记录。包括文件的建立(文件夹)、拷贝、删除、等动作;会根据当前审计信息做信息统计,根据审计信息做通过介质拷贝数据量的统计,包括内网数据拷贝总量、外网介质拷贝总量、介质拷入总量、介质考出总量;所有审计信息可以通过报表形式导出,各项的审计信息、统计信息、介质注册信息、主机统计信息,都可直接以EXCEL、HTML、PDF、WORD等格式导出。
LanSecS移动存储介质使用管理系统完全符合SEI对于移动存储介质管理的要求,为SEI核心竞争力的提升做出了积极贡献。
