ChinaSec 与中软产品比较

1. 系统组 成

3.1.ChinaSec 可信网 络安 全平 台产 品组 成

ChinaSec 可信网络安全平台由可信网络认证系统、可信网络保密系统、可信网络监控系
统三个系统组成。结构图如下：

1.ChinaSec MC 2.ChinaSec Server

6. 内网服务 器

3. 认证 / 安全 网
关
10. 对外 服务器

4. 转发网关
5. 交换机

7. 安装客户 端的 VCN 1 8. 安装客户 端的 VCN 2 9. 外来接入 计算机

可信网 络认证系 统

ChinaSec 可信网络认证系统建立在基于 PKI 技术的“双因素认证”基础上。该方法的前

提是一个用户记住的因素，如口令，但口令本身只能对真实性进行低级的认证，任何窃取
口令的人都可以冒用合法性；因此需要增加第二个物理认证因素，以使认证的确定性按指
数级递增。

ChinaSec 可信网络认证系统用来在选定的网络资源周围建立一个保护环境。选择保护哪
些网络资源取决于系统管理员；这一决策是在可信认证服务器安装时作出的，可以随时进
行修改（支持保护计算机和服务器资源）。

认证服务器直接接入用户网络，通过远程专用客户端进行管理。认证服务器可以组合使
用多个认证网关，以保护网络，其中认证网关都负责不同的服务器区域。

ChinaSec 可信网络认证系统提供个人虚拟保密磁盘功能，每个认证用户拥有自己的保
密空间，磁盘上文件读写采用透明加解密方式，不改变用户使用习惯，同时增强安全性。

可信网 络保密系 统
ChinaSec 可信网络保密系统是北京明朝万达科技公司推出的局域网安全管理解决方案。
管理员可以通过该系统将局域网中的计算机按照安全等级，信任关系等标准划分成多个虚
拟保密网络(VCN)。同一个 VCN 内的主机成为一个信息共享的整体，网络通信不受任何影
响。管理员根据实际情况决定 VCN 之间的信任关系，控制不同 VCN 之间的主机是否能够实
现网络互访。所有 VCN 内的主机网络数据行加密处理，当主机脱离了原有的网络环境后，
将不能使用任何网络连接。同时，VCN 还支持管理员对某个 VCN 使用的存储设备进行认证
和注册，设定磁盘读写权限，加密磁盘文件；当有磁盘接入 VCN 时需要得到管理员的认证
方可使用，确保在没有管理员的许可下，任何重要信息不会泄漏出去。
VCN 通过安全网关建立一个安全的服务器区，可以对企业的所有重要信息服务资源，
如 OA、Mail 和文件服务器等进行有效保护，防止非法接入计算机的攻击。
另外，VCN 的功能通过软件实现，是在开放信息网络中划分出的虚拟网络，无须改变
原有的网络拓扑结构。管理员可以随时根据情况更改 VCN 的分布及相关策略，实现对局域
网的方便有效的管理。

可信网 络监控系 统

ChinaSec 可信网络监控系统使用 Windows 核心驱动技术之上，采用 C/S 模式，在每台

计算机安装一个安全的隐形监控代理，对信息网络上计算机提供了集中的管理监控手段。可
信网络监控系统通过内核编程，获取 Windows 操作系统的各种详细信息，提供详细的计算
机环境信息，提供集中监控的措施。通过内核编程，接管 Windows 的应用程序控制、外设驱
动控制和网络控制，结合策略信息，实现了对计算机应用程序、外设和网络的集中策略控制，
可以对每台计算机根据其在线/离线状态设置不同的策略，从而达到有效控制计算机的目的。

ChinaSec 可信网络监控系统还对用户的违规行为、文件操作信息和其它一些行为信息进
行详细的记录，从而对用户和计算机终端的可疑行为做出快速的判断和反应。

3.2.中软防 水墙 系统 组成

WaterBox™主要功能是防止个人桌面系统的信息泄漏、软硬件资源实施安全管理及其工
作状况进行监控和审计，突出表现在以下五个方面：

1、 失泄密防护：失泄密防护是中软防水墙系统重要功能之一。个人计算机系统信息外
传的途径就是可能的泄密途径，主要有网络传输、移动存储带出和打印到纸介质文稿三种情
况。中软防水墙系统针对这三种泄密途径做了全面的防护，可以根据实际情况选择启用或禁
用，同时还可记录日志以备事后追踪。此外，WaterBox™还针对可能造成泄密的外设接口，
提供了启用和禁用主机上外设接口的功能，作为实施失泄密防护的在硬件层次上的辅助手
段。

