随着计算机网络技术、Internet 、Intranet和数字通信技术飞速发展,信息网络技术的应用层次不断深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,如电子政务、CIMS、知识管理、电子金融、社会保障、GIS系统等。大量的技术和业务机密存储在计算机和网络中,对网络安全性要求变得越来越高,需要有效地制定安全策略以保护机密数据信息。通常的安全策略的一个基本假设是:网络的一边即外部的所有人是不可信任的,另一边即内部的所有人是可信任的。通常认为黑客、病毒以及各种蠕虫的攻击大都来自外部的侵袭。但是,根据美国FBI的统计,各种计算机网络、存储数据遭受的攻击和破坏,80%是内部人员所为。来自内部的数据失窃和破坏,远远高于外部黑客的攻击。企业内部竞争性情报信息是企业无形资产管理的重要部分。俗话说“知己知彼,百战不殆”,如何保护企业自身重要情报不被竞争对手窃取,使企业在使用网络来提高工作效率的同时避免企业重要的知识产权遭受侵害,将是文档安全管理的一个重要课题。传统的安全解决方案比如防火墙、入侵检测、防病毒在网络安全中起到非常重要的作用。由于现在网络边界的概念逐渐模糊,通过VPN、无线上网、远程拨号等方式连接到内部网络变得非常普遍,内网上各种信息滥用、误用、恶用行为增加,严重影响内网安全。对于以上安全问题,传统安全技术显得力不从心。
内部竞争性情报类型主要有:
¨ 机密技术文件、产品研发资料
¨ 单位内部重要文件
¨ ‘会计账目、财务报表资
¨ 战略计划书
¨ 外购竞标信息和供应链合作伙伴信息
¨ 重要研究成果
¨ 研究论文
¨ 市场营销策划资料
¨ 其他:如董事会、投融资等方面管理类资料,客户资料
据IDC统计,80%以上的安全威胁来自于内部,内网数据安全所面临的安全隐患主要表现在如下几个方面:
1. 非法外联难以控制、内部重要机密信息泄露频繁发生
2. 移动电脑设备随意接入、网络边界安全形同虚设
3. 缺乏外设管理手段,数据泄密、病毒传播无法控制
4. 内部竞争情报和具有知识产权图档泄露严重
5. 管理制度缺乏依据,无法取证,安全策略无法有效落实
二、企业内网安全需求分析
A. 一些重要文档如:财务报表、设计图纸、客户资料、源代码等以明文形式保存,通过邮件、即时通讯工具(QQ、TM、MSN)、U盘等移动存储设备、拆卸硬盘等发往外网造成泄密;
B. PC机和网络设备的软硬件IT资产管理混乱;
C. 科室和PC机众多管理不方便,登记混乱;
D. 要求合理利用IP,杜绝IP冲突,防止arp病毒的攻击;
E. 对员工的桌面工作情况无法准确定位判断分析;
F. 员工在上班时间玩游戏、下载、上传、看在线影视影响企业形象,占用网络带宽资源造成其他办公系统无法正常运作、而且降低工作效率甚至引发病毒。
G. 特定的文件程序共享后分发安装繁琐。
H. 打印机、外部接口随意使用。
I. 非法机器设备接入内网,随意访问内网资源;内部机器违规非法外联;
J. 信息中心摘除了PC的光驱软驱,软驱,但是U盘使用广泛,病毒从U盘感染到内网,扩散很快,无法彻底清除。
K. 对大量PC客户端的维护工作量大,不便于维护管理。
L. 要求对网络行为时时控制,时时记录并保存日志。
M. 要求对网络中潜在的危险行为做到主动防御,事前预防,事后追踪。
N. PC总会遭到病毒的攻击,如何及时的打补丁给相关部门提出了新的要求。
O. 对浏览过的网站和文件的操作新建、修改、删除、重命名等没有详细记录日志。
P. Windows系统补丁及时自动下载安装。
三、超陵内网安全解决方案
