内网信息安全 企业单位解决方案.docx

1、网信息安全 企业单位内解决方案 一、背景    随 着信息化对各行各业及产业的快速渗透，企事业单位将各类数据梳理成信息并通过因特网与外界交流以增加核心竞争力。由此，信息安全的内涵发生了根本的变化， 它从一般性的防卫变成了普遍性的防范，从专业领域扩展为无处不在。中国工程院院士何德全曾指出：“没有信息安全，就没有完全意义上的国家安全，也没有真正 的政治安全、军事安全和经济安全。”     中国企业商业情报意识和秘密保护意识普遍比较薄弱，加上缺乏诚信及制约 机制，使得商业机密泄漏事件频发，许多企业因内部资料失窃而蒙受巨大经济损失，有的甚至因此遭受灭顶之灾。政府公文、商业秘密、技术文档等重要的业

2、务数据 都存储在计算机中，虽然目前很多政府机关和企事业单位都为电脑配备了防火墙，但每年仍有上亿元的信息资产通过电脑流失，超过80％以上的安全威胁来自泄密 和内部人员犯罪，而非病毒和外来黑客引起。而由于个人信息丢失或被盗所引起的损失和由此衍生的金融欺诈危害更是严重。因此，在全社会大力宣传信息安全的重 要性，提高普通民众的信息安全意识是十分必要和有意义的。   二、需求分析     企业信息化的需求与信息保护之间往往存在诸多矛盾。例如技术研发人员计算机上既保存了一些重要的图纸和技术参数信息，同时又要保证他们在工作中能方便的访 问互联网，查询各种资料。另外，企业在与协同单位、外加工单位在协同工

3、作过程中也要频繁传技术资料、方案等涉密文件等等诸如此类…….     企业的核心数据是企业的核心竞争力的体现，一旦机密数据丢失或遭攻击将给企业造成无法挽回的严重损失！那么，该如何做好各种涉密文件在单位内部既要方便共 享，又要有效保护？涉密文件从产生之初，到最终销毁的全生命周期的保护，如何做到在使用中对于泄密事件的提前预防、过程监控、非法阻断、合法放行、和事后 追踪的全方位保护？这些都将是在信息安全建设过程中重点兼顾的环节。     通过郑州鼎昌计算机科技有限公司技术人员研究，综合企业提出的现实问题，总结梳理出公司急待实施防护的几大环节：   （1）USB外存设备的安全管理     工

4、作人员或服务人员经常使用外存设备（如U盘、移动硬盘、MP3、光盘等）安装软件或对计算机进行维护，那么这些外部存储不仅能拷走机密数据，极有可能带来传播病毒或木马程序的风险。     目前，公司存在U盘的使用混乱情况，这主要是人为故意导致的，例如：工作人员使用U盘交换公司和个人数据，甚至有人故意使用个人U盘拷贝公司资料。这种情况可直接导致企业内部核心数据的外泄，造成无法挽回的损失。     因此，在本环节中必须要求实现外存设备的统一管理、读写内容监控、实时读写保护、操作日志监控等功能，才能实时阻截外存设备的非法操作，方可有效避免涉密数据通过外存设备造成泄密。   （2）员工上网的实时监控

5、     内部员工上班时间随意浏览娱乐网站，不仅影响工作效率，而且存在泄密的极大风险。此外，通过网络，人为或病毒都有可能把核心数据、敏感文件通过网络广泛传 播，那么，在不影响正常上网工作的前提下，如何实现非法操作的屏蔽？如何实现非常操作的拦截？这将是本环节进行安全防范的关键重点。因此，本环节必须实现 网络传输监控、文件授权传输、敏感信息阻断、文件授权打开等功能，能对网络窃密操作进行阻断。   （3）核心资料的打印监控     在打印资料时，计算机操作系统将把资料转换一种格式后，并保存在机器中一个特定位置，然后发送到打印机进行打印。在这个环节是存在极大的泄密风险，例如： 发送过程可以被拦截

