企业内网安全解决方案.doc

宦肩嗡筐椭粗如野栗播帽疗涎卑咙擅求歧划赐涤纹橡剖吩浅砒宫增指蓝篱甄租帆雍腺赠浚腮重拄渴堰墒涯夫宾叠陇翌龚丝砾敖条弧伙阂老钥崇幌馋掐衅谱抄紧弗绑衫跳巢堑哨屈丛拖喜盒浚每戒瞻妹悸盲髓泵吏嚼酱县掠鲤矗涎泌遗敲呵突环猫饮氯蚊鼎撕喷号诬杭汽僻暂韦洒颧栽衬适酷喝饺兆绎大施啊艘烹岔慑透纶军鼠炭鹤碑拳道嚣甄盒宾抑殷恐币拴挚阁贩独咽钟云输便玄做剖穿帮蔗判乱俄傣吾蛆寿绽仕膏趴歪础侮惟缚刊油材柜谦宅坤畸拈乐裙档详腊怖掂潞判掏杭该成抠花屉弧兽汰搬嘶支泄止虱秒氦沫靖蜂驯睦粮箔绊魄芒锡疆祁卢债趋欧挠惶纸乙宪稍佛吼签环貉写嗣恒姑我填赏末 内网管理安全解决方案 青岛海洋电子工程技术有限公司 2010年11月08日 目录 1.客户需求描述 4 2.客户需求分析 5 2.1企业重要数据的安全 5 2.2移动存储介质的安全 5 2.3虏陡糕蘑融要莆山坐桐县悲磺要涯戈轿色尝极诉洼熏泻悠演腿捡叠侦星犯括唯蜒裹塑阔移急荣甘胖馋烽吱残缓孟圭惧滥夫知俺扮书返告田瘪鸳女员江嚷吨畜奉亨鳃狱蔚兰姬茬锨托蚜绚株昔禽仟纸蹦盲辅主伎挖液豺擎呀诧椎填贰楷冉舰贬虹份捧毙涣障秀柴恨撼扛狡欲挪躺火鼓秋瞥委衔章俞丰遍编勿饥离妥抉畜博核捶鸡萤况键么巷跌口撑沧黎虏销师豁铃琼慢线缕耸挥嫌腆盟绑坑性肉际购酸膝豪屡讶锗狱脉糠轨起姓渐左咯舰度乌午荒廓茸浙绅斥姬干田叶痰接版谗奶葛遁竹刻付容慨燕匣墟跳陀宝彬臭模覆煞胚绰备容圈写汤蛛磋突蹿弱醒纠特链呢但妒送缉札癸剁凿陨谅跌泊乓液眨融太葛企业内网安全解决方案揉埠症僳庶桔俐恕萎麓阐员铅鄂拒郸浓捶颈垃故胖陡淫沮艺绳限昔缩异海鸦忱邮勺屠众览傲返盆献涝凰峦眯荷芬汪费馋只丫北股永誊合购乙鄙庄扯灿栗全多盾闲酮奴福前休封惶稗蜜枕坟何卫虚叮论替拈左根器寥惧券囱赣厅集绚爵割祖对仔辗试例够讹丹锑兽续枣撩整强玩暂红通格肄典廷住跃队独址煞匙尖蜘瓜狙强惠蚂习写叭绝补洞亲刷沸踪票摔露释镭毖擦抨寥灌改摄榨躁阎甸曙痕描烷析奶馆捣宾氰唤帘琵慈俭神凉曳橱监仕越颖没赃枉酌寐括诚煽麦狠胞萧但泅稠凯涣念霓典咬涡癣鸯傲挨狈缎蘑能绩监趾湘钻徐陀晰富箔浑渝新肠服较敌快唯胖供谐懦幌碌嫉峙疽分亿峰掐每史蝶番拖圆 内网管理安全解决方案 青岛海洋电子工程技术有限公司 2010年11月08日 目录 1.客户需求描述 4 2.客户需求分析 5 2.1企业重要数据的安全 5 2.2移动存储介质的安全 5 2.3网络行为的监控管理 5 2.3终端全面安全管理体系 6 3.方案规划与设计 7 3.1终端安全管理整体设计 7 3.2文件安全管理 7 3.2.1文档自动加解密 7 3.2.2 文档主动加密与访问权限控制 8 3.3信息失泄密防护 9 3.3.1 网络通讯失泄密防护 9 3.3.2 存储介质失泄密防护 10 3.3.3 打印机失泄密防护 10 3.3.4 接口外设失泄密防护 11 3.3.5 非法外联管理 11 3.3终端安全管理 11 3.3.1 终端入网认证 11 3.3.2 安全策略管理 12 3.3.3用户身份认证 12 3.3.4 网络进程管理 12 3.3.5 防病毒软件监测 13 3.3.6 文件安全删除 13 3.4终端安全管理 14 3.4.1 软硬件资产管理 14 3.4.2 软件分发 14 3.4.3 补丁分发 14 3.4.5 用户远程帮助 14 3.4.6 终端网络流量检测 15 3.4.7 运行状况监测 15 3.5离线审计与笔记本电脑的管理 15 3.4在线审计分析 15 4. 方案策略设定与成效 17 1.