企业内网安全解决方案

1、内网管理安全解决方案青岛海洋电子工程技术有限公司2010年11月08日目录客户需求描述3客户需求分析42.1企业重要数据的安全42.2移动存储介质的安全42.3网络行为的监控管理42.3终端全面安全管理体系4方案规划与设计53.1终端安全管理整体设计53.2文件安全管理53.2.1文档自动加解密53.2.2文档主动加密与访问权限控制53.3信息失泄密防护63.3.1网络通讯失泄密防护63.3.2存储介质失泄密防护63.3.3打印机失泄密防护63.3.4接口外设失泄密防护73.3.5非法外联管理73.3终端安全管理73.3.1终端入网认证73.3.2安全策略管理83.3.3用户身份认证83.3.

2、4网络进程管理83.3.5防病毒软件监测83.3.6文件安全删除93.4终端安全管理93.4.1软硬件资产管理93.4.2软件分发103.4.3补丁分发103.4.5用户远程帮助103.4.6终端网络流量检测103.4.7运行状况监测103.5离线审计与笔记本电脑的管理103.4在线审计分析11方案策略设定与成效12客户需求描述随着企业办公自动化和网络化的发展，企业中的各种信息都通过互联网进行传递，其 重要信息毫无限制的被扩散。为了保证通过网络传播的企业信息能够在规定的限度内进 出，就必须在如下网络安全需求方面做到完善的管理和控制。能够对进出企业办公网络的数据内容记录、监控、拦截（根据关键字）

3、、审核 等各种应用程序（如mail、ftp、web等）中所包括的内容（如邮件内容、 邮件附件；web页面内容，及通过web页面提交的内容等）的记录、监控、拦截（根据关键字）、审核；各种及时通讯程序（如QQ、MSN、SKYPE等）中所产生的文字信息、语 音信息、上传文件与下载文件的的记录、监控、根据关键字（拦截或阻断其通讯， 并将之加入黑名单）；各种下载工具（迅雷、电驴、Flashget等）中所发生数据流量的记录、监 控；通过上传方式（如FTP）所产生数据内容的记录、监控、拦截（根据关键 字）；对使用笔记本无线上网的员工，通过安装隐藏软件，对上述方式进行本机 备份（隐藏），在接入公司局域网后，能

4、够自动上传备份内容并删除；对客户端电脑USB 口、软驱、光驱（刻录机）进行记录、监控、拦截（根 据关键字），笔记本在接入公司局域网后，将记录内容自动上传至服务器后本机自 动删除；对公司机密文件进行加密或授权，使其离开公司使用无法打开或输入密码 才能打开（公司内使用无需输入密码或根据相关选项设定打开方式）能够对进出企业办公网络的数据内容通过设定关键字的方式自动过滤或等待 人为指令通过设定指定的关键字对各种应用程序所产生的数据内容进行记录、阻止、 过滤或待人为操作指令客户需求分析基于贵公司的安全管理需求，对公司项目进行分析，将具体的安全防护重点列为如下 几点：2.1企业重要数据的安全企业安全管理防

5、护，最核心的是保护重要信息不被泄露。由于企业网络化的发展，信 息通过互联网任意扩散，重要信息无法被限制，采用网关关键字过滤的方法能够对外发文 件是否许可做简单判断，但由于文件本身没有做防护，恶意泄密人员、误操作人员、恶意 木马病毒等依然能够通过诸如转换文件格式，修改文件名，dos或第二操作系统启动，拆 卸硬盘等多种方法绕过判断机制。对核心数据实行强加密存储，结合完备的工作审批流程， 在不影响用户工作习惯的方式下，真正做到数据的根本安全。2.2移动存储介质的安全由于计算机技术的不断更新，存储介质已经是最简单的数据传递工具，例如：u盘、 MP3等，存储介质的存储空间也愈来愈大，移动介质的随意使用对

