论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 3 篇帖子 ] 
作者 内容
 文章标题 : 关于联软安界信息防泄露系统优势的总结
帖子发表于 : 2013-02-22 15:02 
离线
新手

注册: 2013-02-22 13:41
最近: 2013-03-25 11:55
拥有: 73.00 安全币

奖励: 0 安全币
在线: 110 点
帖子: 11
一、信息防泄露技术对比分析
经过调查研究,现有信息与数据防泄露产品大体上分为两类,一类针对终端电脑的数据防护,另一类是针对具体业务系统的数据防护。这两大类,共4种技术的实现原理、优缺点对比分析如下:

1.数据通道封堵

实现原理:通过客户端程序实现对U盘、光/软驱、共享、邮件等外发方式的封堵.
管控效果:不好,存在明显漏洞
环境要求与运维成本:较高,封堵这种一刀切的方式很容易导致终端用户抵触情绪
优点:方案较成熟,有很多这类方案可供选择
缺点:由于电脑的网络口必须打开,通过各种软件均有可能导出数据,存在明显漏洞,易导致终端用户抵触

2.文件加密

实现原理:通过客户端程序实现对指定文件的自动加密、解密
管控效果:较好
管控效果:最高,对终端的磁盘、操作系统、防病毒软件都有严格要求
优点:对文件类数据,可实现较严格管控
缺点:无法对非文件类数据进行保护;文件加密后,带来导致数据恢复、搜索、兼容性等方面新问题;稳定性差,不适合大范围推广

3.权限控制

实现原理:通过业务系统本身的访问权限来控制
管控效果:不好,只能做访问控制,对访问后的泄露行为管控无能为力
环境要求与运维成本:较低
优点:实现起来较简单
缺点:对有权限人员的泄露行为,缺少管控

4.审计

实现原理:通过业务系统或第三方软件实现对登录、操作行为的记录
管控效果:不好,只能起到事后追查作用
环境要求与运维成本:低
优点:实现起来较简单
缺点:只能起到事后追查作用,不能阻止数据泄露行为


上述的信息防泄露技术通常只能解决单一的数据类型泄露,对于同时需要防止数据库、B/S、CS系统以及共享文件服务器数据泄露时,无法满足;通常都是采用一刀切的方案,影响用户使用体验,不适合大范围推广;一些方案应用在企业业务系统中,只能做到事后审计,在泄露行为发生时,没有办法阻止;存在运维管理复杂、存在严重安全漏洞等问题。
所以,对于企业需要的防止数据库、业务系统、共享服务器数据泄露的需求没有现成的解决方案,要想有突破性的技术方案,只有针对性的开发设计来实现。
联软安界信息防泄露系统是一款防止本地关键文件和关键业务系统、数据库、共享服务器的数据被非授权的访问和窃取,并提供基于时间、用户、非法行为、终端位置等详细记录的系统:

1、 “防外”—网络准入身份认证

首先建立一个内网安全基线,对外来终端实行网络准入控制,只有合法的终端和用户,通过认证授权才能接入网络。
网络准入控制可以帮助用户很好地解决如下问题:
防止非法的外来电脑接入网络,影响内部网络的安全;
防止感染病毒、木马的桌面电脑和笔记本电脑直接接入内部网络,影响网络的正 常运行;
确保接入网络的客户机符合安全管理要求。
帮助安全管理员解决内部用户私自接HUB、无线AP等不安全行为。

2、 “防内”—信息防泄露

由于信息通常是以载体的形式被传输、被存储、被阅读,因此,解决信息泄露问题的最主要的手段之一是要分析信息泄露的途径,只有对信息泄露的途径进行全面的分析,才有可能全面解决信息泄露的问题。
 未经授权,从业务系统获取的所有信息无法在本地电脑保存、打印或保存到移动存储介质中。
 对终端上的应用软件进行授权管理,关键岗位终端计算机未经许可禁止安装和运行与工作无关的软件或进程
 对包含敏感信息的文件进行加密
 对公司敏感的文件全部强制存放在安全受控盘保存,所有操作是受控的,没有经过审批是不允许带出。
 对文件的打印行为进行授权管理和记录
 对所有终端使用计算机数据传输端口的行为进行授权管理,对文件的操作行为进行审计
 对业务系统内部数据的导出、下载进行管控和审计
那么对于“防内”,总结起来是,首先从数据源保护开始,全面管控。不管是文件共享服务器、业务系统、数据库等都必须对其授权控制:
 另存或导出控制。未经明确的授权或批准,终端无法将从业务系统、数据库、共享服务器等获取的数据在本地或U盘中保存;
 复制控制。未经授权许可,终端无法将数据复制到其它应用之中,如复制到QQ/MSN/飞信等软件中;
 打印、截屏控制。未经授权许可,终端无法将数据打印、截屏;
 防拍照。通过水印技术,在数据显示时印上使用者的姓名、时间等信息,防止使用者通过外拍手段获取信息。
除以上控制手段以外,安界系统还提供了审批、审计流痕、备份式数据操作审计等功能。
安界信息防泄露支持各种类型的数据,对这些数据可进行防泄露控制,具体包括:
1)基于B/S、C/S类的业务应用系统数据,包括数据库类应用;
2)基于网络共享的文件服务器上的数据;
3)通过Telnet/SSH等协议获取的网络设备、主机的配置信息;
4)保存在终端安全O盘上的数据
所以,联软安界系统是一套综合的内网安全与信息防泄露系统,从网络层、系统层、应用层全方位的进行保护,从物理途径、网络途径、应用途径综合解决信息泄露问题。

