|
SafePort端口控制系统
1. 信息安全面临的严重形势
随着信息技术的高速发展,计算机信息系统在中国众多重要部门和领域得到广泛的应用,它对于中国政治、经济、军事、文化等社会各层面都产生了深远的积极影响。但是与此同时,中国计算机信息安全存在的问题也十分突出:计算机泄密、窃密事件不断发生;黑客攻击行为日益增多,计算机违法犯罪活动呈上升趋势;各种敌对势力无孔不入,信息安全事故一再发生;一些部门对计算机信息系统运行中存在的安全问题和潜在的风险认识不足,自我保护和防范意识不强,漏洞较多;计算机系统安全保护技术开发和应用滞后,防范能力较差。我们考虑几个典型的情节:
(1) 因为工作需要,你用U盘拷贝了某些保密文件,但不小心U盘丢失了;
(2) 你的工作单位高度保密,但有员工利用活动硬盘轻易拷走了大量文件;
(3) 你的工作单位新设计开发了一个产品,但有不良员工拷贝了图纸,卖给了你的竞争对手;
(4) 有员工用打印机打印了大量加密文件带走了。
很不幸,如果你遇到了上面的任何一件事,那么,安全事故就不可避免地发生了。
2. 我们的解决方案
针对信息安全的严峻形势,我们开发出了SafePort端口控制系统,被称作“企业数据的保护神”。
SafePort端口控制系统是一种强制的、透明的端口控制加密系统。当本系统被安装后,计算机全部端口被控制,包括U盘、软驱、光驱、串口、并口、红外传输端口、IEEE1394等端口和打印机、Modem、网卡等设备,彻底控制计算机的连接能力;这些端口可以被打开,正常使用,也可以被关闭,禁止使用。对外来磁盘如软盘、U盘、活动硬盘提供透明的拷贝加密功能。
SafePort端口控制系统控制计算机上的全部端口,无论是拷文件,还是打印数据,不管在什么情况下,都处于可控状态。
别人可以进入你的计算机,但拷不走你的文件;或者拷走文件,但看不到你的加密数据,因此被称作“企业数据的保护神”。
3. 系统功能
(1) 端口控制:可以控制(关闭和启用)计算机的一切向外连接设备,包括U盘、软驱、光驱、串口、并口、红外传输端口、IEEE1394等端口和打印机、Modem、网卡等设备,彻底控制计算机的连接能力。
(2) 拷贝加密:在打开端口的情况下,对计算机的一切拷出文件进行高强度加密,包括安装本系统之后接新的新硬盘(防止通过挂接新硬盘窃获信息)。对读入的符合本加密逻辑的文件进行自动解密,而对非加密数据按正常方式导入。彻底解决了U盘等存储介质管理难的问题:不允许使用不切实际、造成工作不便,允许使用又难于控制。
拷贝加密功能可配置,可以设置为不能拷贝(关闭端口)、拷贝加密、正常拷贝三种状态。
(3) 服务器统一控制:上述全部功能可以在服务器端配置完成,不用在每个客户端一一配置。
(4) 实时监控与审计:系统日志记录端口配置、修改信息;记录从端口输出文件信息;记录安装和卸载信息。
(5) 众多实用功能:
a.文件粉碎:提供文件粉碎功能,解决文件被删除,但能被恢复的难题。
b.删除共享:通过配置,可以强制禁止用户共享文件和目录。
c.加解密:提供简单易用的加密、解密文件的程序。
…
需着重指出的是,本系统对计算机端口的控制充分考虑到端口操作给计算机用户带来的巨大方便,因此,提供了对端口操作适合于用户需要的多种配置:加密使用、正常使用、完全关闭。加密使用时,拷出的文件可以转移,可以保存,但不可能被解密读出(只有合法的特殊解密才能使用)。而且这种拷贝加密功能不影响磁盘的正常使用,磁盘上既可以有加密文件,又可以有非加密文件;磁盘既可以在安装了本系统的计算机上使用,又可以在普通计算机上使用,与平常没有任何区别。因此,本功能在防止非法窃密、尤其防止内部人员有意或无意将文件拷出造成泄密的同时,又不影响通过端口合法进行信息交流的便利,这是目前其它类似产品所不具备的。
