【文章內(nèi)容簡介】 目標與原則 系統(tǒng)建設目標 建立 XX 有限公司 內(nèi)網(wǎng)安全管理系統(tǒng)是為 XX 有限公司 構造一個整體的、全方位的、功能強大的內(nèi)網(wǎng)安全管理體系， 以防止 XX 有限公司 內(nèi)網(wǎng)涉密信息外泄 ，通過對 XX 有限公司 內(nèi)網(wǎng)安全工作現(xiàn)狀和需求的分析 ,建立內(nèi)網(wǎng)安全管理系統(tǒng)的總體目標如下 ： ? 終端集中授權管理 ：友好的 控 制臺 界面， 使管理員可以 方便、快速的針對不同終端進行策略下發(fā)。 ? 敏感文件透明加密 ： 建立基于進程的文檔透明加解密系統(tǒng)，對 設計行業(yè)的專業(yè)軟件（ AutoCAD 系列等）與普通軟件和日常辦公軟件所產(chǎn)生的文檔進行加密。 ? 涉密文件全程跟蹤，智能防護 ， 解決對涉密文檔的遠程授權，使分發(fā)出去的文檔權限依然受虎御內(nèi)網(wǎng)安全 管理 系統(tǒng)的控制。 ? 建立硬件安全防護系統(tǒng)， 實現(xiàn)對硬件端口和移動存儲設備的管理。 ? 建立資產(chǎn)管理系統(tǒng)，實現(xiàn) 公司 提高現(xiàn)有設備的利用率 的功能。 ? 建立監(jiān)控審計系統(tǒng)，實現(xiàn)與數(shù)據(jù)安全所有相關行為的信息審計的功能。 系統(tǒng)建設原則 先 進性原則 鑒于企業(yè) 內(nèi) 網(wǎng)安全運行的重要性，內(nèi)網(wǎng)安全管理系統(tǒng)方案設計應充分考慮產(chǎn)品技術上的先進性，盡量選擇著名大公司的成熟產(chǎn)品，要充分考慮系統(tǒng)的易于更新、擴充和升級，以確保系統(tǒng)具有旺盛的生命力。 易于管理、操作和維護原則 內(nèi)網(wǎng)安全管理系統(tǒng)應便于工程實施、方便運行管理、簡化用戶操作、易于技術維護，應使用簡體漢化版軟件。 充分利用現(xiàn)有資源原則 內(nèi)網(wǎng)安全 管理方案 應充分考慮利用 XX 有限公司 現(xiàn) 有資源，保護既有投資，盡量減少額外開銷。同時 內(nèi)網(wǎng)安全管理 產(chǎn)品應與現(xiàn)有系統(tǒng)完全兼容，不能對現(xiàn)有系統(tǒng)軟硬件提出太多的限制，更不能影響其 正常運行。 安全與性能負載均衡原則 安全與性能是一對矛盾體，在方案設計中應針對各個層面，考慮 內(nèi)網(wǎng)安全管理軟件 對系統(tǒng)和網(wǎng)絡資源的占用情況。通過優(yōu)化結構、靈活配置來達到安全與性能的負載均衡，系統(tǒng)整體的平衡安全，在性能上使其對 XX 有限公司 網(wǎng)絡應用的關鍵業(yè)務和最終用戶的影響降至最低。 第三章 總體設計方案 根據(jù)對 XX 有限公司 內(nèi)網(wǎng)安全管理系統(tǒng)的需求分析和總體目標與設計原則，結合天喻虎御內(nèi)網(wǎng)安全管理系統(tǒng)的產(chǎn)品特性，針對 XX 有限公司 內(nèi)網(wǎng)安全管理系統(tǒng)中 的文件加密、存儲設備細 粒 度管理、外接設備控制、涉密文件外發(fā)控制 、終端監(jiān)控與審計 及系統(tǒng)擴展性等各項功能的技術實現(xiàn)方案設計如下： 系統(tǒng) 總體 架構 XX 有限公司 內(nèi)網(wǎng)安全管理系統(tǒng) 用 C/S 架構 ， 按照部署 方式 可以劃分為密鑰管理系統(tǒng) 、服務器 系統(tǒng) 、 控制臺系統(tǒng) 和客戶端 四個部分，其中 密鑰 管理系統(tǒng)和 服務器 系統(tǒng)可以安裝在同一臺計算機上。 業(yè) 務 服 務 器交 換 機主 控 制 臺O A 服 務 器郵 件 服 務 器部 門 1客 戶 端 . . . 客 戶 端子 控 制 臺客 戶 端 . . . 客 戶 端子 控 制 臺客 戶 端 . . . 客 戶 端子 控 制 臺防 火 墻I n t e r n e t部 門 2部 門 n虎 御 服 務 器 本系統(tǒng)采用靈活的系統(tǒng)架構，采用統(tǒng)一密鑰，集中管理的部署方式，虎御服務器和控制臺可以安裝在同一臺計算機上，對客戶端進行集中授權管理，全程統(tǒng)一密鑰，涉密文檔在企業(yè)內(nèi)部可以自由共享。 