防泄密解决方案

防泄密解决方案

一需求分析

1 总体需求

经过信息安全管理软件及管理规定的实施，从信息安全——防止单位重要信息的泄漏保证单位信息资产安全；行为管理——停止“网络旷工”营造健康工作氛围提高工作效率；系统管理——便捷的系统管理保证IT系统时刻运行于巅峰状态，这三个方面全面部署实施内网安全管理系统，使单位得以专注核心事业，更加稳健的大步向前。

2进一步加强对内网行为的有效审计

当前单位内缺乏对各种内网行为的系统化审计工具和流程，经过内网安全管理系统的应用，建立起完整的信息使用及防泄漏的评估审计体系，使得在企业内部，与工作相关的各种内网行为处于企业的审计和管控之中。

3加强对信息流动（外发和外带）的管理和控制

对员工的网络使用设置了一定的限制，可是限制不够全面，信息有可能经过以下途径被带走：

⏹文件可能经过USB口拷贝到U盘、移动硬盘等移动存

储介质带离公司；

⏹可经过3G上网卡等连接网络，把信息经过网络带走；

⏹可将文件经过邮件（NOTES、WEB）发送给外部人员；

⏹能经过打印把电子文档转换成纸质资料带走；

⏹……

4 员工行为管理缺乏有效技术手段

当前公司不能从技术上规范员工的行为，部分员工可能在上班时间从事一些如玩游戏、炒股票、看在线试听等与工作无关的事情，不但降低工作效率，甚至会影响公司带宽，导致公司的正常业务无法顺畅运行。

5 内部文件缺乏有效的安全保护机制

公司拥有大量的机密、敏感信息，关系到客户的资料，方案，投标文件、设计图纸等等，如果发生泄密情况，不但对公司的财产造成损失，同时也影响公司的对外形象，给客户带来不良影响。因此公司迫切需求解决技术部分敏感信息由于员工或者其它人员外泄做一个全面的安全管理，做到事前可防，事中预警，事后可查；不但对公司负责，更要对客户负责。

二解决方案

针对当前xxx公司的需求，如要解决，主要经过以下三个角度来实现：

2.1 上网行为管理解决方案

2.1.1 用户认证

为了有效区分用户和用户组，针对不同用户实施不同的上网行为管理策略，因此，在网络访问过程中，必须具备身份认证机制，避免身份冒充、权限滥用等出现。

●内部用户

对于有线用户AC经过（Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定、USB-Key）本地认证功能，能够准确识别上网用户，从而对该用户进行上网行为管理，而对于未经过认证的用户则限制其网络访问权限。

同时，AC支持与（LDAP、Radius、POP3等外部认证服务器或者SAM、CAMS、城市热点、深澜等认证计费系统结合）进行身份认证。当用户在认证服务器上进行认证后，AC能够获取用户认证信息，用户不用在AC上进行第二次身份认证，形成单点登录，避免重复认证所带来的麻烦。经过身份认证功能，AC能够准确识别上网用户，从而对该用户进行上网行为管理，而对于未经过认证的用户则限制其网络访问权限。

●无线临时用户

对于无线临时用户，经过（短信认证、微信认证）方式，快速接入无线网络，无需专门人员进行开户操作，提高管理效率。

2.1.2 上网行为控制

网络应用极其丰富，特别随着大量社交型网络应用的出现，用户将个人网络行为带入办公场所，由此引发各种管理和安全问题。因此，全面的应用控制帮助管理员掌控网络应用现状和用户行为，保障管理效果。

●应用控制

深信服上网行为管理AC内置庞大应用特征识别库，包含多种应用，4500种规则，600种移动应用。可识别当前网络中各种主流应用，如微博、社区论坛、网盘、在线视频和移动APP等。对于未知应用，AC支持自定义功能，用户可经过协议、IP、端口等元素定义内网系统应用，从而对不同用户进行控制。

●网页过滤

企业员工在日常需要使用网络的工作中，需要搜索访问互联