安全内网建设解决方案.ppt

安全内网建设解决方案 北京双洲科技有限公司 一、安全内网系统总体建设 内网建设的技术要求 信息系统分级保护要求关注系统的物理安全、运行安全、以及安全保密技术三块 物理安全着重对各级别信息系统的环境安全、设备安全、介质安全提出要求 运行安全注重信息系统备份与恢复，计算机恶意代码防护，应急响应和运行管理 信息安全技术要求明确提出以下技术，并对使用这些技术的方式和范围进行了明确的规定 身份鉴别、访问控制、信息密码措施、电磁泄露发射防护、信息完整性校验、系统安全性能检测、安全审计、抗抵赖、操作系统安全、数据库安全、边界安全防护 内网安全基础架构 系统的整体部署 二、uniLink系统的作用和功能 uniLink系统终端无痕防泄密 数据集中存储，应用集中部署和运行，对应用和数据进行集中管理和授权访问控制。 终端远程虚拟操作应用软件，终端没有数据痕迹和操作痕迹，防止使用的数据从终端意外被动泄密。 对数据的输出操作进行严格的控制，从原理上讲，终端未经授权无法下载、拷贝和打印文件数据，防止从终端主动的数据泄密。 uniLink对内网系统的安全加固 根据国家主管部门对信息系统安全分级的要求，UniLink系统在以下安全方面加强安全技术手段。 在客户端实现强的身份认证，保证用户身份的真实性 在客户端和服务器之间实现强身份认证，并对客户端进行授权访问的控制。 对客户端和服务器端的传输，若经过非可信任的网络，进行传输防护。 在服务器端根据分区域、分级的安全保密要求进行管理。 对于有加密要求的业务应用系统，在服务器端可使用国产加密机提供文件的加密、签名、完整性验证等功能 uniLink对内网系统的安全加固 在服务器区域能够实现同高性能的防火墙、防病毒网关、入侵防范、信息过滤、边界完整性检查、安全审计等 产品的完全连接。 系统能够完成灾备的功能，并能够实现数据和系统备份，恢复和系统的切换等功能。 在系统客户端若增加文件下载功能，提供相应的终端安全保密的保护功能（数据文件的加解密、存储介质的管理等），并具有能够同相应密级的终端加解密设备连接的能力。 三、uniLink系统与其他安全系统兼容部署 UniLink与其它安全产品的融合 与VPN 、防火墙等产品的结合实现网络安全 与PKI产品的融合实现身份认证和访问控制 与加密机产品的结合实现传输层数据加密和应用层数据加密 与VPN 结合实现网络安全 unilLink产品工作在网络层之上，只要在VPN、防火墙进行简单配置，就可以透明的穿过VPN和防火墙进行使用，无须对产品本身进行改动。 与PKI结合实现身份认证和访问控制 通过数字证书的认证，实现对用户身份的认定，保证客户端的合法使用。 通过在服务器端的授权控制，实现客户端对数据以及应用的访问控制。 需要在客户端和服务器端编制应用程序完成基于数字证书的认证。 需要将服务器授权控制对应到数字证书之上，而不是对应到具体的终端设备之上。 与加密机产品的结合 在服务器端使用加密机，可以在服务器端的应用层实现数据加密，数字签名，完整性验证等功能，实现数据的存储和传输的安全。 需要在服务器端编制标准的应用加密的API适配层接口，在适配层再针对不同的加密机应用接口进行编制。 在服务器和客户端同时部署加密机，可以实现客户端到服务器端的传输加密。 与加密机产品的结合 四、构建内网安全办公环境 安全内网办公环境的构成 在安装uniLink应用管理系统以后，可以构成一个安全的电子办公环境 利用双州FMS构成安全文档管理系统和超级电子机要室 将已有的OA系统平滑的迁移到uniLink应用管理系统构筑的安全平台之上，终端无痕防泄密，保证OA系统的安全。 利用双洲公司提供的安全即时通信、安全邮件和安全公告系统等安全办公组件保证办公安全，提高办公效率 安全办公环境总体部署 优化部署 双洲FMS构建电子机要室（安全文档系统） 终端无痕迹、应用统一管理。 个人文档与工作文档独立存储，互相保密、责任明确。 管理员之间互相制约，没有最高管理员。 从新建、撰写、存储、阅读、消亡，终端均无痕迹。 文档编辑过程全程审计，防抵赖。 原有工具软件无需改动，避免重复建设。 数据集中而又相互独立存储，无需人人都是机要员。 数据不流动，无传输过程，比加密更安全。 完美控制信息流向，打印、复制、移动、外发均可控。 安全OA系统 防止用户身份冒认：用户身份认证、用户行为记录防抵赖 防止传输中的截获：SSL VPN对通道保护、内容保护（信息转化成虚拟影像） 防止使用中的窃取：终端无痕、防止拷屏、打印受控、防止临时文件窃取 集中部署，系统实施快速，维护简单 OA系统无需改动，用户不需要改变操作习惯 uniLink办公组件——安全即时通信 与uniLink集成的用户管理，选用双因素认证等高