三合一產品分項介紹
1�、非授權外聯監管系統
非授權外聯監管系統是為了滿足政府�、軍隊��、金融及科研院所等涉密信息系統的計算機網絡系統安全和信息安全�,而自主開發的防止非法外聯的一款產品�����。它能夠監管并阻斷涉密計算機中通過調制解調器����、ADSL撥號���、無線網卡等方式進行的非法外聯行為���,以及非可信計算機非法接入內部網絡的行為���,從技術手段上杜絕違規外聯和非法接入情況的發生��。
非授權外聯監管系統采用主動監控����、積極防御的方式���,應用智能代理技術�,緊跟網絡信息安全領域的進展��,融合了非法外聯監控�、智能代理��、實時安全監控����、集中管理平臺等相關技術�,對涉密網絡計算機進行實時監管�����、外聯預警����、違規行為分析統計���、集中多樣式報警�����、實時阻斷等多種策略操作����。輔助客戶構建可信的��、可控的涉密網絡�。
產品特點
(1)產品符合《涉及國家秘密的信息系統非授權外聯監管預警系統產品技術要求》的標準要求�����,通過國家保密局檢測�,證書編號為ISSTEC200YT0476���;
(2)發現并阻斷通過ADSL����、MODEM��、無線網卡等方式的違規外聯行為�����,杜絕違規外聯現象的發生����;
(3)具有可信域自動識別機制��,通過自動建立可信域�,實現對非法接入行為阻斷��,防止外部設備的非法接入現象發生��;
(4)改變違規外聯行為檢查工作模式�����,以技術手段促進管理水平的提高�,變被動檢查為主動防御����,把涉密計算機聯入互聯網的企圖消滅在未遂之時�����,并對違規者形成強大的心里震懾��;全天候��、全面覆蓋式地檢測違規上網行為����,提高管理工作效率�����。
產品資質:
外聯監管涉密信息系統產品檢測證書
2�、移動存儲介質使用管理系統
移動存儲介質使用管理系統按照涉密網內介質使用的現狀及需求����,秉著既安全保密又節約投資的原則�,開發了專用介質管理系統和普通介質管理系統兩個版本���。
(1)專用移動存儲介質使用管理系統
可以對專用介質進行管理��,建立介質從授權使用到銷毀的整個生命周期管理過程�����,并有效阻斷安全保密U盤的違規外聯����,做到保密要求與安全管理同步進行��,避免移動存儲介質在使用中造成的信息泄露�����。
(2)普通移動存儲介質使用管理系統
可以對普通介質進行管理��,通過授權���、信息加密��、訪問控制���、安全審計���,扇區加密�、數據流向控制等技術手段���,實現了介質的可信管理��。并對介質使用過程進行審計和跟蹤�����,有效解決介質交叉使用造成的泄密隱患��。
產品特點
(1)產品符合BMB17標準中對移動存儲介質的管理要求��,并通過國家保密安全評測��,獲得保密信息系統產品檢測證書�����,證書號為ISSTEC2007YT0491�����。
(2)獨有的外聯阻斷功能����,可以與非授權外聯監管系統相互配合使用��,同時本產品是全國具有違規外聯阻斷預警功能的介質管理系統�����。
(3)介質自身安全加固�����,本系統采用的基于SLC芯片的專用存儲介質�����,不但提供登錄控制����、文件加解密功能�����,還可以在互聯網使用環境下阻斷對數據區的訪問���,有效的保護涉密文件���,阻斷非法外聯可能存在的泄密風險�。
(4)靈活多樣的功能設置�,本系統提供密級控制���、域控制����、時間段內介質有效管理����、數據自動加密處理等����,能充分滿足用戶的管理需求�。
產品資質:
USB移動存儲介質使用管理系統產品檢測證書
3��、基于專用介質的單向導入系統
基于專用介質的安全單向導入系統由授權管理中心�、單向導入終端程序����、單向導入專用介質和智能卡四部分組成�。系統通過智能卡統一對單向導入專用介質和單向導入終端程序進行授權管理����,并根據智能卡中的密級標識將終端程序與專用介質進行綁定��。在單向導入專用介質接入終端時����,終端程序對介質的安全策略和密級標識進行驗證��,如果驗證失敗�,則不允許接入終端�。如果驗證成功���,介質將按照終端的安全策略進行數據傳輸�,防止涉密信息從高密終端流向低密終端及從涉密網絡流向非涉密網絡��。
產品特點
(1)產品具有自主知識產權�����,由公司經驗豐富的開發人員經過長時間研發而成�,相關指標均達到國家保密標準����,是國內基于專用介質的安全單向數據傳輸產品��。
(2)本產品與USB移動存儲介質使用管理系統相互配合使用����,可以提供全面的介質安全管理解決方案��。
