企业上网行为控制审计系统需求说明书.doc
《企业上网行为控制审计系统需求说明书.doc》由会员分享,可在线阅读,更多相关《企业上网行为控制审计系统需求说明书.doc(27页珍藏版)》请在冰豆网上搜索。
【交通管理业务信息综合分析研判平台】
江西优码创达软件技术有限公司
文档编号
密级
机密
文档类型
部门
网安研发
文档状态
■草稿 审核批准 作废
版本号
1.0
共0页
企业上网行为控制审计系统需求说明书
编写:
日期:
2012/9/3
审核:
日期:
批准:
日期:
江西优码创达软件技术有限公司
2012-9-3
目录
1.引言 2
1.1.编写目的 2
1.1.背景 3
1.2.参考资料 3
2.需求分析 4
2.1项目目标 4
2.2架构设计要求 4
2.2.1设计原则 4
2.2.2系统架构特点 5
2.2.3系统架构简图 5
2.3需求说明 6
2.3.1应用程序管控 6
2.3.2网页浏览管控 8
2.3.3文档操作管控 10
2.3.4打印内容管控 11
2.3.5设备管控 12
2.3.6网络控制 13
2.3.7网络流量管控 13
2.3.8.屏幕监控 14
2.3.9.邮件管控 15
2.3.10.即时通讯控制 16
2.3.11资产管理 17
2.3.12远程维护 18
2.3.13移动存储控制 19
3.总体设计 20
3.1网络拓扑结构 20
3.2硬件系统设计 20
3.2.1服务器及网络设备 20
3.3安全设计 21
3.3.1身份认证 21
3.3.2信息安全 21
3.3.3网络系统安全 21
3.3.4应用安全 22
3.4关键技术实现 22
附录一公司简介 23
附录二硬件设备清单 25
1.引言
1.1.编写目的
今天,随着信息科技的高速发展,IT给企业的运营带来了前所未有的便利,并且逐渐成为企业发展的重要驱动力。
但与此同时,IT也给企业带来了风险和挑战。
v企业信息安全隐患激增
现在,越来越多的企业认识到,信息泄漏对企业的危害之重,它不仅给企业带来法律风险、巨额的经济损失,还可能危及企业的生存发展。
雇员被列为最有可能制造信息安全事件的素。
v系统应用效率难以评估和控制
最近公布的一项调查结果表明,在工作中使用MSN、QQ等聊天的人数高达89.2%,网页浏览中新闻网页占65.9%居于首位。
一个月薪2000元的员工,每天“隐性旷工”2小时,每年为企业带来的直接损失高达6000元。
一个拥有50人的企业仅此一项每年将损失30万。
并且滥用网络和系统资源还可能将暗藏于互联网的安全隐患带入企业网络内,威胁系统安全。
v系统维护,资产管理繁琐
IT部门接近一半的工作时间用于为计算机安装及升级软件,IT人员为PC做简单的日常维护工作占其总工作量的70-80%,大大增加计算机网络的综合管理成本。
如果问题没有得到及时有效的处理,也会极大影响企业的业务连续性。
v读者
ü需求提出者
ü企业行政管理层
ü项目组成员
1.1.背景
v系统的名称
暂定《企业上网行为控制审计系统—网狼1.0》
v提出者
公司行政管理层,决策层
v开发者
网安行业研发人员
v用户
企业网络管理人员
1.2.参考资料
v盈高多维终端安全管理平台技术白皮书.pdf
v威盾3.2用户使用手册.doc
v联软上网行为管理系统.doc
v交通管理业务信息综合分析研判平台.doc
2.需求分析
2.1项目目标
该系统的实现将让企业对所有计算机的使用情况了如指掌,它将是企业对信息的安全防护和技术的广泛应用而应运而生的,其功能强大的计算机监视、控制与管理系统软件,是为现代企事业的管理人员量身定做的企业管理软件。
不但可以对员工电脑的屏幕、上网、聊天、邮件和文件操作进行全面的监控、记录和管理,而且还可以防止员工盗窃公司机密资料,并对员工的工作进行一个客观的评价。
