码迷,mamicode.com
首页 > 其他好文 > 详细

SysView企业安全整体解决方案

时间:2014-08-14 21:02:40      阅读:514      评论:0      收藏:0      [点我收藏+]

标签:内网安全   黑客攻击   准入控制   解决方案   应用程序管理   资产管理   

一、 背景分析概述

1.1 项目背景

随着企业IT系统规模的迅速扩张,企业对IT管理系统的需求也日益迫切。而Internet的普及为组织带来了更多的商业机会,极大的降低了运营和沟通成本。同时,由于对互联网访问缺乏必要的管理措施,组织的网络资源往往得不到有效的利用,并由此引发了一系列安全、效率和法律问题,与此同时黑客攻击,离职员工泄密问题层出不穷,给企业带来巨大的损失。 

从内网,网络访问,文档安全和网络边界来看,大部分企业面临以下的问题和隐患:

1)公司内部机密文件总是在不经意间就被U盘拷走?

2)员工电脑中安装了五花八门的软件,如何才能限制乱装软件?

3)如何知道办公电脑是在打游戏,还是在作跟工作无关的事情呢?

4)病毒、木马等恶意程序入侵频繁,怎样才能有效的阻止预防呢?

5)员工PC使用出现各种状况,IT人员处理应接不暇?

6)公司里有人私自修改IP,造成IP地址冲突?

7)如何防止员工频繁使用QQ、BT等非工作软件,既影响工作又影响网络流量?

8)管理人员疲于应付各种帮助请求,不管问题大小、距离远近都需要亲自到现场解决

9)如何实时管理终端计算机的软、硬件情况并自动分发补丁?

10)计算机资产盘点困难,无法及时、准确地得到软硬件资产的详细信息和变化情况

11)员工上班利用公司网络从事与工作无关的行为,公司带宽被严重浪费,员工工作效率低下给企业带来巨大损失

12)外来人员接网线就能连内网,内部数据大量外泄,公司核心利益受损

13)黑客,网络攻击导致公司系统数据损坏泄露

14)员工有意无意的行为导致公司重要信息泄露

企业要想规避上述的损失隐患,就必须由内到外进行合理有效的管控,对内迫切需要对内部员工的日常工作情况和电脑使用情况进行严格控制,同时对于员工访问外部网络的行为也要进行监控和管理,针对现代企业与外界交流频繁,对于访客行为不可控的现状,又需要对入网边界进行有效控制;企业核心机密信息、代表企业知识产权和核心竞争力的图纸、设计资料、技术机密,以及企业的财务数据、报表等均以电子文档形式存在,而电子文档是很容易散播的。对于此类文件的加密是保证企业核心竞争力的前提;随着企业规模化发展,企业数据量急速增长,服务器负荷日益增大,保证企业正常运转就必须保证数据库和服务器的稳定和安全。单一的软件和设备无法充分满足所有需求,对此,提出了全方位解决方案,将从各个方面提高安全性和稳定性。

1.2概述和目标

基于以上的分析和目标企业网络系统涉及到各方面的网络安全问题,我们认为整个企业的安全体系必须集成多种安全技术实现。通过终端控制准入、桌面管理、上网行为管理、防火墙技术文档加密等实现全方位的安全系统。从而实现以下预期目标:

 bubuko.com,布布扣 

1.2.1 集中规范管理局域网行为

面对日益复杂和关键的信息系统,目前IT管理人员都会碰到很多类似的问题:

1. 计算机网络规模大并且较为分散,无法集中管理

2. 计算机软硬件数量无法准确掌握,盘点困难

3. 计算机硬件设备私下挪用窃取,造成损失

4. 软件安装浪费人力,应用软件版本不易控制

5. 应用软件购买后员工真正使用状况如何,无从分析

6. 无法控制网络中非法软件的运行,计算机内部运行情况成为管理的黑匣子或盲点

7. 疲于应付各种帮助请求,不管问题大小、距离多远都需要到现场解决

8. 重要档案遭非法拷贝,资料外泄却无法监督

9. 居高不下的综合拥有成本(TCO),不知如何改善

所以内网管理需要从软硬件资产管理、应用程序管理、设备管理、软件分发、远程维护、网络接入管理、U盘管理、实时侦测管理等各个方面来进行集中规范的管理。

1.2.2 监测控制员工上网行为

丰富炫目的互联网应用,给员工的上网行为带来巨大诱惑,上班时间聊天、购物、视频、BBS等,将大量工作时间用到非工作的事情上了,严重影响到工作效率。

按据权威的统计,全球企业员工30%-40%的上网行为都是花在与工作无关的事情之上,员工上班时20%以上时间都浪费在网络聊天、游戏、炒股上面,严重导致工作效率的下降;因此必须将现有员工的上网行为进行规范,封堵无关的网络应用,确保工作效率。

