内网数据安全解决方案

内网数据安全解决方案（精选8篇）

篇1：内网数据安全解决方案

国土资源内网数据安全交换方式等问题探讨

2011-01-12 | 作者： 顾炳中 | 来源： 国土资源信息化 | 【大 中 小】【打

印】【关闭】

摘要：涉密网络与低密级网络隔离后，如何方便地实现数据的交换是各企业、政府等网络建设的首先面对的、也是网络安全领域一直在探索的问题。本文针对国土资源部网络安全的现状，重点对国土资源涉密内网、非涉密网的数据交换方式进行了探讨，在此基础上提出了处理政务外网与地方政务内网数据交换问题、密级标识和信息等级标识问题、隔离数据交换方式问题的基本策略。

关键词：网络隔离；数据交换；涉密内网；主干网；互联网

中图分类号：P23 文献标识码：A 文章编号：1674-3695-（2010）02-03-03

本文中“国土资源内网”指国土资源部各级管理部门内部办公局域网，主要包括国土资源部部机关内网、9个督察局办公内网、省（市、区）国土资源厅机关内网、部分部直属事业单位内部办公网。

鉴于国土资源信息的敏感性，上述“国土资源内网”（以下简称“内网”）不管是否涉密都应与互联网、国家政务外网进行严格的物理隔离，处理涉密信息的“内网”必须立即按照国家相关管理规定进行涉密改造。目前部机关“内网”已经通过相关管理部门的测评可以处理涉密信息，其他未按规定进行涉密改造的非密网“内网”都不得处理任何涉密信息。

“内网”与互联网实现严格的物理隔离后，内外网数据交换成为突出问题，影响了应用系统的有效部署，下文就如何进行内外网数据交换进行粗略探讨。

1涉密内网数据交换方式

首先涉密内网的任何数据交换方式都必须严格按照国家相关管理规定执行，必须有相关标准与文件依据。

1.1涉密内网与国土资源主干网之间的数据交换方式

国土资源部主干网（以下简称“主干网”）是实现部省两级业务数据交换的非涉密网络，与互联网物理隔离，主干网部级节点已经按国家等级保护三级要求进行了改造，并通过了系统测评，根据国家电子政务保密管理有关规定，可以与涉密内网通过符合相关管理部门规定的网络隔离交换设备进行双向数据交换，具体实施时要严格按相关管理规定执行，其要点有以下几方面：

（1)“涉密内网”已经通过国家相关管理部门测评，并建立具有严格边界控制的“秘密级”安全域作为数据交换域。

（2)“主干网”已按国家等级保护三级防护要求进行了防护，在接入端已经设立了数据交换安全域。

（3）在“涉密内网”数据交换域与主干网数据交换域之间装备符合国家相关管理部门要求的安全隔离与信息交换设备。

（4）在数据交换安全域边界安装相关安全审计设备，要求实现主体、客体、主客体关系的强访问控制与强安全审计。

（5）被交换的数据只能是非密信息，涉密信息不能交换。被交换“信息”主体要进行信息密级或信息等级标识，并实施严格的边界控制与审查。

1.2涉密内网与互联网之间的数据交换

涉密内网与互联网、及与互联网实现逻辑隔离的政务外网不能采用上述隔离交换方式进行数据交换。不能采用任何自形设计的“安全”技术路线变相联通，必须确保涉密内网与互联网的完全物理隔离。

按照相关主管理部门的规定，在符合一定条件前提下，“涉密内网”可以与进行互联进行单向数据交换，但实现难度大、环境建设要求高，除部机关在进一步完善安全防护措施后可能考虑此方案外，其他单位目前不宜考虑此种交换方式。

1.3“主干网”与互联网之间的数据交换

任何“主干网”接入单位，都不得将“主干网”与互联网、政务外网以及“实际上与互联网实现逻辑隔离”的“地方政务内网”进行任何物理联接，不能采用上述隔离交换方式进行数据交换。

1.4涉密终端数据导入与导出

对涉密终端，按国家相关管理要求配置终端管理软件与设备，通过配备的设备在终端导入非密信息。

对于非密信息的导出，首先应按相关管理要求制订数据导出管理规定，在实施过程中应注意：建立明确的责任机制，有严格的审查、审批程序，有严密的文件导出实现手段以及详细的审计记录。技术上要确保导出信息内容与审批内容的一致性，确保导出事件的可追踪，确保对异常导出预报的时效性，对于批量导出应由专人负责。

2非涉密内网数据交换方式

此处的“非涉密内网”是指与互联网、国家与地方政务外网进行严格物理隔离的各级国土资源主管理部门机关办公内网，与互联网逻辑隔离的内网不在本文讨论范围内。

首先非涉密内网尽应快按国家等级保护相关要求进行等级保护改造。

2.1“非涉密内网”与国土资源主干网之间的数据交换方式

（l）为保证国土资源管理信息系统的整体性安全，再次重复强调只有与互联网完全物理隔离的国土资源主管部门的非涉密内网才能与主干网进行数据交换。

（2）通过隔离信息交换方式与主干网进行交换须经过相关主管理部门的批准。

（3）在非涉密内网接入端应设立一个交换域。

（4）在非涉密内网数据交换域与主干网数据二域之间装备符合国家相关主管部门规定要求的安全隔离与信息交换设备。

（5）在数据交换安全域边界安装相关安全审计设备，要求实现主体、客体、主客体关系强访问控制安全审计。

（6）对于交换的数据只能是非密信息，被交换“信息”主体要进行信息等级标识，并实施严格的边界控制审查。

2.2非涉密内网与互联网之间的数据交换

非涉密内网与互联网、以及与互联实现逻辑隔离的政务外网不能采用上述隔离交换方式进行数据交。

2.3非涉密内网终端数据导入与导出

对终端机器数据的导入与导出，首先按国家相关安全管理要求建立数据导出导入管理规定，尤其要强化对移动介质的管理，在数据导入导出过程中应建立明确的责任机制，有严格的审查审批程序，构建严密的文件导出实现手段，并应有详细的审计记录。

3数据交换几个相关问题

3.1关于政务外网、地方政务内网

国家政务外网及以此向下延伸的地方政府政务外网，与互联网实现逻辑隔离，国土资源部各级管理“涉密内网”、与国土资源主干网进行数据隔离交换的“非涉密内网”都不能与其直接联接，也不能采用隔离交换设备进行网间数据交换。

部分地方国土资源管理部门的内部网络可能与“地方政府的政务内网”互联或进行隔离数据交换，这种情况下一定要明确“地方政府的政务内网”是否与互联网或国家政务外网完全物理隔离，如果是逻辑隔离，则不能与国土资源主干网实行隔离数据交换。

3.2密级标识、信息等级标识

目前国家密级标识、非密信息等级标识标准尚未发布，在现阶段可参考以下方法进行标识：

（l）确保信息标识与信息主体的不可分离性，不可更改性。

（2）对于关系性数据库中的信息，应进行记录级标识，但记录级标识不能替代信息主体中的不可分离标识。

（3）对于用于交换的数据包理论模型可参照下列示意模式：

jkjasdfijoiwaeoijka5sfjk3asfdj9l=

篇2：内网数据安全解决方案

内网安全性分析

军队网络具有非常完善的系统及复杂的网络环境；由于军事信息需要高度保密，其局域网与Internet物理隔离，单位间信息共享都必须经过严格的过滤及加密传输，移动存储设备管理并没有成为关注的重点。目前军队广泛采用移动U盘和移动硬盘进行数据交换，缺乏对移动存储设备的管理；随着军队与外部联系日益密切，这将给军队网络管理带来严重威胁和麻烦，这些途径传播快、危害大，而且有很强的隐蔽性和欺骗性；部署一套针对终端主机管理的产品则成为当务之急！

