公司网络安全解决方案

XX公司网络安全解决方案

1. 公司网络安全现状及需求

XX公司是面向XX领域的公司，公司与下属各个单位有很深的业务关系，公司自主的软件也应用在XX集团各个下属单位。因此，公司的一些文档，资料，产品代码属于涉密安全信息，需要加强进行管理。但当前并没有对安全文档进行涉密分级及加密管理，具有安全隐患。 另外，随着公司集团化，规模化的发展，公司办公网络已经变成由总分公司，办事处等组成的多地协同办公体系。公司的OA办公，网络报销，项目审批等均需要在网络进行，但当前的内网OA系统无法满足面向公网及远程接入办公。而且由于当前网络办公环境中，对于接入的外来终端计算机没有采取严格的授权接入方式，这些由于公司规模扩大引起的需求变化及需要统筹解决，针对安全电子文档，外网协同办公，内网接入控制，安全终端管理等方面需要提供总体的网络安全解决方案。

2. 当前重点需要解决的问题

针对公司的网络安全现状以及未来发展的需求，当前我们重点需要解决的安全问题有三个方面：

（1）内部涉及企业秘密的电子文档安全管理

作为商业企业的XX来说，可能给企业所带来的一个巨大潜在风险就是重要机密电子文档的泄密问题，企业人员在被解职或辞职时，她们是有很多种渠道将企业内部的像重要文档、机密图纸、设计资料、程序源代码和企业预研方向的阶段性成果等属于企业知识产权保护及涉及企业核心竞争力范畴的机密电子文档带出企业，企业员工一个电子邮件、一个U盘拷贝、一部口袋里的MP3播放器或一台随身携带的笔记本电脑，就能够轻松将企业的重要机密电子文档从企业里窃取出来，更何况企业员工进入企业内部网络和打开存在有机密电子文档的电脑是何等的轻而易举!面对这些触目惊心的现实存在，一套严密而完整的企业级电子文档保护解决方案就可能成为企业最后赖以生存的“救命稻草”。

事实上，由于当前高度普及的企业信息化建设与相对比较薄弱的企业网络安全管理一直存在矛盾，企业内部员工对重要机密信息的存放地和相关使用权限都非常熟悉，可只要会操作电脑就有可能会主动或非主动(如误操作)的盗取机密文档和机密信息，因此说内网安全和加强对企业内部员工的监管是有效保障企业电子文档安全和终端数据安全最重要的一道环节。

（2）经过安全方式由外网访问公司OA等系统进行远程办公

公司办公OA的现状是内网办公网络并没有与外部网络完全隔离，内部人员能够经过IE同时登录内网办公及外网网络，内外网邮件系统能够同时使用，内网OA无法经过公网安全登录进行办公操作。对于内网办公而言，主要的安全需求除去上面对文档安全要求，禁止文档经过usb，邮件等方式传出公司，同时对于OA系统同样有基本安全需求：

访问控制安全需求：将公司网络的主机、服务器与相关管理业务部门网络进行隔离控制，限制外网非法用户服务请求，使非法访问在到达主机前被拒绝；对外网合法用户对内部不同子网访问进行适当的限制；内部不同业务子网访问实行部分开放原则；记录各种进出访问行为。

通信保密需求：一些重要通信要经过公网进行信息传输，存在信息被窃取、篡改、伪造、删除的危险，必须加强传输中的信息加密，而且因领导、单位、部门相应的职权范围不同，因此要按密级要求建立相应的身份认证、密钥和密码的管理、密文信息传输系统，保障机密信息不被无关人员窃取。

数据保护安全需求：移动公司网络的应用服务器系统多、应用复杂，对服务器的数据保护成为首要问题，防止病毒侵袭、服务器数据的篡改、机密信息的泄露成为数据安全的三大需求。