随着企业应用的增加,其接入带宽也在不断提高,但是企业的网络速度却没有变得更快。P2P软件的使用,导致企业大部分的带宽被抢占,而使用像BT、电驴、迅雷这类软件的行为,往往都是与企业业务无关的应用,都是像下载电影、音乐等,企业的关键业务无法正常运行,有限的带宽资源受到严峻挑战。

我们如何能够做到,确保企业的关键应用像ERP、OA、CRM等能够获得充足的带宽、能够流畅运行的同时,又不对某些人员的部分娱乐应用的带宽做完全阻断,做到人性化带宽管理。这样企业就可以避免无休止的带宽采购,降低企业网络的运营支出。

1.2.3 有效管理内网访问行为

由于缺乏“内网规范管理”的系统,企业内部网络常常处于管理混乱的状态。企业不知道目前有什么人、有多少人、有多少终端正在使用企业内部网络;不知道终端是否安装了要求的终端软件、是否使用了外来的终端设备进入内部网络;不知道内部网络中有多少IP,每个IP 的使用人;不知道是否有外部的网络设备(如:私带的路由器、无线AP、等)正在本单位的内部网络运行。

目前,大多数重要企业都进行了物理隔离。但这种物理隔离仅限于网络的基础结构的物理隔离。对接入内网和外网的终端并没有进行很好的管控。如何保证内网与外网不发生互联,如何保证内、外网终端和笔记本不发生误接和混接,是各大企业急需解决的问题。

相当多企业,他们的员工接入企业内网无需认证,IP地址也是由网关自动下发,员工在内网的各种行为,实质上是一种无监管状态。因此根本无法确认内网的肇事主机的身份,是企业员工还是外来访客,这种情况下一旦发生某个主机发起内网攻击或者非法访问企业资源的事件,将无法定位指控相关责任人。而外部访客接线就能连到局域网给局域网带来巨大安全隐患。

1.2.4 防范企业机密信息外泄

对于现代企业来说,要想具备很强的竞争力,就必须拥有核心的技术。所以企业对于自己的核心技术的机密文件是极度重视的,发生机密文件的外泄将是极其严重的事故。

但是如今网络如此之发达,对于防止企业的机密文件外泄,将是不小的挑战。有意或者无意被种木马、IM工具的文件传输、邮件、通过外设非法复制等都有可能将企业的内部文件外泄。如何防止文件被非法带出,如何记录员工文件操作日志,如何对文件进行灵活而无损加密,将是现代企业所必须考虑的。

1.2.5 保障系统稳定运行

保持业务的持续性是当今企业用户进行数据存储需要考虑的一个重要方面。系统故障的出现,可能导致生产停顿,客户满意度降低,甚至失去客户,企业的竞争力也大打折扣。就在前不久,某网站的RAID卡的故障导致免费的主页大部分丢失,网民们采用各种方式声讨,导致该网站的声誉大降,一部分网民对之失去信心。因此,保持业务的持续性是用户在选择计算机系统的重要指标。究其根本,保护业务持续性的重要手段就是提高计算机系统的高可靠性。而提高系统的可靠性需要的是对于数据库, 络的全方位备份。

1.2.6 防护内外网攻击

传统上,公司一般采用防火墙作为安全的第一道防线。而随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要,网络的防卫必须采用一种纵深的、多样的手段。与此同时,当今的网络环境也变得越来越复杂,各式各样的复杂的设备,需要不断升级、补漏的系统使得网络管理员的工作不断加重,不经意的疏忽便有可能造成安全的重大隐患。在这种环境下,企业要想防范来自内外网的攻击行为就需要新的设备来保证网络安全的运行。 

 

二、 系统设计原则

 

对本次的SysView全方位安全平台的总体设计思想是要体现技术的先进性和决策的前瞻性,着力于“安全性、可靠性、灵活性、前瞻性、技术与管理相结合性”建设系统。具体的我们遵循了以下原则:

2.1 安全性原则

我公司坚持以高度安全性为基本原则,有效地防止网络的非法侵入和信息的泄露,保护关键的数据不被非法窃取、篡改或泄漏,使数据具有极高的可信性。

2.2 可靠性原则

这套网络安全系统用户众多,大量移动用户依赖它在获取重要信息。它的稳定可靠关系重大,信息平台的运行不稳定甚至瘫痪将严重影响大量用户的正常工作,将给用户带来不便和不可低估的损失。因此可靠性是平台运行的首要保证。

我公司将采用相应的手段保证系统、网络和数据的稳定可靠性和不间断运行。

2.3 全面灵活性原则

能够基于用户、用户组、时间段、应用行为等进行灵活的权限控制;全面记录各种行为日志,并能通过硬件USB-Key避免高层领导行为日志的记录。

2.4 前瞻性原则

如果设备被攻击、内网DOS流量、ARP欺骗等导致网络中断将严重影响网络可用性,所设备不仅能够通过防火墙等安全模块保障自身安全,同时能够防御DOS攻击、ARP欺骗等,提升整个网络的可靠性、可用性。

2.5 技术和管理相结合原则

安全平台的各种控制与审计策略应该与机构的管理机制、人员思想教育与技术培训、安全规章制度建设相结合,从技术和行政两方面全面管理用户行为。 

2.6 可扩展性原则

系统建设应该是统一规划、分步实施、逐步完善的过程。我公司在该方案的设计中充分考虑它的可扩展性,使系统能够方便的扩展。

 


三、 方案设计

根据上面的需求分析,把全方位安全方案分以下几个模块:终端准入控制、桌面管理、应用准入控制、防火墙隔离、文档加密。

终端准入模块在内网接入层构建起一道安全屏障,积极主动诊断多种网络访问设备的健康性,采用隔离管控和有效引导的方法,做到可信计算机有条件的访问网络,阻止非授权的以及有“问题”的计算机私自访问网络带来的安全隐患

桌面管理模块集中规范管理局域网终端的行为

应用准入、防火墙模块检测控制员工的上网行为,有效管理员工访问互联网的行为

文档加密模块保护企业核心技术的机密,防范企业机密信息外泄

通过全方位的安全方案, 为企业打造安全、稳定、高效、可维护的终端网络环境,大幅度提升企业的管理效果。

3.1 终端控制准入模块

3.1.1内网设备资源管理功能

1) 网络资源自动收集功能

将所有连接在网络的IP资源(IP、 MAC、域名/组名、用户名、接入主机网卡类型、最近网络接入事件等)按照设置好的周期自动收集。 

2) 收集交换机信息及管理

通过收集在管理范围内的网络中注册的交换机的 SNMP的信息,可以实时收集交换机的状态信息,可以收集端口状态,并且可以自动/手动对指定的交换机端口进行阻止/解除管理。此功能在网络中主机发出有害数据包时,可以完全的阻止网络连接。 

3) 针对网络的有效地分组管理

在静态IP地址环境中可以基于IP地址进行分组管理,在动态IP地址环境中可以基于MAC地址管理IP使用情况和主机策略情况。 

4) 提供周期性的资源使用情况

   网络临时连接终端或是为了短期使用了分配的IP地址,长时间没有连接网络在离线状态时,可以将其IP释放为可使用的IP地址进行管理,从而做到有效的IP资源管理。 

3.1.2 强有力的阻止功能

1) 阻止非授权的IP和MAC用户

对使用非授权的IP和MAC地址的用户进行自动或手动阻止,从而防止因非授权用户引起的网络故障. 

2) 引入网络实名来管理主机名称

DHCP引入实名认证模块,只有实名认证通过后,才能获取内网合法的IP地址。

收集IP用户的主机名(NetBIOSName),可以对各网络主机要求使用指定的正确的主机名,否则不行入网。

收集IP用户的域名/组名,可以对网络主机要求登陆域,否则不行入网。

3) IP地址冲突保护策略

使用MAC 绑定策略,对于只能使用特定IP地址的主机固定其IP地址(一个或多个IP),从而防止其他主机盗用其IP地址,并且可以避免因IP冲突而引起的网络故障。 

 

