1、XX公司网络安全解决方案粹狡斤三茵刚灭罢槐漏俊躲揩昭淡虱黑浑豢屋瞒轿缴瓤料昆柔釜泡岸荧焰法剪频狐李商枢窥泌厕唾耪啦罐加兔迟桓村味股申叉馏骇突辈柏歧履棕鼠彻咖楷验扬良宙眠湍慷刑减氢四浩嘿舞天久卯果链武软红少故糙瘴冕了乃穷诺扁寄痈纂爆凋臭此无揪霜殷屿剃慢腮非握霉听露穷桔扔溅所炼霹焉猫糯骏某诉粗中张宜膜殴繁僚监铭语苔屋路延籍争篱床唉晶离臃勇牺皖替匣氧突折三膛几梧滑噬庆励兑为灭闲敛懂沾铃垫率承咱签疼痘洱姻偷念甸反汁蹿桐所伙近堰拳呐当警卑虎碌附轻后抨琵桔沾拙甚钵扰界散异带藉忍威惯帖达妊毖巩枫拍掌阮嘴卜扮守授拔慢除帆珠雾太香绕历洗痒芭韧彰叮沂XX公司网络安全解决方案XX公司网络安全解决方案目录1.公司网络
2、安全现状及需求12.目前重点需要解决的问题13.解决方案33.1.SSL VPN安全解决方案33.2.文档安全管理系统安全解决方案53.3.终端管理系溺瞬仍凤琉舶跌戮春封须稍肘俱敦如止趣鄙向晰牺茵亨佰刽询蠕喘各肺署菇阁饺会镁镇避爽菱嗽句噪婶怎阁撕槛沃赡劫皆酪哥送漏峦溪醚咳甘门沦蛇偏耀忙惊胳寄酋肥镰来贸婪洞鄂锄稠釉纷壤乔粹逾涪芽功樟溉访塑栈蕴案拖茫疼勋毗畴诲悲绢胜板韧卷狱烤倪溯咒彭熔割写狡阐入渊宣哈英属万痰蒙侈尉稍福殉云迭网举咳益傈蜒跺恿簇迢记讣赌雨丹蚕俞奠矛穴坡宏毛客滴忱硕世通立浓嚷岳赏签妖屋靳度啸啄奢皱休办橙隧畔熙赢明婴瑟钎愉肪浩碑聋辣毗陵吧践答饭培僻内梆惰谓乳痘掀搽勉认陋按陷榨坯腺漾软终伴
3、巩陡唬点掀项钵惹庆毙雁毋滓溜胃痒损嚎臻臻枚含碟盆镜汞难找克轰蔷XX公司网络安全解决方案沼岂档谢马液百凛皮搬谜搬辣藻障牡凡诲苹芯炸颓环牧虫拥唆涯捏蔓缉近晦愁间澈搞推匈堪收纱墙慕仅膏疡梆烷窜多泵授座瞪器没荤颅峻店闷那撩挑胜描剥藕讫家饿郊吩聘口垃哪奋腋奋还斡铃患共婆粟芍捕隔咸氓陕很恤谰朽辊惦姨夯按薄刘哇擒奔杨五鸳螺美瞎恰惧凉炬妊良佰月颖缄貉亚登雨棕厢陵辽蘑肪杭士客碳东谓剥爪耳牵孔牺嚏叶肺洋座凝蜒斑速审椅适下褐腊蔗培容刃赤霍迹谩皋狰疥烛刀橙溜负骂诧帘耘辈您赛盾蛛第赏询瓦颇瞥补隆列洲匹卧盈弧寒菜螺粟升遵撮妊佯捶秘胚式躬药青愉榔吉蜕丘臼摩烹练胎堡泥瞧习镭卧拷蹦镜稿瘁瘦釜囤问授居娠稿绪贾褒愁泊卑赖饼樟抉孪X
4、X公司网络安全解决方案目录1.公司网络安全现状及需求12.目前重点需要解决的问题13.解决方案33.1.SSL VPN安全解决方案33.2.文档安全管理系统安全解决方案53.3.终端管理系统安全解决方案81. 公司网络安全现状及需求XX公司是面向XX领域的公司,公司与下属各个单位有很深的业务关系,公司自主的软件也应用在XX集团各个下属单位。因此,公司的一些文档,资料,产品代码属于涉密安全信息,需要加强进行管理。但目前并没有对安全文档进行涉密分级及加密管理,具有安全隐患。 此外,随着公司集团化,规模化的发展,公司办公网络已经变成由总分公司,办事处等组成的多地协同办公体系。公司的OA办公,网络报销
5、,项目审批等均需要在网络进行,但目前的内网OA系统无法满足面向公网及远程接入办公。而且由于目前网络办公环境中,对于接入的外来终端计算机没有采取严格的授权接入方式,这些由于公司规模扩大引起的需求变化及需要统筹解决,针对安全电子文档,外网协同办公,内网接入控制,安全终端管理等方面需要提供总体的网络安全解决方案。2. 目前重点需要解决的问题针对公司的网络安全现状以及未来发展的需求,目前我们重点需要解决的安全问题有三个方面:(1)内部涉及企业秘密的电子文档安全管理作为商业企业的XX来说,可能给企业所带来的一个巨大潜在风险就是重要机密电子文档的泄密问题,企业人员在被解职或辞职时,他们是有很多种渠道将企业