6、保存以后可以被偷偷复制走、打印机能够保留一个副本等等。因此，在本环节中必须做到授权方可打印、数据加密状态传输、数据加密打印 等。   （4）核心资料在内部流通过程的监控     在现实办公中，不可回避要把资料以电子文件的形式发送给其他人员或同事使用或修改，此时，数据安全的保障将依赖于使用此数据的目标计算机和目标人员，这样 就加大了数据的保密难度。因此，在本环节中必须保证电子文件始终处于受控状态，要具有完整的日志备份及追踪功能，才能有效防止数据泄漏。   （5）关键计算机的操作监控     事实上，针对敏感信息，不仅可以通过文件的复制、拷贝进行窃密，甚至可以通过复制电脑屏幕、录像等

7、进行。在本环节中着重需要实现授权开机、外设控制、操作控制、操作监控等功能，防护针对计算机的恶意操作，阻止敏感信息泄漏。   三、解决方案     鼎昌内网信息安全系统从以下几方面解决企业单位存在的问题：   （1）针对USB外存设备的安全管理     对各种USB外存设备（包括U盘、移动硬盘、MP3、手机、数码相机等，以下统称U盘）实行统一管理，使用前先进行系统内登记、认证、授权，建立移动存储 外设与公司人员、部门的对应关系，临时外来移动设备必须注册授权后才可以使用，可以设定使用范围、访问时段、有效日期等，并留下操作记录。这样可以有效避 免通过外存设备拷贝随意将机密核心数据偷走，还

8、可以避免通过U盘、移动硬盘、MP3、光盘等外存设备注入木马、蠕虫等病毒。     同时，为避免通过带出内部U盘导致的泄密问题，我们提供两种解决方案：     第一种方案：支持脱离局域网（出差或在家查看加密文档）之后的离线访问策略，离线策略支持三级加密防护（文件加密、硬件认证和唯一口令），可以灵活设定离 线使用时间。离线访问策略需要向管理员申请，获得批准后即可脱离内网使用密文。即使U盘丢失，在没有硬件认证和唯一口令的情况下也无法打开加密文件。     第二种方案：把只能在公司内部使用的U盘统一制作成安全U盘，只能在公司内部授权后使用，拿到外部无法使用。     上述两种方案可以单独实施，

9、也可同时实施。   （2）针对员工上网的实时监控     对上网进行监控，包括哪个时段允许使用什么网络、各种聊天软件（如QQ、MSN）控制、网站访问黑白名单控制、邮件收发控制、下载控制等。要做到禁止的聊 天工具不仅仅是聊天软件，还要包括一些网页版聊天如web QQ网页形式的聊天。而在工作中需要访问网络的机器，还要设置是否对以上提及的各种网络数据传输中的内容进行敏感字过滤。一旦发现涉密数据传输马上阻断并 告警。针对以上网络操作全部要留取详细操作日志，以供审计和追踪。这样可以避免员工在工作时间上网聊天、玩游戏、炒股等搞一些娱乐活动，影响个人工作效 率；还可以进行流量监控，防止工作时间下载电影

10、等占用大的流量，影响公司其他人员使用网络资源，降低公司整体办公效率。   （3）针对核心资料的打印监控     对打印行为进行统一管理，数据打印前必须进行密码认证或者主管部门审批认证，才可以打印。打印内容在局域网传输时要加密处理。打印完成之后，服务器要保存不失真的打印原内容，完整的打印记录，可以进行事后追踪，出现问题可以责任到人。   （4）针对核心资料在内部流通过程的监控     对于需要协同编辑的资料，应该进行可靠的强加密。保证文件在他人机器上需要授权才能进行各种操作，其中，授权应当包含：访问密码、操作权限、打开次数、使 用期限、是否允许日常操作（如：复制、粘贴、截屏、打印）、是否失效时自动销毁等控制。此时，即使文件被黑客、木马等恶意窃取后，涉密文件也不能被正常打 开。   （5）针对关键计算机的操作监控     对计算机操作（台式机和笔记本）进行监控，做到可以设置某些文件或者文件夹甚至是某个盘符是受保护的，可以是加密状态，也可以是隐藏状态，来防止未授权的 操作。可以设置他人对自己机器的操作权限，例如只能运行某些指定的程序，只能使用某些指定的外设。这样可以有效避免他人操作计算机或笔记本丢失时造成的信 息泄密。