6、数据安全造成很大威 胁。2.3网络行为的监控管理终端用户网络行为是企业安全威胁的重要因素。无限制的浏览网站，下载文件极易使 企业感染病毒，并且影响网络流量的合理使用，对mail、FTP、即时聊天工具等的使用都 需要合理限制，监控管理，并有完备的日志记录，方便管理员定期审计。2.3终端全面安全管理体系企业信息安全建设应是一个全面多层次的体系建设，由于众所周知的“木桶原理”，有一个短板都会使失泄密事件成为可能。我们希望结合贵公司的实际情况，为企业建立从 终端入网认证，终端安全管理，运维管理等的多层次安全防护，根本解决公司的安全需要。方案规划与设计3.1终端安全管理整体设计根据企业需求，设计了如图1

7、所示的终端安全管理方案架构，具体功能需求包括 终端安全管理、终端运维管理、用户行为管理、数据安全管理和管理审计等。图1终端安全管理构架图3.2文件安全管理3.2.1文档自动加解密安全文档系统是在Windows操作系统（包括WinNT,2K,XP,2K3所有的操作系统）的文件 系统层面上工作的一个核心态软件，向整个系统提供实时的、透明的、动态的数据加解密 服务。该系统运行于操作系统的核心态，接管整个文件系统。文件数据在储存设备（例如磁盘） 上以密文形式存储，当需要读写该加密文件的数据内容时，通过基于文件指纹智能识别技 术和基于文件名识别技术的有机结合，实时进行加解密，使得系统在授权情况下可以透明

8、地, 以明文形式读写该加密文件的数据。所以，通过安全文件系统，文件的数据得到安全地加密保护。而授权的用户又可以直 接透明地以明文方式使用文件的数据，实现了安全、便捷的数据解决方案。实现安全防护效果：存放于硬盘中的关键数据始终是加密状态，确保数据无论何时、 何地都处于安全状态，当然也包括硬盘丢失、光盘启动的dos模式以及安装第二操作系统 等对数据的窃取方式。如果需要带出安全文档，系统提供文档审批流程，经过审批员授权的文件可以合法流 传到网外。3.2.2文档主动加密与访问权限控制该系统为每一个通过认证的合法用户提供对任意类型文件进行主动加解密的权限，加 密时可以对文件的使用权限和范围进行重定向，可

9、以使个人、小组、全域或指定人员有对加密文件的使用权限。3.3信息失泄密防护3.3.1网络通讯失泄密防护网络通讯方式信息泄漏防护是失泄密防护的重点之一，此系统可以从网络层和应用层 分别对客户端用户的网络行为进行监控与审计。在网络层实现对“任意IP地址”、“IP地址+端口号”、“TCP/UDP端口” 的访问控制。在应用层结合常见的FTP （文件传输）/HTTP （上网）/SMTP、WEBMAIL （邮件收发）/TELNET （远程访问）/BBS （公告板）/NETBIOS （网络共享）等协议 的内容实现访问控制。网络层控制和应用层控制在不同层次发挥作用，提高了网络通讯方式信息泄漏防 护的可靠性。3

10、.3.2存储介质失泄密防护该系统对移动存储设备（如U盘、移动硬盘、Mp3、Mp4、手机等）实行两套安全策 略：对未经过授权认证的移动存储器和软盘存储器的控制采用以上策略体系 控制。另外此系统的“可信移动存储介质管理功能模块”基于虚拟磁盘技术，从 注册授权、身份验证、密级识别、访问控制报警、锁定自毁、扇区级加解密、日 至审计等方面对可对移动存储介质进行授权认证和格式处理，限定其使用范围、 使用口令、使用时效等。目的：已授权的移动存储器才能够在企业内使用，未授 权的移动存储器无法在企业内使用。3.3.3打印机失泄密防护此系统可以监测用户的打印行为，包括本地打印机、网络打印机和虚拟打印机。打印机信息

