防泄密解决方案.docx
《防泄密解决方案.docx》由会员分享,可在线阅读,更多相关《防泄密解决方案.docx(32页珍藏版)》请在冰豆网上搜索。
防泄密解决方案
一需求分析
1总体需求
通过信息安全管理软件及管理规定的实施,从信息安全——防止单位重要信息的泄漏保证单位信息资产安全;行为管理——停止“网络旷工”营造健康工作氛围提高工作效率;系统管理——便捷的系统管理保证IT系统时刻运行于巅峰状态,这三个方面全面部署实施内网安全管理系统,使单位得以专注核心事业,更加稳健的大步向前。
2进一步加强对内网行为的有效审计
目前单位内缺乏对各种内网行为的系统化审计工具和流程,通过内网安全管理系统的应用,建立起完整的信息使用及防泄漏的评估审计体系,使得在企业内部,与工作相关的各种内网行为处于企业的审计和管控之中。
3加强对信息流动(外发和外带)的管理和控制
对员工的网络使用设置了一定的限制,但是限制不够全面,信息有可能通过以下途径被带走:
文件可能通过USB口拷贝到U盘、移动硬盘等移动存储介质带离公司;
可通过3G上网卡等连接网络,把信息通过网络带走;
可将文件通过邮件(NOTES、WEB)发送给外部人员;
能通过打印把电子文档转换成纸质资料带走;
……
4员工行为管理缺乏有效技术手段
目前公司不能从技术上规范员工的行为,部分员工可能在上班时间从事一些如玩游戏、炒股票、看在线试听等与工作无关的事情,不仅降低工作效率,甚至会影响公司带宽,导致公司的正常业务无法顺畅运行。
5内部文件缺乏有效的安全保护机制
公司拥有大量的机密、敏感信息,关系到客户的资料,方案,投标文件、设计图纸等等,如果发生泄密情况,不仅对公司的财产造成损失,同时也影响公司的对外形象,给客户带来不良影响。
所以公司迫切需求解决技术部分敏感信息由于员工或者其它人员外泄做一个全面的安全管理,做到事前可防,事中预警,事后可查;不仅对公司负责,更要对客户负责。
二解决方案
针对当前xxx公司的需求,如要解决,主要通过以下三个角度来实现:
2.1上网行为管理解决方案
2.1.1用户认证
为了有效区分用户和用户组,针对不同用户实施不同的上网行为管理策略,因此,在网络访问过程中,必须具备身份认证机制,避免身份冒充、权限滥用等出现。
内部用户
对于有线用户AC通过(Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定、USB-Key)本地认证功能,能够准确识别上网用户,从而对该用户进行上网行为管理,而对于未通过认证的用户则限制其网络访问权限。
同时,AC支持与(LDAP、Radius、POP3等外部认证服务器或者SAM、CAMS、城市热点、深澜等认证计费系统结合)进行身份认证。
当用户在认证服务器上进行认证后,AC能够获取用户认证信息,用户不用在AC上进行第二次身份认证,形成单点登录,避免重复认证所带来的麻烦。
通过身份认证功能,AC能够准确识别上网用户,从而对该用户进行上网行为管理,而对于未通过认证的用户则限制其网络访问权限。
无线临时用户
对于无线临时用户,通过(短信认证、微信认证)方式,快速接入无线网络,无需专门人员进行开户操作,提高管理效率。
2.1.2上网行为控制
网络应用极其丰富,尤其随着大量社交型网络应用的出现,用户将个人网络行为带入办公场所,由此引发各种管理和安全问题。
因此,全面的应用控制帮助管理员掌控网络应用现状和用户行为,保障管理效果。
应用控制
深信服上网行为管理AC内置庞大应用特征识别库,包含2000多种应用,4500种规则,600种移动应用。
可识别目前网络中各种主流应用,如微博、社区论坛、网盘、在线视频和移动APP等。
