企業(yè)內(nèi)網(wǎng)安全解決方案

1、內(nèi)網(wǎng)管理安全解決方案青島海洋電子工程技術(shù)有限公司2010年11月08日目錄客戶需求描述3客戶需求分析42.1企業(yè)重要數(shù)據(jù)的安全42.2移動存儲介質(zhì)的安全42.3網(wǎng)絡(luò)行為的監(jiān)控管理42.3終端全面安全管理體系4方案規(guī)劃與設(shè)計53.1終端安全管理整體設(shè)計53.2文件安全管理53.2.1文檔自動加解密53.2.2文檔主動加密與訪問權(quán)限控制53.3信息失泄密防護63.3.1網(wǎng)絡(luò)通訊失泄密防護63.3.2存儲介質(zhì)失泄密防護63.3.3打印機失泄密防護63.3.4接口外設(shè)失泄密防護73.3.5非法外聯(lián)管理73.3終端安全管理73.3.1終端入網(wǎng)認證73.3.2安全策略管理83.3.3用戶身份認證83.3.

2、4網(wǎng)絡(luò)進程管理83.3.5防病毒軟件監(jiān)測83.3.6文件安全刪除93.4終端安全管理93.4.1軟硬件資產(chǎn)管理93.4.2軟件分發(fā)103.4.3補丁分發(fā)103.4.5用戶遠程幫助103.4.6終端網(wǎng)絡(luò)流量檢測103.4.7運行狀況監(jiān)測103.5離線審計與筆記本電腦的管理103.4在線審計分析11方案策略設(shè)定與成效12客戶需求描述隨著企業(yè)辦公自動化和網(wǎng)絡(luò)化的發(fā)展，企業(yè)中的各種信息都通過互聯(lián)網(wǎng)進行傳遞，其 重要信息毫無限制的被擴散。為了保證通過網(wǎng)絡(luò)傳播的企業(yè)信息能夠在規(guī)定的限度內(nèi)進 出，就必須在如下網(wǎng)絡(luò)安全需求方面做到完善的管理和控制。能夠?qū)M出企業(yè)辦公網(wǎng)絡(luò)的數(shù)據(jù)內(nèi)容記錄、監(jiān)控、攔截（根據(jù)關(guān)鍵字）

3、、審核 等各種應(yīng)用程序（如mail、ftp、web等）中所包括的內(nèi)容（如郵件內(nèi)容、 郵件附件；web頁面內(nèi)容，及通過web頁面提交的內(nèi)容等）的記錄、監(jiān)控、攔截（根據(jù)關(guān)鍵字）、審核；各種及時通訊程序（如QQ、MSN、SKYPE等）中所產(chǎn)生的文字信息、語 音信息、上傳文件與下載文件的的記錄、監(jiān)控、根據(jù)關(guān)鍵字（攔截或阻斷其通訊， 并將之加入黑名單）；各種下載工具（迅雷、電驢、Flashget等）中所發(fā)生數(shù)據(jù)流量的記錄、監(jiān) 控；通過上傳方式（如FTP）所產(chǎn)生數(shù)據(jù)內(nèi)容的記錄、監(jiān)控、攔截（根據(jù)關(guān)鍵 字）；對使用筆記本無線上網(wǎng)的員工，通過安裝隱藏軟件，對上述方式進行本機 備份（隱藏），在接入公司局域網(wǎng)后，能

4、夠自動上傳備份內(nèi)容并刪除；對客戶端電腦USB 口、軟驅(qū)、光驅(qū)（刻錄機）進行記錄、監(jiān)控、攔截（根 據(jù)關(guān)鍵字），筆記本在接入公司局域網(wǎng)后，將記錄內(nèi)容自動上傳至服務(wù)器后本機自 動刪除；對公司機密文件進行加密或授權(quán)，使其離開公司使用無法打開或輸入密碼 才能打開（公司內(nèi)使用無需輸入密碼或根據(jù)相關(guān)選項設(shè)定打開方式）能夠?qū)M出企業(yè)辦公網(wǎng)絡(luò)的數(shù)據(jù)內(nèi)容通過設(shè)定關(guān)鍵字的方式自動過濾或等待 人為指令通過設(shè)定指定的關(guān)鍵字對各種應(yīng)用程序所產(chǎn)生的數(shù)據(jù)內(nèi)容進行記錄、阻止、 過濾或待人為操作指令客戶需求分析基于貴公司的安全管理需求，對公司項目進行分析，將具體的安全防護重點列為如下 幾點：2.1企業(yè)重要數(shù)據(jù)的安全企業(yè)安全管理防

