組成與結構
最簡單的防水牆由客戶端和管理中心、伺服器三層結構組成:高層的用戶接口層,以實時更新的區域網路拓撲結構為基礎,提供系統配置、策略配置、實時監控、審計報告、安全告警等功能;低層的功能模組層,由分布在各個主機上的探針組成;中層的安全服務層,從低層收集實時信息,向高層匯報或告警,並記錄整個系統的審計信息,以備查詢或生成報表。基本功能
防水牆信息泄漏防範,防止在內部網主機上,通過網路、存儲介質、印表機等媒介,有意或無意的擴散本地機密信息;系統用戶管理,記錄用戶登錄系統的信息,為日後的安全審計提供依據;
系統資源安全管理,限制系統軟硬體的安裝、卸載,控制特定程式的運行,限制系統進入安全模式,控制檔案的重命名和刪除等操作;
系統實時運行狀況監控,通過實時抓取並記錄內部網主機的螢幕,來監視內部人員的安全狀況,威懾懷有惡意的內部人員,並在安全問題發生後,提供分析其來源的依據,在必要時,也可直接控制涉及安全問題的主機的I/O設備,如鍵盤、滑鼠等;
信息安全審計,記錄區域網路安全審計信息,並提供區域網路主機使用狀況、安全事件分析等報告。
綜上所述,防水牆是對防火牆、虛擬專用網、入侵檢測系統等多種安全設備,所提供安全服務的有效補充。對整體安全系統來說,它也是不可或缺的一部分。
山麗防水牆
產品簡介
防水牆,是山麗網安在2004年註冊的一個產品商標,商標編號:3975196,用於區域網路防泄漏產品。到了今天,它成為了區域網路防泄漏產品的代表。我們可以看到,除了正規的山麗防水牆之外,還有許多區域網路防泄漏產品產品也冠名為防水牆。山麗防水牆產品在業界首次引入數據生命周期的概念(DLM:Data Life Managerment),用過數據生命周期的詳細劃定,在不同生命階段採用不同的管控手段實現了數據防泄漏的全程管理。
數據生命周期
山麗防水牆產品關於數據生命周期的劃分:ACCCD--作者管理A、同事管理C、合作管理C、客戶管理C、銷毀管理D。山麗網安關於“數據生命周期”定義:所謂數據在生命周期里,是指的數據在管理者、使用者的控制之中,當數據已經不在自己的控制中,即意味著自己喪失了對這些數據的生命。數據在自己的控制中和數據是否在自己的手中無關。
防水牆效果舉例(1)
效果:公司部門有很多,財務部(或者其他部門)不希望其它部門隔離隨意打開本部門檔案,在部門隔離之後,財務部(或者其他部門)主管希望有權利打開其它部門的檔案
實現:
山麗防水牆強大的文檔許可權管理模組可以充分實現分公司之間、部門之間、組之間、用戶之間極其豐富的許可權管控,以實現部門隔離,達到“安全域”管理的概念。所謂“安全域”,在山麗防水牆裡面就是具有相同安全級別的一切用戶構成的跨越物理和網路限制的一個虛擬域。
在部門隔離的許可權的顆粒度方面,山麗防水牆可以達到如下:
1、拒絕
對過期用戶的拒絕 ,對過期產品的拒絕
2、唯讀/執行
次數(times),時間(onoff),時長(long),列印,運行,讀取,廣告
3、製作
相鄰關係,共享關係,二次分發(一個組多個用戶)
4、輔助控制
截屏、環境指紋
防水牆效果舉例(2)
防水牆工作中有很多合作夥伴,檔案發給合作夥伴之後又擔心合作夥伴泄密,保證僅合作夥伴能打開我們的檔案,而其他人不能打開。
實現:
工作站對自己創建的密文可申請密文明送,經控制台、安全管理員兩級審批通過後,新生成的密文明送檔案可以在沒有安裝防水牆工作站的計算機上使用。
密文明送檔案不可列印,打開後不可另外儲存為,不可編輯,並有剪貼簿限制效果,密文不可往明文複製。申請時對密文明送檔案還能設定5項許可權,可同時設定,同時設定時其中有一個許可權失效檔案就無法打開。
文檔口令:打開密文明送檔案時需要輸入的口令,輸入正確才可使用檔案。
使用次數:可打開此密文明送檔案的次數,超過次數限制後無法打開。
累計時間:密文明送檔案可使用的總時間,從檔案被打開後開始計算直到檔案關閉,使用總時間大於累計時間後檔案立即不可使用。
使用時間段:一個日期時間段,在此時間段內檔案才可使用。
環境指紋:在準備使用此密文明送檔案的計算機上提取指紋,在申請時載入指紋,申請後的密文明送檔案只可在提取環境指紋的那台計算機上使用,可一次添加多個不同的環境指紋。
防水牆效果舉例(3)
對特權用戶,如公司領導,則可以設定本地“加密資料夾”的方式,將檔案拖到“加密資料夾”則加密,拖到“加密資料夾”之外則解密,以方便公司領導的工作。實現:
為了更高的效率,總有用戶需要給與特權,如企業的所有人。山麗防水牆應對客戶需求,提供了模板定義:全盤加密,目錄加密,格式加密,格式不加密,解密等幾種模式。
為了數據防泄漏,可在控制台端對工作站設定全盤加密,工作站內創建、修改的所有檔案都會被加密,不經授權的密文拿到防水牆環境外不可使用。
如果您想對工作站的某些檔案不加密,可在控制台端對工作站設定全盤加密模式下指定目錄不加密,在此目錄內創建或複製到此目錄內的檔案都是明文。
如果您想只對部分檔案加密,可使用指定加密模式,然後在控制台端對工作站設定指定目錄加密,把需要加密的檔案放在指定加密目錄內即可。
如果您不想對工作站本地檔案加密但又擔心數據外泄,可在控制台端對工作站設定指定加密模式,移動設備加密、網路加密,此時工作站本地檔案不加密,但通過網上鄰居和外接存儲設備傳出的檔案會自動加密。
綠色軟體是否可以加密?