针对目前对终端主机管理的空白，福建伊时代信息有限公司开发出了针对终端主机管理的产品－防信息泄漏系统，并针对军队给出了基于终端主机管理的解决方案。

UTM政府网络安全解决方案

一、政府网络所面临的安全问题

信息网络技术的应用正日益普及和广泛，应用层次正在深入，应用领域从传统、小型业务系统逐渐向大型、关键业务系统扩展，典型的如行政部门业务系统、金融业务系统、企业商务系统等。伴随网络的普及，安全日益成为影响网络效能的重要问题，而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。

政府机构从事的行业性质是跟国家紧密联系的，所涉及信息可以说都带有机密性，所以其信息安全问题，如敏感信息的泄漏、黑客的侵扰、网络资源的非法使用以及计算机病毒等。都将对政府机构信息安全构成威胁。各级政府都将电子政务建设作为一项重要的工作，近几年我国的政务信息化得到很大发展，但是政府机构网络业面临着越来越多的安全挑战。

我国的安全产品大多为单一功能性产品，虽然能够解决一些局部性的安全问题，然而由于相互之间没有互操作性，缺乏统一调度、协同管理的途径，很难保证策略上的完整性和和行动上的一致性。各行其是、各管一方的局面不仅大大加重了管理人员的负担，最终也很难形成全面而有效的安全解决方案。

如何使信息网络系统不受黑客和工业间谍的入侵，如何阻止大规模的病毒爆发或者大流量的网络攻击，如何保障敏感信息以及数据交换的安全与机密，如何维持网络及对外服务窗口的持续稳定，已成为政府机构信息化健康发展所要考虑的重要事情之一。

部队跨涉密文档安全存储管理解决方案

一、部队涉密文档安全需求分析

根据《关于对军事综合信息网进行安全检测评估的请示》，涉密文档在不定期的安全保密检查过程中，突出有以下几个问题：

1.硬盘格式化带来的数据丢失；

2.巨大的工作，降低了IT安全部门的工作效率；

3.备份介质不安全，容易损坏、遗失，存在泄密隐患；

4.担心保密信息在网上泄露，将网络掐断，影响正常工作。

三、部队涉密文档安全存储系统解决方案

根据部队系统信息化建设具体需求，以网剑网络文件保险柜ETIM-NFCS构建部队网络数据集中安全保护系统，针对跨涉密文档进行保护。

1.个人文件数据的安全备份保护：在网络文件保险柜上设置相应的空间以及设置不同的权限，在个人办公电脑上，安装自动备份引擎，实现了数据的自动备份，防止个人数据因各种意外情况丢失。

2.涉密信息的集中存储保护：对集中存储的跨数据，身份认证，确保用户身份合法，杜绝黑客入侵；采用高强度数据传输加密技术，保证了会话不被窃听、窜改和伪造；对集中存储的数据进行加密处理，防止数据的非法破解；采用多级管理员制衡机制，屏蔽超级管理员权限。

3.部队系统数据信息的安全共享保护：提供了一种可控、安全、方便和快速的共享机制，确保数据只有指定的授权用户才能看到，并对共享数据的权限、时效控制。

篇3：浅谈内网数据安全

随着信息技术特别是网络技术的发展, 网络在工作中发挥着越来越重要的作用。目前, 大部分的企业或机关单位都组建了内部的局域网, 实现了资源共享, 在方便信息传递的同时, 极大的提高了工作效率。内网已成为企事业单位日常工作不可或缺的重要组成部分。

内网开放共享的特点, 使得分布在各台主机中的重要信息资源处于一种高风险的状态, 很容易受到来自系统内部和外部的非法访问。内网信息的安全问题越来越引起企业的重视。

一系列内网安全管理产品应运而生, 其共同特点为:采用密码技术、身份认证、文件加解密、安全策略、监控审计等技术, 实现对内网中用户、计算机和信息的安全管理, 达到有效的用户身份管理、计算机设备管理、数据安全保密存储和防止机密信息泄漏等目标。

二、信息泄密的途径

按照对电子信息的使用密级程度和传播方式的不同, 信息泄密的途径简单归纳为如下几方面:

◆由电磁波辐射泄漏泄密 (传导辐射、设备辐射等)

◆网络化造成的泄密 (网络拦截、黑客攻击、病毒木马等)

◆存储介质泄密 (维修、报废、丢失等)

◆内部工作人员泄密 (违反规章制度泄密、无意识泄密、故意泄密等)

◆传统防御手段的不足

三、实现内网数据安全管理需解决的问题

内网数据安全管理解决方案, 需要集数据的强安全保护、文件权限灵活可控、实时的文件备份、外发资料的访问控制、离线使用的安全保护、完善的日志管理和高适应的兼容性于一体。

数据强安全保护:电子文件在创建、存储、应用、传输等环节中均以加密形式存在, 杜绝使用黑客等工具的窃取, 即使窃取也无法使用。只有通过合法身份认证的用户才能够正常使用, 从而防止用户对机密文件的拷贝、复制粘贴、打印、传输等非法操作。

文件权限灵活可控:可以控制电子文件的访问权限, 对于设置了访问权限的文件, 企业员工只能在自己业务范围内, 并在有权限许可的情况下使用该文件, 且只具有相匹配的应用权限, 无法访问权限以外的机密文件。

实时的文件备份:实时的文件备份功能, 以便管理员在系统故障或者服务器崩溃的情况下, 能够保证企事业机密文件信息的安全备份, 并能够恢复, 使文件正常使用。所有上传到文件服务器上的文件都是加密存储。

外发资料的访问控制:对于需要对外交互的文件, 采用访问控制限制, 实现只有在指定的计算机中插入指定的认证工具才可访问, 且访问时间、次数、阅读权限均需要受到严格控制。

离线使用的安全保护:企事业员工出差办公时, 当用户离线时, 机密文件的使用也需要被严格控制。哪些文件离线可用, 哪些文件离线后不可使用, 以及使用的时间范围和访问权限, 均可得到到严格控制。

日志管理:记录客户端启动、关闭等行为, 同时对客户端所有关于文件的操作进行详细的记录, 包括:文件新建、打开、关闭、文件复制、重命名、删除、共享等行为。

兼容性:支持复杂的网络应用环境。支持多种操作系统。灵活与其他系统结合应用。与主流杀毒软件无冲突。

四、系统架构与技术实现

4.1 软件架构

系统由服务器端和客户端两大部分组成, 同时支持C/S和B/S两种组织结构, 如图1所示:

服务端主要由用户管理、密钥管理、文档流转管理、安全引擎等组成。其中用户管理主要负责用户身份的验证, 权限的分配和管理等;文档流转管理的主要功能是负责文档在单位内部不同部门之间的流转和单位内部与外部之间的流转工作, 在保证文档不影响用户交流的情况下, 为文档提供安全保障。如控制文档的浏览次数、使用时间, 拥有的权限等。密钥管理用于实现不同部门之间的密钥分配和交换等功能;安全策略管理用于设置和管理系统的安全策略以及为每个用户分配相应的安全策略等;安全引擎主要为服务器系统提供安全保障, 如验证安全系统模块的运行权限和条件等, 并提供对服务器端存储的文档进行加密/解密等多种安全相关的功能。

