1、电力规划设计院知识产权保护方案 电力规划设计院知识产权保护方案 1需求分析 电力规划设计院一般是统一的网络,通过统一防火墙进行出口控制,因为内部存在通过internet跟外部网络进行设计图纸交换、资料查找的需求,所以目前除了能够对内部pop3和smtp效劳器进行比较有效的控制外,其它网络交换途径如web和ftp效劳根本无法管理,可能造成机密设计图纸的泄漏。另一方面,由于计算机终端外设端口数据交换的方法越来越方便,特别是移动存储设备(如u盘)等的广泛使用,使得设计图纸等机密文件的保密性更加难以控制。这些设计院重要材料的泄漏,对设计院的知识产权保护构成极大的威胁,需要从技术手段和管理手段进行提升,
2、建立有效的设计院知识产权保护体系,维护和提高设计院的长期竞争力。 归纳起来,电力设计院的需求有下述几点。 1.开放网络的保密管理 在电力规划设计院,因为工作人员需要上网进行资料查找,也需要跟其它外部网络进行设计图纸的交换,所以网络必须对外开放,否那么将严重降低设计院的工作效率。但是,网络开放随之带来的问题就是信息的不可控制性,内部设计人员或者计算机上的木马可能把设计院的重要资料通过网络泄漏出去。所以,必须提供一种有效的解决方案,可以在开放的网络状态下,实现关键资料的知识产权保密。 2.存储设备的保密管理 存储设备是网络之外最主要的数据交换途径之一。目前,随着轻便的移动存储设备越来越普及,对数据
3、保密的管理提出了更高的挑战。如何实现对移动存储设备和甚至本地硬盘的有效管理,防止重要资料的泄密是电力设计院平安系统的关注点之一。 3.网络行为的审计监控 为了加强对设计院内网的有效管理,提高应对内网平安风险的能力,还需要提供对主机的一些审计监控功能,主要包括:邮件监控、网页监控、ftp监控和文件操作监控等。 4.图纸文件的交换平安 设计院作为电力行业的设计单位,经常需要跟客户进行图纸或者其它文件的交换;在单位领导出差或者不在设计院的情况下,也需要通过网络将文件发给领导审批。所有上述的情况,文件都需要脱离内网,在非平安的数据载体或者链路上进行交换,为此,需要提供一种完善的解决方案,实现以下要求:
4、 。文件脱离时必须以加密状态保存; 。文件只能由指定的接受者阅读,即便是发送者本身,在文件脱离内 网平安环境下也无法阅读使用该文件。 5.移动计算机的平安性 设计院的工作人员经常要出差到客户现场,为了防止笔记本途中丧失,或者在客户现场并其它人偷阅材料,要求提供对计算机的平安管理手段: 。非授权人员不能进入计算机操作系统;。员工离开计算机自动锁定; 。计算机或者硬盘丧失不会造成数据泄密。 6.平安系统的可扩展性 由于平安的需求可能随着信息化程度的提高和业务的需要增加,所以本方案提供的平安系统必须具备可扩展性,主要考虑要点如下: 。员工身份统一管理认证的需求,以及使用第三方数字证书的兼容性;。应用
5、系统数字签名的可能性;。新应用的支持。 2解决方案 2.1设计原那么 1.平安系统应该统一规划,分步实施,实施各个阶段应该保持良好的衔接; 2.平安系统与应用相关性应该尽可能低,支持应用系统的升级和新应用的 扩展; 3.平安系统的选型必须是基于现有的成熟产品和系统,具有可靠的稳定性; 4.平安系统应用具有良好的可管理性和可维护性,有统一的管理中心,依 据“分布式控制、集中式管理管理的原那么; 5.平安系统必须具有良好的易用性和兼容性,不会改变业务系统的主要结 构,也不会对业务系统的操作人员带来过多的习惯改变; 6.平安系统应该符合国家制定的相关平安管理标准,取得相关资质。 2.2总体方案 根据
