您现在的位置是:首页 > IT基础架构 > 网络与安全 >

蒋涛:数据安全整体解决方案

2009-04-21 19:13:00作者: 来源:

摘要数据安全整体解决方案...

蒋涛:尊敬的各位领导、各位来宾今天非常有幸参加第十届信息安全大会。我演讲的题目是数据安全整体解决方案,演讲的内容主要分为几部分,第一部分是数据安全背景的分析,第二个是数据安全解决方案,简要的介绍,第三个部分是方案的优势特点的一个阐述,第四部分就是我们结合客户的实际情况,一个应用场景的解决方案的介绍。第五部分就是对整个演讲的一个小结。

首先我们先分析一下就是说这个数据安全的相关的背景的分析,我们从国内或者是国际上的一些权威的结构获得了一些分析的成果,有超过85%的安全的企业来自于我们网络的内部,当然其中有16%来自于内部的这种内授权的存取,各种安全的漏洞造成的损失是随着逐年不断的增加,其中30-40%是电子文件的泄密造成的。可以看到我们目前看到的网络安全的问题还是在数据安全这一块。我们信息安全这一块的核心到底是一个什么样的情况呢?目前通用的一些分类的方法刚才我们各位朋友也提到了,我们目前主要分为物理安全、系统安全、网络安全、应用安全还有数据安全,现在我们大家所熟知的网络安全大家理解的更多一些,包括来自于我们的黑客和内部的攻击的行为,最终还是想对数据进行相关的窃取和相关的威胁。因此我们得出了一个结论就是在某一个程度来说我们认为信息安全的核心还是数据的安全。

谈到数据的安全,三性大家都清楚了,CRA,我们考虑到完整性、保密性和可用性,对可用性来说我们分析一下可能会存在哪些问题,首先我们可以分为一种人文的或者是非人文的问题,人文的就是误删除了一些相关的文件还有是黑客的入侵,还有我们可以分为一些非人文的条件,类似于电影的中端、硬件还有自然的灾害造成了数据可用性的一个结果。另外就是对保密性我们也进行了一个简要的分析,保密性产生的威胁有几部分,一个是通过介质U盘进行数据的泄密和病毒的传播,再一个可以通过网络上的监控的探测软件,可以获取一些密码或者是对相关的一些内容进行篡改,甚至是保密性的分析的案例。

刚才已经对我们的数据安全这一块进行了一个简要的回顾,下面我们看一下作为一个数据安全的厂商我们提供的目标,刚才各位专家也提到了是进不来,进不来主要是指我们跟相关的一些认证,一些机制来达到。进来了以后你看不到,就是通过我们相关的对数据的一些控制,这样才能达到进来以后看不到,并且看到了以后拿不走,这样对我们相关的一些设备,类似于我们一些外设相关端口的控制,还有即使有权限看到,但是相关的比较重要的数据是拿不走的。第四步就是即使你拿走了以后也是打不开的,通过高强度的加密,即使你离开了,拿走了以后,离开了我们安全的环境数据也是不可用的。再一个就是丢失了可恢复,刚才也提到了我们数据面临着很大的可用性的风险,我们提供的方案即使你丢失掉了以后,我们还可以通过我们的一个机制来进行恢复,最后是一个防抵赖的事后的追查,这是我们提出的一个目标。

下面对我们解决方案进行一个简要的介绍,我们伊时代有六部分,第一部分是对数据安全的存储和备份,我刚才提到了我们数据的可用性的挑战,我们提供了解决方案,这个解决方案是针对我们伊时代的一个网络保险的解决方案,实际上对我们客户端或者是我们相关的一些重要的数据服务器,应用服务器进行一个备份,这样保证我们的数据不论是分散存储还是集中存储都可以备份到远端的文件保险柜的服务器上去。这个服务器大家肯定是比较关注这个服务器的安全性是怎么来保障的。

第一,我们通过自己自有的LUXINS的支撑,再有一个是对整个的存储和传输的整个的过程进行高强度的加密,即使数据被窃取掉了以后也是无法进行使用的。再一个就是对我们服务器相关的重要的一些硬件的设备我们进行了备份,以防止这个设备产生一些故障。我们通过以上的几个部分对远端存储的保险柜进行了一个加固。