11、泄漏防护有如下策略：禁止/自由使用打印机，不记录日志；允许使用打印机，并记录打印日志。（分为记录文件名和文件内容两种）建议将办公网内计算机的打印功能禁用，设置专门的打印出口，人员在履行相关登记 审批手续后，由专人实施打印，同时系统对打印作业属性行为有详尽的打印日志，主要包 括：记录文件名、打印文件内容、文件在服务器上的路径、打印份数、页数等，也可以记 录打印的文件内容。3.3.4接口外设失泄密防护防水墙系统可对计算机所有外设接口进行管理，防止用户私自通过外设接口输入输出 或使用文件。可以控制的接口包括：USB 接口PCMCIA无线网卡SCSI 接口接口接口串行总线软盘控制多网卡接并行总线器口红

12、外接口火线1394CD-ROM蓝牙接口接口驱动器我们建议将办公网内计算机的外设接口禁用，设置专门的出口，人员在履行相关登记 审批手续后，在办公网内设置专门的电子文件出口，人员在履行相关登记审批手续后，由 部专人实施解密输出。3.3.5非法外联管理此系统可以防止内网的计算机通过局域网以外的方式，如Modem （拨号）、GPRS （无 线拨号）、CDMA （无线拨号）等非法登陆外部Internet网络，并可以记录下相关用户的拨 号行为日志。3.3终端安全管理3.3.1终端入网认证终端入网认证需求是对接入内网的计算机进行统一的管理，未经许可的计算机不能接 入内网，接入内网的计算机必须通过安全性检查才

13、能访问内部网络资源。用户接入认证：通过登录用户的用户名和口令检查接入用户的合法性，阻止外来主机在没有得到管理员许可的情况下非法接入内部网主机安全性检查：对通过接入认证的计算机进行安全性检查，检查的策略包 括两个方面：防病毒软件安装与否和操作系统补丁安装与否。如果没有达到安全检查 的基准，可以进入修复区，只能访问内部修复服务器，不能访问内部网络资源。当系 统执行自我修复操作后，如果安全状态达到相应的标准那么该计算机即可正常访问内 部网络资源。3.3.2安全策略管理按照企业终端计算机安全管理规定，统一配置终端计算机的Windows安全策略，实 现集中的安全策略配置管理，统一提高终端计算机用户的安全

14、策略基线。系统所能配置的 安全策略如下：帐户密码策略监视帐户锁定策略监视审核策略监视共享策略监视屏保策略监视3.3.3用户身份认证身份认证是系统应用安全的起点，可以通过硬件USBKey和口令认证登录Windows 系统用户身份，保证进入Windows系统用户身份的合法性；对登录用户权限进行合法 性检查，保证用户权限的合规性。3.3.4网络进程管理通过对网络进程的统一管理，规范计算机用户的网络行为，实现“外面的网路连接未 经许可进不来，里面的网络进程未经许可出不去”。3.3.5防病毒软件监测通过策略设置防病毒软件特征，按照统一的策略监测防病毒软件使用状况，并进行统 计分析形成统一的数据报表。具体

15、功能如下：监视防病毒软件的使用状况，通过防病毒软件的特征监视防病毒软件的安装情况、运行状态和病毒库版本，对不符合安全策略的状态进行报警。防病毒软件监测特征的自定义，通过对未知防病毒软件的特征自定义实 现对未知防病毒软件的监测，其特征包括杀毒程序名称、病毒库版本标识的注册 表项等。3.3.6文件安全删除通过控制台设置临时文件管理策略，实现临时文件的统一删除管理，系统所能删除的 文件包括有：清除IE缓存，按照策略定期删除IE所产生的临时文件；清除IE地址栏，按照策略定期删除IE地址栏中的临时信息；清除历史记录，按照策略定期删除历史记录文件；清除COOKIE，按照策略定期删除系统访问所产生的COOK

