Presentación del producto de la plataforma de seguridad de intranet Codon
Figura 1 Arquitectura de la plataforma de seguridad de la intranet de Cotton Información de autenticación de computadora Información de autenticación de usuario Arquitectura de la plataforma de seguridad de la intranet de Cotton Plataforma de infraestructura de red confiable Subsistema de autorización y autenticación de red confiable Subsistema de administración de escritorio confiable Confiable Subsistema de administración de medios de almacenamiento móvil Confiable Subsistema de monitoreo de red confiable Confiable subsistema de gestión de dominios de red Subsistema de seguridad de documentos confiables
Los objetivos del sistema se pueden resumir de la siguiente manera:
La información confidencial no se puede eliminar. El sistema proporciona funciones de gestión de periféricos. Al controlar el uso de los periféricos del terminal, los usuarios finales no pueden copiar ni transmitir información confidencial sin autorización fuera de la empresa o unidad.
No se puede ver información confidencial. Mediante el cifrado y descifrado transparente de información confidencial, el sistema hace imposible que usuarios no autorizados la lean, incluso si retiran información confidencial.
Sólida auditoría de las operaciones de archivos. El sistema proporciona una función de control de archivos. A través de una auditoría estricta del funcionamiento de archivos confidenciales, se pueden rastrear posteriormente las operaciones ilegales de los usuarios;
Monitorear el comportamiento del usuario. En términos de monitoreo, el sistema proporciona funciones de monitoreo remoto de terminales. Los administradores pueden monitorear las aplicaciones en ejecución de los usuarios, el estado del escritorio, la memoria y el uso del disco duro en tiempo real. Si el comportamiento del usuario no cumple con los requisitos de la empresa o unidad, se puede finalizar el comportamiento del usuario bloqueándolo o tomando una captura de pantalla o se puede realizar la recopilación de evidencia en tiempo real. En términos de control, el sistema proporciona funciones de control de procesos para controlar si los usuarios pueden ejecutar un determinado programa. Por un lado, esta función puede estandarizar el comportamiento del usuario y mejorar eficazmente la eficiencia laboral de los empleados. Por otro lado, también garantiza la estabilidad del terminal y previene ataques de virus.
Medibilidad de los activos terminales. Los administradores pueden contar los activos de software y hardware del terminal y realizar un seguimiento de sus cambios para evitar la pérdida de activos empresariales o unitarios.
La distribución de datos se puede automatizar. Los administradores pueden distribuir documentación, software o parches a los puntos finales y, según su naturaleza, optar por almacenarlos, instalarlos o ejecutarlos.
Inmediatez del intercambio de información. El intercambio de información entre administradores y usuarios finales se utiliza para anuncios y comentarios en la gestión de registro centralizada de medios de almacenamiento móviles para empresas o unidades (1). A través de este sistema, los administradores pueden registrar de forma centralizada los medios de almacenamiento móviles utilizados internamente para unificar aún más la gestión de estos medios de almacenamiento móviles e implementar control de acceso y auditoría de registros de seguridad. El contenido del registro incluye:
l Metainformación del medio de almacenamiento: incluido el nombre del dispositivo, departamento a cargo, departamentos subordinados, departamento que utiliza, persona a cargo, usuario, comentarios y otra metainformación; >
l Periodo de Uso: Indica el periodo de uso del medio de almacenamiento móvil en la intranet. Una vez caducado, el sistema prohibirá automáticamente el uso del dispositivo en la red.
(2) Al registrar medios de almacenamiento extraíbles, el administrador del formato de disco privado puede registrar los medios como un formato de disco especial. De esta manera, los medios de almacenamiento solo se pueden usar dentro de la intranet empresarial y no se pueden usar. por máquinas externas después de haber sido retirados por la identificación del personal interno, evitando así la pérdida de datos internos.
(3) Estricto control de acceso a los medios Después de acceder a la computadora interna, el sistema podrá identificar su información de autenticación y utilizar diferentes mecanismos para el control de acceso:
l Medios de autenticación.
