设计院信息安全管理系统解决方案山东建苑工程设计软件有限公司一、项目背景随着信息化的不断深入发展,规划建筑设计行业的日常工作已经完全依赖于计算机和网络技术,设计院局域网内部存储着大量的重要信息资料,如地形图、卫星遥感影像、重要设计成果产品等,有些资料还涉及国家机密。在生产经营过程中,我们无法避免的对外流传,如给甲方拷贝、通过E-mail发送到外地等,在信息对外流动过程中如果没有监管,内部信息安全将难以得到保障,内部重要信息资料一旦遭到破坏或泄漏出去,将给单位造成重大的损失。二、需求分析从我们多年与规划设计行业客户沟通的经验来看,目前设计院比较头痛的主要有以下几个问题:(一)员工上班时间干私活。设计院投入大量资金做了信息化系统,多年经验积累的项目文档资源库,个别员工却在工作时间利用院内核心资源承接私活。(二)项目信息泄露。公司的客户资料未能做到绝对保护,接洽的项目,院内个别员工知晓后,可能通过别的公司拿到项目,再利用设计院资源和几个同事一起揽下项目在院内做。我们接触到的不少设计院,因此每年流失至少几百万的项目,给院里造成了很大损失。(三)项目交付时出现问题。外发给客户的文档就像“放飞的风筝”一样,外发出去就没法控制,有可能在外面随意的流传,无法有效的进行控制,给设计院带来巨大的损失。(四)机密信息泄密。院内大量重要信息文档或分散或集中的存储在计算机网络内,员工可以利用QQ、MSN、Email等网络传输工具随意将公司内部重要数据外发,在不经过院里相关领导审批的情况下,将内部重要设计成果外发给客户,给设计院带来巨大损失。(五)打印无法管控。员工随意打印设计院重要文件,无任何技术管理手段,给数据安全带来重大的隐患。(六)移动设备丢失。员工出差时存储着公司重要数据的U盘、光盘、笔记本等设备,不慎丢失造成数据泄密。(七)外来人员监管。非设计院内部的计算机可以随意接入公司内网,造成数据泄密无法有效追踪其源头。(八)其他重要数据。财务部门的敏感信息没有做好相应保护,若电脑出现故障,维修过程容易导致数据泄密;公司内财务报表无有效的泄密管理措施,员工离职可以轻易带走。三、部署方案设计院所内网数据安全体系建设,需要突出重点,切实关注文件外带保密需求,充分考虑敏感性数据面临的各种主动泄密和被动泄密风险。同时,应充分考虑系统对设计人员的业务影响范围,尽可能降低安全行为带来的系统性能损耗和应用约束,在安全性和可用性之间保持合理的平衡。综合多家设计院的信息安全管理经验,我们建议设计行业的信息安全管理根据软件的功能及设计院的组织架构,应该如此部署:(一)文件加密。设计院一般由多个不同专业的部门组成,应对office、CAD、macrostation、飞时达等软件所产生的数据进行强制加密及备份,并建立单位内部的权限控制体系,作为普通员工不能随便打开领导的加密文档,须经领导授权后方可使用,形成基于加密文件的内控体系。在管理流程上可以做如下部署:1、院领导具有可以打开公司内部所有密文,并可以配置解密功能。2、总工办、院办公室除不能打开院领导的密文外,具有院领导的其他阅读权限,并指定一人具有解密和制作外发文件权限,同时制定解密和制作外发文件流程(普通设计师申请解密—部门负责人审批—院领导批准—解密、外发文件制作人员最终制作外发),需要发送给客户设计院文件资料时,可按照此流程进行审批制作。3、各所之间的文件可以设置为互通互读,但对和其他部门没有业务交互的部门(如:计财科)应设置为不能互通互读,但确需进行互通互读时,各所负责人具有将本部门文件制作为内部流转文件的权限,可设定其他部门的指定人员可以打开,其他非授权人员仍然无法打开。4、根据不同的外发用途设定不同的外发文件限制参数(时间限制、密码验证、次数限制、打印限制、修改限制、截屏限制、过期自毁)。当员工周末带加密资料回家加班或出差时,可设定时间限制和密码验证,当外发给客户时,根据不同客户的不同用途可设置次数限制或时间限制以及过期自毁,并对打印、修改、截屏等做相应的设定。(二)外网安全管理。外网安全管理主要是对员工日常办公中上网情况的监管和控制。在不影响员工的正常工作需要的情况下,可设置员工在工作时间只允许浏览指定的网站,在休息时间可浏览全部网站。并可根据设计院的作息时间表,对每一天进行时间段设置。外网管理同时可对每一台计算机的上网流量情况进行统计,方便设计院领导对院里的每一个人的上网情况进行查询统计,并查看上网较多计算机的上网内容。(三)内网安全管理。主要是实现所有计算机使用操作的监控与控制。设定每一台计算机的应用程序监控、聊天监控、文件操作的监控和屏幕录像,可实现对所有计算机的所有操作都生成日志,方便日后查询。(四)应用程序限制。主要是实现每一台计算机的远程操作、可使用应用程序管理、移动存储设备的管理。1、黑、白名单服务器。将集中存储公司文件的服务器设置为白名单服务器,即公司所有加密文件在服务器上都可以打开,方便各类数据库服务器的应用。2、打印机控制。为每台计算机设置打印机权限,只允许使用指定的打印机,确保打印图纸的打印机只能够在指定的计算机上使用,这样院领导才能通过打印日志以及打印监控,方便的知道打印内容和数量。