午夜毛片免费看,老师老少妇黄色网站,久久本道综合久久伊人,伊人黄片子

一種中小企業(yè)信息管理系統(tǒng)的制作方法

文檔序號(hào):8000376閱讀:158來(lái)源:國(guó)知局
一種中小企業(yè)信息管理系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開(kāi)了一種中小企業(yè)信息管理系統(tǒng),包括路由器、交換機(jī)、系統(tǒng)控制臺(tái)、平臺(tái)服務(wù)器和客戶端,所述交換機(jī)分別與路由器、交換機(jī)、系統(tǒng)控制臺(tái)和平臺(tái)服務(wù)器相連,所述路由器與互聯(lián)網(wǎng)相連。此系統(tǒng)兼顧了保密性和開(kāi)放性,通過(guò)提供工作模式或者普通模式來(lái)改變客戶端計(jì)算機(jī)的連接狀態(tài),為內(nèi)網(wǎng)構(gòu)建一個(gè)安全的數(shù)據(jù)使用環(huán)境,具有完善的模式切換方式。建立安全數(shù)據(jù)區(qū),具備離線工作模式,具備外設(shè)禁用功能,采用統(tǒng)一的用戶管理模式,用戶可以是簡(jiǎn)單的用戶名/口令用戶,也可以跟安全認(rèn)證系統(tǒng)相結(jié)合,使用統(tǒng)一的令牌用戶。
【專利說(shuō)明】一種中小企業(yè)信息管理系統(tǒng)

【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及一種管理系統(tǒng),尤其涉及一種中小企業(yè)信息管理系統(tǒng)。

【背景技術(shù)】
[0002] 許多企業(yè)內(nèi)部雖然安裝有防火墻防護(hù),但是無(wú)法防護(hù)企業(yè)內(nèi)部入侵;然而操作系 統(tǒng)本身自帶的加密功能又十分脆弱。很多員工的安全意識(shí)較薄弱,將攜帶木馬或病毒常常 通過(guò)移動(dòng)設(shè)備(如U盤、移動(dòng)硬盤等)插入辦公電腦中,這些病毒自動(dòng)植于局域網(wǎng)電腦中, 利用局域網(wǎng)"偷窺"網(wǎng)內(nèi)的文件信息或者破壞文件,造成重大損失。由于沒(méi)有專業(yè)的防護(hù)軟 件監(jiān)控,沒(méi)有日志記錄,計(jì)算機(jī)管理員查找原因費(fèi)時(shí)有費(fèi)力。國(guó)內(nèi)只有較少的單位涉及面對(duì) 中小企業(yè)的基于商用密碼產(chǎn)品的,上網(wǎng)行為審計(jì),網(wǎng)絡(luò)準(zhǔn)入,文件加密的產(chǎn)品,其他公司的 產(chǎn)品,只能實(shí)現(xiàn)一項(xiàng)功能的產(chǎn)品,而且部署復(fù)雜,管理繁瑣。


【發(fā)明內(nèi)容】

[0003] 本發(fā)明的目的在于提供一種中小企業(yè)信息管理系統(tǒng),基于內(nèi)網(wǎng)安全理論與加密理 論研發(fā)的安全管理產(chǎn)品,以密碼技術(shù)為支撐,身份認(rèn)證為基礎(chǔ),數(shù)據(jù)、內(nèi)網(wǎng)安全以核心、監(jiān)控 審計(jì)為輔助,可靈活全面的定制并實(shí)施各種安全策略,實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)中用戶、計(jì)算機(jī)和信息的 安全管理,達(dá)到有效的用戶身份管理、計(jì)算機(jī)設(shè)備管理、數(shù)據(jù)安全保密存儲(chǔ)和防止機(jī)密信息 泄露等目標(biāo)。
[0004] 本發(fā)明采用如下技術(shù)方案實(shí)現(xiàn):
[0005] -種中小企業(yè)信息管理系統(tǒng),其特征在于,包括路由器、交換機(jī)、系統(tǒng)控制臺(tái)、平臺(tái) 服務(wù)器和客戶端,所述交換機(jī)分別與路由器、交換機(jī)、系統(tǒng)控制臺(tái)和平臺(tái)服務(wù)器相連,所述 路由器與互聯(lián)網(wǎng)相連。
[0006] 本發(fā)明具備的有益技術(shù)效果是:
[0007] 此系統(tǒng)兼顧了保密性和開(kāi)放性,有效實(shí)現(xiàn)了企業(yè)內(nèi)部計(jì)算機(jī)既要連接外網(wǎng)又要防 止核心數(shù)據(jù)泄密的目標(biāo),還可以跟中小企業(yè)信息管理系統(tǒng)其他系統(tǒng)統(tǒng)一使用,從而建立企 業(yè)完善的集身份認(rèn)證、安全管理和安全保密于一體的信息安全保障體系。
[0008] 通過(guò)提供工作模式或者普通模式來(lái)改變客戶端計(jì)算機(jī)的連接狀態(tài),為內(nèi)網(wǎng)構(gòu)建一 個(gè)安全的數(shù)據(jù)使用環(huán)境。用戶登錄普通模式可介入互聯(lián)網(wǎng),但不能介入企業(yè)內(nèi)部受管理的 數(shù)據(jù)服務(wù)器和業(yè)務(wù)系統(tǒng)之中;切換到工作模式后,即進(jìn)入保密數(shù)據(jù)工作環(huán)境,此時(shí)只能介入 內(nèi)網(wǎng)受管理的數(shù)據(jù)服務(wù)器和業(yè)務(wù)系統(tǒng),同事將自動(dòng)切斷內(nèi)部系統(tǒng)之外的所有通信。
[0009] 完善的模式切換方式。用戶可能需要切換各種工作模式,在不同的工作模式之間 切換的時(shí)候,為了有效清除內(nèi)存和緩沖區(qū)數(shù)據(jù),防止不同模式之間的泄密,管理員可以設(shè)定 不同模式之間的切換動(dòng)作,包括:注銷、重啟或直接切換。
[0010] 建立安全數(shù)據(jù)區(qū),所有存儲(chǔ)數(shù)據(jù)都是加密的,客戶端僅在進(jìn)入工作模式情況下才 能訪問(wèn),所有數(shù)據(jù)都不會(huì)被泄密到普通模式中,從而有效實(shí)現(xiàn)數(shù)據(jù)保密功能。
[0011] 具備離線工作模式。在計(jì)算機(jī)與服務(wù)器斷開(kāi)連接后,進(jìn)入離線工作模式。進(jìn)入離 線工作模式后,將切斷所有網(wǎng)絡(luò)和存儲(chǔ)輸出,但可以在安全數(shù)據(jù)區(qū)的加密受控空間工作,存 儲(chǔ)數(shù)據(jù)。
[0012] 具備外設(shè)禁用功能??筛鶕?jù)需要設(shè)定在某種工作模式下,強(qiáng)制禁止客戶端計(jì)算機(jī) 的所有外設(shè)輸出端口,進(jìn)一步增強(qiáng)客戶端數(shù)據(jù)使用環(huán)境的安全性。這些外設(shè)包括常用的數(shù) 據(jù)輸出端口,如USB、紅外、光驅(qū)、軟驅(qū)、串口、并口、1394等。
[0013] 采用統(tǒng)一的用戶管理模式,用戶可以是簡(jiǎn)單的用戶名/ 口令用戶,也可以跟安全 認(rèn)證系統(tǒng)相結(jié)合,使用統(tǒng)一的令牌用戶。

【專利附圖】

【附圖說(shuō)明】
[0014] 圖1是本發(fā)明中小企業(yè)信息管理系統(tǒng)的整體結(jié)構(gòu)圖。
[0015] 圖2是客戶端注冊(cè)流程圖。
[0016] 圖3是客戶端卸載流程圖。