Para los medios de almacenamiento extraíbles legales registrados, los administradores pueden configurar el rango de computadoras y el rango de usuarios que pueden usar. El control de acceso específico se puede subdividir en tres tipos:
A. una máquina no autorizada por parte de un interno, el sistema la bloqueará automáticamente para evitar la pérdida de datos confidenciales;
b. Los medios de almacenamiento extraíbles solo pueden ser movidos por usuarios legítimos en máquinas legítimas. El acceso se puede utilizar normalmente;
C. Los administradores pueden informar fácilmente la pérdida de medios de almacenamiento. Una vez reportado su pérdida, los medios de almacenamiento relevantes no podrán acceder a la intranet.
lMedios no certificados. Para medios no certificados, el administrador puede establecer de manera uniforme si los medios se pueden usar en la intranet. Si el administrador prohíbe su uso, el dispositivo no podrá acceder a la intranet corporativa.
(4) Control de acceso flexible Después de conectar el medio de almacenamiento extraíble a la computadora interna, el administrador puede configurar sus permisos de uso desde la consola. Los cinco modos de control admitidos por el sistema incluyen:
lUso prohibido. Los medios no se pueden utilizar dentro del alcance autorizado por el administrador.
lControl de sólo lectura. Dentro del alcance de la autorización del administrador, el dispositivo solo se puede utilizar en modo de solo lectura y los usuarios no pueden copiar ningún archivo al medio.
lControl de lectura y escritura. Dentro del alcance autorizado por el administrador, los usuarios pueden leer y escribir en medios de almacenamiento extraíbles.
lDescifra de forma transparente controles de solo lectura. Dentro del alcance de la autorización del administrador, el dispositivo solo se puede usar en modo de solo lectura y el usuario no puede copiar ningún archivo al medio, a diferencia del modo de control de solo lectura, cuando el usuario lee el archivo, el sistema actuará de forma transparente; descifrado.
lControl de lectura y escritura de cifrado y descifrado transparente. Dentro del alcance autorizado por el administrador, los usuarios pueden leer y escribir medios de almacenamiento extraíbles, a diferencia del modo de control de lectura y escritura, el sistema descifrará automáticamente los datos cuando el usuario los lea y los cifrará automáticamente cuando el usuario los escriba; perdiendo así los datos internos.
(5) Control de políticas sin conexión Cuando un usuario saca su computadora de la intranet (por ejemplo, en un viaje de negocios), el administrador puede controlar el uso de sus medios de almacenamiento extraíbles adoptando un segundo conjunto de políticas sin conexión. políticas. Al mismo tiempo, los registros de operación de los medios de almacenamiento móvil del usuario se pueden registrar automáticamente cuando está fuera de línea y los registros se cargarán automáticamente una vez que esté en línea.
(6) El sistema de auditoría y advertencia de eventos de seguridad registrará las operaciones del usuario en los medios de almacenamiento extraíbles de la intranet empresarial. Cuando ocurren eventos de advertencia predefinidos por el administrador, el sistema informará rápidamente estos eventos y los mostrará en forma de advertencias. Los registros de operaciones específicos incluyen:
l Eventos de acceso a medios de almacenamiento extraíbles. Cuando un usuario accede a medios de almacenamiento extraíbles en la intranet, el sistema registra los eventos de acceso, incluida la hora de acceso, la persona, la ubicación y el número de dispositivo.
lEvento de copia de archivo. Cuando los usuarios copian datos de la intranet a medios de almacenamiento extraíbles, el sistema registrará automáticamente los eventos de copia, incluidos eventos de copia, personas, ubicaciones, números de dispositivos, información de archivos, etc. Comparado con productos similares, este sistema tiene las siguientes características:
1. Este sistema está diseñado estrictamente de acuerdo con los requisitos de gestión de redes confidenciales de medios de almacenamiento móviles y cumple con las regulaciones y estándares nacionales pertinentes.
2. Independencia del dispositivo. Este sistema no tiene nada que ver con medios de almacenamiento móviles ni hardware informático específicos. Puede transformar los medios de almacenamiento móviles originales de la empresa en "medios de almacenamiento móviles confiables" y administrarlos estrictamente.
