当前位置:首页 > 产品中心 > 超陵软件
超陵内网安全管理(lǐ)
超陵内网安全管理(lǐ)
一、内网安全面临的挑战
随着计算机网络技术、Internet 、Intranet和数字通信技术飞速发展,信息网络技术的应用(yòng)层次不断深入,应用(yòng)领域从传统的、小(xiǎo)型业務(wù)系统逐渐向大型、关键业務(wù)系统扩展,如電(diàn)子政務(wù)、CIMS、知识管理(lǐ)、電(diàn)子金融、社会保障、GIS系统等。大量的技术和业務(wù)机密存储在计算机和网络中,对网络安全性要求变得越来越高,需要有(yǒu)效地制定安全策略以保护机密数据信息。通常的安全策略的一个基本假设是:网络的一边即外部的所有(yǒu)人是不可(kě)信任的,另一边即内部的所有(yǒu)人是可(kě)信任的。通常认為(wèi)黑客、病毒以及各种蠕虫的攻击大都来自外部的侵袭。但是,根据美國(guó)FBI的统计,各种计算机网络、存储数据遭受的攻击和破坏,80%是内部人员所為(wèi)。来自内部的数据失窃和破坏,遠(yuǎn)遠(yuǎn)高于外部黑客的攻击。企业内部竞争性情报信息是企业无形资产管理(lǐ)的重要部分(fēn)。俗话说“知己知彼,百战不殆”,如何保护企业自身重要情报不被竞争对手窃取,使企业在使用(yòng)网络来提高工作效率的同时避免企业重要的知识产权遭受侵害,将是文(wén)档安全管理(lǐ)的一个重要课题。传统的安全解决方案比如防火墙、入侵检测、防病毒在网络安全中起到非常重要的作用(yòng)。由于现在网络边界的概念逐渐模糊,通过VPN、无線(xiàn)上网、遠(yuǎn)程拨号等方式连接到内部网络变得非常普遍,内网上各种信息滥用(yòng)、误用(yòng)、恶用(yòng)行為(wèi)增加,严重影响内网安全。对于以上安全问题,传统安全技术显得力不从心。
据IDC统计,80%以上的安全威胁来自于内部,内网数据安全所面临的安全隐患主要表现在如下几个方面:
1. 非法外联难以控制、内部重要机密信息泄露频繁发生
2. 移动電(diàn)脑设备随意接入、网络边界安全形同虚设
3. 缺乏外设管理(lǐ)手段,数据泄密、病毒传播无法控制
4. 内部竞争情报和具有(yǒu)知识产权图档泄露严重
5. 管理(lǐ)制度缺乏依据,无法取证,安全策略无法有(yǒu)效落实
二、企业内网安全需求分(fēn)析
A. 一些重要文(wén)档如:财務(wù)报表、设计图纸、客户资料、源代码等以明文(wén)形式保存,通过邮件、即时通讯工具(QQ、TM、MSN)、U盘等移动存储设备、拆卸硬盘等发往外网造成泄密;
B. PC机和网络设备的软硬件IT资产管理(lǐ)混乱;
C. 科(kē)室和PC机众多(duō)管理(lǐ)不方便,登记混乱;
D. 要求合理(lǐ)利用(yòng)IP,杜绝IP冲突,防止arp病毒的攻击;
E. 对员工的桌面工作情况无法准确定位判断分(fēn)析;
F. 员工在上班时间玩游戏、下载、上传、看在線(xiàn)影视影响企业形象,占用(yòng)网络带宽资源造成其他(tā)办公系统无法正常运作、而且降低工作效率甚至引发病毒。
G. 特定的文(wén)件程序共享后分(fēn)发安装繁琐。
H. 打印机、外部接口随意使用(yòng)。
I. 非法机器设备接入内网,随意访问内网资源;内部机器违规非法外联;
J. 信息中心摘除了PC的光驱软驱,软驱,但是U盘使用(yòng)广泛,病毒从U盘感染到内网,扩散很(hěn)快,无法彻底清除。
K. 对大量PC客户端的维护工作量大,不便于维护管理(lǐ)。
L. 要求对网络行為(wèi)时时控制,时时记录并保存日志(zhì)。
M. 要求对网络中潜在的危险行為(wèi)做到主动防御,事前预防,事后追踪。
N. PC总会遭到病毒的攻击,如何及时的打补丁给相关部门提出了新(xīn)的要求。
O. 对浏览过的网站和文(wén)件的操作新(xīn)建、修改、删除、重命名等没有(yǒu)详细记录日志(zhì)。
P. Windows系统补丁及时自动下载安装。
三、超陵内网安全解决方案
超陵内网安全管理(lǐ)系统整合了文(wén)档透明加密,桌面安全管理(lǐ)、终端准入管理(lǐ)、移动存储介质管理(lǐ)、上网行為(wèi)管理(lǐ)等产品,為(wèi)用(yòng)户提供整體(tǐ)内网安全解决方案,通过超陵整體(tǐ)内网安全产品的部署,可(kě)以成功的解决以上问题。
A. 通过超陵加密解密模块在不影响用(yòng)户使用(yòng)习惯的情况下,强制透明自动加密涉密资料以及重要数据;控制泄密资料以邮件、即时通信工具、U盘拷贝等方式泄密。即使发到外网数据在没有(yǒu)超陵客户端的情况下无法正常使用(yòng),强制打开将以乱码方式显示,看不到文(wén)件的明文(wén)。这也是杜绝泄密的有(yǒu)效办法从泄密文(wén)件根源上来解决问题。
B. 通过超陵的USB存储管理(lǐ)功能(néng)解决U盘等移动存储设备的任意混乱使用(yòng),可(kě)分(fēn)组、分(fēn)时效、分(fēn)个人、分(fēn)权限使用(yòng)注册USB存储设备;可(kě)将外部设备和内部设备做出區(qū)分(fēn)对待;