[0017] 圖4是實(shí)時(shí)命令執(zhí)行流程圖。
[0018] 圖5是行為管理執(zhí)行流程圖。
[0019] 圖6是令牌注冊(cè)流程圖。
[0020] 圖7是令牌認(rèn)證流程圖。
[0021] 圖8是網(wǎng)絡(luò)數(shù)據(jù)管理流程圖。

【具體實(shí)施方式】
[0022] 通過(guò)下面對(duì)實(shí)施例的描述,將更加有助于公眾理解本發(fā)明,但不能也不應(yīng)當(dāng)將申 請(qǐng)人所給出的具體的實(shí)施例視為對(duì)本發(fā)明技術(shù)方案的限制,任何對(duì)部件或技術(shù)特征的定義 進(jìn)行改變和/或?qū)φw結(jié)構(gòu)作形式的而非實(shí)質(zhì)的變換都應(yīng)視為本發(fā)明的技術(shù)方案所限定 的保護(hù)范圍。
[0023] 現(xiàn)有技術(shù)概述:國(guó)內(nèi)已有的基于云計(jì)算的安全管理平臺(tái)技術(shù)研究提出了一種基于 云計(jì)算的安全管理平臺(tái)模型,該模型采用先進(jìn)的云計(jì)算技術(shù),利用其提供的強(qiáng)大數(shù)據(jù)處理 能力解決海量安全事件處理效率低的難題;實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全設(shè)備的分布化、虛擬化、服務(wù)透 明化的實(shí)時(shí)管理;充分保證網(wǎng)絡(luò)的安全性、可靠性,降低網(wǎng)絡(luò)風(fēng)險(xiǎn)。
[0024] 國(guó)內(nèi)已有一種云計(jì)算安全架構(gòu)的實(shí)現(xiàn)方法,是用網(wǎng)閘將云計(jì)算平臺(tái)分成云計(jì)算中 心的前臺(tái)和云計(jì)算中心的后臺(tái),在云計(jì)算中心前臺(tái)存儲(chǔ)云用戶的明文文件,在云計(jì)算中心 的后臺(tái)存儲(chǔ)云用戶的密文文件,在云用戶端與云計(jì)算中心的后臺(tái)之間建立加密通道,保證 云用戶將程序及其數(shù)據(jù),通過(guò)加密通道安全、完整的傳輸?shù)皆朴?jì)算中心的后臺(tái),并在云計(jì)算 中心的后臺(tái)運(yùn)行程序,再將程序運(yùn)行"結(jié)果"通過(guò)加密通道,安全、完整傳輸?shù)皆朴脩舳说目?戶機(jī)里,在云安全中心建立登錄日志數(shù)據(jù)庫(kù)和操作日志數(shù)據(jù)庫(kù),監(jiān)控外部黑客對(duì)云計(jì)算平 臺(tái)的攻擊,監(jiān)控云計(jì)算平臺(tái)來(lái)自內(nèi)部管理的非法操作,從而建立云計(jì)算的安全系統(tǒng)。
[0025] 國(guó)內(nèi)已有基于云計(jì)算的USBKey身份認(rèn)證技術(shù)研究,在相關(guān)文獻(xiàn)中闡述了云計(jì)算 和USBKey身份認(rèn)證的基本概念和框架,分析USBKey在身份認(rèn)證中存在的不足,將云計(jì)算與 USBKey緊密結(jié)合起來(lái),建立一種基于云計(jì)算的USBKey身份認(rèn)證模型,該模型簡(jiǎn)單、安全、實(shí) 用,充分體現(xiàn)了云計(jì)算的優(yōu)勢(shì),有效的解決了 USBKey身份認(rèn)證的安全問(wèn)題。
[0026] 本發(fā)明基于云計(jì)算的高性能安全控制和管理系統(tǒng),采用基于云計(jì)算技術(shù)、密碼硬 件芯片的用戶標(biāo)識(shí)、口令用戶標(biāo)識(shí)、獨(dú)立于windows域的集中認(rèn)證系統(tǒng)及采用主動(dòng)加密、強(qiáng) 制加密方法、支持策略模型,對(duì)安全策略、各硬件和系統(tǒng)進(jìn)行統(tǒng)一的安全控制盒管理。對(duì)日 志等信息進(jìn)行關(guān)聯(lián)分析,支持集群的負(fù)載均衡、實(shí)現(xiàn)計(jì)算機(jī)遠(yuǎn)程監(jiān)控的及身份認(rèn)證、安全管 理和安全保密于一體。
[0027] 現(xiàn)有的加密技術(shù)往往占用系統(tǒng)資源較大、容易產(chǎn)生內(nèi)存碎片;容易受到病毒的感 染;加密密碼容易忘記后很難破解;被動(dòng)加密,需要人為主動(dòng)執(zhí)行加密操作;加密體系的局 限性,要么針對(duì)文件,要么針對(duì)磁盤,要么針對(duì)網(wǎng)絡(luò),不夠全面。而且現(xiàn)有技術(shù)方案中,各個(gè) 系統(tǒng)來(lái)自不同的廠家,系統(tǒng)架構(gòu)繁瑣,各個(gè)子系統(tǒng)之間不兼容,沖突不斷,經(jīng)常造成系統(tǒng)整 體癱瘓,管理不當(dāng)就會(huì)造成重要文件外泄,造成信息安全事故。不僅占用大量的軟硬件資 源,而且會(huì)大量增加部署及管理成本。影響計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)整體運(yùn)行速率,也不能合理、全 面的管理整個(gè)網(wǎng)絡(luò)系統(tǒng)。
[0028] 本發(fā)明的中小企業(yè)信息管理系統(tǒng)系列產(chǎn)品是基于內(nèi)網(wǎng)安全理論與加密理論研發(fā) 的安全管理產(chǎn)品,以密碼技術(shù)為支撐,身份認(rèn)證為基礎(chǔ),數(shù)據(jù)、內(nèi)網(wǎng)安全以核心、監(jiān)控審計(jì)為 輔助,可靈活全面的定制并實(shí)施各種安全策略,實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)中用戶、計(jì)算機(jī)和信息的安全管 理,達(dá)到有效的用戶身份管理、計(jì)算機(jī)設(shè)備管理、數(shù)據(jù)安全保密存儲(chǔ)和防止機(jī)密信息泄露等 目標(biāo)。
[0029] 中小企業(yè)信息管理系統(tǒng)系列產(chǎn)品是在中小企業(yè)信息管理系統(tǒng)基礎(chǔ)上,由五個(gè)系統(tǒng) 組成,分別是安全認(rèn)證系統(tǒng)(ATS)、終端安全保密系統(tǒng)(SNW)、終端安全監(jiān)控系統(tǒng)(MCS)、文 檔數(shù)據(jù)管理系統(tǒng)(DCS)、移動(dòng)存儲(chǔ)設(shè)備管理系統(tǒng)(RMS)。這五個(gè)系統(tǒng)均采用模塊化設(shè)計(jì),根 據(jù)安全機(jī)制的需求將模塊打包成產(chǎn)品基礎(chǔ)包,基礎(chǔ)包作為終端安全產(chǎn)品單獨(dú)使用,同時(shí)又 可根據(jù)用戶特殊需求與可選包進(jìn)行靈活組合。
[0030] 本發(fā)明的中小企業(yè)信息管理系統(tǒng)系列產(chǎn)品注重從信息的源頭開(kāi)始抓安全,對(duì)信息 的存儲(chǔ)、交換和使用等環(huán)節(jié)實(shí)現(xiàn)全面保護(hù),從而達(dá)到信息的全程安全,主要有以下幾個(gè)特 點(diǎn)。