2、 文件安全服务：文件安全服务提供了对敏感文件的安全防护，采用了不对称 RSA
算法，用户、小组和全域具有各自独立的密钥对，用户可以根据实际需要对不同范围用户群
采用不同的加密方式。

3、 运行状况监控：记录了受监控主机的运行状况历史日志，以便审计和监控。

4、 系统资源管理：提供了在线受监控主机的资源信息和运行状况的快照。系统操作员
和安全审计员能登录控制台查看所管理部门节点下所有在线主机的系统资源信息，并且能
随时刷新以获取当前的系统信息快照。

5、 扩展身份认证：可接管 Windows 身份认证。如果接管 Windows 身份认证，只需输

入合法的防水墙用户名和口令即可登录 Windows 系统。

完整的 WaterBox™系统（图 1）由三部分组成，防水墙服务器（WaterBox Server）、防

水墙控制台（WaterBox Console）和防水墙客户端（WaterBox Watcher）。

图 1 ：WaterBox™体系示意图

2. 产品定 位

ChinaSec 可信网络安全平台以密码学技术为基础，以数据安全为核心，从用户身
 份认证、计算机安全性、网络通信安全性、数据自身安全性、外设安全管理等方面全面解
决内部网络安全问题。

中软防水墙系统 WaterBox™是综合利用密码、访问控制和审计跟踪等技术手段，
对涉密信息、重要业务数据和技术专利等敏感信息的存储、传播和处理过程实施安全保
护的软件系统。WaterBox™能最大限度地防止敏感信息的泄漏、被破坏和违规外传，并
完整记录涉及敏感信息的操作日志以便事后审计和追究泄密责任。

3. 产品功 能比较

Chinasce 和中软防水墙主要从用户身份认证、网络管理、移动存储设备管理、本地磁盘数
据保密、外设管理、内网服务器管理六个方面进行比较。

3.3.用户身 份认 证

确保信息系统中用户身份的真实性，是一个安全系统的基本要素，也是进行授权、管理
和监控的基础。
Chinasec 系统采用高强度身份认证技术，确保用户身份的安全性和可靠性，并在此基
础上实现了灵活的用户管理体制。Chinasec 可信网络安全平台采用内置密码芯片的 USB Key
作为用户身份标识的载体，所有关于用户身份确认的关键运算步骤都在 USB Key 的密码芯
片上完成，不会暴露在计算机的内存中，避免了在计算机中可能遭遇木马攻击等危险，从
而提高安全性。 USB Key 还采用了双因素身份认证的思想，设置了用户访问的个人识别码
（PIN），并设置了可以防止重放攻击的自动死锁功能，进一步提高了用户的安全性。

中软防水墙采用用户名和密码的方式对用户进行身份认证，采用这种方式的用户身份
认证实际和 windows 自带的用户名密码方式认证没有本质区别，用户名和密码很容易遭到
窃取，安全性相对差一些。
与 双 因素 认 证 方式 相 比 ，中 软 防 水墙 系 统 的用 户 名 密码 认 证 方式 安 全 隐患 大 ，
用户名 和密码容 易遭到窃 取，用户 身份容易 被冒充， 存在安全 隐患。

3.4.网络管理方面

根据国家保密局规定，涉密单位内外网要相互隔离， Chinasec 系统将内网划分为一个

或者多个保密子网（VCN），同一个保密子网内部的计算机可以实现相互自由的数据交换
（通过网络或者存储设备），不在同一个保密子网内部的计算机相互之间不能进行正常的
数据交换，除非获得管理员的授权。
通过保密子网的划分，可以在保障网络统一维护的前提下，对单位内部不同职能部门
实现有效的数据隔离，例如保密部门和其他部门独立开来，增加内网安全级别，降低安全
风险。
通过保密子网，还可以有效防止非法外连或者非法接入。非法外连不管是基于
Modem、ADSL 拨号或者双网卡，都能够有效防止；非法接入不管是通过交换机接入或者通
过网线将两台计算机直连，也都能够有效防止。不同保密子网（ VCN）之间可以设定信任
关系，从而允许他们的计算机之间进行数据交换。
对于上外网的计算机 Chinasec 系统通过策略进行控制，可以设置为自由访问、条件访
问、禁止访问，可以对访问 IP 地址、访问端口、访问 IP 地址和端口、访问网址、邮件接收、邮
件发送等网络行为进行监控和审计。

