行业全面内网安全与网络行为管理解决方案Word文档格式.doc

1、3.3企业网络方案总结124.全面内网安全管控平台-金盾CIS5134.1.金盾CIS5概述134.2.金盾CIS5系统特色164.3.金盾CIS5主要功能列表174.4.金盾CIS5产品框架214.5.金盾CIS5产品部署234.6.金盾CIS5运行环境254.7.金盾CIS5核心思想275.华软荣誉资质286.金盾CIS5部分典型客户307.关于华软公司321. 内网安全面临的挑战随着计算机网络技术、Internet 、Intranet和数字通信技术飞速发展，信息网络技术的应用层次不断深入，应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展，如电子政务、电子商务、CIMS、知识管理

2、、电子金融、社会保障、GIS系统等。大量的技术和业务机密存储在计算机和网络中，对网络安全性要求变得越来越高，需要有效地制定安全策略以保护机密数据信息。通常的安全策略的一个基本假设是：网络的一边即外部的所有人是不可信任的，另一边即内部的所有人是可信任的。通常认为黑客、病毒以及各种蠕虫的攻击大都来自外部的侵袭。但是，根据美国FBI的统计，各种计算机网络、存储数据遭受的攻击和破坏，80是内部人员所为。来自内部的数据失窃和破坏，远远高于外部黑客的攻击。企业内部竞争性情报信息是企业无形资产管理的重要部分。俗话说“知己知彼，百战不殆”，如何保护企业自身重要情报不被竞争对手窃取，使企业在使用网络来提高工作效

3、率的同时避免企业重要的知识产权遭受侵害，将是文档安全管理的一个重要课题。传统的安全解决方案比如防火墙、入侵检测、防病毒在网络安全中起到非常重要的作用。由于现在网络边界的概念逐渐模糊，通过VPN、无线上网、远程拨号等方式连接到内部网络变得非常普遍，内网上各种信息滥用、误用、恶用行为增加，严重影响内网安全。对于以上安全问题，传统安全技术显得力不从心。 企业内部竞争性情报类型主要有： 企业的机密技术文件、产品研发资料 设计图稿 会计账目、财务报表资 战略计划书 外购竞标信息和供应链合作伙伴信息 重要研究成果 研究论文 市场营销策划资料 其他：如董事会、投融资等方面管理类资料，客户资料 据IDC统计，

4、80%以上的安全威胁来自于内部，企业内网所面临的安全隐患主要表现在如下几个方面：1. 补丁升级与病毒库更新不及时、蠕虫病毒利用漏洞传播危害大 2. 非法外联难以控制、内部重要机密信息泄露频繁发生 3. 移动电脑设备随意接入、网络边界安全形同虚设 4. 攻击方法日新月异，内部安全难以防范 5. 软硬件资产滥用、资产安全无法保障，网络故障频发6. 网络应用缺乏监控，网络滥用严重 7. 缺乏外设管理手段，数据泄密、病毒传播无法控制 8. 内部竞争情报和具有知识产权图档泄露严重9. 管理制度缺乏依据，无法取证，安全策略无法有效落实 2. 企业需求分析2.1. 信息安全管理背景市场竞争越来越表现为技术的

5、竞争、知识的竞争和决策能力的竞争。以网络技术、计算机技术、电子信息技术为支撑的管理信息系统为企业提供了有力的支持。但是，不少商业企业已将企业信息化建设提到战略高度来看待，不惜投入重金进行管理信息系统的开发和建设。但从整体上来看，其建设效果多数未能达到企业所期望的目标和结果。因此，认真研究其原因，特别是对商业企业信息化建设过程中存在的各种阻碍性问题加以剖析和研究。我们必须认识到，管理信息系统是企业经营目标服务的应用系统，是企业管理的延伸和变革。企业信息化建设是企业全局性工作，关系到企业生产力的解放和经济效益的提高。因此，加强组织领导是实现信息化建设的保证。2.2. 内网安全现状整体需求分析2.2