3.1.3 对网络设备及服务端口管理

1) 交换机端口管理及控制功能

可以监控管理范围内的主机所连接的可管理型交换机的端口,并且可以自动收集和手动阻止 / 解除端口。当非法主机与合法网络设备发生IP冲突时,可以自动切断相应的交换机端口,从而防止网络故障。

bubuko.com,布布扣 

系统监控主界面

 

bubuko.com,布布扣 

健康检查/桌面管理设置主界面

 

bubuko.com,布布扣 

IP地址使用情况分配表

bubuko.com,布布扣 

交换机端口接入主机分布与管理

3.2 桌面管理模块

   通过SysView桌面管理软件实现资产管理、维修管理、应用程序管理、软件分发/补丁管理、设备管理、U盘管理、网络访问管理、远程管理、实时侦测管理等多种基于桌面用户行为管理。

3.2.1软硬件资产管理

1)自动收集计算机的软硬件资产信息,汇总建立软硬件资产数据库,通过客户端代理自动采集、建立、存储计算机终端信息及变更信息,包括终端设备操作系统、硬件配置状态和信息、应用软件安装信息等;

2)客户端代理采用事件驱动(非轮询)机制,即时(<10秒)反映软硬件信息的变化状况,降低客户端资源开销和网络带宽的消耗;

3)支持管理员补充录入计算机的资产编号、物理位置、使用人等必要的相关资产信息;

4)提供组合查询,可以就某些硬件配置(比如:CPU主频低于1G、内存少于256M、没有光驱等各种条件组合)或某个软件的安装状况等进行查询和统计;

5)提供报表与数据导出功能,提供硬件信息、软件信息、变动信息等各种报表,可以将查询结果数据导出到Excel文件格式。

3.2.2 维修管理

1)支持自定义设备类型,可以根据实际的设备种类及型号进行维修信息录入,灵活性强;

2)支持维修信息查询,跟踪维修进度,可以查看历史维修信息,查询结果可以导出。

3.2.3 应用程序管理

1)能够自动记录并汇总网络内所有被管理计算机上曾经运行过的应用程序,不仅记录直接运行的应用程序,而且能够记录在命令行下运行的应用程序;

2)能够自动跟踪每台客户端上执行过应用程序的具体起止时间,可以自动统计某段时间范围内应用程序执行的次数、时长,支持应用程序历史记录的报表导出功能;

3)可以自动统计出网络中运行时间最长、次数最多的前50位应用程序,统计结果支持列表、柱状图、饼状图等多种显示方式,所有这些统计信息都可以导出到文件;

4)提供应用程序黑名单和白名单功能来过滤非法应用程序。可以设定黑白名单策略的时间范围,被设定的应用程序能够自动识别,不需要采用手工输入应用程序名称;支持对多台计算机终端的批量设置;支持指纹识别,即使应用程序改名仍可以被禁止。

3.2.4 设备管理

1)可以禁止计算机的光驱、软驱、并口、串口、无线网卡、蓝牙、Modem等外部设备的访问使用,减少泄密途径;设备禁止操作必须支持支持批量设置功能;

3.2.5 U盘管理

1)支持禁止U盘的访问,不影响USB输入输出设备

2)可以设置计算机的U盘只读,禁止U盘写入

3)支持自动跟踪U盘的插拔使用记录情况

4)支持U盘的授权认证管理,只有经过授权认证的U盘菜允许在内部使用,未经授权的U盘将被拒绝访问

3.2.6 软件分发/补丁管理

1)支持与微软WSUS配合进行补丁分发,可以自动设置WSUS客户端指向的服务器IP地址;

2)支持多种软件分发格式,不仅能够分发单一文件的安装程序,也可以分发多文件安装程序,可以指定分发程序执行的参数;

3)支持向多个客户端批量传送应用程序或文件,可以任意指定传送的目的路径;

4)能够实现即使客户端用户当前没有登录或登录账户不具有管理员权限的情况下,亦能进行软件自动分发执行;

5)可以根据客户端操作系统类别以及软件安装状况进行分发范围的选择,软件分发任务可以指定每日执行的时间长度;

6)在任何控制台都可以进行统一的软件分发,所有分发的程序集中于服务器。可以在任何控制台查询所有分发任务的执行结果。

3.2.7 远程维护管理

1)提供远程查看、远程控制、远程重启、远程关机、远程开机等多种远程维护管理功能;

2)能够实现即使客户机当前用户没有登录的情况下,亦能进行远程控制管理;

3)支持对所有的远程操作的审计功能,审计日志不得被删除。

3.2.8 内网访问管理

1)支持设置计算机禁止修改IP地址;

