Rier NasSafety安全NAS系统介绍
(Rier NasSafety电子文档安全管理系统v1.0)
网络存储(网络存储系统(Nas存储系统、文件共享服务器等文件服务器)系统在涉密信息系统被广泛使用,因NAS系统的技术重点是存储以及网络存储效率,系统缺乏更精细化的安全策略、安全管理及安全措施,按照水桶原理,因网络存储系统的使用,使涉密信息系统总体安全达不到国家涉密信息系统分级保护标准的要求。“Rier NasSafety文件集中存储安全管理系统”就是在这样的一种背景下开发的网络安全存储系统,该系统部署在网络存储系统和网络终端之间,成为网络存储系统访问的安全网关设备。产品形态:(1)如果用户有成熟的NAS系统或文件集中存储管理系统,该系统作为网关部署在客户端和NAS服务器之间;(2)如果用户没有NAS系统或文件集中存储管理系统,可以选配NAS服务器,成为该系统的重要组成部分,即:NAS系统和安全NAS网关合二为一。该系统已经通过国家保密局涉密信息系统检测中心的认证,并获得产品证书。
.1. 系统的部署结构
系统的部署的拓扑结构图如下:
.2. 系统的软件体系结构
NasSafety系统的软件结构如下:
NasSafety系统采用高性能的千兆服务器-2U硬件设备和大容量高效的网络硬盘,使用稳定高效的Linux嵌入式操作系统,通过在内部架设管理Web服务器及SafetyPortal服务,并借助TCP/IP等各种网络文件协议,为管理员和用户提供一个统一的存储门户入口,管理员和各用户将自己的PC机通过千兆网络接口连接到NasSafety系统,各种NAS服务器和文件服务器也通过千兆网络接口连接到NasSafety系统,这样,管理员和各用户就可以统一管理NAS服务器上的存储资源,统一进行用户认证、访问权限及访问日志等的管理。
.3. 系统实现的功能
该系统具备以下功能:
◆ 系统以“安全网关”的形式部署在存储网络主路环境中,用户通过Rier NasSafety电子文档安全管理系统访问网络存储服务器。
◆ Rier NasSafety电子文档安全管理系统具备满足保密规定的4A级安全功能:包括符合保密要求的强身份认证(Authority);基于分级保护的访问控制(Access);基于分权管理的安全管理(Administrate);基于细粒度的日志审计(Audit).
◆ 具有独体Rier NasSafety系统访问控制授权和密级管理机制,将组织机构、组织机构成员密级(绝密、机密、秘密及非密等)标识和受控目录的密级标识相结合,实现了防止“高密低流”。
◆ Rier NasSafety电子文档安全管理系统提供基于Web管理模式,对管理员实行分权管理,实现基于智能卡的双因子身份认证,同时,对管理员的操作行为进行详细日志审计。
◆ Rier NasSafety电子文档安全管理系统可为实现数据的安全编码,使管理员看不到明文,只有经过身份验证的用户获得权限才能查看相应的明文。
◆ 用户上传文件前,需要对文件进行标密,标密的文件有“内部、秘密和机密”,高密级的文件不能存放在低密级的文件目录中。
◆ 用户上传文件,必须指定具有访问该文件同密级的用户,达到文件和用户的细粒度的控制。
◆ 提供客户控制软件,在有些应用中,防止用户将敏感数据保存到终端,在有盘终端下,实现无盘工作站的功能。