超陵内网安全管理系统整合了文档透明加密,桌面安全管理、终端准入管理、移动存储介质管理、上网行为管理等产品,为用户提供整体内网安全解决方案,通过超陵整体内网安全产品的部署,内网监控软件,外网监控软件,局域网监控可以成功的解决以上问题。
A. 通过超陵加密解密模块在不影响用户使用习惯的情况下,强制透明自动加密涉密资料以及重要数据;控制泄密资料以邮件、即时通信工具、U盘拷贝等方式泄密。即使发到外网数据在没有超陵客户端的情况下无法正常使用,强制打开将以乱码方式显示,看不到文件的明文。这也是杜绝泄密的有效办法从泄密文件根源上来解决问题。
B. 通过超陵的USB存储管理功能解决U盘等移动存储设备的任意混乱使用,可分组、分时效、分个人、分权限使用注册USB存储设备;可将外部设备和内部设备做出区分对待;
C. 通过软、硬件资产审计功能,能够对内网的PC进行软硬、件资产的审计,防止企业IT资产流失。
D. 通过超陵的移动外发管理可以灵活区分泄密资料数据在各种应用场景下的处理与应用;场景详情详见下图:
E. 通过IP绑定功能,可以对内网中IP合理管理,让IP冲突成为幻影。
F. 通过多屏监控和每日应用程序审计功能可以实时观看员工的桌面行为,以及每天的访问应用程序记录,可以客观的评估员工绩效;
G. 通过网络拓扑功能,可以对网络中的设备可视化查看管理。
H. 通过程序黑名单功能,可以禁止客户机使用类似游戏,下载、上传、在线影视一类的软件。
I. 通过远程文件程序分发功能,可以对所有PC客户端轻而易举的远程安装分发。
J. 通过打印机管理、外部接口管理功能,可以限制PC客户端的打印机和外部接口使用。
K. 通过入侵检测功能,可以对非法接入到内网中的主机进行限制告警。
L. 通过USB存储管理功能,对外部USB类存储设备禁用。
M. 通过远程调试功能,可以轻松的远程解决各客户端的故障问题。
N. 通过文件审计功能,对PC客户端的所有操作准确记录。
O. 通过非法外联报警功能,可以禁止内网PC访问互联网。
P. 的操作系统进行升级打补丁。通过补丁管理功能,自动对下面的PC
四、超陵功能列表
|
模块序号
|
模块
|
子功能
|
功能详细介绍
|
|
H1
|
终端维护
|
基本信息
|
统计客户端计算机基本信息,包括计算机名称,网络地址,操作系统,登录用户,当前状态等信息。 |
|
网络状态
|
统计客户端计算机网络通讯方向、网络协议,IP地址范围、网络状态,进程ID. | ||
|
进程管理
|
统计客户端计算机当前进程名称,进程ID,路径,支持手动结束客户端计算机进程。 | ||
|
服务管理
|
统计客户端计算机当前服务名称,显示名,路径,状态,启动类型,支持手动停止或启动服务。 | ||
|
启动项管理
|
统计客户端计算机当前启动项,路径,状态,支持手动禁止启动或恢复启动。 | ||
|
系统用户
|
统计客户端计算机系统用户名,全名,描述,支持手动添加或删除系统账户。 | ||
|
远程文件管理
|
远程打开指定客户端的文件夹,传送文件和下载文件到服务端。 | ||
|
远程文件分发
|
远程批量分发文件,可设置发送成功后自动执行安装,发送提示消息。 | ||
|
远程协助
|
远程连接到客户端计算机的桌面,直接操作客户端,方便进行远程协助或操作示范。 | ||
|
H2
|
绿色节能
|
定时关机
|
自定义电脑关机时间
|
|
节能设置
|
自定义离开电脑一定时间段后,自动关闭显示器,自动关闭硬盘,自动待机
|
||
|
节能绩效查看
|
按部门,时间段统计节能效果,生成报表
|
||
|
H3
|
文档加密
|
密钥管理
|
支持密钥生成,密钥下发,密钥导入,导出 |