中软防水墙通过自由访问、完全禁止、条件防护三种级别进行控制，在网络层实现对“
任意 IP 地址”、“IP 地址＋端口号”、“TCP/UDP 端口”的访问控制。在应用层结合常见应
用（FTP/HTTP/SMTP/TELNET/WEBMAIL/BBS/NETBIOS）的端口实现了对诸类应用的访
问控制。应用层控制还包括对拨号上网行为的监控。
对于非法接入到网络的计算机，中软系统使用网络巡逻员定时检测网络中计算机 MAC
地址合法性，如果非法就进行阻断和报警，一旦计算机的 MAC 地址被修改，这种检查非
法接入的方式就失去了作用，对于两台计算机使用直联线互连的非法接入方式根本就不能
控制。
中 软 防水 墙 在 网络 非 法 接入 控 制 方面 存 在 漏洞 ， 会 导致 两 台 计算 机 通 过直 联 线
连接相 互访问， 存在严重 的失泄密 隐患。

3.5.移动存储设备管理方面

移动存储设备也是个人计算机失泄密的重要途径之一，需要严格管理，但是不能影响
使用性。
Chinasec 系统移动存储设备管理用于对软盘、U 盘和移动硬盘等便携式存储设备进行有
效的管理，当移动存储设备被注册为加密读写策略（或者设定默认未注册设备为加密读写
策略），所有写入该移动存储设备的文件数据将被强制加密。
Chinasec 系统移动存储设备管理加密的数据文件在默认情况下，只能在加密该数据的
计算机所在的虚拟保密子网（ VCN）内使用，即如果使用移动存储设备将这些数据携带到
不在指定的 VCN，将是毫无意义的加密数据，无法正确解密。该技术有效限定了数据的共
享范围，这样，对于用户来说，既可以享受移动存储设备共享数据的方便性，又可以实现
有效地数据共享范围管理。如果数据要在两台不属于同一个 VCN 的计算机上进行共享，那
么需要这两个 VCN 建立信任关系，并且管理员给该数据所在磁盘授权有允许信任域共享的
权限。
Chinasec 系统移动存储设备管理的加密技术是完全透明的，对于用户来说，只要在允
许的范围内使用数据，跟使用普通的 U 盘或者移动硬盘完全一样，对于用户来说没有任何
习惯上的改变。但是如果用户试图将数据在非指定的 VCN 内计算机上使用，则将发现数据
是无效的。
Chinasec 系统移动存储设备管理的加密功能特性如下：
  基于域密钥进行管理，加密数据只能在指定的范围内（计算机群）使用；
 数据加密和解密是透明的，对于用户来说不会改变其操作系统；
 加密策略基于管理员集中管理，属于强制加密，适用于单位强制的数据安全保密
管理；
 可以通过信任域设置和存储设备信任域注册实现不同 VCN 之间的计算机数据共享。
 未注册移动存储设备的提供默认策略，如：加密读写等，减少管理员的工作量。

中 软 防 水 墙 对 可 移 动 存 储 器 或 软 盘 存 储 器 的 控 制 策 略 ：
（1）禁止使用，不记录日志。
（2）自由使用，不记录日志。
（3）允许使用，对复制到可移动存储器或软盘存储器的文件做加密处理。服务器在用
户的专用目录中备份存放文件的密文，服务器数据库记录带出日志，包括该加
密文件在服务器中存放的路径和文件名。加密方式针对不同范围有如下两种：第
一、个人用户数据加解密，只有本用户能解密查看；第二、安全域内数据共享加
解密，安全域内合法用户都能解密查看。
（4）允许使用，带出文件不进行加密。根据备份内容不同可分为以下两种：其一、服务
器备份带出文件，记录备份文件在服务器上的路径；其二、服务器不备份文件，
只记录带出的文件名和带出时间。

