一、项目背景
深圳XX科技公司是北京XX科技发展有限公司控股子公司。深圳市XX科技有限公司是专业从事LED显示屏的开发商与制造商,公司下设封装事业部与显示事业部。员工近500人,生产经营场所占地面积约30,000平方米。公司目前主要产品有:LED户内、户外全彩显示屏、LED户内、户外单双色显示屏、LED单元板、点阵模块。
公司的产品研发和销售数据没有相应的安全防护措施,为防止公司重要数据泄露,建立一套行之有效的信息安全保障体系成为当务之急。
二、需求分析
公司核心部门主要分为两个部分:研发部门和商务部门,各部门情况和需求如下:
研发部门:大约30—40台工作站,不连接外网。
设计要求:
1.公司的所有的设计信息都存储在一台服务器上。 公司的设计人员需要设计时候从服务端下载需要设计的信息,设计完成和上传设计信息到服务器端。公司的个人电脑存储公司设计信息。(设计部门不用笔记本)。
2.对特定公司内容设置操作权限。
3.公司设计部门不可以通过其它的联网方式联网到互联网,或者通过本机连接到公司非授权的内部机器。
4.公司设计部门电脑不可以非法连接其他外设,进行打印,扫面等。
5.公司内部相关电脑不可以使用任何可移动存储介质(或者非授权移动存储介质)来非法窃取公司机密。
6.对非法操作进行报警,工作主机关键行为进行记录。
商务部门:大约80—100台工作站
设计要求:
1.记录公司员工文件传输 (如邮件、FTP、即时通讯软件)等可以传播公司商务信息的软硬件操作。
2.员工不可以通过移动存储非法获得公司商业机密。
3.对特定公司内容设置操作权限。
4.对非法操作进行报警,工作主机关键行为进行记录。
三、解决方案
基于以上需求,我公司提出以下解决方案:
公司研发部门和商务部门网络物理隔离,研发部门不连接互联网,服务器放置于研发部门网络,只允许研发部门员工访问。
对商务部门员工的上网行为进行管理和记录。
上网行为管理
通过深信服AC1100上网行为管理网关来实现公司商务部门员工上网行为的管理、记录、审计工作。
包括以下内容:
即时通讯软件(IM)的使用和记录:对QQ、MSN等即时通讯工具的使用权限和通讯内容进行控制和记录。
下载工具(P2P)的使用:对迅雷、BT、电驴、QQdownload等下载工具进行屏蔽、对PPS、PPLIVE等视频软件进行屏蔽。
行为记录:
记录web上传下载内容,邮件及附件,网站访问记录,非加密及加密IM聊天内容。
网页过滤:
千万级的URL地址库;支持SSL加密网页过滤,网页智能分析技术可摆脱URL库的限制、识别并管理新出现的互联网网页。
流量管理:
对指定网站类别、上传下载指定文件类型的带宽通道分配和管理。基于应用类型、用户/用户组、时间段多策略流量管理,实现带宽保障、带宽限制等。
用户认证:
支持WEB认证、IP、MAC、IP/MAC绑定认证;支持与Radius、LDAP、POP3、PROXY第三方服务器联动认证并可实现单点登录;支持USB Key认证。
报表:
对公司员工的上网行为提供一个直观、详细的报表,支持柱状图、饼状图、趋势图等,可以对指定时间段、指定用户的指定应用行为进行监控,独立数据中心支持流量报表、行为报表、内容报表。
访问控制
通过在内网服务器上架设FTP服务器来实现公司设计文件和其他数据的存储,方便设计人员上传下载设计信息。
通过在内网服务器上架设域控制器来实现对公司研发部门员工的访问权限进行控制。实现允许或禁止某用户或用户组对机密文件的访问,保证公司机密文件和数据不外泄。
内网安全
1.在服务器及所有员工的桌面终端上安装终端管理软件,对研发部门每个员工的操作进行记录。
2.条件允许的情况下,可单独设置服务器机房,对机房进行严密访问控制,禁止非授权人员进入机房。
3.对员工电脑通过终端管理软件屏蔽USB、无线、红外设备等移动存储设备或无线设备。
拓扑图
1.商务部门网络
2.研发部门网络
