企业内网安全解决方案

-内网管理平安解决方案*海洋电子工程技术*2021年11月08日目录1.客户需求描述42.客户需求分析52.1企业重要数据的平安52.2移动存储介质的平安52.3网络行为的监控管理52.3终端全面平安管理体系63.方案规划与设计73.1终端平安管理整体设计73.2文件平安管理7文档自动加解密73.2.2 文档主动加密与访问权限控制83.3信息失泄密防护93.3.1 网络通讯失泄密防护93.3.2 存储介质失泄密防护103.3.3 打印机失泄密防护103.3.4 接口外设失泄密防护113.3.5 非法外联管理113.3终端平安管理113.3.1 终端入网认证113.3.2 平安策略管理12用户身份认证123.3.4 网络进程管理123.3.5 防病毒软件监测133.3.6 文件平安删除133.4终端平安管理143.4.1 软硬件资产管理143.4.2 软件分发143.4.3 补丁分发143.4.5 用户远程帮助143.4.6 终端网络流量检测153.4.7 运行状况监测153.5离线审计与笔记本电脑的管理153.4在线审计分析154.方案策略设定与成效171.客户需求描述随着企业办公自动化和网络化的开展，企业中的各种信息都通过互联网进展传递，其重要信息毫无限制的被扩散。为了保证通过网络传播的企业信息能够在规定的限度内进出，就必须在如下网络平安需求方面做到完善的管理和控制。n 能够对进出企业办公网络的数据内容记录、监控、拦截根据关键字、审核等u 各种应用程序如mail、ftp、web等中所包括的内容如内容、附件；web页面内容，及通过web页面提交的内容等的记录、监控、拦截根据关键字、审核；u 各种及时通讯程序如QQ、MSN、SKYPE等中所产生的文字信息、语音信息、上传文件与下载文件的的记录、监控、根据关键字拦截或阻断其通讯，并将之参加黑；u 各种下载工具迅雷、电驴、Flashget等中所发生数据流量的记录、监控；u 通过上传方式如FTP所产生数据内容的记录、监控、拦截根据关键字；u 对使用笔记本无线上网的员工，通过安装隐藏软件，对上述方式进展本机备份隐藏，在接入公司局域网后，能够自动上传备份内容并删除；u 对客户端电脑USB口、软驱、光驱刻录机进展记录、监控、拦截根据关键字，笔记本在接入公司局域网后，将记录内容自动上传至效劳器后本机自动删除；u 对公司*文件进展加密或授权，使其离开公司使用无法翻开或输入密码才能翻开公司内使用无需输入密码或根据相关选项设定翻开方式n 能够对进出企业办公网络的数据内容通过设定关键字的方式自动过滤或等待人为指令通过设定指定的关键字对各种应用程序所产生的数据内容进展记录、阻止、过滤或待人为操作指令. z.-. z.-2.客户需求分析基于贵公司的平安管理需求，对公司工程进展分析，将具体的平安防护重点列为如下几点：2.1企业重要数据的平安企业平安管理防护，最核心的是保护重要信息不被泄露。由于企业网络化的开展，信息通过互联网任意扩散，重要信息无法被限制，采用网关关键字过滤的方法能够对外发文件是否许可做简单判断，但由于文件本身没有做防护，恶意泄密人员、误操作人员、恶意木马病毒等依然能够通过诸如转换文件格式，修改文件名，dos或第二操作系统启动，拆卸硬盘等多种方法绕过判断机制。对核心数据实行强加密存储，结合完备的工作审批流程，在不影响用户工作习惯的方式下，真正做到数据的根本平安。2.2移动存储介质的平安 由于计算机技术的不断更新，存储介质已经是最简单的数据传递工具，例如：U盘、MP3等，存储介质的存储空间也愈来愈大，移动介质的随意使用对数据平安造成很大威胁。2.3网络行为的监控管理终端用户网络行为是企业平安威胁的重要因素。无限制的浏览，下载文件极易使企业感染病毒，并且影响网络流量的合理使用，对mail、FTP、即时聊天工具等的使用都需要合理限制，监控管理，并有完备的日志记录，方便管理员定期审计。2.3终端全面平安管理体系企业信息平安建立应是一个全面多层次的体系建立，由于众所周知的“木桶原理，有一个短板都会使失泄密事件成为可能。