第二,我们是一个物理安全准入的控制,这一块主要是应对于物理层的访问的控制,我们伊时代这里面提出了一个自有研发的基于境外识别的认证系统,这个系统可以和我们的一些类似于重要的一些机房还有我们的一些重要的机器进行结合,和一些门镜系统进行结合,或者是我们相关的对计算机的认证系统进行结合,这样能够达到比较好的高的安全性,而且是一个低造价的。

第三,我们伊时代提出了文档安全管理这一块,强调数据安全我们首先分析一下数据的整个的生命周期,我们认为在生命周期使用的阶段第一个是创建阶段,再一个是使用,第三个我们认为是一个存储的阶段,第四个是销毁的阶段。在使用阶段会面临的就是说这种授权的访问,可能会经常遇到,刚才各位朋友也提到了你处长级别的人只能看到处长级别的相关的文档,这一块就涉及到权限的控制,我们针对文档提供了控制,这样是解决了他在文档的三种工作场景。第一种是文档的发布,类似于我创作了一个文件,一个图纸,这个文件我只希望在我们相关的部门领导或者是部门同事手里可以看到或者是打印,或者是传阅,在之外我们做了严格的控制。另外一种场景这个电子文档的流转,不同部门之间的数据的流转问题也是我们面临的一个挑战。第三个就是我们数据存在了以后大家去使用它,而且去交流,互相的进行交流共享,还有一个是面临着一个外发的问题,所以我们伊时代提出的安全管理方案比较好的解决了这三种情况。

主要是通过了驱动级的高强度的加密还有我们时间的一些控制,权限的一些控制来达到了这个要求。

第四部分是网络安全的准入控制,这一块主要是针对于网络边境这一块的准入的控制,伊时代提供了一个边境的准入系统,这个系统是对接入到整个安全系统内部的机器首先要进行一个身份的认证,看看它是不是我们以前注册认证过的,再一个对健康度、安全进行相关的一个考核和检查,看看是不是相关的病毒,病毒库,我们的防火墙的特征库,是不是可以达到我们最新的要求。达到以后我们这个系统可以进行放行,如果没有达到的话可以放到一个独立的环境里面去进行补救。

第五个方面主要是针对目前大家用的比较多的就是移动存储介质,对它进行一个识别认证的一个解决方案。这样就是通过我们逻辑认证的技术来实现我们经过认证的移动存储介质可以在我们整个的安全环境里使用。我们对它的使用的一些相关的范围和权限进行控制。

第六项就是我们对内网安全的整个的一个解决方案,这一块主要是针对我们数据存在的环境,类似于我们整个数据存在计算机啊,网络啊,还有相关的一些环境我们进行一个控制,主要是针对我们数据存储还有传输过程中的一个全程的控制,还有针对于我们使用人员、操作人员的一个行为的控制,我们可以做到事前的监控,事中的巡查,事后的审计。

以上就是我们伊时代提出了一个由六个部分组成的完整的数据安全的解决方案,这个数据安全的防护是怎么来进行的呢?首先我们可能是进行一个准入控制,这种控制对我们的设备,对我们相关的一些计算机或者是对我们相关的一些人的身份进行控制。第二个是检查一下看看是不是符合相关的安全的规定或者是我们安全的健康度如何,如果符合我们进行下一步,对一些数据进行一个划分。再一个就是针对我们整个的内部的涉密的数据我们做一个透明的加紧密,并且进行备份存储。最后我们整个这个系统对进入我们这个系统内部的所的操作的行为,我们进行全程的监控,达到一个事后审计的效果。

下面就是对我们刚才提出的六个部分简单的进行一些描述。第一,网络准入控制,我们首先要验证一下计算机和这个人员的身份,还有就是补丁或者是注册表,杀毒软件这一块的更新是不是达到我们的要求。我们可以防止非法的阻击,第二个是物理准入,伊时代提出了自有的手掌静脉识别的系统,这个可以和我们的门镜、办公考勤和人员管理系统结合在一起能够联动使用,这样可以达到非法人员进入的目的。

第四就是我们存储介质的管理,通过我们研发的技术达到了非法移动介质不能使用,即使你可以使用的时候,我们可以对你相关的使用的范围还有一些使用控制的力度进行一个相关的细致,比如说可以使用,可以只读使用,或者是加密使用等,另外还可以达到存储介质在安全环境之外的情况下不允许使用。