一： 密鑰管理 子 系統(tǒng) ：初始化 XX 有限公司 文檔加密的根密鑰，創(chuàng)建安全可靠的密鑰環(huán)境。為保證不同企業(yè)客戶之間密鑰的唯一性，文檔加密密鑰均由企業(yè)客戶自行創(chuàng)建，然后保存在主 KEY 內(nèi)；服務器必須插入主 KEY 后才可運行。 二： 服務器 子 系統(tǒng) ： 內(nèi)網(wǎng)安全產(chǎn)品的核心組成部分，插入主 KEY 后作為 后臺服務 自動運行 ，無界面，主要完成 ： 1． 存儲系統(tǒng)組織結構信息、控制臺用戶信息和系統(tǒng)工作配置參數(shù)； 2． 存儲各客戶端代理用戶信息、加密密鑰； 3． 存儲策略，并接收控制臺的指令向客戶端代理下發(fā)策略； 4． 存儲客戶端代理上傳的日志信息和備份數(shù)據(jù)文件，備份數(shù)據(jù)文件采用對應的客戶端用戶密鑰加密后存儲； 5． 接收來自控制臺和客戶端的身份認證 6． 接收控制臺用戶數(shù)據(jù)請求指令，傳送數(shù)據(jù)文件到控制臺，由控制臺進行解密查看分析 三： 控制臺 控制臺是實現(xiàn)系統(tǒng)管理、參數(shù)配置、策略管理和系統(tǒng)審計的人機交互界面軟件系統(tǒng)，采用單級控制臺，實現(xiàn)統(tǒng)一密鑰、集中管理。 主要功能包括： 1． 設置控制臺的工作參數(shù)； 2． 管理密鑰， 初始化 、 備份 和 恢復 密鑰； 3． 客戶端代理的添加和卸載； 4． 客戶端代理策略的配置和下發(fā)； 5． 實時監(jiān)控客戶端狀態(tài) ； 6． 監(jiān)測日志的查看、分析和審計，生成報表； 7． 文件、文件夾的批量加解密操作。 四：客戶端 客戶端是策略的最小執(zhí)行單元。 1． 接 收服務器下發(fā)的策略，并按照該策略控制客戶端代理的工作模式； 2． 文檔加密，對特定進程產(chǎn)生的文檔進行動態(tài)加密 3． 涉密文件防護，防止涉密文檔通過打印、截屏、內(nèi)容復制等手段造成內(nèi)容外泄 4． 移動存儲設備安全管理，從粗細兩種粒度控制終端存儲安全 5． 運行監(jiān)測：實時記錄和上傳終端的運行情況、文件的刪除、重命名，進程、服務、驅(qū)動、用戶和組的變化情況；如果客戶端當時脫機，則保持在客戶端本地，待聯(lián)機后再次上傳。 系統(tǒng)功能架構設計 本系統(tǒng)由 認證 授權、數(shù)據(jù)安全保密、硬件安全防護、文件外發(fā)、 IT 資產(chǎn)管 理、自我保護 、 終端監(jiān)控與審計 七 大功能組成， 覆蓋了內(nèi)網(wǎng)信息安全的各個方面，從源頭上解決了企事業(yè)內(nèi)部的信息安全問題 。 基于進程的文檔加密驅(qū)動 驅(qū)動加密技術基于 windows 的文件系統(tǒng)（過濾）驅(qū)動（ IFS）技術，工作在 windows 的內(nèi)核層。我們在安裝計算機硬件時，經(jīng)常要安裝其驅(qū)動，如打印機、 U 盤的驅(qū)動。文件系統(tǒng)驅(qū)動就是把文件作為一種設備來處理的一種虛擬驅(qū)動。當應用程序?qū)δ撤N后綴文件進行操作時，文件驅(qū)動會監(jiān)控到程序的操作，并改變其操作方式，從而達到透明加密的效果。 驅(qū)動加密技術與應用程序無關，他工作于 windows API 函數(shù)的下層。當 API 函數(shù)對指定 類型文件進行讀操作時，系統(tǒng)自動將文件解密；當進入寫操作時，自動將明文進行加密。由于工作在受windows 保護的內(nèi)核層，運行速度更快，加解密操作更穩(wěn)定。 所有的文件系統(tǒng)操作都是向操作系統(tǒng) I/O 管理器提出的，再由操作系統(tǒng) I/O管理器將操作定位到具體的某個文件系統(tǒng)來完成。文件的操作者和平常一樣，對文件進行正常操作，他們不會感覺到 Windows I/O 及底層發(fā)生的一切變化。文件經(jīng)過 Windows I/O、透明加密技術平臺和 Windows 文件系統(tǒng)的處理，最后存放在磁盤上的文件是經(jīng)過加密的。同時，加密策略（算法、密鑰 和加密文件的指定）內(nèi)置在透明加密技術平臺中，由系統(tǒng)管理員集中管理，文件操作者無權獲取或更改 。 