对于未知应用,AC支持自定义功能,用户可通过协议、IP、端口等元素定义内网系统应用,从而对不同用户进行控制。
网页过滤
企业员工在日常需要使用网络的工作中,需要搜索访问互联网。
互联网的开放性带来了资源的传播和共享,同时也为不良资源提供了扩散的平台。
反人类、反政府、色情、赌博、毒品等包含不良信息的网页屡见不鲜、层出不穷,因此,需要网页分类、搜索引擎关键字过滤等技术来控制网页访问行为。
深信服AC内置千万级URL库,将互联网网页分成60多个类别,同时每半个月实时更新和维护URL库。
AC提供自行添加URL的功能,在查询URL库中没有此URL地址时,用户可自行在设备界面进行添加,也可自定义URL类型,对企业内部网页进行管理。
发帖过滤
网络的开放性给人们带来更多的言论自由,但发表一些类似色情、反动、迷信或者暴力的信息,影响社会安定,造成了不必要的影响,企业或个人也要承担法律责任。
AC可对发帖进行关键字过滤。
天涯、猫扑、XX贴吧等论坛网站,AC可设置只允许登陆、看帖,但不允许发帖,或者实行发帖关键字过滤,灵活避免企业中出现泄密或者发表不良言论带来法律追究责任的风险。
邮件过滤
Email不仅是组织重要的沟通方式之一,同时也是最常见的泄密方式。
AC支持基于关键字、收发地址、附件类型/个数/大小过滤外发邮件,对于将文件修改后缀名、删除后缀名,或者压缩、加密后作为Email附件外发,试图躲过拦截与审查的行为,AC能够识别并进行报警。
同时,对于所有收发的webmail、Email邮件AC都可以全面记录并完整还原原邮件,并通过数据中心方便管理员对邮件日志进行查询、审计、报表统计等操作。
文件传输过滤
利用网络来进行文件传输在日常办公中普遍出现,而在文件传输过程中存在种种管理和安全隐患,如用户通过不可信的下载源下载了带毒文件、在文件打包外发过程中不慎夹带了涉密文件、终端因为中毒或被黑客控制主动发起外发文件行为而用户对此茫然无知,有意泄密者甚至会将外发文件的后缀名修改、删除,或者加密、压缩该文件,然后通过HTTP、FTP、Email附件等形式外发。
AC支持管控文件外发行为,如仅允许用户从指定的可信的下载站点下载文件而封堵其他站点,基于关键字、文件类型控制上传/下载行为,封堵QQ/MSN等IM传文件,允许使用Webmail收邮件而禁止发送邮件等。
其中,仅仅实现对外发文件的审计和记录显然无法挽回泄密已经给企业造成的损失,单纯的基于文件扩展名过滤外发文件、外发Email也无法应对以上风险。
鉴于此AC的文件类型深度识别技术能基于特征能够识别文件类型,即便存在修改、删除外发文件后缀名,或者加密、压缩文件文件外发的行为,AC也能发现并且告警,保护企业的信息资产安全。
加密应用识别
SSL(SecureSocketLayer)协议,被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输,利用数据加密技术,可确保数据在网络上之传输过程中不会被截取及窃听。
正因为如此,一方面,越来越多的网页使用SSL加密,如Google搜索、Gmail、QQ邮箱、bbs甚至赌博网站,而因为采用了加密技术,普通的管理产品无法对其内容进行识别管理,别有用心的用户可以利用这一缺陷绕过管理,通过SSL加密邮件、BBS、论坛发布的反动言论或者是向外发送组织的机密信息,导致管理漏洞。
AC可以对SSL网站提供的数字证书进行深度验证,包括该证书的根颁发机构、证书有效期、证书撤销列表、证书持有人的公钥、证书签名等,防止采用非可信颁发机构数字证书的钓鱼网站蒙骗用户,此功能亦应用于过滤SSL加密的色情、反动站点,证券炒股站点等。
