| |
我国科研院所信息化现状
当今社会,信息化浪潮席卷了全世界的每一个角落,随着计算机硬件和信息技术的发展,办公信息化成为一种可能。文件,文档的载体由纸张转换成硬盘,光盘,U盘等存储介质,越来越多的厚厚的文件转换成了电子文档,存储在愈来愈小的存储设备上。在环保,提高工作效率,提高文档准确性和减少存储空间等方面,电子文档比起传统方式均有提高,但是电子文档的保密性成为近年的主要诟病。
由于电子文档使用灵活,未经授权的使用和拷贝,很容易造成电子文档中信息的丢失。敏感文件在我国科研院所中无处不在,作为单位信息化的同时,如何管理好敏感文件是任何一家单位领导和CIO所要考虑的问题。
|
问题分析
我国科研院所的信息化发展速度快,在发展的过程中出现了一些内网管理的问题,下面就从内网运行维护的角度分析我国科研内网的安全隐患和需求。
|
病毒问题
其实,对于科研机构局域网来说,单机的病毒还是好处理的,但是目前目前的病毒有多元化,网络化的特征,常常给内网的管理带来了很多麻烦。很多网管惊叹,为什么我用了防病毒软件还是感染病毒。下面就从几个方面分析一下。
|
有防病毒软件,是单机版的
这种情况,单机版的升级不能够统一掌握,使整个网络的防毒水平下降;同时针对系统漏洞没有打补丁;针对U盘等介质没有进行管理;
|
有网络防病毒软件
没有安装系统补丁,没有对U盘等介质进行管理,没有对非法接入终端进行管理。
|
有网络防病毒软件,安装系统补丁
没有对U盘等介质进行管理;没有对非法接入终端进行管理。
有arp类攻击。
|
 |
维护问题
科研网络维护问题是近几年的热点问题。内网维护难,主要是设备(PC)多,人员少,工具差。
网络中普遍缺少有效的IP地址管理,造成IP地址使用混乱,经常修改IP地址,使得不少网管手中的IP地址对照表已失去价值。
|
外网的使用问题
科研院所的发展离不开互联网,但是事实上,外网复杂的行为并不便于管理:泛滥的使用下载工具,导致外网的实际可用带宽过低,影响正常的科研业务;员工上班时间看股票、聊天等,也不利于工作。
|
敏感信息保护问题
科研院所有大量敏感信息,主要是设计图纸,财务数据等等,如何防止电子文档被窃取,已经不只是信息主管关心的问题了。
2004年12月,华为员工窃密案一审判定三人有罪。
2005年3月,ComTriad Technologies Inc承认盗用了朗讯的版权信息。
2007年11月,上海征途网络科技有限公司研发中心开发部一名程序员离职时将征途游戏的程序代码私自复制后带走,通 过网络以13万元的价格卖给了两名“识货人”。
2007年08月29日,太阳能设备生产科研―――深圳市捷佳创精密设备有限公司遭窃贼光顾,存储有产品核心机密资料、筹备上市资料的21台电脑全部被卷走,案发后,一名当夜值班的保安员神秘失踪。该公司相关负责人表示,损失至少上千万,且会影响公司上市时间,故悬红20万元寻线索。
根据相关安全机构调查和近期内网敏感文件泄露的事件说明,敏感信息70-80%都是由于内网勾结造成的。对于内网敏感文件按的管理最为重要的就是要管理好内网人员的行为。
|
三、科研院所内网管理之道
内控王2012的科研内网解决方案,是针对以上的问题,推出一系列的功能的组合,不仅解决的内网管理的问题,还从另一方面在不增加人员,较低的资金投入的情况下提高了内网管理的水平。
|
病毒防治
在防病毒的问题中,并不是一个部署一个防病毒软件这么简单,而即使部署防火墙和IDS,也还是有感染病毒的可能。在这方面内控王2012提供了一整套解决方案,具体办法如下:
