ipguard内网安全解决预案

88/91IP-guard内网安全管理整体解决方案广州网宝信息科技有限公司目录一、概述 3二、企业内网安全需求分析： 3三、IP-guard内网安全整体解决方案 73.1信息防泄漏的三重保护 73.1.1第一重，详尽细致的操作审计 73.1.2第二重，全面严格的操作控制 103.1.3第三重，安全稳定的透明加密 123.1.4客户收益 143.2应用效率的管理 153.2.1对工作情况进行统计分析 153.2.2网络流量统计分析 153.2.3对行为进行控制管理 153.2.4对网络流量的控制管理 163.2.5客户收益 163.3系统的维护和资产管理 173.3.1对计算机基本属性的保护 173.3.2实时查看客户端运行状态 173.3.3对使用者进行远程协助 173.3.4系统补丁和漏洞管理 183.3.5 资产管理 183.3.6客户收益 19四、IP-guard方案优势 205.1易部署 205.2易使用 205.3易管理 205.4功能全面 205.5运行稳定，值得信赖 205.6灵活扩展 215.7强大的技术支持 21五、IP-guard介绍 22六、关于我们 28IP-guard成功案例 31IP-guard荣誉客户 37内网安全法律法规 39一、概述内网安全系统管理的市场背景随着网络的高度发达，人、数据和各种事物已经以不同方式联入网络，各个领域的边界也正在逐渐溶解，领域之间交互的信息量激增，新的协作方式导致信息的流转变得更为复杂。对于企业来说，在进行商务活动的时候始终面临着各种风险，这些风险是固有的，不仅存在于企业与客户和合作伙伴的日常接触之中，也存在于企业内部。信息系统作为企业商务活动的重要组成系统，同样也无法避免各种风险的威胁。IT系统的依赖度与IT风险的关系就像中国的典故“水涨船高”，即依赖度越强，IT风险越大。调查显示，2011年，企业内网的风险主要存在以下几个方面：首先，信息资产已经成为任何企业、组织发展壮大的至关重要的因素，但这些资产却暴露在越来越多的威胁之中。除了传统的黑客、病毒等来自互联网外部的攻击，根据美国FBI调查显示，80%的安全威胁来自企业内部，将近60%的离职者或被辞退者在离开时会携带企业数据。来自中国公安部的调查也显示，国内75%以上的泄密事件是由内部员工造成的。内部泄密是造成企业信息泄漏的最大原因。因此在信息化时代，上至国家政府机构，下到企业商业机构，都在遭受一场空前的内部信息防泄漏考验。同时，Ponemon研究机构得出，数据泄漏事故对企业造成的损失成本已经持续增长五个年头，2010年高达720万美元，每条泄漏记录的平均成本增加到214美元。其次，企业内部员工对网络资源的滥用令人触目惊心，工作效率低下。网上游戏，网上聊天，网上炒股等网络行为严重地分散了员工的精力，根据DynamicMarketsLimited对全球办公室上网情况的调查：在上班时间，中国员工每周比其他国家的员工多花7.6小时来使用即时通讯工具、玩游戏、P2P下载或在线媒体。中国员工上网下载音乐的时间比拉美国家高16%，进入聊天室和玩在线游戏花费的时间分别比其他国家高约8%和12%。在互联网发达的印度，只有26%员工在工作场合浏览个人信件，而在中国，这个数字则是60%。我们可以按以下方法大致估算出一个普通员工每年浏览业务无关网站带来的生产力流失，以职工年平均工资30000元为标准，工作时间一年240天，每天8小时来计算，平均每小时工资15.6元左右，我们按照这一单位小时工资标准，乘以个人与业务无关的浏览时间（仅计算15%的生产力流失），最后乘以企业员工的数目。按照这种方式可以大致估算出这样一个500名员工的企业，每年将损失人民币约220万元在与业务无关的网络浏览上，而且大多数企业员工的实际收入远远高于这个平均值。另外，企业规模的逐年扩大，内部的IT资产管理和终端维护工作量剧增。由于缺少高效的管理工具，这些基本的工作消耗了IT管理人员大量的精力和时间，即使整日东奔西走，问题仍不断出现且越来越难以及时解决，甚至威胁到企业的网络安全。轻松应对各种小而繁琐的系统管理问题，是每一个企业的IT部门需要解决的问题。对于内网安全问题，国家非常重视，颁布了专门的法律要求对企业内部的信息安全采取强制保护。2004年国家颁布了《关于信息安全等级保护工作的实施意见》明确规定了对政府、军工领域展开信息安全等级保护工作。其后的一系列有关等级保护的法律法规中，对于内网安全都有明确要求。2005年03月，公安部发布了第82号令《互联网安全保护技术措施规定》明确规定接入到互联网上的单位需要通过技术手段对内部上网行为进行审计，审计信息必须留存6个月以上备查。同时，近年颁布的中国版“塞班斯法案”——《企业内部控制基本规范》，也对组织内部信息的存储与传递做出了强制性规定。二、企业内网安全需求分析：内网系统承载了企业绝大部分的业务，企业内网系统能否安全有序地运行直接关系到企业日常工作的开展。从以上企业内网安全现状的分析可看出，企业内网主要存在机密信息防护、上网行为规范、资产和系统管理的安全问题，下面对这三个方面进行详细分析，进而提炼出其安全需求。机密信息保护的安全风险及需求财务报表、技术档案、营销计划等企业珍视的机密资产，一旦泄漏出去，将会带给企业不可估量的影响。但现代企业又经常使用网络、其他工具来提高工作效率，在这样的环境之下，随便上传下载和移动网络中的文件，可以随便很轻松地把企业的许多重要信息流通到网络外部，从而使企业重要的知识产权受到严重侵害。编号存在的风险对应需求1重要资料被有意、无意删除、修改、破坏，缺乏有效手段，即使泄密事件发生，也无从追查。需要建立完善的审计机制，记录文档全生命周期的操作，详细掌握内网操作，做到事前预防，事后追踪。2缺乏合理的文档权限的划分，导致机密文档被随意访问，传播范围扩大。控制核心数据的使用权限，按照部门或级别划分文档的使用权限。3重要文档可通过U盘、智能手机等设备被带出企业而导致的信息外泄。需要管理计算机的外部设备使用，包括U盘、智能手机、MODEM、打印机、光驱等。对内部网络中使用的移动存储设备进行分类和细粒度的权限控制，按照需求禁止使用或做到“内盘内用，外盘外用”4储存在计算机上的敏感、机密信息被随意打印及泄露。需要对打印内容进行记录，同时控制各类型打印机的打印权限。5机密信息通过QQ、MSN、飞信等聊天工具传播出去。需要对即时通讯工具进行监管，包括记录和限制文档的随意外发。6通过普通邮件、lotus、Notes、web等常用E-mail把核心资料传播出去。 需要对等各种方式发送的邮件进行控制，并且记录包括附件在内的发送内容。7内部员工通过3G上网卡等连接网络，把信息通过网络带走，或外来计算机非法接入企业内网盗取机密信息。需要对3G上网卡等无线上网设备做控制，同时对外来计算机接入内部网络时进行控制，如未授权，则禁止接入内部网络。8关系企业生存发展的高度机密文档被外泄出去。需要对安全性要求最高的文档，进行文档透明加密，保证敏感资料即使被非法泄露，也无法打开应用。上网行为带来的安全风险及其需求安全、高效，是企业内网都追求的理想状态。因此，企业内部的敏感信息以及员工的行为需要得到有效的控制：一是规范员工的操作行为，确保工作时间的高效率；二是对敏感操作进行控制，防止病毒、木马的危害，降低内网安全风险。