內網安全管理平台

隨着對信息安全的重視，企業部署了大量的安全產品，但是大量的昂貴安全產品並沒有起到理想的效果，這又是為什麼呢? 信息安全建設是一個系統工程，需要有統一的協同作戰和聯合監控的管理平台，才能整合現有的信息安全資源，達到資源利用最大化，最大限度的降低信息安全分析，從而保護您的信息系統安全。

內網安全理論的提出是相對於傳統的網絡安全而言的。在傳統的網絡安全威脅模型中，假設內網的所有人員和設備都是安全和可信的，而外部網絡則是不安全的。基於這種假設，產生了防病毒軟件、防火牆、IDS等外網安全解決方案。這種解決策略是針對外部入侵的防範，但對於來自網絡內部的安全防護則顯得無可奈何。隨着各單位信息化程度的提高以及用户計算機使用水平的提高，安全事件的發生更多是從內網開始，由此引發了對內網安全的關注。

但是，統計數字表明，相當多的安全事件是由內網用户有意或無意的操作造成的。為保護內網的安全，一些單位將內網與外網物理隔離，或者將內部通過統一的網關接入外網，並在網關處架設防火牆，IPS,IDS等安全監控設備。儘管如上述所示的各類安全措施都得到了實現，眾多管理者們卻仍然頭疼於泄密事件或其它各類內網安全事件的頻繁發生，這就充分説明了目前內網安全維護的複雜性。

由於相關網絡主管部門缺乏有效的技術手段，不能形成完善的管理機制，使得企業的內網管理長期處於被動管理的局面，發生信息網絡安全事件後的快速處置能力薄弱。內網信息安全已經被證明是在高度信息化的情況下所有單位必須面對的問題，據國際權威調查，85%以上的安全事件出自內網。內網信息安全是一個廣泛的概念，包括了桌面管理、監控審計、授權管理和信息保密等內容，一個完整的內網信息安全體系，需要考慮計算機終端、用户身份、計算機外設、應用系統、網絡、存儲和服務器等各方面的因素。

內網的安全問題絕大多數不是來源於內部人員的惡意行為。更大程度上，漏洞出現在一些無意識、不規範的操作和網絡管理上的疏忽，給信息泄露創造了可乘之機。如果放鬆對內網系統的監管，內部人員可能隨時都會有意或無意地造成安全事故。因此，和外網安全相比，內網安全模型更加全面和細緻，需要對內部網絡中所有組成節點和參與者進行細緻的管理，實現一個可管理、可控制和可信任的內網。

數據安全保護系統是廣東南方信息安全產業基地公司，依據國家重要信息系統安全等級保護標準和法規，以及企業數字知識產權保護需求，自主研發的產品。它以全面數據文件安全策略、加解密技術與強制訪問控制有機結合為設計思想，對信息媒介上的各種數據資產，實施不同安全等級的控制，有效杜絕機密信息泄漏和竊取事件。

數據安全保護系統的保護對象主要是政府及企業的各種敏感數據文檔，包括設計文檔、設計圖紙源代碼、營銷方案、財務報表及其他各種涉及國家機密和企業商業秘密的文檔，可以廣泛應用於政府研發、設計、製造等行業。

1. 透明加解密技術：提供對涉密或敏感文檔的加密保護，達到機密數據資產防盜竊、防丟失的效果，同時不影響用户正常使用。

2. 泄密保護：通過對文檔進行讀寫控制、打印控制、剪切板控制、拖拽、拷屏/截屏控制、和內存竊取控制等技術，防止泄漏機密數據。

3. 強制訪問控制：根據用户的身份和權限以及文檔的密級，可對機密文檔實施多種訪問權限控制，如共享交流、帶出或解密等。

4. 雙因子認證：系統中所有的用户都使用USB-KEY進行身份認證，保證了業務域內用户身份的安全性和可信性。

5. 文檔審計：能夠有效地審計出，用户對加密文檔的常規操作事件。

6. 三權分立：系統借鑑了企業和機關的實際工作流程，採用了分權的管理策略，在管理方法上採用了職權分離模式，審批，執行和監督機制。

7. 安全協議：確保密鑰操作和存儲的安全，密鑰存放和主機分離。

強制加密指定程序編輯的文檔。用户訪問加密文檔時，需要連接服務器（在線，非脱機狀態），並且具有合適的訪問權限。該加密過程完全透明，不影響現有應用和用户習慣。通過共享、離線和外發管理可以實行更多的訪問控制。

對打開加密文檔的應用程序進行如下控制：打印、內存竊取、拖拽和剪貼板等，用户不能主動或被動地泄漏機密數據。

支持共享、離線和外發文檔，管理員可以按照實際工作需求，配置是否對這些操作進行強制審批。用户在執行加密文檔的共享、離線和外發等操作時，將視管理員的權限許可，可能需要經過審批管理員審批。

客户端需要連接服務器才能訪問加密文檔。通過本功能製作離線文檔，即使客户端未連接服務器，用户也可以閲讀這些離線的文檔。根據管理員權限許可，離線文檔可能需要經過審批管理員審批離線時，可以控制客户端的離線時間和離線時是否允許打印。

外部人員不能閲讀加密文檔的內容。本功能製作外發文檔，即使在未安裝客户端的機器上，也可以閲讀這些外發的文檔。根據管理員權限許可，外發文檔可能需要經過審批管理員審批外發的文檔，和內部使用一樣，受到加密保護和泄密控制，不會造成文檔泄露，同時增加口令和機器碼驗證，增強外發文檔的安全性。

集成了統一的用户/鑑權管理，用户統一使用USB-KEY 進行身份認證，客户端支持雙因子認證。

對加密文檔的常規操作，進行詳細且有效的審計。控制枱提供了基於WEB的管理方式。審計管理員可以方便地通過瀏覽器進行系統的審計管理。

通過在操作系統的驅動層對系統自身進行自我保護，保障客户端不被非法破壞，並且始終運行在安全可信狀態。即使客户端被意外破壞，客户端計算機裏的加密文檔也不會丟失或泄漏。

只有通過身份認證，並在服務器管理下，才能訪問這些文檔。因此，無論是因為計算機失竊，還是由於內部員工通過移動存儲設備、電子郵件或即時通訊工具把加密文檔外傳，都能夠保證加密文檔無法閲讀。

有效防止用户主動或被動泄漏機密數據，用户無法通過拷貝、打印、內存竊取、外傳等方式外泄這些加密文檔的內容，即使是通過黑客工具也無法竊取加密文檔的內容。

用户只能訪問屬於本人的加密文檔，根據管理員配置，對加密文檔的指定操作需要管理員審批才能進行，例如共享和解密文檔。

不改變用户使用習慣和業務操作流程，根據實際應用需求，可進行系統配置，支持加密文檔的共享、解密以及帶出功能，同時允許設置管理員進行審批，規範了文檔的管理,降低了管理成本。

全面的系統管理，及數據文檔操作事件審計，系統詳細記錄了管理員管理系統的事件，用户操作加密文檔的事件，做到系統發生的事件均可追溯相關責任人。

提供基於WEB的管理方法，管理員可以通過瀏覽器進行系統管理。用户與計算機設備綁定，同時使用USB-KEY身份認證技術，每個用户依據配置的策略進行操作，即使“管理員不在場”也不會發生違規操作和竊、泄密事故。