企业上网行为控制审计系统需求说明书

交通管理业务信息综合分析判断平台江西麻友创达软件技术有限公司文件号分类机密的文件类型部门网络安全研究与开发文档状态草案批准无效版本号1.0共0页企业在线行为控制审计系统需求陈述写作：日期：2012/9/3审计：日期：批准：日期：江西麻友创达软件技术有限公司2012-9-3内容导言21.1。写作目的21.1。背景31.2。参考文献32.需求分析42.1项目目标42.2架构设计要求4设计原则42.2.2系统架构功能52.2.3系统架构图52.3要求声明62.3.1应用控制62.3.2网页浏览控制82.3.3文件操作控制102.3.4打印内容控制112.3.5设备控制122.3.6网络控制132.3.7网络流量控制132.3.8。屏幕监控142.3.9。邮件控制152.3.10。即时消息控制16资产管理2.3.12远程维护2.3.13移动存储控制193.总体设计203.1网络拓扑203.2硬件系统设计203.2.1服务器和网络设备203.3安全设计213.3.1认证21信息安全3.3.3网络系统安全应用安全3.4关键技术的实施22附录一公司简介23附录2硬件设备列表25介绍1.1。准备目的如今，随着信息技术的飞速发展，信息技术给企业的运营带来了前所未有的便利，并逐渐成为企业发展的重要推动力。但与此同时，信息技术也给企业带来了风险和挑战。五、企业信息安全风险激增目前，越来越多的企业意识到信息泄漏对企业的危害。它不仅给企业带来法律风险和巨大的经济损失，还可能危及企业的生存和发展。员工被列为最有可能导致信息安全事故的因素。系统应用效率难以评估和控制最近发布的一项调查显示，89.2%的人在工作中使用MSN、QQ和其他聊天服务，其中65.9%是新闻网站。一名月薪2000元的员工每天两小时“隐性缺勤”，每年给企业带来6000元的直接损失。一个拥有50名员工的企业每年将因此损失30万元。此外，滥用网络和系统资源也可能给企业网络带来隐藏在互联网中的安全隐患，威胁系统安全。五、系统维护、复杂的资产管理信息技术部门将近一半的工作时间用于安装和升级计算机软件。信息技术人员对个人电脑进行简单的日常维护，占其总工作量的70-80%，大大增加了计算机网络的综合管理成本。如果问题得不到及时有效的处理，也会极大地影响企业的业务连续性。v阅读器需求提议者企业行政管理项目团队成员1.1。背景v系统的名称暂定企业上网行为控制审计系统网狼1.0五.提议者公司的管理层和决策层v开发人员网络安全行业的研发人员五.用户企业网络经理参考材料五、高颖多维终端安全管理平台技术白皮书。pdf大众盾3.2用户手册。doc五、联合软互联网行为管理系统。doc交通管理业务信息综合分析判断平台。doc2.需求分析2.1项目目标该系统的实现将使企业更好地了解计算机的所有用途。这将是企业广泛应用信息安全保护和技术的结果。其强大的计算机监控和管理系统软件是为现代企业管理者量身定制的企业管理软件。它不仅可以监控、记录和管理员工电脑的屏幕、互联网、聊天、邮件和文件操作，还可以防止员工窃取公司机密信息，并对员工的工作做出客观的评价。它可以大大提高企业的生产效率，减少不必要的资源浪费，帮助企业管理者为企业营造良好的氛围。2.2架构设计要求设计原则1.标准化：系统设计应符合公安部发布的信息系统数据库标准及相关管理办法。3.先进性：系统设计和规划采用符合应用系统发展趋势的主流技术，并采用B/S三层架构和C/S相结合的方式，充分发挥两者的优势。4.实用性：系统设计充分考虑了当前企业在线管理的实际工作，具有很强的实用性和可操作性。5.稳定性：为保证系统功能最大化，系统设计采用了当前行业主流的信息技术和产品平台，整体系统稳定性高。6.安全性：为了确保系统安全，应该有一个完美的安全解决方案。7.