專利名稱:基于主動防泄密的網(wǎng)絡(luò)安全系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
基于主動防泄密的網(wǎng)絡(luò)安全系統(tǒng)
技術(shù)領(lǐng)域:
本實(shí)用新型涉及一種基于主動防泄密的網(wǎng)絡(luò)安全系統(tǒng),屬于保障涉密網(wǎng)絡(luò)安全的 領(lǐng)域。
背景技術(shù):
互聯(lián)網(wǎng)的廣泛應(yīng)用使人們的信息交流變得便利、迅捷,提高了人們的工作效率,然 而在給我們帶來極大便利的同時(shí)也帶來了嚴(yán)重的安全問題,尤其是網(wǎng)絡(luò)數(shù)據(jù)竊取、病毒破 壞、黑客入侵造成的危害越來越大。傳統(tǒng)的思路是單機(jī)安裝,這種方法是極其不安全。盡管 我們可以使用防火墻、代理服務(wù)器、入侵檢測等安全措施,但這些技術(shù)是基于軟件的邏輯隔 離產(chǎn)品,對于黑客和內(nèi)部用戶而言是可能被操縱的,無法滿足政府、軍隊(duì)、金融、電信、企業(yè) 等部門對數(shù)據(jù)安全的要求。傳統(tǒng)的隔離技術(shù)實(shí)現(xiàn)了物理隔離,但是對內(nèi)部人員惡意或無意 泄密行為不能做到很好的監(jiān)控、管理,往往是發(fā)生泄密行為后才進(jìn)行處理,處于被動狀態(tài)。
實(shí)用新型內(nèi)容本實(shí)用新型要解決的技術(shù)問題,在于提供一種基于主動防泄密的網(wǎng)絡(luò)安全系統(tǒng), 實(shí)現(xiàn)在全局范圍內(nèi)監(jiān)控、管理等一系列功能,并可以在不同的網(wǎng)絡(luò)環(huán)境下指定不同的安全 策略,為用戶提供完善的網(wǎng)絡(luò)安全解決方案。本實(shí)用新型是一種基于主動防泄密的網(wǎng)絡(luò)安全系統(tǒng),其特征在于包括被隔離裝 置分割成外網(wǎng)單元和內(nèi)網(wǎng)單元的多個(gè)客戶端,所述的內(nèi)網(wǎng)單元與一具有安全策略、集中控 制功能和基于Linux操作系統(tǒng)的內(nèi)核的管理服務(wù)器相連,外網(wǎng)單元與一外網(wǎng)服務(wù)器相連。本實(shí)用新型的有益之處在于1、從物理上隔離內(nèi)網(wǎng)與外網(wǎng)的數(shù)據(jù)傳輸交換,防止 內(nèi)部網(wǎng)遭受外部攻擊、病毒感染以及內(nèi)部工作人員的泄密,保護(hù)重要數(shù)據(jù)、保密數(shù)據(jù),減少 經(jīng)濟(jì)損失,達(dá)到主動防泄的目的;2、實(shí)現(xiàn)全局統(tǒng)一管控,管理端統(tǒng)一發(fā)策略,大幅提高隔離 裝置的易用性,通過統(tǒng)一管控將隔離裝置系統(tǒng)化,為管理者提供更多有價(jià)值的網(wǎng)絡(luò)狀態(tài)信 息;3、外設(shè)管理實(shí)現(xiàn)對涉密移動存儲介質(zhì)的有效監(jiān)管;4、幫助企業(yè)及各單位節(jié)省用于解決 內(nèi)外網(wǎng)隔離所投入的人力、物力及財(cái)力。
圖1為本實(shí)用新型系統(tǒng)結(jié)構(gòu)示意圖。
具體實(shí)施方式
下面結(jié)合圖1及實(shí)施例對本實(shí)用新型做進(jìn)一步描述?;谥鲃臃佬姑艿木W(wǎng)絡(luò)安全系統(tǒng),由隔離裝置分割成外網(wǎng)單元和內(nèi)網(wǎng)單元的多個(gè) 客戶端,一具有安全策略、集中控制功能和基于Linux操作系統(tǒng)的內(nèi)核的管理服務(wù)器以及 一外網(wǎng)服務(wù)器組成,所述的內(nèi)網(wǎng)單元與所述的管理服務(wù)器相連,所述的外網(wǎng)單元與所述的 外網(wǎng)服務(wù)器相連,所述的隔離裝置是支持PCI或USB通訊接口技術(shù)的物理隔離卡組成。[0009]如圖1所示,客戶端安裝在每臺計(jì)算機(jī)上,通過隔離裝置隔離成內(nèi)、外網(wǎng)單元,外 網(wǎng)單元與外網(wǎng)服務(wù)器連接,內(nèi)網(wǎng)單元與管理服務(wù)器連接??