|
加密策略管理
|
内置常用需要加密的文档类型,支持手动添加新文档类型 | ||
|
加密策略设置
|
支持按部门,按文档类型下发加密策略 | ||
|
应用策略设置
|
支持禁止剪切板、禁止截屏、删除、打印,支持批量加解密 | ||
|
流程审批设置
|
支持自定应审批流程设置,包括解密申请、外发申请、打印申请、授权申请、离线申请 | ||
|
流程审批日志
|
支持按时间段查询审批日志,包括审批人、申请类型、审批状态、申请内容、申请原因 | ||
|
批量加密解密
|
远程批量加密或解密终端文件。 | ||
|
邮件外发解密
|
设置安全邮箱黑白名单,发送到安全邮箱内的加密文件自动解密。 | ||
|
终端文档备份
|
自动备份客户端修改操作过的加密文档,方便管理员统一管理。 | ||
|
H4
|
移动存储管理
|
接入控制
|
默认自动禁用未认证移动存储设备接入内部网络 |
|
注册设备
|
注册普通U盘,高密级(纯内部使用),中秘级(外部凭密码打开),低密级(内外都可正常使用) | ||
|
设备使用规则
|
设备使用权限(创建,读取,写入,重命名,删除)控制 | ||
|
插拔审计
|
自动记录客户端移动存储设备的插拔事件, | ||
|
数据销毁
|
防止数据还原造成泄密 | ||
|
U盘病毒预防
|
禁止U盘病毒的传播 | ||
|
H5
|
安全审计
|
文件操作审计
|
记录本机上所有文档操作信息,包所有文档的创建、访问、修改、复制、移动、删除、恢复、重命名等操作;支持按部门,用户明,关键字,日期查询 |
|
共享操作审计
|
记录共享文件上所有文档操作信息,包所有文档的创建、访问、修改、删除、重命名等操作 | ||
|
打印文件审计
|
详细记录所有打印操作的时间、终端、用户、文档名称,打印机名称,打印分数,文档大小,支持按部门,用户名,关键字,日期查询。 | ||
|
邮件收发审计
|
记录标准协议邮件、Exchange邮件收发的收件人、发件人、正文及完整附件;记录网页邮件发送的收件人、发件人、正文及完整附件。支持按部门,用户明,关键字,日期查询。 | ||
|
聊天信息审计
|
完整记录MSN、QQ、TM、RTX、Yahoo通、Sina UC、Skype、阿里巴巴贸易通,阿里旺旺等主流即时通讯工具的对话时间,对话人、对话内容等。支持按部门,用户明,关键字,日期查询。 | ||
|
屏幕录像审计
|
记录客户端的历史屏幕画面,根据不同应用实现变频记录;配合日志记录查看当时的屏幕情况;支持将屏幕历史转存为通用视频文件,被其他常用工具播放。 | ||
|
网站访问审计
|
详细记录每台计算机(用户)浏览网页的网址和日期,支持按部门,用户名,关键字,日期查询。 | ||
|
程序运行审计
|
详细记录应用程序的启动、退出;记录窗口切换和标题变化。支持按部门,用户名,关键字,日期查询。 | ||
|
多屏监控
|
支持同时对多个用户登录的监控,可同时对一组计算机进行集中监控 | ||
|
屏幕快照
|
实时查看单个客户端的屏幕快照, | ||
|
流量监视
|
详细统计M每台计算机(用户)各进程的实时上行,下行流量。 | ||
|
H6
|
行为管理
|
设备使用规则
|
控制客户端各种设备类型的使用权限: |
| 存储设备:软驱、光驱、刻录机、磁带机,移动存储设备等; | |||
| 通讯设备:串/并口、SCSI、1394、蓝牙、红外线、MODEM、直接对联线等; | |||
| USB设备:USB 键盘、鼠标、MODEM、映像设备、存储、光驱、硬盘和其他USB设备; | |||