编号存在风险对应需求1上班时间炒股、打游戏、使用与工作无关的应用程序需要对应用程序的安装进行控制，限制与工作无关软件的安装。2玩网络游戏、浏览与工作无关的网站、进行与工作无关的网络聊天。需要对终端用户访问的网站、允许使用的网络应用程序进行控制。3疯狂下载电影、歌曲、程序，在线看网络电影、听音乐，滥用内部网络带宽。需要对终端用户使用的网络带宽和网络流量进行控制。4无意或有意访问到黄色、反政府等非法网站，造成病毒、木马泛滥。需要禁止一切黄色、反动、挂马等非法网站，降低内部遭受病毒、木马入侵的风险。5缺乏对员工上网、桌面行为的了解，无法掌握员工的业绩和工作状态。需要应用程序和访问网站记录的统计报表，掌握内部的操作动态。资产和系统的管理的安全风险和需求随着企业规模的扩大，内部的PC数量不断增加，IT部门面对这成百上千甚至过万的PC，缺乏一套完整有效的管理工具，依然沿用单机作业的模式，付出大量时间精力维护系统稳定。其次，IT系统管理的目标之一就是要保证企业计算机系统运行的稳定性和可靠性。倘若出现大规模严重的问题，会使整个单位的生产经营活动都陷入混乱。另外，企业内部的IT资产和非IT资产也在日益增长，如果采用传统的人手统计方式，将会消耗大量时间和精力。编号存在风险对应需求1单位的PC数量越来越多，无法集中管理，一旦大规模出现问题，影响效率的同时还危机企业信息安全。需要通过单一控制台，对内网PC进行统一管理，通过远程维护，集中管理和控制内部所有计算机。2计算机软、硬件数量无法确实掌握，盘点困难需要自动统计企业内部的IT资产，同时对及时更新软硬件变动情况。3硬件设备私下挪用、窃取，造成财产损失需要对异常的软件、硬件变化进行及时报警，提高IT管理的准确性、及时性和自动化水平4无法及时更新微软的补丁，造成内部漏洞越来越多，安全风险大需要自动检测PC的补丁安全情况，根据需要及时更新。5软件单机安装浪费人力，应用软件版本不易控制支持程序分发、程序修复、文件分发，方便网内计算机进行软件部署

三、IP-guard内网安全整体解决方案3.1信息防泄漏的三重保护推荐功能组合：文档透明加密文档操作管控设备管控移动存储管控打印管控即时通讯管控邮件管控应用程序管控网络控制屏幕监视针对企业的内网信息安全管理需求，IP-guard提出信息防泄漏三重保护方案，第一重保护是对内网信息做详尽细致的审计，让我们知道知道发生了什么；第二重保护是对信息的流动做全面严格的控管，让机密信息拿不走；第三重保护是通过安全稳定的加密，使我们重要的信息就算拿走了也不怕。3.1.1第一重，详尽细致的操作审计第一重保护也是最重要的保护。详尽细致的操作审计不仅仅能提供事后审查，更能让我们发现内网安全隐患，增强系统安全性。管理者不知道内部的信息是被谁在使用，何时在使用，信息有进行怎样的流转，那么很难能发现其中可能存在着的安全隐患，也就不知道怎么去防止它泄露。因此对信息的使用和流转进行详细的监督和审计，是一切安全控管行为的前提和基础。详尽细致的操作审计包括以下三方面：文档全生命周期审计详细记录包括创建、访问、修改、移动、复制、删除在内的每一项文档操作，同时，其他计算机对本机共享文件夹内文档的创建、修改等操作也能一一记录。另外，对于修改、删除等相关操作发生前及时备份，有效防范文档被泄露、篡改和删除的风险。详细而完整的记录存储于硬盘、光盘、移动盘、网络盘等各种位置的文档的创建、修改、复制、删除等每一项文档操作。记录对重要文件的访问、以及内部移动操作，关注文档的使用情况，及时了解重要文档被什么人访问过。记录修改、删除操作，对敏感内容的修改和删除，可作修改前或删除前备份，防止被有意或无意破坏导致数据丢失。文档传播全过程审计细致记录文档通过打印机、外部设备、即时通讯工具、邮件等工具进行传播的过程，有效警惕重要资料被随意复制、移动造成外泄。详细记录文档的复制、剪切等移动过程，关注往移动存储设备拷贝等操作，并能详细记录移动内容，方便地达到内容审计。记录收发的标准协议与Exchange格式邮件的收发内容，以及Lotus和网页邮件的包括附件在内的发送内容。记录的内容包括收件人、发件人、邮件正文及附件等应用先进的打印映像记录技术，记录打印内容，可记录各种类型打印机的文档打印映像，即使是OA、ERP中无文档形式的打印内容也能够记录下来。记录映像会上传到服务器上，保证保存的内容即是打印的内容，以备后期审计之用。对于使用即时通讯工具进行的文件传输也能进行记录。对于一些非经常使用的如智能机同步文件、光盘刻录等操作也会有相应的记录。桌面行为全面审计除了对文档的审计以外，对于信息安全要求较高的客户使用功能更为强大的桌面行为审计。IP-guard强大的屏幕监控功能严密监视计算机的屏幕画面，无需摄像头即可清楚了解用户的桌面操作。不但能够方便管理者同一时间对多名用户进行观察，还能结合日志对历史屏幕记录情况进行查看。能实时跟踪查看网内一台或一组计算机的屏幕画面，同时监控多台计算机当前屏幕状况。IP-guard强大的屏幕监控功能严密监视计算机的屏幕画面，无需摄像头即可清楚了解用户的桌面操作。按自定义时间间隔记录计算机屏幕，并可由日志记录直接查看当时屏幕历史。能够将屏幕历史记录输出为wmv格式视频。能通过屏幕历史记录做严格的屏幕审计，查看泄密事件发生时的屏幕情况。对计算机硬件的插拔记录，并提供报警。对计算机的启动、登录、注销、关闭作详细记录。安全审计的作用可以用作事后审计，追踪责任。对信息使用行为进行有效的监督和审查，能有效地避免法律风险和商业风险。可以对可能的窃取行为产生强大的心理威慑力，降低犯罪欲望。可以发现可能的危险趋向，及时做出预防。可以发现系统里可能存在着的各项风险和隐患，以供补救；

3.1.2第二重，全面严格的操作控制第二重保护，就是对机密信息的使用进行全面严格的控管。在了解了文档使用的情况下，我们就可以了解这些机密信息的使用状况，可以制定相应的策略对文档流转进行有效的控管，防止通过各种渠道的主动窃取和被动失密。对于操作控制，应包括以下几方面：信息安全防护首先应该做的就是对安全边界的防护，而安全边界的防护，首先应该防护的就是网络边界。网络是信息交流最便捷的地方，也是信息泄露最常见的途径。网络边界防护应该断绝一切与工作无关的网络应用，对工作必须的网络应用，选择性地在规则范围内进行开放。网络准入控制。只允许满足要求的计算机接入到网络以内，禁止非法计算机访问网络。阻止外来非法计算机通过接入内网获取重要文件信息。网络通信控制。限制计算机的行为规则，限定哪些计算机只能跟哪些计算机进行通讯。可阻隔与外界结计算机的通讯。同时也可对敏感的计算机与其他计算机进行隔离，降低信息泄露的危险。邮件控制。能对邮件软件方式的邮件进行控制，可以对指定的发件人、收件人、附件或主题名称等进行邮件和附件的发送控制。外设边界防护外设边界是除了网络边界外的另外一个重要的安全边界。外部设备种类繁多，并且功能越来越多，对外部设备的管控必须全面、严格而且细致。其中移动存储设备是信息通过设备边界交互最常见的途径，需要更严谨的控制。设备控制。限制U盘、移动硬盘、光驱、刻录机等各类存储设备的使用，禁止通讯接口和无线网卡、即插即用网卡等网络设备，避免非法外联，管理声卡等的使用，杜绝视听等无关应用，禁止其他一些新增设备，杜绝安全隐患。移动存储控制。能单独控制每一个移动存储设备的读写权限，能将普通移动存储设备格式化为加密盘，是移动存储设备只能在内部使用，做到内盘内用，外盘外用。