内外网及子网安全访问: OA系统一直都是必须的一项业务。随着企业的发展，开设分公司、新办事处、在家办公、移动办公等都成了一种新的需求。因此，OA系统的应用不但仅局限于某个公司总部或单位总局小型局域网了，现在总部都需要实现和分支机构的互联，使OA系统中的个人办公、公文系统、综合业务、行政管理、综合信息等资源共享，让公司管理更加统一规范，保证物流、信息流的实时更新，确保公司市场信息的及时传递，营销方案的及时执行，提高工作效率等等。

（3）内网安全接入控制

安全管理中存在的巨大缺陷，集中表现在安全管理存在两个被割裂的客体：企业中每一个真实的员工和企业网中的用户。由于两个客体之间不存在确定的对应关系，致使病毒有了可乘之机，也纵容那些存在恶意企图的员工进行非授权访问，同时对于外来接入的非法机器也无法进行有效控制。而且更为严重的是，由于网络中的身份不可靠，即使发生了安全事故，也无法找出隐藏在背后的“真凶”，安全管理制度和条例也形同虚设。

企业网络安全接入控制，就是要借助最新的安全技术和产品，建立起安全管理中两个客体之间的确定对应关系，从而保证实现安全技术和安全管理的无缝结合，经过建立企业网络中确定用户的身份标识，将网络用户与自然人建立起一一对应的关系，确保员工依据自己在企业中的真实角色，在网络中从事与本职工作相关的行为。即使有人仍要尝试去做违背自己角色的事情，企业仍能够经过网络用户与自然人的一一对应关系，找到为这件事情负责的人。

3. 解决方案

3.1. SSL VPN安全解决方案

OA系统的基于局域网的内部安全需求及身份认证由其它解决方案，这里主要讨论基于远程办公需求的解决办法。对于有多个异地分支的OA办公及需要经过公网访问OA办公的需求，主要需要经过SSL VPN 构造整个办公安全体系。

OA办公VPN组网原理和远程ERP系统组网原理相同，都属于应用系统远程组网。下面以一种VPN产品为例，简单描述解决方案。只需要在客户的总部以及各个分支机构分别放一台SSL VPN系列服务器，各点经过ADSL或其它方式接入公网INTERNET，就能够为客户构建廉价，稳定的VPN网络。因公司或企业领导需要在家或出差在外时仍能方便办公，故可采用PPTP拨号方式接入，实现与总部的互联。

网络架构

总部：总部一般来讲是企业信息存放、处理的中心，网络内部主机数量多，数据流量大，安全性和实时性要求高；因此推荐采用高性能的VPN产品作为接入服务器。对于实时要求很高的企业用户，能够在总部采用两台作双机备份，保证稳定数据传输

分支机构：企业分支机构一般指分布在全国各地规模中等的分公司，公司内部建有中等规模的局域网，同时经过当地ISP提供的宽带接入方式接入因特网。安装一台SSL VPN，作为客户端接入总部。

移动办公用户：采用PPTP或L2TP协议，接入总部，可支持CDMA/GPRS及802.11b等无线移动接入，用户即使在乘坐车船甚至飞机的途中，可随时随地实现移动办公。

用户无需安装任何客户端软件，只需利用操作系统自带的浏览器就能够进行内部访问。

实现MIS系统、CRM治理系统、NOTES系统等网络版应用系统的远程互联，采用最少的网络互联投资成本，最大限度的发挥公司应用系统的效率，实现无纸化办公，移动办公。

ERP系统、OA办公系统的全公司互联：各分支机构与总部象是在同一间办公室里一样共享并同步应用ERP、OA治理系统，让公司治理更加统一规范，保证物流、信息流的实时更新，确保公司市场信息的及时传递，营销方案的及时执行，提高工作效率。