4.2 网络架构、文件加解密

内网数据安全网络架构应根据本企业实际网络情况, 将内外网进行隔离;对内网进行分区域、分业务隔离;对内网中流转的电子文件进行加解密保护。网络架构如图2所示:

电子文件采用集中加解密管理, 实现只有获得授权方可访问解读文件。文件加解密流程示意图如图3所示:

技术实现流程图如图4所示:

电子文件的加解密采用以下几方面技术实现:

●身份认证控制系统:采用 (硬件) 独一无二个人身份的USB智能密码钥匙和 (软件) 有正确密码才能登录计算机操作系统, 有效控制登录者的身份, 防止笔记本、U盘和硬盘丢失或被盗造成泄密。

●磁盘 (硬盘) 及文件格式加密系统:

⑴实时的、透明的磁盘加密, 所有写入磁盘的数据被高强度加密, 读出时自动解密, 加密的磁盘如被卸载或电脑关机时, 里面的文件就是一堆乱码。

⑵可对所有硬件硬盘、U盘任何存储设备及任意目录或文件进行加密使用。

防止笔记电脑、U盘丢失造成泄密, 防止间谍、黑客软件偷走信息。防止网络上传递文件泄密及保密的特殊文件泄漏。

●端口控制保护系统:强制的、透明的端口加密, 控制计算机所有端口, 可以 (关闭和开启) 计算机的一切向外连接设备。对外部拷贝提供加密功能 (不能拷贝、加密拷贝、正常拷贝) 。防止外部非法窃密和内部将文件或图纸拷出造成泄密。方便使用和管理。

●资源监控管理系统:提取终端机各类软件、硬件、系统及网络信息进行管理, 一旦资源发生变化, 系统提示报警, 以便管理人员随时监控和管理。防止内部私自改动电脑的配置, 换走相关配件。

●上网行为管理控制及跟踪审计系统:对内部上网行为的控制, 禁止QQ, 游戏, 下载, IP等流量报警阻断或运行。全电脑硬盘文件监控、上网行为检查和监控, 实时记录了解客户端每台计算机的所有操作工作情况等。

五、总结

篇4：内网数据安全解决方案

关键词：信息数据　安全　加密技术

当前形势下，检察系统内网进行信息数据的传递与交流主要面临着两个方面的信息安全影响：人为因素和非人为因素。其中人为因素是指：黑客、病毒、木马、电子欺骗等；非人为因素是指：不可抗力的自然灾害如火灾、电磁波干扰、或者是计算机硬件故障、部件损坏等。在诸多因素的制约下，如果不对信息数据进行必要的加密处理，在内网中传递的信息数据就可能泄露，被不法分子获得，损害国家和人民的利益，甚至造成重大安全危害。因此，信息数据的安全和加密在当前形势下是必不可少的，通过信息数据加密，信息数据有了安全保障，人们不必再顾忌涉密信息数据的泄露，能够放心地在内网上完成便捷的信息数据传递与交流。

1、信息数据安全与加密的必要外部条件

1.1计算机安全。每一个计算机网络用户都首先把自己的信息数据存储在计算机之中，然后，才进行相互之间的信息数据传递与交流，有效地保障其信息数据的安全必须以保证计算机的安全为前提，计算机安全主要有两个方面包括：计算机的硬件安全与计算机软件安全。1）计算机硬件安全技术。保持计算机正常的运转，定期检查是否出现硬件故障，并及时维修处理，在易损器件出现安全问题之前提前更换，保证计算机通电线路安全，提供备用供电系统，实时保持线路畅通。2）计算机软件安全技术。首先，必须有安全可靠的操作系统。作为计算机工作的平台，操作系统必须具有访问控制、安全内核等安全功能，能够随时为计算机新加入软件进行检测。

1.2通信安全。通信安全是信息数据的传输的基本条件，当传输信息数据的通信线路存在安全隐患时，信息数据就不可能安全的传递到指定地点。尽管随着科学技术的逐步改进，计算机通信网络得到了进一步完善和改进，但是，信息数据仍旧要求有一个安全的通信环境。主要通过以下技术实现。1）信息加密技术。这是保障信息安全的最基本、最重要、最核心的技术措施。我们一般通过各种各样的加密算法来进行具体的信息数据加密，保护信息数据的安全通信。2）信息确认技术。为有效防止信息被非法伪造、篡改和假冒，我们限定信息的共享范围，就是信息确认技术。通过该技术，发信者无法抵赖自己发出的消息；合法的接收者可以验证他收到的消息是否真实；除合法发信者外，别人无法伪造消息。3）访问控制技术。该技术只允许用户对基本信息库的访问，禁止用户随意的或者是带有目的性的删除、修改或拷贝信息文件。与此同时，系统管理员能够利用这一技术实时观察用户在网络中的活动，有效的防止黑客的入侵。

2、信息数据的安全与加密技术

随着计算机网络化程度逐步提高，人们对信息数据传递与交流提出了更高的安全要求，信息数据的安全与加密技术应运而生。然而，传统的安全理念认为网络内部是完全可信任，只有网外不可信任，导致了在信息数据安全主要以防火墙、入侵检测为主，忽视了信息数据加密在网络内部的重要性。以下介绍信息数据的安全与加密技术。

2.1存储加密技术和传输加密技术。存储加密技术分为密文存储和存取控制两种，其主要目的是防止在信息数据存储过程中信息数据泄露。密文存储主要通过加密算法转换、加密模块、附加密码加密等方法实现；存取控制则通过审查和限制用户资格、权限，辨别用户的合法性，预防合法用户越权存取信息数据以及非法用户存取信息数据。

传输加密技术分为线路加密和端-端加密两种，其主要目的是对传输中的信息数据流进行加密。线路加密主要通过对各线路采用不同的加密密钥进行线路加密，不考虑信源与信宿的信息安全保护。端-端加密是信息由发送者端自动加密，并进入TCP/IP信息数据包，然后作为不可阅读和不可识别的信息数据穿过互联网，这些信息一旦到达目的地，将被自动重组、解密，成为可读信息数据。

2.2密钥管理加密技术和确认加密技术。密钥管理加密技术是为了信息数据使用的方便，信息数据加密在许多场合集中表现为密钥的应用，因此密钥往往是保密与窃密的主要对象。密钥的媒体有：磁卡、磁带、磁盘、半导体存储器等。网络信息确认加密技术通过严格限定信息的共享范围来防止信息被非法伪造、篡改和假冒。一个安全的信息确认方案应该能使：合法的接收者能够验证他收到的消息是否真实；发信者无法抵赖自己发出的消息；除合法发信者外，别人无法伪造消息；发生争执时可由第三人仲裁。按照其具体目的，信息确认系统可分为消息确认、身份确认和数字签名。

2.3消息摘要和完整性鉴别技术。消息摘要是一个惟一对应一个消息或文本的值，由一个单向Hash加密函数对消息作用而产生。信息发送者使用自己的私有密钥加密摘要，也叫做消息的数字签名。消息摘要的接受者能够通过密钥解密确定消息发送者，当消息在途中被改变时，接收者通过对比分析消息新产生的摘要与原摘要的不同，就能够发现消息是否中途被改变。所以说，消息摘要保证了消息的完整性。

3、结束语

综上所述，信息数据的安全与加密技术，是保障当前形势下我们安全传递与交流信息的基本技术，对信息安全至关重要。希望通过本文的研究，能够抛砖引玉，引起国内外专家的重视，投入更多的精力以及更多的财力、物力来研究信息数据安全与加密技术，以便更好的保障每一个网络使用者的信息安全。

参考文献：

[1]曾莉红.基于网络的信息包装与信息数据加密[J].包装工程，2007（08）.

