扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
一、存在问题
以设计图纸为核心的企业敏感数据在生成和传播过程中高度依赖于网络和各类信息处理终端,数据广泛在设计、生产(包括冲压、焊装、涂装、总配装)等部门间流转;
企业员工由于专业差异等因素影响,终端操作人员的信息化操作水平差异大;
企业管理文化趋向于制度化、规范化,在精益管理等理念的引导下,安全管理深刻的融入到企业日常生产过程中;
在制造、设计高度信息化、网络化的趋势带动下,企业引入了大量与生产制造相关的应用系统,包括CAD、CAM、CAPP、PDM、MPM等。
供应链管理设计合作单位非常多,在信息化过程中外单位的来往人员也比较频繁,企业普遍缺乏对外来人员的信息安全风险防范手段。
研发部门经OA或Mail向非研发部门传递图纸等涉密资料;
磁盘被盗后的数据泄密;
公司的数据出口计算机过于依靠人的管理,无约束手段,是重要的泄密风险点;
打印机被滥用,重要图档以纸质文档方式被带出,同时可能造成用纸浪费;
由于信息化的发展,移动办公、家庭办公等办公形态的出现,也会增加风险等级;
信息的存储、使用、传播、交互过程中,完全处于明文的状态,任何一个环节处问题,都有可能造成泄密事件。
二、需求分析
如何对核心的技术机密、专利、设计图纸、源代码、程序文件等进行有效的安全管理?
如何对企业商业敏感机密信息有效的安全保护?
如何从网络传输、移动存储、内容拷贝、文件拖动等途径防止重要文档泄密?
如何实现涉密文档在访问、操作、关闭等使用过程中的安全防护、监管?
如何有效控制打印、电子传真、屏幕拷贝等软硬输出方式的泄密途径?
如何在协同办公环境下实现涉密文档的交互操作?
如何禁止企业员工在工作时玩游戏,用QQ/TM/MSN聊天,下载、上传、看在线影视?
如何避免非法机器设备接入内网,随意访问内网资源?
如何避免企业内部的软硬件资产流失?
如何远程维护PC?
如何在信息中心摘除PC的光驱软驱后,怎样禁止U盘的随意使用?
如何解决特定文件程序共享后分发安装繁琐?
三、解决方案
对于数据在存储、传输、交换过程中的安全环节,采用了多种加密手段结合的方式保护。主要采用了磁盘加密、外设控制、移动存储加密、文档加密等几个体系来保障安全环境的建立。
磁盘加密采用高强度加密算法,对磁盘进行透明加密,一旦磁盘被拆卸或者丢失则无法打开数据。外设控制则可控制计算机通过非正常手段,比如蓝牙、红外等设备进行数据传输泄密。移动存储加密可为企业内部提供强大的移动存储管理功能,既方便了企业的内部交流使用又对数据加密防止数据泄密。
1.802.1x准入控制,禁止外来设备随意接入内网
(1)部署迅速的802.1X平台
利用快速部署技术,注册入网是确认设备“身份”的唯一凭证,系统通过“一体化”的终端安全防护技术,综合接入认证、终端注册信息、系统身份验证等策略,确保用户合法接入内网。
(2)准入技术为国际标准
准入技术采用国际标准的IEEE802.1x,在接入层端口级进行准入的控制,非法设备无法获得网络内的任何资源,整个网络边界明确。802.1x技术不存在影响网络的扫描和频繁发包阻断,与安全软件五冲突,安全系数高,符合入网控制的要求。
(3)基于终端的阻断技术
采用基于终端设备底层驱动的阻断技术,对于非法流量直接在终端设备端进行阻断,能有效避免软件方式准入DNS或TCP欺骗方式的情况下,在网络设备端进行阻断时存在的各种安全漏洞,实现最完备的管理效果。
(4)外设管理
激活或禁用终端的USB(可分存储类和非存储类)、光驱、软驱、串口、打印机口、调制解调器、PCM、蓝牙、红外线等外设接口,对其实行有效管理。
2.移动存储介质(如U盘,3G网卡等)管理
采用高强度加密算法,对磁盘进行透明加密,保证磁盘上数据安全性的同时,对用户的日常操作没有任何影响。网络管理员对注册之后的U盘进行审核才可进入内网使用。
人机绑定,通过制定移动存储介质的访问策略,将通过授权的U盘绑定到某个特定的计算机上,达到专盘专用的目的。
人盘绑定,移动存储介质注册时,通过注册程序对移动存储介质打上标签,在移动存储上对用户信息进行记录。杜绝了私用U盘的传播,禁止了U盘中运行可执行文件,禁止U盘自动启动,极大程度的降低了并度通过U盘传播的几率。并且管理员对U盘的插拔进行审计,有效的管理U盘的使用,做到事后的可查询跟踪。
3.员工上网行为管理
(1)应用程序管控