[0031] 對(duì)內(nèi)網(wǎng)原網(wǎng)絡(luò)系統(tǒng)性能影響小。此產(chǎn)品體系完全基于TCP/IP協(xié)議,不需要改變現(xiàn) 有網(wǎng)絡(luò)結(jié)構(gòu),支持遠(yuǎn)程管理。
[0032] 提供一致的內(nèi)網(wǎng)安全解決方案,基于統(tǒng)一管理平臺(tái),提供身份認(rèn)證、授權(quán)管理、數(shù) 據(jù)保密和監(jiān)控審計(jì)的完整互動(dòng)安全策略。
[0033] 提供多種靈活的透明加密措施,根據(jù)用戶需求可以進(jìn)行文件加密、文件夾加密、應(yīng) 用系統(tǒng)加密、本地磁盤加密、移動(dòng)存儲(chǔ)設(shè)備加密等。
[0034] 具備廣域網(wǎng)和大用戶數(shù)等大規(guī)模網(wǎng)絡(luò)部署的架構(gòu)和性能,支持多機(jī)熱備、負(fù)載平 衡、分級(jí)管理和多級(jí)部署的功能。
[0035] 支持基于用戶、計(jì)算機(jī)和控制內(nèi)容的三要素策略設(shè)計(jì)思想,策略可以靈活控制,針 對(duì)不同的用戶和不同的計(jì)算機(jī)實(shí)現(xiàn)不同的策略,支持權(quán)限在內(nèi)部信息網(wǎng)絡(luò)中的漫游。
[0036] 充分考慮和尊重一般企業(yè)既要訪問(wèn)互聯(lián)網(wǎng),又希望對(duì)核心數(shù)據(jù)進(jìn)行保護(hù)的需求, 提供基于模式切換的解決方案,幫助用戶有效實(shí)現(xiàn)既要上網(wǎng)又要保密數(shù)據(jù)的目標(biāo),提供靈 活的企業(yè)數(shù)據(jù)安全解決方案。
[0037] 提供了對(duì)移動(dòng)存儲(chǔ)設(shè)備的強(qiáng)大管理功能,提供針對(duì)移動(dòng)存儲(chǔ)設(shè)備的注冊(cè)、認(rèn)證、策 略控制和使用審計(jì)等措施。其中,策略控制支持禁用、制度、加密、解密等方式,注冊(cè)則可以 基于用戶、計(jì)算機(jī)和控制策略三要素進(jìn)行管理
[0038] 提供了基于應(yīng)用系統(tǒng)的數(shù)據(jù)保護(hù)功能,能夠有效地區(qū)分應(yīng)用系統(tǒng)流轉(zhuǎn)的受控?cái)?shù)據(jù) 和本地非受控?cái)?shù)據(jù),對(duì)應(yīng)用系統(tǒng)中的受控?cái)?shù)據(jù)采用加密和權(quán)限控制技術(shù),本地其他非受控 數(shù)據(jù)的使用則不受影響。
[0039] 提供豐富的授權(quán)管理內(nèi)容,包括服務(wù)器訪問(wèn)、中端計(jì)算機(jī)使用、外設(shè)、網(wǎng)絡(luò)、應(yīng)用程 序和U盤使用等。
[0040] 支持豐富的日志審計(jì)、報(bào)表生成以及實(shí)時(shí)報(bào)警監(jiān)控等功能,提供豐富的管理手段。
[0041] 1.關(guān)鍵技術(shù)
[0042] 2. 1高性能安全服務(wù)器技術(shù)
[0043] 中小企業(yè)信息管理系統(tǒng)是內(nèi)網(wǎng)計(jì)算機(jī)的安全管理平臺(tái),其服務(wù)器是整個(gè)安全管理 系統(tǒng)核心,需要對(duì)所有計(jì)算機(jī)客戶端進(jìn)行實(shí)時(shí)管理和策略實(shí)時(shí),并接受客戶端代理的日志 和監(jiān)控信息,所以必須保證服務(wù)器的穩(wěn)定性,使其具有365天的持續(xù)服務(wù)能力,并具有較強(qiáng) 的抗攻擊和抗病毒能力。同時(shí),因?yàn)锽omse服務(wù)器的客戶端可能是多大上萬(wàn)臺(tái),要求服務(wù)器 具有高校的負(fù)載能力。具有上述兩點(diǎn),中小企業(yè)信息管理系統(tǒng)在設(shè)計(jì)的時(shí)候充分考慮了以 下關(guān)鍵要點(diǎn),并在技術(shù)上取得了突破。
[0044] 1. 1. 1資源最小化運(yùn)行技術(shù)
[0045] 在中小企業(yè)信息管理系統(tǒng)設(shè)計(jì)中,資源最小化主要關(guān)注的內(nèi)容包括:CPU使用率、 內(nèi)存使用率和第二方程序依賴程度等。
[0046] 為了降低CPU使用率,對(duì)服務(wù)器的流程和動(dòng)作做了各方面的分析和優(yōu)化,減少冗 余的運(yùn)算和操作,降低CPU使用率的同時(shí)提高了服務(wù)器的性能和穩(wěn)定性。內(nèi)存控制技術(shù)使 用了內(nèi)存重用技術(shù),減少可能產(chǎn)生的系統(tǒng)內(nèi)存碎片,減少系統(tǒng)內(nèi)存消耗。在設(shè)計(jì)過(guò)程中,為 了減少用戶的投資和保證服務(wù)器的資源充分,最大程度降低對(duì)第三方程序的依賴,如數(shù)據(jù) 庫(kù)和其他各種協(xié)議等,使用中小企業(yè)信息管理系統(tǒng)的服務(wù)器資源最小化,環(huán)境適應(yīng)型號(hào)。同 事,為了適應(yīng)用戶的需求,也預(yù)置了通過(guò)遠(yuǎn)程通信方式與第三方數(shù)據(jù)程序進(jìn)行協(xié)同工作的 借口,從而減少本地服務(wù)器的系統(tǒng)負(fù)載,提供本地服務(wù)器系統(tǒng)的穩(wěn)定性。
[0047] 1. 1. 2高效并發(fā)處理技術(shù)
[0048] 中小企業(yè)信息管理系統(tǒng)服務(wù)器是整個(gè)網(wǎng)絡(luò)安全管理的核心,負(fù)責(zé)對(duì)多大上萬(wàn)個(gè)客 戶端代理的登錄認(rèn)證、實(shí)時(shí)管理、策略實(shí)施和日志記錄工作,其負(fù)載非常大,并發(fā)的鏈接數(shù) 量也必然龐大。為了建立高效的并發(fā)處理機(jī)制,確保服務(wù)器能夠在高負(fù)載情況下正常提供 服務(wù),中小企業(yè)信息管理系統(tǒng)的服務(wù)器設(shè)計(jì)中通過(guò)綜合應(yīng)用多線程、隊(duì)列、主動(dòng)輪詢等技 術(shù),使得服務(wù)器具有良好的高效并發(fā)處理能力,能夠滿足任何大型網(wǎng)絡(luò)安全管理需求。
[0049] 1. 1. 3安全認(rèn)證技術(shù)
[0050] 中小企業(yè)信息管理系統(tǒng)的服務(wù)器是整個(gè)系統(tǒng)的核心,管理控制著內(nèi)網(wǎng)所有客戶端 機(jī)器。為了確保服務(wù)器的安全性,防止服務(wù)器被冒充等行為的發(fā)生,中小企業(yè)信息管理系統(tǒng) 的服務(wù)器采用了基于公開(kāi)密鑰算法的安全認(rèn)證技術(shù),基于硬件授權(quán)令牌啟動(dòng)服務(wù)器,確保 服務(wù)器的身份真實(shí)性。
[0051] 2. 1.4傳輸加密技術(shù)
[0052] 中小企業(yè)信息管理系統(tǒng)服務(wù)器與客戶端之劍傳輸著策略日志等敏感信息,為了防 止竊聽(tīng)和攻擊,服務(wù)器和客戶端、服務(wù)器和控制臺(tái)之間的傳輸信道都采用了加密技術(shù),保障 了服務(wù)器的安全性和抗攻擊能力。
