XXX集团IP-guard整体方案

IIP-guard内网安全管理整体解决方案——XXX集团2一、项目概述XXX地产控股有限公司是以房地产开发、经营为主的大型企业。公司的业务包括房地产开发、物业管理及室内装修，下属项目分布于中山、广州、佛山和香港、澳门等城市，是中国最大的房地产开发集团之一。依托优秀的管理团队和杰出的经营策略，XXX集团自1992年在中山开发第一个房地产项目以来，一直以“世界建筑视野”的规划理念，致力于“建构未来地标”的定位，在激烈的市场竞争中建立了良好的品牌优势，逐步形成跨区域、规模化的开发模式，努力为公众打造和谐舒适的人居环境，多年来累积了丰富的房地产开发经验，迄今已成为国内著名的房地产品牌。对于企业来说，在进行商务活动的时候始终面临着各种风险，这些风险是固有的，不仅存在于企业与客户和合作伙伴的日常接触之中，也存在于企业内部。信息系统作为企业商务活动的重要组成系统，同样也无法避免各种风险的威胁。IT系统的依赖度与IT风险的关系就像中国的典故“水涨船高”，即依赖度越强，IT风险越大。调查显示，2011年，企业内网的风险主要存在以下几个方面：首先，信息资产已经成为任何企业、组织发展壮大的至关重要的因素，但这些资产却暴露在越来越多的威胁之中。除了传统的黑客、病毒等来自互联网外部的攻击，根据美国FBI调查显示，80%的安全威胁来自企业内部，将近60%的离职者或被辞退者在离开时会携带企业数据。来自中国公安部的调查也显示，国内75%以上的泄密事件是由内部员工造成的。内部泄密是造成企业信息泄漏的最大原因。因此在信息化时代，上至国家政府机构，下到企业商业机构，都在遭受一场空前的内部信息防泄漏考验。另外，企业内部员工对网络资源的滥用令人触目惊心，工作效率低下。网上游戏，网上聊天，网上炒股等网络行为严重地分散了员工的精力，根据DynamicMarketsLimited对全球办公室上网情况的调查：在上班时间，中国员工每周比3其他国家的员工多花7.6小时来使用即时通讯工具、玩游戏、P2P下载或在线媒体。中国员工上网下载音乐的时间比拉美国家高16%，进入聊天室和玩在线游戏花费的时间分别比其他国家高约8%和12%。在互联网发达的印度，只有26%员工在工作场合浏览个人信件，而在中国，这个数字则是60%。以上信息安全问题和办公效率问题，正是XXX集团当前所面临的难题，为此该集团明智的选择与IP-guard合作，针对信息安全和上网行为管理问题进行有效的解决和监督。4二、需求分析2.1需求总述仅几年集团业绩的上升，伴随而来的是人员规模的不断扩大，而这也意味着内部敏感数据查看范围的不断扩大。同时随着集团办公信息化程度的提高，以及OA在集团内部的大规模应用，数据外带的途径及方式越来越多，不仅仅是网络应用，通过移动存储等外部设备或其他非网络的途径都使得数据外泄越趋方便。集团内部的信息安全漏洞当前通过一些行政手段只是堵住了一小部分的缺口。因此需要更为完整的信息防泄密的整体解决方案，而IP-guard所提倡的三重保护信息安全解决方案，正是针对XXX集团信息安全需求度身定造的整体方案。根据对XXX集团内部信息安全情况的调研，所获取的需求如下：1.内网文档流通的详细审计，了解所有文档的流向；2.限制文档外发的途径，规范管理移动存储等外设的使用；3.对集团的最核心数据进行加密保护，同时根据文档的重要程度进行阅读权限的控制；4.对于文档外发后的安全控制以及员工移动办公过程中的信息安全保护。5.网络化办公带来企业内对办公效率和工作作风的影响，需要进行有效的管理。2.2详细需求信息化技术的应用使得XX集团80%以上的知识产权：例如设计图纸、工程说明等，都是以电子文档的形式存在企业的内部网络中。在运营效率得到提高的同时，企业内部网络的安全也不容忽视。种种轻而易举的泄密行为，给企业埋下了重重的安全风险。那么，如何又才能让企业内部的文档更加安全呢？针对信息安全问题对企业需求详细分析如下。