广电系统信息安全解决方案.docVIP

广电系统信息安全解决方案 建 议 书 河北易泰通软件科技有限公司 HEBEI ETITLE SOFTWARE SCIENCE AND TECHNOLOGY CO., LTD 目录 一、需求分析 2 1.1现状分析 2 1.2移动存储介质安全管理需求分析 3 二、捍卫者USB安全管理系统简介 4 2.1 基本功能 4 2.2 系统特色 4 三、移动存储安全解决方案建议 5 3.1 终端外设安全管理 5 3.2 移动存储介质授权管理 6 3.4日志审计管理 8 四、网络实施与维护 9 一、需求分析 1.1现状分析 广电系统目前都基本上已经安装了一系列的信息防护产品，比如防火墙，杀毒软件，隔离卡等，在一定程度上断绝了信息外泄。但是在移动存储介质（U盘、移动硬盘等各种移动存储设备）、终端外设（如：红外、蓝牙）等方面仍然存在着诸多的安全隐患。单位内部的移动存储介质没有统一的管理，使用过程中不区分内网使用还是外网使用，部分移动存储介质丢失无证可查，即使是涉密移动存储介质都没有统一的管理。在办公过程中移动存储介质随意插拔拷贝文件，信息拷贝记录没有有效的日志审计，信息外泄没有根源可溯。终端外设没有有效地管理，红外、蓝牙、串口、并口等外设，任意进行信息的传递重要资料安全无法保证。综上所述归纳如下几点： 内部移动存储介质没有统一的管理，使用混乱； 移动存储介质的任意使用，文件任意拷贝，信息安全没有保障； 重要信息拷贝没有日志审计； 移动存储介质的任意使用，导致病毒、木马入侵； 终端计算机端口没有任何管理。 1.2移动存储介质安全管理需求分析 对移动存储介质进行统一的管理，每个移动存储介质授权到一个组织部门甚至一个人进行使用、保管、如有丢失则可追溯到保管者； 对移动存储介质在网络终端进行信息拷贝，存有日志记录，如有信息泄密可以查询审计，追溯到每个终端； 对移动存储介质的使用范围进行严格的限制，即政府内部的移动存储介质只允许在内部使用（甚至可以缩小到某个组织部门或是某个终端使用），而且内部的移动存储介质存储的文件在外部不能够被读取甚至看不到，但是可以使用内部的移动存储介质从外面拷贝信息到内部终端。外来的移动存储介质在内部终端完全不可以使用； 对终端机器的磁盘插拔做到日志审计； 对于终端外设进行有效的管理； 二、捍卫者USB安全管理系统简介 基本功能 捍卫者USB安全管理系统基本功能包括： 对包括USB端口在内的各种终端设备端口进行统一管理，设置开放、禁用等模式； 实现移动存储介质的授权分区使用，存储介质与计算机终端可以实现一对一，一对多的绑定使用； 通过特殊分区、加密和授权，实现移动存储介质或移动存储介质内部分区的，内部网络隔离使用； 完整的日志记录、审计功能，实现整个移动存储介质使用流程的跟踪可控； 系统特色 使用WINDOWS底层技术实现，用户操作透明化，易用性高。 管理USB、光驱、软驱、蓝牙、红外、串口、并口、磁带机等常用计算机端口。 USB端口、刻录机的全禁、开放、只读等多种设置模式。 不依赖特定硬件、普遍适用于各种移动存储介质（U盘/MP3/MP4、移动硬盘、SD/TF卡、USB安全管理系统，根据具体情况将该终端的不常使用的外设 （如红外、蓝牙、串口、并口等）设置为禁用或是只读（刻录机，USB端口有该功能），一旦设定则无法从“设备管理器“启用，只能通过捍卫者启用，如下图所示部分终端外设禁用状态，这样可以有效的解决终端外设泄密。 2）USB端口： 内网终端的USB端口建议设置为只读，这样外网使用的存储介质可以向内网拷贝数据，但是不能从内网终端拷贝出数据。从防病毒考虑，也可以设置为完全禁用，这样只有授权存储介质才能根据授权使用，外部移动存储介质无法使用。 3.2 移动存储介质授权管理 对内部的移动存储介质进行统一的授权管理，然后在根据需求设定当前USB端口的状态（即USB端口加密），这样外来的移动存储介质在内部终端不可以使用或是只读，即解决了移动储存介质的随意插拔使用又防止了木马、病毒的传播泛滥。 在授权过程中，首先选择给移动存储介质的使用范围，可以分域授权使用，一对一或一对多的和终端绑定使用（这样移动存储介质在一定的范围内可以任意使用）；然后输入移动存储介质的保管者，明确的将移动存储介质分配到个人管理；最后还可以对移动存储介质添加使用限制，如：授权使用几天、授权使用范围、累计使用天数等。这样在移动存储介质授权的过程中既明确了移动存储介质的保管者丢失可以查询责任人又限定了使用范围。 举例说明，某单位内网三个部门：信息中心、行政部、财务部，移动存储介质A授权为信息中心，这样A只能在信息中心的计算机上随意使用，移动存储介质C授权为信息中心和财务部，这样C既能在信息中心使用，也可以在财务部使用，而外来设备D则需要根据这三