設計院信息安全防護系統(tǒng)解決方案

1、設計院信息安全管理系統(tǒng)解決方案山東建苑工程設計軟件有限公司一、項目背景 隨著信息化的不斷深入發(fā)展，規(guī)劃建筑設計行業(yè)的日常工作已經完全依賴于計算機和網絡技術，設計院局域網內部存儲著大量的重要信息資料，如地形圖、衛(wèi)星遙感影像、重要設計成果產品等，有些資料還涉及國家機密。在生產經營過程中，我們無法避免的對外流傳，如給甲方拷貝、通過E-mail發(fā)送到外地等，在信息對外流動過程中如果沒有監(jiān)管，內部信息安全將難以得到保障，內部重要信息資料一旦遭到破壞或泄漏出去，將給單位造成重大的損失。 二、需求分析 從我們多年與規(guī)劃設計行業(yè)客戶溝通的經驗來看，目前設計院比較頭痛的主要有以下幾個問題： （一）員工上班時間干

2、私活。設計院投入大量資金做了信息化系統(tǒng)，多年經驗積累的項目文檔資源庫，個別員工卻在工作時間利用院內核心資源承接私活。 （二）項目信息泄露。公司的客戶資料未能做到絕對保護，接洽的項目，院內個別員工知曉后，可能通過別的公司拿到項目，再利用設計院資源和幾個同事一起攬下項目在院內做。我們接觸到的不少設計院，因此每年流失至少幾百萬的項目，給院里造成了很大損失。 （三）項目交付時出現問題。外發(fā)給客戶的文檔就像“放飛的風箏”一樣，外發(fā)出去就沒法控制，有可能在外面隨意的流傳，無法有效的進行控制，給設計院帶來巨大的損失。（四）機密信息泄密。院內大量重要信息文檔或分散或集中的存儲在計算機網絡內，員工可以利用QQ、

3、MSN、Email等網絡傳輸工具隨意將公司內部重要數據外發(fā)，在不經過院里相關領導審批的情況下，將內部重要設計成果外發(fā)給客戶，給設計院帶來巨大損失。 （五）打印無法管控。員工隨意打印設計院重要文件,無任何技術管理手段，給數據安全帶來重大的隱患。 （六）移動設備丟失。員工出差時存儲著公司重要數據的U盤、光盤、筆記本等設備，不慎丟失造成數據泄密。 （七）外來人員監(jiān)管。非設計院內部的計算機可以隨意接入公司內網，造成數據泄密無法有效追蹤其源頭。 （八）其他重要數據。財務部門的敏感信息沒有做好相應保護，若電腦出現故障，維修過程容易導致數據泄密；公司內財務報表無有效的泄密管理措施，員工離職可以輕易帶走。三、

4、部署方案設計院所內網數據安全體系建設，需要突出重點，切實關注文件外帶保密需求，充分考慮敏感性數據面臨的各種主動泄密和被動泄密風險。同時，應充分考慮系統(tǒng)對設計人員的業(yè)務影響范圍，盡可能降低安全行為帶來的系統(tǒng)性能損耗和應用約束，在安全性和可用性之間保持合理的平衡。綜合多家設計院的信息安全管理經驗，我們建議設計行業(yè)的信息安全管理根據軟件的功能及設計院的組織架構，應該如此部署：（一）文件加密。設計院一般由多個不同專業(yè)的部門組成，應對office、CAD、macrostation、飛時達等軟件所產生的數據進行強制加密及備份，并建立單位內部的權限控制體系，作為普通員工不能隨便打開領導的加密文檔，須經領導授

5、權后方可使用，形成基于加密文件的內控體系。在管理流程上可以做如下部署：1、院領導具有可以打開公司內部所有密文，并可以配置解密功能。2、總工辦、院辦公室除不能打開院領導的密文外，具有院領導的其他閱讀權限，并指定一人具有解密和制作外發(fā)文件權限，同時制定解密和制作外發(fā)文件流程（普通設計師申請解密部門負責人審批院領導批準解密、外發(fā)文件制作人員最終制作外發(fā)），需要發(fā)送給客戶設計院文件資料時，可按照此流程進行審批制作。3、各所之間的文件可以設置為互通互讀，但對和其他部門沒有業(yè)務交互的部門（如：計財科）應設置為不能互通互讀，但確需進行互通互讀時，各所負責人具有將本部門文件制作為內部流轉文件的權限，可設定其他

