chinasec

隨着信息技術特別是網絡技術的發展，網絡在人們的日常工作中發揮着越來越重要的作用。大部分的企業或機關單位都組建了內部的局域網，實現了資源共享，在方便信息傳遞的同時，極大地提高了工作效率。

內網開放共享的特點，使得分佈在各台主機中的重要信息資源處於一種高風險的狀態，內部信息泄露已經給許多企業單位帶來了鉅額的損失。而根據FBI和CSI對484家公司進行的網絡安全專項調查結果顯示：超過85%的安全威脅來自公司內部，在損失金額上，由於內部人員泄密導致了6056.5萬美元的損失，是黑客造成損失的16倍，是病毒造成損失的12倍。另據中國國家信息安全測評認證中心調查，信息安全的現實威脅也主要為內部信息泄露和內部人員犯罪，而非病毒和外來黑客引起。 這些安全威脅不是防火牆、入侵檢測和防病毒等傳統安全手段所能解決的。應該看到信息安全要立足於終端，從源頭抓起，才能從根本上解決安全問題；同時信息安全也要和應用系統緊密結合，才能做到有的放矢，真正有效地滿足我國各行業的迫切需求。

面對這種現狀，Chinasec（安元）可信網絡安全平台系列產品，經過多年的積累應時而生。擁有內網安全管理平台和移動安全管理平台兩大系列產品。其中，內網安全管理平台主要解決用户在傳統PC架構下的數據安全問題，針對內部網絡的用户身份和計算機終端管理、數據信息保密、數字知識產權保護、應用系統保護、文檔安全保密以及網絡狀況監控維護等安全問題提出了整體的解決方案；移動安全管理平台則主要解決用户在移動互聯網架構下構建移動商務應用中面臨的用户身份安全、接入安全、手機終端安全、數據保密和應用保護等問題。

Chinasec（安元）數據安全管理平台系列產品是在Chinasec（安元）數據安全管理平台的基礎上，由以下系統組成：

致力於為用户提供數據安全防範措施，減少數據泄密風險。系統具有硬盤加密、移動存儲介質管理、外設管理、協議外發加密和應用程序外發加密等功能，以用户單位內部局域網為邊界對敏感數據進行保護。系統同時具有完善的安全審計功能，提供事後追蹤手段；可與身份認證系統聯動，實現高強度的身份認證；可與文件審批系統聯動，建立完善文檔審批機制，規範員工外發行為。

對用户文檔提供全生命週期的細粒度管理。其中：主動加密及權限管理提供單個文件和多個文件的主動加密功能，加密同時可以設置對單個文檔使用者或者使用組設置文檔的使用權限，包括只讀、讀寫、另存、脱密、抓屏、拷貝、無水印打印、帶水印打印、離線使用、再授權等十種基本文檔權限。管理員可以通過控制枱設置文檔加密的模板，用户在終端可選擇該加密模板，加密後的文件具有模板設有的時用權限；文件夾加密提供整個文件夾加密功能，文檔目錄可由使用者自行設置，並可設置該文件夾中的文檔使用權限。用户可以通過拷貝、拖拽方式將文檔放入文件夾中，文檔自動加密及設置權限。如果加密文件夾路徑在服務器中，可實現文件帶權限共享功能。具有相應文檔使用權的用户，可從服務器中下載文件；文件集中管理平台提供文檔集中管理機制，各終端文檔可由服務器集中存儲、文檔權限可由服務器統一設置。

以用户的核心信息應用系統（OA、ERP、CRM、PDM等）為邊界提供數據防範措施，對終端其他系統的數據不產生影響。任意格式的文檔一旦脱離應用系統，就會自動加密並賦予使用權限。文檔的使用者在未經授權的情況下，無法將文檔下載或外帶。

對內網計算機終端進行集中的資源管理，並提供詳細的審計記錄，減少單位內網的安全漏洞和風險，提高了管理效率。系統包括實時監控、遠程控制、應用程序控制、IP端口控制管理、網址訪問控制等功能。所有監控策略，根據客户端的狀態，可以分為離線策略和在線策略兩種。在線策略是指客户端計算機在系統服務器的實時管理網絡中，能實時接收服務器的管理，比如接入單位內部網絡的時候，自動啓用在線策略。離線策略則是指客户端計算機不能接入服務器所在的網絡的時候，比如筆記本電腦出差或者帶回家的時候，這時候客户端自動執行離線策略。基於這兩種策略模式，管理員可以根據用户計算機的不同環境設置不同的用户使用策略，比如在單位（在線）設置寬鬆的策略，離開單位（離線）設置嚴格的策略。

為文檔權限更改及文件交換提供有效的管理流程,在不破壞各數據保密系統密閉安全環境下提供文檔權限更改、文檔交換申請、審批、執行等用户行為管理流程，實現可控、可追蹤的文件使用和交互，提供可執行、可跟蹤、靈活配置的管理手段。

通過對文件內部打入唯一標識來追溯文件的來源，是一種逆向追溯管理方案。可以實現一旦出現泄密事件的有痕可查。提供詳細的日誌查詢功能，無需部署客户端即可實現涉密文檔泄密追蹤，便於責任認定和管理。