它可以大幅度提高企业生产效率,减少不必要的资源浪费,帮助企事业管理人员培养企事业优良风气。
2.2架构设计要求
2.2.1设计原则
1、规范性:
系统设计按公安部颁发信息系统数据库标准以及有关管理办法。
2、整体性:
系统整体设计统一规范,功能模块清晰合理。
3、先进性:
系统设计规划采用符合应用系统发展趋势的主流技术,采用B/S三层架构与C/S结合,充分利用两者的优势。
4、实用性:
系统设计充分考虑当前企业上网管理的工作实际,具有较强的实用性和可操作性。
5、稳定性:
为保证系统最大限度地发挥作用,系统设计采用目前业界主流信息化技术及产品平台,整体系统具有较高稳定性。
6、安全性:
为确保系统安全,应该具有完善的安全解决方案。
7、可扩展性:
系统具有较高的灵活性和健壮性,支持多种主流开发软件,支持组件化、插件模式开发,具备扩展性强、易于集成的二次开发能力,以满足各方面应用扩展的需要,维护简单、升级方便。
8、易用性:
提供统一美观的界面、详尽方便的帮助、智能化的提示、简便的操作等。
2.2.2系统架构特点
省略…
2.2.3系统架构简图
本系统相关比较独立,主要分前端数据获取及被控层,区域管理层和中心管理层,数据层。
2.3需求说明
2.3.1应用程序管控
2.3.1.1需求描述
Ø应用程序日志
系统自动记录客户端机器打开或关闭的应用程序,或者应用程序窗口切换信息。
管理员可以通过控制台查看相关日志;应用程序日志类型包括:
启动/停止
日志类型
说明
启动/停止
记录客户端机器上启动/停止应用程序的情况;
系统应用程序日志记录包含的属性有:
操作类型、时间、计算机、用户、应用程序、路径/标题等信息
属性名称
说明
操作类型
应用程序启动/停止和窗口标题切换;
应用程序
应用程序的进程名称;
文件路径
当操作类型是启动/停止时,记录应用程序在客户端机器上的详
细路径;
窗口标题
当操作类型是切换窗口/切换标题时,记录当前的应用程序的窗
口标题。
Ø应用程序控制
系统可以按全天或指定的时间段对指定的程序禁止,对违规网络行为在事前进行控制。
应用程序的控制支持以下2种方式:
通过进程名称来禁止:
管理员直接添加应用程序的名称,如QQ.exe;
通过应用程序分类来禁止:
管理员可以按照某种规则产生相应的程序分类,如聊天软件:
(QQ,MSN,阿里旺旺,飞信等)统一划分为一类,系统可以把通过设置应用程序分类来禁止在这分类中的所有程序运行。
2.3.1.2统计查询
系统可以针对计算机每天的工作情况和应用程序使用的情况进行人性化统计和分析.为管理者评估员工工作效率提供了可靠的依据,并且提供了统计数据的导出功能.系统应支持以下几种统计方式:
Ø应用程序类别统计
系统按照管理员设置的应用程序分类进行统计。
可以统计出各计算机的开机时间,以及各种分类应用程序的使用时间,以及占总开机时间的百分比。
Ø应用程序名称统计
系统可以统计出各计算机的开机时间。
各应用程序的使用时间,以及其使用时间占总开机时间的百分比。
Ø分项统计
系统可以把设置某些应用程序为工作应用程序(如:
Office系统,开发环境VC,VB,DEPHI之类)。
如果用户在使用这些应用程序,则视为工作。
系统可以统计出第个计算机的开机时间,以及工作时间。
系统支持各种统计数据以图形方式显示如:
柱状图
饼状图
2.3.2网页浏览管控
2.3.2.1需求描述
Ø上网浏览日志
系统支持详细记录员工访问网站情况,可以按网站名称、标题名称、时间、范围查询日志.
属性名称
说明
标题
浏览的网站标题;
网址
浏览的网站的详细网址;
时间
浏览时间
计算机名称
计算机名称或IP地址
用户
登录用户名称
Ø上网浏览控制
ü系统支持限制客户端计算机的网站访问,限制对于工作无
关的网站、恶意网站等的访问.