3、移动存储设备管理。禁止每一台计算机的U盘存储功能,并制作认证U盘,这样所有的计算机只能使用认证U盘,同时认证U盘不能够在公司以外使用,这样在方便了员工之间拷贝文件的同时,也防止了内部文件的外传。四、功能介绍(一)文件加密1、文件透明加解密绿盾信息安全管理软件主要是针对设计院产生的所有文件资料进行加密。杜绝通过U盘、软盘、光盘,电子邮件等方式窃取设计院的图纸成果、城市规划信息等技术档案。设计人员在院里的网络环境下,可以正常操作院里的文件资料,不改变原有的操作习惯,在文件打开和关闭的过程中,在系统后台自动完成加解密,对用户操作习惯没有任何影响。如果这个加密文件被利用MSN、QQ、电子邮件、移动存储设备等手段传输到设计院以外,被传出去的加密文件将无法被打开和应用,并且始终保持加密状态,将文件拷贝到网络外或者没有安装绿盾终端的电脑上,将显示乱码。2、文件阅读权限(设计院可根据不同职位设定不同文件类型的阅读权限)3、文件解密及外发文件制作(总工办、院办公室可指定一人对加密文件进行解密及外发控制,并可以根据院里的情况制定审批流程,如:普通设计师—部门负责人—院领导—具有外发文件制作权限人员)绿盾信息安全管理软件的外发制作功能主要是针对院里所有的加密文件需脱离设计院内部网络外发给客户时,设计院根据不同的外发文件类型,设定不同的外发方式。外发文件制作功能包含以下几种方式:1、阅读时效(设定在规定的时间段内方可打开)2、阅读次数(外发文件打开次数的限制)3、修改权限(是否允许打印、是否允许修改、是否允许复制、是否允许截屏)4、只允许在一台电脑上打开(在第一次打开的电脑上有效)以上几种权限可单独或组合设定,以确保外发文件始终在设计院的管控范围之内。4、文件自动备份文件备份记录这一功能主要用于防范重要文件遭破坏或遭恶意删除等情况。在绿盾终端电脑上操作过的指定类型文件会在绿盾服务端的指定目录(此目录可由管理员自由设置)下备份,预防重要文档遭恶意删除或破坏。(二)外网安全管理1、网页浏览监控主要是针对员工网页浏览操作日志进行监控,可对某条网页浏览记录直接打开阅读,也可将员工网页浏览日志导出到excel文件。2、上网规则可对终端的上网行为进行限制,包括上网时间段、禁止或只允许浏览指定网站、端口限制。3、流量统计可以对终端电脑进行流量观察、查询和统计。这里说的流量,可以包含内网传输数据的流量,也可以过滤掉内网流量,只记录上网流量。4、邮件内容监控绿盾可以监控终端收发邮件(指通过Outlook、Foxmail收发的邮件)的信息,包括邮件的标题、大小、发件人地址、收件人地址、邮件正文内容以及附件内容。(三)内网安全管理1、屏幕监控远程实时监视屏幕并录像,可后台播放所有记录屏幕影像;屏幕追踪能定时连续不断地追踪员工计算机的工作屏幕。2、实时日志可以在控制台上实时监视终端的窗口切换记录、文件操作记录、聊天记录、程序启动/关闭记录、报警事件记录等。3、聊天内容记录绿盾可以实时记录目前流行的大部分聊天工具(QQ、MSN、SKYPE、贸易通等)的文本聊天内容,还能够导出、备份、保存、打印这些实时记录,且支持根据关键字查询。4、程序窗口变化记录可以在控制台查看指定时间段、全体/指定分组/终端的程序窗口变化记录。5、文件操作日志可以在控制台上查看指定时间段、全体/指定分组/终端的文件操作记录。包括文件/文件夹创建、重命名、复制、删除,打开文件、编辑文件的操作;并支持移动磁盘、光盘刻录文件、网上邻居等。(四)应用程序限制提供应用程序白名单和黑名单功能,方便地限制员工可以运行哪些程序,不能运行哪些程序。1、远程操作可以对终端进行远程协助、远程注销Windows、远程重启、远程关机、修改服务器连接地址以及远程发送消息。2、资源管理器可以在控制台上列出终端电脑上的文件列表,可选择列出所有文件或选择只列出加密文件。3、设备限制可以禁止终端使用指定设备,包括打印机和移动存储设备。其中,打印机限制可以设置禁止使用打印机,或只允许使用指定打印机、只允许指定程序使用打印机;驱动器限制包括USB存储设备限制、光盘驱动器限制、软盘驱动器限制,都可以设置成允许使用、禁止使用或只读。4、存储设备认证USB存储设备认证功能是在禁止所有的USB存储设备使用的情况下,允许指定分组/终端可以使用指定的USB存储设备,即指定分组/终端只能使用经过服务器认证的USB存储设备,没经过认证的USB存储设备将不能被识别。天锐绿盾信息安全管理软件可对设计院内的所有计算机的上述操作记录进行全程监控,并记录在系统中,生成计算机终端的操作日志和内容监控,如:打印监控、应用程序操作监控、屏幕录像、聊天监控等,方便院领导日后的查询追踪和统计。五、资质情况目前天锐绿盾已有多个产品取得了著作权登记证书、软件产品登记证书、信息安全产品销售许可证,涉密产品认证证、军工产品认证,并有多项专利。十、联系方式山东省济南市历下区山大路47号数码港大厦C座601TEL:0531-62361699