此外,AC拥有专利技术“基于网关、网桥防范网络钓鱼网站的方法”(专利号ZL200710072997.1)具有对SSL加密内容的完全管控能力,支持识别、管控、审计经由SSL加密的内容,如支持基于关键字过滤SSL加密的搜索行为、发帖行为、网页浏览行为,审计SSL加密行为如邮件发送行为,为组织打造坚固无漏洞的管理。
2.1.2流量控制
企业的出口带宽有限,随着网络应用的丰富,出现各种吞噬带宽的应用,如P2P应用,若不对这些应用加以限制管理,企业的带宽资源必会被抢占,而核心业务却得不到带宽,从而导致整体网络速度变慢,影响正常的邮件发送和网络访问。
因此,企业需要一种流量管理工具,识别应用流量,对现有的带宽进行合理的分配。
多线路复用和智能选路
企业网络出口有多条运营商提供的互联网线路,在进行数据传输的过程中,往往因为跨运营商访问出现丢包严重、延迟大的问题。
出口多条线路,大小不一,流量分配不均,达不到预期的使用效果。
AC拥有专利技术(ZL200610061591.9,一种基于网关/网桥的线路自动选路方法),可为数据包选择最快最畅通线路进行数据传输。
当一条线路繁忙,其他几条线路空闲时,AC可通过线路复用技术,将所有线路复用起来,不仅合理分配带宽资源,而且能在较短时间内传送要传输的数据,提高大容量数据的访问和传输速度。
AC的多线路复用专利技术使一台AC可同时连接四条公网线路,扩展带宽、互为备份、流量负载均衡。
通过部署AC网关,可实现智能化选择最快的出口线路,有利于上网速度的提升。
父子通道
通过部署AC,可对网络出口链路总带宽进行细分,采用“基于队列的流控技术”,即建立通道,将不同的控制对象分配到不同的通道里。
通道可应用于不同用户或者应用,在通道中可以限制或保障其带宽,控制灵活。
AC支持多级父子通道,即在父通道中嵌套子通道,最大可支持8级父子通道。
通过多级父子通道技术,能够完全匹配企业的组织架构,针对不同级别的通道进行带宽调整,为用户提供细致的流量管理手段,使得带宽分配更灵活、更合理。
P2P智能流控
目前,通过封IP、端口等限制“带宽杀手”P2P应用的方式不起作用。
加密P2P、非主流P2P、新型P2P工具等让众多P2P管理手段形同虚设。
AC凭借P2P智能识别技术,不仅识别和管控常用P2P、加密P2P,还能对不常见和未来将出现的P2P应用加以控制。
目前互联网上流行的P2P下载、流媒体等应用程序通常具备强烈的带宽侵占特性,传统流控手段是通过缓存和丢包手段来实现流量控制的目的,但是某些P2P应用如P2P流媒体、P2P下载工具等缺乏自身流控机制,即使被丢包依然不会主动降低速率,仍抢占大量的带宽资源。
同时对于下行的接收流量来说,被丢弃的数据包已经占用了线路带宽,关键业务的带宽依然得不到提升,流控达不到预期的效果。
针对这些问题,AC通过智能流控功能,能有效解决P2P应用的问题。
虽然基于UDP协议的P2P应用对丢包不敏感,但是下行流量与上行流量有显著的相关性,只要控制住上行流量,下行流量就能得到控制。
当开启AC的智能流控功能时,系统会根据下行流量的设定值对上行流量进行自动调整,从而达到控制和减少下行流量的效果,从源头处有效限制P2P流量。
动态流量控制
当带宽有限时,企业希望通过限制P2P、流媒体等应用来保障邮件、访问网站等业务相关应用的流畅性。
传统的解决方法是通过静态的带宽分配策略,根据应用的重要性分配相应的带宽。
无论网络情况如何变动,分配的带宽都是固定的,不能自动调整,这样的流控策略往往造成带宽资源的浪费。
比如某些业务应用带宽资源不足,而其他应用的带宽资源却处于空闲状态,得不到有效利用。
针对此类问题,AC提供了动态流控功能。
用户可通过配置线路空闲阀值,以及定义线路的空闲和繁忙状态,实现针对性制定流控策略。
当线路空闲时可以放宽通道带宽限制,应用流量可突破原来设定的最大带宽限制;当线路繁忙时可以下压通道带宽,使带宽恢复到被限制状态,执行原有的流控策略。