C. 通过软、硬件资产审计功能(néng),能(néng)够对内网的PC进行软硬、件资产的审计,防止企业IT资产流失。
D. 通过超陵的移动外发管理(lǐ)可(kě)以灵活區(qū)分(fēn)泄密资料数据在各种应用(yòng)场景下的处理(lǐ)与应用(yòng);场景详情详见下图:
E. 通过IP绑定功能(néng),可(kě)以对内网中IP合理(lǐ)管理(lǐ),让IP冲突成為(wèi)幻影。
F. 通过多(duō)屏监控和每日应用(yòng)程序审计功能(néng)可(kě)以实时观看员工的桌面行為(wèi),以及每天的访问应用(yòng)程序记录,可(kě)以客观的评估员工绩效;
G. 通过网络拓扑功能(néng),可(kě)以对网络中的设备可(kě)视化查看管理(lǐ)。
H. 通过程序黑名单功能(néng),可(kě)以禁止客户机使用(yòng)类似游戏,下载、上传、在線(xiàn)影视一类的软件。
I. 通过遠(yuǎn)程文(wén)件程序分(fēn)发功能(néng),可(kě)以对所有(yǒu)PC客户端轻而易举的遠(yuǎn)程安装分(fēn)发。
J. 通过打印机管理(lǐ)、外部接口管理(lǐ)功能(néng),可(kě)以限制PC客户端的打印机和外部接口使用(yòng)。
K. 通过入侵检测功能(néng),可(kě)以对非法接入到内网中的主机进行限制告警。
L. 通过USB存储管理(lǐ)功能(néng),对外部USB类存储设备禁用(yòng)。
M. 通过遠(yuǎn)程调试功能(néng),可(kě)以轻松的遠(yuǎn)程解决各客户端的故障问题。
N. 通过文(wén)件审计功能(néng),对PC客户端的所有(yǒu)操作准确记录。
O. 通过非法外联报警功能(néng),可(kě)以禁止内网PC访问互联网。
P. 的操作系统进行升级打补丁。通过补丁管理(lǐ)功能(néng),自动对下面的PC
四、超陵功能(néng)列表
五、超陵产品部署
超陵系统由四个不同的组件组成:客户端组件、服務(wù)器组件、控制台组件、硬件准入网关。用(yòng)户可(kě)以根据具體(tǐ)需要将它们安装在局域网中的计算机上。客户端组件安装在每一台需要被监视的计算机上。服務(wù)器组件用(yòng)来存储和管理(lǐ)所有(yǒu)安装客户端组件的计算机,用(yòng)于管理(lǐ)监视所产生的相关数据,一般安装在一台具有(yǒu)大容量内存和硬盘的服務(wù)器计算机上。控制台组件主要用(yòng)于监视每台安装有(yǒu)客户端组件的计算机及查看历史记录,一般安装在网管和管理(lǐ)人员的计算机上,也可(kě)以和服務(wù)器组件安装在同一台计算机上。硬件准入网关主要提供对内网服務(wù)器进行保护,可(kě)架设在内网服務(wù)器前端,起到准入控制的作用(yòng)。
客户端组件的基本功能(néng)包括:
ü 定时采集数据并保存
ü 定时将采集的数据传送到服務(wù)器
ü 执行服務(wù)器端和控制台的安全策略
控制台组件的基本功能(néng)包括:
ü 实时获取受监视计算机的所有(yǒu)信息
ü 按需要,对单个或对一组目标机进行实时监视,并可(kě)以轮流显示多(duō)个目标机的屏幕
ü 制定全局或组安全策略和设置监视和控制规则
ü 查看并播放记录在服務(wù)器端的历史记录
服務(wù)器组件的基本功能(néng)包括:
ü 定时搜索网络,管理(lǐ)所有(yǒu)已安装客户端组件的机器,并向客户端组件传递相关的设置和命令信息
ü 收集客户端组件的采集的数据,并将其保存到数据库中
ü 备份历史资料
ü 提供方便灵活的历史记录管理(lǐ)、归档、搜索、查看等功能(néng)
准入控制网关的基本功能(néng)包括:
ü 检测没有(yǒu)安装超陵终端准入控制系统客户端的主机,对其采取安全隔离措施,使其无法成功接入到内部网络中。
ü 通过网页重定向方式,指向服務(wù)端下载安装客户端。
ü 收集客户端组件的采集的数据,并将其保存到数据库中
六、超陵运行环境
安装客户端组件的计算机的基本要求:
Ø 操作系统Win2000/XP/2003/Vista/win7/win8
Ø 最低配置Pentium 赛扬 /128MB 内存/10G 可(kě)用(yòng)硬盘空间
Ø 建议配置Pentium III 500/256MB 内存/20GMB 可(kě)用(yòng)硬盘空间
安装控制台组件的计算机的基本要求:
Ø 操作系统Win2000/XP/2003 /Vista/win7/win8
Ø 最低配置Pentium III 500/256MB 内存/10GB 可(kě)用(yòng)硬盘空间
Ø 建议配置Pentium Ⅳ 3.0/512MB 内存/50GB 可(kě)用(yòng)硬盘空间
安装服務(wù)器端组件的计算机的基本要求:
Ø 操作系统Win2000/XP/2003/ Vista/win7/win8
Ø 最低配置Pentium III 500/256MB 内存/10GB 可(kě)用(yòng)硬盘空间
Ø 建议配置Pentium Ⅳ 3.0/512MB 内存/50GB 可(kě)用(yòng)硬盘空间
根据客户端数量规模建议服務(wù)器端计算机配置:
