一�、存在問(wèn)題
以設(shè)計(jì)圖紙為核心的企業(yè)敏感數(shù)據(jù)在生成和傳播過(guò)程中高度依賴于網(wǎng)絡(luò)和各類信息處理終端,數(shù)據(jù)廣泛在設(shè)計(jì)���、生產(chǎn)(包括沖壓��、焊裝��、涂裝����、總配裝)等部門間流轉(zhuǎn)��;
企業(yè)員工由于專業(yè)差異等因素影響�����,終端操作人員的信息化操作水平差異大����;
企業(yè)管理文化趨向于制度化�����、規(guī)范化���,在精益管理等理念的引導(dǎo)下,安全管理深刻的融入到企業(yè)日常生產(chǎn)過(guò)程中���;
在制造�����、設(shè)計(jì)高度信息化、網(wǎng)絡(luò)化的趨勢(shì)帶動(dòng)下���,企業(yè)引入了大量與生產(chǎn)制造相關(guān)的應(yīng)用系統(tǒng)�,包括CAD�����、CAM����、CAPP�、PDM�、MPM等。
供應(yīng)鏈管理設(shè)計(jì)合作單位非常多��,在信息化過(guò)程中外單位的來(lái)往人員也比較頻繁����,企業(yè)普遍缺乏對(duì)外來(lái)人員的信息安全風(fēng)險(xiǎn)防范手段。
二����、需求分析
如何對(duì)核心的技術(shù)機(jī)密、專利����、設(shè)計(jì)圖紙、源代碼���、程序文件等進(jìn)行有效的安全管理�����?
如何對(duì)企業(yè)商業(yè)敏感機(jī)密信息有效的安全保護(hù)���?
如何從網(wǎng)絡(luò)傳輸�、移動(dòng)存儲(chǔ)�、內(nèi)容拷貝、文件拖動(dòng)等途徑防止重要文檔泄密�����?
如何實(shí)現(xiàn)涉密文檔在訪問(wèn)����、操作、關(guān)閉等使用過(guò)程中的安全防護(hù)����、監(jiān)管?
三�、解決方案
對(duì)于數(shù)據(jù)在存儲(chǔ)��、傳輸��、交換過(guò)程中的安全環(huán)節(jié)���,采用了多種加密手段結(jié)合的方式保護(hù)���。主要采用了磁盤加密���、外設(shè)控制、移動(dòng)存儲(chǔ)加密��、文檔加密等幾個(gè)體系來(lái)保障安全環(huán)境的建立����。
磁盤加密采用高強(qiáng)度加密算法,對(duì)磁盤進(jìn)行透明加密�����,一旦磁盤被拆卸或者丟失則無(wú)法打開數(shù)據(jù)�。外設(shè)控制則可控制計(jì)算機(jī)通過(guò)非正常手段,比如藍(lán)牙���、紅外等設(shè)備進(jìn)行數(shù)據(jù)傳輸泄密����。移動(dòng)存儲(chǔ)加密可為企業(yè)內(nèi)部提供強(qiáng)大的移動(dòng)存儲(chǔ)管理功能�,既方便了企業(yè)的內(nèi)部交流使用又對(duì)數(shù)據(jù)加密防止數(shù)據(jù)泄密。
1.802.1x準(zhǔn)入控制�,禁止外來(lái)設(shè)備隨意接入內(nèi)網(wǎng)
(1)部署迅速的802.1X平臺(tái)
利用快速部署技術(shù)���,注冊(cè)入網(wǎng)是確認(rèn)設(shè)備“身份”的唯一憑證,系統(tǒng)通過(guò)“一體化”的終端安全防護(hù)技術(shù)���,綜合接入認(rèn)證���、終端注冊(cè)信息、系統(tǒng)身份驗(yàn)證等策略��,確保用戶合法接入內(nèi)網(wǎng)����。
(2)準(zhǔn)入技術(shù)為國(guó)際標(biāo)準(zhǔn)