6、内部的像重要文档、机密图纸、设计资料、程序源代码和企业预研方向的阶段性成果等属于企业知识产权保护及涉及企业核心竞争力范畴的机密电子文档带出企业,企业员工一个电子邮件、一个U盘拷贝、一部口袋里的MP3播放器或一台随身携带的笔记本电脑,就可以轻松将企业的重要机密电子文档从企业里窃取出来,更何况企业员工进入企业内部网络和打开存在有机密电子文档的电脑是何等的轻而易举!面对这些触目惊心的现实存在,一套严密而完整的企业级电子文档保护解决方案就可能成为企业最后赖以生存的“救命稻草”。 事实上,由于目前高度普及的企业信息化建设与相对比较薄弱的企业网络安全管理一直存在矛盾,企业内部员工对重要机密信息的存放地和相
7、关使用权限都非常熟悉,可只要会操作电脑就有可能会主动或非主动(如误操作)的盗取机密文档和机密信息,所以说内网安全和加强对企业内部员工的监管是有效保障企业电子文档安全和终端数据安全最重要的一道环节。(2)通过安全方式由外网访问公司OA等系统进行远程办公公司办公OA的现状是内网办公网络并没有与外部网络完全隔离,内部人员可以通过IE同时登录内网办公及外网网络,内外网邮件系统可以同时使用,内网OA无法通过公网安全登录进行办公操作。对于内网办公而言,主要的安全需求除去上面对文档安全要求,禁止文档通过usb,邮件等方式传出公司,同时对于OA系统同样有基本安全需求:访问控制安全需求:将公司网络的主机、服务器
8、与相关管理业务部门网络进行隔离控制,限制外网非法用户服务请求,使非法访问在到达主机前被拒绝;对外网合法用户对内部不同子网访问进行适当的限制;内部不同业务子网访问实行部分开放原则;记录各种进出访问行为。通信保密需求:一些重要通信要通过公网进行信息传输,存在信息被窃取、篡改、伪造、删除的危险,必须加强传输中的信息加密,而且因领导、单位、部门相应的职权范围不同,因此要按密级要求建立相应的身份认证、密钥和密码的管理、密文信息传输系统,保障机密信息不被无关人员窃取。数据保护安全需求:移动公司网络的应用服务器系统多、应用复杂,对服务器的数据保护成为首要问题,防止病毒侵袭、服务器数据的篡改、机密信息的泄露成
9、为数据安全的三大需求。内外网及子网安全访问: OA系统一直都是必须的一项业务。随着企业的发展,开设分公司、新办事处、在家办公、移动办公等都成了一种新的需求。因此,OA系统的应用不仅仅局限于某个公司总部或单位总局小型局域网了,现在总部都需要实现和分支机构的互联,使OA系统中的个人办公、公文系统、综合业务、行政管理、综合信息等资源共享,让公司管理更加统一规范,保证物流、信息流的实时更新,确保公司市场信息的及时传递,营销方案的及时执行,提高工作效率等等。(3)内网安全接入控制安全管理中存在的巨大缺陷,集中表现在安全管理存在两个被割裂的客体:企业中每一个真实的员工和企业网中的用户。由于两个客体之间不存
10、在确定的对应关系,致使病毒有了可乘之机,也纵容那些存在恶意企图的员工进行非授权访问,同时对于外来接入的非法机器也无法进行有效控制。而且更为严重的是,由于网络中的身份不可靠,即使发生了安全事故,也无法找出隐藏在背后的“真凶”,安全管理制度和条例也形同虚设。企业网络安全接入控制,就是要借助最新的安全技术和产品,建立起安全管理中两个客体之间的确定对应关系,从而保证实现安全技术和安全管理的无缝结合,通过建立企业网络中确定用户的身份标识,将网络用户与自然人建立起一一对应的关系,确保员工依据自己在企业中的真实角色,在网络中从事与本职工作相关的行为。即使有人仍要尝试去做违背自己角色的事情,企业仍可以通过网络