5编号存在的风险对应需求信息安全审计1重要资料被有意、无意删除、修改、破坏，缺乏有效手段，即使泄密事件发生，也无从追查。需要建立完善的审计机制，记录文档全生命周期的操作，详细掌握内网操作，做到事前预防，事后追踪，并将文档操作日志导出成表格文件提供给领导审核。2重要资料因工作需要或非法对外发送，公司虽然相关的管理要求，但也无从查证，泄密风险极高。需要建立文档流转审计机制，记录文档通过所有转流途径对外发送的各种操作，包括设备拷贝外带、邮件等网络外发等操作，追踪泄密根源。3单纯的文字审计效果不能最完整地呈现泄密现场，佐证效果不佳。需要实时或事后可查看用户计算机桌面操作行为，一旦发生并确认泄密事件之后，需要最直观的重现泄密现场。边界安全管控4缺乏合理的文档权限的划分，导致机密文档被随意访问，传播范围扩大。控制核心数据的使用权限，按照部门或级别划分文档的使用权限，特别是对于文档服务器等共享存储的重要资料的使用权限控制。5重要文档可通过U盘、智能手机等设备被带出企业而导致的信息外泄。需要管理计算机的外部设备使用，包括U盘、智能手机、光驱、USB设备等，特别是对移动存储设备的分类与移动盘黑白名单等方式授权控制，内盘内用，专盘专用。6无线网络、Wifi覆盖广，内部职员通过3G上网卡、无线网卡等绕过网关非法外连导致安全风险。需要对3G上网卡等无线上网设备做控制防止非法外连，或限制连接指定的无线网络，规范内部职员通过统一通过公司网络上网，防止内部计算机逃脱网关的监管。7打印机管理稍有不谨慎，储存在计算机上的敏机密信息被打印转抱成纸质文档轻易带出泄漏。需要对职员打印权限进行授权控制，对于有权限使用打印的用户，备份打印映像文档以备案审核是否存在打印泄密，防止文档被非授权打印或被额外多打印几份外带泄漏。8邮箱是常用的沟通工具，但各种网页邮箱、公司邮箱使用混乱，更是更容易泄密的工具。需要规范企业职员使用企业邮箱，并记录邮箱的日常邮件往来，限制邮件及附件的发送权限，例如实现按企业规定将有附件的邮件外发时强制抄送给部门经理等强制要求。9机密信息通过QQ、MSN、飞信等聊天工具传播出去。需要对即时通讯工具进行监管，包括记录和限制文档的随意外发，甚至规范其统一通过企业邮箱发送文件。10外来计算机或职员自带的私人计算机接入企业内网访问内网资源导致重要资料泄漏风险。需要对外来计算机或职员自带计算机接入内部网络时进行实时检测，未授权计算机无法接入内网或访问受保护的网络资源，给公司网络设一道保护垒。文档加密安全6安全、高效、稳定是企业内网都追求的理想状态，要使集团内部行为效率管理得到有效的控制，加强企业制度管理，通过有效的行为规范提高企业内部每位工作人员的行为自觉性固然重要，如今企业逐步走向信息化，企业内部计算机的使用率不断提高，因此企业必须规范每一位计算机使用者的操作行为，才能真正确保工作时间的高效率高产出。11公司所有电子文档都是明文状态，这是信息安全问题的根源。需要对公司所有机密电子文档进时实时加密，内部使用正常，但一旦脱离公司授权环境后则无法使用。12文档加密产生的文档内部流转问题、对外授权流转问题、出差问题等需要合理管理。需要提供有效的外发管理、内部使用管理、离线管理等完整的加密解决方案。编号存在风险对应需求1上班时间炒股、打游戏、聊天等，访问与工作无关的网页。需要对用户浏览网站进行控制，限制用户工作时间访问与工作无关的网页。2疯狂下载电影、歌曲软件，不但影响工作效率，更滥用内部网络带宽。需要对终端用户使用的下载工具程序进行控制，确保企业内业务正常网络带宽。3无意或有意地访问病毒或者挂马等网站，造成企业内病毒、木马泛滥。需要分类管理网站定义好企业安全访问的网站，对工作无关的存在安全威胁的网站进行严格控制。4缺乏对计算机使用者上网行为的了解，无法掌握其业绩和工作状态。需要应用程序和访问网站记录的统计报表，掌握内部的操作动态。5上班时间使用P2P下载超大影音文件等占用公司带宽，影响公司正常业务所需带宽。需要对上网带宽进行合理分配，保证正常业务的进行，限制滥用公司带宽资源。