国土税务财政解决方案
国税系统办公网络
内外部数据安全交互与文件流转安全
解决方案
易泰通(深圳)信息技术有限公司
2020 年 8 月
一、项目背景与需求分析
(一) 项目背景
国际权威调查,85%以上的安全事件出自内网。而作为政府的对外重要职能部门,税务内网系统面临着诸多的信息安全考验,譬如信息不做过滤,随意的进入内网,就导致税务内网面临着计算进病毒肆虐的问题,再例如内部的资料信息不做审核,随意流出内网,就可能导致敏感信息的外泄,从而对税务系统,甚至社会影响造成潜在危害。 税务内网涉及面广,参与人员多,开放性强,技术水平不平衡,管理手段有差别,所以很容易出现进入内部的文件携带病毒或者不利于政府安定团结的信息出现,并且再进入的过程中没有任何审计手段,无法追述信息源头;且导入过程中由于没有任何的归档机制,导致文件不能第一时间到达指定部门。
我国近几年出台多部信息安全类法规,国家领导包括习主席亲自挂帅信息安全领导小组组长,国家日益重视信息安全工作,不断加大相关投入。在召开的十九大上,习主席反复强调了网络安全的重要性。并新出台多项法律法规加快构建信息安全基础设施保证体系。
(二) 需求分析
由于税务内网机关的特性及保密性,内外网进行物理隔离,组建内部局域网,从而提高网络系统的安全性和稳定性。虽然进行了物理隔离可以有效的防止黑客的入侵,但是由于存在内外部数据交换的需求,存在以下两个风险:
1. 采用存储设备例如 U 盘和移动硬盘等在内网和外网之间交互使用,同时也增加感染病毒和遭受 U 盘型木马攻击的风险。
2. 内网系统数据容易外泄。
在规避上述两个风险的同时,要实现在可控的条件下,实现内外网数据交换的需求。如下图所示。
在保证内部数据安全与防范网络入侵的前提下,有与外部网络数据交换的需求。归纳起来要满足安全性与易用性的几点要求:
1) 符合国家保密局等相关部门规定的内外网络物理隔离规范,满足分级保护、等级保护等国家安全规范的要求。
2) 数据进入内网要有严格的威胁检查与敏感数据过滤,具有导入事前事中的审核机制和事后的追溯审计机制。
3) 数据从检查内网导出同意需要审核密级、敏感信息等内容,具有事前事中的审核机制和事后的追溯审计机制。
4) 在满足安全机制的同时,最大限度的提升操作的简便性,提升办公效率。
二、方案介绍
移动存储介质管理与外部文件交换方案大致分了几个发展历史阶段,最早的禁用移动存储介质,采用光盘摆渡机方案,由于易用性差光盘淘汰的像现状基本已经淘汰。这里我们推荐捍卫者移动存储介质与内网文件流转的几个方案供税务系统方面考虑选择。
(一) 移动盘集中授权分散管理模式,目前采用360的终端安全管控系统提供的移动存储设备授权、加密、审计等功能实现内外部 U 盘的管控,失效内外部数据交换,具体功能如下:
l 禁用各种传输外设,仅允许360加密U盘内部使用。
l 所有终端的插盘与文件拷贝都有日志记录供审计和追溯。
(二) 中间机集中管控方案,捍卫者提出基于数据集中管控思路的中间机与文件流转系统的解决方案:
本方案的最大优点是打通摆渡中间机、内部流转、内部存储备份等几个系统,提供了一套能够的满足政企内部的互通互联、文件交互、转发、病毒查杀、文件的全流程跟踪与安全审计等多个需求完整方案。
本方案具有以下特点:
u 增加一套基于内部安全分布式存储技术的文件流转系统。
u 本系统和流转服务器通过 VLan 划分和捍卫者终端准接入技术保证中间机只能与流转服务器做唯一性链接。
u 本系统可完成多引擎的病毒查杀、数据格式屏蔽(比较禁止可执行文件上传)、U 盘接入控制(单双向)。
u 敏感数据自动放入存储隔离区(管理员审计后可以转出)。