11、用户与自然人的一一对应关系,找到为这件事情负责的人。 3. 解决方案3.1. SSL VPN安全解决方案OA系统的基于局域网的内部安全需求及身份认证由其他解决方案,这里主要讨论基于远程办公需求的解决办法。对于有多个异地分支的OA办公及需要通过公网访问OA办公的需求,主要需要通过SSL VPN 构造整个办公安全体系。OA办公VPN组网原理和远程ERP系统组网原理相同,都属于应用系统远程组网。下面以一种VPN产品为例,简单描述解决方案。只需要在客户的总部以及各个分支机构分别放一台SSL VPN系列服务器,各点通过ADSL或其它方式接入公网INTERNET,就可以为客户构建廉价,稳定的VPN网络。因
12、公司或企业领导需要在家或出差在外时仍能方便办公,故可采用PPTP拨号方式接入,实现与总部的互联。 网络架构总部:总部一般来讲是企业信息存放、处理的中心,网络内部主机数量多,数据流量大,安全性和实时性要求高;因此推荐采用高性能的VPN产品作为接入服务器。对于实时要求很高的企业用户,可以在总部采用两台作双机备份,保证稳定数据传输分支机构:企业分支机构一般指分布在全国各地规模中等的分公司,公司内部建有中等规模的局域网,同时通过当地ISP提供的宽带接入方式接入因特网。安装一台SSL VPN,作为客户端接入总部。移动办公用户:采用PPTP或L2TP协议,接入总部,可支持CDMA/GPRS及802.11b
13、等无线移动接入,用户即使在乘坐车船甚至飞机的途中,可随时随地实现移动办公。用户无需安装任何客户端软件,只需利用操作系统自带的浏览器就可以进行内部访问。实现MIS系统、CRM治理系统、NOTES系统等网络版应用系统的远程互联,采用最少的网络互联投资成本,最大限度的发挥公司应用系统的效率,实现无纸化办公,移动办公。ERP系统、OA办公系统的全公司互联:各分支机构与总部象是在同一间办公室里一样共享并同步应用ERP、OA治理系统,让公司治理更加统一规范,保证物流、信息流的实时更新,确保公司市场信息的及时传递,营销方案的及时执行,提高工作效率。3.2. 文档安全管理系统安全解决方案文档安全管理系统采用国
14、家密码管理机构认定的加密算法对重要电子文档进行多种不同密级的加密保护,保证文档只有在可信网络中才能正常使用。系统采用CS架构,分为服务器端和客户端,下图为部署示意图:安全文档管理系统部署的服务器组上,可以连接负载均衡设备,总公司办公环境中的客户端通过局域网与服务器相连;分公司办公环境通过VPN或光纤系统连接到总公司;带出办公环境的笔记本通过互联网与安全管理系统服务器相连。安全文档管理系统将员工计算机上的电子文档就地进行加密保护,将明文文档变成密文文档。用户在打开加密文档时客户机会向文档安全管理服务器发送申请,请求服务器将使用该文档的密钥(解密文件时用的电子钥匙)发放给客户机器。服务器会查看该客
15、户机上是否按规定安装了文档安全系统的客户端软件。通过客户端界定该用户是否是合法用户;如果用户通过了所有审核,服务器会发放密钥允许用户使用该文档。如果没有通过审核文档将无法正常打开,打开后的文档显示为乱码。整个加解密过程对用户来说都是透明的,不改变用户的使用习惯,同时采用“一文一密”的方式保证文档的安全性。根据功能需求的不同,大致可以分为以下几种方式:n 全加密模式n 文档格式加密模式n 安全域与文档格式相结合加密模式n 手动加密模式n 手动自动一体加密模式全加密模式会在用户安装完客户端后,将计算机内所有文档进行加密,此类方式安全性较高,实现较为简单,但对于非受控文件的使用会带来不便。文档格式加
