ImageVerifierCode 换一换
格式:DOCX , 页数:11 ,大小:612.65KB ,
资源ID:8758537      下载积分:10 金币
快捷注册下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

开通VIP
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.zixin.com.cn/docdown/8758537.html】到电脑端继续下载(重复下载【60天内】不扣币)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

开通VIP折扣优惠下载文档

            查看会员权益                  [ 下载后找不到文档?]

填表反馈(24小时):  下载求助     关注领币    退款申请

开具发票请登录PC端进行申请

   平台协调中心        【在线客服】        免费申请共赢上传

权利声明

1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前可先查看【教您几个在下载文档中可以更好的避免被坑】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时联系平台进行协调解决,联系【微信客服】、【QQ客服】,若有其他问题请点击或扫码反馈【服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【版权申诉】”,意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:0574-28810668;投诉电话:18658249818。

注意事项

本文(麒麟安全存储技术白皮书.docx)为本站上传会员【pc****0】主动上传,咨信网仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知咨信网(发送邮件至1219186828@qq.com、拔打电话4009-655-100或【 微信客服】、【 QQ客服】),核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载【60天内】不扣币。 服务填表

麒麟安全存储技术白皮书.docx

1、 麒麟天机安全存储系统 技术白皮书 湖南麒麟信息工程技术有限公司 2010.03 文档修订记录 版 本 修订内容 修订人 修订日期 备 注 V4.0 技术白皮书提纲 郭向华 10-03-03 V4.0 技术白皮书整理 郭向华 10-03-05 目录 1. 综述 1 2. 系统架构 2 2.1 系统架构图 2 3. 系统功能 3 3.1 全程的数据安全保障 3 3.1.1 强身份认证登录 3 3.1.2 加密的

2、安全传输通道 3 3.1.3 用户数据实时加密存储到服务器 3 3.2 多方位的管理控制 4 3.2.1 管理层三权分立原则 4 3.2.2 有效的用户访问权限控制 4 3.2.3 资源保护策略 5 3.2.4 磁盘配额的可控管理 6 3.2.5 敏感数据共享管理 6 3.2.6 恢复用户智能卡 6 3.2.7 细粒度的安全审计 7 3.3 透明的用户体验 8 3.3.1 数据透明访问 8 3.3.2 数据隐藏 8 4 系统环境 8 1. 综述 随着网络应用的不断拓广,私人数据会越来越多的出现在网络上,如邮件、个人照片,个人通信录等,很多企业也建立了基于局域网

3、甚至Internet的办公自动化系统,达到办公电子化和自动化的目的。然而数据的安全却存在很大的安全隐患,目前市场上的邮件服务器和办公自动化服务器等数据集中存储的服务器,数据基本上都是明文存放,因此信息对系统管理员是完全开放的,非常不利于个人信息的保密。一旦数据服务器被攻破,服务器上的所有数据也将外泄。 数据加密存储是解决数据安全的有效方法。使用应用级加/解密工具对文件数据加以保护,可以在一定程度上解决数据泄密的问题,但此种方法使用繁琐且存在易被攻破和旁路的致命缺点,无法从根本上解决诸如物理磁盘失窃、多操作系统引导、非授权访问等所带来的安全隐患。因此有必要采取一种更加安全、有效的实施数据的加/

4、解密手段。 麒麟天机安全存储系统(Secure Storage System,简称SSS)V4.0是为了解决局域网内数据保密问题的网络数据安全存储系统,由湖南麒麟信息工程技术有限公司独立自主开发,基于高安全的Kylin安全操作系统,采用加密存储技术,为企业、军队、政府等提供了基于网络的数据安全存储解决方案。 麒麟天机安全存储系统具备的以下特点,为用户机密数据提供安全保障: — 数据实时加密存储,存放在服务器上的均为密文,非法用户无法获得有效数据 — 数据集中存储,便于安全管理,增强敏感数据访问可控性 — 加密的安全传输通道防止“中间人”截取数据 — 可选身份认证方式,用户可根据自身

5、需要来确定选择 — 加密数据访问对用户透明,合法用户访问加密数据跟访问一般数据没有差别 — 敏感数据共享,用户之间共享的信息也是密文形式,只有授权的用户才可见并获取真实内容 — 三权分立原则,由系统管理员、恢复管理员和安全管理员分别实施管理 2. 系统架构 2.1 系统架构图 麒麟天机安全存储系统采用C/S结构,由安全存储系统服务器端和客户端组成。其中,服务器端承担着数据加密、文件存储、身份甄别的责任,基于 Kylin安全操作系统;客户端则是基于Windows操作系统,为管理员和普通用户提供了友好便捷的操作界面。根据不同的职能,有管理用户客户端、普通用户客户端以及证书和智能卡系