3. Ampliamente compatible. El sistema es totalmente compatible con varios tipos de medios de almacenamiento extraíbles, incluidas unidades flash USB, discos duros móviles, cámaras digitales y reproductores de MP3.
4. La estrategia de registro es flexible. Los administradores pueden administrar de manera flexible las computadoras (grupos) y los usuarios (grupos) que pueden usarse mediante medios de almacenamiento extraíbles.
5. Funcionamiento sencillo. El formato del disco privado y el cifrado de datos a nivel de kernel del sistema son completamente transparentes para los usuarios, no requieren capacitación adicional y reducen los costos.
6. Admite control de políticas fuera de línea. Cuando el personal interno utilice medios de almacenamiento extraíbles en la red externa, también estarán controlados por políticas fuera de línea.
7. Potente seguimiento y auditoría. Tiene potentes capacidades de auditoría de registros y seguimiento de medios de almacenamiento móvil que pueden rastrear de forma segura el uso de los medios de almacenamiento durante todo su ciclo de vida.
El subsistema de seguridad de documentos confiable incluye principalmente las siguientes funciones:
l Cifrado forzado
Al especificar el tipo de documento o el proceso de procesamiento, todos los archivos existentes en todos los medios de almacenamiento se pueden cifrar, de ese modo evitando eficazmente la fuga de información confidencial.
lControl de entrada
Al limitar los permisos de lectura y el rango de lectura de archivos distribuidos, puede controlar eficazmente el alcance de la circulación, reducir la posibilidad de proliferación de documentos confidenciales y proporcionar almacenamiento centralizado. y servicios de consulta cómodos y rápidos para mejorar las funciones del servidor de archivos.
lControl de salida
Establecer los permisos de lectura de unidades extranjeras mediante programas de control de autoinstalación puede prevenir eficazmente la fuga de información de propiedad intelectual de la unidad. El subsistema de seguridad de documentos confiable incluye principalmente las siguientes tecnologías clave.
l Cifrado y descifrado dinámico a nivel de kernel
La tecnología de cifrado y descifrado dinámico cifra y guarda datos a través de diferentes canales de políticas de seguridad, de modo que los datos almacenados no se puedan filtrar por ningún medio (incluidos : varios dispositivos de almacenamiento móvil, redes, correos electrónicos, herramientas de mensajería instantánea: MSN, QQ, Bubble, Skype, etc.), cuando los usuarios legítimos lean los datos, los datos cifrados estarán seguros mediante tecnología de cifrado y descifrado dinámico y canales de políticas de seguridad correctos. Descifrado; para el contenido de datos de texto sin formato en la memoria, se proporciona un sistema único de protección del contenido del archivo de memoria para evitar que el contenido sea robado ilegalmente a través de la red u otras aplicaciones, lo que provocaría fugas. El proceso de cifrado y descifrado se completa automáticamente y es completamente transparente para el usuario, protegiendo la seguridad del archivo sin que el usuario se dé cuenta.
lControl de solo lectura
El control de solo lectura de archivos está controlado por la siguiente combinación de políticas, que incluye principalmente guardar como, guardar, imprimir, copiar y pegar, y duración de lectura.
Control del portapapeles
Después de abrir el paquete de archivos, si es de solo lectura, no puede copiarlo ni pegarlo mediante Ctrl C y Ctrl V. El objetivo principal es evitar que los usuarios copien el contenido del archivo en procesos no controlados.
Control de impresión
Puedes configurar permisos de impresión para archivos.
nGuardar como control
Para archivos controlados, haga clic en "Guardar como" para guardar el archivo y asegurarse de que no se copie.
Guardar control
Los documentos controlados se pueden editar y modificar, pero no se pueden guardar.
Período de lectura
Al empaquetar cualquier documento en un archivo NSD, puede establecer el tiempo de apertura. Si se excede el límite de tiempo, no se podrá abrir.
lRegistrar el paquete saliente
Los archivos seleccionados se comprimen y cifran para evitar el acceso malicioso.
Genere archivos exe para admitir la implementación automática de entornos de control.
Control de sólo lectura de los archivos del paquete.
Los métodos de autorización de lectura incluyen la autorización de contraseña y la autorización del código de registro, que pueden controlar estrictamente el acceso ilegal al sistema.