我们希望结合贵公司的实际情况，为企业建立从终端入网认证，终端平安管理，运维管理等的多层次平安防护，根本解决公司的平安需要。3.方案规划与设计3.1终端平安管理整体设计根据企业需求，设计了如图1所示的终端平安管理方案架构，具体功能需求包括终端平安管理、终端运维管理、用户行为管理、数据平安管理和管理审计等。图 1 终端平安管理构架图3.2文件平安管理文档自动加解密平安文档系统是在Windows操作系统(包括WinNT,2K,*P,2K3所有的操作系统)的文件系统层面上工作的一个核心态软件,向整个系统提供实时的、透明的、动态的数据加解密效劳。该系统运行于操作系统的核心态,接收整个文件系统。文件数据在储存设备(例如磁盘)上以密文形式存储,当需要读写该加密文件的数据内容时，通过基于文件指纹智能识别技术和基于文件名识别技术的有机结合,实时进展加解密,使得系统在授权情况下可以透明地,以明文形式读写该加密文件的数据。所以，通过平安文件系统,文件的数据得到平安地加密保护。而授权的用户又可以直接透明地以明文方式使用文件的数据，实现了平安、便捷的数据解决方案。实现平安防护效果：存放于硬盘中的关键数据始终是加密状态，确保数据无论何时、何地都处于平安状态，当然也包括硬盘丧失、光盘启动的dos模式以及安装第二操作系统等对数据的窃取方式。如果需要带出平安文档，系统提供文档审批流程，经过审批员授权的文件可以合法流传到网外。3.2.2 文档主动加密与访问权限控制该系统为每一个通过认证的合法用户提供对任意类型文件进展主动加解密的权限，加密时可以对文件的使用权限和范围进展重定向，可以使个人、小组、全域或指定人员有对加密文件的使用权限。3.3信息失泄密防护3.3.1 网络通讯失泄密防护网络通讯方式信息泄漏防护是失泄密防护的重点之一，此系统可以从网络层和应用层分别对客户端用户的网络行为进展监控与审计。n 在网络层实现对“任意IP地址、“IP地址端口号、“TCP/UDP端口的访问控制。n 在应用层结合常见的FTP文件传输/HTTP上网/SMTP、 WEBMAIL收发/TELNET远程访问/BBS公告板/NETBIOS网络共享等协议的内容实现访问控制。网络层控制和应用层控制在不同层次发挥作用，提高了网络通讯方式信息泄漏防护的可靠性。3.3.2存储介质失泄密防护该系统对移动存储设备如U盘、移动硬盘、Mp3、Mp4、手机等实行两套平安策略：n 对未经过授权认证的移动存储器和软盘存储器的控制采用以上策略体系控制。n 另外此系统的“可信移动存储介质管理功能模块基于虚拟磁盘技术，从注册授权、身份验证、识别、访问控制报警、锁定自毁、扇区级加解密、日至审计等方面对可对移动存储介质进展授权认证和格式处理，限定其使用范围、使用口令、使用时效等。目的：已授权的移动存储器才能够在企业内使用，未授权的移动存储器无法在企业内使用。3.3.3 打印机失泄密防护此系统可以监测用户的打印行为，包括本地打印机、网络打印机和虚拟打印机。打印机信息泄漏防护有如下策略：n 制止/自由使用打印机，不记录日志；n 允许使用打印机，并记录打印日志。(分为记录文件名和文件内容两种)建议将办公网内计算机的打印功能禁用，设置专门的打印出口，人员在履行相关登记审批手续后，由专人实施打印，同时系统对打印作业属性行为有详尽的打印日志，主要包括：记录文件名、打印文件内容、文件在效劳器上的路径、打印份数、页数等，也可以记录打印的文件内容。3.3.4 接口外设失泄密防护防水墙系统可对计算机所有外设接口进展管理，防止用户私自通过外设接口输入输出或使用文件。可以控制的接口包括：. z.-n USB接口n SCSI接口n 串行总线n 并行总线n 红外接口n 蓝牙接口n PCMCIA接口n 软盘控制器n 火线1394接口n 无线网卡接口n 多网卡接口n CD-ROM驱动器. z.-我们建议将办公网内计算机的外设接口禁用，设置专门的出口，人员在履行相关登记审批手续后，在办公网内设置专门的电子文件出口，人员在履行相关登记审批手续后，由部专人实施解密输出。