| 其他设备:声音设备、打印机等。 | |||
| 禁止添加打印机,禁止任务管理器,禁止修改IP等。 | |||
|
系统行为规则
|
支持锁定键盘鼠标。 | ||
| 支持锁定注册表,防止注册表被修改。 | |||
| 支持新安装软件管理,禁止未经授权的新软件的安装。 | |||
|
程序运行规则
|
可在指定时间内限制指定计算机对指定程序应用 | ||
|
网站访问规则
|
对指定的客户端在指定的时间范围内访问指定的网站或网址进行管控。 | ||
|
流量控制规则
|
限制计算机流量(上行,下行)速度,保障网络带宽资源的合理使用。 | ||
|
网络共享设置
|
限制计算机网络共享的使用 | ||
|
IP地址管理
|
支持IP与MAC地址的绑定,防止客户端非法修改IP | ||
|
违规外联监控
|
设置违规外联策略,支持电话线、ISDN、ADSL、无线网卡、GPRS/CDMA/3G、双网卡、代理服务器等各种方式导致的非法外联行为。支持锁定键盘鼠标,自动重启,隔离网络等策略 | ||
|
H7
|
补丁分发
|
用户漏洞信息
|
自动扫描客户端的安全漏洞情况,并提供分析报告和解决方案。
|
|
补丁分发规则
|
自动部署和安装软件、执行程序或者派送文档,支持断点续传,支持后台安装和交互安装。 | ||
|
分发补丁记录
|
自动扫描客户端的微软产品补丁安装情况; | ||
|
补丁库信息
|
显示补丁信息 | ||
|
H8
|
资产管理
|
硬件资产
|
自动扫描并完整记录每台终端硬件资产信息,详尽记录资产变更信息,可自定义资产属性进行辅助信息管理; |
|
软件资产
|
自动扫描并完整记录每台终端软件资产信息,详尽记录资产变更信息,可自定义资产属性进行辅助信息管理; | ||
|
H9
|
报警管理
|
非法设备插入
|
检测局域网内各计算机非法接入的设备名称,并给出报警。 |
|
客户端离线
|
检测计算机离线时间,离线计算机IP,系统账户,并给出报警。 | ||
|
硬件资产变化
|
检测计算机新硬件信息,原硬件信息,更换时间,并给出报警。 | ||
|
软件资产变化
|
检测计算机软件安装,卸载日期时间,软件名称,并给出报警。 | ||
|
ARP工具报警
|
检测局域网被攻击用户信息,伪装IP,攻击者MAC,并给出报警。 | ||
|
非法外联报警
|
检测内网用户非法链接互联网,并给出报警。 | ||
|
软件未运行报警
|
检测局域网指定程序的运行情况,如不运行则给出报警。 | ||
|
计算机接入报警
|
检测局域网非法接入的计算机名称,IP、MAC地址,并给出报警。 | ||
|
H10
|
系统日志
|
违规外联日志
|
检测违规计算机的单位、部门、责任人、密级、IP、网卡地址、硬盘序列号、外联时间、外联方式等日志 |
|
设备插拔日志
|
检测可移动存储设备插拔日志 | ||
|
设备操作日志
|
检测可移动存储设备文件操作日志 | ||
|
管理员操作
|
审计软件控制台账户操作时间,操作类型,操作对象等信息。 | ||
|
账号登陆日志
|
审计软件控制台账户登录时间,登录IP等信息. | ||
|
H11
|
准入控制(需配合超陵硬件网关实现)
|
准入控制管理
|
检测没有安装超陵终端准入控制系统客户端的主机,对其采取安全隔离措施,使其网络设备不能正常工作,从而无法成功接入到内部网络中。可通过网页重定向方式,指向服务端下载安装客户端。 |
|
安全合规检查
|
对终端进行杀毒软件检查,补丁检查,必需安装软件检查,系统进程检查,系统共享资源检查,Guest来宾账户检查 | ||
|
强制安全修复