6、.1. 企业信息管理的可控性互联网给企业带来的好处简直太多了。然而开放的网络中充斥着各种与业务无关的信息，色情、暴力、反动等不健康内容随处可见，这些内容常常不请自来，通过邮件，BBS等，简直到了无孔不入的地步。有的员工视单位电脑如免费网吧，浏览不相干的网站、下载游戏、QQ聊天、收发个人E-MAIL、看电影，甚至逐渐演变成为打发上班时间的主要活动。但是，企业的工作效率因而大大降低，不少企业管理者为此忧心忡忡。2004年美国财富杂志称：“没有控制的互联网是办公室里资源浪费最多的设置之一。”2.2.2. 企业信息的保密随着现在企业与人才之间双向选择的推广,在企业规模的不断扩大的过程中,企业会经历不只

7、一次的大的人事变动,以及数量频繁的小的人事流动,而在人员流动的过程中难免出现信息的泄露，比如:销售人员带走你的客户资源等,也不可能保证每个员工对你的都是忠诚的,通过公司的网络,公司的e-mail发走公司的机密信息,U盘软盘拷贝走公司的秘密资料,用公司的打印机打印敏感的文件,显而易见这会给公司造成很大的损失。2.2.3. 管理的可靠性和安全性现今网络里的病毒,木马和各种攻击,入侵方式多的不计其数,它们对网络造成了极大的损失,特别是对我们这些现代化企业危害更为明显,只要我们的网络被病毒或者攻击等方式导致瘫痪,在信息化高度应用的今天，企业也会陷入瘫痪。.现在对于安全的考虑大多是事后解决,防火墙只能执

8、行事先设定好的规则,而IDS的误报率很高,杀毒也只能是在病毒出现后给出解决,怎么样找出一个综合的解决方案。对于企业来讲，必须面对或希望解决这些的安全和管理问题，这也造成了企业对这方面产品的需求。3. 全面内网安全建设总目标全面内网安全=网管软件+监控软件+传统内网安全+加密软件技术层面和管理层面的良好配合，是组织实现全面内网安全系统的有效途径。其中，全面内网安全技术通过采用包括建设安全的主机系统和安全的网络系统以及可信的客户端系统的安全产品的方法来实现。在管理层面，则通过构架信息安全管理体系来实现。以集团公司信息中心为中枢建立主控计算机网络系统，在各地分公司、办事处分设分控服务器，将全国各个分

9、公司、办事处的工作情况，资产信息，通过VPN来实现与总部信息中心互通，汇总后与总部网络的互连，总部可以通过总控平台对全国各地分公司、办事处办公人员的PC、笔记本实现监控管理，分支机构也可使用分控中心管理自己的客户端。改善公司内部管理。使总部对各地办事处管理纳入稳固的良性运行机制。同时使公司内部及时的“上情下达、下请上报”，使决策者随时掌握内部的各种资源状态，并逐步在全部门形成“快速准确获取信息、高效统一实施管理、人财物合理调配、产供销互相协调”的新局面。q 事前控制。对信息传递途径进行控制，实现全面的终端通讯设备和存储设备的彻底控制；进行局域网接入保护，实现外来电脑的接入局域网络限制；制定详细

10、的报警策略，对非法接入设备进行及时报警提示；制定详细的互联网信息传递阻断策略，对非法信息传递进行阻断；q 事中审计。操作屏幕监控，对泄密过程进行屏幕记录及自动保存，方便现场查看，事后录像回放；进行全面的电子文档操作记录，包括对电子文档的访问、创建、复制、移动、改名、删除、恢复、打印等操作，实现完整的电子文档操作痕迹保留；q 事后审计。进行电子文档操作历史及屏幕记录，便于信息泄密后审计；对互联网信息传递进行备份，便于信息泄密后审计。q 让员工快速融入到单位的网络文化中来。通过我们的禁用网站、禁用应用程序、禁用设备等功能，以及客观的网络行为审计报告，避免新员工带来不良的网络行为，杜绝不良的网络行为