中软防 水墙对每 个移动存 储设备都 需要注册 管理，对 管理员来 说工作量 比较大。

3.6.本地磁盘数据保密方面

硬盘丢失造成的失泄密屡见不鲜，本地磁盘数据必须加密存储，杜绝这种情况的发生。
Chinasec 系统使用本地磁盘加密方法，对所有本地磁盘保存的文件，都将被 VCN 系统
自动强制加密保存在磁盘中，这样，即使磁盘被盗用或者丢失，都不会造成单位重要信息
的泄密。由于采用了透明的加密技术，对用户和应用程序来说都不会有任何影响，也不会因
为安全性的提高而影响用户的使用习惯。
需要注意的是，为了不影响效率，本地磁盘加密功能不会对系统盘进行加密，为了防
止因系统盘造成的数据泄密，VCN 提供了终端使用模式。在终端使用模式下，客户端计算
机的系统盘受到保护，禁止写入任何数据，包括安装任何新的应用程序。所有写入系统盘的
数据，都被缓存在其他区域，一旦系统注销或者关闭，所有缓存数据将被清除。
本地磁盘加密的功能如下：
 采用高速透明加密技术，对本地数据分区进行加密保护；
 本地磁盘的数据加密后，用户只能在 Chinasec 系统启动的情况下才能正常使用，
防止了因为硬盘丢失、多操作系统和光盘启动等造成的数据泄密事件的发生。

中 软 防水 墙 缺 少本 地 磁 盘数 据 管 理功 能 ， 从数 据 安 全角 度 来 说， 存 在 严重 的 失
泄密隐 患。
3.7.外设管理方面

Chinasec 系统外设监控策略是针对每台计算机进行外设端口使用的授权，比如允许或
者禁止 USB 存储设备的使用等。这些端口和设备类型包括 USB 存储设备、USB 普通设备、红
外、串口、并口（打印端口）、键盘鼠标、光驱、软驱和 1394 端口等，只要 Windows 系统可以
识别的设备，Chinasec 系统就可以管理起来，用户还可以根据关键字和设备类型进行自定
义，管理所有计算机上的设备。使用关键字是一种非常灵活的方式，比如只允许某个打印机
使用，而其他任何打印机不能使用等。与用户的身份结合起来，策略可以设置到具体用户，
如：一个用户在一台计算机上禁止光驱，但是另外一个用户在这台计算机上可以使用光驱 ，
策略十分灵活。

中软防水墙客户端根据接收到的策略，启用或者禁用与信息泄漏有关的外设接口：
USB 接口、SCSI 接口、串行总线、并行总线、红外接口、PCMCIA 接口、软盘控制器、DVD/CD-
ROM 驱动器、无线网卡接口、1394 端口，除此之外的外设端口中软系统无法控制。
中 软 防水 墙 在 外设 管 理 控制 方 面 存在 漏 洞 ，会 导 致 计算 机 通 过其 他 外 设失 泄 密 ，
存在严 重的失泄 密隐患。

3.8.内网服务器管理方面

内网服务器集中存储中大量的数据，非法用户禁止访问。
Chinasec 系统通过使用安全网关硬件设备对内网中的服务器进行保护，结合用户的身
份认证，Chinasec 系统可以授权到具体用户访问具体的服务器，非法用户禁止访问服务器
资源。

中 软 防水 墙 在 缺少 内 网 服务 器 保 护功 能 ， 从数 据 安 全角 度 来 说， 存 在 严重 的 失
泄密隐 患。

产品 功能详 细对比 表
产品功 能 ChinaSec 防水墙 备注
1.计算机登录 在线认证
计算机在线认证 支持 支持
2.计算机离线 认证
用户是否有离线使用权限。 支持 支持
3.计算机本地 认证
计算机本地认证 支持 不支持
4.允许使用可 信认证管 理
使用可信认证系统。 支持 不支持
5.设 置 用 户 是 否 允 许 登 录 计
算机
用户登录计算机权限 支持 不支持
6.令牌不存在 时锁定系 统

