目錄1. 公司網路安全現狀及需求 1
2. 目前重點需要解決的問題 1
3. 解決方案 3
3.1. ssl vpn安全解決方案 3
3.2. 文件安全管理系統安全解決方案 5
3.3. 終端管理系統安全解決方案 8
1. 公司網路安全現狀及需求
xx公司是面向xx領域的公司,公司與下屬各個單位有很深的業務關係,公司自主的軟體也應用在xx集團各個下屬單位。因此,公司的一些文件,資料,產品**屬於涉密安全資訊,需要加強進行管理。但目前並沒有對安全文件進行涉密分級及加密管理,具有安全隱患。
此外,隨著公司集團化,規模化的發展,公司辦公網路已經變成由總分公司,辦事處等組成的多地協同辦公體系。公司的oa辦公,網路報銷,專案審批等均需要在網路進行,但目前的內網oa系統無法滿足面向公網及遠端接入辦公。而且由於目前網路辦公環境中,對於接入的外來終端計算機沒有採取嚴格的授權接入方式,這些由於公司規模擴大引起的需求變化及需要統籌解決,針對安全電子文件,外網協同辦公,內網接入控制,安全終端管理等方面需要提供總體的網路安全解決方案。
2. 目前重點需要解決的問題
針對公司的網路安全現狀以及未來發展的需求,目前我們重點需要解決的安全問題有三個方面:
(1)內部涉及企業秘密的電子文件安全管理
作為商業企業的xx來說,可能給企業所帶來的乙個巨大潛在風險就是重要機密電子文件的洩密問題,企業人員在被解職或辭職時,他們是有很多種渠道將企業內部的像重要文件、機密圖紙、設計資料、,企業員工乙個電子郵件、乙個u盤拷貝、一部口袋裡的*****器或一台隨身攜帶的膝上型電腦,就可以輕鬆將企業的重要機密電子文件從企業裡竊取出來,更何況企業員工進入企業內部網路和開啟存在有機密電子文件的電腦是何等的輕而易舉!面對這些觸目驚心的現實存在,一套嚴密而完整的企業級電子文件保護解決方案就可能成為企業最後賴以生存的「救命稻草」。
事實上,由於目前高度普及的企業資訊化建設與相對比較薄弱的企業網路安全管理一直存在矛盾,企業內部員工對重要機密資訊的存放地和相關使用許可權都非常熟悉,可只要會操作電腦就有可能會主動或非主動(如誤操作)的盜取機密文件和機密資訊,所以說內網安全和加強對企業內部員工的監管是有效保障企業電子文件安全和終端資料安全最重要的一道環節。
(2)通過安全方式由外網訪問公司oa等系統進行遠端辦公
公司辦公oa的現狀是內網辦公網路並沒有與外部網路完全隔離,內部人員可以通過ie同時登入內網辦公及外網網路,內外網郵件系統可以同時使用,內網oa無法通過公網安全登入進行辦公操作。對於內網辦公而言,主要的安全需求除去上面對文件安全要求,禁止文件通過usb,郵件等方式傳出公司,同時對於oa系統同樣有基本安全需求:
訪問控制安全需求:將公司網路的主機、伺服器與相關管理業務部門網路進行隔離控制,限制外網非法使用者服務請求,使非法訪問在到達主機前被拒絕;對外網合法使用者對內部不同子網訪問進行適當的限制;內部不同業務子網訪問實行部分開放原則;記錄各種進出訪問行為。
通訊保密需求:一些重要通訊要通過公網進行資訊傳輸,存在資訊被竊取、篡改、偽造、刪除的危險,必須加強傳輸中的資訊加密,而且因領導、單位、部門相應的職權範圍不同,因此要按密級要求建立相應的身份認證、金鑰和密碼的管理、密文資訊傳輸系統,保障機密資訊不被無關人員竊取。
資料保護安全需求:移動公司網路的應用伺服器系統多、應用複雜,對伺服器的資料保護成為首要問題,防止病毒侵襲、伺服器資料的篡改、機密資訊的洩露成為資料安全的三大需求。
內外網及子網安全訪問: oa系統一直都是必須的一項業務。隨著企業的發展,開設分公司、新辦事處、在家辦公、移動辦公等都成了一種新的需求。