(1) Es completamente independiente del sistema de certificación original del sistema de red informática, tiene mayor seguridad y confiabilidad, admite varios servidores CA estándar, es fácil de usar y tiene poco impacto en la red original. sistema.
(2) Autenticación de dos factores basada en tecnología PKI. El usuario debe utilizar un token de autenticación legítimo y proporcionar el PIN correspondiente al token de autenticación antes de poder iniciar sesión en el sistema operativo de la computadora utilizando un agente de autenticación confiable. Dos capas de protección aumentan el nivel de seguridad de la autenticación.
(3) Tiene la función de mejora de la seguridad de los recursos del servicio. La cuenta de usuario del servidor se puede vincular por la fuerza al token USB de hardware que representa la identidad del usuario para evitar el robo interno de la cuenta del líder u otras personas que utilizan los recursos del servicio.
(3) Proporciona un alto nivel de protección del ordenador personal. Los usuarios pueden configurar el sistema operativo de la computadora para que se bloquee automáticamente después de extraer el token para proteger la seguridad de la computadora personal; puede desactivar el modo seguro.
(4) Se puede establecer un área de servidor segura. Al utilizar una puerta de enlace de seguridad virtual, los administradores pueden especificar a qué servidores de aplicaciones específicos dentro de la empresa puede acceder cada usuario, o especificar qué usuarios solo están autorizados a utilizar el servidor. Antes de acceder a estos servidores, estos usuarios deben pasar la autenticación unificada del servidor y obtener autorización.
(5) El administrador en el centro de gestión puede completar la distribución de tokens, la revocación de tokens, la autorización de tokens, la actualización de tokens y otras operaciones, lo que mejora en gran medida la eficiencia de la gestión.
(6) Cuando el número de entradas de código PIN incorrecto del token alcanza el valor preestablecido, el token se bloqueará inmediatamente para evitar ataques de diccionario forzados después de que se pierda el token. La clave del token es única y no se puede copiar, y la identidad del usuario no se puede falsificar copiando el token.
(7) Genere automáticamente información de seguimiento de auditoría, incluida cada operación de inicio de sesión, y tenga funciones automáticas de mantenimiento de registros para ayudar a evitar pérdidas causadas por empleados internos que abusan de los derechos de acceso o no implementan políticas de seguridad.
(8) Tiene la función extendida de autenticar tokens USB. Incluyendo: equipo de certificación de hardware USB de almacenamiento inteligente, que admite un espacio de almacenamiento de gran capacidad de 128 m ~ 1 g, compatible con Tianfei Chengxin, Daming Wuzhou, Minghua, Qiqi y otros equipos de la empresa. Token de huella digital inteligente; dispositivo de autenticación de hardware USB de huella digital inteligente. Admite equipos de Tianfei Chengxin, Daming Wuzhou, Minghua, Qiqi y otras empresas. Características del sistema
(1) El firewall del terminal puede filtrar URL para evitar que los usuarios naveguen por páginas web maliciosas y caballos de Troya.
(2) Para equilibrar la administración y la seguridad, el firewall del punto final proporciona una función de control de tiempo compartido para el control de acceso de los usuarios a la red. Los administradores pueden configurar de manera flexible el alcance del acceso de los usuarios designados dentro de un período de tiempo específico.
(3) La poderosa función de control de archivos adjuntos web puede evitar la fuga de información al pegar archivos adjuntos a través de foros web, transferir archivos a través de discos duros de red, etc.
(4) Las funciones de control de flujo y control de ancho de banda proporcionan control de objetos de diferente granularidad, como usuarios o grupos de usuarios, y proporcionan visualización estadística en tiempo real.
(5) La dirección IP y MAC del host se puede vincular por la fuerza, y los usuarios que modifiquen maliciosamente la IP serán castigados con la desconexión de la red.
