中国国家信息安全测评认证中心的调查结果表明，信息安全问题主要来自泄密和内部人员犯罪，而非病毒和外来黑客引起。因此，如何保护企业的信息资产，如何防范内部人员犯罪，发生信息泄漏事件之后如何进行取证已经成为今后信息安全建设的一个重要部分。针对这些新的安全问题，中国软件与技术服务股份有限公司（简称中软）在国内率先提出“防水墙”的概念，并成功推出国内第一个全面系统的内网安全解决方案。

    中软内网安全解决方案
    中软内网安全解决方案依托中软防水墙系统实现。中软防水墙系统综合利用密码、身份认证、访问控制和审计跟踪等技术手段，对涉密信息、重要业务数据和技术专利等敏感信息的存储、传播和处理过程，实施全方位的安全保护。
    功能体系
    网络方式信息泄漏防护
    网络层监控：IP地址、TCP端口、UDP端口、IP&PORT访问控制。
    应用层监控：FTP、HTTP、SMTP、TELNET、NETBIOS、WEBMAIL/BBS监控。
    非法外联监控：Modem拨号、GPRS无线拨号、CDMA无线拨号监控。
    非法内联监控：防止非法主机接入内网，对非法接入内网的计算机进行报警和阻断。
    监控策略包括：自由访问，完全禁止，条件防护，只禁止黑名单和只禁止白名单。
    存储介质信息泄漏防护
    普通移动存储介质防护: 支持禁止使用、自由使用、自由使用记录日志、自由使用备份文件、文件加密等控制策略。
    可信移动存储介质防护：根据国家对涉密介质管理的要求，提供对移动存储介质从购买、使用到销毁全过程的管理和控制。它基于虚拟磁盘技术，从密级识别、认证授权、访问控制、锁定自毁、违规监控、扇区加密、安全审计等方面对移动存    储介质进行失泄密防护管理。支持涉密介质接入或安装在非涉密计算机上将不能使用，非涉密介质接入或安装在涉密计算机上也不能使用；数据始终以密文形式存储在涉密介质上，涉密介质丢失不会造成泄密事故。
    打印机信息泄漏防护
    支持禁止使用、自由使用、允许使用并记录日志、允许使用并记录文件内容。
    外设接口信息泄漏防护
    包括USB接口、SCSI接口、串行总线、并行总线、无线网卡接口、蓝牙接口、红外接口、PCMCIA接口、软盘控制器、    DVD/CD-ROM驱动器，支持启用和禁止两种控制策略。
    文件安全服务
    我的加密文件夹：默认为每一个注册用户建立一个“我的加密文件夹”，加密存放个人重要数据。
    文件加密共享：强大的文件加密共享机制，支持个人加密、小组用户加密、公共用户加密和跨域个人加密。
    信息资产管理
    自动搜集软硬件资产清单；软硬件资产变更报警；软硬件资产分类统计报告。
    运行状况监控
    系统资源占用情况监控:包括CPU、MEM、硬盘占用情况、网路流量等，超出门限值告警。
    当前活动情况监控:包括当前应用程序、进程、网络连接、共享文件夹、服务等。
    安全审计
    安全事件日志：记录与安全策略相关的日志，包括网络失泄密日志、可信移动介质使用日志、媒体介质日志、打印机日志、文件安全服务日志日志等。
    黑匣子：中软公司参照航空业事故调查中的“黑匣子”概念，在本地文件中记录主机的详细操作日志，用于安全事故的分析与调查，以追究泄密责任。

    系统部署
    中软防水墙系统由三部分组成：防水墙客户端、防水墙服务器和防水墙控制台。

    图1 中软防水墙系统部署图

    防水墙客户端
    防水墙客户端是部署在受监控主机上的代理软件，负责执行管理员下发的安全策略和管理命令并收集适当的数据传输给服务器。
    防水墙服务器
    负责将管理员制定的管理策略存入数据库并下发给客户端；接受客户端收集的各种数据存入数据库并将适当的数据传递给控制台显示。
    防水墙控制台
    是系统与管理员的人机接口，实现策略管理、系统管理、参数配置、事件管理和系统审计等功能。

    成功案例
    目前，中软防水墙系统已经成功应用在航天科工集团某研究院、船舶工业综合技术经济研究院、国家工商行政管理总局、中国石油天然气股份有限公司、三星电子中国通信研究院、三一重工股份有限公司等200多家单位，试用用户1000多家，赢得了用户的一致好评。