3.2. 文档安全管理系统安全解决方案

文档安全管理系统采用国家密码管理机构认定的加密算法对重要电子文档进行多种不同密级的加密保护，保证文档只有在可信网络中才能正常使用。

系统采用CS架构，分为服务器端和客户端，下图为部署示意图：

安全文档管理系统部署的服务器组上，能够连接负载均衡设备，总公司办公环境中的客户端经过局域网与服务器相连；分公司办公环境经过VPN或光纤系统连接到总公司；带出办公环境的笔记本经过互联网与安全管理系统服务器相连。

安全文档管理系统将员工计算机上的电子文档就地进行加密保护，将明文文档变成密文文档。

用户在打开加密文档时客户机会向文档安全管理服务器发送申请，请求服务器将使用该文档的密钥（解密文件时用的电子钥匙）发放给客户机器。服务器会查看该客户机上是否按规定安装了文档安全系统的客户端软件。经过客户端界定该用户是否是合法用户；如果用户经过了所有审核，服务器会发放密钥允许用户使用该文档。如果没有经过审核文档将无法正常打开，打开后的文档显示为乱码。整个加解密过程对用户来说都是透明的，不改变用户的使用习惯，同时采用“一文一密”的方式保证文档的安全性。

根据功能需求的不同，大致能够分为以下几种方式：

⏹ 全加密模式

⏹ 文档格式加密模式

⏹ 安全域与文档格式相结合加密模式

⏹ 手动加密模式

⏹ 手动自动一体加密模式

全加密模式会在用户安装完客户端后，将计算机内所有文档进行加密，此类方式安全性较高，实现较为简单，但对于非受控文件的使用会带来不便。

文档格式加密模式是根据文件格式的不同对文档进行加密，如：.doc、.docx、.xls等，此类方式相对比较灵活，可是支持的文件格式类型有限。

安全域与文档格是相结合加密模式是指根据不同的用户群，进行安全域的划分，根据安全域不同采用不同的加密方式，如：研发部门主要针对代码文件和图纸文件进行加密，重要电脑进行全盘加密；而财物部主要针对报表文件进行加密。此类方式较为合理，但需要管理人员对安全域的划分有较准确的认识。如下图所示：

手动加密模式是根据用户个人判断文件的重要性选择进行加密，手动加密方式对用户来说比较灵活自由，但安全性怎完全取决于用户的个人意识。如下图所示：

手动自动一体加密模式也可按安全域和文档格式进行设置，如：设置某部门内的计算机中的一种或几种格式的文档按照手动加密方式加密；另外的文档按照自动方式进行加密。实现一台计算机中手动加秘与自动加密的并存。此种方式较为灵活，可是设置复杂，对管理人员要求也较高。如下图所示：

根据公司当前的网络及部门情况的不同，我们建议采用安全域与文档格是相结合加密模式。

3.3. 终端管理系统安全解决方案

终端管理系统主要针对终端网络、输入输出设备、接口以及用户敏感的行为进行监控和审计，从而有效的防止信息泄露事件的发生，同时针对终端用户行为进行全面的审计。

系统采用CS架构，由监控管理中心和客户端组成，监控管理中心包括“终端管理服务器”和“控制台”。如下图所示：

word/media/image7.gif

在需要管理的PC和笔记本上安装Agent客户端，进行管理，具体能够实现的功能如下：

（1）控制功能

✓ 计算机输入输出接口监控审计，包括：并行接口、串行接口、USB接口、IDE接口等。

✓ 计算机输入输出设备监控审计，包括：USB类设备（包括其它类型的USB设备，比如数码相机、MP3等；而且从驱动上进一步细分为：USB存储设备、USB打印设备、USB集线器、USB通信设备、USB输入设备、其它USB设备）、光驱、软驱、打印机、硬盘、网卡、1394设备、红外设备、PCMCIA设备、MODEM等。