[2]华硕升级光盘加密技术[J].消费电子商讯，2009（11）.

[3]俞评.态度决定安全强度[J].观察与思考，2004（24）.

篇5：内网数据安全解决方案

来自：杭州集控

本文分析了现阶段我国制造行业内网安全的现状和需求，提出建立“以计算机安全防护为基础，以数据泄漏防护DLP为核心，以桌面运维、监控审计、接入控制为辅助，以管理制度为约束”的综合内网安全管理体系，并且对市场上的主流内网产品进行了分析。

1.制造业信息安全现状

近年来我国制造行业信息化发展迅速，大型制造业的网络和各类ERP系统信息化应用系统建设完善，其网络规模较大，信息化程度较高，安全建设相对完善，多数大型制造企业具有网络安全防护体系、计算机防病毒等体系，企业的信息化已经从“建设期”逐渐转入到“维护管理期”；我国制造业中，中小企业居多，在中小企业里，受多种条件限制，信息管理与信息安全没有建设到一个成熟的阶段，相当的一部分企业没有安全规划。在制造企业通过信息化“建设期”的投入逐渐转化为企业真正生产力的同时，对于企业内部网络的维护管理工作显得尤为重要，而首当其冲的就是内网安全管理问题。

2.制造业内网安全需求

经过对制造业信息系统的调研，制造企业最重要的信息资产是企业数字知识产权和企业商业信息，企业数字知识产权包括产品资料、设计文档、图纸、配方、源代码等，企业商业信息包括客户资料、项目资料、招投标文档等。企业数字知识产权和企业商业信息多数以文件形式存在，这些文件一部分集中存储在文件服务器上，更多的是广泛分布在员工的终端计算机上，这些重要数据分散保存，大多数制造企业针对员工的计算机没有统一有效的进行管理，企业重要数据的安全得不到保障，员工对电脑的滥用和对重要数据的泄密途径相当之多，公司内部核心数据被泄密的风险越来越大，必须采用信息安全防护技术手段，结合管理制度，对企业的重要数据实现有效的保护。

计算机病毒防护体系也是内网安全建设必备的内容。包括主机防病毒、主机防火墙、防木马、反间谍软件等，目前大多数的制造企业，都具建设有计算机病毒防护体系，也有很多小型制造业采用个人版杀毒软件，作为计算机病毒防护的措施。

对于地域广泛，计算机分散的大中型制造业，桌面运维也是一种普遍需求，桌面运维作为IT人员的助手，将手工的工作实现自动化，例如软件分发、远程协助等，提高工作效率。

由此可以总结出制造业内网安全的普遍需求：计算机安全防护是基础的需求，数据泄漏防护为核心的需求，桌面运维管理也是常见的需求。通过对制造业内网安全。

“防内胜于防外，技术管理并重，数据安全优先”是本文对制造业内网安全建设的思想，建立“以计算机安全防护为基础，以数据泄漏防护为核心，以桌面运维管理、主机监控审计、网络接入控制为辅助，以管理制度为约束”的综合内网安全管理体系。

1)数据泄漏防护（DLP）建设

数据泄露防护(Data leakage prevention,DLP)，是通过一定的技术手段，防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业。制造企业建设数据泄露防护的价值是既可以防止内部无意的泄密，又能够防止外部入侵的窃密，特别是防止内部员工故意泄密造成损失。

通过数据加密、权限控制来保证数据安全，防止泄密，已经成为国内外DLP厂商的共识，而且也是当前最有效的解决办法，并得到了众多用户的认可。目前市场上主流的数据泄漏防护产品对明文数据的防护，以数据加密、权限控制为主，功能包括：文件透明加解密、文件权限控制、文件授权管理、文件外发管理、文件操作审计等，对加密后的密文保护，也会结合访问控制、身份认证、日志审计、文档备份、系统容灾、业务流程审批、移动设备保护等多种手段进行管理，严密防止内部泄密和外部窃密。

2)计算机安全防护建设

制造企业建立计算机安全防护的价值是通过终端防护，防止外界对终端的入侵，确保终端及网络的可用性，同时也防止入侵造成信息资产外泄或受损。计算机安全防护是内网安全最基础的防护，其功能以主机防病毒和主机防火墙为核心实现安全防护，包括防病毒、防木马、主机防火墙、主机入侵防护、防ARP欺骗、反间谍软件等。

3)桌面运维管理建设

制造企业建设桌面运维的价值是通过自动化的方式，提高IT人员工作效率，节约成本，规范管理。桌面运维是网管产品在桌面的延伸，作为IT人员的工具，将以前手工的工作实现自动化，特别是针对地域广泛，计算机分散的大中型制造业，桌面运维的重要性更加明显，可以显著提高效率、节约成本。桌面运维的功能包括软件分发、补丁分发、远程协助、资产管理、消息群发等。

4)主机监控审计建设

制造企业建设主机监控审计的价值是对员工的操作进行合规控制、行为审计、违规报警，做到事前可控，事后可查，可追究责任。主机监控审计是管理终端上操作用户的活动，确保用户的活动符合法律法规和规章制度。基本功能包括文件操作控制及审计、主机外设接口控制及审计、网络访问控制及审计、打印控制及审计、移动存储管理及审计等。

5)网络准入控制建设

网络准入控制实现只有身份认证通过，且通过健康检查的计算机才能够接入网络，一般只有大中型制造企业有该需求。身份认证检测接入计算机的用户名、口令、IP、MAC等，健康检查检测的接入计算机的病毒软件、补丁状况，对不合格的计算机隔离修复。

6)内网管理制度建设

安全具有“三分技术，七分管理”的理念，对内网安全的制度建设和人员培训也是内网管理的重点。制造企业千差万别，各企业受信息化进程，行业性质，企业规模等诸多要素影响，在安全管理制度的要点可能并不相同，但人员培训、制度规章等都具有一定的共性。

3.国内外主流内网安全产品分析

目前，国内外的内网安全产品种类非常多，且各有特色，本文阐述了针对制造业的内网安全建设方案，下面将结合制造业的需求，对市场上主流的内网安全产品进行评估分析。

1)国外的内网安全与DLP产品

根据近两年的赛迪报告《中国信息安全产品市场研究报告》，在我国终端安全市场占有率排名第一的是美国Symantec公司的SEP产品，SEP产品集成病毒防护、主机防火墙、主机入侵防御、网络准入、DLP等功能为一体，成为终端市场占有率第一的品牌，但是国外DLP产品的设计并不以防止内部故意泄密为主，不能满足制造业内网安全管理中数据泄漏防护的需求。当前，数据泄露防护是当前制造业内网安全最重要的问题。而基于不同的法律环境、文化理念，国外数据泄露防护DLP与国内DLP要解决的具体问题是不同的。区别在于，国外DLP以防外部窃密和内部无意泄密，国外DLP产品（如Mcafee、Symantec）以数据加密、内容识别、出口检测、涉密信息警告和日志审计为主的数据泄露防护(DLP)能够做到的是防止外部网络黑客窃密，设备丢失泄密，或者是防止内部无意间泄密，但是对于那些处心积虑想盗窃内部重要数据信息的内部人员，是无法防止的，也无法进行有效审计。这源于西方发达国家的文化，对自己内部员工作为数据使用者本身是信任的，也不能对内部员工进行内容审计，会侵犯隐私权甚至触犯法律。国内DLP以防止内部故意泄密为主，兼防内部无意泄密、设备丢失泄密、外部入侵窃密。