通过灵活的带宽管理,最大满足业务对带宽的需求,实现带宽的最大价值。
虚拟线路
用户出口有多条运营商线路,而在防火墙和核心交换中间,往往只有一条链路。
在一条物理线路中很难实现精细化的流量划分,容易造成几条外网线路流量分配不均,导致部分线路负荷过重。
AC通过虚拟线路技术,即定义不同的虚拟线路来匹配多条出口线路流量或是来自内网不同网段的流量,同时在不同的虚拟线路中结合父子通道、P2P智能识别和动态流控等技术,实现更灵活的带宽分配。
2.1.3行为审计
许多企业网络环境良好,带宽分配合理,但由于工作和行业性质关系,员工日常工作中涉及了大量与公司企业、政府单位密切相关的信息,这些信息一旦公开,给企业将带来泄露商业机密、触犯法律风险等违规违法的隐患。
当这类事情出现的时候,为了在最短的时间内找到网络违法的当事人,避免由企业承担相应法律责任。
因此,通过AC的应用审计功能,详细记录员工的日常上网行为。
实时监控
AC支持实时监控功能,可对AC设备的运行状态、安全状态、流量状态、上网行为监控、在线用户管理、邮件延迟审计进行实时监控。
管理员不需要登陆数据中心即可实时查看网络的各种应用和流量使用情况,简单快捷。
运行状态包括系统资源信息、接口信息、接口吞吐率、应用流速趋势、应用流量排名、用户流量排名。
安全状态实时汇报内网用户安全情况。
在实时应用流量排行界面点击某一个应用即可自动弹出该应用流量的用户排名情况。
实时用户流量排行界面可针对单个用户实现用户的应用流量排行情况的页面跳转。
此外AC还支持实时连接监控,显示用户的所有会话连接状况。
全面、灵活的应用审计
AC实时监控和完善的应用审计功能,帮助网络管理员了解内网用户的上网行为,同时也作为追查依据。
网页访问
内网用户访问的URL地址、网页标题、时间等内容,AC能够完全监控与记录。
同时,通过网页快照功能,直观展现网页内容,便于管理人员快速查看。
邮件收发
对于Webmail或邮件客户端收发邮件,AC能够记录邮件的时间、发件人、收件人、标题、正文内容和附件等,附件内容可提供下载做进一步审核。
IM聊天
对于QQ、MSN、Gtalk等聊天应用,无论是Web版或是桌面版,AC均能详细记录其聊天内容。
微博论坛
对于微博、社交论坛发帖不仅能够根据关键字进行过滤,发布的内容也能全面记录,准确还原发帖内容,提高可读性。
SSL加密应用
同时,对于经过SSL加密的webmail外发邮件、SSL加密的SMTP/POP3,AC可以基于关键字过滤和内容审计记录。
针对不同的用户、用户组,通过数据简单的勾选,即可完成差异化的行为审计功能。
2.2内网管控解决方案
ViaControl威盾文档安全管理解决方案对文档使用进行全程全面监控:
全方位细致的事前防御,有力的事中控制,详尽的事后审计,从而确保企业文档始终处于企业管理者的受控范围内,有效保护企业来之不易的智力成果,文档安全保护做到万无一失。
文档安全管理解决方案包含文档操作、打印管控、设备管控、网络管控、邮件监控、即时通讯、移动存储管控和文档透明加密十个方面。
它们紧密结合,形成完整而巩固的保护,保证企业重要文档安全地置于此层保护膜内,让企业重要信息滴水不漏。
2.2.1基本策略
ViaControl威盾的基本框架提供方便灵活的管理模式,让使用者使用简单、管理细致;
ViaControl威盾除了支持对计算机模式的管理以外,还支持以用户模式的管理,因此ViaControl威盾能支持终端服务器和瘦客户机的管理。
提供多管理员帐号的管理。
可以设定管理范围和管理权限各不相同的管理员,帮助企业达到一个细致的管理。
同时也能对每个管理员的操作做详细的审计。
