企业笔记本电脑安全解决方案.docVIP

企业笔记本电脑安全解决方案 解决方案一、案例背景? ? 随着计算机的普及和业务发展的需要，越来越多的企业为员工配备了笔记本电脑。在享受移动办公带来的便捷的同时，企业领导层和网络管理人员也发现，笔记本电脑也渐渐成为传染病毒、泄露机密和消遣娱乐的工具。让我们来关注这样一个企业的典型案例：??某企业将内部各部门划分不同的子网，通过代理服务器连接到互联网。在因特网访问接口处的防火墙设备提供了重要的网络边界保护，抵挡了来自外部未知网络的绝大部分安全威胁。? ? 很显然，该企业其对内网安全的保护，尤其是针对笔记本电脑的保护力度已明显不足。? ? 首先，由于销售部的笔记本电脑经常带到外网中，其遭受攻击和感染病毒的几率非常大，一旦染毒后接入内网，很容易引发整个局域网瘫痪。 ? ? 其次，由于笔记本电脑被携带到异地，无法被网络管理员监管，无意或刻意的泄密行为经常发生，造成公司无形资产的流失。? ? 再次，笔记本电脑不受监控的情况下，员工会私自安装一些娱乐、炒股软件，或频繁的下载影片，不禁损害设备硬件，更降低了工作效率，增加了安全风险。二、全时行为控制? ? 华堂根据长期信息安全技术开发和安全服务的经验积累，针对当今高速互联网背景下的安全需求，推崇构建可控安全网络的理念：基于自主和服务管理的安全、易用、可控网络建设——II-SEC-NETWORK。? ? 在II-SEC-NETWORK的基础上，针对内网安全领域，华堂公司推出“全时行为控制”理念。在企业网络应用中，主机常常处于两种状态，一种为“在线状态”，即主机能与安全网关通信，接受安全网关的保护，其安全系数相对较高；一种为“离线状态”，即主机无法与安全网关通信，脱离了安全网关的保护，成为安全隐患或攻击目标。华堂内网安全防御系统就是根据“全时行为控制”理念研发的内网安全控制类产品。三、解决方案? ? 华堂内网安全防御系统采用“策略下发，统一管理”的运行模式，以内网计算机终端安全为中心出发点，从“监控非法接入” 、“禁止移动机密信息” 、“实时报警和安全审计”以及“策略集中分发”等多种角度构建完整的终端计算机安全防护体系。 1．系统架构? ? 华堂内网安全防御系统采用C/S架构，由安全策略中心、终端安全代理组成， 管理员可以通过安全策略中心集中管理所有内网计算机终端，统一实施企业内网安全策略和安全管理。? ? 在华堂内网安全防御系统中，通过在内网终端计算机上安装客户端软件，可以在客户端之间构成一个相互信任的受控区域，客户端之间可以相互正常通信，客户端与非客户端的网络（如外部网络）之间的连接称为外联。管理员可以在安全策略管理中心通过下发管理策略，来控制客户端的外联行为。? ? 华堂内网安全防御系统的管理策略分为在线策略和离线策略，客户端在线时（能连接到服务端）时，系统将实施在线安全管理策略，客户端离线时，系统将实施离线安全管理策略。根据实际管理需要，这两组策略可以相同也可以不相同，管理员可以根据实际需要灵活设置。一般来说，在线策略可以设置为不允许外联，以维护内网的封闭性，而客户端离开了局域网后，则离线策略生效，以保证离开内网的客户端不与外界发生任何联系，达到维护内网封闭性的目的。2．产品功能? ? 华堂内网安全防御系统充分考虑到用户的实际需要，为用户提供了丰富的产品功能，包括：2．1 外联安全管理? ? 非法外联行为监控 ? ? 对非法信息外泄和员工违规行为的控制； 控制外部设备，如USB设备、软驱、光驱（包括刻录机）、打印机、红外线传输、串口（COM）、并口以及PCMCIA卡接口等所有可能导致数据流出的设备； 打开和关闭各种网络连接，如网卡、无线网卡、拨号连接、VPN连接等； ? ? 非法接入行为监控 ? ? 非法设备接入到网络，一旦试图和任意一台可信主机通信，管理中心立刻就可以收到非法接入报警信息，并阻断连接，外部入侵者突破边界防火墙，试图和内部主机通信时，也会马上收到报警信息并且被阻断。其优点是不仅可以控制非法接入，还可以控制黑客入侵。 2．2 全时行为控制? ? 在线离线策略，临时管理码 ? ? 通过提供在线和离线两套策略，对带出公司网络的设备提供更加严格的控制，切断所有数据流出通道。同时，提供临时管理码，对因为工作需要必须临时开发限制策略的时候，可以提供解决方案，管理码为硬件绑定，且只能使用一次，提供了安全和方便的双重选择。 ? ? 实时防火墙联动 ? ? 通过与防火墙联动，内网安全管理发现非法接入主机和非法入侵的黑客主机后，直接通过联动接口，在防火墙上动态禁止。通过联动，解决单一安全设备无法完成的目标。 ? ? 分布式防火墙 ? ? 终端安全各自为政，个人版防火墙策略配置不安全，导致内部主机留有