令牌不存在时锁定系统 支持 不支持
7.安全模式权 限
安全模式权限 支持 不支持
8.安全磁 盘功能
安全磁盘 支持 部分支持 防水墙为安全文件柜，
写入到其中的文件加密
拷贝出不解密，需要手
动解密。安全磁盘的文件
读写对用户透明，如果
没有用户令牌将不能读
写其中文件，保密性强。
文件安全服务 支持 支持 通过注册认证的合法用
户，可以在任意一个文
件上单击右键选择“加
密到..”调出文件安全服
务功能界面。针对不同安
全需求，可选择以下各
加密方式确定有权解密
查看文件的用户范围：
个人加密、小组用户加密、
公共用户加密、跨域个人
加密。
9. 安全网关
内网服务器授权访问 支持 不支持
10.支 持 通 用 CA 中 心 颁 发 的
X.509 证书
标准 CA 证书 支持 不支持
11.网络数 据传输保 护
网络传输加密 支持 不支持
阻断非法主机接入 支持 支持
12.逻辑上 划分保密 网 支持
在网络中按照安全等级划 支持 不支持
分保密子网
13.限制客 户端访问 internet
开关式控制 internet 访问 支持 不支持
14.建立开 放服务器 区域
开放服务器区自由访问 支持 不支持
15.移动存 储设备授 权访问
未授权设备禁止使用 支持 支持
授权设备只读 支持 不支持
授权设备正常读写 支持 支持
授权设备加密读写 支持 部分支持
授权设备设置在保密子网 支持 不支持
中读写权限
加密文件服务器上备份 不支持 支持
16.本地磁 盘数据加 密
本地磁盘加密读写 支持 不支持
 操作系统盘防泄密功能 支持 不支持
17.用户实 时状态监 控
系统信息 支持 支持
系统窗口 支持 支持
用户信息 支持 支持
用户组信息 支持 支持
服务信息 支持 支持
驱动信息 支持 支持
系统进程 支持 支持
网络连接 支持 支持
网邻-共享目录 支持 不支持
网邻－访问用户 支持 不支持
网邻－访问文件 支持 不支持
网邻－映射驱动器 支持 不支持
安装程序 支持 支持
硬件信息 支持 支持
实时屏幕 支持 支持
对打印文件监控 支持 支持
18.用户行 为管理
系统进程管理 支持 不支持
后台服务管理 支持 不支持
桌面窗口管理 支持 不支持
20.计算机 终端网络 管理
网络端口控制 支持 支持
网络地址控制 支持 支持
地址端口控制 支持 支持
区分 TCP/UDP 协议 支持 支持
黑白名单控制 支持 支持
访问网址控制 支持 支持
邮件发送审计 支持 支持
邮件接收控制 支持 不支持
FTP 监控 支持 支持
21.外设开 关式管理
调制解调器 支持 支持
串行端口 支持 支持
打印端口 支持 支持
光盘驱动器 支持 支持
软盘驱动器 支持 支持
红外端口 支持 支持
PCMCIA 支持 支持
1394 端口 支持 支持
USB 设备 支持 支持
单独 USB 鼠标键盘 支持 不支持
单独 USB 存储设备 支持 不支持
单独其他 USB 端口设备 支持 不支持
其他外设管理 支持 不支持
22.安全审 计
文件操作记录 支持 支持
 违规记录 支持 支持
系统运行黑匣子 不支持 支持 客户端日志记录在本地
可以查看，内容包括：
信息带出日志、打印日志、
存储介质、网络通信、运
行状态日志、文件打开、
文件重命名、文件加解密、
文件删除、进程日志、服
务信息、组信息、用户信
息。
综上所 述，中软 防水墙系 统在
1． 用户身 份认证方 面：用户 名密码方 式的脆弱 性；
2． 网络管 理方面： 非法接入 无法控制 ；
3． 本地磁 盘数据保 密：硬盘 丢失泄密 ；
4． 外设管 理方面： 一些特殊 端口无法 管理造成 泄密；
5． 内网服 务器管理 方面：服 务器数据 泄密。
存在安 全隐患， 不适于建 立完整的 安全系统 。