企业内网安全解决方案.docx

1、企业内网安全解决方案内网管理安全解决方案青岛海洋电子工程技术有限公司2010年11月08日1.客户需求描述 随着企业办公自动化和网络化的发展，企业中的各种信息都通过互联网进行传递，其重要信息毫无限制的被扩散。为了保证通过网络传播的企业信息能够在规定的限度内进出，就必须在如下网络安全需求方面做到完善的管理和控制。能够对进出企业办公网络的数据内容记录、监控、拦截（根据关键字）、审核等各种应用程序（如mail、ftp、web等）中所包括的内容（如邮件内容、邮件附件；web页面内容，及通过web页面提交的内容等）的记录、监控、拦截（根据关键字）、审核；各种及时通讯程序（如QQ、MSN、SKYPE等）中

2、所产生的文字信息、语音信息、上传文件与下载文件的的记录、监控、根据关键字（拦截或阻断其通讯，并将之加入黑名单）；各种下载工具（迅雷、电驴、Flashget等）中所发生数据流量的记录、监控；通过上传方式（如FTP）所产生数据内容的记录、监控、拦截（根据关键字）；对使用笔记本无线上网的员工，通过安装隐藏软件，对上述方式进行本机备份（隐藏），在接入公司局域网后，能够自动上传备份内容并删除；对客户端电脑USB口、软驱、光驱（刻录机）进行记录、监控、拦截（根据关键字），笔记本在接入公司局域网后，将记录内容自动上传至服务器后本机自动删除；对公司机密文件进行加密或授权，使其离开公司使用无法打开或输入密码才能

3、打开（公司内使用无需输入密码或根据相关选项设定打开方式）能够对进出企业办公网络的数据内容通过设定关键字的方式自动过滤或等待人为指令通过设定指定的关键字对各种应用程序所产生的数据内容进行记录、阻止、过滤或待人为操作指令2.客户需求分析基于贵公司的安全管理需求，对公司项目进行分析，将具体的安全防护重点列为如下几点：2.1企业重要数据的安全企业安全管理防护，最核心的是保护重要信息不被泄露。由于企业网络化的发展，信息通过互联网任意扩散，重要信息无法被限制，采用网关关键字过滤的方法能够对外发文件是否许可做简单判断，但由于文件本身没有做防护，恶意泄密人员、误操作人员、恶意木马病毒等依然能够通过诸如转换文件

4、格式，修改文件名，dos或第二操作系统启动，拆卸硬盘等多种方法绕过判断机制。对核心数据实行强加密存储，结合完备的工作审批流程，在不影响用户工作习惯的方式下，真正做到数据的根本安全。2.2移动存储介质的安全 由于计算机技术的不断更新，存储介质已经是最简单的数据传递工具，例如：U盘、MP3等，存储介质的存储空间也愈来愈大，移动介质的随意使用对数据安全造成很大威胁。2.3网络行为的监控管理 终端用户网络行为是企业安全威胁的重要因素。无限制的浏览网站，下载文件极易使企业感染病毒，并且影响网络流量的合理使用，对mail、FTP、即时聊天工具等的使用都需要合理限制，监控管理，并有完备的日志记录，方便管理员

5、定期审计。2.3终端全面安全管理体系企业信息安全建设应是一个全面多层次的体系建设，由于众所周知的“木桶原理”，有一个短板都会使失泄密事件成为可能。我们希望结合贵公司的实际情况，为企业建立从终端入网认证，终端安全管理，运维管理等的多层次安全防护，根本解决公司的安全需要。3.方案规划与设计3.1终端安全管理整体设计根据企业需求，设计了如图1所示的终端安全管理方案架构，具体功能需求包括终端安全管理、终端运维管理、用户行为管理、数据安全管理和管理审计等。图 1 终端安全管理构架图3.2文件安全管理3.2.1文档自动加解密安全文档系统是在Windows操作系统(包括WinNT,2K,XP,2K3所有的操

