一�、項目背景
深圳XX科技公司是北京XX科技發(fā)展有限公司控股子公司�。深圳市XX科技有限公司是專業(yè)從事LED顯示屏的開發(fā)商與制造商�,公司下設(shè)封裝事業(yè)部與顯示事業(yè)部�。員工近500人,生產(chǎn)經(jīng)營場所占地面積約30,000平方米�。公司目前主要產(chǎn)品有:LED戶內(nèi)、戶外全彩顯示屏�、LED戶內(nèi)、戶外單雙色顯示屏�、LED單元板�、點陣模塊。
公司的產(chǎn)品研發(fā)和銷售數(shù)據(jù)沒有相應(yīng)的安全防護(hù)措施�,為防止公司重要數(shù)據(jù)泄露,建立一套行之有效的信息安全保障體系成為當(dāng)務(wù)之急�。
二、需求分析
公司核心部門主要分為兩個部分:研發(fā)部門和商務(wù)部門�,各部門情況和需求如下:
研發(fā)部門:大約30—40臺工作站,不連接外網(wǎng)�。
設(shè)計要求:
1.公司的所有的設(shè)計信息都存儲在一臺服務(wù)器上。 公司的設(shè)計人員需要設(shè)計時候從服務(wù)端下載需要設(shè)計的信息�,設(shè)計完成和上傳設(shè)計信息到服務(wù)器端。公司的個人電腦存儲公司設(shè)計信息�。(設(shè)計部門不用筆記本)。
2.對特定公司內(nèi)容設(shè)置操作權(quán)限�。
3.公司設(shè)計部門不可以通過其它的聯(lián)網(wǎng)方式聯(lián)網(wǎng)到互聯(lián)網(wǎng),或者通過本機(jī)連接到公司非授權(quán)的內(nèi)部機(jī)器�。
4.公司設(shè)計部門電腦不可以非法連接其他外設(shè),進(jìn)行打印�,掃面等。
5.公司內(nèi)部相關(guān)電腦不可以使用任何可移動存儲介質(zhì)(或者非授權(quán)移動存儲介質(zhì))來非法竊取公司機(jī)密。
6.對非法操作進(jìn)行報警�,工作主機(jī)關(guān)鍵行為進(jìn)行記錄。
商務(wù)部門:大約80—100臺工作站
設(shè)計要求:
1.記錄公司員工文件傳輸 (如郵件�、FTP、即時通訊軟件)等可以傳播公司商務(wù)信息的軟硬件操作�。
2.員工不可以通過移動存儲非法獲得公司商業(yè)機(jī)密。
3.對特定公司內(nèi)容設(shè)置操作權(quán)限�。
4.對非法操作進(jìn)行報警,工作主機(jī)關(guān)鍵行為進(jìn)行記錄�。
三、解決方案
基于以上需求�,我公司提出以下解決方案:
公司研發(fā)部門和商務(wù)部門網(wǎng)絡(luò)物理隔離,研發(fā)部門不連接互聯(lián)網(wǎng)�,服務(wù)器放置于研發(fā)部門網(wǎng)絡(luò),只允許研發(fā)部門員工訪問�。
對商務(wù)部門員工的上網(wǎng)行為進(jìn)行管理和記錄。
上網(wǎng)行為管理
通過深信服AC1100上網(wǎng)行為管理網(wǎng)關(guān)來實現(xiàn)公司商務(wù)部門員工上網(wǎng)行為的管理�、記錄、審計工作�。
包括以下內(nèi)容:
即時通訊軟件(IM)的使用和記錄:對QQ、MSN等即時通訊工具的使用權(quán)限和通訊內(nèi)容進(jìn)行控制和記錄�。
下載工具(P2P)的使用:對迅雷、BT�、電驢、QQdownload等下載工具進(jìn)行屏蔽�、對PPS�、PPLIVE等視頻軟件進(jìn)行屏蔽�。
行為記錄:
記錄web上傳下載內(nèi)容,郵件及附件�,網(wǎng)站訪問記錄,非加密及加密IM聊天內(nèi)容�。
網(wǎng)頁過濾:
千萬級的URL地址庫;支持SSL加密網(wǎng)頁過濾�,網(wǎng)頁智能分析技術(shù)可擺脫URL庫的限制、識別并管理新出現(xiàn)的互聯(lián)網(wǎng)網(wǎng)頁�。
流量管理:
對指定網(wǎng)站類別�、上傳下載指定文件類型的帶寬通道分配和管理?;趹?yīng)用類型、用戶/用戶組�、時間段多策略流量管理,實現(xiàn)帶寬保障�、帶寬限制等。
用戶認(rèn)證:
支持WEB認(rèn)證�、IP、MAC�、IP/MAC綁定認(rèn)證;支持與Radius�、LDAP、POP3�、PROXY第三方服務(wù)器聯(lián)動認(rèn)證并可實現(xiàn)單點登錄�;支持USB Key認(rèn)證�。
報表:
對公司員工的上網(wǎng)行為提供一個直觀、詳細(xì)的報表�,支持柱狀圖、餅狀圖�、趨勢圖等,可以對指定時間段�、指定用戶的指定應(yīng)用行為進(jìn)行監(jiān)控,獨立數(shù)據(jù)中心支持流量報表�、行為報表、內(nèi)容報表�。
訪問控制
通過在內(nèi)網(wǎng)服務(wù)器上架設(shè)FTP服務(wù)器來實現(xiàn)公司設(shè)計文件和其他數(shù)據(jù)的存儲,方便設(shè)計人員上傳下載設(shè)計信息�。
通過在內(nèi)網(wǎng)服務(wù)器上架設(shè)域控制器來實現(xiàn)對公司研發(fā)部門員工的訪問權(quán)限進(jìn)行控制。實現(xiàn)允許或禁止某用戶或用戶組對機(jī)密文件的訪問�,保證公司機(jī)密文件和數(shù)據(jù)不外泄。
內(nèi)網(wǎng)安全
1.在服務(wù)器及所有員工的桌面終端上安裝終端管理軟件�,對研發(fā)部門每個員工的操作進(jìn)行記錄。
2.條件允許的情況下�,可單獨設(shè)置服務(wù)器機(jī)房,對機(jī)房進(jìn)行嚴(yán)密訪問控制�,禁止非授權(quán)人員進(jìn)入機(jī)房。
3.對員工電腦通過終端管理軟件屏蔽USB�、無線、紅外設(shè)備等移動存儲設(shè)備或無線設(shè)備�。
拓?fù)鋱D
1.商務(wù)部門網(wǎng)絡(luò)
2.研發(fā)部門網(wǎng)絡(luò)