(6) El firewall ARP inteligente no sólo puede ser inmune al virus ARP, sino también prevenir sus actividades destructivas. Más importante aún, puede mejorar la información de registro enriquecida para rastrear el origen de los virus. En términos generales, el dominio de seguridad de una empresa u organización consta de un dominio externo y un dominio interno. Entre ellos, el dominio interno se divide en dominio de acceso y dominio de procesamiento central. El dominio externo es principalmente la parte fuera de los límites de la red empresarial o unitaria, como Internat, que está organizada y administrada principalmente por el área lógica compuesta por máquinas de oficina, operación y producción en la intranet empresarial o unitaria; por departamentos según las diferentes características comerciales. El dominio de procesamiento central es principalmente el área donde se ubica el sistema comercial de una empresa o unidad. CNSDMS resuelve principalmente las siguientes tres necesidades de empresas o unidades en términos de protección de seguridad de intranet:
1) Si el nivel de seguridad de un dominio de acceso A es mayor que el de un dominio de acceso B, ¿cómo bloquear el hosts en B ¿Acceder al host en A?
2) Si el nivel de seguridad de un dominio de acceso se reduce, o necesita comunicarse con otros dominios de acceso, ¿cómo restaurar su comunicación?
3) Debido a las necesidades de aplicación especiales de una empresa o unidad, si es necesario movilizar temporalmente a personas de diferentes dominios para cooperar, ¿cómo romper sus restricciones de comunicación originales?
Comparación entre cnsdms y VLAN
VLAN (red de área local virtual) es una red lógica de extremo a extremo que puede abarcar diferentes redes mediante el uso de software de administración de red basado en LAN conmutada. Segmentos y redes. Desde una perspectiva técnica, las VLAN se pueden dividir según diferentes principios. En términos generales, hay tres formas de dividir la VLAN: según el puerto, según la dirección MAC y según la ruta. La división basada en puertos divide varios puertos en uno o más conmutadores en un grupo lógico. Los administradores de red solo necesitan reasignar los puertos de conmutación de los dispositivos de red, independientemente de los dispositivos conectados a los puertos. División basada en direcciones MAC. subred lógica basada en direcciones MAC; la división basada en enrutamiento requiere enrutadores y conmutadores de enrutamiento (es decir, conmutadores de capa 3), lo que permite que las VLAN abarquen varios conmutadores o que un puerto esté en varias VLAN. En la actualidad, el área de competencia de VLAN adopta principalmente los métodos 1 y 3 mencionados anteriormente, y el segundo método es una solución auxiliar.
Usar VLAN tiene las siguientes ventajas:
1) Controlar las tormentas de difusión: VLAN es un dominio de difusión lógico. Al crear VLAN, aislar transmisiones y reducir el rango de transmisión, puede controlar la aparición de tormentas de transmisión.
2) Mejore la seguridad general de la red: a través de listas de acceso de enrutamiento, asignación de direcciones MAC y otros principios de división de VLAN, se pueden controlar los derechos de acceso de los usuarios y el tamaño de los segmentos lógicos de la red, y se pueden controlar diferentes grupos de usuarios. dividirse en diferentes VLAN, mejorando así el rendimiento general y la seguridad de la red conmutada.
3) Gestión de red sencilla e intuitiva: para Ethernet conmutada, si se reasignan algunos usuarios, el administrador de red necesita reajustar la estructura física del sistema de red o incluso agregar equipos de red, lo que aumentará la carga de trabajo de gestión de red. . Para las redes que utilizan tecnología VLAN, la VLAN puede dividir a los usuarios de la red en diferentes ubicaciones geográficas en un segmento de red lógico basado en funciones de departamento, grupos de objetos o aplicaciones. Las estaciones de trabajo se pueden mover entre grupos de trabajo o subredes sin cambiar las conexiones físicas a la red.
El uso de VLAN tiene las siguientes desventajas:
1) Comunicación entre VLAN: Si los usuarios de VLAN 1) quieren comunicarse con los usuarios de VLAN2, no pueden conectarse directamente y deben estar encendidos. la configuración del interruptor. Si esto sucede con frecuencia, será inconveniente tratar con VLAN, perdiendo así sus ventajas.
2) La complejidad de la VLAN: si toda la red se expande a gran escala, la complejidad de la VLAN aumentará rápidamente. Entonces, una vez que la red falla, el mantenimiento costará mucho dinero.