因此,oa系統的應用不僅僅侷限於某個公司總部或單位總局小型區域網了,現在總部都需要實現和分支機構的互聯,使oa系統中的個人辦公、公文系統、綜合業務、行政管理、綜合資訊等資源共享,讓公司管理更加統一規範,保證物流、資訊流的實時更新,確保公司市場資訊的及時傳遞,營銷方案的及時執行,提高工作效率等等。
(3)內網安全接入控制
安全管理中存在的巨大缺陷,集中表現在安全管理存在兩個被割裂的客體:企業中每乙個真實的員工和企業網中的使用者。由於兩個客體之間不存在確定的對應關係,致使病毒有了可乘之機,也縱容那些存在惡意企圖的員工進行非授權訪問,同時對於外來接入的非法機器也無法進行有效控制。
而且更為嚴重的是,由於網路中的身份不可靠,即使發生了安全事故,也無法找出隱藏在背後的「真兇」,安全管理制度和條例也形同虛設。
企業網路安全接入控制,就是要借助最新的安全技術和產品,建立起安全管理中兩個客體之間的確定對應關係,從而保證實現安全技術和安全管理的無縫結合,通過建立企業網路中確定使用者的身份標識,將網路使用者與自然人建立起一一對應的關係,確保員工依據自己在企業中的真實角色,在網路中從事與本職工作相關的行為。即使有人仍要嘗試去做違背自己角色的事情,企業仍可以通過網路使用者與自然人的一一對應關係,找到為這件事情負責的人。
3. 解決方案
3.1. ssl vpn安全解決方案
oa系統的基於區域網的內部安全需求及身份認證由其他解決方案,這裡主要討論基於遠端辦公需求的解決辦法。對於有多個異地分支的oa辦公及需要通過公網訪問oa辦公的需求,主要需要通過ssl vpn 構造整個辦公安全體系。
oa辦公vpn組網原理和遠端erp系統組網原理相同,都屬於應用系統遠端組網。下面以一種vpn產品為例,簡單描述解決方案。只需要在客戶的總部以及各個分支機構分別放一台ssl vpn系列伺服器,各點通過adsl或其它方式接入公網inter***,就可以為客戶構建廉價,穩定的vpn網路。
因公司或企業領導需要在家或出差在外時仍能方便辦公,故可採用***p撥號方式接入,實現與總部的互聯。
網路架構
總部:總部一般來講是企業資訊存放、處理的中心,網路內部主機數量多,資料流量大,安全性和實時性要求高;因此推薦採用高效能的vpn產品作為接入伺服器。對於實時要求很高的企業使用者,可以在總部採用兩台作雙機備份,保證穩定資料傳輸
分支機構:企業分支機構一般指分布在全國各地規模中等的分公司,公司內部建有中等規模的區域網,同時通過當地isp提供的寬頻接入方式接入網際網路。安裝一台ssl vpn,作為客戶端接入總部。
移動辦公使用者:採用***p或l2tp協議,接入總部,可支援cdma/gprs及802.11b等無線移動接入,使用者即使在乘坐車船甚至飛機的途中,可隨時隨地實現移動辦公。
使用者無需安裝任何客戶端軟體,只需利用作業系統自帶的瀏覽器就可以進行內部訪問。
實現mis系統、crm治理系統、notes系統等網路版應用系統的遠端互聯,採用最少的網路互聯投資成本,最大限度的發揮公司應用系統的效率,實現無紙化辦公,移動辦公。
erp系統、oa辦公系統的全公司互聯:各分支機構與總部象是在同一間辦公室裡一樣共享並同步應用erp、oa治理系統,讓公司治理更加統一規範,保證物流、資訊流的實時更新,確保公司市場資訊的及時傳遞,營銷方案的及時執行,提高工作效率。
3.2. 文件安全管理系統安全解決方案
文件安全管理系統採用國家密碼管理機構認定的加密演算法對重要電子文件進行多種不同密級的加密保護,保證文件只有在可信網路中才能正常使用。
系統採用cs架構,分為伺服器端和客戶端,下圖為部署示意圖:
安全文件管理系統部署的伺服器組上,可以連線負載均衡裝置,總公司辦公環境中的客戶端通過區域網與伺服器相連;分公司辦公環境通過vpn或光纖系統連線到總公司;帶出辦公環境的筆記本通過網際網路與安全管理系統伺服器相連。