(3)產品采用自主研發的U盤控制芯片��,并提供專用的磁盤瀏覽器����,充分滿足國家保密標準和用戶使用需求�。
(4)本產品適用于非涉密網與涉密網之間的單向導入���,同時還能夠控制涉密網內高密級與低密級數據的流向���。
產品資質:
基于專用介質的安全單向導入系統鑒定意見
三合一產品集成應用
產品要求
隨著信息安全保密問題日益突出�����,涉密單位信息系統建設的不斷深化�,安全保密建設任務更加緊迫����。如何設計并建設一個技術先進����、安全高效��、可靠可控的涉密信息系統�����,成為安全保密建設至關重要的問題���。國家保密局根據這一實際情況���,提出了三合一產品的防護策略����。主要防護涉密信息系統中以下方面的內容:
外聯監管的需求:國家保密局明確規定涉及國家秘密的計算機信息系統�,不得直接或間接地與國際互聯網或其他公共信息網絡相連接��,必須實行物理隔離�����。如何確保對涉密計算機違規外聯行為的監管��,有效阻斷通過Modem�����、ADSL��、無線網卡等方式的違規上網行為�,是三合一產品的目標之一�����。
介質管理的需求:目前�����,存儲保密信息的移動介質缺少身份����、接入控制等技術防護措施�,自身安全防護能力較弱�,保密移動存儲介質經常處在失控狀態�,經常發生由于移動存儲介質交叉使用造成的泄密事件��,這個問題已經成為保密工作的熱點和難點�����,如何處理好這個問題�����,是三合一產品的第二個目標�����。
安全導入的需求:物理隔離雖能滿足涉密信息系統中信息的保密需求��,卻為內部工作人員的信息交換帶來了不便�。應用的需求是數據傳輸�,涉密信息保密的要求是物理隔離��,如何處理好應用和保密的矛盾���,是三合一產品的第三個目標��。
產品組成
三合一產品主要由非授權外聯監管系統���、移動存儲介質使用管理系統和基于專用介質的單向導入系統組成�����。
三合一產品組成圖
部署與防護(略)
保密標準與產品對比
三合一產品主要滿足的保密標準要求:
1.BMB17-2006保密標準要求涉密信息系統不得直接或間接國際聯網���,并將物理隔離作為涉密信息系統基本保護要求�����,物理隔離就是指涉密信息系統不直接或間接連接公共網絡�����,只有物理隔離才能確保涉密信息系統不受來自公共網絡的攻擊威脅����。
非授權外聯監管系統可以實現對涉密網內兩個層面的監控����,滿足保密標準要求
(1)違規外聯行為的監控����,防止內部用戶非授權的外部連接(如違規撥號���、違規連接和違規無線上網等)�����,并對違規行為進行阻斷和報警��。
(2)違規接入行為的監控����,控制涉密信息系統內非可信計算機的接入�;控制涉密計算機外設接口和設備的使用���,并禁用無關接口或設備�����;
2.BMB17-2006保密標準要求因該對涉密移動存儲介質做好標識�����,并對介質的收發����、傳遞�����、保存���、使用���、維修和報廢整個生命周期進行嚴格管理�����,并通過嚴格的控制策略��,保證涉密介質不應在非涉密的信息系統或單機上使用�����,較高密級信息存儲介質不應在較低密級信息系統中使用��。防止內部信息通過移動存儲介質傳遞到外部計算機��。
移動存儲介質使用管理系統可以實現對介質的三個層面管理���,滿足保密標準要求
(1)介質的標識管理�����,通過授權管理中心對介質進行標識�,包括密級���、使用域等����。
(2)介質生命周期管理���,通過授權管理中心實現對介質的登記�、發放�、收回����、注銷和銷毀全過程管理���,滿足保密標準要求中對介質整個生命周期管理����;
(3)使用域控制管理��,即移動存儲介質只有經過授權后才能夠在特定計算機(內部做了標識處理的計算機)使用��,未經授權的移動存儲介質無法在特定計算機上使用�����。避免介質交叉使用可能造成的泄密隱患�����,改變介質失控管理的局面��。同時�,保證存儲高密級的介質無法在低密級的終端使用��。
3.BMB17-2006保密標準要求�����,應根據安全域劃分情況����,明確需要進行安全保密防護的邊界�����,并在安全域邊界實施有效的訪問控制策略和機制�����,對于安全域之間的數據訪問都應通過安全邊界完成����;在明確的安全域邊界應采用安全隔離與信息交換系統進行邊界防護���,并防止高密級信息由高密級安全域流向低密級安全域�����。
基于專用介質的單向導入系統可以實現兩個層面的數據單向導入���,滿足保密標準要求
(1)非涉密網與涉密網之間的數據單向導入
(2)涉密網內低密級安全域到高密級安全域的數據單向導入
點擊查看大圖