6、上述原那么和目前市场产品的情况,本方案基于中安源(chinasec)可信网络平安平台提出。根据需求分析,本方案分成重要数据保密、网络集中管理和移动计算机平安三个局部。 重要数据保密主要基于chinasec可信数据管理系统(dms)实现,可以有效解决开放网络和存储设备的保密管理问题。 网络集中管理主要基于chinasec可信网络监控系统实现(mgt),可以满足网络行为的审计监控问题。 移动计算机平安主要基于chinasec可信网络认证系统(tis)实现。因为上述三个系统都是基于统一的chinasec可信网络平安平台开发,所以具有良好的相互兼容性,可以使用统一的效劳器和管理中心,从而简化管理工作。
7、 2.3重要数据保密 dms系统通过模式切换满足在开放网络条件下网络保密和存储保密的需求。在dms系统中,可以定义工作模式和普通模式,所有设计相关的工作文件只能在工作模式下使用和存储,普通模式仅用于处理非工作文件、上网查询资料或者传输文件等。 计算机开机操作系统后,即进入普通模式,在普通模式下,平安系统对计算机根本上不进行控制,用户可以自由地使用存储设备、网络和处理文件等。但是,在普通模式下,用户将不能接入设计院的内部文件效劳器、oa效劳器和图纸效劳器等各种设计资源,同时也不能翻开本地的可信数据区。 可信数据区是一个特殊的存储区域,其空间由本地硬盘和远程的文件效劳器两局部组成。其中,本地硬盘空
8、间存储的数据是自动加密的。可信数据区仅在用户工作模式的时候会自动开启。可信数据区的远程文件效劳器组成局部以目录的方式映射到本地,用户可以跟使用自己计算机的一个文件夹一样存储数据和建立文件,并且可以针对自己的文件存储区设立权限,从而实现跟其它用户共享数据。 如果用户需要开始设计工作或者处理保密工作相关的文件时,可以模式切换 和认证,可以进入工作模式。在工作模式状态下,用户将可以接入和使用内部的文件效劳器、oa效劳器和图纸效劳器等各种保密资源,并且将自动开启可信数据区。但是,这时候所有的非受控网络(即互联网和其它管理员没设定为工作模式允许使用的网络)都将被切断隔离,而且非可信数据区的其它存储设备(
9、包括本地硬盘和移动存储设备等)文件存储都将被禁止,并且可以强制要求关闭计算机所有通用的数据通信端口(红外、usb和串并口等),但是用户可以读取普通模式下的所有文件。用户一旦退出工作模式,可信数据区自动关闭,系统内存也会清空,从而彻底隔离工作模式和用户模式的数据。即在工作模式下,用户所有的工作处于一种平安环境下,所有数据只能存储在可信数据区或者效劳器上,使用者无法将工作模式下产生的新文件或者数据带出工作模式,从而有效实现了在开放网络下的网络和存储数据保密问题。 2.4网络集中管理 mgt系统提供了全面的监控功能,在本方案中,可以实现对邮件发送监控、邮件接受审计、ftp审计、网页访问控制以及文件操
10、作审计。 邮件发送监控可以接受者的地址设定黑/白名单,并且支持通配符的规那么设置。系统还可以将发送的所有邮件进行完整的记录(包括附件),存储在效劳器中。邮件接受监控以发送者的地址设置名单,可以记录接受邮件的完整内容。 网页访问控制也可以网站设定黑/白名单,并记录访问网址的信息,包括用户、计算机、网址和时间等。 ftp审计和文件操作审计将记录所有计算机用户ftp和文件操作,并上传到效劳器中。 2.5移动计算机平安 tis系统提供每个合法用户一个usb接口的硬件令牌,该令牌内置标识是唯一的,并且提供了口令的双重保护。安装了tis系统的移动计算机,必须在插入使用者自己的usb令牌并输入正确的口令后,