可以。綠色軟體的特點是程式本地直接運行,不會在本地建立程式目錄,因此也無法提取本地特徵。這樣,一些和格式有關的軟體將無法實現加密,這將是一個大問題。因此,提出了“不知道將來那些和格式有關的廠商如何解決加密的問題”的感嘆。目前從技術上來講,他們只有兩條路,或者做成完全和系統無關的硬碟加密(比如dell等筆記本自帶的功能),或者做做合格時無關的加密(比如山麗防水牆的透明加密)。山麗防水牆的加密以程式為識別,同時增加了程式識別的多多種方法供用戶自由選擇,如dll、DNA提取、Hsan簽名。其中DNA簽名,是依賴山麗安鐵諾防病毒軟體中的病毒特徵碼自動技術。
是否有根據檔案類型,批量加密的功能?
可以。對新安裝的客戶端的處理有兩種方法:本地執行;
遠程執行;
效果:一次性對某一台或多台客戶端機器進行全盤加解密
實現:基於特殊需要,可以使用工作站端自動加密解密工具將工作站上的所有明文密文或某用戶在該工作站上的明文密文進行加密解密。
同時支持解密操作。正是因為山麗防水牆的透明加密和格式無關,因此可以從用戶的適用面上產生最大化,包括需要保護資料庫的公司。
軟體代碼加密不影響合法用戶編譯
在滿足軟體開發類公司上,山麗防水牆的透明加解密有著太大的優勢。代碼的編輯、程式的編譯本身就是公司程式設計師工作的必然順序,山麗防水牆不會做出任何人為的隔斷,更具有挑戰的是軟體開發工具的版本無數,限制版本的方法只會帶來員工強烈的不滿。
因此,對山麗防水牆和格式無關來說,這個就不會是問題。
如何保證不破壞檔案?
從人員管理角度來講,透明加密並不會增加和減少人員主動破壞的可能性。但確實存在著用戶離職的時候將檔案全部刪除破壞的嚴重情況,因此在山麗防水牆的文檔許可權中,有“防刪除”的許可權功能,可以防止人員在離職的刪除本地或檔案伺服器上的檔案。從技術角度來講,任何人員可以將文檔改成一個原來程式不認識的格式保存,同時刪除原來的格式檔案,均會造成格式的不適用而產生檔案破壞,這和加密解密本身技術無關。但山麗防水牆本身因為和檔案格式無關,可以降低這種更改檔案格式產生的破壞的風險。
從偶然性上來講,數據加密後當打開的時候為亂碼的時候如果用戶不小心更改數據並 原密文保存將增加偶發性的破壞,山麗防水牆在新的版本裡面已經增加了在沒有許可權的情況下提示為打不開沒有許可權的處理,不再顯示為亂碼。
從更深層的角度來講,如果需要,可以增加山麗防水牆數據備份模組。這個模組可以將數據自動備份在回響的伺服器上。但在實施中,因為對頻寬、空間等提出嚴重的挑戰,因此真正實施中採用了此模組的只是小型用戶為主。
從更專業的角度來講,我們所有的大型用戶基本都有自己的備份系統如磁帶機等等,客戶會將核心的數據備份在磁帶機或者NAS上等等,這個時候,我們只要採用可信程式的功能,所有的備份數據均可以明文進行備份,當然也可以密文備份。
從核心的角度來講,對最最核心的數據,我們採用“唯讀”許可權,這樣這些數據被用戶引用的時候只能是“唯讀”許可權,無法進行任何的破壞。如豐田去汽車對自己的標準化文檔的保護就是這樣做的。