获取每个计算机和用户的基本信息,记录计算机的启动、登录、注销、关闭等操作,还能通过远程对计算机进行注销、重启、关闭、锁定键盘鼠标等操作。
对计算机的基本设置(包括控制面板、系统设置、网络设置等)进行保护,让系统不会因为被随意修改而降低安全性。
对于计算机系统的软硬件变化或计算机的属性变化如系统时间发生改变、服务发生改变、启动项发生变化等向控制台发出报警。
支持简体中文、繁体中文、英语、日文等多种语言操作界面。
2.2.2应用程序管控
应用程序管控模块用于对应用程序的统计、控制和日志记录。
ViaControl威盾的客户端会自动扫描内网中所有运行过的应用程序,获取应用程序的hash值,并收集到服务器中,管理员可以对这些应用程序进行分类管理。
ViaControl威盾可以多角度统计应用程序的使用时间和百分比,可以图表方式显示统计结果。
通过自定义的时间范围,对单个工作人员,部门或整个网络的计算机的应用程序使用情况进行统计。
ViaControl威盾能记录每个用户或计算机的所有应用程序的启动/关闭,以及窗口的切换标题动作,并且可以根据时间范围,计算机范围,应用程序名称,应用程序路径、窗口标题这几种查询条件查询。
ViaControl威盾能根据管理者的意愿定义控制策略,控制是否允许客户端计算机上各种应用程序的使用。
2.2.3设备管控
ViaControl威盾能控制计算机使用外部设备的权限。
在每一类的设备里,ViaControl威盾都能在把设备的控制细化,如USB设备,会被细分为USB鼠标、USB键盘、USB硬盘等。
控制客户端各种类型的设备:
存储类设备:
软/光盘、刻录机、磁带,可移动存储设备等;
通讯类设备:
串/并口、SCSI、1394、蓝牙、红外线、MODEM、直接对联线等;
USB类设备:
USB键盘、鼠标、MODEM、映像设备、存储、光驱、硬盘和其他USB设备;
网络类设备:
无线网卡、即插即用网卡、虚拟网卡等;
其他类设备:
声音设备、虚拟光驱等。
禁止任何新增加的设备
2.2.4移动存储控制
移动存储控制模块能设置对移动存储设备的读写权限授权,并能加密移动存储设备。
ViaControl威盾能自动将在网络中使用过的移动存储设备的信息加入到移动存储类别库中,管理人员可以把这些移动存储设备进行归类管理。
ViaControl威盾能对移动存储库中的移动盘设置读写权限,可以控制指定的移动盘在指定的电脑上读/写的操作。
ViaControl威盾能对复制到移动存储上的文档进行自动加密,同时在有权限的计算机上,复制回硬盘时自动解密。
ViaControl威盾能对移动存储设备做整盘的加密格式化,加密格式化后,在有权限的机器上是透明使用的,但一旦把移动存储设备带离了授权区域,移动存储设备将不能被识别。
2.2.5移动存储管理
ViaControl威盾可以让企业管理者对授权的移动存储设置不同的权限控制,防止重要文档通过移动存储外带出企业,有效地保护企业信息的安全。
在企业授信环境内,ViaControl威盾能对存储在授权移动存储上的文档进行自动加解密。
文档一旦离开企业授信的环境就不可用。
因此,ViaControl威盾有力地保护企业信息安全,防止企业内部机密资料通过移动存储设备外泄。
2.3内网加密解决方案
ViaControlV+全向文档加密系统,以高效而可靠的透明加密技术为核心,为各类电子文档提供有效的安全保护。
同时,简捷实用的权限控制机制,能够帮助组织轻松构建分部门分层级的内部保密体系,延伸的离线权限控制与文档外发保护更使得电子文档无论身处何地都能得到完整保护。
通过覆盖了内部用户、离线用户、合作伙伴在内的整体保密体系,ViaControlV+能够帮助组织做到电子文档的完全“可见、可控、可查”,轻松实现信息安全!