6、作系统)的文件系统层面上工作的一个核心态软件,向整个系统提供实时的、透明的、动态的数据加解密服务。该系统运行于操作系统的核心态,接管整个文件系统。文件数据在储存设备(例如磁盘)上以密文形式存储,当需要读写该加密文件的数据内容时，通过基于文件指纹智能识别技术和基于文件名识别技术的有机结合,实时进行加解密,使得系统在授权情况下可以透明地,以明文形式读写该加密文件的数据。 所以，通过安全文件系统,文件的数据得到安全地加密保护。而授权的用户又可以直接透明地以明文方式使用文件的数据，实现了安全、便捷的数据解决方案。实现安全防护效果：存放于硬盘中的关键数据始终是加密状态，确保数据无论何时、何地都处于安全状

7、态，当然也包括硬盘丢失、光盘启动的dos模式以及安装第二操作系统等对数据的窃取方式。如果需要带出安全文档，系统提供文档审批流程，经过审批员授权的文件可以合法流传到网外。3.2.2 文档主动加密与访问权限控制该系统为每一个通过认证的合法用户提供对任意类型文件进行主动加解密的权限，加密时可以对文件的使用权限和范围进行重定向，可以使个人、小组、全域或指定人员有对加密文件的使用权限。3.3信息失泄密防护3.3.1 网络通讯失泄密防护网络通讯方式信息泄漏防护是失泄密防护的重点之一，此系统可以从网络层和应用层分别对客户端用户的网络行为进行监控与审计。在网络层实现对“任意IP地址”、“IP地址端口号”、“T

8、CP/UDP端口”的访问控制。在应用层结合常见的FTP（文件传输）/HTTP（上网）/SMTP、 WEBMAIL（邮件收发）/TELNET（远程访问）/BBS（公告板）/NETBIOS（网络共享）等协议的内容实现访问控制。网络层控制和应用层控制在不同层次发挥作用，提高了网络通讯方式信息泄漏防护的可靠性。3.3.2 存储介质失泄密防护该系统对移动存储设备（如U盘、移动硬盘、Mp3、Mp4、手机等）实行两套安全策略：对未经过授权认证的移动存储器和软盘存储器的控制采用以上策略体系控制。另外此系统的“可信移动存储介质管理功能模块” 基于虚拟磁盘技术，从注册授权、身份验证、密级识别、访问控制报警、锁定自

9、毁、扇区级加解密、日至审计等方面对可对移动存储介质进行授权认证和格式处理，限定其使用范围、使用口令、使用时效等。目的：已授权的移动存储器才能够在企业内使用，未授权的移动存储器无法在企业内使用。3.3.3 打印机失泄密防护此系统可以监测用户的打印行为，包括本地打印机、网络打印机和虚拟打印机。打印机信息泄漏防护有如下策略：禁止/自由使用打印机，不记录日志；允许使用打印机，并记录打印日志。(分为记录文件名和文件内容两种)建议将办公网内计算机的打印功能禁用，设置专门的打印出口，人员在履行相关登记审批手续后，由专人实施打印，同时系统对打印作业属性行为有详尽的打印日志，主要包括：记录文件名、打印文件内容、

10、文件在服务器上的路径、打印份数、页数等，也可以记录打印的文件内容。3.3.4 接口外设失泄密防护防水墙系统可对计算机所有外设接口进行管理，防止用户私自通过外设接口输入输出或使用文件。可以控制的接口包括：USB接口SCSI接口串行总线并行总线红外接口蓝牙接口PCMCIA接口软盘控制器火线1394接口无线网卡接口多网卡接口CD-ROM驱动器我们建议将办公网内计算机的外设接口禁用，设置专门的出口，人员在履行相关登记审批手续后，在办公网内设置专门的电子文件出口，人员在履行相关登记审批手续后，由部专人实施解密输出。3.3.5 非法外联管理此系统可以防止内网的计算机通过局域网以外的方式，如Modem（拨号