内部使用控制对内网信息的使用控制也是信息保护中重要的一环。对重要的信息应该设置对应的使用权限，防止文档的权限失控。另外，须对系统进行加固，原有的操作系统可能存在一定的安全隐患，可能导致无意的信息泄密，应通过技术手段规范设置系统属性。文档权限管理。精确控制用户对本地、网络等各种位置的文件甚至文件夹的操作权限，包括访问、复制、修改、删除等，防范非法的文档操作，同时根据用户不同的部门和级别设置相应的文档操作权限。打印控制。管理用户对各类打印机的使用权限，包括虚拟打印机、共享打印机、本地打印机、网络打印机等。限制能够进行打印的应用程序，防止对业务系统中的无文档形式打印。桌面安全控制。通过对计算机的桌面使用作规范管理，减少安全隐患，降低因无意的过失使用，导致信息泄露。具体内容包括禁止使用控制面板、关闭本地的网络共享、禁止修改网络属性等。违规报警管理人员必须对违规行为能及时发现，并作出处理。用户违规变动系统配置或触发策略时可以报警并警告违规操作，必要时锁定计算机。报警信息可发送到指定邮箱，通过邮件的形式告诉相应的响应人员。操作控制的作用严格地对信息的带出进行控制，防范内部人员把机密信息带出单位。有效阻止外部人员进入内部窃取资料极大降低因安全意识不强造成的信息泄露3.1.3第三重，安全稳定的透明加密虽然我们实行了严格的控管，但是百密难免一疏，例如硬盘失窃或者笔记本电脑失窃，都会造成机密信息的泄露。通过文件加密的方法从源头上对文件进行保护，防止信息泄露。强制透明加密通过在用户计算机上部署客户端，IP-guard能对需要保护的电子文档进行强制性的加密，合法用户使用时自动解密，整个过程完全自动并且不影响用户原有的使用习惯。采用高强度加密技术，对文档进行强制透明加密，使得无论何时何地文档都以密文形式存在。提供自定义密钥和选择加密算法，在授信环境中，文档能自动解密,丝毫不影响用户原有的使用习惯；在非授信环境中，加密文档则无法正常打开和使用。在加密文档的合法使用过程中默认禁止截屏、打印等操作，或者剪切、拖拽加密文档内容到QQ、Email等可能造成泄密的应用内部权限控制对于多部门多层级的组织，IP-guard引入了分部门分级别的权限控制机制，根据文档所属部门和重要程度贴上标签，用户对不同标签的文档的访问权限的集合组合成其特有的内部文档使用权限。根据文档的重要程度不同，可将加密文档划归不同的安全区域和级别，以便让不同部门和职位的用户使用，建立分部门分级别的保密机制。用户可灵活调整文档的区域和级别，对重要文档可采取提高其级别的方法来禁止普通用户的使用。默认情况下，不允许离线使用加密文档。必要时可单独设置用户离线时能使用的加密软件和使用权限，如只读、禁止复制、编辑、打印等文档操作。外部沟通安全对于合作伙伴等外部用户，IP-guard提供加密文档阅读器，可以保证外发的加密文档只能被指定的用户在指定的时间内正确的使用，保证加密文档离开内网环境后的安全。用户能够对需要进行外发的文档进行加密控制,只允许授权的外部人员查看,防止二次泄密。指定外发文档的查看期限以及使用权限。可靠的防灾机制运用备用服务器机制，应对各种硬件及网络故障，保证系统持续不断的稳定运行。文档备用服务器和紧急模式的启用，保证文档在加密过程中的安全。文档透明加解密的作用时时刻刻、随时随地保护机密信息最大限度防止信息外泄3.1.4客户收益一、全方位保护机密数据，避免因信息泄露造成不良影响。通过IP-guard建立全方位、立体化的信息防泄漏体系，针对各种可能信息泄露方式做到事前预防，事中控制，和事后审计，保护信息全生命周期的安全，有力保护财务数据、研发资料等机密资料的安全，避免了因泄密事件带来的巨大损失和不良影响。二、详细掌握内部所有操作。对企业内部的操作行为进行细粒度的审计，建立一套安全、合理、高效的管理规则，使用户操作的更加可视化、规范化、流程化。三、建立分级保密体系，提升企业信息安全水平。IP-guard内建的内部权限控制体系，能够满足实现现代组织结构下多部门多层级的内部保密需求，提高员工保密意识，提升组织信息安全水平，进而提升组织竞争力。四、避免法律和商业等风险“审计-管控-加密”三重保护体系，全面保护企业信息资产，帮助企业专注于核心事业，符合各类保密法律法规的政策要求，同时规避商业、法律、政治上的风险。五、实现信息安全目标全方位的信息防泄漏解决方案，帮助企业构建“事前防御—事中控制—事后审计”的完整的信息防泄漏体系，从而实现信息安全的透明性、可控性和不可否认性目标。六、符合遵守等级保护以及其他相关法律法规的要求完全符合国家正积极推进的等级保护和《企业内部控制基本规范》等要求加强企业内部信息安全保障工作等法律法规的要求。3.2应用效率的管理推荐功能组合：文档打印管控网页浏览管理网络流量管理网络通讯控制设备管控即时通讯管控邮件管控应用程序管理屏幕监视IP-guard的应用效率管理主要帮助企业管理者对企业员工的电脑使用行为进行统计分析，帮助管理者及时了解员工的工作状态，从而提高管理者对企业的把握能力和执行力，保证信息系统的应用效率。3.2.1对工作情况进行统计分析IP-guard可以多角度统计应用程序的使用时间和百分比，可以图表方式显示统计结果。也可通过时间范围，对工作人员，部门或整个网络的计算机的应用程序使用情况进行统计，统计方式多种多样。通过对员工的应用程序使用进行个性化统计和分析，能根据员工使用程序的情况和频率，客观的评估职工的工作情况。3.2.2网络流量统计分析IP-guard能从多角度统计网络流量资源的使用情况，统计方式包括按地址明细，端口明细，地址类别，端口类别。如：可以查看每一个用户每一个端口的流量，从而可以分析出该员工的工作效率。3.2.3对行为进行控制管理IP-guard能根据管理者的意愿定义控制策略，控制是否允许客户端计算机上各种应用程序的使用。通过应用程序的控制，达到限制员工进行炒股、游戏等与工作无关的行为，提高员工的工作效率。3.2.4对网络流量的控制管理IP-guard能通过指定时间范围，网络地址、端口范围、流量方向来限制计算机流量速度范围。避免因为BT下载或在线视听等行为影响了主要业务的流量，导致主要业务不能正常进行。3.2.5客户收益一、规范网络行为，避免“网络旷工”IP-guard对上网行为进行行之有效的控制和规范，人性化管理企业上网行为，避免“网络旷工”给企业带来的隐形损失，提升业务办公效率，营造良好的工作氛围。二、全面带宽分配管理，保证关键业务应用IP-guard对网络带宽资源统一管理分配，避免BT下载、FTP等无关应用占用企业过多资源，确保关键业务顺利进行，同时还节省了企业的带宽支出。三、直观的统计报表，掌握员工工作动态。直观、清晰的网页浏览时间统计和应用程序统计报表，帮助企业详细掌握用户的桌面行为，同时，全面而细致的审计和分析，可以为企业人事考评提供参考。• 四、过滤网站访问，降低网络安全风险，规避法律风险利用IP-guard预先对高风险的网站以及色情、反动网站等进行封堵，减少病毒、间谍软件和黑客的侵扰和攻击，同时避免了利用公司资源浏览色情、反动网站等带来的法律风险。3.3系统的维护和资产管理推荐功能组合：资产管理远程维护网络通讯控制IP-guard的系统管理主要帮助企业的资讯部人员方便合理地管理计算机系统，他能帮助资讯部管理员了解各台计算机运行状态，进行系统安全管理和资产管理，同时还具有出色的远程维护能力，帮助管理员保障系统顺畅运行。