3.3.5 非法外联管理此系统可以防止内网的计算机通过局域网以外的方式，如Modem拨号、GPRS无线拨号、CDMA无线拨号等非法登陆外部Internet网络，并可以记录下相关用户的拨号行为日志。3.3终端平安管理3.3.1 终端入网认证终端入网认证需求是对接入内网的计算机进展统一的管理，未经许可的计算机不能接入内网，接入内网的计算机必须通过平安性检查才能访问内部网络资源。 l 用户接入认证：通过登录用户的用户名和口令检查接入用户的合法性，阻止外来主机在没有得到管理员许可的情况下非法接入内部网l 主机平安性检查：对通过接入认证的计算机进展平安性检查，检查的策略包括两个方面：防病毒软件安装与否和操作系统补丁安装与否。如果没有到达平安检查的基准，可以进入修复区，只能访问内部修复效劳器，不能访问内部网络资源。当系统执行自我修复操作后，如果平安状态到达相应的标准则该计算机即可正常访问内部网络资源。3.3.2 平安策略管理按照企业终端计算机平安管理规定，统一配置终端计算机的Windows平安策略，实现集中的平安策略配置管理，统一提高终端计算机用户的平安策略基线。系统所能配置的平安策略如下：u *密码策略监视u *锁定策略监视u 审核策略监视u 共享策略监视u 屏保策略监视用户身份认证身份认证是系统应用平安的起点，可以通过硬件USBKey和口令认证登录Windows系统用户身份，保证进入Windows系统用户身份的合法性；对登录用户权限进展合法性检查，保证用户权限的合规性。3.3.4 网络进程管理通过对网络进程的统一管理，标准计算机用户的网络行为，实现“外面的网路连接未经许可进不来，里面的网络进程未经许可出不去。3.3.5 防病毒软件监测通过策略设置防病毒软件特征，按照统一的策略监测防病毒软件使用状况，并进展统计分析形成统一的数据报表。具体功能如下：u 监视防病毒软件的使用状况，通过防病毒软件的特征监视防病毒软件的安装情况、运行状态和病毒库版本，对不符合平安策略的状态进展报警。u 防病毒软件监测特征的自定义，通过对未知防病毒软件的特征自定义实现对未知防病毒软件的监测，其特征包括杀毒程序名称、病毒库版本标识的注册表项等。 文件平安删除通过控制台设置临时文件管理策略，实现临时文件的统一删除管理，系统所能删除的文件包括有：u 去除IE缓存，按照策略定期删除IE所产生的临时文件；u 去除IE地址栏，按照策略定期删除IE地址栏中的临时信息；u 去除历史记录，按照策略定期删除历史记录文件；u 去除COOKIE，按照策略定期删除系统访问所产生的COOKIE文件；u 去除系统临时目录，按照策略定期删除系统工作的临时目录；u 去除最近翻开的文档，按照策略定期删除系统最近翻开文件的记录；u 去除运行中的运行命令，按照策略定期删除系统运行中记录的用户运行命令；u 去除回收站，按照策略定期清空回收站中的被删除信息。同时提供文件平安擦除功能，实现对存储在本地的敏感文件进展平安擦除功能，通过屡次数据回填的方式实现敏感文件的平安擦除，经过平安擦除处理后的文件无法通过磁盘剩磁的方式恢复数据。管理员可以配置擦写次数实现统一的文件擦除管理。3.4终端平安管理3.4.1 软硬件资产管理通过软/硬件资产管理功能，管理人员可以更好地制定出对于操作系统软件、办公软件和应用软件的购置方案，降低日益膨胀的终端管理本钱；可以保证新系统与旧有系统的最大兼容性；还可以实现对整个机构范围内正在使用的应用程序、应用程序使用的频率、以及同时有多少用户使用一样的应用程序进展统计、汇总，并生成相应报表，对未来软、硬件投资的规划提供了很大的帮助。3.4.2 软件分发软件分发可大大提高终端管理的自动化程度，提高管理效率。此外，自动化的工作流程还可以防止人工操作带来的风险，使终端资产得到更好的保护。通过软件分发的机制，可以实现终端多种软件的统一分发。3.4.3 补丁分发通过软件补丁分发管理，可以实现根据已有硬件条件和网络环境合理利用资源，将Windows平台的办公网客户端纳入统一的补丁管理，尽可能减少人工操作，降低管理本钱，实现系统使用效益的最大化。