11、）、GPRS（无线拨号）、CDMA（无线拨号）等非法登陆外部Internet网络，并可以记录下相关用户的拨号行为日志。3.3终端安全管理3.3.1 终端入网认证终端入网认证需求是对接入内网的计算机进行统一的管理，未经许可的计算机不能接入内网，接入内网的计算机必须通过安全性检查才能访问内部网络资源。 用户接入认证：通过登录用户的用户名和口令检查接入用户的合法性，阻止外来主机在没有得到管理员许可的情况下非法接入内部网主机安全性检查：对通过接入认证的计算机进行安全性检查，检查的策略包括两个方面：防病毒软件安装与否和操作系统补丁安装与否。如果没有达到安全检查的基准，可以进入修复区，只能访问内部修复服务

12、器，不能访问内部网络资源。当系统执行自我修复操作后，如果安全状态达到相应的标准那么该计算机即可正常访问内部网络资源。3.3.2 安全策略管理按照企业终端计算机安全管理规定，统一配置终端计算机的Windows安全策略，实现集中的安全策略配置管理，统一提高终端计算机用户的安全策略基线。系统所能配置的安全策略如下：帐户密码策略监视帐户锁定策略监视审核策略监视共享策略监视屏保策略监视3.3.3用户身份认证身份认证是系统应用安全的起点，可以通过硬件USBKey和口令认证登录Windows系统用户身份，保证进入Windows系统用户身份的合法性；对登录用户权限进行合法性检查，保证用户权限的合规性。3.3.

13、4 网络进程管理通过对网络进程的统一管理，规范计算机用户的网络行为，实现“外面的网路连接未经许可进不来，里面的网络进程未经许可出不去”。3.3.5 防病毒软件监测通过策略设置防病毒软件特征，按照统一的策略监测防病毒软件使用状况，并进行统计分析形成统一的数据报表。具体功能如下：监视防病毒软件的使用状况，通过防病毒软件的特征监视防病毒软件的安装情况、运行状态和病毒库版本，对不符合安全策略的状态进行报警。防病毒软件监测特征的自定义，通过对未知防病毒软件的特征自定义实现对未知防病毒软件的监测，其特征包括杀毒程序名称、病毒库版本标识的注册表项等。3.3.6 文件安全删除通过控制台设置临时文件管理策略，实

14、现临时文件的统一删除管理，系统所能删除的文件包括有：清除IE缓存，按照策略定期删除IE所产生的临时文件；清除IE地址栏，按照策略定期删除IE地址栏中的临时信息；清除历史记录，按照策略定期删除历史记录文件；清除COOKIE，按照策略定期删除系统访问所产生的COOKIE文件；清除系统临时目录，按照策略定期删除系统工作的临时目录；清除最近打开的文档，按照策略定期删除系统最近打开文件的记录；清除运行中的运行命令，按照策略定期删除系统运行中记录的用户运行命令；清除回收站，按照策略定期清空回收站中的被删除信息。同时提供文件安全擦除功能，实现对存储在本地的敏感文件进行安全擦除功能，通过多次数据回填的方式实现

15、敏感文件的安全擦除，经过安全擦除处理后的文件无法通过磁盘剩磁的方式恢复数据。管理员可以配置擦写次数实现统一的文件擦除管理。3.4终端安全管理3.4.1 软硬件资产管理通过软/硬件资产管理功能，管理人员可以更好地制定出对于操作系统软件、办公软件和应用软件的购买计划，降低日益膨胀的终端管理成本；可以保证新系统与旧有系统的最大兼容性；还可以实现对整个机构范围内正在使用的应用程序、应用程序使用的频率、以及同时有多少用户使用相同的应用程序进行统计、汇总，并生成相应报表，对未来软、硬件投资的规划提供了很大的帮助。3.4.2 软件分发软件分发可大大提高终端管理的自动化程度，提高管理效率。此外，自动化的工作流

16、程还可以避免人工操作带来的风险，使终端资产得到更好的保护。通过软件分发的机制，可以实现终端多种软件的统一分发。3.4.3 补丁分发通过软件补丁分发管理，可以实现根据已有硬件条件和网络环境合理利用资源，将Windows平台的办公网客户端纳入统一的补丁管理，尽可能减少人工操作，降低管理成本，实现系统使用效益的最大化。3.4.5 用户远程帮助使用终端服务技术，允许帮助人员通过远程“终端服务”会话来提供帮助。远程协助功能系统管理员提供丰富的远程诊断、远程控制等工具，使得系统管理员对异地的终端系统进行远程诊断、修复。一方面缩短对终端系统故障的响应时间和修复时间，提高终端用户的办公效率，并且降低IT人员的

