(由于周显敬先生演讲的专业性,借助PPT也比较多,再加上速记方面的一些特殊原因,此篇速记并不完备)
主持人:打造安全户体系,下面请中软通用产品研发中心研发的总监周显敬为我们演讲,主题是中软终端安全解决方案。
周显敬:各位专家,领导下午好,我来自中国软件技术服务股份有限公司,我讲的是多层次立体的安全防护体系和相关的解决方案。
首先我把公司简单介绍一下,我们公司主要说的,我们的软件开发,尤其是管理平台的软件开发是按照CMMI的标准开发的,我们公司在全国有18家公司,现在有职员七千多人,这是合作伙伴,我主要说一下,我们公司跟微软有战略合作框架,在终端海法的厂商里面,这样很有利于按照我们在Windows开发基于WindowS的软件。
我们讲了一下CSI的调查报告,我们排名的是病毒、木马、系统渗透,信息泄密。病毒和木马以及系统渗透是从终端安全策略的范畴,笔记本的丢失,同时我们在相关的媒体上看到,实际上数据安全上是信息安全最为关注的焦点,进入CSI,中软在相关的自己的客户以及潜在客户做的调查,相关的企业的信息主管基本上都在关心自己企业的信息安全状况,我这里调查了十大信息安全问题。
这是刚才的调查和分析,这是我们自己的解决方案,我们提出来是基于文件、数据安全的一个立体保护体系,我们可以看一下,终端最主要的是数据,数据的安全是首要的,我们首先针对电子文件相关的安全数据做一个透明了加密,就是在操作系统IO读写,这个数据交换之间我们有自己的过虑驱动程序,这个程序之后,所有的提交到存储介质的数据都是加密的,当所有的介质上加密数据反馈到用户页面了时候,也有通过我们的过虑驱动,我们来解密了,这样的好处,所有的存储的文件都是加密的,同时我们在加密的文件附加相关的安全性,通过媒体介质这一个层次的防护,通过接口信息途径的防护,最后通过网络形成一个多层次的这么一个电子邮件的防护,它的好处是我可以通过各种方式去防护,我们还基于电子文件的泄密周期,用户的安全级别以及处理环境,我这里终端安全环境,形成了三维的空间,确立了立体防护体系。
我们对电子文件也要进行泄密周期的保护,文件从创建的时候,我们就可以跟踪它,包括文件的修改、拷贝以及存储,这是在内部,这在右上角可以看到产生的日值的情况,文件要带出,包括拷贝、打印、网络传输等等,在带出的过程中,它的相关轨迹我们也会因为跟踪,在打印也是一样的,对它进行一定的跟踪。
这样就对整个文件的泄密周期轨迹因为跟踪,这样很好地对文件的泄密周期过程中产生的各个途径以及它的存储做了一定的防护,从而打造了一个多层次立体防护的体系。
这张图说明了我们多层次立体防护体系的结构,首先透明加密文件,这是最核心的地方,这里借鉴了一些加密的算法,一些相关的保护措施,然后终端安全数字防护,在外围加了终端的接入,终端的用户行为,以及终端的安全策略,这一块这是一个多层次的安全级,立体化的防护体系,同时对这个终端的风险,我们进行统计,终端所产生的违规现象,我们可以告知,最后能够量化终端的一些风险,根据你处理过程中的知识资源,形成企业级的知识库,这是一个保护模型,首先我们产品这一块,有一个安全目标,针对安全目标我们有自己的安全管理中心,安全管理中心主要作用识别企业存在的问题,最后制定相关的安全策略,这个过程中必须实施监控,发现用户的不安全的操作,时时的告警,最后通过统计、分析中心这块推广成功的解决方案,寻找新的改进点和创新点,最后调整策略。
通过防控、改进螺旋的上升最后形成一个安全的通路。
我们要形成主动的防护和防御综合的防范体系,这就是我们产品的方案,最后落实到产品中,讲一下我们的产品状况,我们的产品三个数字,就是装在每个终端的计算机上有一个代理程序,这个代理程序实现的客户端,也就是实现个人终端的安全策略回归性的管理,它的作用就是站在客户上边的安全卫士。
第三就是专业数据服务器,它的主要作用是实现策略的集中的分发和收集,最后实现人机交互。
这是简单的系统的结构,在实际的网络里面的数据库的其情况,控制台是人机交互的界面。
产品的主要功能,在数据安全我们有数据的安全管理,以及用户行为的管理,我们要规范用户的行为,对终端接入内部网络的一个安全的管理,最后是入围平台来实现管理软件我们的运行和维护,通过正个框架,终端安全策略,终端数字安全要打造一个好的平台,最后通过量化管理实现企业的终端的管理。
