达龙信息安全整体解决方案.docx

网络信息安全解决方案XXX有限公司目录第一章 概述：方案背景第二章 方案需求 2.1网络信息安全风险分析 2.2网络信息安全需求分析第三章 达龙方案介绍 3.1关于达龙3.2达龙方案介绍3.2.1 上网行为管理系统3.2.2 主机管理系统3.2.3 主机监控系统 3.3XX方案整理第四章 方案部署 5.1系统实施和部署 第一章 概述：方案背景随着办公信息化技术的飞速发展，计算机和网络已成为日常办公、通信交流和协作互动的必备工具和途径，但是，网络信息系统在提高人们工作效率的同时，也对信息在存储、访问、控制及传输过程中，如何有效防止其丢失和泄露等一系列信息安全问题提出了需求。说到数据防泄露，人们可能首先会想到木马植入、黑客入侵等从外部窃取内部资料等手段，但据国家计算机信息安全测评中心数据显示：由于内部重要机密通过网络泄露而造成经济损失的单位中，重要资料被黑客窃取和被内部员工泄露的比例为：1：99。也就是说，互联网接入单位由于内部重要机密通过网络泄露而造成重大损失的事件中，只有 1%是被黑客窃取造成的，而 99%都是由于内部员工有意或无意的一些泄密行为所导致的。这些内部员工的主动泄密行为，有可能是通过互联网发出，也有可能是通过局域网、移动存储、打印等数据传输途径完成。随着新技术的发展，互联网的带宽越来越大，移动存储介质的存储容量越来越大，数据传输的手段也越来越多，这在为我们带来便利的同时，也带来了不容忽视的信息安全保密隐患。如何既能解决这些问题，又尽量减少对便利性的影响，是本解决方案所陈述的内容。第二章 方案需求2.1网络信息安全风险分析数据在使用、传输、存储过程中，每一个环节都有很多安全隐患。根据我们对网络信息安全现状的了解、总结和分析，信息安全威胁主要有以下几类： 内部员工在工作时间浏览与工作无关的网站甚至带有恶意代码的网站，导致恶意程序在内网横行，窃取内部网上的机密数据； 内部员工通过邮件将内部机密信息有意或者无意泄密出去； 窃取者将自己的计算机通过网络交换设备或者直连用网线非法接入内部机密网，窃取内网重要数据； 目前并未对员工的网络行为做太多管控，对重要数据的传输和存储没有进行跟踪记录，不能很好的阻止核心机密数据外泄，一旦泄密事件发生，不能追究其行为人的法律责任； 内部人员将存储有企业核心数据的移动存储设备随意带出，一旦遗失，对企业造成极大经济损失； 内部员工将只允许在内部机密网使用的数据通过磁盘复制、打印等非法手段泄露到单位外部，甚至泄密给行业内竞争对手； 窃取者将内部机密网内客户端存储设备直接取走或插入外来移动存储介质，非法复制存有机密数据的主机内的重要数据。上述风险分析中可以看出，信息安全要从企业核心机密网内的每一个环节抓起，才能从根本上解决网络信息安全问题。2.2网络信息安全需求分析2.2.1 现状需求分析XX公司作为科技创新型公司，其核心技术是发展的动力和在行业立足的根本。保证专有技术和机密资料不被有意无意外泄和竞争对手恶意获取，显得尤为重要，必须在信息安全上下功夫。从现状分析来看，首先需要员工树立信息安全保密的意识，然后企业也要针对内部信息化特点制定一些保密的规范，并且在日常管理工作中贯彻执行，即要有信息安全的思想理念指导我们的方向。当然还需要可靠地、实用地方案来实现完整的信息安全。下面将介绍企业核心数据在存储、传输过程中产生网络信息安全的需求，从而形成企业核心数据防泄露的解决方案。总结如下： 员工行为有监控 上网行为有管理 主机端口有管控上网行为有管理 机密网络接入有权限 移动存储介质使用有范围 主机硬盘有保护 电脑、打印有管理办公网络是企业数据流转最频繁的环境，这一流转过程的每一环节都可能导致数据的外泄，来自网络的、各种端口的对数据安全的隐患层出不穷，所以也是数据保护的重要环节。这就需要做到：1、员工行为有监控。员工上网行为记录、统计排名，员工聊天记录审计，邮件收发审计，ftp审计，屏幕监控记录，文件操作监控，实时监控，多画面实时监控，手机对计算机监控，员工上班时间游戏监控，实时流量监控，程序运行记录等等。2、上网行为有管理。对员工的上网行为进行全面管控，包括上网网址过滤，应用程序过滤，上网内容过滤，流量控制，文件外发管控。3、外设端口有管控。防止内部重要资料通过u盘口、打印口等被复制、打印流传出去。需要规范管理外设端口的文件传输，做到所有传输的文件都有记录；USB口和串口授权以及过滤，USB口应用防火墙，硬件控制、插入Usb、串口接口报警、拷出资料报警、自定义报警。4、机密网络接入有权限。防止外部非法计算机接入窃取内部核心资料。划分一个需要保护的企业核心机密网，机密网内可以互相通信，外来的非法用户不能接入机密网，机密网内客户端也不能与外部网络设备通信；对于有特权的机密网访问者设置例外；设置一个专用访问通道（外地办事处访问内部核心服务器数据需要）。5、移动存储介质使用有范围。防止内部重要资料和程序代码，未经授权恶意带出，交给竞争者。内部机密网内使用的移动存储介质不能在外部随意使用，即使拿到外面（遗失或者恶意带出）也不能随意打开，更不能将其中重要数据复制泄密出去；或者将内部使用的移动存储介质设为专人、专用存储设备，只能由专门的有权限人打开；外来非法存储介质无法在内部机密网使用，保证内部机密网数据处于安全状态。6、主机硬盘有保护。防止内部机密网内的硬盘中大量资料外泄。需要客户端硬盘在被暴力拆取的情况下，拿到外面，不能读取内部数据，保证内部大量数据安全，外面带进来的硬盘等非法存储介质在内部不能使用。7、电脑、打印有管理。可以对员工电脑进行远程文件操作、远程控制，对对全公司范围内的软硬件资产进行管理；打印控制，包括打印文件过滤，打印审批流程、打印记录、打印权限分配等等。第三章 达龙方案介绍3.1关于达龙上海达龙信息科技有限公司是互联网信息安全领域的先行者和创新者，致力于研究如何帮助广大用户更好的控制和管理对互联网的使用。达龙技术能够为客户提供中国领先的互联网信息安全解决方案，全面细致的帮助用户实现机密内容安全管理、上网行为管理、反病毒，有效解决互联网带来的管理、安全、效率、资源、法律等各种问题。达龙信息科技由资深网络信息安全专家创办，特别强调自主创新、自主研发，曾获得国家多项专利。达龙信息科技不断探索最前沿的网络控制管理技术，深度研究中国企业的网络使用习惯，从管理角度出发、从内容层面控制、从人的行为进行管理，为中国用户提供最完善的互联网安全管理设备及服务。目前，达龙信息科技凭借领先的产品理念、国际化的技术团队及本地化的服务优势，赢得用户的好评。快速发展的达龙技术也正逐渐步入国际化轨道，越来越多的用户正在体验达龙技术带来的更易管理、更加安全、更加文明的互联网空间。为用户带来最大价值，是达龙信息科技秉持的产品理念！3.2达龙方案介绍达龙信息科技结合各企事业单位资料和文件保护的实际需求，结合上网行为管理系统、主机管理系统、主机监控系统和全盘加密技术，提供一个防止内部机密信息泄露的整体解决方案，为客户提供完整、严密、坚固的整体内部IT环境风险管理系统；运用先进的协议和行为分析技术，实现对各种应用协议和行为做精细的监控和管理。