準(zhǔn)入技術(shù)采用國(guó)際標(biāo)準(zhǔn)的IEEE802.1x,在接入層端口級(jí)進(jìn)行準(zhǔn)入的控制�����,非法設(shè)備無(wú)法獲得網(wǎng)絡(luò)內(nèi)的任何資源�����,整個(gè)網(wǎng)絡(luò)邊界明確����。802.1x技術(shù)不存在影響網(wǎng)絡(luò)的掃描和頻繁發(fā)包阻斷,與安全軟件五沖突�,安全系數(shù)高,符合入網(wǎng)控制的要求�����。
(3)基于終端的阻斷技術(shù)
采用基于終端設(shè)備底層驅(qū)動(dòng)的阻斷技術(shù)��,對(duì)于非法流量直接在終端設(shè)備端進(jìn)行阻斷����,能有效避免軟件方式準(zhǔn)入DNS或TCP欺騙方式的情況下,在網(wǎng)絡(luò)設(shè)備端進(jìn)行阻斷時(shí)存在的各種安全漏洞��,實(shí)現(xiàn)最完備的管理效果���。
2.移動(dòng)存儲(chǔ)介質(zhì)(如U盤���,3G網(wǎng)卡等)管理
采用高強(qiáng)度加密算法,對(duì)磁盤進(jìn)行透明加密�,保證磁盤上數(shù)據(jù)安全性的同時(shí),對(duì)用戶的日常操作沒有任何影響����。網(wǎng)絡(luò)管理員對(duì)注冊(cè)之后的U盤進(jìn)行審核才可進(jìn)入內(nèi)網(wǎng)使用��。
人盤綁定�,移動(dòng)存儲(chǔ)介質(zhì)注冊(cè)時(shí)����,通過(guò)注冊(cè)程序?qū)σ苿?dòng)存儲(chǔ)介質(zhì)打上標(biāo)簽,在移動(dòng)存儲(chǔ)上對(duì)用戶信息進(jìn)行記錄�����。杜絕了私用U盤的傳播����,禁止了U盤中運(yùn)行可執(zhí)行文件,禁止U盤自動(dòng)啟動(dòng)�,極大程度的降低了并度通過(guò)U盤傳播的幾率。并且管理員對(duì)U盤的插拔進(jìn)行審計(jì)�,有效的管理U盤的使用,做到事后的可查詢跟蹤����。
3.員工上網(wǎng)行為管理
(1)應(yīng)用程序管控
●禁止指定應(yīng)用程序在指定時(shí)間內(nèi)使用
管理員可以在指定時(shí)間段內(nèi),對(duì)某些禁止訪問(wèn)的網(wǎng)站及FTP按照業(yè)務(wù)類別���、源地址�����、目的網(wǎng)址����、標(biāo)題���、內(nèi)容��、黑名單等組合自行設(shè)置控制策略�����,過(guò)濾一些和工作無(wú)關(guān)的應(yīng)用程序��。分時(shí)段或者全天阻止游戲�����、炒股�、視頻播放等程序的運(yùn)行����,讓工作人員工作的時(shí)候認(rèn)認(rèn)真真工作�����,休息的時(shí)候盡情放松�����,這樣����,既提高工作效率�����,有提高工作積極性�。
●記錄和審計(jì)應(yīng)用程序使用情況
對(duì)網(wǎng)站的訪問(wèn)過(guò)程及交互內(nèi)容進(jìn)行“全拷貝”式記錄,并可按關(guān)鍵字與既定規(guī)則對(duì)其實(shí)施“全景式”搜索還原審計(jì)�,讓管理員對(duì)應(yīng)用程序的使用情況一清二楚。
(2)網(wǎng)頁(yè)瀏覽管控
●全天候過(guò)濾不良網(wǎng)站
信息安全管理軟件可以過(guò)濾黃色�����、保留和惡意傳播病毒的網(wǎng)站���,保證用戶在合規(guī)合法范圍內(nèi)使用網(wǎng)頁(yè)�,既不能訪問(wèn)下載頁(yè),不能上傳散播任何含色情暴力成分內(nèi)容�����。這樣不但能讓企業(yè)規(guī)避法律風(fēng)險(xiǎn)��,而且可以保護(hù)企業(yè)系統(tǒng)的安全����。
●分時(shí)段限制各類網(wǎng)站的訪問(wèn)
為了方便管理者操作與管理�����,網(wǎng)站可以按類別進(jìn)行管理����,管理者可按需分時(shí)段屏蔽某類房展的訪問(wèn)權(quán)限,使網(wǎng)站管理更靈活��、更具人性化�。
|