蛻舳薖C機(jī)主要組成由計(jì)算機(jī) 主板、內(nèi)網(wǎng)硬盤、外網(wǎng)硬盤、支持PCI或是USB通訊接口技術(shù)的物理隔離卡組成,通過控制硬 盤電源或數(shù)據(jù)線來分開內(nèi)、外網(wǎng),并進(jìn)行不同配置,作到內(nèi)網(wǎng)硬盤只能上內(nèi)網(wǎng),外網(wǎng)硬盤只 能上外網(wǎng);裝有隔離裝置的客戶端配合軟件實(shí)現(xiàn)如下功能(1)日志審計(jì)記錄計(jì)算機(jī)移動設(shè)備的使用情況、記錄計(jì)算機(jī)移動設(shè)備文件的操 作情況以及網(wǎng)絡(luò)切換狀態(tài),方便用戶追溯查詢。(2)外聯(lián)管理除了在內(nèi)網(wǎng)模式下實(shí)時(shí)監(jiān)測外聯(lián),對存在非法連接互聯(lián)網(wǎng)的計(jì)算 機(jī)網(wǎng)絡(luò)進(jìn)行報(bào)警并阻斷,同時(shí)對信息進(jìn)行統(tǒng)計(jì)和收集,便以日志的形式呈現(xiàn),還對計(jì)算機(jī)連 接外網(wǎng)時(shí)流進(jìn)和流出的數(shù)據(jù)進(jìn)行嚴(yán)密管理,主動把握來自外部的威脅。(3)外設(shè)管理管理服務(wù)器可以對客戶端的軟驅(qū)、光驅(qū)、USB移動存儲、1394、紅外 線、藍(lán)牙、串口與并口、調(diào)制解調(diào)器、PCMCIA、無線網(wǎng)卡等外設(shè)端口統(tǒng)一管控,同時(shí)對客戶端 授予。(4)訪問控制切換網(wǎng)絡(luò)時(shí),進(jìn)行身份認(rèn)證,防止非法用戶惡意切換網(wǎng)絡(luò);防止非 法用戶,惡意拷貝文件,管理員統(tǒng)一為每個(gè)客戶端USB端口設(shè)置唯一KEY,實(shí)現(xiàn)USB端口與計(jì) 算機(jī)的綁定,不符合KEY的USB存儲設(shè)備無法識別。(5)安全控制實(shí)現(xiàn)office多種格式文件加、解密和徹底粉碎功能;文件加密技術(shù) 的應(yīng)用,實(shí)現(xiàn)即使涉密文件被惡意拷貝、復(fù)制,也無法讀取內(nèi)容;文件粉碎設(shè)置密碼保護(hù),防 止被惡意刪除文件,同時(shí)文件粉碎時(shí)對每個(gè)扇區(qū)進(jìn)行精確充磁、去磁,處理過后的扇區(qū)可以 有效增加通過弱磁分析進(jìn)行數(shù)據(jù)恢復(fù)的難度。管理服務(wù)器配合軟件使用,包括安全策略、集中控制,以及自主研發(fā)的系統(tǒng)內(nèi)核, 該內(nèi)核是基于Linux操作系統(tǒng)進(jìn)行專業(yè)瘦身定制,將漏洞點(diǎn)降到最低限度,大大提高了系 統(tǒng)的安全性。具體描述如下(1)安全策略實(shí)現(xiàn)全局統(tǒng)一管控,監(jiān)控每一塊隔離卡的工作狀態(tài),同時(shí)管理員可 以通過管理端統(tǒng)一發(fā)策略,也可以針對單塊隔離卡實(shí)施特定策略。根據(jù)職位不同,管理員授 予不同的權(quán)限。(2)集中控制管理員對客戶端進(jìn)程、外設(shè)端口集中控制,根據(jù)每個(gè)客戶端實(shí)際情 況,啟禁用進(jìn)程、外設(shè)端口??蛻舳巳罩窘y(tǒng)一上傳到服務(wù)器,管理員可以掌握每個(gè)客戶端的 動態(tài),實(shí)時(shí)管控。(3) Linux平臺管理服務(wù)器采用Linux操作系統(tǒng)。采用該系統(tǒng)優(yōu)勢在于首先該 系統(tǒng)是開源的,根據(jù)開發(fā)需求刪除存在安全隱患的端口、組件,從而達(dá)到瘦身的目的,使系 統(tǒng)變的簡潔、安全;其次該系統(tǒng)操作采用專門的操作口令,安全性顯著提高。外網(wǎng)服務(wù)器負(fù)責(zé)客戶端外網(wǎng)單元的連接。