2可以对局域网的计算机进行安全域的划分,有效的控制网络内计算机之间的网络通讯行为,加入安全域内的计算机,只能访问同一个安全域内和信任域内的计算机;加入信任域内的计算机不受任何限制;未加入安全域的计算机不能访问安全域内的计算机

3集成终端防火墙功能,可以集中设置内网计算机禁止开放哪些网络端口。

3.2.9 开关机日志

1)自动跟踪计算机的开机、关机信息

2)支持查询功能,查询结果可以excel导出

3.2.10 消息发送

1)可以对选定的计算机分发消息

2)可以查看分发过的消息情况,包括分发内容、分发时间、分发范围等信息

3.2.11 实时侦测管理

1)实时查看远程计算机上运行的进程,并可以远程终止进程

2)实时查看远程计算机上开启的服务

3)实时查看远程计算机上硬盘分区信息,包括各分区容量、已用空间和剩余空间

4)实时查看远程计算机上内存使用情况,包括总物理内存、可用物理内存、总虚拟内存、可用虚拟内存

5)实时查看远程计算机上CPU使用情况,以图表的方式动态显示

6)实时查看远程计算机上共享的文件夹,并可以远程删除共享文件夹

7)实时查看远程计算机上对外开放的端口及当前连接的端口信息

3.2.12屏幕快照管理

1)可以截取网络内计算机任意时间内用户的屏幕操作画面

2)可以查看网络内用户最新操作画面、历史画面,并可连续播放历史画面

 

3.3 应用准入管理

SysView计算机桌面管理系统已广泛被用户认可,它为企业提供统一的远程维护、软件分发U盘管理、软硬件资产管理、应用程序管理计算机外设管理等功能。由于企业内网主机较多,重装系统、外带笔记本现象时有发生,手工安装桌面客户端并不能保证全网主机均安装桌面客户端,通过SysView应用准入网关,它以透明网桥方式部署在互联网出口(或关键服务器前),内网PC只要一上网(或访问关键服务器)就自动检测其是否安装了SysView桌面客户端,如果没安装则通过网页跳转方式,友好的引导安装,这样不仅大大减轻了网管人员的工作量,而且保证了所有入网电脑纳入企业的安全管理之下。

SysView应用准入网关除了上述功能,还有上网实名认证、网站域名封堵、QQ,MSN,EMAIL帐号管理、智能流量控制、SSL VPN等功能模块,把企业网络安全从边界延伸至桌面,为企业提供了一个性价比极高网管方案。

3.3.1 应用准入

 应用准入模块通过SysView准入网关与SysView桌面管理客户端联动方式,通过网页自动重定向,对不合规的终端,进行个性化的提示,发送执行合规管理的客户端软件,友好的引导安装;真正实现了最终用户“自助式”的客户端部署,不仅大幅度减少系统维护人员的工作量,也极大减少用户的厌烦和抵触行为,有效增强了最终用户在内网合规管理系统实施中的积极性,促进内网合规更快获得良好收效。

1) 可分网段分步实施应用准入控制;

2) 对特定的接入主机可不做应用准入控制;

3) 对特定的应用服务器的访问可不做应用准入控制;

4) 可定义终端入网后指定的时间段后再做应用准入控制;

5) 可定义终端准入控制检测周期时间;

3.3.2 智能流量控制

  通过对上网终端的连接数及上网流量的智能管理解决非工作应用严重占用企业出口带宽现象。清晰呈现当前网络流量信息图表、实时掌握网络的资源占用情况,准确了解带宽占用较大的用户和应用;对各类带宽资源占用大的P2P下载和多媒体应用进行精确识别,并限制其对带宽的滥用;保障关键业务数据传输质量不受其它无关应用的干扰;同网段用户根据当前在线用户数量平均分配带宽资源,避免网段带宽资源被个别用户独占。

1) 可控制客户端连接数;

2) 针对单个IP地址/IP地址段主机设置带宽;

3) 根据当前在线用户数量,智能动态分配各客户端的流量;

4) 当有多余带宽,允许突破限制,充分利用带宽;

5) 可指定应用协议数据流量不做流量控制;

6) 实时显示各客户端连接数、收发包量、速率、累计流量。

3.3.3 行为管理

  通过对网络应用协议阻断、网址黑名单过滤等技术手段,减少终端用户在上班时间做与工作无关的事情。可实时查看、分析用户网络行为,通盘掌握网络使用情况;通过对网游、聊天、视频、炒股等与工作无关的互联网应用加以识别并封堵,提升员工工作效率,保障有效业务应用;对于炒股、聊天等应用,可以通过限制用户使用时长、时段的方式,减轻用户的抵触情绪,体现人性化管理思路。