[0053] 2. 2身份認(rèn)證技術(shù)
[0054] 確認(rèn)用戶身份,確保信息習(xí)用中用戶身份的真實(shí)性,是一個(gè)安全系統(tǒng)的基本要素, 也是進(jìn)行授權(quán)、管理和監(jiān)控的基礎(chǔ)。中小企業(yè)信息管理系統(tǒng)采用高強(qiáng)度身份認(rèn)證技術(shù),確保 用戶身份的安全性和可靠性,并在此基礎(chǔ)上實(shí)現(xiàn)了靈活的用戶管理體制。
[0055] 2. 2. 1基于密碼硬件芯片的用戶標(biāo)識(shí)
[0056] 中小企業(yè)信息管理系統(tǒng)采用內(nèi)置密碼芯片的USB KEY作為用戶身份標(biāo)識(shí)的載體, 所有關(guān)于用戶身份確認(rèn)的關(guān)鍵運(yùn)算步驟都在USB KEY的密碼芯片上完成,不會(huì)暴露在計(jì)算 機(jī)的內(nèi)存中,避免了在計(jì)算機(jī)中可能遭遇木馬攻擊等危險(xiǎn),從而提高安全性。
[0057] USB KEY還采用了雙因素身份的思想,設(shè)置了用戶個(gè)人識(shí)別碼(PIN),并設(shè)置了可 以防止重放攻擊的自動(dòng)死鎖功能,進(jìn)一步提高了用戶的安全性。
[0058] 2.2.2 口令用戶標(biāo)識(shí)
[0059] 中小企業(yè)信息管理系統(tǒng)支持非硬件的用戶標(biāo)識(shí),用戶使用一個(gè)字符串(用戶名 稱)作為用戶身份的標(biāo)識(shí),用戶名稱配合一個(gè)密碼(支持復(fù)雜密碼驗(yàn)證),提高用戶的安全 性。普通用戶標(biāo)識(shí)增加保密的同時(shí)降低成本。
[0060] 2. 2. 3基于PKI體系的數(shù)字證書(shū)認(rèn)證技術(shù)
[0061] 中小企業(yè)信息管理系統(tǒng)采用了 PKI技術(shù),支持目前通用的各種CA運(yùn)營(yíng)商發(fā)放的 X. 509數(shù)字證書(shū),PKI技術(shù)是目前公認(rèn)的安全強(qiáng)度可靠的身份認(rèn)證技術(shù),并得到了國(guó)家的大 力支持。國(guó)家電子簽名方案在2004年通過(guò),使得數(shù)字證書(shū)的認(rèn)證技術(shù)和簽名技術(shù)具有了法 律效應(yīng)。安全認(rèn)證系統(tǒng)嚴(yán)格按照PKI的思想和標(biāo)準(zhǔn)進(jìn)行設(shè)計(jì),結(jié)合硬件USB KEY作為數(shù)字 證書(shū)載體,使用戶身份得到了高強(qiáng)度的安全保證。
[0062] 2. 2. 4獨(dú)立于windows域的集中認(rèn)證系統(tǒng)
[0063] 中小企業(yè)信息管理系統(tǒng)的認(rèn)證系統(tǒng)是一個(gè)獨(dú)立的系統(tǒng),與Windows域是相互獨(dú)立 的。安全認(rèn)證系統(tǒng)有自己的獨(dú)立認(rèn)證服務(wù)器中心和策略中心,不需要依賴于Windows域而 存在。獨(dú)立的認(rèn)證系統(tǒng)給用戶提供了更多靈活性和更高的安全性。用戶可以跨域?qū)嵤╈`活 的用戶認(rèn)證策略,給不同Windows域的用戶制定相同的認(rèn)證策略,從而提高管理的靈活性。 安全認(rèn)證系統(tǒng)采用了完全基于PKI體制達(dá)到認(rèn)證協(xié)議,獨(dú)立于Windows系統(tǒng),從而給用戶提 供了更加專業(yè)的認(rèn)證技術(shù)保證。
[0064] 雖然安全認(rèn)證系統(tǒng)獨(dú)立于Windows的安全域,但是為了更加方便用戶使用,安全 認(rèn)證系統(tǒng)支持內(nèi)置Windows登錄信息,并與Windows的登錄系統(tǒng)緊密結(jié)合,從而使得用戶可 以實(shí)現(xiàn)快速的一次性登錄,方便且安全。
[0065] 2. 2. 5基于認(rèn)證的資源授權(quán)控制
[0066] 首先,可以針對(duì)用戶授權(quán)其能否使用計(jì)算機(jī),指定某個(gè)用戶只能登錄使用某幾臺(tái) 計(jì)算機(jī),或者某臺(tái)計(jì)算機(jī)只能由哪些經(jīng)過(guò)授權(quán)的用戶使用。如果用戶沒(méi)有經(jīng)過(guò)授權(quán),即便其 擁有計(jì)算機(jī)的管理員賬號(hào),其也不能登錄使用該計(jì)算機(jī)。
[0067] 此外,基于安全認(rèn)證系統(tǒng),還能夠授權(quán)用戶能否使用計(jì)算機(jī)上的各種資源,這些資 源包括應(yīng)用程序、各種外設(shè)資源、網(wǎng)絡(luò)資源和設(shè)備等。
[0068] 安全認(rèn)證系統(tǒng)通過(guò)安全網(wǎng)關(guān),還可以對(duì)內(nèi)網(wǎng)中的各種服務(wù)器資源進(jìn)行有效的授 權(quán),這些服務(wù)器資源包括0A系統(tǒng)、Mail服務(wù)器和FTP服務(wù)器等。通過(guò)安全認(rèn)證系統(tǒng),給不 同的用戶授予不同的訪問(wèn)權(quán)限,從而做到對(duì)內(nèi)部用戶進(jìn)有效的權(quán)限管理。
[0069] 2.2.6認(rèn)證技術(shù)的擴(kuò)展性能
[0070] 結(jié)合認(rèn)證技術(shù),還有更多靈活的擴(kuò)展功能。
[0071] 安全保密磁盤為每個(gè)用戶提供了個(gè)人的保密存儲(chǔ)空間,從而實(shí)現(xiàn)了再公共計(jì)算機(jī) 上的個(gè)人安全保密需求。
[0072] 離機(jī)鎖定功能使得用戶可以在離開(kāi)計(jì)算機(jī)時(shí),拔出USB令牌使計(jì)算機(jī)自動(dòng)處于鎖 定狀態(tài),防止計(jì)算機(jī)被非授權(quán)人員使用,安全方便。
[0073] 2. 3存儲(chǔ)加密技術(shù)
[0074] 2. 3. 1存儲(chǔ)加密體系綜述
[0075] 中小企業(yè)信息管理系統(tǒng)是以密碼技術(shù)為支撐,加密技術(shù)在系統(tǒng)中占有重要的組成 部分。其加密體系分為網(wǎng)絡(luò)加密體系和存儲(chǔ)加密體系,其中存儲(chǔ)加密體系考慮非常周全,既 考慮了從企業(yè)和管理者出發(fā)需要的強(qiáng)制加密,也考慮了個(gè)人自己需求的主動(dòng)加密,并且讓 這兩者得到了有機(jī)結(jié)合。
[0076] 2.3.2主動(dòng)加密
[0077] 2. 3. 2. 1安全保密磁盤
[0078] 安全保密磁盤時(shí)安全認(rèn)證系統(tǒng)的功能模塊之一,主要用于為每個(gè)用戶提供自己的 安全隱私空間,采用了完全透明的加密技術(shù)。
[0079] 在安全認(rèn)證系統(tǒng)中,系統(tǒng)管理員為每個(gè)用戶注冊(cè)和發(fā)放一個(gè)USB硬件凌攀作為個(gè) 人身份的標(biāo)識(shí),用戶使用這個(gè)硬件凌攀登錄自己的計(jì)算機(jī)后,可以在管理界面創(chuàng)建一個(gè)或 多個(gè)安全保密磁盤。安全保密磁盤本質(zhì)上是一個(gè)加密文件,存儲(chǔ)在里面的文件數(shù)據(jù)都是加 密的。安全保密磁盤的特性如下:
