內網安全案例之用戶特征

存在大量設計文件、勘測數據等價值信息需要重點保護，特別是勘測數據已納入國防戰略信息范圍，需要重點防護;

為客戶提交的設計文件比較大，且設計院各個專業部門的編輯軟件專業性強，數量非常多;

院內信息系統采取了一些安全措施并建立了一定的安全管理制度，專業設計部門網絡與Internet隔離，敏感數據交換有專人負責;

設計文檔本身就是產品，銷售給用戶后需要對文件的流轉進行使用控制。

內網安全案例之需求分析

從設計院所的人員構成、業務流程和數據的流轉特征等方面分析，設計院內網安全體系建設需要重點關注以下幾方面的需求：

1、 數據外帶的控制。作為競爭性智力產品，設計院形成的設計圖紙和相關文檔重點關注的是文件在客戶、合作伙伴流轉過程中如何實現有效的訪問權限控制并杜絕惡意的成果剽竊行為。

2、 計算機登錄認證控制、服務器訪問授權;設計院所有共享設計素材和設計成果，統一保存在共享服務器，需要對服務器訪問授權進行統一安全管理。

3、 計算機大容量專業數據文件的存儲保密。保存在服務器和各個設計人員終端上的設計文件，需要進行統一加密處理并設定分級訪問權限。

4、 內部數據傳輸的保密?？紤]到設計人員移動遠程接入的需要，為防止數據監聽等泄密行為，需要對數據傳輸通道進行保密處理。

內網安全案例之解決之道

設計院所內網安全的體系建設，需要突出重點，切實關注文件外帶保密需求，充分考慮敏感性數據面臨的各種主動泄密和被動泄密風險。同時，應充分考慮系統對設計人員的業務影響范圍，盡可能降低安全行為帶來的系統性能損耗和應用約束，在安全性和可用性之間保持合理的平衡。

Chinasec提供的整體解決方案，重點實現以下功能：

用戶使用硬件令牌登錄計算機，令牌中內置數字證書，實現雙因素認證。內網服務器通過安全網關進行保護，只有授權用戶才能訪問;

計算機硬盤中存儲數據加密，對用戶操作透明，防止硬盤數據丟失引起數據加密;

內部數據傳輸途徑主要為網絡和移動存儲設備，網絡根據安全等級劃分為不同的安全等級，同等級間能夠正常通訊，不同等級間只有授權才能訪問，同時網絡中數據加密，防止非法計算機訪問;

移動存儲設備管理，對移動存儲設備進行授權管理，可授權為只讀、加密、讀寫、禁用屬性;

對于外帶文件授權進行控制，文件采用加密格式，只有使用令牌或者授權口令才能打開，文件可以控制文件使用時間、打開次數、編輯等權限。

內網安全在設計院內網安全管理中得到了很好的應用，本方案是基于Chinasec可信網絡安全平臺，具有高度的模塊化和擴展性，可以根據設計院系統發展的需要，在功能進行擴展，大大提高內網安全管理的統一性和效率。

【編輯推薦】

1. Chinasec公安行業內網安全解決方案
2. 電子政務內網安全域防護體系設計方案
3. 內網安全需控制終端　利用準入控制來把關