17、维护工作量。3.4.6 终端网络流量检测网络流量监测功能为管理员随时提供远程终端主机的运行状态变化信息，自动对指定的异常情况进行报警，根据管理员预定义策略及时阻断远程主机的违规行为。实时监测计算机的网络使用情况，当发现网络流量超过管理员设定的监测阀值时，根据管理员预定义的响应策略阻止用户行为或向服务器发送告警。3.4.7 运行状况监测随时提供远程终端主机的运行状态变化信息，可以自定义监测项目，系统自动对指定的异常情况进行监测、记录和报警。 3.5离线审计与笔记本电脑的管理对于离线的设备，系统通过配置离线安全策略的对其进行控制，管理员可以配置严格离线策略对离线状态计算机进行控制。对于离线的计算机

18、（如出差带出的笔记本电脑），能够控制移动存储介质、输入输出接口、打印机的使用、系统资产监控等，并记录用户操作记录；对关键数据采取加密存放、端口使用权限设定等保护措施。当离线的计算机连接到服务器以后，日志自动上传到服务器用于审计。3.4在线审计分析在线状态分布在各部门的防水墙客户端实时向防水墙服务器发送工作日志和告警信息，由服务器进行汇总完成信息的自动收集。通过控制台按公司、部门、科室各个行政单位进行信息的分门别类汇总审计。支持按照关键字、时间段和部门范围查询。不同级别的审计员可以审计不同范围的日志（如：财务科审计员只能审计财务科信息）。能够审计的日志信息： 网络失泄密日志 可信移动介质使用日志

19、 媒体介质日志 打印机日志 文件安全服务日志 运行监控日志 信息资产管理日志等4.方案策略设定与成效通过合理的策略设定与管理方法，为贵企业打造一个全方位、多层次的安全体系。企业核心数据使用安全文档功能强制加密存储，加密后的数据无论通过什么方式传出安全域都是密文，不可识别。（对确需明文传出的数据需经过安全文档的审批流程。）对上网行为，做策略控制，并有详细日志记录。如IP，HTTP访问，FTP，MAIL等，可对不同部门不同人员做详细策略限制，对终端网络行为详细记录，对邮件内容可做备份，并可对网络访问进程做控制，可对网络进程与端口做绑定。通过进程控制策略严格控制终端及时聊天工具及下载工具的使用，可远

20、程调取终端进程快照审查软件使用情况。监控网络实时流量及总流量的状况，设定阀值，违规及时报警。严格存储介质使用管理，对终端禁止外接移动介质的随意使用，通过UEM可信介质授权模块将内网移动介质统一授权使用。授权可信介质时可对介质设定使用范围，使用时间，口令认证等。真正做到“未授权移动介质拿进来使不了，授权移动介质拿出去不能用”。控制终端打印操作，对有打印权限的终端备份打印内容。启用网络接入认证功能，使非法计算机不能接入企业网，并定期扫描内网主机状态，对不符合安全要求的终端阻断其连进内网。通过UEM系统离线策略，控制终端离线状况下的安全使用，尤其对笔记本外出做安全策略设定。对终端在线或离线情况下所有操作做详细日志记录，便于管理员日志审计追踪。企业失泄密防护，保护的核心还是机密文件。UEM对核心的机密文件本身使用自动加密存储，对用户透明，用户不会感到使用不便，但对企业数据做到绝对安全。加密的文件非法通过任何方式传出企业安全域都是不可识别的密文，企业不用担心终端用户通过聊天工具或邮件等方式泄密，不需考虑复杂的关键词过滤（对企业大量文件来说，关键字库会很多，过滤时间会较长，极影响用户正常工作，且仅对终端产品不便实现），也会根本防止用户使用拆卸硬盘，多操作系统启动等特殊手段泄密。再加上外围的安全防护，通过完备的安全策略，使用补丁分发，软件分发等管理手段，可以使企业做到最佳的安全防范及管理效果。