3.3.1对计算机基本属性的保护IP-guard帮助IT管理人员对计算机的基本设置（包括控制面板、系统设置、网络设置等）进行保护，让系统不会因为被随意修改而降低安全性，同时管理各个计算机基本设置能更方便IT管理人员对计算机的管理。3.3.2实时查看客户端运行状态IP-guard能查看每台计算机的硬件和软件资产信息或按组、计算机来统计硬件和软件分布在哪些计算机。自定义添加企业内的资产信息如路由器、交换机等，并可像其它资产信息一样查询。在软硬件发生变化时，还能记录日志并向管理员报警。他能方便管理者对员工的软、硬件信息进行管理，为排除故障提供依据。为公司其它资产的整理提供了有利条件。IP-guard还能远程维护网络内的计算机当前运行的：应用程序列表、进程列表以及性能，设备管理，系统服务，磁盘管理，共享文件夹，计划任务，用户和组信息等。方便管理员查询任意一台电脑的系统运行状态，对违规的或不正常的程序或进程即时制止。3.3.3对使用者进行远程协助管理员可远程连接到客户端桌面，像操作本地计算机一样操作客户端的计算机，可以通过控制台远程连接到员工计算机桌面，方便对计算机系统的维护，排除故障等。管理员可向计算机自动分发安装程序并安装，自动分发各种文件到指定的目录下；或分发其它执行程序到计算机，从而实现安装软件自动化部署，大大提高程序部署的效率；提高IT管理人员的工作效率。3.3.4系统补丁和漏洞管理IP-guard能通过查看计算机的系统漏洞信息、并给出了手工解决漏洞问题的建议，帮助解除系统的安全隐患，同时减少网管人员的工作量。通过IP-guard能随时查看安装了客户端的计算机补丁情况，及时检测并下载微软的官方的最新补丁，即时给未安装补丁的客户端打上补丁。能提高内网管理的工作效率，降低网络资源成本，保障了系统的安全。3.3.5 资产管理IP-guard能查看每台计算机的硬件和软件资产信息或按组、计算机来统计硬件和软件分布在哪些计算机。自定义添加企业内的资产信息如路由器、交换机等，并可像其它资产信息一样查询。在软硬件发生变化时，还能记录日志并向管理员报警。他能方便管理者对员工的软、硬件信息进行管理，为排除故障提供依据。为公司其它资产的整理提供了有利条件。

3.3.6客户收益一、集中管理维护，轻松自如掌控借助IP-guard的集中管理功能，通过单一控制台即能够掌控整个系统的资产和运行信息，同时完成系统的维护，再大规模的系统也能应付自如，帮助IT管理员节约大量时间和精力。二、变被动为主动，降低安全风险IP-guard对各计算机运行状况进行实时检测，自动扫描补丁和漏洞情况，一改以往出现故障再解决的被动局面，并可通过控制网络通讯，降低病毒攻击的风险。三、提升系统可用性，助力业务发展IP-guard系统管理解决方案让IT系统时刻运行于顶峰状态，保证业务发展提供动力。四、自动统计IT资产，节省大量人力物力使用IP-guard后，一改以往的手动统计资产模式，自动统计内部资产并及时更新，大大减少IT管理员能工作量，节约了更多人力物力，帮助IT部门更专注企业信息化建设。四、IP-guard方案优势5.1易部署5.1.1IP-guard提供直接安装，远程推送和域登陆脚本安装等多种安装方法，方便企业根据自身网络情况选择最便利的方式进行部署。5.1.2IP-guard具备优异的自我保护功能，能够有效避免用户自行卸载，IT管理人员不需要重复多次部署5.2易使用5.2.1IP-guard界面十分友好，即使是非技术人员也能在短时间内运用自如5.2.2IP-guard的策略继承与组合机制使得为每一台计算机各自设定策略变得简单易行。5.3易管理5.3.1通过灵活的策略继承与组合，IP-guard可以满足管理者多种多样的管理需求5.3.2IP-guard能够分别针对计算机或者用户进行管理，针对同一台计算机，对不同的用户也可以进行差异性的设置5.4功能全面IP-guard的解决方案涉及到内网安全管理的方方面面，从网络边界的防护，到计算机桌面安全的防护，全面的解决了用户的内网安全难题。5.5运行稳定，值得信赖5.5.1目前已经有超过了4000000的计算机在运行IP-guard，这些计算机分属于22个行业的超过一万家客户。5.5.2在IP-guard服务的众多客户中，约11%的客户为部署超过1000节点的大规模客户，其中部分客户的服务时间已超过5年。5.5.3IP-guard的客户遍及国内各行各业以及北美，日本，新加坡和台湾的知名企业，经过众多客户实际运行检验的产品稳定性，深受客户好评。5.6灵活扩展5.6.1IP-guard的十五项功能相互间能够自由无缝集成，企业可以量体裁衣，小也可以解决大问题5.6.2单纯的允许与禁止在现代社会显得简单粗暴，无法满足客户的管理需求，而IP-guard提供的分时，分权限，分内容的多种灵活而又精准管理办法，帮助企业实现人性化管理。5.7强大的技术支持能根据客户需求完成快速完成二次开发，也能在客户系统出现问题时第一时间作出及时的相应和处理。

五、IP-guard介绍IP-guard企业信息监管系统，是一款领先的内网安全软件，它能够协助企业解决最棘手的内网安全问题。借助IP-guard强大的功能,企业能够有效地防范信息外泄，保护信息资产安全；营造健康安全的网络环境，提供工作效率的同时合理分配网络资源；IT人员还能够轻松进行系统维护，保证系统运行时刻处于巅峰状态，促进业务持续发展！目前，已经有近万家企事业单位部署了IP-guard，客户范围遍及科研、金融、军工、电信、教育、电子电气、制造、政府及公共事业单位等众多行业和领域，成功部署超过4百万台电脑，为诸如奔驰汽车、三一重工、索尼电子等国际知名企业和中国500强打造了可信赖的安全内网。另外，IP-guard已推出中文简体版、中文繁体版、英文版、日文版和俄文版5种语言版本，产品更远销至欧美、日本、印度、南非、俄罗斯及港台等36个国家和地区。因深谙用户所需，IP-guard提供模块化的销售方式，共包含15项强大的功能。根据实际需求，用户可以选择不同的模块进行组合，按需取用更能保证IT投资回报率。IP-guard十五大功能模块，依次如下：V+全向文档加密V+全向文档加密系统采用高安全性的透明加密技术保护服务器、终端、移动存储、网络等各类位置的敏感数据，让企业免受疏忽甚至恶意的敏感信息泄露造成的损失。自动而高效地加密图档、代码等各种数据，帮助构建“分级授权，内外有别”的立体信息防泄漏体系。提供系统内部密钥和自定义安全密钥，同时能让客户自由选择加密算法，安全性掌握在客户手中，同时，V+深知文档安全稳定性之重，采用采用虚拟计算技术，保证系统加密文档的安全性和稳定性；还运用了智能缓冲技术，有效减少加密对系统资源的开销。免费提供对各种应用软件的加密支持，方便用户自己选择。文档操作管控完整记录内部网络中的文档使用与传播的全过程，发现违规使用行为，防止文档非法篡改或泄漏。文档操作管控系统提供对PC文档操作的全记录，包括从文件的创建、访问、修改、删除，乃至对于各种各样的文档流转传播，如上传、下载、刻录、发邮件、拷U盘等，甚至连计算机对文档服务器的共享目录的修改和删除操作，以及光盘刻录和智能手机等同步操作也都可以一一记录。