中软防水墙系统 WaterBox™技术白皮书

    中软防水墙系统是内网安全管理的有力武器，是加强个人计算机内部安全管理的重要工具，它充分利用密码、身份认证、访问控制和审计跟踪等技术手段，对涉密信息、重要业务数据和技术专利等敏感信息的存储、传播和处理过程，实施安全保护；最大限度地防止敏感信息泄漏、被破坏和违规外传，并完整记录涉及敏感信息的操作日志，以便日后审计或追究相关的泄密责任。中软防水墙系统从内部安全体系架构和网络管理层面上，实现了内部安全的完美统一，有效降低了“堡垒从内部攻破”的可能性。它作为国内市场上第一款成熟的内网安全管理软件，填补了国内在该领域空白，为我国信息安全保障工作注入了新的活力。

中软防水墙系统的主要功能是防止个人桌面系统的信息泄漏，同时对个人桌面系统的软硬件资源实施安全管理，并对个人桌面系统的工作状况进行监控和审计。

中软防水墙系统从以下五个方面保障内网安全：

失泄密防护

失泄密防护是中软防水墙系统重要功能之一。个人计算机系统的泄密途径，主要有网络传输、移动存储带出和打印到纸介质文稿三种情况。中软防水墙系统针对这三种泄密途径做了全面的防护，可以根据实际情况选择启用或禁用，同时还可记录日志或文件以备事后追踪。

移动存储介质作为文件存储、交换的主要介质，我们将移动存储介质细分为普通移动存储介质和可信移动存储介质。支持小到一个一个用户，大到安全域的适用范围的限定；支持主机与介质安全密级的设定，以限定其跨密级使用；支持对介质使用次数和使用日期的限制，以强化对移动存储介质的管理；提供了强大的介质使用跟踪与审计，并且提供了完善的自我保护机制，以防止非法用户窃取磁盘数据内容。

除了针对以上几种泄密途径做出了全面防护之外，WaterBox™ 还针对多达十种的可能造成泄密的主机上外设接口，提供了启用和禁用接口的功能，作为实施失泄密防护在硬件层次上的辅助手段。

文件安全服务

文件安全服务提供了对敏感文件的安全防护，采用了非对称算法，用户、小组和安全域具有各自独立的密钥对，用户可以根据实际需要对不同范围用户群采用不同的加密方式。对于“个人加密”方式加密的文件，其他用户无权解密查看此文件；对于“小组加密”方式加密的文件，该用户所在小组下的所有用户都有权解密查看此文件，其他小组的用户无权查看；对于“公共加密”方式加密的文件，整个安全域内的用户都有权解密查看此文件。

运行状况监控

记录了受控主机的运行状况历史日志，以便审计和监控。

WaterBox™ 中软硬件资产管理功能，能够记录资产变化信息、资产越阈信息，从而丰富了受控主机的运行状况监控功能。

系统资源管理

提供了在线受控主机的资源信息和运行状况的快照。系统操作员和安全审计员能登录控制台查看所管理部门节点下所有在线主机的系统资源信息，并且能随时刷新以获取当前的系统信息快照。

WaterBox™ 中软硬件资产管理功能，能够详尽地获取受控主机的软、硬件资产信息，丰富了系统资源管理功能。

扩展身份认证

可接管Windows身份认证。如果接管Windows身份认证，只需输入合法的防水墙用户名和口令即可登录Windows系统。

l         系统功能

l          网络通讯方式信息泄漏防护

l          存储介质信息泄漏防护

l          可信移动存储介质管理功能

l          打印机信息泄漏防护

l          外设接口信息泄漏防护

l          安全文件柜功能

l          文件安全服务功能

l          系统资源安全管理功能

l          系统运行状况监控功能

l          系统资产管理

l          系统运行状况黑匣子功能

l          扩展身份认证功能

l          客户端远程安装

l          数据报表功能

可选安全组件：

l          网络巡逻员

l          审计平台

l         系统特点

l          科学的体系架构

l          高可靠性、安全性

l          严密的内部安全防护体系

l          灵活、完备的策略机制

l          安全的网络通信、数据通信机制

l          独特的黑匣子分析仪

l          方便、灵活的安全文档系统

l          强大的媒体介质防护能力

l          强大的自我防护能力

l          易用性

l          强大审计功能

l          分权分级管理

l         体系结构

完整的WaterBox™系统由三部分组成，防水墙服务器（WaterBox Server）、防水墙控制台（WaterBox Console）和防水墙客户端（WaterBox Watcher）。

防水墙服务器

防水墙服务器，包括服务器端软件、支持数据库和授权硬件。建议在专用主机上安装防水墙服务器。支持操作系统为Microsoft Windows 2000、Windows XP、Windows Server 2003系列，推荐Windows 2000 Advanced Server版本。防水墙服务器以Microsoft SQL Server 2000为后台数据库。

防水墙控制台

防水墙控制台是实现系统管理、参数配置、策略管理和系统审计的人机交互界面软件系统。控制台采用分权分级的授权模式，以提高系统的安全性和用户管理的灵活性，保证监测信息的保密性。系统运行平台为Microsoft Windows 2000、Windows XP、Windows Server 2003系列，推荐采用Windows 2000 Professional版本。

防水墙客户端

防水墙客户端是安装于受控主机上的监测软件。防水墙客户端可远程自动升级，并采用了严密措施防止本地用户自行卸载、关闭监控程序。防水墙客户端的工作平台目前支持Microsoft Windows系列操作系统，包括Windows 98系列版本（Microsoft Windows 98 Second Edition (SE)、Microsoft Windows Millennium Edition (Me)）、Windows 2000系列版本、Windows XP系列版本和Windows 2003系列版本。