机械制造业内网信息安全解决方案

一、存在问题

1. 以设计图纸为核心的企业敏感数据在生成和传播过程中高度依赖于网络和各类信息处理终端，数据广泛在设计、生产(包括冲压、焊装、涂装、总配装)等部门间流转；

2. 企业员工由于专业差异等因素影响，终端操作人员的信息化操作水平差异大；

3. 企业管理文化趋向于制度化、规范化，在精益管理等理念的引导下，安全管理深刻的融入到企业日常生产过程中；

4. 在制造、设计高度信息化、网络化的趋势带动下，企业引入了大量与生产制造相关的应用系统，包括CAD、CAM、CAPP、PDM、MPM等。

5. 供应链管理设计合作单位非常多，在信息化过程中外单位的来往人员也比较频繁，企业普遍缺乏对外来人员的信息安全风险防范手段。

6. 研发部门经OA或Mail向非研发部门传递图纸等涉密资料；

7. 磁盘被盗后的数据泄密；

8. 公司的数据出口计算机过于依靠人的管理，无约束手段，是重要的泄密风险点；

9. 打印机被滥用，重要图档以纸质文档方式被带出，同时可能造成用纸浪费；

10. 由于信息化的发展，移动办公、家庭办公等办公形态的出现，也会增加风险等级；

11. 信息的存储、使用、传播、交互过程中，完全处于明文的状态，任何一个环节处问题，都有可能造成泄密事件。

　　二、需求分析

1. 如何对核心的技术机密、专利、设计图纸、源代码、程序文件等进行有效的安全管理？

2. 如何对企业商业敏感机密信息有效的安全保护？

3. 如何从网络传输、移动存储、内容拷贝、文件拖动等途径防止重要文档泄密？

4. 如何实现涉密文档在访问、操作、关闭等使用过程中的安全防护、监管？

5. 如何有效控制打印、电子传真、屏幕拷贝等软硬输出方式的泄密途径？

6. 如何在协同办公环境下实现涉密文档的交互操作？

7. 如何禁止企业员工在工作时玩游戏，用QQ/TM/MSN聊天，下载、上传、看在线影视？

8. 如何避免非法机器设备接入内网，随意访问内网资源？

9. 如何避免企业内部的软硬件资产流失？

10. 如何远程维护PC？

11. 如何在信息中心摘除PC的光驱软驱后，怎样禁止U盘的随意使用？

12. 如何解决特定文件程序共享后分发安装繁琐？

　　三、解决方案

对于数据在存储、传输、交换过程中的安全环节，采用了多种加密手段结合的方式保护。主要采用了磁盘加密、外设控制、移动存储加密、文档加密等几个体系来保障安全环境的建立。

磁盘加密采用高强度加密算法，对磁盘进行透明加密，一旦磁盘被拆卸或者丢失则无法打开数据。外设控制则可控制计算机通过非正常手段，比如蓝牙、红外等设备进行数据传输泄密。移动存储加密可为企业内部提供强大的移动存储管理功能，既方便了企业的内部交流使用又对数据加密防止数据泄密。

　　1.802.1x准入控制，禁止外来设备随意接入内网

(1)部署迅速的802.1X平台

利用快速部署技术，注册入网是确认设备“身份”的唯一凭证，系统通过“一体化”的终端安全防护技术，综合接入认证、终端注册信息、系统身份验证等策略，确保用户合法接入内网。

(2)准入技术为国际标准

准入技术采用国际标准的IEEE802.1x，在接入层端口级进行准入的控制，非法设备无法获得网络内的任何资源，整个网络边界明确。802.1x技术不存在影响网络的扫描和频繁发包阻断，与安全软件五冲突，安全系数高，符合入网控制的要求。

(3)基于终端的阻断技术

采用基于终端设备底层驱动的阻断技术，对于非法流量直接在终端设备端进行阻断，能有效避免软件方式准入DNS或TCP欺骗方式的情况下，在网络设备端进行阻断时存在的各种安全漏洞，实现最完备的管理效果。

(4)外设管理

激活或禁用终端的USB(可分存储类和非存储类)、光驱、软驱、串口、打印机口、调制解调器、PCM、蓝牙、红外线等外设接口，对其实行有效管理。

　　2.移动存储介质(如U盘，3G网卡等)管理

采用高强度加密算法，对磁盘进行透明加密，保证磁盘上数据安全性的同时，对用户的日常操作没有任何影响。网络管理员对注册之后的U盘进行审核才可进入内网使用。

人机绑定，通过制定移动存储介质的访问策略，将通过授权的U盘绑定到某个特定的计算机上，达到专盘专用的目的。

人盘绑定，移动存储介质注册时，通过注册程序对移动存储介质打上标签，在移动存储上对用户信息进行记录。杜绝了私用U盘的传播，禁止了U盘中运行可执行文件，禁止U盘自动启动，极大程度的降低了并度通过U盘传播的几率。并且管理员对U盘的插拔进行审计，有效的管理U盘的使用，做到事后的可查询跟踪。