5、護，最核心的是保護重要信息不被泄露。由于企業(yè)網(wǎng)絡(luò)化的發(fā)展，信 息通過互聯(lián)網(wǎng)任意擴散，重要信息無法被限制，采用網(wǎng)關(guān)關(guān)鍵字過濾的方法能夠?qū)ν獍l(fā)文 件是否許可做簡單判斷，但由于文件本身沒有做防護，惡意泄密人員、誤操作人員、惡意 木馬病毒等依然能夠通過諸如轉(zhuǎn)換文件格式，修改文件名，dos或第二操作系統(tǒng)啟動，拆 卸硬盤等多種方法繞過判斷機制。對核心數(shù)據(jù)實行強加密存儲，結(jié)合完備的工作審批流程， 在不影響用戶工作習慣的方式下，真正做到數(shù)據(jù)的根本安全。2.2移動存儲介質(zhì)的安全由于計算機技術(shù)的不斷更新，存儲介質(zhì)已經(jīng)是最簡單的數(shù)據(jù)傳遞工具，例如：u盤、 MP3等，存儲介質(zhì)的存儲空間也愈來愈大，移動介質(zhì)的隨意使用對

6、數(shù)據(jù)安全造成很大威 脅。2.3網(wǎng)絡(luò)行為的監(jiān)控管理終端用戶網(wǎng)絡(luò)行為是企業(yè)安全威脅的重要因素。無限制的瀏覽網(wǎng)站，下載文件極易使 企業(yè)感染病毒，并且影響網(wǎng)絡(luò)流量的合理使用，對mail、FTP、即時聊天工具等的使用都 需要合理限制，監(jiān)控管理，并有完備的日志記錄，方便管理員定期審計。2.3終端全面安全管理體系企業(yè)信息安全建設(shè)應(yīng)是一個全面多層次的體系建設(shè)，由于眾所周知的“木桶原理”，有一個短板都會使失泄密事件成為可能。我們希望結(jié)合貴公司的實際情況，為企業(yè)建立從 終端入網(wǎng)認證，終端安全管理，運維管理等的多層次安全防護，根本解決公司的安全需要。方案規(guī)劃與設(shè)計3.1終端安全管理整體設(shè)計根據(jù)企業(yè)需求，設(shè)計了如圖1

7、所示的終端安全管理方案架構(gòu)，具體功能需求包括 終端安全管理、終端運維管理、用戶行為管理、數(shù)據(jù)安全管理和管理審計等。圖1終端安全管理構(gòu)架圖3.2文件安全管理3.2.1文檔自動加解密安全文檔系統(tǒng)是在Windows操作系統(tǒng)（包括WinNT,2K,XP,2K3所有的操作系統(tǒng)）的文件 系統(tǒng)層面上工作的一個核心態(tài)軟件，向整個系統(tǒng)提供實時的、透明的、動態(tài)的數(shù)據(jù)加解密 服務(wù)。該系統(tǒng)運行于操作系統(tǒng)的核心態(tài)，接管整個文件系統(tǒng)。文件數(shù)據(jù)在儲存設(shè)備（例如磁盤） 上以密文形式存儲，當需要讀寫該加密文件的數(shù)據(jù)內(nèi)容時，通過基于文件指紋智能識別技 術(shù)和基于文件名識別技術(shù)的有機結(jié)合，實時進行加解密，使得系統(tǒng)在授權(quán)情況下可以透明

8、地, 以明文形式讀寫該加密文件的數(shù)據(jù)。所以，通過安全文件系統(tǒng)，文件的數(shù)據(jù)得到安全地加密保護。而授權(quán)的用戶又可以直 接透明地以明文方式使用文件的數(shù)據(jù)，實現(xiàn)了安全、便捷的數(shù)據(jù)解決方案。實現(xiàn)安全防護效果：存放于硬盤中的關(guān)鍵數(shù)據(jù)始終是加密狀態(tài)，確保數(shù)據(jù)無論何時、 何地都處于安全狀態(tài)，當然也包括硬盤丟失、光盤啟動的dos模式以及安裝第二操作系統(tǒng) 等對數(shù)據(jù)的竊取方式。如果需要帶出安全文檔，系統(tǒng)提供文檔審批流程，經(jīng)過審批員授權(quán)的文件可以合法流 傳到網(wǎng)外。3.2.2文檔主動加密與訪問權(quán)限控制該系統(tǒng)為每一個通過認證的合法用戶提供對任意類型文件進行主動加解密的權(quán)限，加 密時可以對文件的使用權(quán)限和范圍進行重定向，可