3) Capacidad de carga del router: Utilice un router para enrutar entre VLAN. Si la red no es muy grande, los enrutadores pueden manejar la carga de trabajo, pero si la aplicación está en una red grande con muchas VLAN, no es una buena idea poner toda la carga en un enrutador.
Según el análisis de las ventajas y desventajas de VLAN, CNSDMS puede compensar las deficiencias de VLAN, no entra en conflicto con la construcción de VLAN y puede mejorar las capacidades de acceso seguro de las redes lógicas en el topología de red existente de empresas o unidades.
En tercer lugar, las funciones de CNSDMS
3.1 Conceptos relacionados
CNSDMS implica cuatro conceptos: dominio de seguridad virtual, dominio de intercambio público, grupo de trabajo y dominio confiable:
El dominio de seguridad virtual corresponde al dominio de acceso, el cual divide las máquinas con terminales de seguridad de intranet instaladas en la empresa o unidad según diferentes niveles de seguridad para lograr un acceso seguro entre dominios. Entre ellos, una máquina sólo puede pertenecer a un dominio de seguridad virtual. La función del dominio de seguridad virtual implementa principalmente el control de comunicación entre dominios y el control de acceso de redes externas.
El dominio de conmutación público * * * corresponde al dominio de procesamiento central y puede interconectarse con todos los dominios de seguridad virtuales para garantizar el funcionamiento fluido de la empresa o unidad. En CNSDMS, las máquinas incluidas en el dominio de conmutación público se dividen en dos categorías: una es la puerta de enlace pública, el enrutador público o el servidor comercial de la empresa o unidad; la otra es la máquina con o sin terminal de seguridad de intranet instalado.
El grupo de trabajo es un departamento virtual temporal con un período de vigencia y puede corresponder al equipo real del proyecto. Un grupo de trabajo debe contener al menos dos computadoras con dominios de seguridad virtuales y una computadora puede pertenecer a más de un grupo de trabajo.
Dominio de confianza se refiere a la relación de confianza entre dominios de seguridad virtuales, que es simétrica. Los dominios de seguridad con relaciones de confianza pueden acceder entre sí.
3.2 Ventajas técnicas de cns DMS
Técnicamente, CNSDMS logra un aislamiento seguro de máquinas entre dominios al interceptar todos los paquetes de datos de la red en la capa NDIS del sistema operativo, por lo que el bloqueo de la red es eficiente. y minucioso. Además, las ventajas técnicas de CNSDMS incluyen los siguientes dos puntos:
1) El uso de CNSDMS no requiere la modificación de la red existente
2) La creación y edición de seguridad; domains es una propiedad muy flexible;
3.3 Principio de funcionamiento de cns DMS
El principio de funcionamiento de CNSDMS se muestra en la siguiente figura. Coton Control Center es responsable de crear y editar dominios de seguridad virtuales, dominios de conmutación públicos y grupos de trabajo.
Para los dominios de seguridad virtuales, los administradores pueden dividir las máquinas con terminales de seguridad en la intranet de acuerdo con los niveles de seguridad de los departamentos funcionales. Para garantizar el buen progreso de las actividades comerciales, la puerta de enlace pública en la intranet. los enrutadores públicos o servidores comerciales se dividen en dominios de conmutación públicos * * * (similar a un grupo de trabajo que crea un dominio de seguridad virtual, en segundo lugar, especifica si el dominio de seguridad virtual puede acceder a la red externa y la relación de confianza entre los dominios de seguridad virtuales); específica La política de seguridad del dominio de seguridad finalmente, la política de seguridad se envía al terminal de seguridad a través del servidor Coton para realizar el bloqueo de red y el cifrado de información entre dominios. Actualmente, la plataforma de seguridad de intranet Coton se divide en dos versiones: B/S y C/S.
C/S admite la gama completa de sistemas operativos WINDOWS2000/XP/2003/WIN7 de 32 bits.
B/S es compatible con los sistemas operativos WinodWS 2000/XP/2003/win 7/win 8/32 bits y 64 bits. La versión compatible con el sistema LINUX se encuentra en la etapa de prueba interna y será. lanzado a finales de 2013. El algodón está a la vanguardia de la seguridad de la información.