1.解决防病毒软件全部部署的问题,同时还要客户端的升级做到同步;
2.针对Microsoft的操作的漏洞,定时的给用户机安装补丁;
3.对U盘等移动介质,要进行管理,或者禁止使用,或者指定设备可以使用指定的U盘,或者指定u盘只能内网使用,带到外部就无法使用。有效杜绝信息被拷贝带走。
4.对非法接入设备,进行统一管理,禁止其访问内网;
5.对流行的ARP病毒,进行专门的,有效的防御;
|
 |
终端维护
内控王2012,对计算机的维护主要分为几大类,主要分为:
·病毒问题
提供远程的防毒,补丁及相关软件的推送工具。
·系统问题
能够了解每台机器的基本情况,需要简单的远程维护
·网络资源管理
对网络的计算机名,工作组,IP,MAC地址及相关的网络情况进行了解,集中进行管理。需要对用户的IP地址进行管理。
·文件分发,文件夹分发
通过该功能分发诸如HIS、PACS等系统的补丁,自动升级,提高效率。
|
网络行为管理
对于内网不良行为,内控王2012一直作为一个重点进行管理,但是彻底解决这个问题,不仅需要一些手段,还要在几个方面全面落实,做到疏而不漏。主要有几个方面:
1、全面的客户机安装程序,使用程序和登录网站的审计;
2、全面的监控功能,能在线发觉,在线记录,便于取证;
3、全面的程序使用管理,可以禁止用户运行指定的程序;
4、全面的网页使用管理,可以禁止用户登录指定的程序;
5、提供定制的策略,把PC机管成瘦客户机;
6、全面透明加密,指定加密文件类型;
7、虚拟桌面功能,屏蔽电脑部分或全部功能(网络设置,我的电脑等),并且指定运行程序。
|
流量管理
“内控王2012”在流量管理上之所以解决了以上的问题,主要是因为“内控王2012”的带宽管理是建立在内控王三层结构的架构上。数据采集通过内核技术,从客户机上采集,由于采用非广播方式,即不受网络环境的影响,又最大层度上减少了带宽的占用,数据准确性大大提高。而带宽的限制则是通过客户端实现的,同其他内控王的策略一样,有效、稳定。
|
信息安全
首先要从传播途径入手进行管理。
1、管理共享文件夹
2、限制U盘或移动硬盘等介质使用
3、u盘注册使用机制
4、对发出电子邮件进行审计
5、限制使用聊天工具,或记录聊天内容
6、对打印机使用情况进行管理
7、重要文件进行透明加密
8、对文件的使用进行审计
其次,要对文件的操作和用户的登录日志进行管理。
|
 |
内控王2012总体部署方案
根据以上对科研机构内网问题的分析和内控王2012提供的解决方案,最终的部署拓扑如下图。
|
 |
(1)由于内控王2012采用非广播方式,降低了对网络环境的要求,只要终端能够和服务器进行通讯,就能够正常让内控王2012正常工作。
(2)可以由控制端统一管理,控制端可以部署在网络中任何位置。
(3)通过全网部署内控王2012,做好补丁管理和外设管理,同时做好防病毒软件的维护,就能极大降低病毒带来的风险。
(4)全网部署内控王2012,通过文件分发功能,能为科研业务软件的升级和维护带来方便。
(5)通过网络维护工具可以限制员工修改IP,同时对IP进行管理,也限制了非法接入的计算机。
(6)通过信息安全模块管理了员工的行为,管理敏感文件传播的途径,同时也对敏感文件的使用进行记录,便于事后举证。
|
内控王2012典型科研用户
|
| 沈阳特种设备检测研究院 |
北京泛华工程设计公司 |
经济作物研究所 |
承德环境科学研究院 |
| 中石油工程设计公司辽阳分公司 |
中国石油工程技术研究院 |
鞍山市设计院 |
|
|
| |
科研院所解决方案