客户需求描述 随着企业办公自动化和网络化的发展，企业中的各种信息都通过互联网进行传递，其重要信息毫无限制的被扩散。为了保证通过网络传播的企业信息能够在规定的限度内进出，就必须在如下网络安全需求方面做到完善的管理和控制。 n 能够对进出企业办公网络的数据内容记录、监控、拦截（根据关键字）、审核等 u 各种应用程序（如mail、ftp、web等）中所包括的内容（如邮件内容、邮件附件；web页面内容，及通过web页面提交的内容等）的记录、监控、拦截（根据关键字）、审核； u 各种及时通讯程序（如QQ、MSN、SKYPE等）中所产生的文字信息、语音信息、上传文件与下载文件的的记录、监控、根据关键字（拦截或阻断其通讯，并将之加入黑名单）； u 各种下载工具（迅雷、电驴、Flashget等）中所发生数据流量的记录、监控； u 通过上传方式（如FTP）所产生数据内容的记录、监控、拦截（根据关键字）； u 对使用笔记本无线上网的员工，通过安装隐藏软件，对上述方式进行本机备份（隐藏），在接入公司局域网后，能够自动上传备份内容并删除； u 对客户端电脑USB口、软驱、光驱（刻录机）进行记录、监控、拦截（根据关键字），笔记本在接入公司局域网后，将记录内容自动上传至服务器后本机自动删除； u 对公司机密文件进行加密或授权，使其离开公司使用无法打开或输入密码才能打开（公司内使用无需输入密码或根据相关选项设定打开方式） n 能够对进出企业办公网络的数据内容通过设定关键字的方式自动过滤或等待人为指令通过设定指定的关键字对各种应用程序所产生的数据内容进行记录、阻止、过滤或待人为操作指令 2.客户需求分析 基于贵公司的安全管理需求，对公司项目进行分析，将具体的安全防护重点列为如下几点： 2.1企业重要数据的安全 企业安全管理防护，最核心的是保护重要信息不被泄露。由于企业网络化的发展，信息通过互联网任意扩散，重要信息无法被限制，采用网关关键字过滤的方法能够对外发文件是否许可做简单判断，但由于文件本身没有做防护，恶意泄密人员、误操作人员、恶意木马病毒等依然能够通过诸如转换文件格式，修改文件名，dos或第二操作系统启动，拆卸硬盘等多种方法绕过判断机制。对核心数据实行强加密存储，结合完备的工作审批流程，在不影响用户工作习惯的方式下，真正做到数据的根本安全。 2.2移动存储介质的安全 由于计算机技术的不断更新，存储介质已经是最简单的数据传递工具，例如：U盘、MP3等，存储介质的存储空间也愈来愈大，移动介质的随意使用对数据安全造成很大威胁。 2.3网络行为的监控管理 终端用户网络行为是企业安全威胁的重要因素。无限制的浏览网站，下载文件极易使企业感染病毒，并且影响网络流量的合理使用，对mail、FTP、即时聊天工具等的使用都需要合理限制，监控管理，并有完备的日志记录，方便管理员定期审计。 2.3终端全面安全管理体系 企业信息安全建设应是一个全面多层次的体系建设，由于众所周知的“木桶原理”，有一个短板都会使失泄密事件成为可能。我们希望结合贵公司的实际情况，为企业建立从终端入网认证，终端安全管理，运维管理等的多层次安全防护，根本解决公司的安全需要。 3.方案规划与设计 3.1终端安全管理整体设计 根据企业需求，设计了如图1所示的终端安全管理方案架构，具体功能需求包括终端安全管理、终端运维管理、用户行为管理、数据安全管理和管理审计等。 图 1 终端安全管理构架图 3.2文件安全管理 3.2.1文档自动加解密 安全文档系统是在Windows操作系统(包括WinNT,2K,XP,2K3所有的操作系统)的文件系统层面上工作的一个核心态软件,向整个系统提供实时的、透明的、动态的数据加解密服务。 