2 计算机使用授权 管理员可以设定某个用户能够使用那些计算机,也可以设定某台计算机只允许指定的一个或者多个用户使用。没用授权的用户,在使用自己令牌登陆计算机的时候,将不能通过认证,从而不能进入该计算机的操作系统使用。 用户令牌还具有离线锁定的功能,即一旦使用者要离开计算机一段时间,为了防止其它人在此期间使用自己的计算机,可以将令牌拔出带走,这时候计算机就自动进入锁定作态,只有使用者再次将自己的令牌插入该计算机,才能够解锁。 3 保密磁盘 每个用户使用自己的令牌,可以建立多个虚拟的保密磁盘,使用方法跟普通磁盘完全相同,但是存储在这些保密磁盘中的数据是完全加密的,而且只有使用本人的令牌才能打开自己建立的安全磁盘。 当多个人使用同一台计算机的时候,每个人都可以建立自己的安全磁盘,从而为每个人都创建了隐私保密空间。 虚拟的安全磁盘是一个文件,用户在更换计算机或者出差的时候,可以将该磁盘文件带走,在别的计算机系统只要使用自己的令牌,一样可以打开安全文件使用,携带方便。 4 服务器访问授权 配合安全网关的使用,管理员可以指定每个用户能够访问单位内部哪些特定的应用服务器,或者指定某台服务器只能授权哪些用户使用。这些用户访问这些服务器之前,都需要通过服务器的统一认证,获得授权。 5 文件安全分发系统 安全文件分发系统让用户可以创建安全的加密文件,在创建的时候需要指定一个或者多个接受者,只有指定的接受者使用自己的USB令牌才能够正确解密该文件并打开该文件,其它任何没有权限的人获取该文件,都将不能获得有效的信息。 该功能为用户提供了一种通过网络或者其它途径远程交换文件的安全方法,例如结合电子邮件使用等。 6 FTP安全增强 认证系统该扩展模块可以将某个FTP服务器的用户帐号和代表用户身份的硬件USB令牌强制绑定,用户在使用该令牌登陆使用计算机期间,访问FTP服务器都将使用管理员指定的帐号,从而避免了内部盗用领导或者其它人FTP帐号非法下载资料情况的发生。
3.2.3 认证系统的选件
Chinasec可信网络认证系统的可选件包括标准令牌、128M令牌和安全网关。 如果使用者数量超过客户端计算机数量或者需要一些备份使用的令牌,那么用户可以选择购买更多的标准令牌或者128M令牌。128M令牌除了具有标准令牌的功能外,还附加了一个128M的U盘空间。
如果用户需要对重要服务器使用授权保护,那么需要购买安全网关,安全网关有多种型号可以选择,详见3.6节介绍。
3.3 Chinasec可信网络监控系统(MGT) 3.3.1 监控系统的结构
Chinasec可信网络监控系统基于Chinasec可信网络安全平台进行开发,其结构与安全平台结构完全一致,组成部分包括服务器(Server)、控制台(MC)和客户端代理(Agent),其各自的功能描述如下表: 序号 组件名称 1 服务器(Server) 功能描述 可信网络监控系统的核心部件。存储计算机信息、策略信息、权限配置以及审计记录等。实时管理所有客户端代理。 2 客户端代理(Agent) 接受系统服务器的管理,负责具体执行服务器的指令和策略,并对用户计算机的状态、资源和行为进行监控,同时根据策略对用户的行为进行详细记录和审计。 3 控制台(MC) 系统的管理用户界面,提供对服务器的远程管理功能,所有系统的管理、策略实施和监控审计工作都通过MC完成。 监控系统的结构图如下:
Agent
Agent
MC
Server
3.3.2 监控系统的功能
Chinasec可信网络监控系统提供了对内网计算机终端进行集中的资源和用户行为授权管理,并提供详细的审计记录的功能,减少单位内网的安全漏洞和风险,提高了管理效率。其功能描述如下表: 序号 模块名称 1 实时监控 功能描述 实时远程监视和控制客户端计算机的状态,这些状态包括:安装的应用程序、服务、驱动以及他们的运行状态;当前网络连接状态、打开的窗口、运行的进程、系统的用户和用户组、共享目录、当前的屏幕截图等信息,并可以实时远程控制,比如关闭某个打开的进程、服务或者窗口等。 2 端点防火墙 集中管理和控制的客户端防火墙,其策略由管理员根据单位管理需要指定,可以根据IP地址、网络端口和数据流向等设定客户端计算机或者用户访问的权限,以白名单或者黑名单的方式工作。例如发现蠕虫病毒,可以及时全网统一封锁相应的传播端口,从而有效控制该类型病毒的破坏效果。 3 外设监控 外设监控策略运行管理员针对每台计算机进行外设端口使用的授权,比如允许或者禁止USB存储设备的使用等。这些端口和设备类型包括USB存储设备、USB普通设备、红外、串口、并口(打印端口)、键盘鼠标、光驱、软驱和1394端口等,用户还可以根据关键字和设备类型进行自定义,管理所有计算机上的设备。使用关键字是一种非常灵活的方式,比如只允许某个打印机使用,而其它任何打印机不能使用等。 4 邮件监控 邮件监控功能提供了集中控制和管理终端计算机发送邮件的手段。管理员可以白名单或者黑名单的方式设定用户允许使用的邮件服务器和地址。并可以完整记录(包括附件)发送和接受的邮件内容和时间等。 5 网页监控 网页监控提供了管理员集中授权计算机和用户访问的网址范围,可以白名单或者黑名单的方式设置。同时可以进行审计和记录。 6 FTP监控 FTP监控提供了管理员记录和控制FTP协议和客户端使用的方法,可以记录所有用户上传和下载的完整FTP文件。 7 应用监控 应用监控提供了管理员集中授权管理客户端应用的方法。管理员可以黑名单或者白名单的方式授权,并且可以基于进程名称、服务名称或者窗口名称进行管理。 8 文件操作记录 自动记录计算机上的文件操作记录,包括创建、删除和复制等操作,并记录用户名、文件名和相应的时间等。 9 违规记录 对所有试图违反管理员设定和授权规则的行为进行记录。 上述的所有监控策略,根据客户端的状态,可以分为离线策略和在线策略。在线策略是指客户端计算机在Chinasec可信网络监控系统服务器的实时管理网络中,能实时接受服务器的管理,比如接入单位内部网络的时候,这时候自动启用在线策略。离线策略则是指客户端计算机不能接入服务器所在的网络的时候,比如笔记本电脑出差或者带回家的时候,这时候客户端自动执行离线策略。基于这两种策略模式,管理员可以根据用户计算机的不同环境设置不同的用户使用策略,比如在单位(在线)设置宽松的策略,离开单位(离线)设置严格的策略。
Chinasec可信网络监控系统还可以和Chinasec可信网络认证系统联合使用,实现更加强大和灵活的功能,可以根据用户和计算机的不同组合实施不同的授权和策略,例如:使用同一台计算机,用户A可以使用光驱,而用户B则没有这个权限不能使用。
3.4 Chinasec可信网络保密系统(VCN) 3.4.1 保密系统的结构
Chinasec可信网络保密系统基于Chinasec可信网络安全平台进行开发,其主体架构依赖于Chinasec可信网络安全平台,主要由服务器(Server)、控制台(MC)、客户端代理(Agent)、安全网关(Gateway)和转发网关(Switcher)组成,各部分功能描述如下表:
序号 组件名称 1 服务器(Server) 功能描述 可信网络保密系统的核心部件。存储计算机信息、策略信息、权限配置以及审计记录等。实时管理所有客户端代理和网关设备。