2)国产的内网安全与DLP产品

国产的内网安全产品以中软公司、北信源公司、亿赛通等公司为代表，各自有专注的特长和优势，国内的产品专注于内网安全和DLP，一般不具有主机防病毒、主机入侵防护等杀毒软件的功能。以中软公司的统一终端安全管理产品为代表的综合内网安全产品，中软内网安全产品是国内最早的内网安全产品，至今有10年发展历史，集成了数据泄漏防护、终端安全管理、主机监控审计、桌面运维管理、网络准入控制等功能，中软产品是内网安全产品中功能“大而全”的代表，其功能设计包含了制造业、军工、军队、政府等各行各业的需求，能够很好的满足制造业内网安全管理的要求。

以北信源公司的VRVSpecSEC终端安全管理体系为代表的产品，该类产品以桌面运维和终端安全为其特长，北信源产品并曾经被赛迪报告评为我国终端安全市场占有率排名第二，但曾经缺乏数据泄漏防护DLP产品线，2010年北信源发布了数据装甲和电子文档安全管理系统，使其产品线拥有了DLP，能够满足制造业内网安全管理的要求。

以亿赛通公司为代表的专注于数据泄漏防护DLP的产品，该类产品专注于DLP，在以DLP为核心的基础上，逐渐扩展终端安全、网络准入、桌面运维等功能，以亿赛通为代表的国内DLP产品也能够满足制造业内网安全管理的要求。

总之，在制造业信息化快速发展的今天，制造企业千差万别，ERP系统信息安全建设各有千秋，笔者建议，在制造业内安全建设中，以数据泄漏防护满足信息资产保护的需求，以桌面运维满足自动化管理的需求，以计算机安全防护满足对终端保护的需求，以主机监控审计满足用户操作合规的需求，以网络准入控制满足终端接入管理的需求，以安全管理制度满足人员管理的需求，建立适合制造企业自身的内网安全管理体系。

篇6：内网数据安全解决方案

【用户特征】

存在大量设计文件、勘测数据等价值信息需要重点保护，特别是勘测数据已纳入国防战略信息范围，需要重点防护;

为客户提交的设计文件比较大，且设计院各个专业部门的编辑软件专业性强，数量非常多;

院内信息系统采取了一些安全措施并建立了一定的安全管理制度，专业设计部门网络与Internet隔离，敏感数据交换有专人负责;

设计文档本身就是产品，销售给用户后需要对文件的流转进行使用控制。

【需求分析】

从设计院所的人员构成、业务流程和数据的流转特征等方面分析，设计院内网安全体系建设需要重点关注以下几方面的需求：

1、 数据外带的控制。作为竞争性智力产品，设计院形成的设计图纸和相关文档重点关注的是文件在客户、合作伙伴流转过程中如何实现有效的访问权限控制并杜绝恶意的成果剽窃行为，

2、 计算机登录认证控制、服务器访问授权;设计院所有共享设计素材和设计成果，统一保存在共享服务器，需要对服务器访问授权进行统一安全管理。

3、 计算机大容量专业数据文件的存储保密。保存在服务器和各个设计人员终端上的设计文件，需要进行统一加密处理并设定分级访问权限。

4、 内部数据传输的保密。考虑到设计人员移动远程接入的需要，为防止数据监听等泄密行为，需要对数据传输通道进行保密处理。

【Chinasec的解决之道】

设计院所内网安全的体系建设，需要突出重点，切实关注文件外带保密需求，充分考虑敏感性数据面临的各种主动泄密和被动泄密风险。同时，应充分考虑系统对设计人员的业务影响范围，尽可能降低安全行为带来的系统性能损耗和应用约束，在安全性和可用性之间保持合理的平衡。

Chinasec提供的整体解决方案，重点实现以下功能：

用户使用硬件令牌登录计算机，令牌中内置数字证书，实现双因素认证。内网服务器通过安全网关进行保护，只有授权用户才能访问;

计算机硬盘中存储数据加密，对用户操作透明，防止硬盘数据丢失引起数据加密;

内部数据传输途径主要为网络和移动存储设备，网络根据安全等级划分为不同的安全等级，同等级间能够正常通讯，不同等级间只有授权才能访问，同时网络中数据加密，防止非法计算机访问;

移动存储设备管理，对移动存储设备进行授权管理，可授权为只读、加密、读写、禁用属性;

对于外带文件授权进行控制，文件采用加密格式，只有使用令牌或者授权口令才能打开，文件可以控制文件使用时间、打开次数、编辑等权限。

篇7：【内网安全】堡垒机防统方方案

方案综述

极地数据内控堡垒机，是国内知名的内网安全厂商极地安全，针对医药行业“防统方”现实需求，基于当前国际上最前沿主流的内网信息系统后台高端保护技术——堡垒机技术，而研发的全面“防统方”解决方案。

该方案立足于智能主动、全程管控的“防统方”理念，通过事前的堡垒机集中账号和访问通道管控，事中的单点登录、统一授权和访问控制，事后的数据走向与行为审计等功能，具备在服务器及后台数据库的核心设备层面的数据保护、智能拦截和行为审计，实现了真正意义上的智能管控和深度审计“防统方”的目的。

通过极地数据内控堡垒机“防统方”解决方案（以下简称：“防统方”堡垒机），能够有效地防止和精确审计医院系统内外的各种有权限访问内部各个核心系统的人员的统方操作，包括：医院HIS系统使用者管理者、医院信息设备管理者、外部技术维护人员，以及外部黑客等。

极地“防统方”堡垒机的核心价值在于：(1)治本：从根源解决“防统方”难题。(2)全程：融预警变事后追查为主动防御。(3)高效：产品便捷操作，智能防御和深度审计。

(4)整体：产品方案高屋建瓴，不光针对防统方问题，同时对整个医院内网信息系统核心数据设备，构建了高效率运维支撑和高强度安全保障的信息安全体系。

医院面临的“防统方”困境

困境一：“统方”途径多，堵漏难度大

目前，卫生行业信息系统均采用专网互联，并采用了防火墙、杀毒软件等基本的安全防护软件，但仍然存在众多安全威胁和监管漏洞，导致非法“统方”行为的发生。一般而言，现在医院统方途径主要有四大方面，简单分析如下：

非法“统方”。

第四，黑客入侵医疗系统非法“统方”。在高额利益的驱使下，当前黑客窃取“统方”数据的问题已不容忽视。总结黑客的手段无外乎以下三种：1）利用HIS等医疗系统的Web漏洞入侵数据库；2）利用数据库漏洞直接入侵数据库；3）入侵数据库服务器主机直接窃取数据库文件、备份文件等。

综上所述，以上四大途径，除了HIS系统途径相对容易防范，且技术管理架构清晰之外，其他三个途径，都是需要从根本体系上进行信息安全保障建设才能彻底堵住漏洞，自然，目前应用较广泛的数据库审计软件等手段，难以起到根本的作用。

困境二：政策“防统方”缺乏技术手段支撑

2010年6月21日颁发的《卫生部关于进一步深化治理医药购销领域商业贿赂工作的通知》中明确指出，“要对医院各个部门通过计算机网络查询医院信息的权限实行分级管理，对医院信息系统中有关药品、高值耗材使用等信息实行专人负责、加密管理，严格统方权限和审批程序，未经批准不得统方，严禁为商业目的统方。”

福建省卫生厅近日发出《关于加强医院信息系统管理的通知》，凡是有可能涉及对药品、医用耗材用量按医生进行查询统计的模块或软件应予以卸除，并且要对信息系统中的药品相关信息查询功能模块进行清理，删除一般科室功能模块中药品信息查询统计程序。不得授权其他科室和个人查询医生用药情况。

