简体中文版
最新公告:

    内网一体化防泄密体系所在位置:首页 > 解决方案 > 内网一体化防泄密体系 >

    内网一体化防泄密体系解决方案

      一、安全现状
      近年来,随着信息安全的发展,大部门部门和企业通过部署隔离内网并在环境中部署大量安全产品进行信息安全防护,然而仍然不断发生内部人员(内鬼)和恶意代码窃密、泄密案件,给国家和企业造成巨大损失,凸显现有涉密信息系统防泄密体系存在着巨大安全隐患,构建新的防泄密体系保护国家和企业秘密已经刻不容缓。
      二、现有信息安全体系特点
      长期以来,我国信息安全体系建设的特点主要表现在以下三个方面:
      (一)我国目前建立的是以“先验知识”为基础的信息安全防护体系
      权威研究数据表明,以“先验知识”为前提的信息安全技术对信息安全威胁的识别率约仅为30%左右,70%左右无法侦测。事实上,信息安全真正的危害来自于未知威胁,利用未知威胁进行网络攻击也是最有效最常用的手段。因此,目前我国基于已知威胁、被动防御的信息安全防护体系根本无法有效应对未知威胁,也无法从根本上保障我国网络空间的安全。
      (二)我国目前建立的是以“应用安全”为核心的信息安全防护体系
      我国信息安全防护体系建设假定“计算平台”本身是安全的,运用静态逻辑作为判断标准,着重突出软件可验证、硬件可验证、设备、环境、人员、数据备份等安全,而网络攻击和数据泄漏的过程都是在计算机动态运行的过程中发生的,回避或忽略信息安全中最核心的运行安全,安全大厦缺乏根基,就无法从根本上保障信息安全。
      (三)我国信息安全体系建设思路以“防外”为主
      美国防部及兰德公司信息安全研究报告中明确指出,85%的信息安全威胁来自于计算机内部,10%不能确定,仅4%左右来自于网络,这表明大部分的威胁来自计算机内部。在面临内部威胁时,基于接入控制、身份认证、防火墙等“防外”技术都将失效,对内部漏洞、木马以及内鬼都将失去防御能力。
      综上所述,我国目前信息安全技术与产品主要着眼于如何降低和消除已知威胁对系统运行的影响,基于上述产品构建的是基于已知信息安全威胁的信息安全防护体系,无法实现信息安全防御。
      三、需求分析(数据防泄密认知)
      (一)终端数据失去控制是泄密的根本原因
      数据中心本身只有存储安全问题,因为数据的使用都在数据中心内,要发生数据泄密,只有从数据中心中将数据中心的硬盘进行带走等物理行为。
      那什么时候才会发生数据泄密呢?只有终端接入到数据中心,使得数据中心的数据传输到终端的时候,服务器无法对终端的数据进行控制的时候才可能发生数据泄密。
      那数据为什么会发生泄密呢?因为终端数据泄密的时候没有被获知,也就是泄密行为没有被控制,如果进行了控制,就能够泄密行为,就能阻止泄密行为,就不会发生泄密。
      (二)现有方案未实现数据和计算过程的完全控制
      现有的安全解决方案为啥无法解决数据泄密问题呢
      现有的安全解决方案采用的分层的模式进行防护,比如应用安全、数据安全、系统安全、硬件安全和管理安全等
      然而数据在终端的计算和处理过程是连续的,只对一部分数据的关卡进行拦截,数据泄密就可以在未设置关卡的地方发生,只有实现对数据在终端的计算过程的完全控制才可能解决数据泄密问题
      只解决计算过程的完全控制,就能解决数据泄密了吗?不是,因为只解决全部过程,无法解决数据的区分问题,因此必须对所有的数据(包括系统数据和应用数据)都进行全过程的管控,才能真正实现数据泄密问题。
      另外当实现了全数据、全过程控制之后,如果数据仍然继续保留在终端,就可能发生当终端设备失去控制(例如关机、丢失、进入其他非受控系统)的时候,发生数据泄密问题,所以需要实现计算和数据的实时动态分离。
      四、解决方案
      (一)方案思路
      通过对网络中节点的全数据、全过程管控,并在此基础上实现计算与数据的动态分离,最终形成安全可控的网络空间,解决数据防泄密问题。
      (二)方案架构
      五、方案优势
      实现了对终端的完全控制
      实现对全数据的完全控制
      一体化防御,改变现有的安全产品堆叠部署模式
      应用无关,不改变用户现有使用习惯,不改变现有网络拓扑架构部署便捷方便
      六、方案实施与部署
      中天安泰内网一体化防泄密体系是通过在内网环境中部署数据黑洞XXX产品,实现对内网环境中计算节点的全数据、全过程控制;在延伸管控环境中部署数据黑洞XXX产品,实现对延伸管控环境下的完全管控。
      通过在内网环境下的部署上述系统之后,形成一体化安全管控平台,在平台上构建智慧城市的各个业务子系统,各业务子系统的运行、管理和安全都有一体化安管平台提供。一体化安管平台具备实时监控业务子系统的运行状态、实时阻止安全入侵与破坏、保障业务应用的实时安全运行、实时提供网络查处分析数据的能力,并提供业务系统统一的安全通信平台、策略管控平台、网络态势感知平台。

    010-88107271
    ztat@mail.ztat.cn
    北京市丰台区小屯路89号