[0080] 安全保密磁盤里面的存儲(chǔ)的數(shù)據(jù)和文件都是加密的;
[0081] 只有創(chuàng)建該安全保密磁盤的用戶才能打開(kāi)該安全磁盤;
[0082] 安全保密磁盤的使用與普通磁盤分區(qū)完全相同;
[0083] 用戶注銷后,安全保密磁盤自動(dòng)關(guān)閉;
[0084] 多個(gè)用戶可以在同一計(jì)算機(jī)上各自創(chuàng)建自己的安全保密磁盤;
[0085] 安全保密磁盤文件可以隨時(shí)轉(zhuǎn)移到其他計(jì)算機(jī);
[0086] 安全保密磁盤可以設(shè)定為插入令牌后自動(dòng)打開(kāi)或手動(dòng)打開(kāi);
[0087] 安全保密磁盤可以指定特定的盤符從而適用于安裝應(yīng)用程序;
[0088] 安全保密磁盤支持自由算法、DES、3DES、AES或者其他國(guó)產(chǎn)算法。2. 3. 2. 2客戶端 保S文件子系統(tǒng)
[0089] 客戶端保密文件子系統(tǒng)完全依賴于可惜網(wǎng)絡(luò)認(rèn)證系統(tǒng)。該躬耕模塊主要為企業(yè)計(jì) 算機(jī)用戶之間安全傳輸文件數(shù)據(jù)提供有利的安全保障,采用了非透明的加密技術(shù)。
[0090] 客戶端保密文件子系統(tǒng)依賴于ATS系統(tǒng)的授權(quán)用戶,支持在ATS用戶之間的安全 文件數(shù)據(jù)傳輸。例如用戶A要安全傳輸一個(gè)文件給用戶B,如果直接傳輸,可以能會(huì)因?yàn)榫W(wǎng) 絡(luò)竊聽(tīng)或存儲(chǔ)設(shè)備丟失造成泄密事件。為了避免這種情況,用戶A可以開(kāi)啟客戶端保密文 件字系統(tǒng),選擇接收文件的對(duì)象,然后加密。經(jīng)過(guò)加密的文件可以通過(guò)任何數(shù)據(jù)交換途徑交 給B,B必須使用自己的用戶名和密碼才能解密和閱讀該文件。使得即使在加密文件傳輸過(guò) 程中文件被竊聽(tīng)或丟失,取得文件的人因?yàn)闆](méi)有B的用戶名和密碼,也不能閱讀該文件,從 而實(shí)現(xiàn)了有效客戶端保密文件。
[0091] 更重要的是,客戶端保密文件子系統(tǒng)和文件審計(jì)相互呼應(yīng),文件在需要外帶請(qǐng)求 審批時(shí)可以在文件審批模塊上直接調(diào)用保密文件對(duì)文件進(jìn)行授權(quán),在數(shù)據(jù)交換時(shí)能夠極大 滿足數(shù)據(jù)在交換過(guò)程中的安全需求。保密文件可以與SNW移動(dòng)存儲(chǔ)設(shè)備管理模塊相互協(xié) 調(diào),從而相實(shí)現(xiàn)在不突破SNW儲(chǔ)存滾利規(guī)則的情況下,和在SNW系統(tǒng)外的特殊權(quán)限用戶進(jìn)數(shù) 據(jù)交換,滿足企業(yè)緊急情況下或者管理者遠(yuǎn)程工作情況下文件審批需要。
[0092] 2.3.3強(qiáng)制加密
[0093] 2. 3. 3. 1SNW移動(dòng)存儲(chǔ)設(shè)備管理
[0094] SNW移動(dòng)存儲(chǔ)設(shè)備管理用于對(duì)軟盤、U盤和移動(dòng)硬盤燈便攜式存儲(chǔ)設(shè)備進(jìn)行有效 的管理,當(dāng)移動(dòng)存儲(chǔ)設(shè)備被注冊(cè)為加密讀寫策略時(shí)候,所有寫入該移動(dòng)存儲(chǔ)設(shè)備的文件數(shù) 據(jù)將被強(qiáng)制加密。采用了透明加密技術(shù)。
[0095] SNW移動(dòng)存儲(chǔ)設(shè)備管理加密的數(shù)據(jù)文件在默認(rèn)狀況下,只能在加密該數(shù)據(jù)的計(jì)算 機(jī)所在的虛擬保密子網(wǎng)SNW內(nèi)使用,S卩如果使用移動(dòng)存儲(chǔ)設(shè)備將這些數(shù)據(jù)攜帶到不在指定 的SNW,將是毫無(wú)意義的加密數(shù)據(jù),無(wú)法正確解密。該技術(shù)有效限定了數(shù)據(jù)的共享范圍,這 樣,對(duì)于用戶來(lái)說(shuō),既可以享受移動(dòng)存儲(chǔ)設(shè)備共享數(shù)據(jù)的方便性,又可以實(shí)現(xiàn)有效地?cái)?shù)據(jù)共 享范圍管理。如果數(shù)據(jù)要在兩臺(tái)不屬于同一 SNW的計(jì)算機(jī)上進(jìn)行共享,那么需要者兩個(gè)SNW 建立信任關(guān)系,并且管理員給該數(shù)據(jù)所在磁盤授權(quán)有允許信任域共享的權(quán)限。
[0096] SNW移動(dòng)存儲(chǔ)設(shè)備管理的加密技術(shù)是完全透明的,對(duì)于用戶來(lái)說(shuō),只要在允許范圍 內(nèi)使用數(shù)據(jù),跟使用普通U盤活移動(dòng)硬盤完全一樣,對(duì)于用戶來(lái)說(shuō)沒(méi)有任何習(xí)慣上的改變, 但是如果用戶試圖將數(shù)據(jù)在非指定SNW內(nèi)計(jì)算機(jī)上使用,則數(shù)據(jù)是無(wú)效的。
[0097] 2. 3. 3. 2SNW本地磁盤加密
[0098] SNW系統(tǒng)安裝后,可以設(shè)定本地磁盤加密策略。本功能模塊也同樣采用了透明加密 技術(shù)。
[0099] 本模塊啟用后,所有本地磁盤保存的文件,都被SNW系統(tǒng)自動(dòng)強(qiáng)制加密保存在磁 盤中,這樣,即使磁盤被盜用或丟失,都不會(huì)造成企業(yè)重要信息的泄密。魷魚(yú)采用了透明的 加密技術(shù),對(duì)用戶和應(yīng)用程序來(lái)說(shuō)都不會(huì)有任何影響,也不會(huì)因?yàn)榘踩缘奶岣叨绊懹?戶的使用習(xí)慣。該功能模塊是強(qiáng)制加密,適用于需要加強(qiáng)其數(shù)據(jù)保密安全措施的企業(yè)。
[0100] 2. 3. 3. 3DCS本地受控加密區(qū)
[0101] 本地受控加密區(qū)是DCS系統(tǒng)用戶用于緩存數(shù)據(jù)到本地的區(qū)域,該區(qū)域同樣采用了 透明加密技術(shù),屬于DCS安全數(shù)據(jù)區(qū)的一部分。
[0102] DCS啟動(dòng)并進(jìn)入工作模式后,一般情況下將禁止用戶將任何數(shù)據(jù)保存在本地磁盤。 但是存在這種情況,即筆記本用戶如果出差或離開(kāi)公司需要工作的時(shí)候,可能需要查閱或 者使用一些文件,而這時(shí)候不能連接上公司文件服務(wù)器。為了解決用戶這個(gè)需求,DCS系統(tǒng) 提供了本地受控加密區(qū),即用戶在工作模式下,可以將文件保存在本地這個(gè)加密區(qū),這個(gè)加 密區(qū)是受控的,僅在工作模式下才能打開(kāi),即意味著數(shù)據(jù)不能通過(guò)網(wǎng)絡(luò)或者其他存儲(chǔ)設(shè)備 保存在別的任何地方。推出工作模式后,加密受控區(qū)即刻關(guān)閉,其數(shù)據(jù)加密保存在本地磁盤 的某個(gè)地方。