但在以上国家政策和地方政策颁布下，由于缺乏具体的技术手段作支撑，现实中的统方事件仍然不断发生：

2005-2008年海宁某医院信息科信息管理员王力，通过医生用药数据库中的药品及医疗设备的采购资料、医生用药量等信息资料，向药品经销商沈某、方某等人出售“统方”信息，共获得14万元。

2008-2010年1月杭州某医院计算机网络中心副主任金某与职员林某，向药品销售商李某等人出售“统方”信息，共获得13万元。

2011年9月，黑客多次潜入福州多家三甲医院，接入内网窃取医院的用药信息，然后高价卖出，累计获利上百万元。

„„

困境三：单纯审计手段无法防止非法“统方”

当前部分省市医院采用审计软件“防统方”，却面临3大致命缺陷：

概念

极地安全的数据内控堡垒机是一种被加固的可以防御进攻的计算机，具备坚强的安全防护能力。极地安全数据内控堡垒机扮演着看门者的职责，所有对网络设备和服务器的请求都要从这扇大门经过。因此极地安全数据内控堡垒机能够拦截非法访问和恶意攻击，对不合法命令进行阻断、过滤掉所有对目标设备的非法访问行为。

极地安全数据内控堡垒机具备强大的输入输出审计功能，不仅能够详细记录用户操作的每一条指令，而且能够将所有的输出信息全部记录下来；具备审计回放功能，能够模拟用户的在线操作过程，丰富和完善了网络的内控审计功能。极地安全数据内控堡垒机能够在自身记录审计信息的同时在外部某台计算机上做存储备份，可以极大增强审计信息的安全性，保证审计人员有据可查。

极地安全数据内控堡垒机还具备图形终端操作的审计功能，能够对多平台的多种图形终端操作做审计，例如Windows平台的RDP方式图形终端操作，Linux/Unix平台的X11方式图形终端操作。

为了给系统管理员查看审计信息提供方便性，极地安全数据内控堡垒机提供了审计查看检索功能。系统管理员可以通过多种查询条件查看审计信息。

总之，极地安全数据内控堡垒机能够极大的保护单位内部网络设备及服务器资源的安全性，确保各种服务器数据的安全保密、管理控制和操作审计，最终确保数据安全，全面而彻底地解决了目前医院防统方的难题和困境（详见上文）。

（二）极地数据内控堡垒机1）高成熟性和安全性。

极地安全数据内控堡垒机脱胎于国内最早的4A项目：黑龙江移动运维支撑平台集中身份和认证管理系统。并在中国移动的全国范围做了多年的部署实施，对于内网系统和数据安全的实际需求满足充分。在运营商行业有长达6年的使用实践，最多管理省级运维网络高达3000多台设备，性能卓越。

堡垒机代为记忆了账号和密码，还可以大提高操作人员的工作效率，并能证明操作人员的合规操作，所以也受到操作人员的欢迎。系统的开发研制中，我们尽量采用成熟的先进技术，对系统的关键技术在前期的工作中进行了大量实验和攻关及原型建立，在已开发并经广泛测试的产品中，上述的关键技术问题已解决。而且，选取的硬件平台和软件平台，是具有良好的技术支持和发展前途的成熟产品。

系统运用了先进的加密、过滤、备份、数字签名与身份认证、权限管理等安全手段，建立健全的系统安全机制，保证了用户的合法性和数据不被非法盗取，从而保证产品的安全性。

2）良好的可扩展性。

极地安全数据内控堡垒机产品从4A解决方案中抽象出来，提供最便捷的4A项目集成方案。在程序结构上充分考虑到4A项目和非4A项目的使用场景，以先进的体系结构，清晰合理的模块划分实现多种用户场景的适用性。在4A项目中，极地安全数据内控堡垒机放弃账号、认证、授权的集中管理，只提供执行单元，完成访问控制和操作审计功能；在非4A项目中极地安全将4A的一些理念融合到数据内控堡垒机产品中，除提供基础的访问控制和操作审计功能外，还提供精简的账号、认证、授权集中管理功能。

3）全面的信息系统和数据监控及访问控制功能。

极地数据内控堡垒机除了对服务器和数据库的监控，还能控制和管理交换换机、路由器，防止假冒网络地址的窃取行为。在日常运行中，堡垒机能够提供细粒度的智能访问控制，最大限度保护用户资源的安全。细粒度的命令策略是命令的集合，可以是一组可执行命令，也可以是一组非可执行的命令，该命令集合用来分配给具体的用户，来限制其系统行为，管理员会根据其自身的角色为其指定相应的控制策略来限定用户。

4）智能而强大的审计功能。

极地数据内控堡垒机监控的都是人工操作，也就是所以非正常操作都被监控，不会有冗余的无效日志（数据库审计的冗余日志多大每天几万条）。同时，极地数据内控堡垒机精确记录用户操作时间。审计结果支持多种展现方式，让操作得以完整还原。审计结果可以录像回放，支持调节播放速度，并且回放过程中支持前后拖拽，方便快速定位问题操作。方便的审计查询功能，能够一次查询多条指令。

2）引入4A管理理念

极地数据内控堡垒机采用4A的管理理念，圆满地解决用户现在面临的种种运维问题。

如图，IT运维管理由账号管理、认证管理、授权管理、操作管理组成：

帐号管理，需要在各系统上为新用户建立帐号、为已有用户修改帐号、为离职用户删除帐号。

认证管理，要保证各系统不被越权访问，那么就必须做好认证管理，为系统帐号定义密码、定期要求帐号密码修改、控制密码强度等等。

授权管理，授权过程其实就是把各系统上建立的帐号分配给操作人员的过程，管理员要定义帐号的权限，然后做帐号分配，根据用户置位调整做相应的帐号权限修改。

操作审计，管理员要定期做服务器的巡检，分析各系统上的日志，查看是否有越权访问，查看是否有误操作，如果有事故还需要根据日志进行故障排查和事故追踪。

以上也就是4A管理，极地数据内控堡垒机融合统一用户账号管理、统一认证管理、统一授权管理和统一安全审计四要素，并且涵盖单点登录（SSO）等安全功能，既能够为客户提供功能完善的、高安全级别的4A管理，也能够为用户提供符合萨班斯法案（SOX）要求的内控报表。

3）SSO单点登录

极地安全数据内控堡垒机提供了基于B/S的单点登录系统，用户通过访问WEB页面一次登录系统后，就可以无需认证的访问被授权的多种基于B/S和C/S的应用系统。单点登录为具有多账号的用户提供了方便快捷的访问途经，使用户无需记忆多种登录用户ID和口令。它通过向用户和客户提供对其个性化资源的快捷访问提高工作效率。同时，由于系统自身是采用强认证的系统，从而提高了用户认证环节的安全性。

5）集中身份认证

用户提供统一的认证接口。采用统一的认证接口不但便于对用户认证的管理，而且能够采用更加安全的认证模式，提高认证的安全性和可靠性。

集中身份认证支持电子证书、Windows AD域、Windows Kerberos、双因素、动态口令和生物特征识别等多种认证方式，而且系统具有灵活的定制接口，可以方便的与第三方LDAP认证服务器对接。

6）统一资源授权

极地数据内控堡垒机提供统一的界面，对用户、角色及行为和资源进行授权，以达到对权限的细粒度控制，最大限度保护用户资源的安全。通过集中访问授权和访问控制可以对用户通过B/S、C/S对服务器主机、网络设备的访问进行审计和阻断。

