一、需求分析

  美国CSI/FBI的调查结果显示，企业和政府机构因重要信息被窃所造成的损失超过病毒感染和黑客攻击所造成的损失，80%以上的安全威胁来自内部。中国国家信息安全测评认证中心的调查结果也表明，信息安全问题主要来自泄密和内部人员犯罪，而非病毒和外来黑客引起。

  因此，如何保护企业的敏感信息、知识产权，如何防范内部人员犯罪，发生信息泄漏事件之后如何进行取证已经成为广大党政机关、企事业单位迫切需要解决的问题。

二、中软内网安全解决方案

  解决信息安全问题仅仅依靠技术手段是不现实的，所以业界有“三分技术，七分管理”的说法。具体到内网安全问题，就更是如此，因为内网安全防范的主要对象是内部人员。所以，中软公司率先提出结合了管理手段和技术手段的内网安全解决方案，为客户提供切实可行的内网安全保护。

1、管理制度

  中软公司为客户提供标准化的内网安全管理制度供客户参考，或者为客户量身定制适合客户具体需求的管理制度。

2、功能体系

  中软内网安全解决方案依托的技术手段主要是中软防水墙系列产品。中软防水墙系统综合利用密码、身份认证、访问控制和审计跟踪等技术手段，对涉密信息、重要业务数据和技术专利等敏感信息的存储、传播和处理过程，实施全方位的安全保护。

(1) 网络方式信息泄漏防护

* 网络层监控：IP地址、TCP端口、UDP端口、IP&PORT访问控制。

* 应用层监控：FTP、HTTP、SMTP、TELNET、NETBIOS、WEBMAIL/BBS监控。

* 非法外联监控：Modem拨号、GPRS无线拨号、CDMA无线拨号监控。

* 非法内联监控：防止非法主机接入内网，对非法接入内网的计算机进行报警和阻断。

  监控策略包括：自由访问，完全禁止，条件防护，只禁止黑名单和只禁止白名单。

(2) 存储介质信息泄漏防护

* 普通移动存储介质防护: 支持禁止使用、自由使用、自由使用记录日志、自由使用备份文件、文件加密等控制策略。

* 可信移动存储介质防护：根据国家对涉密介质管理的要求，提供对移动存储介质从购买、使用到销毁全过程的管理和控制。它基于虚拟磁盘技术，从密级识别、认证授权、访问控制、锁定自毁、违规监控、扇区加密、安全审计等方面对移动存储介质进行失泄密防护管理。支持涉密介质接入或安装在非涉密计算机上将不能使用，非涉密介质接入或安装在涉密计算机上也不能使用；数据始终以密文形式存储在涉密介质上，涉密介质丢失不会造成泄密事故。

(3) 打印机信息泄漏防护

  支持禁止使用、自由使用、允许使用并记录日志、允许使用并记录文件内容。

(4) 外设接口信息泄漏防护

  包括USB接口、SCSI接口、串行总线、并行总线、无线网卡接口、蓝牙接口、红外接口、PCMCIA接口、软盘控制器、DVD/CD-ROM驱动器，支持启用和禁止两种控制策略。

(5) 文件安全服务

* 我的加密文件夹：默认为每一个注册用户建立一个“我的加密文件夹”，加密存放个人重要数据。

* 文件加密共享：强大的文件加密共享机制，支持个人加密、小组用户加密、公共用户加密和跨域个人加密。

(6) 信息资产管理

  自动搜集软硬件资产清单；软硬件资产变更报警；软硬件资产分类统计报告。

(7) 运行状况监控

* 系统资源占用情况监控:包括CPU、MEM、硬盘占用情况、网路流量等，超出门限值告警。

* 当前活动情况监控:包括当前应用程序、进程、网络连接、共享文件夹、服务等。

(8) 安全审计

* 安全事件日志：记录与安全策略相关的日志，包括网络失泄密日志、可信移动介质使用日志、媒体介质日志、打印机日志、文件安全服务日志等。

* 黑匣子：中软公司参照航空业事故调查中的“黑匣子”概念，在本地文件中记录主机的详细操作日志，用于安全事故的分析与调查，以追究泄密责任。

3、系统部署

  中软防水墙系统由三部分组成：防水墙客户端、防水墙服务器和防水墙控制台。

(1) 防水墙客户端

  防水墙客户端是部署在受监控主机上的代理软件，负责执行管理员下发的安全策略和管理命令并收集适当的数据传输给服务器。

(2) 防水墙服务器

  负责将管理员制定的管理策略存入数据库并下发给客户端；接受客户端收集的各种数据存入数据库并将适当的数据传递给控制台显示。

(3) 防水墙控制台

  是系统与管理员的人机接口，实现策略管理、系统管理、参数配置、事件管理和系统审计等功能。

三、成功案例

  目前，中软内网安全解决方案已经成功应用在国家工商行政管理总局、中国兵器工业集团、航天科工集团某研究院、中国石油天然气股份有限公司、三星电子中国通信研究院、三一重工股份有限公司等数百家单位，试用用户上千家。在实际应用中多次为客户发现了信息泄漏事件，避免了泄密损失，赢得了用户的一致好评。