[0103] 由于一臺(tái)計(jì)算機(jī)可能由不同用戶使用,DCS系統(tǒng)針對(duì)每個(gè)用戶自動(dòng)建立本地的受 控加密區(qū),采用不同的密鑰進(jìn)行加密,從而避免不同用戶之間數(shù)據(jù)相互泄密。
[0104] 2· 3· 3. 4RMS移動(dòng)存儲(chǔ)設(shè)備加密
[0105] RMS系統(tǒng)作為客戶端移動(dòng)存儲(chǔ)設(shè)備提供完善的管理方案,通過(guò)對(duì)移動(dòng)存儲(chǔ)設(shè)備的 注冊(cè)、授權(quán)、掛失和注銷進(jìn)行各種控制。一般情況下客戶端禁止使用移動(dòng)存儲(chǔ)設(shè)備,但實(shí)際 情況中客戶端用戶需要使用移動(dòng)存儲(chǔ)設(shè)備進(jìn)行相關(guān)工作,為解決用戶合理的需求,RMS系統(tǒng) 授權(quán)用戶可以在客戶端使用移動(dòng)存儲(chǔ)設(shè)備,同時(shí)該設(shè)備的使用權(quán)限收到管理員控制。本模 塊采用了透明加密技術(shù)。
[0106] 由于客戶端使用移動(dòng)存儲(chǔ)設(shè)備非常頻繁,為方便管理員查看管理設(shè)備的使用情 況,RMS系統(tǒng)對(duì)移動(dòng)存儲(chǔ)設(shè)備進(jìn)行日志記錄,記錄包括客戶端移動(dòng)存儲(chǔ)設(shè)備的使用和設(shè)備里 文件的操作記錄。管理者可以隨時(shí)查看各個(gè)計(jì)算機(jī)上移動(dòng)存儲(chǔ)設(shè)備的文件操作日志,而且 可以通過(guò)記錄確定客戶端移動(dòng)存儲(chǔ)設(shè)備的使用情況。
[0107] 2. 3. 4存儲(chǔ)加密體系協(xié)調(diào)
[0108] 中小企業(yè)信息管理系統(tǒng)的存儲(chǔ)加密體系是一個(gè)完整的存儲(chǔ)加密體系,考慮到了企 業(yè)和個(gè)人、存儲(chǔ)和傳輸、易用和安全等方面因素。對(duì)于底層三個(gè)功能模塊,由于是強(qiáng)制性的, 所以策略啟動(dòng)后所有符合規(guī)定的文件都被強(qiáng)制使用該策略,對(duì)于主動(dòng)加密的功能來(lái)說(shuō),則 用戶具有其他的選擇途徑。
[0109] 2. 4網(wǎng)絡(luò)加密技術(shù)
[0110] 網(wǎng)絡(luò)加密技術(shù)是中小企業(yè)信息管理系統(tǒng)的關(guān)鍵技術(shù)之一,在平臺(tái)的研發(fā)和設(shè)計(jì) 中,采用了多層次的網(wǎng)絡(luò)加密技術(shù),既有用于保障中小企業(yè)信息管理系統(tǒng)自身可靠性的系 統(tǒng)信息加密,又有實(shí)現(xiàn)虛擬保密網(wǎng)等功能的傳輸加密技術(shù)。
[0111] 2. 4.1數(shù)據(jù)傳輸加密
[0112] 中小企業(yè)信息管理系統(tǒng)的多個(gè)系統(tǒng)采用了數(shù)據(jù)傳輸加密技術(shù),包括SNW、ATS、DCS 系統(tǒng)。數(shù)據(jù)傳輸加密時(shí)實(shí)現(xiàn)平臺(tái)功能的關(guān)鍵技術(shù)之一。當(dāng)數(shù)據(jù)傳輸加密功能因?yàn)樘囟ú呗?被啟動(dòng)后,點(diǎn)到點(diǎn)之間的所有數(shù)據(jù)傳輸都被加密?;跀?shù)據(jù)傳輸加密技術(shù),實(shí)現(xiàn)了中小企業(yè) 信息管理系統(tǒng)中的許多重要特性和功能,如SNW分域、安全網(wǎng)關(guān)和DCS網(wǎng)絡(luò)管理技術(shù)等。
[0113] 中小企業(yè)信息管理系統(tǒng)的數(shù)據(jù)傳輸加密在IP層實(shí)現(xiàn),并根據(jù)策略進(jìn)行靈活的密 鑰和算法管理。中小企業(yè)信息管理系統(tǒng)的數(shù)據(jù)傳輸中,采用了集中的密鑰管理體制,定期更 細(xì)密鑰,并且每個(gè)中端都使用不同的密鑰進(jìn)行數(shù)據(jù)加密。
[0114] 2.4.2系統(tǒng)信息加密
[0115] 中小企業(yè)信息管理系統(tǒng)為了保證系統(tǒng)自身安全,對(duì)系統(tǒng)之間傳輸?shù)闹噶睢⒉呗院?日志等信息也進(jìn)行了加密。中小企業(yè)信息管理系統(tǒng)對(duì)系統(tǒng)信息傳輸?shù)募用苁窃趹?yīng)用協(xié)議層 實(shí)現(xiàn)的。
[0116] 2.5資源控制技術(shù)
[0117] 2. 5.1資源控制概述
[0118] 中小企業(yè)信息管理系統(tǒng)的各個(gè)系統(tǒng)總的來(lái)說(shuō)就是提供一種有效的資源控制手段, 根據(jù)管理需要和規(guī)則對(duì)內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的各種資源進(jìn)行有效控制。這些資源是廣泛的, 包括計(jì)算機(jī)資源、服務(wù)器資源和網(wǎng)絡(luò)資源等。
[0119] 在中小企業(yè)信息管理系統(tǒng)的設(shè)計(jì)理念中,所有的控制對(duì)象都是一宗資源。中小企 業(yè)信息管理系統(tǒng)的系統(tǒng)所有這些有價(jià)值的資源進(jìn)行控制,采用了授權(quán)使用、違規(guī)記錄及審 計(jì)等多種手段結(jié)合,確保了所有資源的可控性,從而提高了內(nèi)網(wǎng)信息系統(tǒng)的安全性和可管 理性。
[0120] 授權(quán)使用是指中小企業(yè)信息管理系統(tǒng)的所有資源必須經(jīng)過(guò)管理員授權(quán)的用戶在 制定狀態(tài)下才能使用。
[0121] 違規(guī)記錄是指中小企業(yè)信息管理系統(tǒng)用戶違反管理規(guī)則,試圖使用美經(jīng)過(guò)授權(quán)的 資源。
[0122] 審計(jì)是指中小企業(yè)信息管理系統(tǒng)對(duì)用戶行為和信息系統(tǒng)的一些重要信息進(jìn)行記 錄。記錄信息包括詳細(xì)描述、用戶、計(jì)算機(jī)及時(shí)間要素,可以作為以后查證使用,也可以在此 基礎(chǔ)上生成更加有意義的審計(jì)報(bào)表。
[0123] 2. 5. 2狀態(tài)策略控制
[0124] 中小企業(yè)信息管理系統(tǒng)的系統(tǒng)中,尤其在安全監(jiān)控系統(tǒng)中,狀態(tài)是策略中的重要 元素。所謂狀態(tài),是指策略應(yīng)該在什么條件下生效或者失效,目前,中小企業(yè)信息管理系統(tǒng) 中支持在線/離線兩種狀態(tài)。
[0125] 所謂在線狀態(tài),是指受控客戶端代理能夠跟服務(wù)器之間建立實(shí)時(shí)心跳鏈接,收到 服務(wù)器的實(shí)時(shí)管理和控制,這種狀態(tài)一般是在受控設(shè)備在企業(yè)的時(shí)候。
[0126] 所謂離線狀態(tài),是指受控客戶端與服務(wù)器之間不能建立實(shí)時(shí)心跳連接,這種狀態(tài) 一般是指受控設(shè)備脫離內(nèi)部網(wǎng)絡(luò)狀況。