9、以使個人、小組、全域或指定人員有對加密文件的使用權(quán)限。3.3信息失泄密防護3.3.1網(wǎng)絡(luò)通訊失泄密防護網(wǎng)絡(luò)通訊方式信息泄漏防護是失泄密防護的重點之一，此系統(tǒng)可以從網(wǎng)絡(luò)層和應(yīng)用層 分別對客戶端用戶的網(wǎng)絡(luò)行為進行監(jiān)控與審計。在網(wǎng)絡(luò)層實現(xiàn)對“任意IP地址”、“IP地址+端口號”、“TCP/UDP端口” 的訪問控制。在應(yīng)用層結(jié)合常見的FTP （文件傳輸）/HTTP （上網(wǎng)）/SMTP、WEBMAIL （郵件收發(fā)）/TELNET （遠程訪問）/BBS （公告板）/NETBIOS （網(wǎng)絡(luò)共享）等協(xié)議 的內(nèi)容實現(xiàn)訪問控制。網(wǎng)絡(luò)層控制和應(yīng)用層控制在不同層次發(fā)揮作用，提高了網(wǎng)絡(luò)通訊方式信息泄漏防 護的可靠性。3

10、.3.2存儲介質(zhì)失泄密防護該系統(tǒng)對移動存儲設(shè)備（如U盤、移動硬盤、Mp3、Mp4、手機等）實行兩套安全策 略：對未經(jīng)過授權(quán)認證的移動存儲器和軟盤存儲器的控制采用以上策略體系 控制。另外此系統(tǒng)的“可信移動存儲介質(zhì)管理功能模塊”基于虛擬磁盤技術(shù)，從 注冊授權(quán)、身份驗證、密級識別、訪問控制報警、鎖定自毀、扇區(qū)級加解密、日 至審計等方面對可對移動存儲介質(zhì)進行授權(quán)認證和格式處理，限定其使用范圍、 使用口令、使用時效等。目的：已授權(quán)的移動存儲器才能夠在企業(yè)內(nèi)使用，未授 權(quán)的移動存儲器無法在企業(yè)內(nèi)使用。3.3.3打印機失泄密防護此系統(tǒng)可以監(jiān)測用戶的打印行為，包括本地打印機、網(wǎng)絡(luò)打印機和虛擬打印機。打印機信息

11、泄漏防護有如下策略：禁止/自由使用打印機，不記錄日志；允許使用打印機，并記錄打印日志。（分為記錄文件名和文件內(nèi)容兩種）建議將辦公網(wǎng)內(nèi)計算機的打印功能禁用，設(shè)置專門的打印出口，人員在履行相關(guān)登記 審批手續(xù)后，由專人實施打印，同時系統(tǒng)對打印作業(yè)屬性行為有詳盡的打印日志，主要包 括：記錄文件名、打印文件內(nèi)容、文件在服務(wù)器上的路徑、打印份數(shù)、頁數(shù)等，也可以記 錄打印的文件內(nèi)容。3.3.4接口外設(shè)失泄密防護防水墻系統(tǒng)可對計算機所有外設(shè)接口進行管理，防止用戶私自通過外設(shè)接口輸入輸出 或使用文件?？梢钥刂频慕涌诎ǎ篣SB 接口PCMCIA無線網(wǎng)卡SCSI 接口接口接口串行總線軟盤控制多網(wǎng)卡接并行總線器口紅

12、外接口火線1394CD-ROM藍牙接口接口驅(qū)動器我們建議將辦公網(wǎng)內(nèi)計算機的外設(shè)接口禁用，設(shè)置專門的出口，人員在履行相關(guān)登記 審批手續(xù)后，在辦公網(wǎng)內(nèi)設(shè)置專門的電子文件出口，人員在履行相關(guān)登記審批手續(xù)后，由 部專人實施解密輸出。3.3.5非法外聯(lián)管理此系統(tǒng)可以防止內(nèi)網(wǎng)的計算機通過局域網(wǎng)以外的方式，如Modem （撥號）、GPRS （無 線撥號）、CDMA （無線撥號）等非法登陸外部Internet網(wǎng)絡(luò)，并可以記錄下相關(guān)用戶的撥 號行為日志。3.3終端安全管理3.3.1終端入網(wǎng)認證終端入網(wǎng)認證需求是對接入內(nèi)網(wǎng)的計算機進行統(tǒng)一的管理，未經(jīng)許可的計算機不能接 入內(nèi)網(wǎng)，接入內(nèi)網(wǎng)的計算機必須通過安全性檢查才