并且，还能控制内网所有计算机对某些文档的读取/修改/删除权限；不同的计算机和不同的文档之间可以有不同的权限；支持对指定类型文件或者对整个文件夹的操作权限进行统一管理。对于内部重要的文档，IP-guard可在其被移动、修改或被删除前进行内容备份，防止文档因有意、无意的操作而被破坏。移动存储管控分类规范移动存储设备的使用，移动存储设备读写权限授权的控制与移动盘加密实现“内盘内用，外盘外用”，防范移动存储泄密。首先，移动存储管控系统可自动将在网络中使用过的移动存储设备的信息加入到移动存储类别库中，方便管理人员进行分类管理，例如将企业内部U盘按部门分类规范管理，做到专盘专用。并且，可将企业U盘统一制作成内部专用的加密盘，使其只能在内部使用，在外部无法读取，做到“内盘内用”；禁止外来U盘在企业内部使用，做到“外盘外用”。另外，提供对写入的文档进行自动加密和整盘加密两种灵活的加密方式，让移动存储管理更加安全。设备管控控制几乎所有计算机外部设备的使用，降低外设泄密风险，限制利用外设进行娱乐等无关应用。控制设备的类型包括几乎所有外设，并可选择对任何新设备进行禁用。同时在每一类的设备里，也能把设备的控制细化，如USB设备，会被细分为USB鼠标、USB键盘、USB硬盘等。控制客户端各种类型的设备：存储类设备：软/光盘、刻录机、磁带，可移动存储设备等；通讯类设备：串/并口、SCSI、1394、蓝牙、红外线、MODEM、直接对联线等；USB类设备：USB键盘、鼠标、MODEM、映像设备、存储、光驱、硬盘和其他USB设备；网络类设备：无线网卡、即插即用网卡、虚拟网卡等；其他类设备：声音设备、虚拟光驱等。另外，设备管控功能还可分时间段灵活控制外设禁用，如上班时间禁止视听、视频娱乐设备，休息时间开放使用。打印管控有效审计每一次打印操作，灵活的控制打印权限，防止纸质渠道的信息外泄与打印浪费。应用打印管控可管理和记录包括虚拟打印机、网络打印机、共享打印机等各种类型打印机的打印操作。详细记录每一次打印操作的时间、用户、文件名等信息，同时还应用先进的打印映像获取技术，记录打印内容，即使是OA、ERP等无文档形式的打印内容也能够记录下来，保存的内容即是打印的内容即时通讯管控完整地审计QQ、MSN等即时通讯工具的聊天记录，了解用户工作状态，防止重要文件经由即时通讯工具泄漏。即时通讯管控提供对QQ、MSN、飞信、雅虎通、UC、SKYPE等多种聊天工具的内容记录，率先支持对QQ、SKYPE等内容加密传输的即时通讯工具的审计，同时还能随着即时通讯工具的升级而不断更新，确保管理有效。另外，能够根据传送文件的名称、文件大小的限制来控制传送文件的权限。并可通过即时通讯工具传送的文件内容。邮件管控帮助记录和审计用户收发的电子邮件，发现违规行为，同时控制电子邮件收发，防止重要信息泄漏。邮件管控系统能详细记录普通邮件和Exchange格式邮件包括附件在内的发送和接收内容，记录Lotus和网页邮件的包括附件在内的发送内容。能够对邮件的发送进行精确的控制，包括按指定的发件人、收件人、邮件主题、邮件大小的发送控制。应用程序管控帮助管理者清楚了解用户使用了哪些应用程序，直观多样的报表辅助制定黑白名单，防范不良程序风险，提升工作效率。可按照部门类型、应用类型等多个角度对应用程序进行分类统计，统计出的应用程序时长及百分比，以清晰的图表形式呈现。能根据管理者的意愿定义控制策略，控制是否允许客户端计算机上各种应用程序的使用；并且自动收集客户端应用程序的特征信息，用户即使将应用程序改名之后管控依然有效。网页浏览管控完整记录用户的网页浏览，限制与工作无关或有风险的网页访问，降低安全风险，提升工作效率。网页浏览管控系统支持包含Firefox、Maxthon、Chrome等绝大部分的主流浏览器。同时，统计访问的网页及其使用时间并以列表和图表两种方式显示，通过自定义的时间范围，对单个工作人员，部门，或整个网络的计算机的上网浏览使用情况进行统计。支持分时段、分类别进行上网限制，控制用户允许访问的网站范围，支持在网址中使用通配符，方便对相同类型的网站进行控制。网络流量管控统计内部网络的流量状态，帮助合理分配带宽资源，保障关键业务的带宽，防范网络拥堵。根据端口与IP地址等参数统计计算机或计算机组的网络流量，并以图表形式多维度输出统计结果。能够按照上班时间、工作时间等分时间段控制网络，根据端口、IP地址、方向等参数限制计算机或计算机组的网络流量。屏幕监控最直观地记录用户的屏幕画面，随时追溯用户的计算机使用行为，必要时可即时查看和跟踪用户屏幕画面。通过屏幕监控系统可实时查看用户PC的桌面画面，可结合日志审计准确定位到指定时间的屏幕录像。提供多屏监视功能，可以对一组的计算机进行批量集中监控。能够针对不同的应用程序采取不同频率的记录，以便对敏感应用程序进行记录；同时应用了增量记录，高速压缩后进行存储，更能优化存储空间，保证屏幕记录的数据量偏小。能够将屏幕历史转换成通用视频格式，为事后追踪保留证据。资产管理随时监测和查看各种IT资产及其变动情况，输出资产报表，集中地管理IT资产，防止资产流失。自动扫描监测客户端计算机软硬件IT资产及其变动情况，支持自定义的资产查询和统计及对打印机、路由器等非IT资产的自定义管理。提供详细的软硬件资产的变更日志信息，并能向管理者提供报警功能，帮助管理者管理企业的资产资源。扫描检测计算机的微软补丁安装情况并集中下载最新补丁分发到各计算机进行安装。资产管理系统能制作软件安装包或脚本分发至各计算机进行集中安装，支持静默安装和断点续传等多种安装方式。远程维护IP-guard提供了丰富的远程维护工具，方便管理员在单一平台上集中远程管理和维护系统内的计算机，提升IT运维效率。通过单一的控制台能够远程查看并维护网络内的计算机当前运行的：应用程序列表、进程列表、以及性能，设备管理，系统服务等。还可远程连接到远端计算机的桌面，并直接对计算机进行操作或示范，对计算机进行系统维护和故障排除等。并且支持管理机与受控计算机之间传送文件，帮助管理员分析远程的文档数据，以及即时派送文件等。基本功能提供集中的内网管理平台架构，简化大量重复性的基础管理工作，帮助总揽内网全局。IP-guard操作界面十分友好且直观易用。丰富强大的基本架构：支持终端服务器模式，支持无盘启动模式，支持按照用户或者计算机进行权限管理的双重管理模式，可与AD域同步，多语言完美支持并且按照“三权分立”的思想，提供多管理员帐号的管理。可以设定管理范围和管理权限各不相同的管理员，帮助企业达到一个细致的管理，同时所有管理操作都进行记录以供审计细致的管理员权限划分和分级管理客户端与控制台之间采用安全高效的加密通讯，确保数据安全。另外还具备健全的客户端自我保护机制，有效防止非法卸载。六、关于我们广州网宝科技信息科技有限公司是溢信科技在广州的代理商，总公司自主研发的IP-guard内网安全管理系统，是国内唯一能够提供内网安全整体解决方案的产品。历经10年市场考验，IP-GUARD已经服务于超过1，0000家客户，部署超过4000000台计算机，客户范围遍及金融、制造、电力、科技、政府、医疗、教育等各个行业和领域。其中，奔驰汽车、索尼、佳能、中国移动、中国石化等世界500强企业，香港廉政公署、中国海事服务中心、河南省安监局、湖南省财政厅等政府机构，中国移动、娃哈哈、三一重工、葛洲坝等中国500强企业以及日本横滨银行、中国农业银行、顺德农商银行、中国银联等金融机构都已经成为我们的荣誉客户。