6来访人员计算机接入网络，无限制上网行为占用网络资源，甚至访问不安全网站给内网带来安全隐患。需要对来访问人员计算机合理分配带宽，控制来访计算机上网行为，审计来方计算机上网行为。7三、IP-guard内网安全管理解决方案3.1信息防泄漏三重保护方案针对集团的内网信息安全管理需求，IP-guard提出信息防泄漏三重保护方案，第一重保护是对内网信息做详尽细致的审计，既要对信息的本地操作全面审计，还要对信息的流转详细审计，让企业管理员知道内网的安全状态；第二重保护是对信息的流动做严格的控管，屏蔽不必要的流转途径，规范必要的文档流转操作，防止机密信息被恶意泄漏；第三重保护是通过安全稳定的加密，时刻加密企业机密的文档数据，从根源上解决信息安全问题。企业多部门层次架构可根据不同部门工作性质和所接触到机密信息的机率不同，按需部署不同的三重保护方案，对重要部门采用加密保护方案，达到最强力度的保护机密信息安全，同时对公司其他普通业务部门采用管控和审计方案，实时掌握公司所有文档的操作使用情况，及时封堵存在的文档传播安全漏洞。3.1.1第一重，详尽细致的操作审计第一重保护也是最重要的保护。详尽细致的操作审计不仅仅能提供事后审查，更能让我们发现内网安全隐患，增强系统安全性。管理者不知道内部的信息是被谁在使用，何时在使用，信息有进行怎样的流转，那么很难能发现其中可能存在着的安全隐患，也就不知道怎么去防止它泄露。因此对信息的使用和流转进行详细的监督和审计，是一切安全控管行为的前提和基础。详尽细致的操作审计包括以下三方面：3.1.1.1文档全生命周期审计详细记录包括创建、访问、修改、移动、复制、删除在内的每一项文档操作，同时，其他计算机对本机共享文件夹内文档的创建、修改等操作也能一一记录。另外，对于修改、删除等相关操作发生前及时备份，有效防范文档被泄露、篡改8和删除的风险。3.1.1.2文档流转全过程审计细致记录文档通过打印机、外部设备、即时通讯工具、邮件等工具进行传播的过程，支持记录的文档流转途径全面，记录信息详细，有效警惕重要资料被随意外发外带等造成泄密。以下是支持记录的文档流转途径，记录的日志信息包括时间、计算机、用户、源文件、文件附件内容等。编号名称内容1记录文档存储位置记录存储于硬盘、软盘、光盘、可移动盘的文档操作2记录文档操作类型创建、复制、移动、重命名、恢复、删除、访问、修改、上传、下载、刻录等3日志记录信息文档操作类型、操作时间、计算机、用户、源文件、文件类型、文件大小、文件路径、文件内容、存储介质类型、应用程序等4共享文档操作类型创建、重命名、删除、修改5共享文档日志记录信息文档操作类型、操作时间、计算机、远程主机、源文件、文件类型、路径等。93.1.1.3桌面行为全面审计除了对文档的审计以外，对于信息安全要求较高的客户使用功能更为强大的桌面行为审计。IP-guard强大的屏幕监控功能严密监视计算机的屏幕画面，无需摄像头即可清楚了解用户的桌面操作。不但能够方便管理者同一时间对多名用户进行观察，还能结合日志对历史屏幕记录情况进行查看。能实时跟踪查看网内一台或一组计算机的屏幕画面，同时监控多台计算机当前屏幕状况。IP-guard强大的屏幕监控功能严密监视计算机的屏幕画面，无需摄像头即可清楚了解用户的桌面操作。按自定义时间间隔记录计算机屏幕，并可由日志记录直接查看当时屏幕历史。能够将屏幕历史记录输出为wmv格式视频。能通过屏幕历史记录做严格的屏幕审计，查看泄密事件发生时的屏幕情况。3.1.1.4安全审计的作用可以用作事后审计，追踪责任。对信息使用行为进行有效的监督和审查，能有效地避免法律风险和商业风险。可以对可能的窃取行为产生强大的心理威慑力，降低犯罪欲望。可以发现系统里可能存在着的各项风险和隐患，以供补救；103.1.2第二重，全面严格的操作控制第二重保护，就是对机密信息的使用进行全面严格的控管。在了解了文档使用的情况下，我们就可以了解这些机密信息的使用状况，可以制定相应的策略对文档