其操作原理是通過隔離裝置隔離成內(nèi)、外網(wǎng),外網(wǎng)單元直接與外網(wǎng)服務(wù)器連接, 內(nèi)網(wǎng)單元連接到管理服務(wù)器,管理員可以對客戶端授權(quán),同時(shí)管理端可以對客戶端統(tǒng)一下 發(fā)策略,進(jìn)行統(tǒng)一監(jiān)控管理,這樣客戶端實(shí)現(xiàn)了有日志審計(jì)、外聯(lián)管理、外設(shè)管理、訪問控 制、安全控制等功能;日志審計(jì)記錄計(jì)算機(jī)移動設(shè)備的使用情況、記錄計(jì)算機(jī)移動設(shè)備文 件的操作情況以及網(wǎng)絡(luò)切換狀態(tài),方便用戶追溯查詢;外聯(lián)管理通過在內(nèi)網(wǎng)模式下實(shí)時(shí)監(jiān) 測外聯(lián),對存在非法連接互聯(lián)網(wǎng)的計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行報(bào)警并阻斷,同時(shí)對信息進(jìn)行統(tǒng)計(jì)和收集,便以日志的形式呈現(xiàn),還對計(jì)算機(jī)連接外網(wǎng)時(shí)流進(jìn)和流出的數(shù)據(jù)進(jìn)行嚴(yán)密管理,主動把 握來自外部的威脅;通過豐富的外設(shè)管控,管理員通過管理服務(wù)器可以對客戶端的軟驅(qū)、光 驅(qū)、USB移動存儲、1394、紅外線、藍(lán)牙、串口與并口、調(diào)制解調(diào)器、PCMCIA、無線網(wǎng)卡等外設(shè)端 口統(tǒng)一管控;訪問控制方面,支持密碼切換功能,用戶可自行設(shè)置切換密碼;安全控制實(shí)現(xiàn) office多種格式文件加、解密和徹底粉碎功能,防止內(nèi)部資料信息被惡意修改、拷貝等。管理服務(wù)器通過安全策略實(shí)現(xiàn)全局統(tǒng)一管控,監(jiān)控每一塊隔離卡的工作狀態(tài),同 時(shí)管理員可以通過管理端統(tǒng)一發(fā)策略,也可以針對單塊隔離卡實(shí)施特定策略;根據(jù)職位不 同,管理員授予不同的權(quán)限。集中控制管理員對客戶端外設(shè)端口集中控制,根據(jù)每個(gè)客戶 端實(shí)際情況,啟禁用外設(shè)端口;客戶端日志統(tǒng)一上傳到服務(wù)器,管理員可以掌握每個(gè)客戶端 的動態(tài),實(shí)時(shí)管控。Linux平臺管理服務(wù)器采用Linux操作系統(tǒng);采用該系統(tǒng)優(yōu)勢在于首 先該系統(tǒng)是開源的,根據(jù)開發(fā)需求刪除存在安全隱患的端口、組件,從而達(dá)到瘦身的目的, 使系統(tǒng)變的簡潔、安全;其次該系統(tǒng)操作采用專門的操作口令,安全性顯著提高。實(shí)現(xiàn)管理 的智能化、系統(tǒng)化、很大程度提高隔離卡的易用性??傊緦?shí)用新型實(shí)現(xiàn)在全局范圍內(nèi)監(jiān)控、管理等一系列功能,并可以在不同的網(wǎng) 絡(luò)環(huán)境下指定不同的安全策略,為用戶提供完善的網(wǎng)絡(luò)安全解決方案。以上所述僅為本實(shí)用新型的較佳實(shí)施例,凡依本實(shí)用新型申請專利范圍所做的均 等變化與修飾,皆應(yīng)屬本實(shí)用新型的涵蓋范圍。
權(quán)利要求1.一種基于主動防泄密的網(wǎng)絡(luò)安全系統(tǒng),其特征在于包括被隔離裝置分割成外網(wǎng) 單元和內(nèi)網(wǎng)單元的多個(gè)客戶端,所述的內(nèi)網(wǎng)單元與一具有安全策略、集中控制功能和基于 Linux操作系統(tǒng)的內(nèi)核的管理服務(wù)器相連,外網(wǎng)單元與一外網(wǎng)服務(wù)器相連。
2.根據(jù)權(quán)利要求1所述的基于主動防泄密的網(wǎng)絡(luò)安全系統(tǒng),其特征在于所述的隔離 裝置是支持PCI或USB通訊接口技術(shù)的物理隔離卡。
專利摘要本實(shí)用新型提供了一種基于主動防泄密的網(wǎng)絡(luò)安全系統(tǒng),包括被隔離裝置分割成外網(wǎng)單元和內(nèi)網(wǎng)單元的多個(gè)客戶端,所述的內(nèi)網(wǎng)單元與一具有安全策略、集中控制功能和基于Linux操作系統(tǒng)的內(nèi)核的管理服務(wù)器相連,外網(wǎng)單元與一外網(wǎng)服務(wù)器相連。本實(shí)用新型實(shí)現(xiàn)在全局范圍內(nèi)監(jiān)控、管理等一系列功能,并可以在不同的網(wǎng)絡(luò)環(huán)境下指定不同的安全策略,為用戶提供完善的網(wǎng)絡(luò)安全解決方案。
文檔編號H04L29/06GK201854302SQ20102059801
公開日2011年6月1日 申請日期2010年11月9日 優(yōu)先權(quán)日2010年11月9日
發(fā)明者林志建, 黃身錁 申請人:福州宙斯盾信息技術(shù)有限公司