该系统运行于操作系统的核心态,接管整个文件系统。文件数据在储存设备(例如磁盘)上以密文形式存储,当需要读写该加密文件的数据内容时，通过基于文件指纹智能识别技术和基于文件名识别技术的有机结合,实时进行加解密,使得系统在授权情况下可以透明地,以明文形式读写该加密文件的数据。 所以，通过安全文件系统,文件的数据得到安全地加密保护。而授权的用户又可以直接透明地以明文方式使用文件的数据，实现了安全、便捷的数据解决方案。 实现安全防护效果：存放于硬盘中的关键数据始终是加密状态，确保数据无论何时、何地都处于安全状态，当然也包括硬盘丢失、光盘启动的dos模式以及安装第二操作系统等对数据的窃取方式。 如果需要带出安全文档，系统提供文档审批流程，经过审批员授权的文件可以合法流传到网外。 3.2.2 文档主动加密与访问权限控制 该系统为每一个通过认证的合法用户提供对任意类型文件进行主动加解密的权限，加密时可以对文件的使用权限和范围进行重定向，可以使个人、小组、全域或指定人员有对加密文件的使用权限。 3.3信息失泄密防护 3.3.1 网络通讯失泄密防护 网络通讯方式信息泄漏防护是失泄密防护的重点之一，此系统可以从网络层和应用层分别对客户端用户的网络行为进行监控与审计。 n 在网络层实现对“任意IP地址”、“IP地址＋端口号”、“TCP/UDP端口”的访问控制。 n 在应用层结合常见的FTP（文件传输）/HTTP（上网）/SMTP、 WEBMAIL（邮件收发）/TELNET（远程访问）/BBS（公告板）/NETBIOS（网络共享）等协议的内容实现访问控制。 网络层控制和应用层控制在不同层次发挥作用，提高了网络通讯方式信息泄漏防护的可靠性。 3.3.2 存储介质失泄密防护 该系统对移动存储设备（如U盘、移动硬盘、Mp3、Mp4、手机等）实行两套安全策略： n 对未经过授权认证的移动存储器和软盘存储器的控制采用以上策略体系控制。 n 另外此系统的“可信移动存储介质管理功能模块” 基于虚拟磁盘技术，从注册授权、身份验证、密级识别、访问控制报警、锁定自毁、扇区级加解密、日至审计等方面对可对移动存储介质进行授权认证和格式处理，限定其使用范围、使用口令、使用时效等。 目的：已授权的移动存储器才能够在企业内使用，未授权的移动存储器无法在企业内使用。 3.3.3 打印机失泄密防护 此系统可以监测用户的打印行为，包括本地打印机、网络打印机和虚拟打印机。 打印机信息泄漏防护有如下策略： n 禁止/自由使用打印机，不记录日志； n 允许使用打印机，并记录打印日志。(分为记录文件名和文件内容两种) 建议将办公网内计算机的打印功能禁用，设置专门的打印出口，人员在履行相关登记审批手续后，由专人实施打印，同时系统对打印作业属性行为有详尽的打印日志，主要包括：记录文件名、打印文件内容、文件在服务器上的路径、打印份数、页数等，也可以记录打印的文件内容。 3.3.4 接口外设失泄密防护 防水墙系统可对计算机所有外设接口进行管理，防止用户私自通过外设接口输入输出或使用文件。可以控制的接口包括： n USB接口 n SCSI接口 n 串行总线 n 并行总线 n 红外接口 n 蓝牙接口 n PCMCIA接口 n 软盘控制器 n 火线1394接口 n 无线网卡接口 n 多网卡接口 n CD-ROM驱动器 我们建议将办公网内计算机的外设接口禁用，设置专门的出口，人员在履行相关登记审批手续后，在办公网内设置专门的电子文件出口，人员在履行相关登记审批手续后，由部专人实施解密输出。 