二、安界信息防泄露系统综合特点

1、 有效

现有的成型技术,特别是采用封堵数据通信端口的方式,存在明显的漏洞。各种通过网络外传数据的软件越来越多,防不胜防,并且还有如拆硬盘这种方式可简单破解。本项目采用的技术方案可直接禁止数据在业务终端落地,或落地后只能存在于安全O盘中(存储虚拟化),不管是复制、另存、打印还是截屏、拍照,都能有应对机制,能够实现最好的数据防护效果。

2、 简单

现有成型技术,需要加密文件,或者改造业务系统,并改变终端用户使用习惯,不适合大范围推广。而本项目的技术特点:不改变用户使用习惯、不改造业务系统、不加密,与其它技术相比,实现最简单,适合大范围推广。

3、 灵活

当前常见技术方案,无法同时适应结构化数据、非结构化数据,以及各种的C/S、B/S、数据库、文件服务器等应用。而本项目的技术,实现了对结构化数据(数据库、业务系统类)、非结构化数据、文件共享、主机/网络设备配置等几乎所有业务数据的防泄露支持,具有最大的灵活性。

三、安界系统突出的技术特点

1、设备的快速定位和二层拓扑的自动形成,融合的网络、桌面、准入、信息防泄露的4项技术。
2、单进程、单客户端、系统资源低开销、功能全面(单客户端支持资产管理、移动介质管理、补丁管理、安全管理、行为审计、文档数据安全、准入控制)。
3、独立研发的补丁管理模块与LEAGVIEW无缝融合,提供更为方便、可靠、符合国情的补丁管理机制和管理方式,帮助用户减少操作系统问题带来的各类风险。
4、丰富而完整的准入控制审计信息,可以准确的帮助运维人员快速定位和快速解决故障,能极大的提高运维效率和运维质量。
5、对HUB、VPN、无线、LAN环境充分而灵活的准入控制技术支持,可同时互为补充,体现了产品功能的完整性和产品设计理念的科学性。
6、原厂提供源代码级别的二次开发支持,充分考虑到贵公司近期和未来将要实现的安全管理系统的接口(IT运维管理、ITIL的CMDB管理、信息安全审计平台)。
7、最为丰富的准入控制与AD域管理和PKI系统的集成经验。

四、联软具有的优势和唯一性的技术要点总结

1. 业内完美支持网络设备厂商最多的厂家
支持CISCO,H3C,华为,3COM,锐捷网络,中兴、迈普、DELL等目前市场主流交换机品牌的网络设备。
2. 独立的第三方解决方案
是业内唯一一家,不依赖于任何厂商的硬件设备,不会因为网络设备的更新换代或者更换而导致前期准入控制的系统投资浪费。
3. 多种准入技术互为补充
是业内为数不多的可以根据用户的网络状况灵活选择准入认证方式,支持各种接入方式,VPN/WAN/LAN/AP/HUB。可同时支持多种准入技术并存,解决复杂网络环境的准入控制。
4. 最完善的可靠性措施
联软准入控制独具紧急模式,在Radius服务器全面连接不上时,无需人工干预,自动撤防,不会降低网络可靠性,不会带来单点故障。
5. 业界最领先的网络准入控制解决方案
组网灵活,直接与网络设备联动,支持各种接入方式,支持多品牌,客户端部署效率远高于同类产品,具有最高的可靠性,无单点故障,有紧急逃生模式;支持分级管理,系统结构简单,提供纯软件或者软硬结合的准入方案;标准的B/S管理架构,标准的C/S部署架构,系统结构简单
6. 与网络设备紧密集成的桌面管理功能
基于IP、MAC信息的设备快速定位,极大地方便桌面和网络维护,自动按照网段发现网络上终端的数量、受控制终端的数量等功能。
7. 一个产品,解决各种桌面管理问题
是业内唯一一家将网络准入控制、各种终端安全管理、数据防泄密、传统的桌面维护功能高度集成,与UniMon集成,可以进一步解决网络、主机、数据库、应用系统的运行状态监控与报警
8. 产品兼容性
与市面主流的防病毒系统,瑞星,金山,江民,完全兼容,并且联软也是市场上唯一一家,准入控制功能与现有的市场上的其他内网安全管理软件客户端完全可以兼容使用的厂家。
9.系统资源开销小
一个进程、实现4大功能(准入、资产、安全、防泄露),全球唯一,正常使用时内存占用低;CPU利用率低,可以应对各种特殊网络终端环境。
10. 准入验证方式灵活而严谨
业内唯一支持80.1X与CISCO NAC混合准入认证方式、同时支持单一和多重身份认证方式,认证信息包括AD/LDAP/Email/证书/系统内置,并可与其他管理平台无缝集成。