|
对接入的终端计算机进行系统特征识别,软件,进程、服务检查,强制更新操作系统补丁 |
五、超陵产品部署
超陵系统内网监控软件,外网监控软件,局域网监控由四个不同的组件组成:客户端组件、服务器组件、控制台组件、硬件准入网关。用户可以根据具体需要将它们安装在局域网中的计算机上。客户端组件安装在每一台需要被监视的计算机上。服务器组件用来存储和管理所有安装客户端组件的计算机,用于管理监视所产生的相关数据,一般安装在一台具有大容量内存和硬盘的服务器计算机上。控制台组件主要用于监视每台安装有客户端组件的计算机及查看历史记录,一般安装在网管和管理人员的计算机上,也可以和服务器组件安装在同一台计算机上。硬件准入网关主要提供对内网服务器进行保护,可架设在内网服务器前端,起到准入控制的作用。
客户端组件的基本功能包括:
ü 定时采集数据并保存
ü 定时将采集的数据传送到服务器
ü 执行服务器端和控制台的安全策略
控制台组件的基本功能包括:
ü 实时获取受监视计算机的所有信息
ü 按需要,对单个或对一组目标机进行实时监视,并可以轮流显示多个目标机的屏幕
ü 制定全局或组安全策略和设置监视和控制规则
ü 查看并播放记录在服务器端的历史记录
服务器组件的基本功能包括:
ü 定时搜索网络,管理所有已安装客户端组件的机器,并向客户端组件传递相关的设置和命令信息
ü 收集客户端组件的采集的数据,并将其保存到数据库中
ü 备份历史资料
ü 提供方便灵活的历史记录管理、归档、搜索、查看等功能
准入控制网关的基本功能包括:
ü 检测没有安装超陵终端准入控制系统客户端的主机,对其采取安全隔离措施,使其无法成功接入到内部网络中。
ü 通过网页重定向方式,指向服务端下载安装客户端。
ü 收集客户端组件的采集的数据,并将其保存到数据库中
六、超陵运行环境
安装客户端组件的计算机的基本要求:
Ø 操作系统Win2000/XP/2003/Vista/win7/win8
Ø Zui低配置Pentium 赛扬 /128MB 内存/10G 可用硬盘空间
Ø 建议配置Pentium III 500/256MB 内存/20GMB 可用硬盘空间
安装控制台组件的计算机的基本要求:
Ø 操作系统Win2000/XP/2003 /Vista/win7/win8
Ø Zui低配置Pentium III 500/256MB 内存/10GB 可用硬盘空间
Ø 建议配置Pentium Ⅳ 3.0/512MB 内存/50GB 可用硬盘空间
安装服务器端组件的计算机的基本要求:
Ø 操作系统Win2000/XP/2003/ Vista/win7/win8
Ø Zui低配置Pentium III 500/256MB 内存/10GB 可用硬盘空间
Ø 建议配置Pentium Ⅳ 3.0/512MB 内存/50GB 可用硬盘空间
根据客户端数量规模建议服务器端计算机配置:
网络规模
建议配置
50台以下
512M内存,CPU 2.0以上,高档PC
50-100台
1G内存,CPU 2.0以上,高档PC
100-200台
1G内存,CPU 3.0以上,PC服务器
200-500台
2G内存,CPU 3.0以上,PC服务器
500-1000台
4G内存,双CPU,CPU 3.0以上,PC服务器
1000台以上
4G内存,双CPU,CPU 3.0以上,高档PC服务器
注:
1、以上仅为参考值,具体应用时会有相应变动,大型网络需要实地调研后确定。
2、当上网PC较多时,PC服务器硬盘Zui好采用SCSI接口的高速硬盘。
3、对要求7X24小时运行的网络,可以外接2个以上互联网出口和采用集群技术来实现。