IPguard内网安全解决方案.docx
《IPguard内网安全解决方案.docx》由会员分享,可在线阅读,更多相关《IPguard内网安全解决方案.docx(38页珍藏版)》请在冰豆网上搜索。
IPguard内网安全解决方案
IP-guard内网安全管理
整体解决方案
广州网宝信息科技有限公司
一、概述
内网安全系统管理的市场背景
随着网络的高度发达,人、数据和各种事物已经以不同方式联入网络,各个领域的边界也正在逐渐溶解,领域之间交互的信息量激增,新的协作方式导致信息的流转变得更为复杂。
对于企业来说,在进行商务活动的时候始终面临着各种风险,这些风险是固有的,不仅存在于企业与客户和合作伙伴的日常接触之中,也存在于企业内部。
信息系统作为企业商务活动的重要组成系统,同样也无法避免各种风险的威胁。
IT系统的依赖度与IT风险的关系就像中国的典故“水涨船高”,即依赖度越强,IT风险越大。
调查显示,2011年,企业内网的风险主要存在以下几个方面:
首先,信息资产已经成为任何企业、组织发展壮大的至关重要的因素,但这些资产却暴露在越来越多的威胁之中。
除了传统的黑客、病毒等来自互联网外部的攻击,根据美国FBI调查显示,80%的安全威胁来自企业内部,将近60%的离职者或被辞退者在离开时会携带企业数据。
来自中国公安部的调查也显示,国内75%以上的泄密事件是由内部员工造成的。
内部泄密是造成企业信息泄漏的最大原因。
因此在信息化时代,上至国家政府机构,下到企业商业机构,都在遭受一场空前的内部信息防泄漏考验。
同时,Ponemon研究机构得出,数据泄漏事故对企业造成的损失成本已经持续增长五个年头,2010年高达720万美元,每条泄漏记录的平均成本增加到214美元。
其次,企业内部员工对网络资源的滥用令人触目惊心,工作效率低下。
网上游戏,网上聊天,网上炒股等网络行为严重地分散了员工的精力,根据DynamicMarketsLimited对全球办公室上网情况的调查:
在上班时间,中国员工每周比其他国家的员工多花7.6小时来使用即时通讯工具、玩游戏、P2P下载或在线媒体。
中国员工上网下载音乐的时间比拉美国家高16%,进入聊天室和玩在线游戏花费的时间分别比其他国家高约8%和12%。
在互联网发达的印度,只有26%员工在工作场合浏览个人信件,而在中国,这个数字则是60%。
我们可以按以下方法大致估算出一个普通员工每年浏览业务无关网站带来的生产力流失,以职工年平均工资30000元为标准,工作时间一年240天,每天8小时来计算,平均每小时工资15.6元左右,我们按照这一单位小时工资标准,乘以个人与业务无关的浏览时间(仅计算15%的生产力流失),最后乘以企业员工的数目。
按照这种方式可以大致估算出这样一个500名员工的企业,每年将损失人民币约220万元在与业务无关的网络浏览上,而且大多数企业员工的实际收入远远高于这个平均值。
另外,企业规模的逐年扩大,内部的IT资产管理和终端维护工作量剧增。
由于缺少高效的管理工具,这些基本的工作消耗了IT管理人员大量的精力和时间,即使整日东奔西走,问题仍不断出现且越来越难以及时解决,甚至威胁到企业的网络安全。
轻松应对各种小而繁琐的系统管理问题,是每一个企业的IT部门需要解决的问题。
对于内网安全问题,国家非常重视,颁布了专门的法律要求对企业内部的信息安全采取强制保护。
2004年国家颁布了《关于信息安全等级保护工作的实施意见》明确规定了对政府、军工领域展开信息安全等级保护工作。
其后的一系列有关等级保护的法律法规中,对于内网安全都有明确要求。
2005年03月,公安部发布了第82号令《互联网安全保护技术措施规定》明确规定接入到互联网上的单位需要通过技术手段对内部上网行为进行审计,审计信息必须留存6个月以上备查。
同时,近年颁布的中国版“塞班斯法案”——《企业内部控制基本规范》,也对组织内部信息的存储与传递做出了强制性规定。
