媒体监测和推荐平台

产业新闻

当前位置:首页 > 产业新闻 > 详细内容

明朝万达信创终端数据安全管控方案,助力信创国产化数据安全

随着国家信创产业的蓬勃发展,越来越多的信创终端已经应用在政府、军队、金融、电力等各行各业中。主流的信创操作系统类型包括:银河麒麟、统信UOS、普华、中科方德等。随着信创终端的广泛使用,信创终端在用户正常生产办公过程中产生的数据安全风险也逐渐成为各单位企业CTO/信息系统管理人员重点关注的问题。

信创国产化

与传统的Windows+Intel平台终端相比,信创终端在使用过程中面临的数据安全风险更加严重。一方面硬件平台和操作系统的自主可控并不等于安全,同样面临系统漏洞和缺陷等安全威胁;另一方面信创终端的广泛使用必然带来短时间内有一大批的业务办公软件需要适配,适配过程中必然带来一定的软件工程安全漏洞风险,需要时间去发现并修复。

鉴于上述安全风险现状,明朝万达提出了一套安全可靠的管控方案来保障当前信创终端平台的数据安全。

方案功能 

驱动技术向来以稳定高效的特性被广泛应用在操作系统和硬件交互的场景,方案最底层采用文件过滤驱动组件和网络过滤驱动组件,实现核心文件数据的透明加解密与网络协议传输数据过滤识别功能;

信创操作系统与Windows系统相比,在用户权限管理方面区别较大,客户端软件设计中考虑最小权限原则,将软件的基础支撑功能,如安装、卸载、升级、进程通信、进程与安装文件守护等放在基础支撑层实现;

方案在业务层主要实现的功能分为两部分:

1、实现了一套高效的文件数据内容识别与分类分级引擎,用来为后续的动态管控提供决策依据;

2、利用信创系统内置的技术组件等实现了对进程、外设以及网络访问连接的管控:

◇ 进程管控,主要是利用信创系统进程事件链接器技术组件监控进程的启动与信息,根据管控策略实现对应进程的启停和权限控制;

◇ 外设管控,主要是利用信创系统设备管理器技术组件来监控识别当前系统连接的外设,根据策略实现对应类型外设的启停和权限控制;

◇ 网络管控,主要是利用网络重定向驱动技术组件来实现对通过标准协议如HTTP/S、FTP、SMB、SMTP/POP3/IMAP收发的数据进行监测与动态管控。

实现效果 

通过以上终端数据安全管控技术与业务框架搭建起一套完整的适用于信创终端的数据安全管控方案。在其部署后,可实现以下管控效果。

◆ 以终端数据内容的识别与分类分级为前提,实现了对终端存储的非结构化数据文件的内容识别,并根据预先设置或者动态学习的分类分级元数据标准对终端存量/增量的数据文件进行分类分级预处理。

◆ 以终端全方位的数据外发通道管控为基础,实现针对终端各种类型外设如移动存储设备、打印机、刻录机、蓝牙等设备外发数据的管控;同时还支持针对终端网络通道各种标准协议如HTTP/S、FTP、SMB、SMTP、SSL加密等外发数据的管控。针对第三方私有协议的即时通讯软件外发途径支持采用进程禁止启动的方式进行管控。支持添加屏幕水印等辅助措施实现对数据通过屏幕泄漏的途径管控。

◆ 以动态的审计、加密、审批放行甚至阻断控制管理手段为核心,支持根据文件数据内容的分类分级结果进行区分动态管控;

◆ 配合单独明文外发业务设计提升用户操作使用的便利性,做到安全与使用便捷的统一,实现一次明文外发登记,全通道明文外发的管控效果。

◆ 结合服务器系统、管理控制台系统实现了基于C/S架构的部署、基于B/S运维统一管理的系统,为信创终端系统的数据安全管控提供一套完整的数据安全审计管控解决方案。