可扩展性：系统具有较高的灵活性和健壮性，支持多种主流开发软件，支持组件化和插件式开发，可扩展性强，易于集成二次开发能力，满足各方面的应用扩展需求，易于维护和升级。8.易用性：提供统一美观的界面、详细便捷的帮助、智能提示、简单操作等。2.2.2系统架构特征省略.2.2.3系统架构图系统相对独立，主要分为前端数据采集和控制层、区域管理和中央管理以及数据层。2.3要求描述2.3.1应用控制2.3.1.1需求描述应用程序日志系统自动记录客户端机器打开或关闭的应用程序，或应用程序窗口切换信息。管理员可以通过控制台查看相关日志；应用程序日志类型包括启动/停止日志类型解释开始/停止记录客户机上应用程序的启动/停止；系统应用程序日志记录包含操作类型、时间、计算机、用户、应用程序、路径/标题等信息。属性名解释操作类型应用程序启动/停止和窗口标题切换；应用程序应用程序的进程名称；文件路径当操作类型为启动/停止时，在客户机上记录应用程序的详细信息。小路；窗口标题当操作类型为开关窗口/开关标题时，记录当前应用程序的窗口口衔。应用控制系统可以根据全天或指定时间段禁止指定的节目，并提前控制非法网络行为。应用程序控制支持以下两种方式：被进程名禁止：管理员直接添加应用程序名，如QQ.exe；应用分类禁止：管理员可以根据一定的规则生成相应的程序分类。例如，聊天软件： (QQ、MSN、阿里旺旺、飞信等)。)被统一划分为一个类别。通过设置应用程序分类，系统可以禁止该类别中的所有程序运行。2.3.1.2统计调查该系统可以对计算机的日常工作情况和应用程序的使用情况进行人性化的统计和分析。它为管理者评价员工的工作效率提供了可靠的依据，并提供了统计数据的导出功能。系统应支持以下统计方法：应用类别统计系统根据管理员设置的应用分类进行统计。每台计算机的启动时间、各种分类应用程序的使用时间以及总启动时间的百分比都可以计算出来。应用程序名称统计系统可以计算每台计算机的启动时间。每个应用程序的使用时间及其在总启动时间中所占的百分比。细分统计系统可以将一些应用程序设置为工作应用程序(如办公系统、开发环境VC、VB、DEPHI等)。)。如果用户正在使用这些应用程序，这被认为是工作。系统可以计算第一台计算机的启动时间和工作时间。系统支持以图形方式显示各种统计数据，如：柱状图圆形分格统计图表2.3.2网页浏览控制2.3.2.1需求描述在线浏览日志系统支持员工访问网站的详细记录，可以按网站名称、名称、时间和范围查询日志。属性名解释标题被访问网站的名称；网站访问网站的详细信息；时间浏览时间计算机名计算机名或IP地址用户登录用户名互联网浏览控制系统支持客户端计算机访问网站的限制，该限制不适用于工作访问相关网站、恶意网站等。系统支持网站网址的分类管理，支持添加/删除/修改网站。网址分类。添加/修改网站网址分类时，支持批量导入网站网址列表。系统可以根据全天或指定时间段对指定的网址或网址进行分类。设置策略以控制用户对网站网址的访问。政策行动可分为许可、禁止和警告。1、允许用户可以积极经常访问的urls2.将暂停禁止用户访问网址；3.报警意味着用户可以正常访问该网址，但相应的报警将在系统后台产生。2.3.2.2统计调查系统支持对网页浏览信息的统计分析，按细节分为统计和按类别统计，并以直观、直观的图标方式显示。通过看统计图表，你可以知道哪些类型甚至哪些网站已经被访问了很长时间，从而判断是否有任何情况影响正常工作。按网站类别统计系统根据管理员设置的应用网站网址分类进行统计。可以统计每台计算机的每个分类网址的访问时间；按网站详细信息统计系统根据网络网址列表的详细信息进行统计。计算每台计算机访问网址列表的详细时间。2.3.3文件运行控制2.3.3.1需求描述记录操作日志文档操作日志将客户机用户的操作信息记录在文档上，使得管理员可以通过查看日志记录来发现用户的文档操作行为，同时也为以后追踪信息泄露事件提供了可靠的线索，从而提高了电子文档管理的安全性。