针对目前的状况，我们有如下网络整体架构。整体方案拓扑图：1.为了有效地管理员工的网络行为，网律上网行为管理设备在互联网出口处负责截取、分析和管理所有进出流量，控制上网带宽、可访问的站点和应用，还原通过各种途径外发的文件；2.为了严密保护内部机密数据，防止机密数据通过网络非法外泄，主机管理系统通过客户端软件，管理者可以规范员工的计算机使用行为，可以使用计算机做什么，哪些不可以做；并且提供对员工的计算机进行远程管理的手段，减轻了管理者对员工计算机的管理难度；可以设置员工在进行某些操作时报警，让管理者能在第一时间知道员工的非法操作，将某些恶意行为操作扼杀在摇篮中。利用主机监控系统，管理者可以完全掌握员工以前做了什么，现在正在做什么，是否工作不努力，是否有违规行为，员工的一切计算机上的操作都一览无遗。3.2.1 网律上网行为管理系统提供精细的、基于内容的、量化的策略定义，帮助管理者制定和落实精确的互联网访问规范。督促互联网的正确使用，提高工作效率。内置包含超过1000万条网站信息，被精确分类为50余类别，配合灵活多样的访问控制方法，有效督促网络用户合理分配工作、学习、娱乐时间，达到提高效率，合理、合法应用的目的。详细记录用户上网的每一个行为，并统计分析生成80多种报表，供管理层参考。控制超过150种应用程序，包括即时通讯、P2P工具、网络游戏、炒股软件等（详细列表参看附件），管理者可以精确控制各种应用的行为能力。阻止不良、非法和不健康的互联网内容网站分类信息能够杜绝色情、邪教、违法信息等的访问，净化网络环境，避免由于这些内容的访问和散布带来不必要的麻烦乃至法律风险。优化网络带宽，提高网络利用率。带宽管理功能使得管理者能够精确控制不同种类网络应用在不同时段的带宽使用能力，帮助管理者达成合理分配网络带宽，优化网络状况的目标，提高网络设备和带宽的利用率。实时流量监控：提供实时流量监控工具，可以随时把握流量异动，迅速分析流量异动原因并作出处理。对通过网络泄露机要信息的管控，管理MSN、QQ、飞信等IM 聊天工具，以及电子邮件、FTP、网络硬盘、文件共享等等信息交换应用实现精确的控制，防止通过这些手段造成有效价值信息的外泄。内容审计帮助管理者发现是否有违规文件传输，包括：邮件审计：能实时记录员工计算机所有收发的邮件，记录包括时间，收件人，发件人，标题，内容等。ftp审计：对员工通过ftp上传和下载的内容进行监控。 发帖审计：对员工发帖并上传附件进行还原文件还原：对各种途径通过互联网向外发送的文件进行还原并备份3.2.2 主机管理系统端口防护功能 通过服务器统一下发策略，关闭和打开电脑主机上各种端口 端口可以有关闭、只读、过滤、开放四种状态 USB设备管控： 可仅对USB存储进行限制（禁止或只读）； 可对USB接口的上网卡设备况进行管控，限制其可连接的站点数 可对USB存储写入的文件进行过滤，限制可写入的文件类型； 可对USB存储一段时间内写入的文件总大小进行限制 可对特殊USB通讯协议进行文件类型过滤和审计 可提供安全加密U盘，使安全U盘只能在指定计算机之间交换数据 串口管控（包括USB转串口） 可对打开串口的程序进行过滤，只有指定的程序才能使用串口 可对写入串口的文件类型进行过滤 可对写入串口的文件本身进行过滤主机远程管理 远程文件操作：可对员工计算机内所有文件进行远程管理，对员工文件可进行远程复制、剪切、删除、重命名等，可上传，下载，更提供了批量下载员工计算机的文件和文件夹到管理者计算机的便利。 