五、安界信息防泄露优势总结

联软安界信息防泄露系统优势:不加密、不封USB、应用免改造!

1、不采用磁盘加密技术

 避免系统崩溃
 避免数据恢复困难
 避免终端环境兼容性
 避免影响业务运行速度
虽然不是所有终端都会频繁出现,但是一旦终端范围扩大,问题就暴露出来,给信息安全和维护带来很大的影响,蓝屏、死机、软件兼容性、数据损坏、维护麻烦等还是时有发生:
事例:
﹡浙江台州某国内知名大型汽车制造厂家购买北京某数据加密软件,导致服务器上的诸多图纸损坏,至今无法修复;
﹡宁波某大型模具制造公司购买某数据加密软件,造成部分文件损坏无法修复,宣告项目失败;
﹡杭州某办公室设备公司购买某数据加密软件,由于产品不稳定,导致系统经常无法使用,因此闹上法庭。
﹡深圳某汽车企业部署北京某加密软件,后面出现大部分文件资料损坏,后来全额退款并做了相应公关,才避免了法律诉讼。
﹡深圳某公司前期测试加密软件,导致全网断网,项目合同终止。
……
3、 不封USB接口

USB封堵这种一刀切的方式很容易导致终端用户抵触情绪,而且也不利于正常办公。安界系统通过虚拟安全O盘技术,完全“解放”USB,所有USB正常访问,但是全部都是受权限管控。维护用户的使用习惯。

4、 不改变原有环境,应用免改造

无需对网络环境进行相关改造或者兼容性测试分析,直接部署直接应用,部署简单,快速。业务系统无须二次开发,业务系统无须做任何配置,业务系统后期维护方式不变。

5、 与网络准入控制联动,全方位管控内网

联软准入控制在国内市场占有率最高,其中金融证券行业71%的市场份额,定位中高端客户,像招商信用卡全国、深圳证券交易所、上海交易所、国家开发银行、奇瑞汽车、南车时代、贵州电网全省、山东地税、甘肃地税、国家核电技术公司等等都是联软的高端客户。国内唯一一家能实现多种准入控制技术同时部署的厂家,解决复杂环境的准入控制问题,而不是别人所宣传能支持多种技术,实则只能选其一,例如选择了802.1x,那么就不能选其他准入技术,这样企业内其他接入方式就无法做准入控制,例如远程VPN接入、HUB的接入、外网访问等等。

6、 一个产品解决多个内网安全管理问题,节约成本,提高管理效率

基于模块化设计,高度集成化产品,一次性解决准入控制问题、资产管理问题、桌面管理问题、终端安全管理、信息防泄露问题。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于联软安界信息防泄露系统优势的总结
帖子发表于 : 2013-03-24 23:12 
离线
高级用户

关注按钮

注册: 2009-10-22 16:14
最近: 2014-09-22 21:17
拥有: 1,797.00 安全币

奖励: 1634 安全币
在线: 5455 点
帖子: 281
文档结构这个乱。。。。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 关于联软安界信息防泄露系统优势的总结
帖子发表于 : 2013-06-07 14:07 
离线
初级用户

注册: 2007-10-08 14:48
最近: 2015-01-08 13:18
拥有: 1,154.40 安全币

奖励: 0 安全币
在线: 726 点
帖子: 54
联软的准入做得还是不错的,就是部署复杂,周期相对也长,主要也是因为设备运营商
和众多标准不一。联软趁接入大势杀入DLP,借着平台唱大戏,顶一个。


--------本帖迄今已累计获得41安全币用户奖励--------


回到顶部
  用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 3 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012