另外一个设计考虑是易用性和透明性。本系统充分考虑用户的使用,多数功能是透明的,用户根本感觉不到它们的存在,使用十分方便;同时安装和维护可以通过服务器集中式管理,也可以本地终端分布式管理。根据我们对几十个单位调查发现,一个难于实施和使用的系统比一个安全性稍低的系统更加危险,因为很多单位没有足够的技术人员来配置、管理和维护,并且用户使用的积极性很低,产生抵触情绪。所以,在我们设计过程中,充分考虑到用户使用的简便和透明。
总之,通过各种技术的使用,真正实现了“既强化管理,又方便使用”的目的。
4. 典型使用
(1) 单位整体使用,保证内部之间正常使用U盘,但U盘的文件拿出该单位无法使用,因为文件被加密;
(2) 在公共场合的计算机上使用,防止文件被拷走;
(3) 在重要的台式机和服务器上使用,防止保密数据被偷。
5. 使用方法:
本系统使用非常简单,客户端没有任何显示,一切在服务器端进行:
6. 功能特点
(1) 软件自我保护功能强大:本系统安装之后看不见,摸不着,用户不可能破解。而市场上的其它软件均可轻易破解甚至删除,如果系统被破解,怎么保护计算机的安全?
(2) 防拷贝,这是当前大多数单位急待解决的问题,也正是本系统的功能点所在,本系统可以全面而灵活地控制这个问题。
(3) 拷贝加密功能:市场上的其它软件只提供关闭和启用计算机端口的功能,要么完全放开,拷贝出的文件没法控制;要么完全关闭,即使内部之间也不能使用,失去了USB口的意义。本系统的拷贝加密功能从根本上解决了U盘管理的问题。即:内部之间自由拷贝,但不能用于外部环境。
(4) 多角度安全:据统计,安全问题的80%是内部泄密,本系统利用系统工程理论,从各个层面、多个角度保证系统的安全,防内甚于防外,强制控制用户行为,用户破不开、逃不掉。
(5) 全面审计功能:不仅审计用户的拷贝行为,也全面记录管理任意的配置行为。
(6) 使用简单:本系统安装后透明使用,用户没有任何感知与不便。
7. 系统结构和原理
通过在Windows系统内核中加入过滤层,在文件拷出时自动加密,在拷入时自动解密。它的工作原理如下:
系统过滤层通过目标盘判断是否需要加密,进行加密处理 |
系统过滤层通过目标盘和文件头判断是否要解密,进行解密处理 |
8. 系统性能
本系统只有在真正读写加密文件时才发生作用,平时不占用任何系统资源。
在加密文件数据时,加密、解密时间与CPU有关,但基本只占真正的读写磁盘时间的10%,CPU性能越好,占用比例越小。
9. 同类产品比较
市场上有端口控制和监控审计软件,但提供拷贝加密功能的系统没有同类产品。
10. 安全标准
本系统严格执行以下安全标准:
l PKCS #5 v2.0 [7] (Password-Based Cryptography Standard)
l FIPS 46-3 [13] (DATA ENCRYPTION STANDARD)
l FIPS 197 [3] (ADVANCED ENCRYPTION STANDARD)
l FIPS 198 [22] (The Keyed-Hash Message Authentication Code)
l FIPS 180-2 [14] (SECURE HASH STANDARD)
l NIST S. P. 800-38A [12] (A STATIISTIICAL TEST SUIITE FOR RANDOM AND PSEUDORANDOM NUMBER GENERATORS FOR RYPTOGRAPHIIC APPLIICATIIONS)
| 
转播
分享
淘帖
分享到新浪微博