6、统。整个安全存储系统的结构如下图所示: 图2.1 安全存储系统整体架构图 安全存储服务系统构建在内部网络上,在内部网络与外部网络之间要么完全的物理隔离,要么使用防火墙等安全措施进行隔离。证书和智能卡管理系统与安全存储服务系统的其它部分采用物理隔离手段,因为证书和智能卡管理系统用于生成、存储智能卡认证的用户证书、密钥等敏感信息。 3. 系统功能 3.1 全程的数据安全保障 3.1.1 强身份认证登录 麒麟天机安全存储系统提供了两种认证机制,一种是用户名口令认证,另一种是智能卡认证。若采用前一种,需在登录时属于用户名和密码;若采用智能卡认证则必须插入用户专用智能卡,并输入

7、PIN码才能登录。用户智能卡由安全管理员通过证书与智能卡系统离线生成和分发,即使智能卡不慎丢失,也可以通过系统管理员禁用该智能卡,被禁用后将不能使用。 客户端和服务器相互认证利用现今流行的SSL协议,高层的应用协议能透明地建立于SSL协议之上。通过使用SSL协议,在应用层通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密,从而保证通信的安全性。 3.1.2 加密的安全传输通道 为了全面保障数据的安全性,天机安全存储系统采用先进的OpenVPN技术实现了数据的传输过程加密。整个系统的数据传输建立在一个虚拟私有专用网络之上,在客户端与服务

8、器交互时,通过端对端的专用加密通道,使数据能够安全的流通。安全传输通道技术有效的防止了网络“中间人”通过抓包等方式窃取有用信息的攻击,保障了整个系统的安全性。 3.1.3 用户数据实时加密存储到服务器 保险箱是专属于用户的数据加密存储空间,每个用户都有自己的私人保险箱和所属的共享保险箱。用户登录后即与服务器建立连接,在保险箱中生成的文件或从外部进入到保险箱中的文件都将自动加密,以密文形式存储在远程服务器上,并且与文件操作同步,保证了数据加密的实时性。 3.2 多方位的管理控制 3.2.1 管理层三权分立原则 系统支持四类用户:安全管理员、恢复管理员、系统管理员和普通用户。除普通用

9、户外,管理层的三个管理员分别拥有不同的权利,各司其职,共同保障系统的安全可靠。其中,安全管理员管理用户的智能卡密钥等敏感信息,并负责向用户发放智能卡;恢复管理员在用户智能卡丢失或忘记密码的情况下,恢复用户信息,确保用户能够继续访问以前存储的数据;系统管理员则承担着用户和服务器的日常管理及维护。普通用户是安全存储系统的真正用户,利用系统存储敏感信息。 3.2.2 有效的用户访问权限控制 通过系统管理员可以对用户访问服务器的权限进行控制,禁止或开启某个用户、智能卡登录服务器的权限。为保证用户数据安全,需根据实际情况约束用户访问数据的权限,针对不同情况,限制可分为用户限制和智能卡限制。智能卡限

10、制用于限制某一个用户使用当前智能卡登录服务器,只是限制智能卡的使用而非用户;用户限制则是直接限制特定用户登录服务器,即通过限制用户证书来限制登录权限,与智能卡无关。细粒度的登录约束,有效保证了用户数据安全。实际当中,智能卡限制适用于用户智能卡丢失,为避免其他人使用遗失智能卡登录服务器的情况;而用户限制则适用于完全限制用户的情况。 若某个用户已不存在或用户智能卡丢失、损坏,系统管理员可以禁止非法用户登录,禁用智能卡;也可以适时取消限制。恢复管理员可以帮助用户重新恢复密码,防止用户忘记密码导致资源不能访问。安全管理员能够为一张智能卡重新生成和导入证书,再通过系统管理员启用新的智能卡。三个管理员协

11、同合作,形成了对用户访问的有效控制。 3.2.3 资源保护策略 资源保护策略是天机安全存储系统为避免客户端非法拷贝敏感信息而设计的安全策略,从文件、设备和网络三方面来进行访问控制,有效的控制了机密数据的流动范围。 登录服务器后,用户相关资源以私人保险箱和共享保险箱的方式映射到本地,方便用户使用和管理。为保证保险箱数据的安全性、避免通过非法通道泄露,同时满足正常交流,系统管理员可以灵活设置用户或主机的本地文件访问控制、本地设备访问控制和网络访问控制等三方面策略,使安全存储服务器数据在这种保护下更为安全。 l 本地文件访问控制 实现保险箱内文件的防非法拷贝到本地的功能。可以允许用

