一、存在问题
以设计图纸为核心的企业敏感数据在生成和传播过程中高度依赖于网络和各类信息处理终端,数据广泛在设计、生产(包括冲压、焊装、涂装、总配装)等部门间流转;
企业员工由于专业差异等因素影响,终端操作人员的信息化操作水平差异大;
企业管理文化趋向于制度化、规范化,在精益管理等理念的引导下,安全管理深刻的融入到企业日常生产过程中;
在制造、设计高度信息化、网络化的趋势带动下,企业引入了大量与生产制造相关的应用系统,包括CAD、CAM、CAPP、PDM、MPM等。
供应链管理设计合作单位非常多,在信息化过程中外单位的来往人员也比较频繁,企业普遍缺乏对外来人员的信息安全风险防范手段。
二、需求分析
如何对核心的技术机密、专利、设计图纸、源代码、程序文件等进行有效的安全管理?
如何对企业商业敏感机密信息有效的安全保护?
如何从网络传输、移动存储、内容拷贝、文件拖动等途径防止重要文档泄密?
如何实现涉密文档在访问、操作、关闭等使用过程中的安全防护、监管?
三、解决方案
对于数据在存储、传输、交换过程中的安全环节,采用了多种加密手段结合的方式保护。主要采用了磁盘加密、外设控制、移动存储加密、文档加密等几个体系来保障安全环境的建立。
磁盘加密采用高强度加密算法,对磁盘进行透明加密,一旦磁盘被拆卸或者丢失则无法打开数据。外设控制则可控制计算机通过非正常手段,比如蓝牙、红外等设备进行数据传输泄密。移动存储加密可为企业内部提供强大的移动存储管理功能,既方便了企业的内部交流使用又对数据加密防止数据泄密。
1.802.1x准入控制,禁止外来设备随意接入内网
(1)部署迅速的802.1X平台
利用快速部署技术,注册入网是确认设备“身份”的唯一凭证,系统通过“一体化”的终端安全防护技术,综合接入认证、终端注册信息、系统身份验证等策略,确保用户合法接入内网。
(2)准入技术为国际标准
准入技术采用国际标准的IEEE802.1x,在接入层端口级进行准入的控制,非法设备无法获得网络内的任何资源,整个网络边界明确。802.1x技术不存在影响网络的扫描和频繁发包阻断,与安全软件五冲突,安全系数高,符合入网控制的要求。
(3)基于终端的阻断技术
采用基于终端设备底层驱动的阻断技术,对于非法流量直接在终端设备端进行阻断,能有效避免软件方式准入DNS或TCP欺骗方式的情况下,在网络设备端进行阻断时存在的各种安全漏洞,实现最完备的管理效果。
2.移动存储介质(如U盘,3G网卡等)管理
采用高强度加密算法,对磁盘进行透明加密,保证磁盘上数据安全性的同时,对用户的日常操作没有任何影响。网络管理员对注册之后的U盘进行审核才可进入内网使用。
人盘绑定,移动存储介质注册时,通过注册程序对移动存储介质打上标签,在移动存储上对用户信息进行记录。杜绝了私用U盘的传播,禁止了U盘中运行可执行文件,禁止U盘自动启动,极大程度的降低了并度通过U盘传播的几率。并且管理员对U盘的插拔进行审计,有效的管理U盘的使用,做到事后的可查询跟踪。
3.员工上网行为管理
(1)应用程序管控
●禁止指定应用程序在指定时间内使用
管理员可以在指定时间段内,对某些禁止访问的网站及FTP按照业务类别、源地址、目的网址、标题、内容、黑名单等组合自行设置控制策略,过滤一些和工作无关的应用程序。分时段或者全天阻止游戏、炒股、视频播放等程序的运行,让工作人员工作的时候认认真真工作,休息的时候尽情放松,这样,既提高工作效率,有提高工作积极性。
●记录和审计应用程序使用情况
对网站的访问过程及交互内容进行“全拷贝”式记录,并可按关键字与既定规则对其实施“全景式”搜索还原审计,让管理员对应用程序的使用情况一清二楚。
(2)网页浏览管控
●全天候过滤不良网站
信息安全管理软件可以过滤黄色、保留和恶意传播病毒的网站,保证用户在合规合法范围内使用网页,既不能访问下载页,不能上传散播任何含色情暴力成分内容。这样不但能让企业规避法律风险,而且可以保护企业系统的安全。
●分时段限制各类网站的访问
为了方便管理者操作与管理,网站可以按类别进行管理,管理者可按需分时段屏蔽某类房展的访问权限,使网站管理更灵活、更具人性化。
..上海企业制造业OA办公系统软件专题
|