1) 只有许可的QQ/MSN帐号才能在内网登陆;

2) 只有许可的邮件帐号才能在内网发送邮件;

3) 可禁止接入终端在BBS上发贴或上传文件;

4) 支持域名关键字黑白名单过滤;

5) 可限制P2P软件(BT、电驴等)数据流量;

6) 封堵游戏、远程控制软件、VOIP等非法软件;

7) 所有应用协议封堵均支持时间段,支持例外用户策略;

8) 支持封堵的应用协议自动升级

9) 可记录终端访问网站的域名或目的IP地址。

bubuko.com,布布扣 

域名通配符过滤

bubuko.com,布布扣 

可自动升级的系统黑名单

 

3.3.4 实名认证

  通过对关键服务器访问的实名认证,有效地防止外来的终端对内部重要文件资源恶意获取;通过对上网的实名认证,有效地控制员工上网权限,并日志对应到人。

1) 日志对应到人:实名认证模块可实现即便是无线网络DHCP环境、IP地址不固定的情况,终端访问日志、流量日志也能对应到人;

2) 多因素的组合认证:可对实名用户定义有效期、限定MAC地址、及部门属性,可导入导出实名用户列表;

3) 灵活的实名登陆策略:支持自定义WEB认证网页;对特权主机可排除不做实名认证;对特定的应用服务器的访问可不做实名认证。

3.3.5 IPSEC/SSL VPN远程访问

  外网移动终端可通过安全、快速的SSL VPN访问公司的ERP、CRM、OA,杜绝了简单对外映射服务器端口产生的安全隐患。

2.7 简单易用的应用发布系统:针对不同VPN用户有不同的内部应用访问权限;

2.8 VPN访问应用加速功能:通过内置的智能加速技术,大大提高ERP等大数据量应用的访问速度;

2.9 线路自动跳转加速功能:可以智能选择电信、网通、铁通等线路,让电信用户访问电信线路,网通用户访问网通线路;

2.10 多种身份认证方式:远程用户除可使用用户名、密码验证外,还支持用户名密码+USB Key、用户名密码+客户端PC硬件绑定、用户名密码+数字证书等多种双因子认证方式,企业可根据不同用户角色来选择各种认证,多种组合可搭配选择,以此实现数据的安全访问;

2.11 VPN客户端广泛的适用性:支持http-connect,socks4和socks5代理上网环境;VPN客户端端口可自定义,适用于只开放80端口的网络环境;

3.3.6 防火墙功能

  图形化的防火墙策略定制界面,简单易用。灵活的智能路由、多链路负载均衡功能,充分利用了外网带宽。独创的WEB跳转功能解决了跨ISP运营商发布网络应用,访问速度慢的问题。

1) 图形化管理:操作界面充分利用面向对象的特性,使用户直接拖拽鼠标即可完成复杂的防火墙策略定制;

2) 多外网链路负载均衡:最高支持三条外网线路接入,智能实现带宽聚合、线路备份、负载均衡。支持电信、联通、教育网的智能策略路由,实现电信流量走电信、联通流量走联通,可免费升级智能路由策略库;

3) 灵活的应用发布:支持全地址映射功能;支持连续端口映射

4) WEB跳转功能:根据网站访问者IP来源(电信、网通、铁通、移动教育)网关自动将其访问的域名跳转到对应域名;

5) 支持多动态域名互为备份功能:适合于ADSL无固定外网IP地址环境;

6) ARP病毒防御:可采用内网PPPoE拨号上网,彻底化解ARP欺骗;通过自动扫描IP/MAC列表,实现双向绑定,防范ARP病毒;可防御内网PC与网关IP地址冲突。

3.4 文档加密

 3.4.1强制加密

策略范围内的文件,新建/打开/编辑/保存/另存为/打印PDF均自动加密,无需人为干预。

bubuko.com,布布扣 

3.4.2于内无碍

于内无碍:加密后的文件,在锐泰悬挂内部保密环境下,可正常打开或相互传阅,不改变用户操作习惯

3.4.3对外受控

对外受控:加密后的文件,未经解密,直接通过邮件或其他传输方式拷贝到锐泰悬挂外部,文件打不开或打开乱码。

3.4.4解密控制

提供本地密文操作与多样化的解密审批流程,根据实际需要灵活授权。密文操作,可快速加解密客户端本地所有文件,适用于领导层或文控中心,可据需酌情授权;审批解密,可自定义电子解密流程,由申请人发起解密申请,经过部门领导初审(或进一步转交高层领导再审),最后发给解密员执行解密。

bubuko.com,布布扣bubuko.com,布布扣 

3.4.5外发控制

解密外发:通过密文操作或走审批流程,直接解密文件后发给客户;

外发打包:通过防二次扩散外发打包程序,打包密文文件,再发给客户;

bubuko.com,布布扣 

通过打包控制可以控制外发文件的编辑、打印、有效时间等。

3.4.6外出使用

① 离线授权

对于长期驻外的人员,锐泰悬挂将给他们配备专人专用的便携式计算机。这些计算机也是涉密的,因此也需要保护。对于这种计算机,S-FSec系统引入了“商务策略授权”的概念,以保证它们在无法与服务器取得联系的条件下启动,也能够正常处理密文。这些安全要求,软件系统本身已经实现了,无需特别的管理制度。但是这可能会造成一些不方便(这就是安全的代价),对于可能的抵制情绪,管理制度上还是要做明文规定。

bubuko.com,布布扣bubuko.com,布布扣bubuko.com,布布扣 

3.4.7文件归档

自动备份用户操作过的涉密文件,备份到指定的文件服务器上。

bubuko.com,布布扣 

 

3.4.8审计日志

记录客户端加密、解密(本地/审批)、打印及上下线日志,供检察审计。

bubuko.com,布布扣 

备份审批后的文件,自动把审批后的文件备份到服务器上面,以备相应人员进行审计审批过的文件。

bubuko.com,布布扣bubuko.com,布布扣 

四、预期收益

4.1人员收益

安全系统的桌面管理软件实现了设备集中管理,方便了IT管理人员的操作管理,从而节省劳动力。同时强制规范了员工行为,减少监管员工所消耗的人力资源。从统一安装软件和补丁来看,如果需要IT管理人员去员工机器上逐台安装将耗费大量人力。如果该软件急需试用,只能通过加班加点和增加IT人员来实现,不仅耗费IT管理成本,而且影响员工工作,但是使用安全管理系统后,管理员只需在自己的机器上就可以全局安装管理相关软件,方便而且节省大量IT运维人力。

防火墙和入侵检测自主保护企业内部服务器和网站,保障企业系统资源不受外界攻击损坏,大大减少了对于此类系统的维护人员投入。

 

4.2效率收益

可对QQ,MSN等实时通讯工具、网络游戏、股票软件及影音视频等应用程序的进行拦截;对特定的聊天软件进行封堵,或过滤通话信息、阻止文件传输等;可对上网的时间段进行分别管理,设定出合理的上下班网络使用时间;通过各种管理策略的应用,可规范员工网络行为。上网行为管理的使用可以把与工作无关的上网行为降低到最低,桌面管理软件可以严格控制员工运行程序,拦截阻断单机游戏,各种娱乐软件的使用,去除员工的分心,让他们专注于工作中,提高员工工作效率。 

调查发现,八个地区内有83%受访员工在办公时间内浏览与工作无关的网站,但在中国表现得尤为突出!中国员工每周花在网上处理私人事务的时间比其它地区的员工更长,高达5.6小时,严重导致工作效率的下降;通过封堵和控制员工工作行为可以至少提高30%工作效率,长年累月来算,这将是一笔可观的实际效益。

 假如您的企业有100人,平均3000元月薪

 那么您将会由于员工上网每天浪费

     2208.75元

 您将每月浪费2208.75元×20天=44175元

 您将每年浪费44175元×12月=530,100元

对于桌面的管理,可以严格控制员工运行程序,拦截阻断单机游戏,各种娱乐软件的使用,减少工作效率的浪费

集中化管理,实现策略一键下发,软件和补丁一键下放,充分保证员工工作效率,降低基础准备工作对于员工工作时间的占用和浪费

保证稳定的系统,提高了系统资源流转,减少由于意外和宕机导致的系统不可用时间,保证系统效率

4.3资源收益

通过对企业关键业务的识别,以及相应的保畅策略设定,应用准入管理可以实现对关键应用的效能保证,可以保证如OA、Email、ERP、CRM等系统的资源是不会受到干扰,从而提高企业业务系统的效能。保畅的最大用处在于,管理员不用再为流量管理和非法协议的封堵而烦恼,只需要分析和设臵关键应用,就可做到对全局的有效管理。阻断员工上网看电影,下载,炒股,游戏等占用大量公司带宽资源的行为,和处理与工作无关的事情占用公司电脑资源,充分保障了公司资源的合理利用,从而缩减公司为了维持良好资源运作而产生的额外投入。