6、部門的指定人員可以打開，其他非授權人員仍然無法打開。4、根據不同的外發(fā)用途設定不同的外發(fā)文件限制參數（時間限制、密碼驗證、次數限制、打印限制、修改限制、截屏限制、過期自毀）。當員工周末帶加密資料回家加班或出差時，可設定時間限制和密碼驗證，當外發(fā)給客戶時，根據不同客戶的不同用途可設置次數限制或時間限制以及過期自毀，并對打印、修改、截屏等做相應的設定。（二）外網安全管理。外網安全管理主要是對員工日常辦公中上網情況的監(jiān)管和控制。在不影響員工的正常工作需要的情況下，可設置員工在工作時間只允許瀏覽指定的網站，在休息時間可瀏覽全部網站。并可根據設計院的作息時間表，對每一天進行時間段設置。外網管理同時可對每

7、一臺計算機的上網流量情況進行統(tǒng)計，方便設計院領導對院里的每一個人的上網情況進行查詢統(tǒng)計，并查看上網較多計算機的上網內容。（三）內網安全管理。主要是實現所有計算機使用操作的監(jiān)控與控制。設定每一臺計算機的應用程序監(jiān)控、聊天監(jiān)控、文件操作的監(jiān)控和屏幕錄像，可實現對所有計算機的所有操作都生成日志，方便日后查詢。（四）應用程序限制。主要是實現每一臺計算機的遠程操作、可使用應用程序管理、移動存儲設備的管理。1、黑、白名單服務器。將集中存儲公司文件的服務器設置為白名單服務器，即公司所有加密文件在服務器上都可以打開，方便各類數據庫服務器的應用。2、打印機控制。為每臺計算機設置打印機權限，只允許使用指定的打印機

8、，確保打印圖紙的打印機只能夠在指定的計算機上使用，這樣院領導才能通過打印日志以及打印監(jiān)控，方便的知道打印內容和數量。3、移動存儲設備管理。禁止每一臺計算機的U盤存儲功能，并制作認證U盤，這樣所有的計算機只能使用認證U盤，同時認證U盤不能夠在公司以外使用，這樣在方便了員工之間拷貝文件的同時，也防止了內部文件的外傳。四、功能介紹（一）文件加密 1、文件透明加解密綠盾信息安全管理軟件主要是針對設計院產生的所有文件資料進行加密。杜絕通過U盤、軟盤、光盤，電子郵件等方式竊取設計院的圖紙成果、城市規(guī)劃信息等技術檔案。設計人員在院里的網絡環(huán)境下，可以正常操作院里的文件資料，不改變原有的操作習慣，在文件打開和

9、關閉的過程中，在系統(tǒng)后臺自動完成加解密，對用戶操作習慣沒有任何影響。如果這個加密文件被利用MSN、QQ、電子郵件、移動存儲設備等手段傳輸到設計院以外，被傳出去的加密文件將無法被打開和應用，并且始終保持加密狀態(tài)，將文件拷貝到網絡外或者沒有安裝綠盾終端的電腦上，將顯示亂碼。2、文件閱讀權限（設計院可根據不同職位設定不同文件類型的閱讀權限） 3、文件解密及外發(fā)文件制作 （總工辦、院辦公室可指定一人對加密文件進行解密及外發(fā)控制，并可以根據院里的情況制定審批流程，如：普通設計師部門負責人院領導具有外發(fā)文件制作權限人員）綠盾信息安全管理軟件的外發(fā)制作功能主要是針對院里所有的加密文件需脫離設計院內部網絡外發(fā)