另外，产品成功推出中文简体・繁体、英文、日文和俄文4种语言版本，IP-guard更远销至美国、日本、印度、南非等36个国家和地区。海内外客户对IP-GUARD产品强大的功能和出色的稳定性给予了极高的评价。总公司溢信科技十年如一日，始终专注内网安全领域，近年来溢信科技喜讯不断，奠定了其内网安全领军企业的基础：◆2009年度网管员最喜欢的内网产品◆溢信与IBM、惠普等企业一同荣获“辉煌十年•2009-2010年度中国软件和信息服务十大领军企业”的殊荣◆溢信研发总监黄凯获选“辉煌十年•2009-2010年度网络安全领军人物”◆亚洲最大IT展会ComputexTaipei2010上，IP-guard勇夺BestChoiceAward大奖◆IP-guard荣获“2010最值得推荐防文档外泄管理品牌”网宝深知，荣誉的获得源自客户的支持、源自自身的不断努力。但荣誉属于昨天，未来，网宝将一如既往专注于内网安全领域，持续推出更加优质的产品，作客户最信赖的安全伙伴！另外，IP-guard还获得以下的认可：全球第一大软件下载网站CNET全球第二大软件下载网站接近满分的星级评价Brothersoft编辑推荐奖2010年政府及公用事业单位2009中国网管员最喜爱的内网品牌最值得推荐的防文档外泄管理品牌IP-guard成功案例案例1：结束安全战国时代，实现IT规范化管理——IP-guard助力兄弟工业建设统一安全内网战国时代，各国语言不通、观念各异、文化也不同，人们交流起来十分困难。秦始皇一统天下之后，建立了高度集中的中央集权，在各地保留自己的文化风俗的前提之下，规定使用标准的货币、文字，让各地的人们能够顺利交易、沟通，促进了中国经济、文化飞速发展。正如治理天下，统一的IT规范化管理对于拥有众多分公司或销售网点的企业来说，亦非常重要。部署一致的内网安全产品，在总公司内部进行总的策略控制，并且根据各地的不同情况分配不同策略，实行差异化和集中化结合的管理方式，统一内部信息安全水平。日前，兄弟工业株式会社正在大刀阔斧进行统一的内网安全体系建设。小编就跟大家一起看看兄弟工业究竟怎样结束了内网安全战国时代？IT规范化管理的安全观念兄弟工业创立于1908年，是一家拥有百年历史的企业，其生产的打印机、传真机占据日本市场第一，且连续7年占据美国销售市场的前列，欧洲市场第2位。目前，兄弟工业在世界19个国家和地区拥有生产基地销售网点遍及欧美、亚太、中东、南美、大洋洲等43个国家和地区。作为全球屈指可数拥有激光和喷墨核心技术的企业，互联网时代，兄弟工业为了保护自己网络安全高枕无忧，“不求最好，但求最贵”地为自己配备上各种最佳的单一产品，由于地域原因，总公司及各分公司使用的安全产品又不同，就像战国时期，各用各的技术和语言，各有各的数据格式和语义。导致总公司无法掌握分公司内网操作，更增加了维护成本以及技术的复杂性，安全风险以及集中管理难度异常之大。兄弟工业逐渐意识到，必须进行IT的规范化管理，保证总公司掌握分公司的运营动态，统一内部信息安全水平，降低信息泄漏风险。挑选产品，成就“统一大业”经过对自身情况的综合分析以及产品的对比选型，兄弟工业决定选择能够提供亚洲唯一的内网安全整体解决方案的IP-guard内网安全管理体系，在IP-guard中、英、日等多种语言版本的保证下，实施大规模部署。初次采购，兄弟工业购进了文档操作管控、网页浏览管控、网络管控、设备管控、移动存储管控、打印管控、即时通讯工具管控、邮件管控、资产管理以及基本功能11大功能模块，在总部以及国内子公司部署10000个客户端，在亚洲地区的工厂、经销商全体部署5000台计算机。现在让我们看看“统一”之后的兄弟工业变成了何种模样。建立了完善的审计机制，详细掌握内部操作在IP-guard协助下，兄弟工业在总公司、日本各分公司以及亚洲地区的工厂、经销商内部建立了全面的审计机制，实现了内网操作的可见可查。记录了包括设计图纸、财务数据等文档的操作，包括对文档的创建、访问、修改、复制、删除、打印以及拷贝到移动存储设备等操作，结合更加细致的内容备份，更加可以防止以任何形式破坏机密文档。并且，利用IP-guard，兄弟工业还能查看员工经常使用的Exchange、Lotus邮件包括附件的发送内容，防止无意或有意的机密外泄。根据各地的实际情况，实施差异化管理“因为各地差异化的需求，我们集中设置管理策略之前，充分征集了各地IT管理人员的意见。”兄弟工业负责人表示，按照各地的实际情况进行管理，才能达到集中管理的目的。对于安全程度要求高的总公司以及各地生产工厂，为了防止员工把PDM的设计资料等机密带出，限制员工通过MSN、雅虎通等即时通讯工具传输企业文档；同时要求员工统一使用公司邮箱，禁止使用网页邮件等不规范邮箱；并且禁止U盘、移动硬盘、蓝牙等设备的使用，最大限度防止信息外泄。另外，为了保证正常的业务的开展，兄弟工业禁止内部随意安装包括炒股、新闻浏览、P2P网络电视软件等与工作无关的软件，规范了内部的桌面行为。轻松快捷地统计IT资产,大量节省人力物力由于企业规模宏大，兄弟工业内部的IT资产数量也非常可观，人手统计费时又费力。在IP-guard协助下，兄弟工业能自动扫描计算机软硬件IT资产及其变动情况，同时对日常办公中的非IT资产如桌椅、路由器等进行管理；轻松查看已经购买的OFFICE、ERP、OA等需正版授权的软件License总数和已使用数，获取软件部署情况；更为方便的是，兄弟工业还可集中部署ERP、OFFICE等软件到客户端计算机，大幅度提升了软件部署效率，节约了大量的人力物力。虽然不是秦始皇，但借助IP-guard兄弟工业一样实现了内部的集中化统一安全管理。集中统一的效果如何？兄弟工业负责人谈及这一情况如此称赞：“IP-guard为我们构建了统一高效的安全内网，方便我们对亚洲区域的分公司进行集中的安全管理，掌握了所有的操作行为，让我们不再担心内部信息资产的安全，未来，我们将在更多地区推广这种做法！”案例2：蜡笔小新内网安全建设之路——从上网行为管理到信息资产防护记得几年前，看过一个印象深刻的广告：胖小子郝邵文扮成小和尚在偷吃果冻，突然被方丈师傅发现了，本以为胖小子会被罚，岂料师傅也禁不住果冻的诱惑，两个人一起大吃起来。郝邵文滑稽的表演和本身有趣的情节令人捧腹，同时也让人记住了广告中的另外一个主角——蜡笔小新果冻。仅仅10年的时间，蜡笔小新(福建)食品工业有限公司（以下简称“蜡笔小新”）从一家生产罐头、饮料的小型家族企业，成长为今天国内果冻行业的领头羊，缔造了一个食品企业快速成长壮大的神话。