安全文件管理系統將員工計算機上的電子文件就地進行加密保護,將明文文件變成密文文件。
使用者在開啟加密文件時客戶機會向文件安全管理伺服器傳送申請,請求伺服器將使用該文件的金鑰(解密檔案時用的電子鑰匙)發放給客戶機器。伺服器會檢視該客戶機上是否按規定安裝了文件安全系統的客戶端軟體。通過客戶端界定該使用者是否是合法使用者;如果使用者通過了所有審核,伺服器會發放金鑰允許使用者使用該文件。
如果沒有通過審核文件將無法正常開啟,開啟後的文件顯示為亂碼。整個加解密過程對使用者來說都是透明的,不改變使用者的使用習慣,同時採用「一文一密」的方式保證文件的安全性。
根據功能需求的不同,大致可以分為以下幾種方式:
全加密模式
文件格式加密模式
安全域與文件格式相結合加密模式
手動加密模式
手動自動一體加密模式
全加密模式會在使用者安裝完客戶端後,將計算機內所有文件進行加密,此類方式安全性較高,實現較為簡單,但對於非受控檔案的使用會帶來不便。
文件格式加密模式是根據檔案格式的不同對文件進行加密,如:.doc、.docx、.xls等,此類方式相對比較靈活,但是支援的檔案格式型別有限。
安全域與文件格是相結合加密模式是指根據不同的使用者群,進行安全域的劃分,根據安全域不同採用不同的加密方式,如:研發部門主要針對**檔案和圖紙檔案進行加密,重要電腦進行全盤加密;而財物部主要針對報表檔案進行加密。此類方式較為合理,但需要管理人員對安全域的劃分有較準確的認識。
如下圖所示:
手動加密模式是根據使用者個人判斷檔案的重要性選擇進行加密,手動加密方式對使用者來說比較靈活自由,但安全性怎完全取決於使用者的個人意識。如下圖所示:
手動自動一體加密模式也可按安全域和文件格式進行設定,如:設定某部門內的計算機中的一種或幾種格式的文件按照手動加密方式加密;另外的文件按照自動方式進行加密。實現一台計算機中手動加秘與自動加密的並存。
此種方式較為靈活,但是設定複雜,對管理人員要求也較高。如下圖所示:
根據公司目前的網路及部門情況的不同,我們建議採用安全域與文件格是相結合加密模式。
3.3. 終端管理系統安全解決方案
終端管理系統主要針對終端網路、輸入輸出裝置、介面以及使用者敏感的行為進行監控和審計,從而有效的防止資訊洩露事件的發生,同時針對終端使用者行為進行全面的審計。
系統採用cs架構,由監控管理中心和客戶端組成,監控管理中心包括「終端管理伺服器」和「控制台」。如下圖所示:
在需要管理的pc和筆記本上安裝agent客戶端,進行管理,具體能夠實現的功能如下:
(1)控制功能
計算機輸入輸出介面監控審計,包括:並行介面、序列介面、usb介面、ide介面等。
天融信網路安全准入解決方案
安全挑戰 計算機終端是使用者辦公和處理業務最重要的工具,對計算機終端的准入管理,可以有效地提高辦公效率 減少資訊保安隱患 提公升網路安全,從而為使用者創造更多的業務價值。但目前,大部分終端處於鬆散化的管理,主要存在以下問題 接入終端的身份認證,是否為合法使用者接入 工作計算機終端的狀態問題如下 作業...
網路安全整體解決方案設計
目錄第1章需求分析 4 1.1實施背景 4 1.2 網路安全需求 4 1.2.1 防範非法使用者非法訪問 4 1.2.2 防範合法使用者非授權訪問 4 1.2.3 防範假冒合法使用者非法訪問 4 1.2 應用安全需求 4 第2章設計原則 5 2.1 先進性與成熟性 5 2.2實用性與經濟性 5 2....
電視台網路安全解決方案0522
遼寧電視台網路系統安全 規劃方案 瀋陽榮信華科技 二00五年五月 一 遼寧電視台當前網路與應用現狀分析3 二 遼寧電視台網路安全改造規劃7 三 遼寧電視台網路管理解決方案17 四 landesk客戶端管理解決方案24 一 landesk管理套件主要功能及技術介紹25 1.1資產管理26 1.2 軟體...