11、在新单位的蔓延！q 在职员工网络行为管理更优化。让员工在公司规定的时间访问指定的网站和程序，充分利用网络资源，营造轻松愉快的工作氛围，大大提高办公效率！q 离职员工的离职网络行为管理。实施离职员工的网络行为针对性管理，杜绝情绪化离职员工恶意网络行为的发生，避免离职员工将公司机密信息泄密。q 保护企业所有竞争情报和图档保护企业内部董事会和办公室等各职能部门的office、WPS文件，保护去也设计研发中心的cad二维或三维图纸，全部实施加密保护，杜绝所有可泄密图档路径。q 及时掌握软、硬件资产情况。获取大量所管理设备的最新信息，是信息化资产核对有效的依据。实现远程信息管理，同时，对异常的软件、硬件

12、变化及时报警；q 实现自动化网络管理。轻松的记录和查看异地网络的计算机使用情况和配置信息，实现远程桌面管理、程序修复等远程控制和管理功能。q WINDOWS升级方便快捷的为局域网内每台不同的WINDOWS操作系统进行补丁升级，及时补缺漏洞，提高公司网络安全性q 应用程序全局安装只要鼠标轻松一击，便可使应用程序安装在每台计算机上，免除烦杂的重复作业。q 文件派发内部文件资料迅速派发到每台终端，让员工及时掌握公司动态。q 。3.1. 企业网络需求分析A. 一些重要文档如：财务报表、设计图纸、客户资料、源代码等以明文形式保存，通过邮件、即时通讯工具（QQ、TM、MSN）、U盘等移动存储设备、拆卸硬盘

13、等发往外网造成泄密；B. PC机和网络设备的软硬件IT资产管理混乱；C. 科室和PC机众多管理不方便，登记混乱；D. 要求合理利用IP，杜绝IP冲突，防止arp病毒的攻击；E. 对员工的桌面工作情况无法准确定位判断分析；F. 员工在上班时间玩游戏、下载、上传、看在线影视影响企业形象，占用网络带宽资源造成其他办公系统无法正常运作、而且降低工作效率甚至引发病毒。G. 特定的文件程序共享后分发安装繁琐。H. 打印机、外部接口随意使用。I. 非法机器设备接入内网，随意访问内网资源；内部机器违规非法外联；J. 信息中心摘除了PC的光驱软驱，软驱，但是U盘使用广泛，病毒从U盘感染到内网，扩散很快，无法彻底

14、清除。K. 对大量PC客户端的维护工作量大，不便于维护管理。L. 要求对网络行为时时控制，时时记录并保存日志。M. 要求对网络中潜在的危险行为做到主动防御，事前预防，事后追踪。N. PC总会遭到病毒的攻击，如何及时的打补丁给相关部门提出了新的要求。O. 对浏览过的网站和文件的操作新建、修改、删除、重命名等没有详细记录日志。P. Windows系统补丁及时自动下载安装。3.2 企业网络解决方案通过华软的金盾内网安全的部署，成功的解决了以上问题。A. 通过金盾CIS加密解密模块在不影响用户使用习惯的情况下,强制透明自动加密涉密资料以及重要数据；控制泄密资料以邮件、即时通信工具、U盘拷贝等方式泄密。即使发到外网数据在没有金盾客户端的情况下无法正常使用，强制打开将以乱码方式显示，看不到文件的明文。这也是杜绝泄密的有效办法从泄密文件根源上来解决问题。B. 通过金盾CIS的USB存储管理功能解决U盘等移动存储设备的任意混乱使用，可分组、分时效、分个人、分权限使用注册USB存储设备；可将外部设备和内部设备做出区分对待；C. 通过软、硬件资产审计功能，能够对内网的PC进行软硬、件资产的审计，防止国有资产流失。D. 通过金盾CIS的移动外发管理可以灵活区分泄密资料数据在