[0127] 管理員在制定策略的時(shí)候,可以指定不同狀態(tài)下的策略,受控客戶端就根據(jù)其狀 態(tài)自動(dòng)啟動(dòng)相應(yīng)的策略,從而實(shí)現(xiàn)靈活控制。
[0128] 2. 5. 3用戶策略控制
[0129] 中小企業(yè)信息管理系統(tǒng)系統(tǒng)中,用戶也是策略制定中的重要要素,只要安裝使用 了終端安全認(rèn)證系統(tǒng),該要素就可以在策略制定中體現(xiàn)出來(lái)。用戶要素的使用,使得管理員 制定策略的時(shí)候,對(duì)同一資源,可以針對(duì)不同的用戶進(jìn)行區(qū)別授權(quán)。
[0130] 安裝安全認(rèn)證系統(tǒng)后,只要與用戶相關(guān)的資源,都可以將用戶要素加入,進(jìn)行策略 制定,從而適應(yīng)企業(yè)不同人員具有不同權(quán)限的復(fù)雜管理模式。
[0131] 2.產(chǎn)品特點(diǎn)
[0132] 3. 1安全認(rèn)證系統(tǒng)特點(diǎn)
[0133] 完全獨(dú)立于計(jì)算機(jī)、網(wǎng)絡(luò)系統(tǒng)原有的認(rèn)證體系,安全可靠性更高,支持各類標(biāo)準(zhǔn)的 CA服務(wù)器,方便使用,對(duì)原有的內(nèi)網(wǎng)體系影響很小。
[0134] 基于PKI技術(shù)的"雙因素認(rèn)證"。用戶必須使用合法的認(rèn)證令牌,并提供認(rèn)證令牌 對(duì)應(yīng)的PIN碼,才能登陸安裝了認(rèn)證代理的計(jì)算機(jī)操作系統(tǒng),兩層保護(hù)提高了認(rèn)證安全級(jí) 別。
[0135] 支持非硬件用戶標(biāo)識(shí),用戶擁有合法的用戶名及密碼,才能登陸安裝了認(rèn)證代理 的計(jì)算機(jī)操作系統(tǒng),兩層保護(hù)提高了認(rèn)證安全級(jí)別同時(shí)降低成本。
[0136] 支持將Windows域用戶的用戶名同步到系統(tǒng)作為口令用戶來(lái)處理,方便用戶的管 理和使用。
[0137] 支持在USB令牌用戶之間的安全文件數(shù)據(jù)傳輸。加密文件可以通過(guò)網(wǎng)絡(luò)或者存儲(chǔ) 設(shè)備等進(jìn)行交換傳輸,只有指定的用戶或者用戶組使用硬件USB令牌才能打開(kāi)或者閱讀被 加密的文件,提高文件傳輸安全性。
[0138] 提供了高等級(jí)的個(gè)人計(jì)算機(jī)保護(hù)功能。用戶可以設(shè)定計(jì)算機(jī)操作系統(tǒng)在凌攀拔出 后自動(dòng)鎖定,以保護(hù)個(gè)人計(jì)算機(jī)的安全,同時(shí)可以實(shí)現(xiàn)控制安全模式的使用、
[0139] 用戶可以設(shè)置安全磁盤,數(shù)據(jù)以加密形式在此磁盤存儲(chǔ),與用戶令牌綁定使用,只 有使用正確的令牌才能加載。在該磁盤上的操作對(duì)用戶完全透明,和正常的硬盤使用完全 一樣,并提供了異常情況下的數(shù)據(jù)恢復(fù)功能。
[0140] 用戶可以創(chuàng)建安全的加密文件,只有指定的具有解密安全接受者能夠正確解密該 文件并打開(kāi)該文件。在此基礎(chǔ)上又提供文件二次防泄密功能,即文件脫離內(nèi)網(wǎng)后,授權(quán)使用 戶雖然樂(lè)隊(duì),但是其復(fù)制和修改等二次傳播權(quán)限收到限制。
[0141] 支持客戶端用戶無(wú)需輸入第三方系統(tǒng)用戶名密碼就可以自動(dòng)登錄。
[0142] 建立安全服務(wù)器區(qū)。使用安全網(wǎng)關(guān),管理員可以指定每個(gè)用戶能夠訪問(wèn)企業(yè)內(nèi)部 哪些特定應(yīng)用服務(wù)器,或者指定某臺(tái)服務(wù)器只能授權(quán)哪些用戶使用。這些用戶訪問(wèn)這些服 務(wù)器之前,都需要通過(guò)服務(wù)器統(tǒng)一認(rèn)證,獲得授權(quán)。
[0143] 令牌分發(fā)、令牌吊銷、令牌授權(quán)、令牌更新等操作由管理員在管理中心即可完成, 管理效率得到極大提高。
[0144] 令牌PIN碼輸入錯(cuò)誤達(dá)到預(yù)設(shè)值,令牌立即鎖定,防止令牌丟失后對(duì)令牌的強(qiáng)行 字典破解。令牌中的密鑰是唯一且不可復(fù)制的,不能通過(guò)復(fù)制令牌的能夠方法來(lái)偽造用戶 身份。
[0145] 3. 2安全保密系統(tǒng)特點(diǎn)
[0146] SNW部署和使用簡(jiǎn)單方便,SNW是在開(kāi)放信息網(wǎng)絡(luò)中劃分出虛擬網(wǎng)絡(luò),各項(xiàng)功能通 過(guò)軟件實(shí)現(xiàn),無(wú)需改變?cè)械木W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),且數(shù)據(jù)加密和解密對(duì)永固和計(jì)算機(jī)應(yīng)用來(lái)說(shuō) 都是完全透明,也不會(huì)影響用戶使用習(xí)慣。
[0147] 數(shù)據(jù)加密傳輸,網(wǎng)絡(luò)更加安全可靠。部署SNW的所有計(jì)算機(jī),啟用網(wǎng)絡(luò)策略后,其 傳輸數(shù)據(jù)都是經(jīng)過(guò)加密的,且每?jī)膳_(tái)計(jì)算機(jī)使用的通信密鑰都是不一樣的,從而有效防止 網(wǎng)內(nèi)使用惡意監(jiān)聽(tīng)軟件的行為。網(wǎng)絡(luò)加密的密鑰由SNW服務(wù)器同一管理,并且定時(shí)更新。
[0148] 在內(nèi)網(wǎng)中按照安全級(jí)別、信任關(guān)系等標(biāo)準(zhǔn)可設(shè)多個(gè)SNW,同一 SNW內(nèi)的計(jì)算機(jī)可以 實(shí)現(xiàn)相互之間的數(shù)據(jù)通信,并可與經(jīng)過(guò)認(rèn)證的存儲(chǔ)設(shè)備進(jìn)行正常的數(shù)據(jù)交換,不在同一 SNW 內(nèi)的計(jì)算機(jī)相互之間不能進(jìn)行正常的數(shù)據(jù)交換,也不能通過(guò)存儲(chǔ)設(shè)備交換數(shù)據(jù),除非獲得 管理員授權(quán)。
[0149] SNW強(qiáng)制加密所有本地磁盤保護(hù)的文件,只能在SNW系統(tǒng)啟動(dòng)情況下才能正常使 用本地磁盤,有效防止了因?yàn)橛脖P丟失、多操作系統(tǒng)和光盤啟動(dòng)等造成的數(shù)據(jù)泄密事件發(fā) 生。
[0150] 有效防止了非法外連和非法接入。SNW內(nèi)的計(jì)算機(jī)不能與SNW外的計(jì)算機(jī)進(jìn)行網(wǎng) 絡(luò)通信,有效防止了基于Modem、ADSL撥號(hào)或者雙網(wǎng)卡等方式實(shí)現(xiàn)非法外連,而且防止了通 過(guò)交換機(jī)或者通過(guò)網(wǎng)線將兩臺(tái)計(jì)算機(jī)直連方式的非法接入。
[0151] 通過(guò)安全網(wǎng)關(guān)建立一個(gè)安全服務(wù)器區(qū),可以對(duì)企業(yè)的所有重要信息資源如0A、 Mail和文件服務(wù)器等進(jìn)行有效保護(hù),防止非法接入計(jì)算機(jī)的攻擊。