ü系统支持对网站URL分类管理,支持添加/删除/修改网站
URL分类,添加/修改网站URL分类时,支持批量导入网站URL列表。
ü系统可以按全天或指定的时间段对指定URL或URL分类设
置策略,用于控制用户对网站URL的访问。
ü策略动作可分为允许,禁止,告警;1,允许为用户可以正
常访问URL;2,禁止为用户访问URL会被中止;3,告警指用户可以正常访问URL,但在系统后台会产生相应的告警。
2.3.2.2统计查询
系统支持网页浏览信息做以统计分析,分为按明细统计和按类别统计,并以直观形象的图标方式展现出来,查看统计图表即可了解哪类甚至哪些网站被访问的时间比较长,从而判断是否有影响正常工作的情况发生;
Ø按网站类别统计
系统按照管理员设置的应用网站URL分类进行统计。
可以统计出各计算机的各分类URL访问时间;
Ø按网站明细统计
系统按照网络URL列表明细进行统计。
统计各计算机访问URL列表明细时间。
2.3.3文档操作管控
2.3.3.1需求描述
Ø文档操作日志
文档操作日志记录客户端机器用户对文档的操作信息,可以让管理员通过查看日志记录可以发现用户的文档操作行为,同时为事后追查资料泄密事件提供可靠线索,增强电子文档管理的安全性;
日志记录的内容包括:
属性名称
说明
操作类型
包括:
创建、访问、修改、重命名、复制、移动、删除、
恢复以及上传/发送
源文件
用户操作的文档名称;
路径
用户操作的文档的详细路径,当操作类型为复制、移动、重命名时,路径会记录文档的源路径和目的路径;
盘符类型
用户操作的文档所在的盘符类型,包括:
硬盘、软盘、光盘、可移动盘、网络盘。
当操作类型为复制、移动时,会显示源和目的盘符类型;
应用程序
操作该文档使用的应用程序进程名称;
标题
操作该文档时的窗口标题。
Ø文档操作控制
ü系统可以在指定的时间,禁止对指定文档的操作。
操作类型包含:
创建、复制、移动、删除、重命名、修改、恢复及访问;
ü系统可以按全天或指定的时间段对指定文档设置策略,用于控制用户对该文档的操作。
ü策略动作为禁止,告警,备份。
1,禁止指用户禁止操作此文档。
2,告警指用户操作此文档是后台会产生告警。
3,备份指用户操作些文档之前。
文档会被自动在后台产生备份。
2.3.4打印内容管控
2.3.4.1需求描述
Ø文件打印日志
系统可以记录和查询员工打印文档情况,包含打印时间,目标文档路径,打印页数,打印机名称,执行打印任务的PC机器各登录用户名。
Ø文件打印控制
对客户端计算机的打印权限进行控制,从而实现对打印资源合理分配,限制非法应用程序打印,有效避免敏感或机密信息通过打印而外泄。
控制条件包括:
时间,打印机名称,执行打印任务的用户名。
2.3.5设备管控
2.3.5.1需求描述
系统可以限制各类设备的使用:
设备分类
功能介绍
管理作用
驱动类设备
可以按某台、某组或者整个网络禁止使用哪些存储设备。
包含:
软驱,光驱,刻录机,磁带机,可移动设备(U盘,移动硬盘,记忆棒,智能卡,MO,Zip)
避免员工使用与工作不相关的计算机设备,错误修改网络属性,方便统一部署屏保程序或画面。
根据风险评估,制定事前预防策略,根据策略对相应的设备进行禁止,预防文件泄密。
可以灵活的开启设备,不影响员工的正常使用。
通讯类设备
可以按某台、某组或者整个网络禁止使用哪些通讯设备。
包含:
串口,并口,USB控制器和连接器(HUB),SCSI接口,1394控制器,红外线,PCMICA卡,蓝牙设备,MODEM,直接电缆连接(串口,并口,USB),拨号连接
防止随意通过无线、蓝牙、红外、拔号等方式上网,从而避免机密文件外泄。
USB类
升级会员 