首先讲终端的安全管理。第二就是网络,网络就是实现计算机网络防护,我可以禁止非法的网络进程连接到我的计算机,而且我能够动态地审计计算机的网络状态。
第二是病毒软件的检测
第一我们进行审计,第二是通过我们整个的控制平台,看到哪些计算机装了哪些防病毒软件。
这就是主动管理,主动管理实现的是企业系统,各个系统统一的管理,同时对计算机的终端上的整个安全操作这一块,我们可以自动清理系统的文件,安全差错,同时处理一些疑似文件。
包括我们可以进行共享策略等等。
还有一个是策略合规性管理。
这是终端入网健康检查
这是终端用户,现在主要认为是软件的供应的配置,同时对统一配置的软件的安装,包括下载用户这些安装模式都有一个统一的管理和配置,这样有一些企业有一些管理的企业,大家上班都是使用办公软件,这样统配置了之后然后策略了之后,就可以实现软件的监控。
这是能够时时检测内网的终端的运行状况,能够形成企业的时时的一个计算机终端资源的监控。
这是软件管理能够检测每个计算机的资源
在远程帮助这里面包括,服务器客户端远程消息控制,和支持管员对远端主机进行远程控制。
安全电子文档我们有透明文件加解密、进程指纹识别还有加密文件审批流程。
这是安全管理箱 我们在本地硬盘中为用户开辟了一块敏感信息存储的安全空间。
这可信移动介质管理,主要功能是,外部的U盘在单位内部不能随便用,单位内部的U盘不能到外面随便用,解决的是这类问题。
基础网络包括各种的协议
这是关于网络应用的协议和应用
这是外设借口管理
这是打印。
最后数据审计,有个地方值得说就是:定义行为风险,按照预定义安全策略,生成警告或违规日值,由服务器统一存储,根据统计数据量化企业风险。
应急响应流程:服务器接受到报经后按照预定义的相应流程,阻止用户的违规行为并通知责任人及时处理报经,报告方式有。
这是知识库的管理
这是统计分析。
这是审计报表,我们这个产品它的固定模式有两种,第一是单服务器模式,它可以三千个客户端的用户,如果是超过三千台,我们有一种多级的服务器管理模式。它可以无限级的节约。最后非常感谢大家。
主持人:现在大家逼问:
提问:你们单位的功能处理是很好的,我想请问软件的开发管理问题,很多软件的纠纷是由开发员的跳槽引起的,你的系统可以不可以在这方面加上关系?
回答:我们对写程序代码的企业因为管理是没有问题的,我们自己也在部署这个系统,程序员开发出来的都是明文,只有在我们的环境里面他才可见,而且我们在这个里面已经有很多应用的先例了。
提问:我想问一下您是如果针对不同的用户进行管理?
回答:我们产品跟一般的产品最大的区别,我们是基于用户来管理的,而不是基于计算机来管理的。针对一台计算机上不同的用户我们有不同的安全策略,A用户他们光驱可以用,拷贝出去的文件都是明文,B用户我们不让他拷贝,可能是针对不同的计算机上的用户可以灵活地应用安全策略。
提问:我如果是针对所有的内网计算机针对了策略,我怎么能够知道这些策略已经完全生效了?第二个问题前面您说的内部的U盘不能使用,外部的U盘进不来?内外文件交互是怎么管理的?
回答:我们对策略有一个很好的回滚的机制,当你的计算机开辟之后,你就会到我的服务器进行联系,第二就是对策略进行了很好的掌控,我们的策略下发下去的用户,数据库也有一些相关的标记,通过数据的统计分析的模式,让领导看到每个用户的策略状态是什么状况,每个用户的权限都一目了然。
第二是可移动介质,这块的介绍的时候,它没有很多的功能,我们还有一种商业模式,商业模式一个U盘我要出去时候怎么办?这时候我就要支持商业模式,商业模式U盘有一个相关的一些身份认证的那么一个功能,你只有指定的人都有控制的策略。这个U盘回来要通过管理员回收,对外面处理的相关的内容进行跟踪。就是观察你有没有往外拷,拷是不是在授权的范围之内进行的操作,要能够跟踪你的U盘,这样都可以进行及时准确的审计。
主持人:今天下午的几位专家和企业代表的发言已经全部结束,我们几听到了对安全事件的分析,也有对信息安全的解读,相信大家都从中受益匪浅,再一次演讲的嘉宾,也感谢大家的坚持。第九届中国信息安全大会,“应用安全·深度防御”到此结束,散会。 | 