✓ 文件操作监控审计，包括：新建、读、写、重命名、删除、执行等操作。

✓ 非法外联监控审计：用户无论以什么方式连接互联网，系统都会实时给予阻断而且报警。

✓ 非法接入监控审计：外部非授权用户非法接入内部网络中，系统会予以阻断并报警。

✓ 控制用户敏感行为：是否允许进入安全模式、修改网络设置（包括IP地址、子网掩码、网关、DNS服务器）、共享目录文件等等。

✓ 支持补丁分发：快速、高效、统一的完成客户端操作系统漏洞的修补工作；

（2）监测功能

✓ 实时监测输入输出接口和设备的使用情况。

✓ 实时监测软硬件资源变更：包括软件安装、卸载、操作系统的重装、硬件变更等事件和行为。

✓ 终端主机资源监控：包括硬件资源、软件资源、系统资源等。

✓ 实时监测用户敏感行为：打印文件、非法连入互联网、进入安全模式、非法主机接入、终端上下线、添加删除打印机、IP地址改变、更换网卡、修改系统时间、企图杀死终端通信进程、计算机唯一标识改变、文件操作（包括新建、修改、打开、关闭、删除、重命名）、其它主机访问共享目录等。

（3）审计功能

✓ 报表审计与日志功能：报表审计与日志功能，为日后管理取证提供很大方便，同时可对生成的日志按多种组合条件进行过滤。

✓ 日志审计：审计终端报警日志、管理员操作日志，给安全事件的事后追查提供足够信息，有效防止安全事件的发生。

3.3.1 终端计算机防泄密

终端计算机的防泄密解决措施包括两方面：一是对计算机终端进行安全审计，如网络接入、网络外联、文件操作、共享访问、设备使用、进程活动等，经过安全审计能够实时掌握用户的计算机使用行为。这类措施主要是应对恶意用户的主动泄密行为；二是对终端计算机进行安全加固。经过对终端计算机的安全加固，如补丁管理、防病毒软件监测、主机防火墙等可增强终端计算机的安全性和健壮性。这类措施主要是应对合法用户由于疏忽导致的被动泄密行为。

终端安全审计

计算机终端的安全审计包括了事前控制、事中监控和事后审计在内的一系列安全管理策略。经过安全审计，能够有效的控制、监视和追踪计算机终端用户的行为，一旦用户有违保密规定的行为发生，管理员能够快速得到报警信息。

对受控终端进行审计是经过规则进行的。审计规则设置的是对服务器规则控制下的行为的记录和统计。在服务器设置相应的审计规则后，如果客户端所在的设备有符合规则的行为发生，则在服务器的日志中会有相应记录。能够根据需要配置受控终端的文件操作、进程、网络访问等事件的规则。系统根据规则自动记录安全审计日志并存入系统日志信息库，这些信息是事后了解和判断网络安全事故的宝贵资料。

安全审计应包括如下几个方面：

✧ 涉密审计：涉密文件被操作使用、存储和传输审计功能；

✧ 入网审计：非法设备接入审计功能；

✧ 资产审计：自动登记受控终端的硬件配置（包括CPU、内存、硬盘、显示卡、网卡等等），当受控终端的硬件发生变动时能自动向安全管理核心系统发出报警信息；

✧ 系统审计：自动记录受控终端操作系统配置的用户、工作组、逻辑驱动器，当其发生变化时，自动向安全管理核心系统发出报警信息；

✧ 加载服务审计：对受控终端安装的系统服务进行审计，自动记录系统服务的启动和停止；

✧ 安装和卸载审计：自动记录受控终端上应用程序的安装与卸载情况；

✧ 文件审计：对文件操作进行审计，记录用户对规则指定文件进行的各种操作；

✧ 网络访问审计：对网络访问进行审计，记录用户对规则指定网址进行的访问操作；

✧ 打印机操作审计：对本地打印机使用情况进行审计；

✧ 移动存储设备审计：对受控终端的可移动存储设备的使用情况进行审计；

✧ 非法外联审计：对拨号、无线网卡、手机红外等访问情况进行审计。

✧ 进程监控：经过对终端计算机运行的进程进行监控，能够发现用户正在运行的程序。能够经过进程黑名单的方式限制用户运行某些程序，例如游戏、攻击工具、视频播放器、MP3播放器等。限制用户利用计算机进行与工作无关的操作。