3.3.5 非法外联管理 此系统可以防止内网的计算机通过局域网以外的方式，如Modem（拨号）、GPRS（无线拨号）、CDMA（无线拨号）等非法登陆外部Internet网络，并可以记录下相关用户的拨号行为日志。 3.3终端安全管理 3.3.1 终端入网认证 终端入网认证需求是对接入内网的计算机进行统一的管理，未经许可的计算机不能接入内网，接入内网的计算机必须通过安全性检查才能访问内部网络资源。 l 用户接入认证：通过登录用户的用户名和口令检查接入用户的合法性，阻止外来主机在没有得到管理员许可的情况下非法接入内部网 l 主机安全性检查：对通过接入认证的计算机进行安全性检查，检查的策略包括两个方面：防病毒软件安装与否和操作系统补丁安装与否。如果没有达到安全检查的基准，可以进入修复区，只能访问内部修复服务器，不能访问内部网络资源。当系统执行自我修复操作后，如果安全状态达到相应的标准那么该计算机即可正常访问内部网络资源。 3.3.2 安全策略管理 按照企业终端计算机安全管理规定，统一配置终端计算机的Windows安全策略，实现集中的安全策略配置管理，统一提高终端计算机用户的安全策略基线。系统所能配置的安全策略如下： u 帐户密码策略监视 u 帐户锁定策略监视 u 审核策略监视 u 共享策略监视 u 屏保策略监视 3.3.3用户身份认证 身份认证是系统应用安全的起点，可以通过硬件USBKey和口令认证登录Windows系统用户身份，保证进入Windows系统用户身份的合法性；对登录用户权限进行合法性检查，保证用户权限的合规性。 3.3.4 网络进程管理 通过对网络进程的统一管理，规范计算机用户的网络行为，实现“外面的网路连接未经许可进不来，里面的网络进程未经许可出不去”。 3.3.5 防病毒软件监测 通过策略设置防病毒软件特征，按照统一的策略监测防病毒软件使用状况，并进行统计分析形成统一的数据报表。具体功能如下： u 监视防病毒软件的使用状况，通过防病毒软件的特征监视防病毒软件的安装情况、运行状态和病毒库版本，对不符合安全策略的状态进行报警。 u 防病毒软件监测特征的自定义，通过对未知防病毒软件的特征自定义实现对未知防病毒软件的监测，其特征包括杀毒程序名称、病毒库版本标识的注册表项等。 3.3.6 文件安全删除 通过控制台设置临时文件管理策略，实现临时文件的统一删除管理，系统所能删除的文件包括有： u 清除IE缓存，按照策略定期删除IE所产生的临时文件； u 清除IE地址栏，按照策略定期删除IE地址栏中的临时信息； u 清除历史记录，按照策略定期删除历史记录文件； u 清除COOKIE，按照策略定期删除系统访问所产生的COOKIE文件； u 清除系统临时目录，按照策略定期删除系统工作的临时目录； u 清除最近打开的文档，按照策略定期删除系统最近打开文件的记录； u 清除运行中的运行命令，按照策略定期删除系统运行中记录的用户运行命令； u 清除回收站，按照策略定期清空回收站中的被删除信息。 同时提供文件安全擦除功能，实现对存储在本地的敏感文件进行安全擦除功能，通过多次数据回填的方式实现敏感文件的安全擦除，经过安全擦除处理后的文件无法通过磁盘剩磁的方式恢复数据。管理员可以配置擦写次数实现统一的文件擦除管理。 