加 密 算 法加 密 密 鑰被 加 密 文 件W i n d o w s I / O 管 理 器加 密 策 略明 文 方 式 操 作 該 文 件 數(shù) 據(jù)透 明 文 件 加 密 技 術 平 臺W i n d o w s 文 件 系 統(tǒng)密 文 方 式 操 作 文 件 數(shù) 據(jù)實 時 加 密 該 文 件 數(shù) 據(jù)密 文 方 式 操 作 文 件 數(shù) 據(jù)加 密 策 略 內(nèi) 置 在 透 明 加密 系 統(tǒng) 中 ， 系 統(tǒng) 管 理 員集 中 管 理 ， 文 件 操 作 者無 權 讀 取 或 更 改在 磁 盤 上 存 儲 被加 密 的 文 件 端口控制驅(qū)動 端口控制主要采用 inline hook 的技術 ， 通過在驅(qū)動層截獲激活設備和創(chuàng)建符號連接的 API來達到選擇性的禁用設備的目的 。 具體來說 ， 通過 inline hook 系統(tǒng)在調(diào)用正常 API 之前 ， 跳轉(zhuǎn)到了我們自己的代碼中 ， 在這段代碼中 ， 我們可以獲取設備比較詳細的信息 ,如總線類型 ,設備類型 ,設備特征碼等 ，在 將這些信息與應用層傳過來的信息比較之后 ， 可以決定禁用還是啟用該設備 。 禁用是通過向設備發(fā)送 IRP 包的方式來實現(xiàn)的 ， 因為所有的 I/O 請求都是以方式 IRP 的方式來表現(xiàn)的 ， 采用這種方式不會打亂 windows 的正常流程 ； 啟用通過跳轉(zhuǎn)到系統(tǒng)正常的 API,放行設備進入系統(tǒng)的正常流程來實現(xiàn)的 。 移動存儲設備控制驅(qū)動 移動存儲設備 只是一個被動的存儲空間而無主動的控制代碼 。 因此只能采用了一種特別的識別方法，即 破壞 移動存儲設備 的引導扇區(qū)部分，通過修改 移動存 儲設備 所在邏輯分區(qū)的引導扇區(qū)部分中的跳轉(zhuǎn)指令和 BPB 部分中每 FAT扇區(qū)數(shù)，分配單元簇的大小等信息，達到破壞 移動存儲設備 起始格式化狀態(tài)使 移動存儲設備 無法訪問，因為操作系統(tǒng)無法獲得正常的 BPB 信息一方面無法正常通過跳轉(zhuǎn)指令得到 BPB 的起始位置，另外 BPB 信息和分區(qū)狀態(tài)不符，使 移動存儲設備 的引導扇區(qū)部分在離開特定主機后處于破壞狀態(tài)，當這樣的 移動存儲設備 插入其他系統(tǒng)后會無法使用而提示對其進行格式化，同時進一步修改 移動存儲設備 內(nèi)文檔格式內(nèi)容。當 移動存儲設備 插入裝有恢復引導扇區(qū)軟件的機器后，首先恢復引導扇區(qū)部分，然后正常使用 移動存儲設備 ，當 移動存儲設備 要拔出時，破壞其引導扇區(qū)部分，達到對特定盤安全管理并只能被特定范圍 的主機使用的目的 。 系統(tǒng)配置清單 序號 貨物名稱 品牌型號 單位 數(shù)量 備注 1 USBKEY 天喻 個 2 2 虎御服務器 系統(tǒng) 天喻 套 1 3 虎御控制臺 系統(tǒng) 天喻 套 1 4 虎御 客戶端 天喻 套 第四章 系統(tǒng)功能 設計 認證授權系統(tǒng) 設計 本系統(tǒng)是整個系統(tǒng)的基礎運行平臺，主要實現(xiàn)對納入內(nèi)網(wǎng)安全管理體系的計算機進行動態(tài)注冊和注銷；接受來自于控制臺和客戶端網(wǎng)絡身份認證；對通過認證的計算機終端進行集中授權管理，授權的內(nèi)容包括 脫機時限、 數(shù)據(jù)安全保密和硬件安全防護 策略，然后下發(fā) ；策略下發(fā)到客戶端后 強制執(zhí)行，客戶端代理根據(jù)這些策略信息防護終端信息安全。 客戶端動態(tài)注冊，浮動 License管理 客戶端安裝完成以后自動重啟，然后連接到服務器進行注冊申請；在控制臺可以對待審核的計算機進行審批，只有通過審批的客戶端才可納入企業(yè)內(nèi)網(wǎng)安全 管理體系，每審批通過一個客戶端 License 許可數(shù)目就減少一個，每刪除一個客戶端節(jié)點 License 許可數(shù)目就減少一個。整個企業(yè)內(nèi)部的客戶端注冊完全動態(tài)進行，實行浮動 License 的管理。 控制臺和客戶端的網(wǎng)絡身份認證 接受來自于客戶端和控制臺的