內(nèi)網(wǎng)安全案例之用戶特征

存在大量設計文件、勘測數(shù)據(jù)等價值信息需要重點保護，特別是勘測數(shù)據(jù)已納入國防戰(zhàn)略信息范圍，需要重點防護;

為客戶提交的設計文件比較大，且設計院各個專業(yè)部門的編輯軟件專業(yè)性強，數(shù)量非常多;

院內(nèi)信息系統(tǒng)采取了一些安全措施并建立了一定的安全管理制度，專業(yè)設計部門網(wǎng)絡與Internet隔離，敏感數(shù)據(jù)交換有專人負責;

設計文檔本身就是產(chǎn)品，銷售給用戶后需要對文件的流轉進行使用控制。

內(nèi)網(wǎng)安全案例之需求分析

從設計院所的人員構成、業(yè)務流程和數(shù)據(jù)的流轉特征等方面分析，設計院內(nèi)網(wǎng)安全體系建設需要重點關注以下幾方面的需求：

1、 數(shù)據(jù)外帶的控制。作為競爭性智力產(chǎn)品，設計院形成的設計圖紙和相關文檔重點關注的是文件在客戶、合作伙伴流轉過程中如何實現(xiàn)有效的訪問權限控制并杜絕惡意的成果剽竊行為。

2、 計算機登錄認證控制、服務器訪問授權;設計院所有共享設計素材和設計成果，統(tǒng)一保存在共享服務器，需要對服務器訪問授權進行統(tǒng)一安全管理。

3、 計算機大容量專業(yè)數(shù)據(jù)文件的存儲保密。保存在服務器和各個設計人員終端上的設計文件，需要進行統(tǒng)一加密處理并設定分級訪問權限。

4、 內(nèi)部數(shù)據(jù)傳輸?shù)谋Ｃ??？紤]到設計人員移動遠程接入的需要，為防止數(shù)據(jù)監(jiān)聽等泄密行為，需要對數(shù)據(jù)傳輸通道進行保密處理。

內(nèi)網(wǎng)安全案例之解決之道

設計院所內(nèi)網(wǎng)安全的體系建設，需要突出重點，切實關注文件外帶保密需求，充分考慮敏感性數(shù)據(jù)面臨的各種主動泄密和被動泄密風險。同時，應充分考慮系統(tǒng)對設計人員的業(yè)務影響范圍，盡可能降低安全行為帶來的系統(tǒng)性能損耗和應用約束，在安全性和可用性之間保持合理的平衡。

Chinasec提供的整體解決方案，重點實現(xiàn)以下功能：

用戶使用硬件令牌登錄計算機，令牌中內(nèi)置數(shù)字證書，實現(xiàn)雙因素認證。內(nèi)網(wǎng)服務器通過安全網(wǎng)關進行保護，只有授權用戶才能訪問;

計算機硬盤中存儲數(shù)據(jù)加密，對用戶操作透明，防止硬盤數(shù)據(jù)丟失引起數(shù)據(jù)加密;

內(nèi)部數(shù)據(jù)傳輸途徑主要為網(wǎng)絡和移動存儲設備，網(wǎng)絡根據(jù)安全等級劃分為不同的安全等級，同等級間能夠正常通訊，不同等級間只有授權才能訪問，同時網(wǎng)絡中數(shù)據(jù)加密，防止非法計算機訪問;

移動存儲設備管理，對移動存儲設備進行授權管理，可授權為只讀、加密、讀寫、禁用屬性;

對于外帶文件授權進行控制，文件采用加密格式，只有使用令牌或者授權口令才能打開，文件可以控制文件使用時間、打開次數(shù)、編輯等權限。

內(nèi)網(wǎng)安全在設計院內(nèi)網(wǎng)安全管理中得到了很好的應用，本方案是基于Chinasec可信網(wǎng)絡安全平臺，具有高度的模塊化和擴展性，可以根據(jù)設計院系統(tǒng)發(fā)展的需要，在功能進行擴展，大大提高內(nèi)網(wǎng)安全管理的統(tǒng)一性和效率。

【編輯推薦】

1. Chinasec公安行業(yè)內(nèi)網(wǎng)安全解決方案
2. 電子政務內(nèi)網(wǎng)安全域防護體系設計方案
3. 內(nèi)網(wǎng)安全需控制終端　利用準入控制來把關