13、能訪問內(nèi)部網(wǎng)絡(luò)資源。用戶接入認證：通過登錄用戶的用戶名和口令檢查接入用戶的合法性，阻止外來主機在沒有得到管理員許可的情況下非法接入內(nèi)部網(wǎng)主機安全性檢查：對通過接入認證的計算機進行安全性檢查，檢查的策略包 括兩個方面：防病毒軟件安裝與否和操作系統(tǒng)補丁安裝與否。如果沒有達到安全檢查 的基準，可以進入修復區(qū)，只能訪問內(nèi)部修復服務(wù)器，不能訪問內(nèi)部網(wǎng)絡(luò)資源。當系 統(tǒng)執(zhí)行自我修復操作后，如果安全狀態(tài)達到相應(yīng)的標準那么該計算機即可正常訪問內(nèi) 部網(wǎng)絡(luò)資源。3.3.2安全策略管理按照企業(yè)終端計算機安全管理規(guī)定，統(tǒng)一配置終端計算機的Windows安全策略，實 現(xiàn)集中的安全策略配置管理，統(tǒng)一提高終端計算機用戶的安全

14、策略基線。系統(tǒng)所能配置的 安全策略如下：帳戶密碼策略監(jiān)視帳戶鎖定策略監(jiān)視審核策略監(jiān)視共享策略監(jiān)視屏保策略監(jiān)視3.3.3用戶身份認證身份認證是系統(tǒng)應(yīng)用安全的起點，可以通過硬件USBKey和口令認證登錄Windows 系統(tǒng)用戶身份，保證進入Windows系統(tǒng)用戶身份的合法性；對登錄用戶權(quán)限進行合法 性檢查，保證用戶權(quán)限的合規(guī)性。3.3.4網(wǎng)絡(luò)進程管理通過對網(wǎng)絡(luò)進程的統(tǒng)一管理，規(guī)范計算機用戶的網(wǎng)絡(luò)行為，實現(xiàn)“外面的網(wǎng)路連接未 經(jīng)許可進不來，里面的網(wǎng)絡(luò)進程未經(jīng)許可出不去”。3.3.5防病毒軟件監(jiān)測通過策略設(shè)置防病毒軟件特征，按照統(tǒng)一的策略監(jiān)測防病毒軟件使用狀況，并進行統(tǒng) 計分析形成統(tǒng)一的數(shù)據(jù)報表。具體

15、功能如下：監(jiān)視防病毒軟件的使用狀況，通過防病毒軟件的特征監(jiān)視防病毒軟件的安裝情況、運行狀態(tài)和病毒庫版本，對不符合安全策略的狀態(tài)進行報警。防病毒軟件監(jiān)測特征的自定義，通過對未知防病毒軟件的特征自定義實 現(xiàn)對未知防病毒軟件的監(jiān)測，其特征包括殺毒程序名稱、病毒庫版本標識的注冊 表項等。3.3.6文件安全刪除通過控制臺設(shè)置臨時文件管理策略，實現(xiàn)臨時文件的統(tǒng)一刪除管理，系統(tǒng)所能刪除的 文件包括有：清除IE緩存，按照策略定期刪除IE所產(chǎn)生的臨時文件；清除IE地址欄，按照策略定期刪除IE地址欄中的臨時信息；清除歷史記錄，按照策略定期刪除歷史記錄文件；清除COOKIE，按照策略定期刪除系統(tǒng)訪問所產(chǎn)生的COOK

16、IE文件； 清除系統(tǒng)臨時目錄，按照策略定期刪除系統(tǒng)工作的臨時目錄； 清除最近打開的文檔，按照策略定期刪除系統(tǒng)最近打開文件的記錄； 清除運行中的運行命令，按照策略定期刪除系統(tǒng)運行中記錄的用戶運行命 令；清除回收站，按照策略定期清空回收站中的被刪除信息。同時提供文件安全擦除功能，實現(xiàn)對存儲在本地的敏感文件進行安全擦除功能，通過 多次數(shù)據(jù)回填的方式實現(xiàn)敏感文件的安全擦除，經(jīng)過安全擦除處理后的文件無法通過磁盤 剩磁的方式恢復數(shù)據(jù)。管理員可以配置擦寫次數(shù)實現(xiàn)統(tǒng)一的文件擦除管理。3.4終端安全管理3.4.1軟硬件資產(chǎn)管理通過軟/硬件資產(chǎn)管理功能，管理人員可以更好地制定出對于操作系統(tǒng)軟件、辦公軟 件和應(yīng)用軟