再一个是整个内网安全的管理系统,可以对我们网络环境中的人员进行相关的操作,一些详细的审计,主要包括一个网络行为,外设还有打印,还有我们的补丁管理这一块,还有对我们整个系统的安全性进行评估。实现的目标就是我们这个数据拿不走,防止内部信息的泄密和抗抵赖性。

第五方面刚才也提到了我们网络文件保险柜,主要是解决了我们整个防护系统的数据的可用性的一些相关的问题,类似于说通过病毒人为的删除造成的一些威胁,可以远程备到我们的远程保险柜中。再有一个是防止主动泄密,防止内部人员通过各种途径进行文件的泄密。

第三部分首先看一下这个方案的技术的相关的优势,首先这个方案是平台的全面性和领先性,本方案是为不同的企事业单位建立了一个全面的数据安全平台,功能覆盖了从我们的安全存储到自动备份到文档的全生命周期的访问控制。我们有相关的技术优势,为客户提供了一个比较完整的、先进的,整体数据安全的解决方案。

第二,我们整个的方案是软硬件一体化,提供了一个先进的软硬件一体化设计的理念,更针对中端功能进行性能的优化,实现了硬件平台和软件平台的无缝的整合,而且比较方便于我们部署和维护。

第三,就是一个功能模块和,这个就是说提供了产业功能模块化设计的理念,是产品的功能可以灵活的进行组合和定制,有效的节省了客户的投资。

第四,兼容性,本方案提供的系统是一种旁入的设备,对网络不做任何的改动,不需要更多的网络基础的改动和再投资。

第五,适应性,提供的系统可以适应不同规模或者是复杂程度的网络,对于大型的或者是小型的网络完全都是可以的,对大型的我们建议是可以采用分级管理,进行汇总的模式,对整个大型数据全网的管理。

第六就是易用性,本方案提供了中文界面,是符合国人的使用的习惯和管理的这种思维,系统还提供了一些细致的操作,增加了易用性和实用性。

伊时代提供的这个方案主要适用的群体主要是包括军队、军工、安全部门、保密部门以及其他的行业客户,我们伊时代是在我们的电信、电力行业有一些比较成功的案例。我们在对客户进行实地采访的时候发现客户对数据安全的一些相关的需求我们进行了一些应用场景的分析。

第一个是数据安全的存储,大家可以看到通过我们的安全备份引擎非常自动的就可以把我们客户的相关的文件服务器、数据服务器完全自动的备份到我们远程的网络文件保险柜,通过我们高安全的系统内核还有我们的存储和传输加密来进行保护,来保证他的安全性。

第二个大家可以看到数据文件的发布类似于我刚才也提到了产生了一个文件,这个文件发布可以通过多种形式进行发布,但是发布出去以后对使用人我们会有一个权限的控制,在文件发布之前我们就会对他进行相关权限的一个细化,类似于张三可以只读或者是打印,李四只能读三次或者是有相关的时间控制也可以达到。为未授权的用户是无法打开的,即使发出去以后也是加密的。

第三个场景就是数据的流转,大家可以看到数据的流转是很多单位比较棘手的一个问题,财务部和技术部的相关文档是不允许进行数据的交换和传递的,我们采取了对每一个安全内部的需要加密,如果确实有数据的流转,我们可以设定一个流转员的角色,通过他来进行传递,这样可以保证我们数据的安全性。

第四个场景就是文件的外发,类似于协作单位,一些文件需要相关单位的处理,我们在外发的时候设定一些相应的控制,实际上就是说外事单位可以不需要安装客户端也不需要网络的支持就可以访问该文件,我们可以通过密码把相关权限的信息写到里面去,这样可以比较灵活的依据我们的权限安全使用。

第五个是我们的数据有一个整体的防护,这有网络行为的监控还有我们外设行为的介入。

最后我对本方案做一个小结,伊时代提出了数据整体的解决方案,从人为因素和非人为的因素真正的为企业提供了数据安全的整体解决方案,可以做到对我们重要部门的重要数据做到安全的备份或者是安全的管理,再一个对我们重要的一些文件和发布、流转还有它的一个外发提供了比较安全可控的机制。真正的为我们企业终端安全防护管理提供一个新的思路和建议,以上就是我做的一个简要的介绍,谢谢大家!


(本文不涉密)
责任编辑:

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们