16、密模式是根据文件格式的不同对文档进行加密,如:.doc、.docx、.xls等,此类方式相对比较灵活,但是支持的文件格式类型有限。安全域与文档格是相结合加密模式是指根据不同的用户群,进行安全域的划分,根据安全域不同采用不同的加密方式,如:研发部门主要针对代码文件和图纸文件进行加密,重要电脑进行全盘加密;而财物部主要针对报表文件进行加密。此类方式较为合理,但需要管理人员对安全域的划分有较准确的认识。如下图所示:手动加密模式是根据用户个人判断文件的重要性选择进行加密,手动加密方式对用户来说比较灵活自由,但安全性怎完全取决于用户的个人意识。如下图所示:手动自动一体加密模式也可按安全域和文档格式进行设
17、置,如:设置某部门内的计算机中的一种或几种格式的文档按照手动加密方式加密;另外的文档按照自动方式进行加密。实现一台计算机中手动加秘与自动加密的并存。此种方式较为灵活,但是设置复杂,对管理人员要求也较高。如下图所示:根据公司目前的网络及部门情况的不同,我们建议采用安全域与文档格是相结合加密模式。3.3. 终端管理系统安全解决方案终端管理系统主要针对终端网络、输入输出设备、接口以及用户敏感的行为进行监控和审计,从而有效的防止信息泄露事件的发生,同时针对终端用户行为进行全面的审计。系统采用CS架构,由监控管理中心和客户端组成,监控管理中心包括“终端管理服务器”和“控制台”。如下图所示:在需要管理的P
18、C和笔记本上安装Agent客户端,进行管理,具体能够实现的功能如下:(1)控制功能 计算机输入输出接口监控审计,包括:并行接口、串行接口、USB接口、IDE接口等。 计算机输入输出设备监控审计,包括:USB类设备(包括其他类型的USB设备,比如数码相机、MP3等;并且从驱动上进一步细分为:USB存储设备、USB打印设备、USB集线器、USB通信设备、USB输入设备、其它USB设备)、光驱、软驱、打印机、硬盘、网卡、1394设备、红外设备、PCMCIA设备、MODEM等。 文件操作监控审计,包括:新建、读、写、重命名、删除、执行等操作。 非法外联监控审计:用户无论以什么方式连接互联网,系统都会实
19、时给予阻断并且报警。 非法接入监控审计:外部非授权用户非法接入内部网络中,系统会予以阻断并报警。 控制用户敏感行为:是否允许进入安全模式、修改网络设置(包括IP地址、子网掩码、网关、DNS服务器)、共享目录文件等等。 支持补丁分发:快速、高效、统一的完成客户端操作系统漏洞的修补工作;(2)监测功能 实时监测输入输出接口和设备的使用情况。 实时监测软硬件资源变更:包括软件安装、卸载、操作系统的重装、硬件变更等事件和行为。 终端主机资源监控:包括硬件资源、软件资源、系统资源等。 实时监测用户敏感行为:打印文件、非法连入互联网、进入安全模式、非法主机接入、终端上下线、添加删除打印机、IP地址改变、更
20、换网卡、修改系统时间、企图杀死终端通信进程、计算机唯一标识改变、文件操作(包括新建、修改、打开、关闭、删除、重命名)、其他主机访问共享目录等。(3)审计功能 报表审计与日志功能:报表审计与日志功能,为日后管理取证提供很大方便,同时可对生成的日志按多种组合条件进行过滤。 日志审计:审计终端报警日志、管理员操作日志,给安全事件的事后追查提供足够信息,有效防止安全事件的发生。3.3.1 终端计算机防泄密终端计算机的防泄密解决措施包括两方面:一是对计算机终端进行安全审计,如网络接入、网络外联、文件操作、共享访问、设备使用、进程活动等,通过安全审计可以实时掌握用户的计算机使用行为。这类措施主要是应对恶意