10、給客戶時，設計院根據不同的外發(fā)文件類型，設定不同的外發(fā)方式。外發(fā)文件制作功能包含以下幾種方式：1、閱讀時效（設定在規(guī)定的時間段內方可打開）2、閱讀次數（外發(fā)文件打開次數的限制）3、修改權限（是否允許打印、是否允許修改、是否允許復制、是否允許截屏）4、只允許在一臺電腦上打開（在第一次打開的電腦上有效）以上幾種權限可單獨或組合設定，以確保外發(fā)文件始終在設計院的管控范圍之內。 4、文件自動備份文件備份記錄這一功能主要用于防范重要文件遭破壞或遭惡意刪除等情況。在綠盾終端電腦上操作過的指定類型文件會在綠盾服務端的指定目錄（此目錄可由管理員自由設置）下備份，預防重要文檔遭惡意刪除或破壞。（二）外網安全管理

11、 1、網頁瀏覽監(jiān)控主要是針對員工網頁瀏覽操作日志進行監(jiān)控，可對某條網頁瀏覽記錄直接打開閱讀，也可將員工網頁瀏覽日志導出到excel文件。 2、上網規(guī)則可對終端的上網行為進行限制，包括上網時間段、禁止或只允許瀏覽指定網站、端口限制。 3、流量統(tǒng)計可以對終端電腦進行流量觀察、查詢和統(tǒng)計。這里說的流量，可以包含內網傳輸數據的流量，也可以過濾掉內網流量，只記錄上網流量。 4、郵件內容監(jiān)控綠盾可以監(jiān)控終端收發(fā)郵件（指通過Outlook、Foxmail 收發(fā)的郵件）的信息，包括郵件的標題、大小、發(fā)件人地址、收件人地址、郵件正文內容以及附件內容。（三）內網安全管理 1、屏幕監(jiān)控遠程實時監(jiān)視屏幕并錄像，可后臺

12、播放所有記錄屏幕影像；屏幕追蹤能定時連續(xù)不斷地追蹤員工計算機的工作屏幕。 2、實時日志可以在控制臺上實時監(jiān)視終端的窗口切換記錄、文件操作記錄、聊天記錄、程序啟動/關閉記錄、報警事件記錄等。 3、聊天內容記錄綠盾可以實時記錄目前流行的大部分聊天工具（QQ、MSN、SKYPE、貿易通等）的文本聊天內容，還能夠導出、備份、保存、打印這些實時記錄，且支持根據關鍵字查詢。 4、程序窗口變化記錄可以在控制臺查看指定時間段、全體/指定分組/終端的程序窗口變化記錄。 5、文件操作日志可以在控制臺上查看指定時間段、全體/指定分組/終端的文件操作記錄。包括文件/文件夾創(chuàng)建、重命名、復制、刪除，打開文件、編輯文件的

13、操作；并支持移動磁盤、光盤刻錄文件、網上鄰居等。 （四）應用程序限制提供應用程序白名單和黑名單功能，方便地限制員工可以運行哪些程序，不能運行哪些程序。 1、遠程操作可以對終端進行遠程協(xié)助、遠程注銷Windows、遠程重啟、遠程關機、修改服務器連接地址以及遠程發(fā)送消息。 2、資源管理器可以在控制臺上列出終端電腦上的文件列表，可選擇列出所有文件或選擇只列出加密文件。 3、設備限制可以禁止終端使用指定設備，包括打印機和移動存儲設備。其中，打印機限制可以設置禁止使用打印機，或只允許使用指定打印機、只允許指定程序使用打印機；驅動器限制包括USB存儲設備限制、光盤驅動器限制、軟盤驅動器限制，都可以設置成允許使用、禁止使用或只讀。 4、存儲設備認證USB存儲設備認證功能是在禁止所有的USB存儲設備使用的情況下，允許指定分組/終端可以使用指定的USB存儲設備，即指定分組/終端只能使用經過服務器認證的USB存儲設備，沒經過認證的USB存儲設備將不能被識別。天銳綠盾信息安全管