项目背景
郑州宇通客车股份有限公司(以下简称宇通公司)是1993年在郑州客车厂的基础上成立的一家股份制公司。公司是宇通集团的成员企业,隶属于集团客车板块。2005年度,客车板块包括郑州宇通、兰州宇通、洛阳宇通、猛狮客车等。宇通客车现拥有行业内唯一的一家国家级技术中心和行业首家博士后科研工作站。
宇通公司较早就建立了自己的网络系统,计算机和计算机网络已经成为宇通公司的重要信息载体和传输渠道。但是,在享受计算机以及计算机网络所带来的方便的同时,宇通公司也出现了内部网络安全和外部网络安全问题。防火墙、入侵检测、内外网隔离以及其它针对外部网络的访问控制系统,难以解决内部的网络安全问题。
内部人员可以轻松地将计算机中的机密信息通过移动存储设备或者网络泄露出去,而且不会留下任何痕迹。这些使得企业面临失泄密事件的发生,机密文件、客户信息、财务数据、设计图纸等通过不同的途径、方法和手段流失到竞争对手和无关人员手中,给企业造成了重大损失。
基于以上需求,宇通公司内网部署了中软防水墙系统WaterBox,对内网的所有计算机进行了统一的控制和安全管理。
中软防水墙系统WaterBox对宇通内部计算机网络的审计、主机系统的管理需要做一个整体的规划,所涉及的内容有:
* 各种方式邮件的监控与审计;
* 移动存储设备的访问控制;
* 光驱/软驱设备的访问控制;
* 外设接口的控制;
* 敏感信息访问的权限重分配;
* 各种类型打印的监控与审计;
* 网络化失泄密事件的监控与审计;
* 主机软硬件资源的管理;
* 非法外联与非法接入的控制;
* 对“违规”行为进行有效的监控和阻断;
通过在宇通公司内部建立计算机的安全管理系统,提高管理效能、保障信息安全、建立可信赖的内控环境。
解决方案
系统组成
在宇通内网部署中软防水墙系统客户端,整个系统包括以下三部分:
防水墙服务器
防水墙服务器包括服务器端软件、支持数据库和授权硬件。防水墙服务器以Microsoft SQL Server 2000为后台数据库,是一个专业的服务器系统。通过安全认证建立与多个防水墙客户端系统的连接,用于对多个客户端系统的配置、管理、审计等,是防水墙系统的核心部分。
防水墙控制台
防水墙控制台是实现系统管理、参数配置、策略管理和系统审计的人机交互界面软件系统。控制台采用分权分级的授权模式,以提高系统的安全性,保证监测信息的保密性。我们在宇通内网建立多个控制台,以便于管理人员的分工管理。
防水墙客户端
防水墙客户端是安装于受监控主机上的监测软件,实时检测受控主机的行为,实现防水墙系统的安全策略,是站在客户机旁边的安全哨兵。防水墙客户端可远程自动安装和升级,并采用了严密措施防止本地用户自行卸载、关闭监控程序。
系统特点
科学的体系架构
系统架构采用服务器-控制台-客户端三层结构,实现集中式的管理、分布式的防护。系统能将宇通内网中所有个人桌面系统全部纳入管理范畴。
* 集中管理、分布式部署
* 完美的模块划分,模块可任意组合
* 基于角色的多级分权管理
* 基于多用户的管理
高可靠性、安全性
* 系统占用资源相对较少
* 与其他常见软件兼容性强
* 不改变用户的使用习惯,不增加用户学习成本,适合大规模推广。
严密的内部安全防护体系
WaterBox 7.2R2 从失泄密防护、文件安全服务、运行状况监控、系统资源管理、扩展身份认证五个方面保障组织内部安全,对主机的非法外连和非法内连进行阻断,最大限度地防止敏感信息的泄漏、被破坏和违规外传,并完整记录涉及敏感信息的操作日志以便事后审计和追究泄密责任。
灵活、完备的策略机制
策略即防水墙客户端对主机控制规则的集合。一个客户端可以有多套安全策略,每个策略都有自己的生命周期。即在不同的时间段执行不同的策略。并且策略在客户端在线和离线时均自动执行。
安全的网络通信、数据通信机制
* 服务器-客户端、服务器-控制台之间采用加密通讯,保证网络通讯安全性。
* 服务器上的备份文件均以加密形式存放。
独特的黑匣子分析仪
防水墙系统引入了系统运行状况黑匣子的概念。专业人员可以根据失事飞机所携带的黑匣子分析飞机失事前的工作状况以追溯查找失事的原因。与此类似,如果发生泄密事件,具有安全官权限的用户管理员可以导入泄密客户端主机所携带的“黑匣子”文件进行分析以追查泄密的过程和追究泄密的责任。
方便、灵活的安全文档系统
文件的加密对用户来讲是透明的。当一个文件被加密存放时,用户可以像正常情况下一样,打开、编辑、修改、存盘,其间的加密、解密过程由系统自动完成。
强大的媒体介质防护能力
* 普通移动存储介质防护
普通的移动存储介质采用防水墙失泄密防护-->媒体介质-->移动存储器策略进行访问控制或文件级加解密。
* 可信移动存储介质防护
可信移动存储器介质采用控制台授权中心授权、客户端身份权限验证进行访问控制,采用扇区级加解密,对于用户来说是透明的,不改变用户的使用习惯。
强大的自我防护能力
客户端用户不能在本地删除防水墙客户端程序,该程序由系统自动启动,用户无法自行中止,保证受管理主机时刻处于有效被监控状态之中。
易用性
* 自动升级、远程安装
* 策略群发,策略复制粘贴,离线下发
* 组织结构迁移,组织结构导入导出
* 分布式部署,跨网段管理
* 用户在各部门间迁移
强大审计功能
* 控制台日志实时监控
* 审计平台强大的事后日志审计
* 报表的灵活多样
* 记录详尽的黑匣子分析仪
全面收益
中软防水墙系统WaterBox解决方案的成功应用,给宇通公司带来的如下受益:
建立了安全的内部网络:对公司的非法接入和非法外联有了强有力的防范,针对非法行为进行报警和阻断,限制了计算机间的非工作通讯,净化了网络环境,保护了宇通公司内网环境的安全。
提高了工作效率:对主机的运行状况和系统资源的管理,有效地限制了非法软件和硬件的使用,提高了员工的工作效率,防水墙系统对主机的全面、统一的管理也提高了计算机管理人员对主机的管理效率。
提高了公司的竞争力:较全面的控制和管理了内网主机信息的存储、传播和处理等途径,对宇通内部公司的财务数据,客户信息、设计图纸等敏感信息进行了安全保护,有效地防止了信息失泄密事件发生。保护了公司信息的安全。
中软防水墙系统除了软件产品及解决方案具有突出的性价比优势以外,关建凭借其在信息安全领域先进理念及丰富的项目经验,精心为我公司设计了切合其需求的安全策略。对我公司的信息安全保障和网络技术水平的提高提供了非常大的帮助。