服务热线:010-65014696

成功案例

椒图关注 FOCUS ON JOWTO

某部委服务中心实施案例

[2013-3-20]

需求背景

该服务中心是人民代表和人大常委会的办公场所,是党、国家和各人民团体举行政治活动的重要场所,也是该地区领导人和人民群众举行政治、外交、文化活动的场所。同时,作为会议厅的内网系统需要记录开会的内容、团体活动的内容、以及其他一些重要的内容。

其承担的信息安全保障责任如下:

1、避免无关人员进入信息存储的系统;

2、防止重要信息被误删除;

3、防止重要会议内容泄露;

4、对于操作系统自身的操作行为要进行详细的审计;

5、在重要的存储系统中,做到权限分离。避免无权限的账户访问重要的数据。

 

系统环境

操作系统:Windows 2003 64bit  2台

系统应用:OA系统

 

解决方案

将椒图主机安全环境系统(以下简称JHSE)部署在操作系统中,用于保障数据安全,满足中心对于内网安全具备的措施:身份鉴别、访问控制、安全审计。

JHSE的强制访问控制功能保证了文件的保密性、完整性、可用性,使重要文件得到充分的保护。

JHSE的强制访问控制保证了权限最小化、降低了用户权限扩散的风险、避免恶意提权的发生。

JHSE的审计功能,将操作发起的主体、响应操作的客体、操作发起的时间、操作行为、行为的成功与失败,都详细的记录下来,汇总记录成文件并做分类。方便追踪事件源头,管理员方便查阅日志。

 

配置策略

1、采用双重身份认证,为能够进入操作系统的账户设置复杂密码,同时在登陆的过程中使用USBKEY。

2、通过BLP功能,将被访问的文件与访问的用户划分级别,保证数据的机密性。

3、将不同的数据,通过ASVE功能划分虚拟化安全域隔离开,配置相应的权限,使用透明加解密技术,没有权限的账户无法访问数据明文。

4、通过审计功能将所有的操作记录下来,汇总成日志,并且分类,为管理员提供分析依据。

部署示意图如下:

fuwuzhongxintu.jpg

 

方案效果

1、通过双证身份认证,使账户持有人需要物理设备USBKEY才能登陆到操作系统,避免了无关人员登陆到操作系统。

2、通过BLP功能,控制主体对于客体的访问权限,保证数据的机密性。

3、通过ASVE功能,将重要的文件划分出单独的区域,通过规则的制定控制对该区域的访问权限,避免了非授权访问。

4、通过ASVE功能,将拒绝删除的文件,放在同一个区域内,该区域内的权限设置为只读,避免误删除,保证数据的机密性、完整性。

5、提供完善的日志审计、管理功能,可以精确到IP、MAC、用户、进程、时间等,并统一接入现有审计平台,实现业务操作可追溯。

总结:经过JHSE保护,解决了某部委服务中心目前面临的重要数据的安全问题,以及数据管理等问题,实现了数据保密及管理等诸多相关问题。