公私模式自由切换,敏感数据安全隔离.docVIP

公私模式自由切换，敏感数据安全隔离 互联网、云计算和智能终端的广泛应用促使IT环境不断开放，这对企业原IT架构的数据安全提出了更高的要求。很多企业无法将内网与互联网完全区分开，电脑上不仅存有工作数据还有个人数据，员工的移动设备亦办公亦娱乐，一台终端同时连接到多个网络场景下的数据交叉必然带来泄密风险。 数据未隔离 安全隐患大 办公终端访问互联网，在浏览Internet过程中，会有意或无意的造成信息泄露和文件损坏。同时，BYOD情况普遍，终端在内网和互联网之间的自由切换，移动设备的随意插拔，进行数据的交互和相互影响，避免因木马、病毒等因素造成文档的泄密和文件损坏。 同时，当用户访问敏感区域时，对数据存储进行隔离，对网络访问资源进行控制，并对外设、工具软件也， 为防止内网和互联网通过终端的网络通信造成信息的泄漏，系统需要对不同用户、不同用户组、不同安全桌面制定不同的网络策略，从而实现互联网安全桌面可以访问互联网应用，禁止访问内网应用。例如银行业存在生产网、办公网和互联网三网融合的情况，生产网安全桌面可以访问生产系统，禁止访问互联网，达到网络层隔离。同时，系统还应支持终端不同安全桌面之间的隔离，比如同一个局域网内处于办公环境的终端禁止访问处于生产环境终端的网络邻居、共享文件等，从而有效的保障生产网、办公网和互联网之间的网络隔离。 明朝万达数据隔离解决方案 Chinasec(安元)数据安全管理平台的虚拟安全环境系统，以数据加密技术为核心，通过在一台PC机终端上构建不同的安全桌面，实现一台PC机终端同时对内网、敏感信息系统、互联网的正常访问与应用，系统可结合实际应用场景，采用灵活的管控策略，基于虚拟化技术实现了计算环境、数据源、数据存储、网络资源的隔离，形成高（敏感信息系统访问）、中（内网访问）、低（互联网访问）三个安全级别环境。因此数据及网络资源不可被在两个桌面下交叉访问，同时在安全桌面内部对数据的交互流转权限，以及可能存在泄密风险的基础设备（如USB、COM、打印机等）使用，均基于管控策略进行了严格管控。当用户退出某一安全桌面后，系统会确保对用户的操作及数据留存和痕迹进行及时消除，只有当用户再次进入该桌面后，才可访问到历史遗留的数据。有效的防范敏感数据在办公终端落地后泄露和通过上网出口外发泄漏的风险，以及恶意程序等外来威胁传入企业网的风险。在不影响用户日常业务处理和办公的前提下，提供高可用性、扩展性强及符合国家法规的终端数据隔离建设方案。 增值保障 1、安全性保障 采用非对称算法和对称算法结合，实现数据加密核心保护功能；综合运用签名、摘要等安全机制防护核心数据安全风险；通过密钥管理、密钥交换和分发，实现被保护的数据在体系内部受控流动。 2、兼容性保证 充分考虑各种技术的兼容性，同时重视上层的标准化封装，采用适配器、接口统一等技术方法，确保各个层级的兼容性。 3、扩展性要求 采用服务封装、插件框架、面向接口、XML等技术，提高各个组件、功能的内聚程度，从而降低系统的总体耦合度，以真正保证系统的扩展性要求。 4、冗余度设计 冗余度包含物理性能冗余、组件功能冗余、接口功能冗余、代码异常处理冗余等不同层次的冗余度。在总体架构上采用分层架构可以总体上提升系统的组件和接口冗余度。 关键技术 1、驱动级虚拟环境技术 通过操作系统标准接口功能实现虚拟环境控制功能，进入操作系统标准操作链条，无破坏风险。终端磁盘级别加密落地，没有文件直接穿透风险，软硬认证均可支持，且同时用于用户数据加密达到隔离用户数据目标。 2、使用中国国家商用密码标准(SM)算法 中国独立研制的一套可以商业使用的算法标准。目前主要由SM1、2、3、4四个算法构成，基于这四个算法能够构建一套完整的PKI体系，实现对原有RSA基础建设PKI体系的替换。满足国际的相关标准，采用通用技术，遵守国家相关信息化和安全规定。 明朝万达Chinasec（安元）数据安全管理平台是为企业级客户提供一个安全性高、可用性强、数据可追溯的数据隔离产品。消除了员工在开放的办公环境中有意无意的数据泄露事件，守护用户数据安全价值。 特别是银行单位，银监会明确要求对生产网和办公网进行隔离，同时对办公数据和互联网数据隔离。中信银行已经成功应用chinasec（安元）数据安全管理平台做到敏感数据安全隔离保护，成为银行业可复制性的典范。