蜡笔小新不仅对产品和品牌有着不懈地追求，在企业内部建设方面也有着自己的理念。早期信息化中的问题随着公司信息化建设的日益加强，蜡笔小新引进了OA、ERP等日常办公管理系统。随着项目的深度实施，增强了公司对人、财、物的整体管控能力；提升了企业的整体运作效率。就在内部信息化建设取得一定成绩之时，2007年，蜡笔小新也遇到了信息化带给当时大部分企业的一些内网安全问题：首先，由于上网行为缺乏管理，某些员工竟然在上班时间使用公司电脑观看在线电影、浏览新闻、炒股等，导致工作效率下降，影响了工作风气。另外，公司对下载没有管制，在线听音乐、看视频占用大量带宽资源，“严重影响了业务的开展”蜡笔小新的IT部经理陶金如是说。同时，还存在着利用U盘等移动存储设备把公司里的财务报表、生产成本等机密文档外泄出去的风险。陶经理说，为了解决这些问题，他们制定了一套员工行为守则，但推行之后收到的效果有限，于是决定借助内网安全产品来管理上网行为。对于为什么选择IP-guard，陶经理解释道：“IP-guard很实用，能够满足我们的需求。而且，我们是通过终端服务器来工作，能够支持终端服务器的产品很少。IP-guard不但能控制每一台计算机，还能按照不同的用户设置不同的策略，这非常符合我们的要求。”“以人为本”的管理策略安装内网安全软件，规范员工的行为，对于中国早期的任何一家企业来说，都会害怕受到员工的抵触。在没有得到大家认可前，心里或多或少有些担心，对于陶经理来说，也是同样。“在安装前，我们制定了员工行为规范，并召集了所有的员工，跟他们说了管理的目的和方法。出乎我们意料的是，大家对安装IP-guard表示理解。”陶经理接着说：“可能是由于我们把工作时间和休息时间分开来管理吧，大家比较能够接受这种人性化的管理策略。”蜡笔小新在内部禁止在线视频和音乐，同时，屏蔽工作时间访问如体育新闻、购物网站等所有与工作无关的网站，过滤掉了黄色、反政府等非法网站。另外，限制工作时间进行BT下载和P2P，保障网络畅通和企业核心业务的运作；禁止工作时间使用游戏、炒股等程序。对于使用互联网进行网络传输的市场部和销售部，利用IP-guard记录下他们经常使用的QQ、MSN等即时通讯工具的文件传输活动，以及公司常用的普通邮件和exchange邮件包括附件在内的发送内容。并且为了防止内部文档随意传播，蜡笔小新还在研发部、财务部等部门禁止了USB接口的使用。内网安全建设重点转移：行为管理→文档安全3年时间的内网安全建设，让蜡笔小新收益颇丰，不仅提高了整体工作效率，也让规范的行为操作贯穿于整个企业，形成了健康高效的工作氛围。说起这些成果，陶经理面露喜色，但提到近期福建制造行业发生的几起企业资料外泄事件，他的脸上又恢复了严肃的表情，陶经理坦言，连续几次的行业泄密事件让大家非常震惊。事发之后，公司领导开始要求IT部门展开信息资产保护工作。2010年6月，蜡笔小新决定继续寻找IP-guard帮其解决信息安全困扰。得知需求后，IP-guard技术专家对蜡笔小新的内网环境做了详细的分析，建议其增购透明加密功能，并对其之前的管理策略进行了一些调整，为其提供了全面的信息防泄漏解决方案：首先对销售部、财务部这两个部门的销售额度、财务报表等WORD、EXCEL格式文档进行强制加密，确保即使文档被非法带出公司，也无法打开应用。并且，根据蜡笔小新部门的层级关系，建立了立体化的保密体系：销售部、财务部的员工有权访问自己部门的加密文档，公司经理级以上的职员才有访问加密文档的权限。这样做一是可以严格控制涉密文档的传播范围，二是提高了员工的保密意识。结合之前的操作管控和强效审计机制，蜡笔小新已经成功建立了“审计-控制-加密”三重保护信息防泄漏体系，最大限度保护内部资产，实现了“事前防御-事中控制-事后审计”的完整的信息防泄漏流程。另外，陶经理表示，由于已经对机密文档进行了加密，所以现在公司里允许使用U盘、移动硬盘等设备，保证信息安全的同时也方便了文档的传输和使用。另外，以前禁止了在线视频的操作，现在由于员工需要通过视频进行培训，开放了在线视频的权限。陶经理感慨，自己从事公司的信息化建设已经很多年了，加密项目让他得到了最大的收获就是：内网安全建设的重点随着信息化的推进而变化，明确这个是内网安全建设成功的关键。IP-guard荣誉客户国际知名企业ThePeninsularNewYork（纽约半岛酒店）M&LFOOdsCo.（洛杉矶M&L食品有限公司）AlliedBank（联合银行）TheStateExport-ImportBankofUkraine（乌克兰国家进出口银行）PT.HINOMOTORSSALESINDONESIA（日野汽车印度尼西亚销售有限公司）ThaiYamahaMotorCo.Ltd.（泰国雅马哈发动机株式会社）奔驰汽车新加坡丰益集团毕马威兄弟集团三星奥克斯集团卡西欧集团国内500强企业中国葛洲坝集团股份有限公司杭州娃哈哈饮料有限公司三一重工福田雷沃重工股份有限公司玖龙纸业（控股）有限公司重庆长安集团新余钢铁股份有限公司新希望集团有限公司特变电工股份有限公司广东省步步高电子工业总公司华能国际电力股份有限公司各行业部分荣誉客户机械/重工重庆渝安中山大洋股份有限公司上海柴油机股份有限公司三菱电机大连机器有限公司中船澄西船舶修造有限公司能源PanasonicEnergy(Thailand)Co.Ltd.（松下能源（泰国）有限公司）日本新能源产业技术综合开发机构北京事务所中油管道物资装备总公司三洋能源（北京）有限公司金融机构MizuhoCorporateBankLtd（瑞穗银行）三菱东京日联银行（中国）日本横滨银行股份有限公司中国农业银行中国国际金融有限公司教育IndianMilitaryAcademy（印度军事学院）复旦大学国立台湾大学图书馆义守大学电子科技索尼华南电子有限公司爱普生（中国）有限公司南京夏普有限公司佳能大连办公设备有限公司兄弟工业（深圳）有限公司电力电气阿尔斯通公司尚德电力控股有限公司北京京能发电有限公司大唐河北发电有限公司广东火电物资供应公司纺织服饰吉田拉链有限公司（YKK）上海美特斯邦威服饰有限公司厦门七匹狼服装营销有限公司贵人鸟（中国）有限公司九牧王（中国）有限公司科研机构中科院电子所中国科学院宁波材料技术与工程研究所空军装备研究院总体论证研究所上海纺织科技发展中心上海航天计算机技术研究所政府与公共部门香港廉政公署湖南省财政厅中国海事服务中心佛山供电局上海闵行国家税务局军工企业上海航天设备制造总厂中国核工业第二四建设公司上海无线电设备研究所空军装备研究院装备总体论证研究所上海航天测控通信研究所卫生/医疗/药品神威药业开封制药（集团）有限公司湖南老百姓医药连锁有限公司广东省中医院山东省立医院运营商广东移动湖南移动北京联通山西联通四川电信西藏自治区教育厅考试院内网安全法律法规随着IT技术的发展，互联网技术本身的双刃剑特性在组织内部网络逐渐显现：内部信息系统管理的不规范，让组织的敏感信息随时有被篡改或泄漏的风险；病毒，木马等针对系统漏洞进行破坏，威胁着信息系统的稳定运行；大量的网络滥用，浪费组织网络资源的同时也给系统增添了诸多可能的安全威胁，所有这一切，都让信息化推动业务发展的作用大打折扣，听任其发展甚至可能对组织造成重大损失。有鉴于此，我国各级政府部门对互联网与信息系统应用的规范工作一直在持续进行：安然会计丑闻催生了美国塞班斯法案的出台，各国也相继制定了类似的规范，中国版的《企业内部控制基本规范》同样对组织内部信息的存储与传递做出了强制性规定，这一法案即已在2010年1月1日颁布实施，制定内部规范并且部署相关信息安全产品，不仅有益于组织内部信息安全与风险控制，也为将来相关强制性法规推行做好准备2004年国家颁布了《关于信息安全等级保护工作的实施意见》明确规定了对政府、军工领域展开信息安全等级保护工作。其后的一系列有关等级保护的法律法规中，对于内网安全都有明确要求。