Chinasec安元明朝万达技术白皮书.docVIP

ChinasecTM系列安全产品 白皮书 合肥融思信息科技科技有限公司 目 录 1 内网信息安全概述 1 1.1 内网信息安全面临的威胁 1 1.2 内网信息安全产品现状 1 1.3 Chinasec可信网络安全平台系列产品的特点 2 2 关键技术 3 2.1 高性能安全服务器技术 3 2.1.1 资源最小化稳定运行技术 3 2.1.2 高效并发处理技术 3 2.1.3 安全认证技术 4 2.1.4 传输加密技术 4 2.2 身份认证技术 4 2.2.1 基于密码硬件芯片的用户标识 4 2.2.2 口令用户标识 4 2.2.3 基于PKI体制的数字证书认证技术 4 2.2.4 独立于Windows域的集中认证系统 5 2.2.5 基于认证的资源授权控制 5 2.2.6 认证技术的扩展性能 6 2.3 存储加密技术 6 2.3.1 存储加密体系综述 6 2.3.2 主动加密 7 2.3.3 强制加密 8 2.3.4 存储加密体系协调 10 2.4 网络加密技术 10 2.4.1 数据传输加密 10 2.4.2 系统信息加密 11 3 产品资质 12 内网信息安全概述 内网信息安全面临的威胁 随着信息技术特别是网络技术的发展，网络在日常工作中发挥着越来越重要的作用成为日常工作不可或缺的重要组成部分手段应该看到信息安全要立足于终端，从源头抓起，才能从根本上解决安全问题同时信息安全也要和应用系统紧密结合，才能做到有的放矢，真正有效地满足我国各行业的迫切需求。解决安全问题MGT）和Chinasec（安元）可信数据管理系统（DMS）。这四个系统均采用模块化设计，既可以单独使用，又可以根据用户特殊需求进行灵活的模块再组合，非常方便。 Chinasec可信网络安全平台系列产品注重从信息的源头开始抓安全，对信息的存储、交换和使用等环节实现全面保护，从而达到信息的全程安全，主要有以下几方面的特点。 对内网原网络系统性能影响小。此产品体系完全基于TCP/IP协议网络，不需要改变现有网络结构，支持远程管理，对原系统的性能影响很小。 提供整体一致的内网安全解决方案，基于同一个管理平台，提供身份认证、授权管理、数据保密和监控审计的完整互动安全策略。 提供多种灵活的透明加密措施，根据用户需求可以进行文件加密、文件夹加密、本地磁盘加密、移动存储设备加密和邮件智能加密等。 具备广域网和大用户数等大规模网络部署的架构和性能，支持多机热备、负载均衡、分级管理和多级部署的功能。 支持基于用户、计算机和控制内容的三要素策略设计思想，策略可以灵活控制，针对不同的用户和不同的计算机可以实施不同的策略，支持权限在内部信息网络中的漫游。 紧扣国家保密局颁发的《涉及国家秘密的信息系统分级保护 图1 Chinasec可信网络认证系统流程图 基于认证的资源授权控制 基于用户身份认证技术，Chinasec可信网络安全平台实现了灵活的资源授权机制。 首先，可以针对用户授权其能否使用计算机，指定某个用户只能登录使用某几台计算机，或者某台计算机只能由那些经过授权的用户使用。如果用户没有经过授权，即便其拥有计算机的管理员账号，也不能登录使用该计算机。 此外，基于Chinasec可信网络认证系统，还能够授权用户能否使用计算机上的各种资源，这些资源包括应用程序、各种外设资源、网络资源和设备等。 Chinasec可信网络认证系统通过安全网关，还可以对内网中的各种服务器资源进行有效地授权，这些服务器资源包括OA系统、Mail服务器和FTP服务器等。通过Chinasec可信网络认证系统，给不同的用户授予不同的访问权限，从而做到对内部用户进行有效的权限管理。 通过Chinasec可信网络认证系统，能够做到不同用户在同一台计算机上拥有不同的使用权限，具有灵活的可管理性。 认证技术的扩展性能 结合认证技术，还有更多灵活的扩展功能。 安全保密磁盘为每个用户提供了个人的保密存储空间，从而实现了在公共计算机上的个人安全保密需求； 离机锁定功能使得用户可以在离开计算机时，拔出USB令牌使计算机自动处于锁定状态，防止计算机被非授权人员使用，安全方便。 存储加密技术 存储加密体系综述 Chinasec可信网络安全平台是以密码技术为支撑，以数据安全为核心的内网安全平台，加密技术在系统中占有重要的组成部分。其加密体系分为网络加密体系和存储加密体系，其中，存储加密体系考虑非常周全，既考虑了从单位和管理者角度出发需要的强制加密，也考虑了个人自己需要的主动加密，并且让这两者得到了有机的结合。 总的来说，Chinasec可信网络安全平台的存储加密体系分布在多个系统中，包括Chinasec可信网络认证系统（TIS）、Chinasec可信网络保密系统（VCN）和Chinasec可信数据管理系统（DMS），他们各自独立，又相