一、需求分析

美國CSI/FBI的調查結果顯示，企業和政府機構因重要信息被竊所造成的損失超過病毒感染和黑客攻擊所造成的損失，80%以上的安全威脅來自內部。中國國家信息安全測評認證中心的調查結果也表明，信息安全問題主要來自泄密和內部人員犯罪，而非病毒和外來黑客引起。

因此，如何保護企業的敏感信息、知識產權，如何防范內部人員犯罪，發生信息泄漏事件之后如何進行取證已經成為廣大黨政機關、企事業單位迫切需要解決的問題。

二、中軟內網安全解決方案

解決信息安全問題僅僅依靠技術手段是不現實的，所以業界有“三分技術，七分管理”的說法。具體到內網安全問題，就更是如此，因為內網安全防范的主要對象是內部人員。所以，中軟公司率先提出結合了管理手段和技術手段的內網安全解決方案，為客戶提供切實可行的內網安全保護。

1、管理制度

中軟公司為客戶提供標準化的內網安全管理制度供客戶參考，或者為客戶量身定制適合客戶具體需求的管理制度。

2、功能體系

中軟內網安全解決方案依托的技術手段主要是中軟防水墻系列產品。中軟防水墻系統綜合利用密碼、身份認證、訪問控制和審計跟蹤等技術手段，對涉密信息、重要業務數據和技術專利等敏感信息的存儲、傳播和處理過程，實施全方位的安全保護。

(1) 網絡方式信息泄漏防護

* 網絡層監控：IP地址、TCP端口、UDP端口、IP&PORT訪問控制。

* 應用層監控：FTP、HTTP、SMTP、TELNET、NETBIOS、WEBMAIL/BBS監控。

* 非法外聯監控：Modem撥號、GPRS無線撥號、CDMA無線撥號監控。

* 非法內聯監控：防止非法主機接入內網，對非法接入內網的計算機進行報警和阻斷。

監控策略包括：自由訪問，完全禁止，條件防護，只禁止黑名單和只禁止白名單。

(2) 存儲介質信息泄漏防護

* 普通移動存儲介質防護: 支持禁止使用、自由使用、自由使用記錄日志、自由使用備份文件、文件加密等控制策略。

* 可信移動存儲介質防護：根據國家對涉密介質管理的要求，提供對移動存儲介質從購買、使用到銷毀全過程的管理和控制。它基于虛擬磁盤技術，從密級識別、認證授權、訪問控制、鎖定自毀、違規監控、扇區加密、安全審計等方面對移動存儲介質進行失泄密防護管理。支持涉密介質接入或安裝在非涉密計算機上將不能使用，非涉密介質接入或安裝在涉密計算機上也不能使用；數據始終以密文形式存儲在涉密介質上，涉密介質丟失不會造成泄密事故。

(3) 打印機信息泄漏防護

支持禁止使用、自由使用、允許使用并記錄日志、允許使用并記錄文件內容。

(4) 外設接口信息泄漏防護

包括USB接口、SCSI接口、串行總線、并行總線、無線網卡接口、藍牙接口、紅外接口、PCMCIA接口、軟盤控制器、DVD/CD-ROM驅動器，支持啟用和禁止兩種控制策略。

(5) 文件安全服務

* 我的加密文件夾：默認為每一個注冊用戶建立一個“我的加密文件夾”，加密存放個人重要數據。

* 文件加密共享：強大的文件加密共享機制，支持個人加密、小組用戶加密、公共用戶加密和跨域個人加密。

(6) 信息資產管理

自動搜集軟硬件資產清單；軟硬件資產變更報警；軟硬件資產分類統計報告。

(7) 運行狀況監控

* 系統資源占用情況監控:包括CPU、MEM、硬盤占用情況、網路流量等，超出門限值告警。

* 當前活動情況監控:包括當前應用程序、進程、網絡連接、共享文件夾、服務等。

(8) 安全審計

* 安全事件日志：記錄與安全策略相關的日志，包括網絡失泄密日志、可信移動介質使用日志、媒體介質日志、打印機日志、文件安全服務日志等。

* 黑匣子：中軟公司參照航空業事故調查中的“黑匣子”概念，在本地文件中記錄主機的詳細操作日志，用于安全事故的分析與調查，以追究泄密責任。

3、系統部署

中軟防水墻系統由三部分組成：防水墻客戶端、防水墻服務器和防水墻控制臺。

(1) 防水墻客戶端

防水墻客戶端是部署在受監控主機上的代理軟件，負責執行管理員下發的安全策略和管理命令并收集適當的數據傳輸給服務器。

(2) 防水墻服務器

負責將管理員制定的管理策略存入數據庫并下發給客戶端；接受客戶端收集的各種數據存入數據庫并將適當的數據傳遞給控制臺顯示。

(3) 防水墻控制臺

是系統與管理員的人機接口，實現策略管理、系統管理、參數配置、事件管理和系統審計等功能。

三、成功案例

目前，中軟內網安全解決方案已經成功應用在國家工商行政管理總局、中國兵器工業集團、航天科工集團某研究院、中國石油天然氣股份有限公司、三星電子中國通信研究院、三一重工股份有限公司等數百家單位，試用用戶上千家。在實際應用中多次為客戶發現了信息泄漏事件，避免了泄密損失，贏得了用戶的一致好評。