日志记录的内容包括：属性名解释操作类型包括创建、访问、修改、重命名、复制、移动、删除，恢复和上传/发送源文件用户操作的文档的名称；小路用户操作的文档的详细路径。当操作类型为复制、移动或重命名时，路径将记录文档的源路径和目标路径。字母类型用户操作文档的驱动器号类型，包括：硬盘、软盘、光盘、可移动磁盘、网络磁盘。当操作类型为复制或移动时，将显示源和目标驱动器盘符类型。应用程序用于操作文档的应用程序的名称；标题操纵文档时的窗口标题。文件操作控制系统可以在指定时间禁止指定文档的操作。操作类型包括：创建、复制、移动、删除、重命名、修改、恢复和访问；系统可以根据全天或指定时间段为指定的文档设置策略，用于控制用户对文档的操作。政策行动包括禁止、报警和支援。1.禁止意味着用户禁止操作本文档。2.报警是指用户在后台操作本文件时产生的报警。3.备份是指在用户操作某些文档之前。文档在后台自动备份。2.3.4打印内容控制2.3.4.1需求描述文件打印日志系统可以记录和查询员工打印文档的情况，包括打印时间、目标文档路径、打印页数、打印机名称和执行打印任务的PC机的登录用户名。文件打印控制控制客户端计算机的打印权限，实现打印资源的合理分配，限制非法应用程序的打印，有效防止敏感或机密信息通过打印泄露。控制条件包括：时间、打印机名称和用于执行打印任务的用户名。2.3.5设备控制2.3.5.1需求描述该系统可以限制各种类型设备的使用：设备分类功能介绍管理角色驾驶设备哪些存储设备可以被特定的集合、组或整个网络禁止。包括：软驱、光驱、录音机、磁带机、可移动设备(u盘、可移动硬盘、记忆棒、智能卡、MO、Zip)防止员工使用与其工作无关的计算机设备和错误修改网络属性，以便统一部署屏幕保护程序或屏幕。根据风险评估，提前制定防范策略，禁止哪些通信设备可能被某个站点、某个组或整个网络禁止。包括：串口、并口、USB控制器和连接器(HUB)、SCSI接口、1394控制器、红外线、PCMICA卡、蓝牙设备、调制解调器、直接电缆连接(串口、并口、USB)、拨号连接防止通过无线、蓝牙、红外线、拨号等方式随意访问互联网。从而避免机密文件的泄露。通用串行总线相关设备哪些USB设备可以被某个集合、组或整个网络禁止。包括：优盘键盘、优盘鼠标、优盘调制解调器、优盘成像设备、优盘光驱、优盘存储器、优盘硬盘、优盘网卡、优盘其他设备。可以控制USB键盘、鼠标、调制解调器、MP3、移动硬盘等。分别防止文件泄露、病毒传播等。网络设备无线网卡、即插即用网卡(u盘、PCMICA)、虚拟网卡等网络设备可以按照一定的集合、一定的组或者整个网络被禁止可以控制网络设备，以避免非法联网。其他班级可以按某一组、某一组或整个网络禁止使用声音设备、虚拟光盘等设备多媒体设备可以被控制以避免非法使用。禁用任何新设备您可以禁止某个电台、群组或网络使用任何新设备。不允许添加任何未经管理员批准的设备。2.3.6网络控制2.3.6.1需求描述系统支持设置通信方向、IP地址范围和网络端口范围，以限制客户端计算机使用网络的权限。沟通方向双向、出站和入站(指物理通信方向)。出站和入站是相对于客户端机器的，即客户端机器主动与其他计算机连接，即出站。端口范围指用于通信的端口号范围。网络地址范围指通信的IP地址范围系统自动检测网络中是否存在非法计算机访问。当有非法的计算机访问时，控制台会报警提醒管理人员。系统支持绑定客户端的IP地址和MAC地址，防止客户端随意修改IP地址。2.3.7网络流量控制2.3.7.1需求描述系统支持通过网络地址、端口号、发送和接收方向来限制计算机的网络流量。系统可以根据网络IP地址、端口号、传输、发送/接收/全部、最大带宽值等条件设置相关策略。控制目标计算机的网络流量