Chinasec(安元)可信网络保密系统主要用于构造内网保密网络,对网络传输和存储设备两个主要途径进行有效控制和管理。
Chinasec(安元)可信网络保密系统主要用于构造内网保密网络,对网络传输和存储设备两个主要途径进行有效控制和管理。根据单位需要,VCN系统可以将内网划分为一个或者多个保密子网(VCN),同一个保密子网内部的计算机可以实现相互自由的数据交换(通过网络或者存储设备),不在同一个保密子网内部的计算机相互之间不能进行正常的数据交换,除非获得管理员的授权。通过保密子网的划分,可以在保障网络统一维护的前提下,对单位内部不同职能部门实现有效的数据隔离,例如财务部和其他部门独立开来,增加内网安全级别,降低安全风险。
通过保密子网,还可以有效防止非法外连或者非法接入。非法外连不管是基于Modem、ADSL拨号或者双网卡,都能够有效防止;非法接入不管是通过交换机接入或者通过网线将两台计算机直连,也都能够有效防止。不同保密子网(VCN)之间可以设定信任关系,从而允许他们的计算机之间进行数据交换。
400)this.width=400" border=0>
Chinasec(安元)可信网络保密系统(VCN)
移动存储管理
移动存储管理可以实现对移动存储设备的有效管理。在部署的时候,管理员可以设定没有注册的移动存储设备(U盘或者移动硬盘等)默认的使用策略,可选策略包括禁用(没有注册的磁盘禁止使用)、只读(可以将没注册磁盘数据拷入到VCN网内的计算机,但不能拷出数据)或者加密读写(所有写入该未注册磁盘的数据自动加密,加密的数据只能在计算机所在的VCN内使用)。
如果移动存储设备要在VCN中获得默认策略以外的权限,则必须经过管理员注册,注册的权限包括:只读、加密读写和直接读写,并可以设定信任域是否也能够使用。加密读写可以有效控制数据的安全共享范围,并且不影响存储设备使用的方便性。直接读写策略则将以普通明文的方式输出数据,存在风险,一般不建议使用。
增强型移动存储管理
在普通移动存储控制的基础上,提供更加灵活强大的移动存储设备控制功能,可以单独使用,不依赖网络安全域功能,提供基于用户的磁盘注册、远程磁盘注册等增强功能。并且可以提供移动存储设备的详细使用日志,包括U盘的插入/拔出和文件操作记录等网络数据控制
网络数据控制模块实现VCN对网络进行数据传输控制的功能。部署VCN网络数据控制功能后,VCN将可以对网络进行安全域的划分,实现同一个安全域内的计算机可以进行通信,非同域计算机不能通信的效果。VCN网络数据控制模式分为加密处理模式和仅控制模式。如果使用加密处理模式,计算机传输的数据都是经过加密的。无论是同一个VCN内的计算机,或者不同VCN之间的计算机(管理员允许的情况下)进行网络通信,其每两台计算机使用的通信密钥都是不一样的,从而有效防止了网内使用恶意侦听软件的行为。网络加密的密钥由VCN服务器统一管理,并且定时更新。仅控制模式则仅根据管理规则进行网络数据传输的控制,不对数据包进行额外的加密处理。
通过安全网关和转发网关,针对服务器保护和其它应用,VCN系统还构建了安全服务器区和开放服务器区:
1) 安全服务器区要求使用安全网关构建,可以用来保护单位重要的应用服务器和数据服务器。仅有安装了VCN并且经过管理员批注的客户端计算机能够访问安全服务器区内相应的服务器,有效实现了安全授权,也实现了防止针对服务器的非法接入访问。
2) 开放服务器区的构建需要使用转发网关(Switcher),可以用来放置单位公开的服务器,如Web服务器,接受内网计算机和外网计算机的访问,同时有效隔离内网和外网。
本地存储控制
提供本地磁盘加密和操作系统保护功能。1)本地磁盘加密模块是为了防止因为本地硬盘丢失造成的数据泄密问题,VCN提供了本地磁盘加密策略,强制加密所有本地磁盘的文件。
2) 操作系统保护功能提供对系统盘的写保护功能。因为本地磁盘加密策略执行后,为了不影响系统盘的效率,将不会对系统盘进行加密。为了避免从系统盘泄密数据,管理可以启用操作系统保护功能,这时候计算机系统盘不会写入任何东西,在操作系统重启后恢复到原状。如果用户需要安装新的应用程序,则需要管理批准,临时操作系统保护功能。
虚拟安全域A型
支持单个虚拟安全域。
虚拟安全域B型
支持三个虚拟安全域。
虚拟安全域C型
支持无限制虚拟安全域。
VCN的磁盘加密、移动存储加密和网络加密对用户和计算机应用来说都是完全透明的,不会影响用户的使用习惯。
网友评论