項(xiàng)目部桌面終端安全防護(hù)系統(tǒng)規(guī)劃與實(shí)施

王景峰

摘要：當(dāng)前，企業(yè)機(jī)密文件保護(hù)的重要性不言而喻，機(jī)密文件的泄露不僅會(huì)給企業(yè)帶來(lái)重大的經(jīng)濟(jì)損失，而且還影響到企業(yè)未來(lái)的市場(chǎng)競(jìng)爭(zhēng)，更嚴(yán)重的還會(huì)牽扯到法律糾紛。為此，企業(yè)應(yīng)該采取各種舉措保護(hù)公司機(jī)密文件，防止機(jī)密文件泄露事件的發(fā)生。

關(guān)鍵詞：網(wǎng)絡(luò)準(zhǔn)入控制桌面終端;管理文檔防泄密

1 項(xiàng)目部現(xiàn)狀

目前項(xiàng)目部的大部分秘密信息：例如商業(yè)文檔、客戶資料、專利技術(shù)、技術(shù)文檔等，都是以明文電子文檔的形式存放在項(xiàng)目部?jī)?nèi)部共享網(wǎng)盤和服務(wù)器中，為了保證機(jī)密文檔的安全，需要對(duì)這些文檔進(jìn)行加密處理，這些電子文檔可能通過(guò)外接設(shè)備、U盤、打印等方式外泄，并且對(duì)于文檔通過(guò)U盤、網(wǎng)絡(luò)、打印外帶也需要相應(yīng)的日志記錄及副本備份。同時(shí)結(jié)合同行評(píng)估專家的整改意見，在管理上需要對(duì)系統(tǒng)管理方式進(jìn)行改進(jìn)，也需要規(guī)范員工的行為，增強(qiáng)員工的工作效率和保密意識(shí)。

2 設(shè)計(jì)原則

2.1 易部署

整套桌面終端安全防護(hù)系統(tǒng)的安全部署應(yīng)簡(jiǎn)單、方便、靈活，支持直接安裝、域腳本安裝多種部署方式，同時(shí)，系統(tǒng)應(yīng)具備優(yōu)異的自我保護(hù)功能，能夠有效避免終端用戶自行卸載，無(wú)需IT管理人員多次重復(fù)部署。

2.2 易使用

系統(tǒng)界面應(yīng)友好、通俗、簡(jiǎn)單易懂，即使是非技術(shù)人員也能在短期內(nèi)運(yùn)用自如。

2.3 易管理

系統(tǒng)的策略制定應(yīng)簡(jiǎn)單、靈活、易管理，可滿足管理者多種多樣的管理需求，并可分別對(duì)計(jì)算機(jī)和用戶進(jìn)行管理。

2.4 全面的容災(zāi)備份功能

提供文檔找回機(jī)制，避免文檔丟失、破壞造成的嚴(yán)重后果。

2.5 功能全面、穩(wěn)定

系統(tǒng)應(yīng)具備全面的內(nèi)網(wǎng)信息防泄漏功能，并且運(yùn)行穩(wěn)定，產(chǎn)品應(yīng)擁有自主知識(shí)產(chǎn)權(quán)，提供源代碼級(jí)的支持。

3 系統(tǒng)架構(gòu)

3.1 系統(tǒng)功能

系統(tǒng)應(yīng)至少包含三個(gè)模塊組成：客戶端模塊、服務(wù)器模塊和控制臺(tái)模塊。

項(xiàng)目部?jī)?nèi)所有用戶的辦公電腦均需安裝客戶端模塊，服務(wù)器模塊部署在系統(tǒng)分配的服務(wù)器上，控制臺(tái)模塊有管理人員安裝在管理設(shè)備上。各功能模塊的功能要求如下：

客戶端基本功能：

3.1.1 執(zhí)行系統(tǒng)設(shè)定的各種管理策略

3.1.2 采集客戶端運(yùn)行的各項(xiàng)數(shù)據(jù)