资源集中管理后,减少空闲和浪费的现象,如果某一机器损坏,可以在确定损坏部件后通过查找空闲机器的备件来实现资源再利用,提高企业资源利用率,有效减少额外资源投入成本。

 

4.4安全收益

企业核心机密信息、代表企业知识产权和核心竞争力的图纸、设计资料、技术机密,以及企业的财务数据、报表是企业效益的来源和体现,也是企业立身之本一旦泄露,后果不堪设想,对此我们通过以下手段充分保证企业利益:

1)通过设备管理和U盘管理保障公司资料不会被员工随意拷贝传播而泄露造成损失;

2)控制员工上网行为,阻断公司机密通过QQ,邮件,论坛,博客的泄漏途径,提高保密的效果

3)透明加密保证不影响员工工作的前提下实现涉密资料,图纸,音视频,报表的加密,防止员工拷贝,截屏,外发造成的泄密损失

4)通过防火墙和入侵检测,隔断由于外界攻击导致的资料被窃和追溯来源为追回损失提供有效途径

5)数据容灾和负载均衡充分保障系统稳定运行,不会由于断电,宕机造成数据丢失、损坏。

总之,通过全方位的安全保障减少报表标书类文件泄露,降低公司竞标和业务由于不可预见因素导致失败的损失;减少核心竞争力图纸,设计资料的泄漏造成的不利竞争损失;减少泄密导致核心业务被第三方或竞争对手获取造成的市场占有率降低产生的损失。

有效降低黑客攻击,网络入侵导致系统损坏造成的数据损失和设备损坏,数据修复产生的额外人力和财力损失。

 

4.5信誉口碑

合理的网络安全信息防护,保障了业务系统的稳定性,有利于提高在业界的信誉和口碑

不少新闻报道过公务员或者专家教授在上班或开会时用电脑玩游戏,上无关网页,不仅给他自己带来负面影响,同时给他所在部门和机构带来了巨大舆论压力,在工作期间,员工的行为是和公司利益息息相关的,通过有效管理和监控,保证员工工作期间的合理行为,可以给公司访客和合作伙伴很好印象从而大大加大合作的成功率。

稳定有效的业务链是产生良好口碑提升市场占有率,稳定的系统保证了顾客良好的使用连续性和连贯性,若是顾客租用的机房或者服务器经常由于宕机或意外导致业务中断或数据损坏,那么怎么能保证用户的忠诚度和口碑推广。

安全的服务体系会给用户带来强大信心,人们愿意将钱存入银行的很大因素就是银行能充分保证财产和资料的保密性和安全性。由于现在网络的普及大量泄密事件的发生,顾客对于自身数据和资料安全有了更高的要求,可以保障用户信息安全的企业也是顾客亲睐的对象,而通过对数据的加密,对设备和网络的控制,对外界攻击的防护充分保证了这一要求,自然会吸引到更多客户。

五、公司简介

上海微可锐信息科技有限公司是专业的IT管理软件和信息安全解决方案供应商,我们涉及的领域包括IT管理、信息安全、金融与电子商务。我们不仅提供系列化自主知识产权的产品和综合解决方案,同时也提供客户化定制软件开发、外包软件开发服务。

公司自主品牌的IT管理软件在国内拥有广泛的客户群,打造适合中国用户需求的信息安全和IT管理产品是我们努力追求的理想。作为国内领先的IT管理解决方案供应商,公司已建立了较为广泛的分销网络体系及技术支持中心,我们将不断为客户提供优质、规范和高效的产品与服务,为帮助企业实现更加优化的IT建设和更加高效的业务运营持久努力。


本文出自 “内网安全专家” 博客,谢绝转载!

SysView企业安全整体解决方案,布布扣,bubuko.com

SysView企业安全整体解决方案

标签:内网安全   黑客攻击   准入控制   解决方案   应用程序管理   资产管理   

原文地址:http://995783.blog.51cto.com/985783/1540000

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!