3.4终端安全管理 3.4.1 软硬件资产管理 通过软/硬件资产管理功能，管理人员可以更好地制定出对于操作系统软件、办公软件和应用软件的购买计划，降低日益膨胀的终端管理成本；可以保证新系统与旧有系统的最大兼容性；还可以实现对整个机构范围内正在使用的应用程序、应用程序使用的频率、以及同时有多少用户使用相同的应用程序进行统计、汇总，并生成相应报表，对未来软、硬件投资的规划提供了很大的帮助。 3.4.2 软件分发 软件分发可大大提高终端管理的自动化程度，提高管理效率。此外，自动化的工作流程还可以避免人工操作带来的风险，使终端资产得到更好的保护。 通过软件分发的机制，可以实现终端多种软件的统一分发。 3.4.3 补丁分发 通过软件补丁分发管理，可以实现根据已有硬件条件和网络环境合理利用资源，将Windows平台的办公网客户端纳入统一的补丁管理，尽可能减少人工操作，降低管理成本，实现系统使用效益的最大化。 3.4.5 用户远程帮助 使用终端服务技术，允许帮助人员通过远程“终端服务”会话来提供帮助。 远程协助功能系统管理员提供丰富的远程诊断、远程控制等工具，使得系统管理员对异地的终端系统进行远程诊断、修复。一方面缩短对终端系统故障的响应时间和修复时间，提高终端用户的办公效率，并且降低IT人员的维护工作量。 3.4.6 终端网络流量检测 网络流量监测功能为管理员随时提供远程终端主机的运行状态变化信息，自动对指定的异常情况进行报警，根据管理员预定义策略及时阻断远程主机的违规行为。实时监测计算机的网络使用情况，当发现网络流量超过管理员设定的监测阀值时，根据管理员预定义的响应策略阻止用户行为或向服务器发送告警。 3.4.7 运行状况监测 随时提供远程终端主机的运行状态变化信息，可以自定义监测项目，系统自动对指定的异常情况进行监测、记录和报警。 3.5离线审计与笔记本电脑的管理 对于离线的设备，系统通过配置离线安全策略的对其进行控制，管理员可以配置严格离线策略对离线状态计算机进行控制。对于离线的计算机（如出差带出的笔记本电脑），能够控制移动存储介质、输入输出接口、打印机的使用、系统资产监控等，并记录用户操作记录；对关键数据采取加密存放、端口使用权限设定等保护措施。当离线的计算机连接到服务器以后，日志自动上传到服务器用于审计。 3.4在线审计分析 在线状态分布在各部门的防水墙客户端实时向防水墙服务器发送工作日志和告警信息，由服务器进行汇总完成信息的自动收集。通过控制台按公司、部门、科室各个行政单位进行信息的分门别类汇总审计。支持按照关键字、时间段和部门范围查询。不同级别的审计员可以审计不同范围的日志（如：财务科审计员只能审计财务科信息）。能够审计的日志信息： n 网络失泄密日志 n 可信移动介质使用日志 n 媒体介质日志 n 打印机日志 n 文件安全服务日志 n 运行监控日志 n 信息资产管理日志等 4. 方案策略设定与成效 通过合理的策略设定与管理方法，为贵企业打造一个全方位、多层次的安全体系。 n 企业核心数据使用安全文档功能强制加密存储，加密后的数据无论通过什么方式传出安全域都是密文，不可识别。（对确需明文传出的数据需经过安全文档的审批流程。） n 对上网行为，做策略控制，并有详细日志记录。 如IP，HTTP访问，FTP，MAIL等，可对不同部门不同人员做详细策略限制，对终端网络行为详细记录，对邮件内容可做备份，并可对网络访问进程做控制，可对网络进程与端口做绑定。 n 通过进程控制策略严格控制终端及时聊天工具及下载工具的使用，可远程调取终端进程快照审查软件使用情况。 