中国DOS联盟

-- 联合DOS 推动DOS 发展DOS --

联盟域名：www.cn-dos.net 论坛域名：www.cn-dos.net/forum
DOS，代表着自由开放与发展，我们努力起来，学习FreeDOS和Linux的自由开放与GNU精神，共同创造和发展美好的自由与GNU GPL世界吧！

中国DOS联盟论坛 » 其它操作系统综合讨论区 » 内网安全解决方案之全时行为控制篇

terry0309
社区乞丐

积分 -30
发帖 2
注册 2009-2-20
状态离线

『楼主』: 内网安全解决方案之全时行为控制篇

面对网络安全威胁，很多企业将重点放在了常规性防护方面，主要基于传统的网络安全理念采用边界防护设备、灾难备份及病毒防护等措施，对于企业内部网络的安全隐患往往被忽视。综合企业的应用需求和网络管理现状，在内网安全方面主要存在的问题主要包括以下几个方面：
　　1、核心数据保密：企业内部服务器、员工计算机分散存放大量文档、报表等重要数据，必须将用户的使用行为进行记录、审计，将文件操作、打印情况纳入一个有效管理的体制之下，防止所有核心数据通过网络、移动存储设备带出内网信息系统。
　　2、移动PC管理：移动PC由于经常被携带外出，其遭受攻击、传播病毒和泄露机密文件的几率最高，企业对移动PC的保护应该延伸到其活动的任何一个角落。
　　3、网络行为管理：对网络行为进行有效管理，防止恶意病毒木马在内网系统传播，同时阻止未经授权的非法计算机接入网络窃取重要数据。

针对以上问题，华堂内网安全防御系统采用了“全时行为控制”思想和 “策略分发发，统一管理”的运行模式，通过提供在线和离线两套策略，对企业网络设备提供更加严格的防护。

在线策略
指客户机能与服务器正常通信时的策略。当客户机处于内网时，会受到防火墙或其他网关的防护，安全指数相对较高且容易监管。此时，通常向客户机下发适当宽松的策略，以满足正常办公需求。例如：允许使用USB设备、允许运行某些软件、允许访问某类网站等。

离线策略
指客户机不能与服务器正常通信时的策略。最为常见的是移动PC在异地接入互联网后，脱离了企业防火墙网关的控制或者移动设备遗失，数据面临丢失的情况。此时，应当加强对移动PC的控制，最大限度地保护设备及数据的安全。例如：禁止使用USB、光驱等设备，磁盘数据加密、不允许访问不信任主机等。

通过在线和离线两种策略的“全时行为控制”，前文提到的三个问题就能得到有效的解决。
1、数据保密：华堂内网安全防御系统的文件加密功能，可以在硬盘、U盘上创建加密空间，并且可以限制未经认证的U盘不能被客户机识别或读、写文件；文件拷贝到其他PC上仍然处于加密状态；能够监控打印文件记录。这样，未经认证的存储设备无法拷贝企业数据、通过网络传输出去的数据也是加密的，数据保护工作提高到一个更严格的层次。
2、移动PC管理：移动PC在异地连接互联网时，离线策略对其进行最大程度的防护。禁止访问危险链接、禁止使用U盘、光驱等设备，切断病毒入侵的通道；如果移动PC遗失，因为重要数据仍处于加密状态，也不必担心被他人获取。如因工作需要必须临时开发限制策略时，可以使用临时管理码，使其获得较大权限。安全与灵活两者兼得。
3、网络行为管理：移动PC回到企业接入内网时，如果感染了病毒，华堂内网安全防御系统内置的分布式防火墙会识别并阻断攻击，防止感染局域网的其他主机。如果有未经许可的主机试图访问局域网，分布式防火墙也会阻断链接，只允许受信任主机之间的通信。

除此之外，华堂内网安全防御系统的全时行为控制还拥有软件进程管理、硬件资产管理、补丁分发、日志审计等功能，客户机软、硬发生的改动都能直观地识别，提高了工作效率。

华堂内网安全防御系统的“全时行为控制”，以计算机终端安全为中心出发点，从“监控非法接入” 、“禁止移动机密信息” 、“实时报警和安全审计”以及“策略集中分发”等多种角度构建完整的终端计算机安全防护体系。通过全时行为控制，确保了局域网内外主机受到全面的保护，同时强化了数据的私密性，为企业内网安全提供了一个有效地解决方案。

2009-2-27 06:43