通過郵件透明加解密技術，在不影響用户使用習慣的情況下實現防止郵件主動泄密和郵箱密碼被破解等被動泄密風險，並通過設置郵件地址的黑白名單，滿足單位內部實際需求。

實現用户安全身份認證功能。包括計算機操作系統身份認證及Chinasec系統身份認證，支持口令、USB令牌、生物識別等多種識別方式。同時支持集成第三方的用户身份，例如AD域賬號導入、第三方CA證書結合等。該系統完全獨立於計算機、網絡系統原有的認證體系，採用基於PKI技術的“雙因素認證”。

同一台機器在不同的應用場景中，具有不同的安全需求。典型的場景如工作應用場景和個人應用場景，工作應用場景中有較高的安全需求，工作數據為需要保密的數據，所以應具有防泄密的安全措施，同時對使用的環境有較高的安全防範能力；而個人應用場景中有較高的靈活度需求，包括上網、文件交互等。Chinasec終端應用模式切換作為Chinasec-DLP的一個增強模塊，為不同安全需求的用户提供應用模式切換的功能，提供一個個人模式和多個工作模式，在不同模式下可以提供不同的安全策略，每個工作模式中具有獨立的安全虛擬分區，保護工作數據。

提供完善的移動存儲設備管理方案，實現對已註冊設備、未註冊設備進行統一管理，並通過註冊、授權、掛失、註銷等手段實現移動存儲設備生命週期管理。系統提供豐富的事後審計功能。支持對移動存儲設備的文件操作記錄，日誌項包括：操作類型（創建、修改、刪除和重命名等）、時間、用户名、文件名、文件內容等詳細日誌信息；同時，支持對移動存儲設備的使用和管理行為進行記錄，包括移動存儲設備設備的註冊、掛失、解除掛失、插入與拔出等操作，管理者通過記錄可以確定客户端移動設備的使用情況。

Chinasec(安元)移動安全接入系統為移動智能終端用户的接入、傳輸、通信和應用提供了一條安全通道。可單獨使用，也可與移動應用安全系統和移動終端管理系統組成智能移動終端整體安全使用環境，保障敏感數據由防範嚴密的內部網絡延伸至移動互聯中。

網絡通信安全採用國密算法進行通信加密，結合終端多樣性的特點，支持代理和隧道兩種方式啓用安全通道。

應用訪問控制根據終端登錄用户的身份對應用系統進行細粒度的角色管理控制，實現應用系統有效的訪問控制。

隨着移動終端類型的多樣化及其與企業業務的緊密結合，作為公司資產的一部分，對移動終端管理和控制尤為重要。Chinasec（安元）移動終端管理系統實現對終端設備的遠程管理和控制能力，降低企業的管理成本。 對移動性靈活的設備達到實時管理，對終端的操作進行審計，識別風險，並通過策略手段來控制使用。

Chinasec（安元）移動安全應用系統為各種各樣的移動終端應用提供安全環境。具有安全瀏覽器、安全郵件和安全通訊錄等特色安全功能。安全應用使用的所有數據將被加密存放，並且對上層應用透明，不改變用户操作習慣。

深度整合業務流程，為應用系統提供數據加密控制、文檔標籤注入以備事後追溯和多系統統一身份認證。中間件良好的擴展性，可以實現和各種傳統PC終端、移動智能終端及雲終端的數據聯動，構建全IT構架的數據安全體系。中間件的專業封裝，使應用經過輕量級開發即可大大提高安全性。

通過桌面虛擬鏡像數據加密功能，解決雲端數據集中存儲帶來的管理員優先訪問與虛擬機逃逸隱患；結合PKI 技術的雙因子云終端身份認證，保證雲終端身份認證安全，提升遠程使用安全性；依據雲終端劃分虛擬安全域，加強數據傳輸安全管控；數據動態邊界自動加密功能，實現雲中部門間數據可控交互，防止雲終端網絡通信造成泄密；構建全IT 架構協同聯動，統一平台支持多種終端網絡協同管理，有效應對企業IT 架構快速變革與延伸。

以上系統以密碼技術為支撐，以數據安全為核心，以身份認證為基礎，通過主動加密、事前控制、事中監視、事後審計四種手段相結合，可以達到外部入侵進不來、非法外接出不去、內外勾結拿不走、拿走東西看不懂的效果，有效防止機密敏感信息的泄漏，為企事業單位構建了一個可信可控的內網，確保“一切盡在掌控之中”。

為實現全國客户服務統一管理，為客户提供標準化服務，保障在服務有效期內的簽約用户獲得全方位的產品服務與技術支持，Chinasec圍繞項目的整個生命週期構建了一套完整的服務體系。該體系包括專業安全服務、項目實施管理、安全培訓和系統售後服務等一系列內容。

Chinasec的服務體系中包含了專業的內網安全技術人員，這些人員在項目管理、安全顧問、項目實施、系統維護、培訓等方面有着豐富的經驗。同時，Chinasec還在全國各地建立了自己的總代理和技術支持中心.，拉近了客户和Chinasec之間的距離。