终端系统加固

✧ 补丁管理：经过补丁管理，能够对内网终端计算机缺失补丁进行定期检测和自动安装与更新，保证系统与软件缺陷一经发现便可及时修补。经过补丁分发管理，大大减少了操作系统和应用软件漏洞被利用所造成的安全隐患和经济损失。同时，管理人员还能够实时统计当前各终端计算机的补丁缺失情况、补丁安装情况以及补丁安装的进度等，得到全网的终端计算机补丁安装快照。方便了对补丁分发过程的监控。

✧ 防病毒软件监测：经过防病毒软件监测，能够判断终端计算机是否安装了防病毒软件、防病毒软件运行是否正常以及病毒库是否保持最新等情况。如果以上几条不满足设定的策略要求，监测系统能够向管理人员发送报警信息。另外，监测系统还可阻断终端计算机的内网接入和内网访问，确保易被感染的终端计算机无法使用内网。

经过以上加固措施，使得终端计算机的安全强度和抵抗安全风险能力大大提高。更进一步，还能够对未及时更新补丁、未安装防病毒软件的计算机进行网络访问控制和隔离，使其形成内网中的“孤岛”。避免该终端计算机对内网其它主机造成安全威胁。

3.3.2 移动存储介质管理

可信移动介质解决方案，主要是实现如下目标：

1) 经过移动介质交换的数据必须是密文，保证数据离开应用环境后不可用；

2) 数据交换前必须经过正确的身份认证，包括密码认证或USB KEY等授权硬件的身份认证；

3) 记录数据交换过程的工作日志，便于以后进行跟踪审计；

4) 未经授权的移动介质，在工作环境中不可用，只有经过企业授权的移动介质才能进入到企业的办公环境；

5) 工作配发的移动介质带出办公环境后变为不可用。

为满足以上要求，公司在原有产品内容安全监控系统的基础上，经过扩展，增加了可信移动介质管理子系统，该系统综合利用信息保密、访问控制、审计等技术手段，对企业移动存储设备实施安全保护的软件系统，使企业信息资产、涉密信息不能被移动存储设备非法流失，用技术的手段，实现移动存储设备信息安全的“五不”原则，即：“进不来、拿不走、读不懂、改不了、走不脱”。

“进不来”，是指外部的移动存储介质拿到单位内部来不能用；“拿不走”是指单位内部的存储介质拿出去使不了；“读不懂”是指只有授权的人才能解密阅读，任何未经授权的人均无法打开其中的文件，这意味着即使存储介质丢失也不会造成泄密；“改不了”是指其中的信息篡改不了；“走不脱”是指系统具有事后审计功能，对违反策略的行为和事件能够跟踪审计。

可信移动介质管理模块的对象定位即移动存储设备，包括以下种类：

1) 软盘；

2) U盘；

3) 移动硬盘；

4) 各种移动存储卡。

可信移动介质管理模块的功能包括：首先，它能够集中管理移动存储设备；其次，要求对移动存储设备的使用之前进行认证；再次，对磁盘存储采用了加密方式，防止信息泄露；最后，实行数据加解密和操作行为的安全审计等。

可信移动介质管理模块可对移动存储介质统一注册，并可对移动存储介质设定密级。注册并设定密级的移动存储介质受以下保密原则约束：

1) 高密级移动存储介质不能在低密或者普通计算机上使用；

2) 涉密移动存储介质不能在非涉密计算机上使用；

3) 低密级移动存储不能（或者只读）在高密级计算机上使用；

4) 非授权的移动存储介质不能在涉密计算机上使用；

5) 即使密级相同，也只能在用户或者计算机得到许可的情况下才能够使用。

可信移动存储管理模块提供了对可移动存储介质从购买、使用到销毁整个过程的管理和控制，借助于注册授权、身份验证、密级识别、锁定自毁、驱动级加解密、日志审计等技术手段对可移动存储设备进行失泄密防护，真正做到了“拿进来的移动存储器使不了”、“拿出去的移动存储器不能用”。本系统的主要功能如下：