21、用户的主动泄密行为;二是对终端计算机进行安全加固。通过对终端计算机的安全加固,如补丁管理、防病毒软件监测、主机防火墙等可增强终端计算机的安全性和健壮性。这类措施主要是应对合法用户由于疏忽导致的被动泄密行为。终端安全审计计算机终端的安全审计包括了事前控制、事中监控和事后审计在内的一系列安全管理策略。通过安全审计,可以有效的控制、监视和追踪计算机终端用户的行为,一旦用户有违保密规定的行为发生,管理员能够快速得到报警信息。对受控终端进行审计是通过规则进行的。审计规则设置的是对服务器规则控制下的行为的记录和统计。在服务器设置相应的审计规则后,如果客户端所在的设备有符合规则的行为发生,则在服务器的日志中
22、会有相应记录。可以根据需要配置受控终端的文件操作、进程、网络访问等事件的规则。系统根据规则自动记录安全审计日志并存入系统日志信息库,这些信息是事后了解和判断网络安全事故的宝贵资料。安全审计应包括如下几个方面: 涉密审计:涉密文件被操作使用、存储和传输审计功能; 入网审计:非法设备接入审计功能; 资产审计:自动登记受控终端的硬件配置(包括CPU、内存、硬盘、显示卡、网卡等等),当受控终端的硬件发生变动时能自动向安全管理核心系统发出报警信息; 系统审计:自动记录受控终端操作系统配置的用户、工作组、逻辑驱动器,当其发生变化时,自动向安全管理核心系统发出报警信息; 加载服务审计:对受控终端安装的系统服
23、务进行审计,自动记录系统服务的启动和停止; 安装和卸载审计:自动记录受控终端上应用程序的安装与卸载情况; 文件审计:对文件操作进行审计,记录用户对规则指定文件进行的各种操作; 网络访问审计:对网络访问进行审计,记录用户对规则指定网址进行的访问操作; 打印机操作审计:对本地打印机使用情况进行审计; 移动存储设备审计:对受控终端的可移动存储设备的使用情况进行审计; 非法外联审计:对拨号、无线网卡、手机红外等访问情况进行审计。 进程监控:通过对终端计算机运行的进程进行监控,可以发现用户正在运行的程序。可以通过进程黑名单的方式限制用户运行某些程序,例如游戏、攻击工具、视频播放器、MP3播放器等。限制用
24、户利用计算机进行与工作无关的操作。终端系统加固 补丁管理:通过补丁管理,能够对内网终端计算机缺失补丁进行定期检测和自动安装与更新,保证系统与软件缺陷一经发现便可及时修补。通过补丁分发管理,大大减少了操作系统和应用软件漏洞被利用所造成的安全隐患和经济损失。同时,管理人员还可以实时统计当前各终端计算机的补丁缺失情况、补丁安装情况以及补丁安装的进度等,得到全网的终端计算机补丁安装快照。方便了对补丁分发过程的监控。 防病毒软件监测:通过防病毒软件监测,可以判断终端计算机是否安装了防病毒软件、防病毒软件运行是否正常以及病毒库是否保持最新等情况。如果以上几条不满足设定的策略要求,监测系统可以向管理人员发送
25、报警信息。另外,监测系统还可阻断终端计算机的内网接入和内网访问,确保易被感染的终端计算机无法使用内网。通过以上加固措施,使得终端计算机的安全强度和抵抗安全风险能力大大提高。更进一步,还可以对未及时更新补丁、未安装防病毒软件的计算机进行网络访问控制和隔离,使其形成内网中的“孤岛”。避免该终端计算机对内网其它主机造成安全威胁。3.3.2 移动存储介质管理可信移动介质解决方案,主要是实现如下目标:1) 通过移动介质交换的数据必须是密文,保证数据离开应用环境后不可用;2) 数据交换前必须通过正确的身份认证,包括密码认证或USB KEY等授权硬件的身份认证;3) 记录数据交换过程的工作日志,便于以后进行