[0152] 3. 3安全監(jiān)控系統(tǒng)特點(diǎn)
[0153] 可以實(shí)現(xiàn)計(jì)算機(jī)遠(yuǎn)程監(jiān)控。對(duì)所有內(nèi)網(wǎng)計(jì)算機(jī)進(jìn)行有效集中的監(jiān)控管理,及時(shí)監(jiān) 控計(jì)算機(jī)環(huán)境,包括監(jiān)控計(jì)算機(jī)應(yīng)用程序、硬件設(shè)備、用戶賬號(hào)、網(wǎng)絡(luò)狀況和其他可能信息 等。
[0154] 支持靈活的策略模型,可以對(duì)每臺(tái)計(jì)算機(jī)根據(jù)在線/離線狀態(tài)設(shè)置不同的策略, 從而達(dá)到有效控制計(jì)算機(jī)目的。
[0155] 可以實(shí)現(xiàn)文件分發(fā)功能,將程序或者文件分發(fā)到客戶端,客戶端可以選擇性安裝。
[0156] 為了企業(yè)內(nèi)部管理需要和網(wǎng)絡(luò)安全穩(wěn)定需要,可以對(duì)用戶行為進(jìn)行有效管理,t匕 如禁止使用QQ等應(yīng)用程序,落實(shí)企業(yè)的管理規(guī)章制度。
[0157] 可以實(shí)現(xiàn)對(duì)計(jì)算機(jī)外設(shè)使用的有效管理控制,比如對(duì)USB使用、打印機(jī)的使用或 者撥號(hào)Modem的使用等。
[0158] 技能實(shí)現(xiàn)對(duì)每臺(tái)計(jì)算機(jī)的網(wǎng)絡(luò)狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控,又能對(duì)整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的使用 進(jìn)行有效管理。
[0159] 提供IP綁定和非法IP阻斷等網(wǎng)管功能。
[0160] 提供文件外發(fā)控制功能,限制終端網(wǎng)絡(luò)發(fā)送流量,對(duì)終端的外發(fā)數(shù)據(jù)大小進(jìn)行限 制,可達(dá)到在不禁止用戶正常上網(wǎng)情況下防止用戶網(wǎng)絡(luò)泄密。
[0161] 提供文件外發(fā)加密功能,控制客戶端用戶外發(fā)文件時(shí)使用的發(fā)送工具程序,對(duì)用 戶使用該渠道外發(fā)的文件進(jìn)行加密。
[0162] 提供資產(chǎn)管理和資產(chǎn)審計(jì)功能,提供各種豐富資源管理報(bào)表。
[0163] 提供完整審計(jì)信息,對(duì)用戶違法管理規(guī)則的行為進(jìn)行記錄,對(duì)用戶的文件操作進(jìn) 行記錄甚至對(duì)網(wǎng)絡(luò)發(fā)送郵件的內(nèi)容進(jìn)行記錄,為以后企業(yè)進(jìn)行信息安全追查提供有力依 據(jù)。
[0164] 3. 4文檔數(shù)據(jù)管理系統(tǒng)特點(diǎn)
[0165] 此系統(tǒng)兼顧了保密性和開(kāi)放性,有效實(shí)現(xiàn)了企業(yè)內(nèi)部計(jì)算機(jī)既要連接外網(wǎng)又要防 止核心數(shù)據(jù)泄密的目標(biāo),還可以跟中小企業(yè)信息管理系統(tǒng)其他系統(tǒng)統(tǒng)一使用,從而建立企 業(yè)完善的集身份認(rèn)證、安全管理和安全保密于一體的信息安全保障體系。
[0166] 通過(guò)提供工作模式或者普通模式來(lái)改變客戶端計(jì)算機(jī)的連接狀態(tài),為內(nèi)網(wǎng)構(gòu)建一 個(gè)安全的數(shù)據(jù)使用環(huán)境。用戶登錄普通模式可介入互聯(lián)網(wǎng),但不能介入企業(yè)內(nèi)部受管理的 數(shù)據(jù)服務(wù)器和業(yè)務(wù)系統(tǒng)之中;切換到工作模式后,即進(jìn)入保密數(shù)據(jù)工作環(huán)境,此時(shí)只能介入 內(nèi)網(wǎng)受管理的數(shù)據(jù)服務(wù)器和業(yè)務(wù)系統(tǒng),同事將自動(dòng)切斷內(nèi)部系統(tǒng)之外的所有通信。
[0167] 完善的模式切換方式。用戶可能需要切換各種工作模式,在不同的工作模式之間 切換的時(shí)候,為了有效清除內(nèi)存和緩沖區(qū)數(shù)據(jù),防止不同模式之間的泄密,管理員可以設(shè)定 不同模式之間的切換動(dòng)作,包括:注銷、重啟或直接切換。
[0168] 建立安全數(shù)據(jù)區(qū),所有存儲(chǔ)數(shù)據(jù)都是加密的,客戶端僅在進(jìn)入工作模式情況下才 能訪問(wèn),所有數(shù)據(jù)都不會(huì)被泄密到普通模式中,從而有效實(shí)現(xiàn)數(shù)據(jù)保密功能。
[0169] 具備離線工作模式。在計(jì)算機(jī)與服務(wù)器斷開(kāi)連接后,進(jìn)入離線工作模式。進(jìn)入離 線工作模式后,將切斷所有網(wǎng)絡(luò)和存儲(chǔ)輸出,但可以在安全數(shù)據(jù)區(qū)的加密受控空間工作,存 儲(chǔ)數(shù)據(jù)。
[0170] 具備外設(shè)禁用功能??筛鶕?jù)需要設(shè)定在某種工作模式下,強(qiáng)制禁止客戶端計(jì)算機(jī) 的所有外設(shè)輸出端口,進(jìn)一步增強(qiáng)客戶端數(shù)據(jù)使用環(huán)境的安全性。這些外設(shè)包括常用的數(shù) 據(jù)輸出端口,如USB、紅外、光驅(qū)、軟驅(qū)、串口、并口、1394等。
[0171] 采用統(tǒng)一的用戶管理模式,用戶可以是簡(jiǎn)單的用戶名/ 口令用戶,也可以跟安全 認(rèn)證系統(tǒng)相結(jié)合,使用統(tǒng)一的令牌用戶。
[0172]當(dāng)然,本發(fā)明還可以有其他多種實(shí)施例,在不背離本發(fā)明精神及其實(shí)質(zhì)的情況下, 熟悉本領(lǐng)域的技術(shù)人員可以根據(jù)本發(fā)明做出各種相應(yīng)的改變和變形,但這些相應(yīng)的改變和 變形都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護(hù)范圍。
【權(quán)利要求】
1. 一種中小企業(yè)信息管理系統(tǒng),其特征在于,包括路由器、交換機(jī)、系統(tǒng)控制臺(tái)、平臺(tái)服 務(wù)器和客戶端,所述交換機(jī)分別與路由器、交換機(jī)、系統(tǒng)控制臺(tái)和平臺(tái)服務(wù)器相連,所述路 由器與互聯(lián)網(wǎng)相連。
【文檔編號(hào)】H04L12/28GK104219077SQ201310217252
【公開(kāi)日】2014年12月17日 申請(qǐng)日期:2013年6月4日 優(yōu)先權(quán)日:2013年6月4日
【發(fā)明者】陳黎 申請(qǐng)人:成都睿恒科技有限公司
網(wǎng)友詢問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1