11、才能进入windows操作系统,从而防止计算机被非法使用。如果使用需要短期离开计算机,只要拔出usb令牌,计算机自动锁定屏幕和键盘鼠标等输入,从而确保了离机平安。 tis系统还提供了平安保密磁盘,该虚拟磁盘在现有硬盘空间创立,但是仅有特定用户的usb令牌插入计算机后才能自动开启,拔出计算机该磁盘自动关 闭消失,并且以加密的方式保存在计算机中,从而有效防止信息泄密。这样,结合dms系统的可信数据区,即便计算机丧失或者硬盘丧失,也不会导致保密数据泄密。 3产品介绍 3.1chinasec可信网络平安平台3.1.1平台的结构 chinasec可信网络平安平台是所有产品共同的工作平台,其根本结构分为效
12、劳器(server)、客户端代理(agent)和控制台(managementconsole)三局部,全部为软件系统。 chinasec可信网络平安平台的系列产品都运行在这个共同的平台上,使用共同的效劳器、共同的控制台和共同的核心客户端代理引擎。它们的通信体系和通道也是共同的,基于这个平台,chinasec的全系列产品能够相互协调,并保证了占用最少的系统资源和网络资源。 效劳器(server)是可信网络平安平台的核心组成局部,是所有策略的存储中心,也是系统运行和维护的中心。在效劳器上,存储着用户信息、计算机信息、组织体系、策略信息以及日志信息。效劳器软件需要一个授权的硬件usb令牌,才能够正常运
13、行。中安源(chinasec)不同的系统,其效劳器都使用共同的核心运行。 客户端代理(agent)运行在可信网络平安平台需要控制的计算机终端上,该客户端代理采用平安的方式接受效劳器(server)的统一管理,接受效劳器下发的策略,并通知相应的功能模块执行。所有的chinasec可信网络平安平台系列产品的系统,其功能模块都通过平台的核心代理引擎与效劳器进行通信。 控制台(managementconsole)是可信网络平安平台的用户界面,用于实现对效劳器(server)的远程管理,它是整个平台的控制中心,平台中的各个系统都可以集中表达在该控制台中。控制台基于windows标准的mmc技术,用户界面
14、友好。以下图是一个典型的chinasec可信网络平安根本架构。控制台只通过效劳器对客户端进行管理,跟所有客户端代理之间没有直接的通信连接建立。 2计算机使用授权管理员可以设定某个用户能够使用那些计算机,也可以设定某台计算机只允许指定的一个或者多个用户使用。没用授权的用户,在使用自己令牌登陆计算机的时候,将不能通过认证,从而不能进入该计算机的操作系统使用。用户令牌还具有离线锁定的功能,即一旦使用者要离开计算机一段时间,为了防止其它人在此期间使用自己的计算机,可以将令牌拔出带走,这时候计算机就自动进入锁定作态,只有使用者再次将自己的令牌插入该计算机,才能够解锁。3保密磁盘每个用户使用自己的令牌,可
15、以建立多个虚拟的保密磁盘,使用方法跟普通磁盘完全相同,但是存储在这些保密磁盘中的数据是完全加密的,而且只有使用本人的令牌才能翻开自己建立的平安磁盘。当多个人使用同一台计算机的时候,每个人都可以建立自己的平安磁盘,从而为每个人都创立了隐私保密空间。虚拟的平安磁盘是一个文件,用户在更换计算机或者出差的时候,可以将该磁盘文件带走,在别的计算机系统只要使用自己的令牌,一样可以翻开平安文件使用,携带方便。4效劳器访问授权配合平安网关的使用,管理员可以指定每个用户能够访问单位内部哪些特定的应用效劳器,或者指定某台效劳器只能授权哪些用户使用。这些用户访问这些效劳器之前,都需要通过效劳器的统一认证,获得授权。5文件平安分发系统平安文件分发系统让用户可以创立平安的加密文件,在创立的时候需要指定一个或者多个接受者,只有指定的接受者使用自己的usb令牌才能够正确解密该文件并翻开该文件,其它任何没有权限的人获取该文件,都将不能获得有效的信息。该功能为用户提供了一种通过网络或者其它