我国各级政府部门出台了一系列的法律法规，严格规范互联网及组织内部信息系统的使用，包括系统漏洞管理、操作权限、日志记录、入侵防御与安全审计等，境内的的各类组织机构必须遵守以下规定中的相关条款：互联网安全保护技术措施规定互联网信息服务管理办法信息网络传播权保护条例广东省计算机信息系统安全保护管理规定全国人民代表大会常务委员会关于维护互联网安全的决定在信息系统的使用者和拥有者自愿事先约定的相关合同框架内，对组织内部的非工作性的信息系统应用做出限制，规范工作职责，保证工作效率，降低系统风险，符合《劳动合同法》及相关法律法规的规定综上，对于在我国境内的各种组织，无论是出于维护信息安全，最大限度的发挥信息系统对业务的推动作用的目的，还是为了符合相关法律法规的需要，制定合理的信息系统使用规范，并且部署使用相关的信息安全产品，都是合法合理而且必要的。现集合相关法律法规，希望能够为组织的信息化安全建设提供参考。广东省计算机信息系统安全保护管理规定广东省人民政府令第81号已经2003年3月31日广东省人民政府第十届4次常务会议通过，现予发布，自2003年6月1日起施行。计算机信息系统使用单位应当建立并执行以下安全保护制度：计算机机房安全管理制度；安全管理责任人、信息审查员的任免和安全责任制度；网络安全漏洞检测和系统升级管理制度；操作权限管理制度；用户登记制度；信息发布审查、登记、保存、清除和备份制度，信息群发服务管理制度。计算机信息系统使用单位应当落实以下安全保护技术措施：系统重要部分的冗余或备份措施；计算机病毒防治措施；网络攻击防范、追踪措施；安全审计和预警措施；系统运行和用户使用日志记录保存60日以上措施；记录用户主叫电话号码和网络地址的措施；身份登记和识别确认措施；信息群发限制和有害数据防治措施。互联网安全保护技术措施规定公安部第82号令2005年12月13日发布，2006年3月1日起施行第七条互联网服务提供者和互联网使用单位应当落实以下互联网安全保护技术措施：防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施；重要数据库和系统主要设备的冗灾备份措施；记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施；法律、法规和规章规定应当落实的其他安全保护技术措施。第八条提供互联网接入服务的单位除落实本规定第七条规定的互联网安全保护技术措施外，还应当落实具有以下功能的安全保护技术措施：记录并留存用户注册信息；使用内部网络地址与互联网网络地址转换方式为用户提供接入服务的，能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系；记录、跟踪网络运行状态，监测、记录网络安全事件等安全审计功能。第十三条互联网服务提供者和联网使用单位依照本规定落实的记录留存技术措施，应当具有至少保存六十天记录备份的功能。互联网信息服务管理办法中华人民共和国国务院令第292号第十四条从事新闻、出版以及电子公告等服务项目的互联网信息服务提供者，应当记录提供的信息内容及其发布时间、互联网地址或者域名；互联网接入服务提供者应当记录上网用户的上网时间、用户帐号、互联网地址或者域名、主叫电话号码等信息。互联网信息服务提供者和互联网接入服务提供者的记录备份应当保存60日，并在国家有关机关依法查询时，予以提供。第十八条国务院信息产业主管部门和省、自治区、直辖市电信管理机构，依法对互联网信息服务实施监督管理。新闻、出版、教育、卫生、药品监督管理、工商行政管理和公安、国家安全等有关主管部门，在各自职责范围内依法对互联网信息内容实施监督管理。信息网络传播权保护条例中华人民共和国国务院令第468号2006年7月1日起施行第四条为了保护信息网络传播权，权利人可以采取技术措施。任何组织或者个人不得故意避开或者破坏技术措施，不得故意制造、进口或者向公众提供主要用于避开或者破坏技术措施的装置或者部件，不得故意为他人避开或者破坏技术措施提供技术服务。但是，法律、行政法规规定可以避开的除外。全国人民代表大会常务委员会关于维护互联网安全的决定2000年12月28日第九届全国人民代表大会常务委员会第十九次会议通过七、各级人民政府及有关部门要采取积极措施，在促进互联网的应用和网络技术的普及过程中，重视和支持对网络安全技术的研究和开发，增强网络的安全防护能力。有关主管部门要加强对互联网的运行安全和信息安全的宣传教育，依法实施有效的监督管理，防范和制止利用互联网进行的各种违法活动，为互联网的健康发展创造良好的社会环境。从事互联网业务的单位要依法开展活动，发现互联网上出现违法犯罪行为和有害信息时，要采取措施，停止传输有害信息，并及时向有关机关报告。任何单位和个人在利用互联网时，都要遵纪守法，抵制各种违法犯罪行为和有害信息。人民法院、人民检察院、公安机关、国家安全机关要各司其职，密切配合，依法严厉打击利用互联网实施的各种犯罪活动。要动员全社会的力量，依靠全社会的共同努力，保障互联网的运行安全与信息安全，促进社会主义精神文明和物质文明建设。内网安全管理相关背景资料一、由三星泄密事件看企业内部安全威胁2011年4月，国内陆续有媒体爆出，有三星前雇员涉嫌在离职前偷取涉及到三星家电部门核心技术的信息，事件暴露后遭到了韩国警方的逮捕。由于一些原因，这起事件很快就像其他的一些泄密案件一样，没再更多的后续报道了，留给外界的只是无尽的猜测。信息时代的大背景下，信息就是生产力这一点已经是常识。先人一步的产品设计，快人一步的市场部署，都能转换成巨大的竞争优势。为了保护已经数字化存储的各种商业信息，各类企业和组织可谓绞尽脑汁，与各种信息泄漏与信息犯罪行为进行斗争，称其为信息安全战争绝不为过。是战争就有输赢，就有各种战术战略，但凡稍有规模的信息系统，大多部署了防火墙、入侵检测、代理服务器等各种防御手段，用以防备来自外界的非法入侵。然而，中国有句古话，叫做“日防夜防，家贼难防”，意思是再坚固的城池，当它被门内的人主动打开时，里三层外三层的防线也都成了浮云；再比如计算机木马得以命名的“特洛伊”之战，相比大家都耳熟能详。国内知名的内网安全厂商溢信科技的研发总监黄凯表示，木马名称的由来，以及上面提到的三星泄密事件，正形象的描述了在信息时代的大背景下，组织所面临的一种不能忽视的安全风险--内部安全威胁。从三星事件所流出的为数不多的细节当中，他对企业所面临的内部安全威胁做了一些解读。根据用户身份进行授权，并注意及时变更是基础已知的三星案例中，该前雇员即将离职，大概是为了给自己的下一份工作提供一些竞争优势，他利用自己尚未被完全收回的权限，访问了存储有机密信息的服务器，获取并打印了相关的信息。这提示了我们一点：根据用户的不同角色，赋予其以差异化的信息使用权限，并根据实际情况及时变更与跟踪是内部风险控制的基础。目前，大部分企业的信息都是存储在类似文档服务器等系统中。在服务器的边界部署防护系统，防护来自外部的入侵，同时根据不同用户的角色分配其对不同安全区域的访问权限，基本已经是普遍的配置策略。基于“信任自己人”的大前提，类似的安全部署也实属正常。然而，当用户的安全角色变成案例中的“前雇员”时，及时根据其身份的改变变更其IT权限，就显得十分必要。事实上，从各种复杂的保密协议可以看出，即将离职的员工被认为是非常高危的潜在泄密人群，对于这一类用户，逐渐收缩并最终收回其IT权限是通用的做法。案例中的前雇员，在离职前还拥有可以接触到涉及核心竞争力的机密信息甚至进行打印的权限，是关键的漏洞所在。及时告警与强审计机制，有时是必然的选择我们通常假定拥有合法使用权限的用户应该能够遵