u 可以实现文件导入导出审计、内部共享设置、流转过程审计。
u 可实现多种文件操作权限设置,包括仅预览、仅下载、仅上传等。
(中间机+内部数据流转系统方案示意图)
三、两种方案的优劣比较
方案 特点 | U盘授权分散使用方案 | 中间机文件流转方案 |
使用方式 | 分散导入导出 | 集中导入导出 |
隔离方式 | 双向物理隔离 | 单向物理隔离 |
便利性 | 一般 | 高 |
文件全流程跟踪 | 无 | 有 |
权限限制 | 只有导入权限设置 | 具有导入和流转两种权限 |
存储及备份功能 | 无 | 有 |
导入后的数据存储模式 | 分散不可控 | 集中可控 |
病毒查杀模式 | 客户端单引擎查杀 | 客户端 和服务器双引擎查杀 |
敏感字过滤 | 无 | 有 |
文件格式过滤 | 无 | 有 |
通过对比可见,捍卫者中间机文件流转系统深度结合的方案有明显的优势。
四、方案中使用的产品和技术简介
(一) 主机加固技术(中间机):
中间机使用捍卫者独有加固技术如:进程白名单、网络接入外联、注册表监控、外设和文件监控、敏感信息检查、原生界面拦截等技术对中间机主机进行加固防护。
l 进程白名单:系统设定安全进程白名单,白名单以外进程无法再加固计算机内运行。可以有效防止病毒和木马进程侵入系统。
l 网络计入外联控制:通过网络过滤层技术和封包标签审计等捍卫者特色技术,实现中间机限定只能和文件流转服务器链接,中间机无法私接其他网络和终端。
l 主机中的注册表进行驱动级别的守护,禁止非法修改。
l 外接存储介质和文件拷贝进行日志记录和审计。
l 对交互文件进行全文检索,发现包含敏感文字的文件进行阻断和日志记录。
l 阻止系统原生界面,用户只能通过捍卫者提供的 UI 访问本系统,阻断非法操作。
l 插入维护用 Ukey,可以进入维护模式和原始 UI 进行系统维护。
(二) 捍卫者外设与移动存储介质管理技术:
捍卫者终端安全与访问控制--移动存储及外设安全管理系统为终端计算机使用移动存储设备提供了完整的安全解决方案。实现了对 U 盘、移动硬盘、SD 卡等移动存储设备的有效管理客户和控制。既保证了移动存储设备的安全使用,又避免了移动存储设备随意使用造成的信息外泄风险。
移动存储及外设安全管理系统提供计算机端口的安全管理、移动存储设备的授权使用、内部安全 U 盘使用。
计算机端口安全管理,主要对 USB 端口和其他非常用端口进行安全管理。对 USB 端口
设置:禁用、只读、开放三种模式,三种模式可以灵活使用,还可以对 USB 端口权限设置临时开放或只读,一定时间后自动禁用。其他非常用外设端口(如:光驱、本地连接、无线网卡、手机同步、蓝牙等)设置:禁用、开放模式。
移动存储设备授权使用,在终端计算机端口禁用/只读管控状态下,移动存储及外设安全管理系统对指定的移动存储设备授权,授权后的移动存储设备得到权限,可以在认证的计算机上使用,未经过授权认证的移动存储设备则是不可以使用的。
内部安全 U 盘使用,此为我公司研发的专属 U 盘,通过特殊加密技术,实现专属 U 盘可以在内部安全使用,在外部专属 U 盘不可以使用的效果。
(三) 终端网络认证与接入外联控制技术
捍卫者准入控制系统,是解决企业内部终端计算机非法访问外网或外部终端,外部终端非法访问内部网络或内部计算机终端的最完善的解决方案。采用底层安全控制技术,有效的隔离内部终端计算机访问非法网络和非法终端,屏蔽外部终端或外部网络。同时还阻止内部终端通过私改 MAC 和 IP 非法访问外部终端或网络。
捍卫者准入控制系统的主要功能:
l 通过终端准入机制,建立可信网络,为企业建立可信的网络环境;