3.4.5 用户远程帮助使用终端效劳技术，允许帮助人员通过远程“终端效劳会话来提供帮助。远程协助功能系统管理员提供丰富的远程诊断、远程控制等工具，使得系统管理员对异地的终端系统进展远程诊断、修复。一方面缩短对终端系统故障的响应时间和修复时间，提高终端用户的办公效率，并且降低IT人员的维护工作量。3.4.6 终端网络流量检测网络流量监测功能为管理员随时提供远程终端主机的运行状态变化信息，自动对指定的异常情况进展报警，根据管理员预定义策略及时阻断远程主机的违规行为。实时监测计算机的网络使用情况，当发现网络流量超过管理员设定的监测阀值时，根据管理员预定义的响应策略阻止用户行为或向效劳器发送告警。3.4.7 运行状况监测随时提供远程终端主机的运行状态变化信息，可以自定义监测工程，系统自动对指定的异常情况进展监测、记录和报警。. z.-. z.-3.5离线审计与笔记本电脑的管理对于离线的设备，系统通过配置离线平安策略的对其进展控制，管理员可以配置严格离线策略对离线状态计算机进展控制。对于离线的计算机如出差带出的笔记本电脑，能够控制移动存储介质、输入输出接口、打印机的使用、系统资产监控等，并记录用户操作记录；对关键数据采取加密存放、端口使用权限设定等保护措施。当离线的计算机连接到效劳器以后，日志自动上传到效劳器用于审计。3.4在线审计分析在线状态分布在各部门的防水墙客户端实时向防水墙效劳器发送工作日志和告警信息，由效劳器进展汇总完成信息的自动收集。通过控制台按公司、部门、科室各个行政单位进展信息的分门别类汇总审计。支持按照关键字、时间段和部门范围查询。不同级别的审计员可以审计不同范围的日志如：财务科审计员只能审计财务科信息。能够审计的日志信息：n 网络失泄密日志n 可信移动介质使用日志n 媒体介质日志n 打印机日志n 文件平安效劳日志n 运行监控日志n 信息资产管理日志等4. 方案策略设定与成效通过合理的策略设定与管理方法，为贵企业打造一个全方位、多层次的平安体系。n 企业核心数据使用平安文档功能强制加密存储，加密后的数据无论通过什么方式传出平安域都是密文，不可识别。对确需明文传出的数据需经过平安文档的审批流程。n 对上网行为，做策略控制，并有详细日志记录。如IP，HTTP访问，FTP，MAIL等，可对不同部门不同人员做详细策略限制，对终端网络行为详细记录，对内容可做备份，并可对网络访问进程做控制，可对网络进程与端口做绑定。n 通过进程控制策略严格控制终端及时聊天工具及下载工具的使用，可远程调取终端进程快照审查软件使用情况。n 监控网络实时流量及总流量的状况，设定阀值，违规及时报警。n 严格存储介质使用管理，对终端制止外接移动介质的随意使用，通过UEM可信介质授权模块将内网移动介质统一授权使用。授权可信介质时可对介质设定使用范围，使用时间，口令认证等。真正做到“未授权移动介质拿进来使不了，授权移动介质拿出去不能用。n 控制终端打印操作，对有打印权限的终端备份打印内容。n 启用网络接入认证功能，使非法计算机不能接入企业网，并定期扫描内网主机状态，对不符合平安要求的终端阻断其连进内网。n 通过UEM系统离线策略，控制终端离线状况下的平安使用，尤其对笔记本外出做平安策略设定。n 对终端在线或离线情况下所有操作做详细日志记录，便于管理员日志审计追踪。企业失泄密防护，保护的核心还是*文件。UEM对核心的*文件本身使用自动加密存储，对用户透明，用户不会感到使用不便，但对企业数据做到绝对平安。加密的文件非法通过任何方式传出企业平安域都是不可识别的密文，企业不用担忧终端用户通过聊天工具或等方式泄密，不需考虑复杂的关键词过滤对企业大量文件来说，关键字库会很多，过滤时间会较长，极影响用户正常工作，且仅对终端产品不便实现，也会根本防止用户使用拆卸硬盘，多操作系统启动等特殊手段泄密。再加上外围的平安防护，通过完备的平安策略，使用补丁分发，软件分发等管理手段，可以使企业做到最正确的平安防范及管理效果。. z.