17、件的購買計劃，降低日益膨脹的終端管理成本；可以保證新系統(tǒng)與舊有系統(tǒng)的 最大兼容性；還可以實現(xiàn)對整個機構(gòu)范圍內(nèi)正在使用的應(yīng)用程序、應(yīng)用程序使用的頻率、 以及同時有多少用戶使用相同的應(yīng)用程序進行統(tǒng)計、匯總，并生成相應(yīng)報表，對未來軟、 硬件投資的規(guī)劃提供了很大的幫助。3.4.2軟件分發(fā)軟件分發(fā)可大大提高終端管理的自動化程度，提高管理效率。此外，自動化的工作流 程還可以避免人工操作帶來的風險，使終端資產(chǎn)得到更好的保護。通過軟件分發(fā)的機制，可以實現(xiàn)終端多種軟件的統(tǒng)一分發(fā)。3.4.3補丁分發(fā)通過軟件補丁分發(fā)管理，可以實現(xiàn)根據(jù)已有硬件條件和網(wǎng)絡(luò)環(huán)境合理利用資源，將 Windows平臺的辦公網(wǎng)客戶端納入統(tǒng)一的

18、補丁管理，盡可能減少人工操作，降低管理成 本，實現(xiàn)系統(tǒng)使用效益的最大化。3.4.5用戶遠程幫助使用終端服務(wù)技術(shù)，允許幫助人員通過遠程“終端服務(wù)”會話來提供幫助。遠程協(xié)助功能系統(tǒng)管理員提供豐富的遠程診斷、遠程控制等工具，使得系統(tǒng)管理員對 異地的終端系統(tǒng)進行遠程診斷、修復。一方面縮短對終端系統(tǒng)故障的響應(yīng)時間和修復時間， 提高終端用戶的辦公效率，并且降低IT人員的維護工作量。3.4.6終端網(wǎng)絡(luò)流量檢測網(wǎng)絡(luò)流量監(jiān)測功能為管理員隨時提供遠程終端主機的運行狀態(tài)變化信息，自動對指定 的異常情況進行報警，根據(jù)管理員預定義策略及時阻斷遠程主機的違規(guī)行為。實時監(jiān)測計 算機的網(wǎng)絡(luò)使用情況，當發(fā)現(xiàn)網(wǎng)絡(luò)流量超過管理員設(shè)

19、定的監(jiān)測閥值時，根據(jù)管理員預定義 的響應(yīng)策略阻止用戶行為或向服務(wù)器發(fā)送告警。3.4.7運行狀況監(jiān)測隨時提供遠程終端主機的運行狀態(tài)變化信息，可以自定義監(jiān)測項目，系統(tǒng)自動對指定 的異常情況進行監(jiān)測、記錄和報警。3.5離線審計與筆記本電腦的管理對于離線的設(shè)備，系統(tǒng)通過配置離線安全策略的對其進行控制，管理員可以配置嚴格 離線策略對離線狀態(tài)計算機進行控制。對于離線的計算機（如出差帶出的筆記本電腦）， 能夠控制移動存儲介質(zhì)、輸入輸出接口、打印機的使用、系統(tǒng)資產(chǎn)監(jiān)控等，并記錄用戶操 作記錄；對關(guān)鍵數(shù)據(jù)采取加密存放、端口使用權(quán)限設(shè)定等保護措施。當離線的計算機連接 到服務(wù)器以后，日志自動上傳到服務(wù)器用于審計。3

20、.4在線審計分析在線狀態(tài)分布在各部門的防水墻客戶端實時向防水墻服務(wù)器發(fā)送工作日志和告警信 息，由服務(wù)器進行匯總完成信息的自動收集。通過控制臺按公司、部門、科室各個行政單 位進行信息的分門別類匯總審計。支持按照關(guān)鍵字、時間段和部門范圍查詢。不同級別的 審計員可以審計不同范圍的日志（如：財務(wù)科審計員只能審計財務(wù)科信息）。能夠?qū)徲嫷?日志信息：網(wǎng)絡(luò)失泄密日志可信移動介質(zhì)使用日志媒體介質(zhì)日志打印機日志文件安全服務(wù)日志運行監(jiān)控日志信息資產(chǎn)管理日志等方案策略設(shè)定與成效通過合理的策略設(shè)定與管理方法，為貴企業(yè)打造一個全方位、多層次的安全體系。企業(yè)核心數(shù)據(jù)使用安全文檔功能強制加密存儲，加密后的數(shù)據(jù)無論通過什 么方式傳出安全域都是密文，不可識別。（對確需明文傳出的數(shù)據(jù)需經(jīng)過安全文檔 的審批流程。）對上網(wǎng)行為，做策略控制，并有詳細日志記錄。如IP，HTTP訪問，F(xiàn)TP，MAIL等，可對不同部門不同人員做詳細策略限制， 對終端網(wǎng)絡(luò)行為詳細記錄，對郵件內(nèi)容可