l 可信网络内部终端通过认证,可以相互正常通信;非认证终端不可访问可信终端;
l 建立网络访问控制机制,可信终端未经允许,不可访问非认证网络或终端;
l 捍卫者准入控制系统低成本实现内外网软件隔离和内网准入信息安全防护,防止外部终端因为非法接入、内部终端非法外联导致泄密。
(四) 登录管理控制
通过特殊电子钥匙 USB KEY(简称 Ukey)实现对终端计算机的系统访问控制。在没有插入电子钥匙 Ukey 的终端计算机上不能登陆操作系统,插入电子钥匙 Ukey 状态下终端计算机正常操作,拔出后锁定计算机系统。可实现 1 对 1 或 1 对多绑定。
在本方案中主要用于维护模式的识别,控制。
(五) 进程白名单控制技术
通过驱动技术实现对系统进程的识别和阻断放过。与杀软配合更好的实现终端的安全防护。
(六) 捍卫者文件存储与流转控制技术
1) 文件的逻辑区分储存:
将工作中所遇到的文件按其性质进行划分,在我们日常办公所使用的文件一般可以区分为以下几个类别:
个人文件:根据个人喜好所书写,下载,收集到的一些文件,例如:个人照片,音乐,小说,电影,工作计划,学习计划,自我成长类文件。
项目(团队)文件:日常工作参与的项目文件,这类文件对项目很重要,需要经常与项目成员进行沟通协作,一般为工作类文件,文件类型根据工作性质而定;
部门文件:部门文件为部门成立后积累下来的文件,为部门知识文化传承的必要手段,文件类型丰富。会根据部门大小,人员,地域等形式设置不同的访问权限。
单位(共享)文件:一般可分类公开类型文件,或者必要的软件安装源文件,设计。
Logo 源文件等等可以被大家共有的文件,为了避免重复,统一使用文件。
2) 分布式文件系统,实现跨地域容灾
分布式文件系统提供了:分布式文件存储、文件同步、文件访问(文件上传、文件下载)这几个基本功能,解决了大容量存储和负载均衡的问题。文件系统主要有两个角色:跟踪器(tracker)和存储节点(storage)。跟踪器主要做调度工作,在访问上起负载均衡的作用。
存储节点存储文件,完成文件管理的所有功能:存储、同步和提供存取接口
3)对外高级安全控制
文件水印:通过对外链的文件生成水印,防止外网用户分发截图等方式传播;
访问白名单:通过 IP 等手段防止,限制使用设备(手机电脑等),来拒绝非意向用户访问;
4) 多人编辑与版本管理: 正常文件是无法进行多人编辑的,通过企业网盘,可以进行多人编辑。有些网盘会产生大量冲突版,以保证文件的安全性。捍卫者使用文件编辑锁定机制,使文件打开被锁定,其他人无法编辑此文件。保证版本的连续性和文件的安全性。
5) 文件预览全格式支持
办公文件 | Office 文件、 pdf、 txt、viso |
图片支持 | jpg,gif,bmp,png |
设计文稿支持 | 建筑工业设计行业:CAD(DWG,DXF) 平面设计:PSD,AI,CDR,wmf 等矢量软件 印刷设计:PS,EPS
|
影音支持 | MP4,mp3,mkv(不转码) (avi,rm,rmvb,wmv,flv)转码 |
全文搜索支持 | Office 文件、txt、pdf |
6) 日志与报表审计可以记录查询人员文件下载、上传等信息记录
自动根据人员动态,文件动态,系统运行状态这些指标提供,周报,月报,排行榜等功能,让管理员随时知道系统的状况。
7) 敏感字审计
发现敏感信息告警、隔离。
五、捍卫者产品的国产化安全可控升级
针对国产化升级改造,捍卫者中间机系统将在 2022 年前完成,目前已经完成文件流转系统(java 语言开发)的国产化化修改和初步测试,明年上半年可以发布。主机加固部分(c++ 语言开发)预计明年年底前可以完成国产化改造。