●禁止指定应用程序在指定时间内使用
管理员可以在指定时间段内,对某些禁止访问的网站及FTP按照业务类别、源地址、目的网址、标题、内容、黑名单等组合自行设置控制策略,过滤一些和工作无关的应用程序。分时段或者全天阻止游戏、炒股、视频播放等程序的运行,让工作人员工作的时候认认真真工作,休息的时候尽情放松,这样,既提高工作效率,有提高工作积极性。
●记录和审计应用程序使用情况
对网站的访问过程及交互内容进行“全拷贝”式记录,并可按关键字与既定规则对其实施“全景式”搜索还原审计,让管理员对应用程序的使用情况一清二楚。
(2)网页浏览管控
●全天候过滤不良网站
信息安全管理软件可以过滤黄色、保留和恶意传播病毒的网站,保证用户在合规合法范围内使用网页,既不能访问下载页,不能上传散播任何含色情暴力成分内容。这样不但能让企业规避法律风险,而且可以保护企业系统的安全。
●分时段限制各类网站的访问
为了方便管理者操作与管理,网站可以按类别进行管理,管理者可按需分时段屏蔽某类房展的访问权限,使网站管理更灵活、更具人性化。
(3)即时通讯管控
●禁止使用聊天工具外法文件
禁止企业内部重要文档通过聊天工具外发出去,这样不但可以保证流量不被大量占用而影响网络的正常使用,而且可以保障企业信息安全。
(4)邮件管控
●管控邮件发送
禁止内部人员在工作时间收发私人信件,限制用户只向指定的收件人发送信件,保证工作时间内只有商业信件往来,保障企业重要信件信息安全,预防有意或无意的泄密行为。
●记录邮件内容
系统从源和目标双方面进行审计与控制,并全景记录邮件的标题、内容、附件、收件人、发件人、发送或接受时间,让管理者清楚了解邮件的使用情况,规范邮件使用,杜绝私人信件,防止内部信息外泄。
(5)网络流量管控
●合理分配宽带资源
统一控制终端用户网络业务的流量流向,配以外网出口专有的流量网关,可按时段、源地址、目标地址、业务类别等维度实现内部链路及出口宽带资源的动态调配,有效限制P2P下载、网络视频等应用对宽带的占用,为视频会议等关键业务提供QOS保障。
(6)屏幕监控
管理者可以查看用户的桌面行为,清楚用户在工作时间内利用电脑和网络从事何种活动,管理者可以了解用户究竟是在工作还是兼职,是在玩游戏还是在聊天,大大方便管理者进行绩效评估。
(7)共享、打印、刻录、剪切板的审计与控制
●共享审计与控制
管理者按照具体需要,统一策略设置,预置终端用户对共享文件的访问权限,实时监视用户对共享文件的增、删、改,以及对文件内容的读取和拷贝。
●打印审计与控制
管理者可对用户打印的文件名称、打印时间、打印份数、打印页数、打印内容以及对应打印机,进行全方位的审计,按照需要设置权限控制。
4.可远程协助
一旦内网出现需要维护的设备或者业务平台,管理员登陆桌面管理系统,即可快速对其进行远程协助。桌面管理平台的登陆账号只有管理员掌握,不为其他人得知。如果对领导进行远程,可进行申请远程,等领导同意后才能远程。
5.补丁和软件分发
管理员可通过系统内置搜索引擎,自动获取最新补丁,确保补丁数据库及时更新。实时扫描潜在漏洞,识别不符合行业标准信息来源的应用程序和操作系统漏洞,综合评估后形成补丁加载需求,统一分发待装补丁,将待装补丁快速部署到相应终端或群组设备上,并对加载补丁的后续应用情况进行形态跟踪。系统可对特定的用户预先设定安全等级以及相应的补丁管理策略,发现满足修复需求的新补丁时,自动下载、安装并启用。不用再为了补丁漏洞的事情奔赴到现场作业,增强了内网信息的安全性,也减轻了管理员的工作量,提高了工作人员的工作效率。
6.IT资产管理
(1)实时监视资产分布及使用
企业管理者可以通过网络对用户终端、服务器、交换机、路由器等各类在网设备的硬件资产(CPU、内存、硬盘、外设等)、软件资产以及IP地址等虚拟资产的分布和使用情况进行动态监视与综合分析。
(2)实行差异化管理
管理员可以根据管理需要,可按组织机构、管理层级别、设备类型、所处位置、地址段落等维度对IT资产进行分组,区分制定和实施差异化管理策略。
(3)组合分析与决策支持
管理者可通过正杰的DM系统,全面掌握资产的在线使用情况、库存分布情况、资产变更情况以及故障维护历史,为现有资产的优化、新设备采购、供应商评估等工作提供决策依据,从根本上提升物资使用效率及应用价值,为企业降低成本,节省资源。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者