在集中访问授权里强调的“集中”是逻辑上的集中，而不是物理上的集中。即在各网络设备、服务器主机系统中可能拥有各自的权限管理功能，运维人员也由各自的归口管理部门委派，这些运维人员可以通过数据内控堡垒机对各自的管理对象进行授权，而不需要进入每一个被管理对象才能授权。授权的对象包括用户、用户角色、资源和用户行为。系统不但能够实现授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权，对某些应用还可以实现限制用户的操作，以及在什么时间、什么地点进行操作等的细粒度授权。

7）细粒度访问控制

够提供细粒度的访问控制，最大限度保护用户资源的安全。细粒度的命令策略是命令的集

支持对命令发生时间进行查询。

可以通过对命令发生的时间进行查询，可以查询到特定时间段服务器上发生过的所有行为。支持对命令名称进行查询

通过查询特定命令如ls，可以查询到使用过该命令的所有用户及其使用的时间等。支持上述六个查询条件的任意组合查询。如，可以查询“谁（用户名）”“什么时间登录（登录时间）”服务器并在“什么时间（命令发生时间）”在“服务器（目标服务器）”上执行过“什么操作（命令）”。

支持对日志的备份操作处理。支持对日志的删除处理。

篇8：内网数据安全解决方案

厦门广播电视集团作为中国文化体制改革试点单位之一, 它整合了厦门电视台、厦门人民广播电台等十四家广电事业单位和企业单位, 实行国有事业体制, 下设四个职能部门、五个业务中心和八家经营实体, 是拥有广播、电视、传输网络、互联网站、报刊出版和节目制作、广告经营、物业管理等的综合性传媒集团。集团组建完成后, 集团局域网的规模迅速扩大, 网络结构也越来越复杂, 内部办公网络运行了越来越多的业务系统, 集团办公和节目制作对网络的信赖性越来越强。然而, 当今的各种网络病毒和木马程序无孔不入, 各种人为的误操作和恶意攻击也时有发生, 内网安全的形势显得尤为严峻, 原来的内网管理模式根本不能适应新的工作要求, 因此我们重新确定了内网安全管理的目标, 确立了新的内网安全管理模式。

内网安全管理新的目标是更好地保证集团计算机局域网的安全和快速运行, 确保集团内部各种业务系统的正常运转, 给集团广播电视的安全播出提供一个可靠、快速、稳定的网络环境。基于这个新目标, 厦门广电集团对计算机局域网实施了一系列的内网安全管理解决方案, 着重解决了以下几个问题:

(1) 重点保护核心业务;

(2) 集中管理网络设备;

(3) 快速排查网络故障;

(4) 统一管理IP地址资源;

(5) 防止病毒、木马在局域网内传播;

(6) 阻止垃圾邮件泛滥;

(7) 保护网络资源, 防止非法访问;

(8) 保护网络安全, 防止非法接入;

(9) 对计算机实现规范化管理。

2 内网安全措施

为了能够实现内网安全管理这个全新的目标, 我们对集团网络实施了多方面、多层次的解决方案, 主要有:

(1) 按照集团的管理框架, 根据集团不同的业务部门或公司划成了不同的虚拟网 (Vlan) 。通过划分虚拟网, 可以把广播限制在各个虚拟网的范围内, 从而减少整个网络范围内广播包的传输, 提高了网络的传输效率, 同时, 由于各虚拟网之间不能直接进行通讯, 而必须通过路由器转发, 为高级的安全控制提供了可能, 增强了网络的安全性, 也给管理带来了极大的方便性。特别是核心业务和重要部门根据安全的需要划成了不同的虚拟网, 采用完全隔离或者相对隔离的措施, 保证了核心业务和重要部门的安全性。

(2) 对集团网络的物理线路进行规范化整理。按照区域、楼层、配线间、房间、具体位置规范化管理编号的原则, 把所有的网络线路重新编号, 套上清晰美观的线标, 购买了新的理线架, 对配线间的跳线重新进行整理, 把所有不可网管的交换机更换为可网管的交换机, 同时自行开发了一套集团网络基础数据管理平台, 对交换机、配线架、电脑等设备的物理配置、存放的具体位置以及电脑的软件系统和系统配置等基础数据进行详细的登记, 同时还对IP地址进行统一管理, 把电脑的IP地址、MAC地址、使用人和各种基础数据进行关联, 当网络或者电脑发生故障时, 网管们能够通过基础数据管理系统实现快速定位、快速排查故障, 极大地提高了网管们解决故障的工作效率。

(3) 部署桌面安全管理系统。我们部署了一套桌面安全策略管理系统, 这是一个面向IT领域建设的专业安全解决方案。它采用集成化网络安全防卫体系, 通过多种技术手段的融合帮助我们有效达成在物理访问、链路传输、操作系统、业务应用、数据保护、网间访问和人员管理等方面的安全策略制定、自动分发和自动实现, 减小客户为保障安全需要付出的高额管理控制成本, 在为每一个终端用户提供透明但高度个性化安全保证的前提下, 真正提高组织的动作效率和管理水平。该安全策略管理系统的运行机制如图1所示。

它能运行在Windows 9X、Windows 2000、Windows XP、Windows 2003系统平台之上, 它主要的功能有:

(1) 保护

a) 访问控制保护

b) 文件系统保护

c) 应用程序保护

d) IP地址绑定

e) MAC绑定

f) 主机绑定

g) 设备访问限制

h) 注册表保护

(2) 检测、过滤

a) 非法IP检测

b) WEB过滤

c) 黑白名单过滤

d) 关键字过滤

(3) 监控

a) 系统资源监控

b) 设备监控

c) 系统服务监控

d) 文件系统监控

e) 打印监控

f) 服务器监控

(4) 部署了一套防病毒系统。病毒、木马、流氓软件一直是困扰我们的一大难题, 因此我们部署了一套防病毒系统。该防毒系统内嵌病毒扫描和清除、个人防火墙、安全风险检测与删除, 同时, 它作为国际知名的防病毒软件, 在病毒查杀方面一直表现良好, 可以检测、隔离、删除和消除或修复间谍软件、广告软件、拨号程序、黑客工具、玩笑程序等多种安全风险造成的负面影响。但是由于防毒软件的功能众多, 系统资源占用较多, 对系统的性能造成了一定的影响, 一部分配置较低的计算机, 装上防病毒软件之后, 运行速度明显变慢。为了解决这个问题, 我们淘汰了一部分旧机器, 也对一部分还在使用的旧机器扩充内存条使其速度明显提高。更为重要的是, 通过防毒系统中心控制台可以集中管理客户端, 统一部署防护策略、病毒码定义更新策略等, 集中查看客户端病毒码更新情况、病毒分布情况、病毒种类及查杀情况, 可以控制客户端集中或单独清除病毒。另外, 还可以通过病毒隔离区控制台, 追踪病毒传播情况, 快速找到病毒源, 在第一时间对中毒的电脑进行有效的杀毒和隔离。

(5) 部署网络管理系统。随着网络规模的扩大, 交换机、服务器的数量也逐渐增多, 如何管理监控重点设备、服务器的运行情况, 不是一件容易的事.为此我们部署了一套网络管理系统, 它可对网络、系统以及应用进行全面的监视。它提供了完整的故障管理和性能管理功能, 采用可扩展的3层架构, 并绑定了MySQL数据库, 它能自动发现网络, 主动监视网络、系统和服务器, 并将关键参数保存在数据库中。通过综合控制台可实现对路由器、交换机、服务器、URL、UPS、无线设备以及打印机等性能的监视, 不仅提供了网络设备的多种视图, 而且将收集的信息以丰富的图、报表形式呈现给操作者。