远程控制：可对员工计算机进行远程关机，远程重启，可查看员工的窗口列表和进程列表，并可关闭任意窗口或进程。 软硬件资产管理：可管理员工的软硬件设备。 工作效率统计：可在对员工的某个月的工作效率进行统计，很直观的看出员工使用各个软件的时间、频率。并以柱形图和饼图反映出来。使得管理者对员工的工作评价更直观、更有依据。 客户端网络控制传统网络访问控制大多由交换机等网络设备实现，缺陷是只要设法绕过网络设备，就可以对需要保护的电脑进行网络访问，例如采用直连网线的方式。 通过客户端软件对每台内部电脑的网络访问进行控制。 服务器端将某些电脑划为同一个子网，这些电脑才可以互相访问；与其他没有划进来的电脑都互相不通。 一台电脑可以划归到多个子网当中。员工操作报警可以设置员工在进行某些操作时报警，让管理者能在第一时间知道员工的非法操作。将某些恶意行为操作扼杀在摇篮中。 插入U盘报警：可设置在插入移动存储设备，及时报警管理者。 拷出资料报警：可设置在拷贝文件带走时，向管理者报警。 自定义报警： 可设置对管理者自定义的条件被触发时，及时报警给管理者。全盘加密首先，采用高强度的加密算法，对硬盘进行全盘加密，确保硬盘里的数据在没有获得许可的情况下，无法被暴力破解。其次，目前绝大多数的存储介质加密产品都是采用密码验证的方式来检查用户的合法性，有正确密码即可获得解密数据；但是对于企业来说，最难于防范的却是内部员工的泄密，此类加密产品却无法阻止拥有密码的员工将硬盘/U盘带出公司后仍然可以访问和转移介质中的数据。达龙特有的环境识别技术，整合计算机、网络、服务器等多种环境特征，与密钥一起对硬盘进行高强度加密，让硬盘只能在公司内部使用，彻底杜绝内部人员泄密行为。3.2.3 主机监控系统通过监视模块，管理者可以完全掌握员工以前做了什么，现在正在做什么，是否工作不努力，是否有违规行为，员工的一切计算机上的操作都一览无遗。l 聊天纪录监视：能监控员工使用聊天工具聊天的内容（支持MSN,QQ,ICQ,Yahoo,阿里旺旺等多达18种常见聊天软件的监控），并可根据需要禁用某些聊天软件，方便管理者对员工互联网聊天行为进行管理，避免员工上班时间过度聊与工作无关的内容.l 屏幕监控记录：可以对员工计算机屏幕画面进行记录，员工之前在计算机上的一举一动都会真实在您眼前再现。 l 文件操作监控：可对员工的复制、剪切、删除、重命名文件或文件夹操作进行监控。 l 实时监控：实时监视员工计算机，并能对其进行控制，就像操作自己电脑一样简单的操作员工计算机。 l 多画面实时监控：可同时监控多个员工当前桌面实时的画面，员工的一切操作尽在眼前，默认最多支持16画面，超过16个员工可以轮循显示。也可定制同时显示更多画面（此界面演示为16画面，可根据需求扩展为36，64，100）l 摄像头实时监控：实时查看被监控计算机摄像头的画面 l 摄像头多画面监控：实时查看多个被监控计算机摄像头的画面（此界面演示为16画面，可根据需求扩展为36，64，100） l 手机查看监控记录：通过手机查看员工的监控记录（此功能需购买第三只眼监控服务器） l 游戏监控：能监控员工所玩游戏的内容。 l 实时流量监视：可对员工计算机的流量进行监控，使管理者能够及时发现流量异常等情况。 l 程序运行记录：监控员工打开的程序以及窗口的纪录。 3.3XX公司方案整理针对XX公司的网络现状和信息安全需求，达龙提供一个完整地解决方案。如下：在做研发设计的技术部门和有重要研发资料流转的部门实施严格的信息安全方案，在其他职能部门只做宽松的行为管理