企业内网安全解决方案.docVIP

内网管理安全解决方案 青岛海洋电子工程技术有限公司 2010年11月08日 目录 1.客户需求描述 4 2.客户需求分析 5 2.1企业重要数据的安全 5 2.2移动存储介质的安全 5 2.3网络行为的监控管理 5 2.3终端全面安全管理体系 6 3.方案规划与设计 7 3.1终端安全管理整体设计 7 3.2文件安全管理 7 3.2.1文档自动加解密 7 3.2.2 文档主动加密与访问权限控制 8 3.3信息失泄密防护 9 3.3.1 网络通讯失泄密防护 9 3.3.2 存储介质失泄密防护 10 3.3.3 打印机失泄密防护 10 3.3.4 接口外设失泄密防护 11 3.3.5 非法外联管理 11 3.3终端安全管理 11 3.3.1 终端入网认证 11 3.3.2 安全策略管理 12 3.3.3用户身份认证 12 3.3.4 网络进程管理 12 3.3.5 防病毒软件监测 13 3.3.6 文件安全删除 13 3.4终端安全管理 14 3.4.1 软硬件资产管理 14 3.4.2 软件分发 14 3.4.3 补丁分发 14 3.4.5 用户远程帮助 14 3.4.6 终端网络流量检测 15 3.4.7 运行状况监测 15 3.5离线审计与笔记本电脑的管理 15 3.4在线审计分析 15 4. 方案策略设定与成效 17 1.客户需求描述 随着企业办公自动化和网络化的发展，企业中的各种信息都通过互联网进行传递，其重要信息毫无限制的被扩散。为了保证通过网络传播的企业信息能够在规定的限度内进出，就必须在如下网络安全需求方面做到完善的管理和控制。 能够对进出企业办公网络的数据内容记录、监控、拦截（根据关键字）、审核等 各种应用程序（如mail、ftp、web等）中所包括的内容（如邮件内容、邮件附件；web页面内容，及通过web页面提交的内容等）的记录、监控、拦截（根据关键字）、审核； 各种及时通讯程序（如QQ、MSN、SKYPE等）中所产生的文字信息、语音信息、上传文件与下载文件的的记录、监控、根据关键字（拦截或阻断其通讯，并将之加入黑名单）； 各种下载工具（迅雷、电驴、Flashget等）中所发生数据流量的记录、监控； 通过上传方式（如FTP）所产生数据内容的记录、监控、拦截（根据关键字）； 对使用笔记本无线上网的员工，通过安装隐藏软件，对上述方式进行本机备份（隐藏），在接入公司局域网后，能够自动上传备份内容并删除； 对客户端电脑USB口、软驱、光驱（刻录机）进行记录、监控、拦截（根据关键字），笔记本在接入公司局域网后，将记录内容自动上传至服务器后本机自动删除； 对公司机密文件进行加密或授权，使其离开公司使用无法打开或输入密码才能打开（公司内使用无需输入密码或根据相关选项设定打开方式） 能够对进出企业办公网络的数据内容通过设定关键字的方式自动过滤或等待人为指令通过设定指定的关键字对各种应用程序所产生的数据内容进行记录、阻止、过滤或待人为操作指令 2.客户需求分析 基于贵公司的安全管理需求，对公司项目进行分析，将具体的安全防护重点列为如下几点： 2.1企业重要数据的安全 企业安全管理防护，最核心的是保护重要信息不被泄露。由于企业网络化的发展，信息通过互联网任意扩散，重要信息无法被限制，采用网关关键字过滤的方法能够对外发文件是否许可做简单判断，但由于文件本身没有做防护，恶意泄密人员、误操作人员、恶意木马病毒等依然能够通过诸如转换文件格式，修改文件名，dos或第二操作系统启动，拆卸硬盘等多种方法绕过判断机制。对核心数据实行强加密存储，结合完备的工作审批流程，在不影响用户工作习惯的方式下，真正做到数据的根本安全。 2.2移动存储介质的安全 由于计算机技术的不断更新，存储介质已经是最简单的数据传递工具，例如：U盘、MP3等，存储介质的存储空间也愈来愈大，移动介质的随意使用对数据安全造成很大威胁。 2.3网络行为的监控管理 终端用户网络行为是企业安全威胁的重要因素。无限制的浏览网站，下载文件极易使企业感染病毒，并且影响网络流量的合理使用，对mail、FTP、即时聊天工具等的使用都需要合理限制，监控管理，并有完备的日志记录，方便管理员定期审计。 2.3终端全面安全管理体系 企业信息安全建设应是一个全面多层次的体系建设，由于众所周知的“木桶原理”，有一个短板都会使失泄密事件成为可能。我们希望结合贵公司的实际情况，为企业建立从终端入网认证，终端安全管理，运维管理等的多层次安全防护，根本解决公司的安全需要。 3.方案规划与设计 3.1终端安全管理整体设计 根据企业需求，设计了如图1所示的终端安全管理方案架构，具体功能需求包括终端安全管理、终端运维管理、用户行为管理、数据安全管理和管理审计等。 图 1 终端安全管理构架