3.3.3 计算机终端接入控制

内网安全管理系统，将所有内网的主机进行入网身份判断，符合安全标准或合法的主机将允许运行在内网中、正常使用。没有在内网安全管理系统中定义的合法的主机，系统将其阻断或限制与内网的通信。

非法接入控制功能主要目的是保证内网涉密信息及文件不受非法接入设备的探测、拷贝、删除和修改等威胁。

非法主机的定义

所谓的接入控制，是指对接入内网的终端计算机进行身份鉴别或者安全状态检查，阻止未授权或不安全的终端计算机接入内网和访问内网资源。经过接入控制，能够将外来计算机阻挡在内网之外，也能够将内网中安全性较差（未及时安装补丁和防火墙软件）的计算机隔离出内网，保证内网整体的安全性。

对非法主机的定义，采取以下方式：

1) 主机系统存在严重漏洞，影响内网整体安全；

2) 主机系统无反病毒软件保护或反病毒软件未运行；

3) 主机系统从未在内网管理系统中注册，不受审计、监控的主机；

4) 管理员自定义的非法主机系统

非法接入控制策略

对非法主机的接入控制，应有安全策略来指定。安全策略应满足一定的灵活性和简单易用。

1) 非法接入控制策略灵活性：管理员能够灵活设定非法接入控制对象策略，选定不同的管理颗粒度；

2) 非法接入控制策略模版化：管理员能够设置不同安全级别的非法接入控制策略，而且根据实际情况或意外情况修改或改变使用不同的策略模版。

3) 非法接入策略包括：

✓ 注册合法主机检查策略；

✓ 主机安全性检查策略；

✓ 主机反病毒检测策略；

✓ 管理员自定义策略。

当主机入网后内网管理系统按照非法接入策略进行检查，同时对合法主机检查入网身份，并验证此主机是否已经在身份数据库中注册。

图：非法接入控制示意图

3.3.4 计算机终端管理与维护

配置管理主要完成终端计算机的各种信息的收集和系统参数的配置。经过配置管理，管理人员能够准确掌握每台终端计算机的配置状况和运行参数，并对批量地对终端计算机的运行参数进行远程修改。

主机信息收集

收集终端计算机相关信息，如主机名、IP地址、网络参数、帐户信息、安装软件清单、硬件清单、驱动程序清单、服务清单、进程清单、系统日志等。为终端计算机的维护和故障诊断提供参考。

网络参数配置

设置终端计算机的网络参数，包括IP地址、网关、DNS、WINS等。当网络结构发生变动时，能够快速重新变更计算机网络参数。大大减轻管理人员的网络管理压力。

远程维护作为管理人员一项不可缺少的工作，如果没有良好的技术手段做支撑，仅仅依靠电话、邮件等方式往往无法解决问题。从而加重了管理人员的负担。远程维护就是依靠技术手段和工具，远程对终端计算机进行故障诊断、系统修复和日常维护等。

远程协助

经过远程协助，管理人员能够响应远程终端计算机的协助请求，临时接管远程终端计算机，进行本地化操作。例如：开关机、搜索可疑文件、服务/进程查看、系统配置查看、资源使用监视等。管理人员完成维护操作后，释放对终端计算机的接管。

预警平台

预警平台能够为管理人员与终端用户建立一个即时通讯的平台，经过该平台，管理人员能够接受和回复终端用户的咨询，能够得到终端计算机的安全告警，也能够定期向终端用户发布安全预警信息和安全管理策略等。方便了管理人员与用户的交流和交互。

公司网络安全解决方案