二、企业内网安全需求分析:
内网系统承载了企业绝大部分的业务,企业内网系统能否安全有序地运行直接关系到企业日常工作的开展。
从以上企业内网安全现状的分析可看出,企业内网主要存在机密信息防护、上网行为规范、资产和系统管理的安全问题,下面对这三个方面进行详细分析,进而提炼出其安全需求。
1、机密信息保护的安全风险及需求
财务报表、技术档案、营销计划等企业珍视的机密资产,一旦泄漏出去,将会带给企业不可估量的影响。
但现代企业又经常使用网络、其他工具来提高工作效率,在这样的环境之下,随便上传下载和移动网络中的文件,可以随便很轻松地把企业的许多重要信息流通到网络外部,从而使企业重要的知识产权受到严重侵害。
编号
存在的风险
对应需求
1
重要资料被有意、无意删除、修改、破坏,缺乏有效手段,即使泄密事件发生,也无从追查。
需要建立完善的审计机制,记录文档全生命周期的操作,详细掌握内网操作,做到事前预防,事后追踪。
2
缺乏合理的文档权限的划分,导致机密文档被随意访问,传播范围扩大。
控制核心数据的使用权限,按照部门或级别划分文档的使用权限。
3
重要文档可通过U盘、智能手机等设备被带出企业而导致的信息外泄。
需要管理计算机的外部设备使用,包括U盘、智能手机、MODEM、打印机、光驱等。
对内部网络中使用的移动存储设备进行分类和细粒度的权限控制,按照需求禁止使用或做到“内盘内用,外盘外用”
4
储存在计算机上的敏感、机密信息被随意打印及泄露。
需要对打印内容进行记录,同时控制各类型打印机的打印权限。
5
机密信息通过QQ、MSN、飞信等聊天工具传播出去。
需要对即时通讯工具进行监管,包括记录和限制文档的随意外发。
6
通过普通邮件、lotus、Notes、web等常用E-mail把核心资料传播出去。
需要对等各种方式发送的邮件进行控制,并且记录包括附件在内的发送内容。
7
内部员工通过3G上网卡等连接网络,把信息通过网络带走,或外来计算机非法接入企业内网盗取机密信息。
需要对3G上网卡等无线上网设备做控制,同时对外来计算机接入内部网络时进行控制,如未授权,则禁止接入内部网络。
8
关系企业生存发展的高度机密文档被外泄出去。
需要对安全性要求最高的文档,进行文档透明加密,保证敏感资料即使被非法泄露,也无法打开应用。
2、上网行为带来的安全风险及其需求
安全、高效,是企业内网都追求的理想状态。
因此,企业内部的敏感信息以及员工的行为需要得到有效的控制:
一是规范员工的操作行为,确保工作时间的高效率;二是对敏感操作进行控制,防止病毒、木马的危害,降低内网安全风险。
编号
存在风险
对应需求
1
上班时间炒股、打游戏、使用与工作无关的应用程序
需要对应用程序的安装进行控制,限制与工作无关软件的安装。
2
玩网络游戏、浏览与工作无关的网站、进行与工作无关的网络聊天。
需要对终端用户访问的网站、允许使用的网络应用程序进行控制。
3
疯狂下载电影、歌曲、程序,在线看网络电影、听音乐,滥用内部网络带宽。
需要对终端用户使用的网络带宽和网络流量进行控制。
4
无意或有意访问到黄色、反政府等非法网站,造成病毒、木马泛滥。
需要禁止一切黄色、反动、挂马等非法网站,降低内部遭受病毒、木马入侵的风险。
5
缺乏对员工上网、桌面行为的了解,无法掌握员工的业绩和工作状态。
需要应用程序和访问网站记录的统计报表,掌握内部的操作动态。
3、资产和系统的管理的安全风险和需求
随着企业规模的扩大,内部的PC数量不断增加,IT部门面对这成百上千甚至过万的PC,缺乏一套完整有效的管理工具,依然沿用单机作业的模式,付出大量时间精力维护系统稳定。
其次,IT系统管理的目标之一就是要保证企业计算机系统运行的稳定性和可靠性。
倘若出现大规模严重的问题,会使整个单位的生产经营活动都陷入混乱。
另外,企业内部的IT资产和非IT资产也在日益增长,如果采用传统的人手统计方式,将会消耗大量时间和精力。
编号
存在风险
对应需求
1
单位的PC数量越来越多,无法集中管理,一旦大规模出现问题,影响效率的同时还危机企业信息安全。
需要通过单一控制台,对内网PC进行统一管理,通过远程维护,集中管理和控制内部所有计算机。
2
计算机软、硬件数量无法确实掌握,盘点困难
需要自动统计企业内部的IT资产,同时对及时更新软硬件变动情况。
3
硬件设备私下挪用、窃取,造成财产损失
需要对异常的软件、硬件变化进行及时报警,提高IT管理的准确性、及时性和自动化水平
4
无法及时更新微软的补丁,造成内部漏洞越来越多,安全风险大
需要自动检测PC的补丁安全情况,根据需要及时更新。
5
软件单机安装浪费人力,应用软件版本不易控制
支持程序分发、程序修复、文件分发,方便网内计算机进行软件部署
三、IP-guard内网安全整体解决方案
3.1信息防泄漏的三重保护
推荐功能组合:
文档透明加密文档操作管控设备管控移动存储管控打印管控
即时通讯管控邮件管控应用程序管控网络控制屏幕监视
针对企业的内网信息安全管理需求,IP-guard提出信息防泄漏三重保护方案,第一重保护是对内网信息做详尽细致的审计,让我们知道知道发生了什么;第二重保护是对信息的流动做全面严格的控管,让机密信息拿不走;第三重保护是通过安全稳定的加密,使我们重要的信息就算拿走了也不怕。
3.1.1第一重,详尽细致的操作审计
第一重保护也是最重要的保护。
详尽细致的操作审计不仅仅能提供事后审查,更能让我们发现内网安全隐患,增强系统安全性。
管理者不知道内部的信息是被谁在使用,何时在使用,信息有进行怎样的流转,那么很难能发现其中可能存在着的安全隐患,也就不知道怎么去防止它泄露。
因此对信息的使用和流转进行详细的监督和审计,是一切安全控管行为的前提和基础。
详尽细致的操作审计包括以下三方面:
3.1.1.1文档全生命周期审计
详细记录包括创建、访问、修改、移动、复制、删除在内的每一项文档操作,同时,其他计算机对本机共享文件夹内文档的创建、修改等操作也能一一记录。
另外,对于修改、删除等相关操作发生前及时备份,有效防范文档被泄露、篡改和删除的风险。
●详细而完整的记录存储于硬盘、光盘、移动盘、网络盘等各种位置的文档的创建、修改、复制、删除等每一项文档操作。
记录对重要文件的访问、以及内部移动操作,关注文档的使用情况,及时了解重要文档被什么人访问过。
●记录修改、删除操作,对敏感内容的修改和删除,可作修改前或删除前备份,防止被有意或无意破坏导致数据丢失。
3.1.1.2文档传播全过程审计
细致记录文档通过打印机、外部设备、即时通讯工具、邮件等工具进行传播的过程,有效警惕重要资料被随意复制、移动造成外泄。
●详细记录文档的复制、剪切等移动过程,关注往移动存储设备拷贝等操作,并能详细记录移动内容,方便地达到内容审计。
●记录收发的标准协议与Exchange格式邮件的收发内容,以及Lotus和网页邮件的包括附件在内的发送内容。
记录的内容包括收件人、发件人、邮件正文及附件等
●应用先进的打印映像记录技术,记录打印内容,可记录各种类型打印机的文档打印映像,即使是OA、ERP中无文档形式的打印内容也能够记录下来。
记录映像会上传到服务器上,保证保存的内容即是打印的内容,以备后期审计之用。
●对于使用即时通讯工具进行的文件传输也能进行记录。
●对于一些非经常使用的如智能机同步文件、光盘刻录等操作也会有相应的记录。
3.1.1.3桌面行为全面审计
除了对文档的审计以外,对于信息安全要求较高的客户使用功能更为强大的桌面行为审计。
IP-guard强大的屏幕监控功能严密监视计算机的屏幕画面,无需摄像头即可清楚了解用户的桌面操作。
不但能够方便管理者同一时间对多名用户进行观察,还能结合日志对历史屏幕记录情况进行查看。
●能实时跟踪查看网内一台或一组计算机的屏幕画面,同时监控多台计算机当前屏幕状况。
IP-guard强大的屏幕监控功能严密监视计算机的屏幕
升级会员 