一、概述
    防火墙、IDS、内外网隔离以及其它针对外部网络的访问控制系统，可有效防范来自网络外部的进攻，但对于企业内部的信息保密问题，却一直没有好的防范方法：内部人员可以轻松地将计算机中的机密信息通过网络、存储介质和打印等方式泄露出去，一旦这些敏感信息、重要数据、设计图纸等流失到敌对势力、竞争对手手中，将给国家、企、事业单位造成重大损失。政府机关、承担国家敏感课题的科研部门，包括涉及更多的国家机密，对于涉密信息采取严密的防护措施显得非常必要。目前，尽管国家制定了很多相关规章制度，并明确规定这些企事业单位的涉密计算机必须采取相应的安全防护措施，但是为了保障内部信息的安全，仅靠传统的行政管理措施已不能满足要求，必须依靠一些技术手段。本文重点介绍，如何应用中软防水墙系统构造“防止信息泄露，保障信息安全”的整体解决方案。

    二、系统需求
    信息保密是保障国民经济发展的重要保证。为保障我国电子政务、武器装备、科研生产单位的信息安全，国家制定了相关规章制度，从不同方面保障通信、计算机信息系统及办公自动化设备的安全，其中主要部分明确规定：
    1、  禁止使用涉密计算机上国际互联网或者其它非涉密信息系统，禁止在非涉密计算机上处理涉密信息；
    2、  禁止将涉密存储介质接入或安装在非涉密计算机上；
    3、  涉密信息应具备相应的密级标识；
    4、  涉密计算机应具备符合要求的身份鉴别机制、安全访问控制机制和安全审计机制；
    5、涉密计算机应具备违规外联监控机制。
    为满足国家规定的各种保密要求，各单位仅靠传统的保密措施，显得捉襟见肘，迫切需要选用一个功能强大、运行稳定的安全软件系统。技术手段在现代化的保密工作中扮演着越来越重要的角色。

    三、中软防水墙系统介绍

    “中软防水墙WaterBox”是防止内部信息外泄的安全系统。它从内部安全体系架构和网络管理层面上，实现了内部安全的完美统一，有效降低“堡垒从内部攻破”的可能性。防水墙系统是综合利用密码、身份认证、访问控制和审计跟踪等技术手段，对涉密信息、重要业务数据和技术专利等敏感信息的存储、传播和处理过程实施安全保护，最大限度地防止敏感信息的泄漏、被破坏和违规外传，并完整记录涉及敏感信息的操作日志以便事后审计和追究泄密责任。　
     1、体系结构
    完整的防水墙系统由三部分组成，防水墙服务器（WaterBox Server）、防水墙控制台（WaterBox Console）和防水墙客户端（WaterBox Watcher），如图1所示。

     图1 WaterBox体系结构示意图
    （1）防水墙服务器。包括服务器端软件和支持数据库，是防水墙系统的核心部分。通过安全认证机制，建立与多个客户端（受控制的个人计算机）系统的连接，实现对多个客户端系统的配置、策略制定、资产管理、操作审计等功能。
    （2）防水墙控制台。它是系统管理员、操作员、审计员等和防水墙系统交互的图形界面，实现系统管理、参数配置、策略管理和系统审计等功能。控制台采用分权分级的授权模式，严格限制对敏感信息的访问权限，以提高系统的安全性，保证信息安全。
    （3）防水墙客户端。它是安装于受监控主机上的监测软件，是站在客户机旁边的“安全哨兵”。它强制执行来自服务器的安全策略，根据安全策略监测客户端用户的行为。客户端软件采用了严密措施，防止本地用户自行卸载、关闭监控程序。
    其中，防水墙控制台和客户端软件，可从服务器端获得最新版本，实现远程自动升级。

    2、防水墙系统设计理念

    防水墙系统的设计理念是保护用户敏感信息不被非法外传、防止泄密事件发生，从而保证内部安全。它主要从以下五个方面来保障内网安全：
    （1）失泄密防护：信息外传途径主要有网络传输、移动存储带出和打印到纸介质文稿三种情况。防水墙系统针对这三种泄密途径都做了全面的防护，可以根据实际情况选择启用或禁用，还可选记录日志以备事后追踪。另外，防水墙系统还能够根据策略“启用”和“禁用”主机上可能造成泄密的外设接口，作为实施失泄密防护在硬件层次上的辅助手段。