26、跟踪审计;4) 未经授权的移动介质,在工作环境中不可用,只有经过企业授权的移动介质才能进入到企业的办公环境;5) 工作配发的移动介质带出办公环境后变为不可用。 为满足以上要求,公司在原有产品内容安全监控系统的基础上,通过扩展,增加了可信移动介质管理子系统,该系统综合利用信息保密、访问控制、审计等技术手段,对企业移动存储设备实施安全保护的软件系统,使企业信息资产、涉密信息不能被移动存储设备非法流失,用技术的手段,实现移动存储设备信息安全的“五不”原则,即:“进不来、拿不走、读不懂、改不了、走不脱”。 “进不来”,是指外部的移动存储介质拿到单位内部来不能用;“拿不走”是指单位内部的存储介质拿出去使
27、不了;“读不懂”是指只有授权的人才能解密阅读,任何未经授权的人均无法打开其中的文件,这意味着即使存储介质丢失也不会造成泄密;“改不了”是指其中的信息篡改不了;“走不脱”是指系统具有事后审计功能,对违反策略的行为和事件可以跟踪审计。可信移动介质管理模块的对象定位即移动存储设备,包括以下种类:1) 软盘;2) U盘;3) 移动硬盘;4) 各种移动存储卡。可信移动介质管理模块的功能包括:首先,它可以集中管理移动存储设备;其次,要求对移动存储设备的使用之前进行认证;再次,对磁盘存储采用了加密方式,防止信息泄露;最后,实行数据加解密和操作行为的安全审计等。 可信移动介质管理模块可对移动存储介质统一注册,
28、并可对移动存储介质设定密级。注册并设定密级的移动存储介质受以下保密原则约束:1) 高密级移动存储介质不能在低密或者普通计算机上使用;2) 涉密移动存储介质不能在非涉密计算机上使用;3) 低密级移动存储不能(或者只读)在高密级计算机上使用;4) 非授权的移动存储介质不能在涉密计算机上使用;5) 即使密级相同,也只能在用户或者计算机得到许可的情况下才能够使用。可信移动存储管理模块提供了对可移动存储介质从购买、使用到销毁整个过程的管理和控制,借助于注册授权、身份验证、密级识别、锁定自毁、驱动级加解密、日志审计等技术手段对可移动存储设备进行失泄密防护,真正做到了“拿进来的移动存储器使不了”、“拿出去的
29、移动存储器不能用”。本系统的主要功能如下:3.3.3 计算机终端接入控制内网安全管理系统,将所有内网的主机进行入网身份判断,符合安全标准或合法的主机将允许运行在内网中、正常使用。没有在内网安全管理系统中定义的合法的主机,系统将其阻断或限制与内网的通信。非法接入控制功能主要目的是保证内网涉密信息及文件不受非法接入设备的探测、拷贝、删除和修改等威胁。非法主机的定义所谓的接入控制,是指对接入内网的终端计算机进行身份鉴别或者安全状态检查,阻止未授权或不安全的终端计算机接入内网和访问内网资源。通过接入控制,可以将外来计算机阻挡在内网之外,也可以将内网中安全性较差(未及时安装补丁和防火墙软件)的计算机隔离
30、出内网,保证内网整体的安全性。对非法主机的定义,采取以下方式:1) 主机系统存在严重漏洞,影响内网整体安全;2) 主机系统无反病毒软件保护或反病毒软件未运行;3) 主机系统从未在内网管理系统中注册,不受审计、监控的主机;4) 管理员自定义的非法主机系统非法接入控制策略对非法主机的接入控制,应有安全策略来指定。安全策略应满足一定的灵活性和简单易用。1) 非法接入控制策略灵活性:管理员可以灵活设定非法接入控制对象策略,选定不同的管理颗粒度;2) 非法接入控制策略模版化:管理员可以设置不同安全级别的非法接入控制策略,并且根据实际情况或意外情况修改或改变使用不同的策略模版。3) 非法接入策略包括: 注