3.1.3 定時(shí)將采集的數(shù)據(jù)傳送到服務(wù)器

3.1.4 根據(jù)控制臺(tái)發(fā)出的指令進(jìn)行監(jiān)控操作

服務(wù)器基本功能：

3.1.1 管理所有客戶端計(jì)算機(jī)，并向其傳遞相關(guān)的規(guī)則和指令

3.1.2 收集客戶端采集的數(shù)據(jù)并保存

3.1.3 提供方便靈活的記錄管理、查看、歸檔、搜索等功能

控制臺(tái)基本功能：

3.1.1 查看和審計(jì)客戶端的數(shù)據(jù)

3.1.2 數(shù)據(jù)統(tǒng)計(jì)，分析和導(dǎo)出

3.1.3 對(duì)客戶端計(jì)算機(jī)實(shí)時(shí)監(jiān)控和系統(tǒng)維護(hù)

3.1.4 設(shè)置監(jiān)控規(guī)則和管理策略

3.2管理架構(gòu)

系統(tǒng)應(yīng)采用三權(quán)分立的管理架構(gòu)，相互約束。從系統(tǒng)角色角度，劃分為三類角色：管理員、監(jiān)察員和審計(jì)員。具體的角色功能是：

管理員：系統(tǒng)管理員具有特定策略的設(shè)置、用戶管理功能，但不具備分配其他管理員賬號(hào)的權(quán)限。系統(tǒng)管理員可根據(jù)實(shí)際需求設(shè)置多個(gè)。系統(tǒng)管理員的權(quán)限直接受超級(jí)管理員admin的制約。

監(jiān)察員：審計(jì)功能。包括超級(jí)管理員admin在內(nèi)的所有管理員的操作行為和審批行為均受審計(jì)員的監(jiān)督。

審計(jì)員：審計(jì)員的默認(rèn)賬戶是audit，審查所有中斷的日志信息。

4 功能實(shí)現(xiàn)

4.1 網(wǎng)絡(luò)準(zhǔn)入控制

通過(guò)多種認(rèn)證方式對(duì)接入內(nèi)部網(wǎng)絡(luò)的用戶身份進(jìn)行嚴(yán)格認(rèn)證，確保接入用戶的身份合法;對(duì)接入內(nèi)部網(wǎng)絡(luò)的終端設(shè)備執(zhí)行統(tǒng)一的安全檢查策略，確保接入終端設(shè)備的安全合規(guī);在用戶身份合法以及終端設(shè)備安全合規(guī)的前提下，對(duì)訪問(wèn)權(quán)限進(jìn)行動(dòng)態(tài)授權(quán)，實(shí)現(xiàn)基于用戶的資源訪問(wèn)控制。從而幫助用戶從根源上將病毒、蠕蟲等各類攻擊拒絕于內(nèi)網(wǎng)之外，確保網(wǎng)絡(luò)系統(tǒng)安全穩(wěn)定運(yùn)行，實(shí)現(xiàn)企業(yè)內(nèi)網(wǎng)終端資產(chǎn)管理安全可視化。

4.2 桌面管理功能

對(duì)終端進(jìn)行軟件黑白名單管理、遠(yuǎn)程協(xié)助管理、U盤等移動(dòng)存儲(chǔ)設(shè)備管理、違規(guī)外聯(lián)接口等行為進(jìn)行監(jiān)控和管理。

4.3 文檔全生命周期審計(jì)

詳細(xì)記錄內(nèi)部網(wǎng)絡(luò)中所有終端設(shè)備上的文檔操作，包括創(chuàng)建、訪問(wèn)、修改、移動(dòng)、復(fù)制、刪除等動(dòng)作。另外，對(duì)于修改、刪除等相關(guān)操作發(fā)生時(shí)同步將該文件備份至服務(wù)器存根，有效防范文檔被泄露、篡改和刪除的風(fēng)險(xiǎn)。

4.4 文檔外發(fā)審計(jì)