2.3.1文档透明加密
以高效而可靠的加密技术将Office、AutoCAD、Photoshop等各类常见电子文档自动强制加密,用户没有被授权使用相关的文档格式或者文档离开授权使用环境即无法使用。
加密过程完全透明,不影响用户原有的文档操作习惯。
默认禁止截屏、打印、复制/粘贴、拖拽等各种可能造成泄密的操作。
支持多达三十余种常见的电子文档格式,并能够根据用户实际需要进行免费定制扩展。
2.3.2文档使用授权
采用安全区域与安全级别相结合的机制对内部用户进行文档使用授权。
允许管理者根据电子文档的部门归属与重要程度将其归入不同的安全区域与安全级别,并根据保密需要管理用户可以访问的安全区域与安全级别,从而建立起“用户—安全区域+安全级别—加密文档”的对应关系,实现差异化的文档使用授权。
2.3.3离线权限控制
对于用户使用笔记本电脑出差、在家工作等特殊离线情况,可以根据具体情况调整其对离线设备中的加密文档的使用权限。
规定离线授权的有效期,到期之后文档使用权限会自动收回。
2.3.4文档外发控制
为代理商、供应商等外部合作伙伴提供外发加密文档查看器,发送给相应用户的文档只能由其在一定的时间范围内按照规定的使用权限使用。
加密文档外发之前需要经过审批,在特定情况下,用户也可以申请将加密文档解密之后进行外发。
提供了代理管理员的设定,方便管理员外出时审批工作的正常进行。
2.3.5文档操作审计与备份
完整记录和查询加解密、解密/外发申请、解密/外发审批、保密属性调整等文档操作。
结合ViaControl原有的文档安全保护功能,记录文档的创建、修改、重命名、复制、删除、外发、上传、下载等操作。
在文档外发或解密之前对其进行完整备份以防意外损失,同时提供更完整的审计。
2.3.6服务稳定性保证
采用虚拟计算技术,确保文档不会在加密过程中因断电、死机等情况意外损坏。
设置备用授权服务器,在主服务器宕机时即时投入使用,有效保证系统的连续运转。
在文档备份服务器上明文备份加密文档,以保证在意外出现时用户的文档依然可用。
操作流程如下:
启用加密功能
1)安装客户端
客户端安装界面
2)在控制台启用加密授权
在控制台启用加密授权
“加密系统正在运行中”截图
3)在控制台设置加密权限,含授权软件、安全区域和级别等
在控制台设置加密权限,含授权软件、安全区域和级别等
申请与审批
1)客户端申请解密/外发
客户端申请解密/外发
2)控制台进行审批
解密申请审批
3)客户端执行解密/外发
客户端执行解密
外发查看器
1)安装外发查看器
2)控制台对外发查看器进行授权
3)外发查看器导入授权
4)客户端生成外发文档
5)外发查看器查看外发文档
。
授权软件管理
选择菜单栏“文档安全管理”进入加密管理主窗口。
再选择文档安全管理窗口的菜单“管理->授权软件”可查看当前支持的授权软件。
ViaControl文档加密系统当前所支持的授权软件
授权软件“导入、导出授权软件库”操作界面
图标按钮
操作
导入授权软件库。
导出授权软件库。
添加自定义授权软件。
修改自定义授权软件设置。
删除自定义授权软件。
恢复自定义授权软件设置。
保存修改。
2.3.7安全区域管理
在针对客户端进行加密权限设置之前,应该先根据企业部门的分类,设置好加密安全区域。
在文档安全管理窗口,可查看和修改安全区域。
安全区域添加、修改、删除界面
图标按钮
操作
添加安全区域,也可输入描述信息;
修改安全区域名称和描述信息
删除安全区域。
默认有一个公共安全区域,无法修改和删除。
授权软件自动加密生成的文件,默认为公共安全区域普通级别。
为了方便信息交流,所有的启用加密的计算机都拥有公共安全区域普通级别的访问权限。
2.3.7外发对象管理
外发对象是指可以在加密系统环境外可以打开外发文档的对象。
在文档安全管理窗口,可查看和修改外发对象。
外发对象添加、修改、删除及导入外发计算机识别码界面
图标按钮
操作
添加外发对象,也可输入描述信息;
修改外发对象名称和描述信息;
删除外发对象。
导入外发计算机识别码,该识别码用于将外发文档绑定到外发对象的指定机器上使用
修改状态栏的选中和未选中状态,可以启用和禁用对应的外发对象。
授权情况
目前支持两种外发对象授权方式。
通用授权及绑定授权相关界面
授权方式
说明
通用授权
该授权方式下,无