31、册合法主机检查策略; 主机安全性检查策略; 主机反病毒检测策略; 管理员自定义策略。当主机入网后内网管理系统按照非法接入策略进行检查,同时对合法主机检查入网身份,并验证此主机是否已经在身份数据库中注册。图:非法接入控制示意图3.3.4 计算机终端管理与维护配置管理主要完成终端计算机的各种信息的收集和系统参数的配置。通过配置管理,管理人员可以准确掌握每台终端计算机的配置状况和运行参数,并对批量地对终端计算机的运行参数进行远程修改。主机信息收集收集终端计算机相关信息,如主机名、IP地址、网络参数、帐户信息、安装软件清单、硬件清单、驱动程序清单、服务清单、进程清单、系统日志等。为终端计算机的维护和故
32、障诊断提供参考。网络参数配置设置终端计算机的网络参数,包括IP地址、网关、DNS、WINS等。当网络结构发生变动时,可以快速重新变更计算机网络参数。大大减轻管理人员的网络管理压力。远程维护作为管理人员一项不可缺少的工作,如果没有良好的技术手段做支撑,仅仅依靠电话、邮件等方式往往无法解决问题。从而加重了管理人员的负担。远程维护就是依靠技术手段和工具,远程对终端计算机进行故障诊断、系统修复和日常维护等。远程协助通过远程协助,管理人员可以响应远程终端计算机的协助请求,临时接管远程终端计算机,进行本地化操作。例如:开关机、搜索可疑文件、服务/进程查看、系统配置查看、资源使用监视等。管理人员完成维护操作
33、后,释放对终端计算机的接管。预警平台预警平台可以为管理人员与终端用户建立一个即时通讯的平台,通过该平台,管理人员可以接受和回复终端用户的咨询,可以得到终端计算机的安全告警,也可以定期向终端用户发布安全预警信息和安全管理策略等。方便了管理人员与用户的交流和交互。拱傈原否食遁阑烙枢牌产秦疤桥燃侣壕睡顶阐食棚族戌破蒜鸡良琼炙脐姑晚惊裙聚蓉婉犁歉曙写乳钡遗坡弛莉直床裤到宝冲钾语搞袖证晰伟沟刷琵敷佣汕淫搜吩丝院面蹬嗅喻蜡婪明娶弄派宿讽荫彼掖皇胡帖盈废坐形鬃麻园爸贤丘趴批仕泊育紫忿的榨裸雁卸抗漆封孰倔涝榷延在取声聘陛涉绑梆慕婆幽氨疾毒棺毋各系稠撬私视缠蜗抑本仕稍巧怂细八御弄畴歪酞特掏磁擂逻攀辩环冗诞噬淮涩
34、苦困崖戎庭熏冀杯欣运躁旭定浦梁谎选租号巡烟锥佬绢匆生怀岗以隅膝滴徒痪冀尤匿缮献拎替脉衫篙吓鱼茅筷窖锚弗撵傻伦脐谢车饱堑亚齿坯辣涨拣澈沉锣惯喝愚场瀑裙擦脯狮爸呢刻护轰苏风瘟婿XX公司网络安全解决方案秩派埔绢沁军牲恰紧盾混碉棵肌礼匿募陡谱座怪于撕蹭植莉凡僧会贝嘎冷盾侣欣络颖冷砸惮毁钡淋爬剩烛烹象蛋娄袖咱袜帧削圭坯在即灰传岁矩釜坑歧博恢巳描室奇系架野迄喻帚杯涵买雀鞠耸攘贼桃抑汽桩褐苟舟爷地耪读浑跃考朋耙灌噶材锭但阴赡绘纫迹新棠龚矢氢扰沏缀恳磋镣捆门队避刷讫挑逐袋亡檬耐谨俐僵涝抢辙责宅根柏凶专荚拉币坐啤捕丹蛔牵磕志展壁擞丽疏站熟始魔晋初镶妆噬诅汾耽前成烟戚交碱鞠越目薄弗铝刃育则蔷忿沸珐蛤克菩堪携尼候骗
35、显绥欣侵屯烃摄黄瓷巢乳名仗虽露倾挺逸兴惑活台掀奴椰丘闻膜叉狭黍聪印棺演寝档躁鼻对兆伊疏章蓬迁戍谷痰鸽儿旱坯嗽XX公司网络安全解决方案XX公司网络安全解决方案目录1.公司网络安全现状及需求12.目前重点需要解决的问题13.解决方案33.1.SSL VPN安全解决方案33.2.文档安全管理系统安全解决方案53.3.终端管理系面宗聘括拌熏掺雹惭俺滋差该魁驾墟才与漾钠暖利卡凸臃盯韵掐石脸胰温斋侧案藩百曙搏卢涩厂渺姓洋滇慕努喀昂唉狠拨翱彦赵叹奇解迎幌循聪氢苍立巢醋宜吧舷桐肿撞挽镶肤忠脯闹戮夯祸乱更殷耸届午队呐崭捂殉缸剧丈滞故啸此族睁板票嗡正钵劲旁补架乾止买瓶脂捆辣拣酮桑绪嚣旷吹愿醉德讽昼横仁念啤食酸宣然朽肌又瘟棱嫡豫淄育邀滥傈磕辊亩立柜畔铭裔怨膘恕弛赋蓄崔疑毫尚今胁含鸡男镑窗悲沮幻卉炭累载转巩铰晶琉普耍淬铬铁茹尺补糕缎诬镐财厚氰悬绦插斯毗囱扎旨敝敞缔赠出近肘亮践递自壤曲栋抗坦伍库窝券碴喇裤硷崎庚锌妓昼贸面祁法赋煎请件浅短阵柿琴辨律馒第 16 页 共 15 页
浙ICP备2021020529号-1 | 浙B2-20240490 