12、户将文件从本地硬盘、优盘复制到安全存储服务器,但是服务器上的文件数据不能复制到本地硬盘和优盘,甚至也不能通过剪贴板方式将存储服务器上的文件数据粘贴到本地硬盘的文件中。 l 本地设备访问控制 控制加密存储服务器上的文件使之无法复制到外设中。包括打印机控制和其它外设控制功能。提供的打印控制功能,以用户和客户端为单位实施打印控制;对USB、光驱等外设接口进行的控制,主要为禁止/允许某些设备的使用。 l 网络访问控制 提供网络防火墙功能,限制用户能够访问的网络范围。普通用户客户端一旦连接成功存储服务器,则根据服务器上的策略控制用户能够访问的范围,防止通过网络泄露服务器数据。 3.2.4 磁

13、盘配额的可控管理 服务器资源特别是硬盘空间是固定的,为合理分配系统资源,避免个别用户恶意占用,需限制用户能够使用的磁盘配额。磁盘配额管理为服务器资源的合理利用提供了可控保障,系统管理员可以随时对系统中的每个用户进行配额限制,即每个用户只能使用最大配额范围内的磁盘空间。而用户也可以在登录客户端后查询自己的空间配额情况,便于合理利用服务器资源。 3.2.5 敏感数据共享管理 实际工作中,用户之间经常需要共享数据,共享保险箱则满足了用户安全共享的需要。系统管理员可以创建共享组,并将有权访问该共享组资源的用户加入进来,保证只有属于该共享组的用户才能访问此共享组的资源。非共享组用户则无法看到该共

14、享组。 共享组可设置安全等级,安全等级有高安全和低安全之分。高安全组的用户必须使用具有安全模块的客户端才能访问服务器,而低安全组内的用户却没有严格的限制。细粒度的访问权限划分更有利于保护用户数据的安全性。 3.2.6 恢复用户智能卡 系统利用证书作为用户唯一的身份标识,同时利用智能卡保护证书的安全,用户即使遗失智能卡也能保证证书不被泄露。为实现用户遗失智能卡的情况下,仍能通过合法途径恢复智能卡,继续访问安全存储服务器,系统对用户的密钥进行了备份存储,在用户丢失智能卡的情况下,能够重新生成智能卡,并经由恢复管理员进行恢复操作,确保用户使用新智能卡能够访问到以前的数据。 一旦用户恢复成功

15、新智能卡和证书则成为用户的唯一标识,旧智能卡将无法继续使用,防止一个用户有多个可用的智能卡,要谨慎使用用户恢复功能。恢复用户功能必须由安全管理员和恢复管理员协作完成,具体流程如下图所示: 3.2.7 细粒度的安全审计 安全存储系统通过日志系统和审计系统提供对系统各种活动的跟踪。日志系统负责用户日常操作的记录,审计系统提供了一种记录系统安全信息的方法,为系统管理员在用户违反系统安全法则时提供及时警告信息。可审计的安全事件包括:用户的身份鉴别、共享组管理操作、系统管理操作等。审计系统可以将记录系统内部发生的事件的信息根据用户的需求,提供不同的报表,从而实现对系统新的追踪、审查、统计和报

16、告等功能。 3.3 透明的用户体验 3.3.1 数据透明访问 用户登录后,将自动在客户机上映射私人保险箱和共享保险箱两个网盘。用户对保密文件的操作完全和本地文件一样,不更改用户使用习惯。有些加密存储产品,只提供远程加密存储功能,用户使用应用程序访问这些文件时,需要从远程下载到本地,非常不方便。 3.3.2 数据隐藏 在客户端的用户视图上,用户只能够看见自己的私人保险箱和共享保险箱中自己所属的共享组文件夹,无法感知其它用户私人保险箱和共享组的存在,更无从访问。通过这样的隐藏特性,使用户可见数据范围得到控制,降低非法用户访问的可能性。 4 系统环境 系统组成 硬件环境 软件环境 安全存储服务器 各种文件服务器 Kylin安全操作系统 证书和智能卡管理系统 通用PC机 Windows操作系统 管理用户客户端 通用PC机 Windows操作系统 普通用户客户端 通用PC机、笔记本 Windows操作系统

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        抽奖活动

©2010-2026 宁波自信网络信息技术有限公司  版权所有

客服电话:0574-28810668  投诉电话:18658249818

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :微信公众号    抖音    微博    LOFTER 

客服