网络管理系统主要的功能模块有:

(1) 网络组件。网络管理系统能为网络中的路由器、交换机以及其它组件提供实时的状态显示。它不断地监视网络设备的状态和可用性, 包括交换机的端口、路由器的接口等, 定期的收集性能数据, 生成有关这些重要设备的使用状况的报表。

(2) 服务器与工作站。网络管理系统把设备分为服务器和桌面机, 这样有利于将重要的服务器与普通的终端用户工作站区分开, 从而提供更有效的管理。

(3) 应用与服务。网络管理系统可发现运行在网络上的服务和应用, 并对它们进行主动的监视。

(4) 故障管理。网络管理系统通过周期地状态轮询来侦测网络故障, 并将故障生成为颜色化的警告。同时也可以配置通知动作, 以便在侦测到故障时及时通知管理员。

(5) 性能管理。网络管理系统通过定期地收集数据来测量网络硬件和软件的性能, 如:带宽、CPU、内存以及磁盘的使用率, 服务的响应时间等, 并把这些数据以图形、报表的形式提供给管理者。同时, 你还可以设定阈值来对设备上的关键参数进行主动的监视。

(6) 资源单管理。网络管理系统将网络资源的准确清单保存在资源清单数据库中。它们包括:IP地址、OS版本、内存、硬盘以及连接到每个设备的其它外设等。用户可用它生成清单报表以便跟踪所有的网络资产。

(7) 增强的Web接口和远程客户端。网络管理系统提供全功能的Web客户端, 操作者无论何时何地, 只要使用标准的Web浏览器就可以连接访问网络管理系统服务器, 为操作者提供了极大的方便。另外, 使用远程客户端, 该网络管理系统能够支持多个并发用户。

(6) 部署安全管理系统 (SOC) 。为了让管理人员能够实时了解网络中动态和事件, 满足不断变化的网络安全管理 (网络设备、服务器、应用程序、应用服务、安全设备、操作系统、数据库、机房环境等发生的故障、超阀值行为、安全事件统称为网络安全问题) 的要求, 需要有一套专门的安全管理系统来完成, 因此, 我们实施了一套安全管理系统。网络管理系统是从事件驱动的目的出发, 强调系统运维、系统故障处理和加强网络的性能三个方面的内容。与网络管理系统不同, 安全管理系统最重要的是对威胁的管理, 它的侧重点关注在三个层次上:资产层面, 关注安全威胁对业务及资产的影响;威胁层面, 了解哪些威胁会影响业务及资产;防护措施层面, 怎样防护威胁, 保护业务及资产。一句话概括, 就是安全管理是从保护业务及资产的层面进行的风险管理。

该系统具有以下几项功能:

(1) 网络构成管理功能

(2) 主机应用管理功能

(3) 网络性能管理功能

(4) 故障管理功能

(5) 故障处理功能

(6) 数据分析分级管理功能

(7) 报警系统管理功能

(8) 生成报表功能

(9) 事件分析功能

(10) 日志存储功能

11权限划分功能

12事件分类和识别功能

13定制服务功能

该安全管理系统可以帮助网络管理人员对整个IT系统进行全面深度的监测管理, 它自带B/S结构, 通过友好的浏览器界面, 使整个网络的运行状况一目了然, 还可以十分方便地帮助网络管理人员实现远程监测管理。通过声音、E-mail等丰富的报警方式, 特别是我们自行开发增加了短信通知方式, 当网络和应用系统发生故障或者受到威协时, 网络管理人员无论身在何处都能及时收到即时的告警短信。智能化的报警设置, 更能帮助网络管理人员快速定位故障, 从而将故障可能带来的损失降至最低。完善的性能分析报告, 还能帮助网络管理人员预防可能出现的故障, 同时为集团网络的战略规划提供依据。

(7) 部署垃圾邮件防火墙。随着电子邮件的普及, 电子邮件的作用也越发重要, 但是垃圾邮件却是件令人烦恼的事, 严重干扰了邮件收发的正常工作。为了解决垃圾邮件问题, 我们布署了一套垃圾邮件防火墙。该垃圾邮件防火墙能支持25000个活跃的电子邮件帐户, 每天处理两千五百万封电子邮件, 它采用强大的十层防护技术:

(1) 拒绝服务攻击防护

(2) IP阻断清单

(3) 速率控制

(4) 1层病毒过滤

(5) 2层病毒过滤

(6) 用户自定义规则

(7) 垃圾邮件指纹过滤

(8) 垃圾邮件意图分析

(9) 贝叶斯数据库分析

(10) 基于规则评分系统

由于十层防护技术的应用, 该垃圾邮件防火墙能够提供以下防护:

(1) 反垃圾邮件

(2) 反病毒

(3) 反欺骗

(4) 反钓鱼技术

(5) 反间谍软件

(6) 拒绝服务器攻击

垃圾邮件防火墙的使用极大地减少病毒和垃圾邮件对邮件服务器带来的负荷, 同时, 该垃圾邮件防火墙还有包括附件扫描, 病毒过滤, 比率控制等技术, 保证接收的邮件都是合法无毒的。据网管统计, 在垃圾邮件防火墙的部署完成后, 占邮件总量90.08%的垃圾邮件和病毒邮件都被隔离或者阻断了, 该项工作深受集团员工的好评。

(8) 收回计算机用户对使用主机的绝对控制权限。目前网络病毒、木马和流氓软件十分猖獗, 据统计, 2006年这一年新出现的计算机病毒数就比自从有电脑开始至2005年出现的病毒总数还要多, 网络安全性和稳定性遭受到了严重的挑战。

我们分析了办公网络当前所面临的几个问题:

其一、网络攻击型的病毒以及恶意程序越来越多, 而用户对电脑主机具有管理员权限, 病毒程序很容易取得管理员权限, 甚至拥有更高级别的控制权限, 导致一些电脑存在着反复被病毒感染和交叉感染的现象;

其二、虽然我们已部署了相应的防毒系统, 可是杀毒软件病毒码的升级肯定是存在一定的滞后, 而故障的恢复总是需要影响一部分用户的正常工作时间, 因而保护计算机主机系统目录不受病毒的干扰成了当务之急;

其三、一些用户安装与工作无关的软件, 在一定程度上影响了电脑和网络系统安全和稳定, 经常出现网络阻塞和网络被欺骗导致其他用户无法上网等现象。

为了解决以上的几个问题, 我们决定对计算机的管理模式进行调整, 收回计算机用户对使用主机的绝对控制权限。自2007年初以来, 对集团所有电脑收回权限的工作进行统一部署, 根据集团的工作性质和要求, 制作出统一的软件系统安装模版, 网管们集中一切精力、加班加点, 历时大半年对集团办公电脑 (1000多台) 进行了强制性的规范化的重新安装, 收回集团OA网内用户对本机的绝对控制权, 相应的给予用户能保障完成工作的有限控制权限。同时, 明确了网管职责, 网管不仅是技术支持的角色, 更多的赋予网络管理的责任, 客户端的所有软件安装必须由网管测试正常后统一安装, 用户不能自行安装任何软件, 这样能在极大程度上改变了OA网内计算机病毒防不胜防、杀不胜杀的现状, 彻底解决了网管们疲于奔命在各个办公室之间解决电脑中毒和软件系统修复的问题, 这一项工作的完成在网络安全管理旅程上取得了革命性的胜利。

3 总结