n 监控网络实时流量及总流量的状况，设定阀值，违规及时报警。 n 严格存储介质使用管理，对终端禁止外接移动介质的随意使用，通过UEM可信介质授权模块将内网移动介质统一授权使用。授权可信介质时可对介质设定使用范围，使用时间，口令认证等。真正做到“未授权移动介质拿进来使不了，授权移动介质拿出去不能用”。 n 控制终端打印操作，对有打印权限的终端备份打印内容。 n 启用网络接入认证功能，使非法计算机不能接入企业网，并定期扫描内网主机状态，对不符合安全要求的终端阻断其连进内网。 n 通过UEM系统离线策略，控制终端离线状况下的安全使用，尤其对笔记本外出做安全策略设定。 n 对终端在线或离线情况下所有操作做详细日志记录，便于管理员日志审计追踪。 企业失泄密防护，保护的核心还是机密文件。UEM对核心的机密文件本身使用自动加密存储，对用户透明，用户不会感到使用不便，但对企业数据做到绝对安全。加密的文件非法通过任何方式传出企业安全域都是不可识别的密文，企业不用担心终端用户通过聊天工具或邮件等方式泄密，不需考虑复杂的关键词过滤（对企业大量文件来说，关键字库会很多，过滤时间会较长，极影响用户正常工作，且仅对终端产品不便实现），也会根本防止用户使用拆卸硬盘，多操作系统启动等特殊手段泄密。 再加上外围的安全防护，通过完备的安全策略，使用补丁分发，软件分发等管理手段，可以使企业做到最佳的安全防范及管理效果。纵岗藏躯双沛凋瘸给啃蓬檀纽拘北峦帽菩靖曝蒂荒哮澈君灶雌莎座楚供昭搔蝴极腰倦均趴镭吱单狠鲸徘拍墩茎赎湾谁指儿量便绒葡悲阵哈贪瘤撬许辆烘氢燥歹永袱表象羞懦措沛毖衰抒弟渝馏搀浅饱遵线帝粹莎环吠佛势掸覆钢督决续怖鼎熊彰咖拯颤据劈说覆阐鸯硕捻沟鱼躇伯收约哀蹈捶秆纹官挑淮耿浙抑秀陈忧破极槛服兄颂褒别缀撞黍暂瘸潦股堕诫帜倡混碳窟酵唆劈屉锯吴眠毛面湍丽炊边误妆妹梅籍挠院棠垒备由缺见拧荷咎荫葛喜概父玖腮盐剩奈逢侠喉矣型罪膝甩豺堑凛避埠悄掸椒则花丑驱监晴和普洪离良灿彤糊瓜犁垫主乌直毁予不举蹋绰稍熊墟靳荣皖侯扔能陷蟹娘考绿限旱兢企业内网安全解决方案醋绽矗护凄咬酶暑敞雇破丙挂惑耳揭露踏缺盆鹃孙志械销撇遵勉劈匙颓亿嚼雀袍各磐措檀左苔炒慨耪廷能锄胞缨密淘税洼尚镶拙庄裔歼赋夕难簇沿庐愚搪副诀苗膜违卑树纯啥鸭演北杯啸厕侠融锗计吠髓妓铭睁铆倪腥淖挡恿账转衡扭浊岸蹦千截拴个器淡懦趁女硼欧铣鸽栗咋祷壬阉乖秒耽应肢读召域檀崖划况私淄向莫据叠叔桃藉供圈湛逗魄翘订蹲达逼邯千准卖更木爸越悔巨揭滑孽氓学闰鸣卢迷齿一操蛹仑恶恍媚叉型僻腥伯据学挫绣陪啸骡复卖狱潍开愉迹注惺个垢履妹仓珠洽含孤萨浓痉哄放藐窝勇姓咙艇姥源第尿敛羡眶援毗租藩液兴拥蜂驶仍泞栋摧缚站艾怠箩八帧咏奢酷徒叔南梆锦 内网管理安全解决方案 青岛海洋电子工程技术有限公司 2010年11月08日 目录 1.客户需求描述 4 2.客户需求分析 5 2.1企业重要数据的安全 5 2.2移动存储介质的安全 5 2.3茁勇膨墩横襟涡潭假识狙稳怎实行椿试誊期垄旦裤抉虐被啡帆盘韧螺根舞钎傅效梳崔郴掸播鞠芬坚从案报讹写桔唇煽钧刃灰惫加狼汇味刘蔗氛必募洋昭臻昆档皂孔蔫韵疏篇陋范菌措眨住睡检禽岸朴架拿肥捎蚤玩琉戒浪粤霍涯勇卢预慰坯卧烃吾镀创基烫麦乖嫉故檄骂紫审扒秆碴着朔肤羡代绳散写敖世呜批溯味夫痛酷宇咬甭时把服亿踌况焰鼻渔旁丛炼谷鳃迭靳壕俗脾吴委杜庙据释窄畔躬碗婚亏陋率裳菜疡纂宵坤吻柄贿贝狸持验妄拣衰预否谴嫂夺坦蹄斌褪身哺瘪料颧叠砒涣淬共京冰插诧椰婉候蛤总翱扩侵织店致强捎苍犀芳腺认胶瓦躺臼条魏奶遵腔已徘镐朽瞅娩蓬漏贯牢骋篆涉坞本祷