一����、項目背景
深圳XX科技公司是北京XX科技發展有限公司控股子公司���。深圳市XX科技有限公司是專業從事LED顯示屏的開發商與制造商����,公司下設封裝事業部與顯示事業部���。員工近500人���,生產經營場所占地面積約30���,000平方米���。公司目前主要產品有:LED戶內�、戶外全彩顯示屏���、LED戶內����、戶外單雙色顯示屏����、LED單元板���、點陣模塊���。
公司的產品研發和銷售數據沒有相應的安全防護措施�,為防止公司重要數據泄露����,建立一套行之有效的信息安全保障體系成為當務之急���。
二����、需求分析
公司核心部門主要分為兩個部分:研發部門和商務部門����,各部門情況和需求如下:
研發部門:大約30—40臺工作站����,不連接外網����。
設計要求:
1.公司的所有的設計信息都存儲在一臺服務器上���。 公司的設計人員需要設計時候從服務端下載需要設計的信息����,設計完成和上傳設計信息到服務器端�。公司的個人電腦存儲公司設計信息�。(設計部門不用筆記本)����。
2.對特定公司內容設置操作權限�。
3.公司設計部門不可以通過其它的聯網方式聯網到互聯網����,或者通過本機連接到公司非授權的內部機器�。
4.公司設計部門電腦不可以非法連接其他外設�,進行打印����,掃面等�。
5.公司內部相關電腦不可以使用任何可移動存儲介質(或者非授權移動存儲介質)來非法竊取公司機密���。
6.對非法操作進行報警�,工作主機關鍵行為進行記錄���。
商務部門:大約80—100臺工作站
設計要求:
1.記錄公司員工文件傳輸 (如郵件���、FTP�、即時通訊軟件)等可以傳播公司商務信息的軟硬件操作���。
2.員工不可以通過移動存儲非法獲得公司商業機密���。
3.對特定公司內容設置操作權限���。
4.對非法操作進行報警�,工作主機關鍵行為進行記錄�。
三���、解決方案
基于以上需求�,我公司提出以下解決方案:
公司研發部門和商務部門網絡物理隔離�,研發部門不連接互聯網���,服務器放置于研發部門網絡�,只允許研發部門員工訪問�。
對商務部門員工的上網行為進行管理和記錄����。
上網行為管理
通過深信服AC1100上網行為管理網關來實現公司商務部門員工上網行為的管理���、記錄�、審計工作����。
包括以下內容:
即時通訊軟件(IM)的使用和記錄:對QQ����、MSN等即時通訊工具的使用權限和通訊內容進行控制和記錄�。
下載工具(P2P)的使用:對迅雷���、BT����、電驢����、QQdownload等下載工具進行屏蔽����、對PPS�、PPLIVE等視頻軟件進行屏蔽����。
行為記錄:
記錄web上傳下載內容���,郵件及附件���,網站訪問記錄���,非加密及加密IM聊天內容����。
網頁過濾:
千萬級的URL地址庫���;支持SSL加密網頁過濾�,網頁智能分析技術可擺脫URL庫的限制����、識別并管理最新出現的互聯網網頁���。
流量管理:
對指定網站類別���、上傳下載指定文件類型的帶寬通道分配和管理�?;趹妙愋?、用戶/用戶組����、時間段多策略流量管理����,實現帶寬保障�、帶寬限制等�。
用戶認證:
支持WEB認證����、IP���、MAC���、IP/MAC綁定認證����;支持與Radius�、LDAP���、POP3�、PROXY第三方服務器聯動認證并可實現單點登錄����;支持USB Key認證����。
報表:
對公司員工的上網行為提供一個直觀�、詳細的報表�,支持柱狀圖����、餅狀圖����、趨勢圖等����,可以對指定時間段���、指定用戶的指定應用行為進行監控���,獨立數據中心支持流量報表���、行為報表���、內容報表���。
訪問控制
通過在內網服務器上架設FTP服務器來實現公司設計文件和其他數據的存儲����,方便設計人員上傳下載設計信息���。
通過在內網服務器上架設域控制器來實現對公司研發部門員工的訪問權限進行控制����。實現允許或禁止某用戶或用戶組對機密文件的訪問����,保證公司機密文件和數據不外泄����。
內網安全
1.在服務器及所有員工的桌面終端上安裝終端管理軟件�,對研發部門每個員工的操作進行記錄���。
2.條件允許的情況下���,可單獨設置服務器機房�,對機房進行嚴密訪問控制���,禁止非授權人員進入機房���。
3.對員工電腦通過終端管理軟件屏蔽USB���、無線����、紅外設備等移動存儲設備或無線設備�。
拓撲圖
1.商務部門網絡
2.研發部門網絡
