Chinasec功能列表 文件加密功能推介

  • 格式:pdf
  • 大小:151.60 KB
  • 文档页数:11

Chinasec可信网络安全平台功能列表

1 管理和监控功能

1.1. 客户端实时监控

实时远程监视和控制客户端计算机的运行状态,包括:进程、服务、驱动、安装程序、网

络连接状态、用户和用户组、共享目录、设备管理器等;

远程控制客户端计算机(类似PcAnyWhere);

查看客户端当前屏幕,定时进行屏幕记录。

1.2. 软件控制

1.2.1. 软件使用授权

控制用户可以使用的软件,并可以限制只能使用某种软件的特定版本。

比如:禁止使用QQ;

禁止使用6.0以外的ProE版本。

1.2.2. 软件(文件)分发

统一下发应用程序、系统补丁、文档等。预先指定需要接收的客户端(组),接收方自动从

服务器下载,并在下载完成后提醒用户安装或后台强制安装。

1.2.3. 软件使用审计

对客户端安装的软件信息进行汇总,提供审计报表。

对客户端软件的安装和卸载情况进行记录,提供审计报表。 1.3. 外设控制

1.3.1. 外设使用授权

对外设端口设备使用进行授权。端口设备包括USB存储设备、USB普通设备、红外、串口、

并口、蓝牙、键盘鼠标、光驱、软驱和1394口等。

授权方式为禁用或启用,可以根据在线离线状态分别授权。

注:可以根据同类设备的不同型号分别授权,比如只允许使用某种打印机而不能使用其他

打印机。

1.3.2. 打印记录审计

记录客户端打印行为,包括打印文件名、打印人、打印时间、打印内容等。

打印内容根据打印机不同会生成不同格式,使用第三方查看工具进行查看。

1.3.3. 刻录机控制

可以控制刻录机能否使用,或者只能读盘不能刻盘。

1.3.4. 硬件资产审计

对客户端的硬件信息进行汇总(包括CPU、内存、硬盘、网卡、声卡、显卡、光驱、Modem、

鼠标、键盘等),提供审计报表。

比如:共有硬盘多少个,其中40G硬盘多少,80G硬盘多少,可以通过图形形象显示。

对客户端的硬件变更信息进行记录,提供审计报表。

比如:客户端更换了网卡,减少了内存等等。 1.4. 网络控制

1.4.1. IP与端口控制

类似个人防火墙功能。管理员统一制定策略。比如禁止客户端对80端口的访问,或者禁

止客户端开放445端口。

1.4.2. IP地址绑定

客户端的IP和GUID(安装时自动生成的数字,标识客户端身份)绑定,禁止随便修改IP。

1.4.3. 网址访问控制

设定客户端可以访问的网站黑白名单,对访问网址记录进行审计。

1.4.4. FTP控制

设定客户端可以访问的FTP站点黑白名单,对FTP访问记录和上传下载的文件名进行审计。

可以将客户端访问FTP的帐号/密码和GUID绑定,禁止越权访问FTP。

1.4.5. 非法接入阻断

未安装客户端的计算机试图接入内网中时,将受到客户端发起的网络攻击,无法连入内网。

2 数据保密功能

Chinasec可信网络安全平台的数据保密功能以”介质保密”为核心,文档加密为辅助,

对内网中的数据流进行控制。

“介质保密”指的是通过对数据存储,交互时使用的硬盘、U盘、网络、邮件等承载

数据的介质进行加密和控制,达到高安全级别的数据保密效果,同时不依赖于用户使用的

应用系统,文件类型,易用性、兼容性和通用性好。

2.1. 移动存储设备管理

2.1.1. 移动存储设备保密管理

管理员可以设定U盘和客户端计算机(组)之间的对应使用策略。策略分为禁用、只读、

和加密读写三种。

比如设定某个U盘只能在某个客户端计算机组内加密读写,则该组内的计算机可以正常使

用该U盘,但是任何写入U盘的文件后台自动加密,组外(包括内网之外)的计算机无法从U

盘上获取文件。

又比如设定某个U盘是对外的U盘,则该U盘可以从任何一台计算机上拷贝明文数据。

总之,U盘和客户端计算机(组)之间的使用关系可以根据实际需求灵活设定。

2.1.2. 移动存储设备使用审计

管理员可以对所有内网中的U盘进行登记,注册,和注销。系统自动跟踪并记录U盘的

详细使用日志,包括U盘的插入/拔出操作,拷入或拷出的文件记录。

2.2. 邮件保密管理

2.2.1. 邮件发送(SMTP)授权

授权客户端可以发送的SMTP邮件地址黑白名单。

比如设定 *@wonder-soft.cn(公司邮箱) 的白名单,则用户只能向公司邮箱发送邮件。

2.2.2. 邮件收发(SMTP和POP3)审计

对客户端收发的所有邮件进行记录,包括正文和附件内容。

审计记录自动上传到服务器,管理员可以随时查看。 2.2.3. Web文件提交授权和审计

对客户端的Web文件提交(包括通过Web邮件发送附件,OA系统提交文件等)进行授

权,并进行记录。