16、IE文件； 清除系统临时目录，按照策略定期删除系统工作的临时目录； 清除最近打开的文档，按照策略定期删除系统最近打开文件的记录； 清除运行中的运行命令，按照策略定期删除系统运行中记录的用户运行命 令；清除回收站，按照策略定期清空回收站中的被删除信息。同时提供文件安全擦除功能，实现对存储在本地的敏感文件进行安全擦除功能，通过 多次数据回填的方式实现敏感文件的安全擦除，经过安全擦除处理后的文件无法通过磁盘 剩磁的方式恢复数据。管理员可以配置擦写次数实现统一的文件擦除管理。3.4终端安全管理3.4.1软硬件资产管理通过软/硬件资产管理功能，管理人员可以更好地制定出对于操作系统软件、办公软 件和应用软

17、件的购买计划，降低日益膨胀的终端管理成本；可以保证新系统与旧有系统的 最大兼容性；还可以实现对整个机构范围内正在使用的应用程序、应用程序使用的频率、 以及同时有多少用户使用相同的应用程序进行统计、汇总，并生成相应报表，对未来软、 硬件投资的规划提供了很大的帮助。3.4.2软件分发软件分发可大大提高终端管理的自动化程度，提高管理效率。此外，自动化的工作流 程还可以避免人工操作带来的风险，使终端资产得到更好的保护。通过软件分发的机制，可以实现终端多种软件的统一分发。3.4.3补丁分发通过软件补丁分发管理，可以实现根据已有硬件条件和网络环境合理利用资源，将 Windows平台的办公网客户端纳入统一的

18、补丁管理，尽可能减少人工操作，降低管理成 本，实现系统使用效益的最大化。3.4.5用户远程帮助使用终端服务技术，允许帮助人员通过远程“终端服务”会话来提供帮助。远程协助功能系统管理员提供丰富的远程诊断、远程控制等工具，使得系统管理员对 异地的终端系统进行远程诊断、修复。一方面缩短对终端系统故障的响应时间和修复时间， 提高终端用户的办公效率，并且降低IT人员的维护工作量。3.4.6终端网络流量检测网络流量监测功能为管理员随时提供远程终端主机的运行状态变化信息，自动对指定 的异常情况进行报警，根据管理员预定义策略及时阻断远程主机的违规行为。实时监测计 算机的网络使用情况，当发现网络流量超过管理员设

19、定的监测阀值时，根据管理员预定义 的响应策略阻止用户行为或向服务器发送告警。3.4.7运行状况监测随时提供远程终端主机的运行状态变化信息，可以自定义监测项目，系统自动对指定 的异常情况进行监测、记录和报警。3.5离线审计与笔记本电脑的管理对于离线的设备，系统通过配置离线安全策略的对其进行控制，管理员可以配置严格 离线策略对离线状态计算机进行控制。对于离线的计算机（如出差带出的笔记本电脑）， 能够控制移动存储介质、输入输出接口、打印机的使用、系统资产监控等，并记录用户操 作记录；对关键数据采取加密存放、端口使用权限设定等保护措施。当离线的计算机连接 到服务器以后，日志自动上传到服务器用于审计。3

20、.4在线审计分析在线状态分布在各部门的防水墙客户端实时向防水墙服务器发送工作日志和告警信 息，由服务器进行汇总完成信息的自动收集。通过控制台按公司、部门、科室各个行政单 位进行信息的分门别类汇总审计。支持按照关键字、时间段和部门范围查询。不同级别的 审计员可以审计不同范围的日志（如：财务科审计员只能审计财务科信息）。能够审计的 日志信息：网络失泄密日志可信移动介质使用日志媒体介质日志打印机日志文件安全服务日志运行监控日志信息资产管理日志等方案策略设定与成效通过合理的策略设定与管理方法，为贵企业打造一个全方位、多层次的安全体系。企业核心数据使用安全文档功能强制加密存储，加密后的数据无论通过什 么方式传出安全域都是密文，不可识别。（对确需明文传出的数据需经过安全文档 的审批流程。）对上网行为，做策略控制，并有详细日志记录。如IP，HTTP访问，FTP，MAIL等，可对不同部门不同人员做详细策略限制， 对终端网络行为详细记录，对邮件内容可