對(duì)各種類型郵件的收發(fā)內(nèi)容，包括收件人、發(fā)件人、郵件正文及附件等進(jìn)行審計(jì)、記錄，便于后續(xù)追溯。

對(duì)于使用企業(yè)微信、QQ、微信等即時(shí)通訊工具進(jìn)行的文件傳輸也需要進(jìn)行安全審計(jì)記錄。

對(duì)文檔在內(nèi)部流轉(zhuǎn)路徑進(jìn)行追蹤，實(shí)現(xiàn)隱形的文檔流轉(zhuǎn)路徑追溯。

4.5 移動(dòng)存儲(chǔ)設(shè)備管理

項(xiàng)目?jī)?nèi)部人員進(jìn)行數(shù)據(jù)交換時(shí)，必須對(duì)移動(dòng)存儲(chǔ)設(shè)備進(jìn)行注冊(cè)、授權(quán)管理（注冊(cè)綁定到用戶、限制USB設(shè)備使用范圍、期限等），并通過(guò)文件操作實(shí)現(xiàn)內(nèi)部使用USB設(shè)備從終端本地拷貝到U盤自動(dòng)加密、從U盤拷貝到終端本地的加密文件自動(dòng)解密，保證數(shù)據(jù)在通過(guò)U盤交換過(guò)程的數(shù)據(jù)安全，并對(duì)整個(gè)過(guò)程進(jìn)行詳細(xì)審計(jì)。

項(xiàng)目員工對(duì)外部人員進(jìn)行數(shù)據(jù)交換時(shí)，提供明文申請(qǐng)審批管理，對(duì)需要從終端本地明文拷貝到U盤的數(shù)據(jù)進(jìn)行申請(qǐng)審批，并將明文拷貝文件備份上傳到系統(tǒng)內(nèi)置的文件服務(wù)器備查，方便事后追溯。

4.6 打印管理

管理用戶對(duì)各類打印機(jī)的使用權(quán)限，包括虛擬打印機(jī)、共享打印機(jī)、本地打印機(jī)、網(wǎng)絡(luò)打印機(jī)等。限制對(duì)內(nèi)網(wǎng)項(xiàng)目部管理系統(tǒng)中流轉(zhuǎn)業(yè)務(wù)的無(wú)文檔形式打印。

同時(shí)，建立打印審批管理流程，任何人員的打印請(qǐng)求均需經(jīng)過(guò)上一級(jí)領(lǐng)導(dǎo)審批通過(guò)后方可執(zhí)行。

4.7 水印功能

支持實(shí)現(xiàn)“屏幕水印”與“打印水印”兩類場(chǎng)景下的水印加載及追溯;實(shí)現(xiàn)對(duì)拍照泄密及打印泄密兩個(gè)情況下的數(shù)據(jù)泄密的有效管控;水印類型支持明文水印、二維碼水印、圖片矢量水印、矢量水印四類水印效果。

5 結(jié)語(yǔ)

桌面終端安全管理系統(tǒng)的建立，實(shí)現(xiàn)了內(nèi)部網(wǎng)絡(luò)的安全接入、終端標(biāo)準(zhǔn)化管理，全面保護(hù)了項(xiàng)目部?jī)?nèi)部數(shù)據(jù)的安全，降低信息泄露風(fēng)險(xiǎn);同時(shí)建立分級(jí)保密體系，提升了項(xiàng)目部的信息安全水平，實(shí)現(xiàn)了信息安全目標(biāo)。

參考文獻(xiàn)：

[1] 陳龍. 網(wǎng)絡(luò)信息安全的防范技術(shù)[J]. 中國(guó)安防產(chǎn)品信息，2000（04）：15-1

[2] 王彬;王葛;安全的網(wǎng)絡(luò)打印[J];才智;2009年19期

[3] 劉永彬，亓東峰，趙茂棟，郭滿，王鳳環(huán)基于企業(yè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的設(shè)計(jì)與實(shí)施[J].計(jì)算機(jī)光盤軟件與應(yīng)用，

[4] 徐國(guó)芹;談企業(yè)內(nèi)部網(wǎng)安全防護(hù)策略[J];辦公自動(dòng)化;2009年04期