2.2.4. 邮件(附件)智能加密

客户端向特定邮件地址发送的邮件,附件自动加密。

比如设定 *@wonder-soft.cn(公司邮箱),则发送到公司邮箱的邮件,附件(包括SMTP

附件和Web附件)自动加密。公司内部任意一台客户端计算机登录公司邮箱接受加密邮件时,

后台会自动解密,使用者无需进行任何额外操作。

非客户端计算机不能解密加密后的附件。如有需要,比如合作伙伴之间的邮件交流,可向

管理员提出申请,批准后从管理员处获取解密程序,从而将邮件解密。

解密程序初次使用时需要输入注册码,同样从管理员处获取。管理员根据申请人的情况给

予其相应的使用时间(比如1个月),生成注册码。申请人使用加密程序超过授权时间后,需要

重新向管理员申请新的注册码。

2.3. 网络保密

除了网络控制和邮件保密管理外,Chinasec可信网络安全还提供两个独特的对网络数据进

行保密的功能。

2.3.1. 内部网络传输加密

对内网客户端之间的网络传输通道进行加密,从而达到以下的目的:

1)从根本上防止任何形式的非法外联和非法接入,因为所有的网络传输数据都是加密的,

非客户端无法和客户端之间建立任何连接;

2)防止Sniffer等软件进行嗅探。

加密在客户端系统底层进行,针对所有的IP数据包,对用户的网络使用完全透明,经优

化后对网络传输性能几乎没有影响。

加密可以根据部门的不同使用的密钥,隔离不同部门之间的网络通讯。 该功能适合于对保密要求较高的用户。

2.3.2. 文件防外发

通过限制客户端外发数据的大小,起到在不禁止用户正常上网的情况下防止用户网络

泄密的作用。具体功能如下:

客户端计算机可以自由的上网、聊天、下载文件,使用任何网络应用程序,但是不能

通过任何方式外发文件,包括邮件、Web上传、QQ、MSN、共享、FTP、网络硬盘等各种

文件传送方式,即网络数据“能进不能出“。

管理员可以将此功能和网络邮件保密功能结合使用,开放出受控的邮件通道。

2.4. 硬盘保密

硬盘上存储的重要数据是否强制保密是衡量一个安全系统是否真正安全的标准。否则,

使用者可以简单通过重装操作系统或者将硬盘外接等手段,绕过所有控制,窃取数据。

2.4.1. 本地硬盘加密

对客户端硬盘的分区(C盘和系统所在的分区除外)进行加密。所有写入加密分区的数

据在磁盘扇区层进行加密处理。用户正常使用时感觉不到任何变化,但如果将硬盘窃取外

接或者重装操作系统,加密分区的数据无法正常读取。

2.4.2. 系统盘保护

系统盘(通常是C盘)加密将会给用户的正常使用带来不变,因此,对于系统盘,Chinasec

采用了类似硬盘还原卡的保护功能。即用户可以向系统盘写入数据,但是重启后新写入的

数据自动消失,系统盘始终保持最初的状态。该功能完全通过软件实现。

用户如果必须在系统盘安装软件,需要经过管理员的批准,开放系统盘写权限。

2.4.3. 备注

1 ) 关于硬盘数据加密后的恢复问题 客户端计算机如果操作系统崩溃,必须要重装操作系统,则重装后加密分区数据将无

法读取,此时,只需要重新安装客户端,并经过管理员批准,将原客户端节点信息通过控

制台推送到客户端,加密分区数据即可正常使用。

为了确保硬盘数据加密后可以恢复,服务器,客户端注册表和硬盘隐藏扇区内均有加密

密钥的备份。只要硬盘数据本身没有损坏,数据均可恢复。

2)对于硬盘加密的误解

硬盘加密指的是对硬盘存储的数据进行加密,目的是防止使用者通过重装操作系统或

者将硬盘外接的手段,绕过所有控制,窃取数据。数据一旦从读取到内存中,均会自动解

成明文。不能防止使用者通过U盘或者网络等方式泄密,需要通过其他保密功能来进行控

制。

2.5. 文档加密

前面提到,Chinasec可信网络安全平台的核心数据保密功能都是以“介质”为单位,在数

据流通的“出入口”处进行控制,不针对具体的文件类型。同时,这些保密功能均由管理员制

定策略强制下发,客户端用户无法抗拒。

Chinasec可信网络安全平台也提供客户端主动发起的对文件加密的功能,帮助用户安全存

储和传输重要文档。

2.5.1. 安全磁盘

客户端用户可以在本机建立多个虚拟的保密磁盘,使用方法和普通磁盘完全相同,但是存

储在这些保密磁盘中的数据是完全加密的,只有使用创建保密磁盘时使用的用户名/密码或者

USB令牌才能打开。

虚拟的安全磁盘是一个文件,用户在更换计算机或者出差的时候,可以将该磁盘文件带走,

在别的计算机系统只要使用自己的令牌,一样可以打开使用,携带方便。

2.5.2. 文档加密授权

客户端用户可以手动对重要文档进行加密,并指定一个或多个接收者,只有指定的接收者

使用自己的用户名/密码或者USB令牌才能正确解密文件。其他任何没有权限的人获取该文件,

都将无法获得有效的信息。