大勢至(北京)軟件工程有限公司
免費會員
具體成交價以合同協議為準
大勢至航空運輸企業上網行為控制、商業機密防泄漏解決方案
前言
隨著信息技術的不斷發展和航空運輸信息化的深入開展,當前國內主流的航空運輸企業,在企業內部信息化方面取得了長足的發展。具體表現為,在網絡方面增加了硬件設備,在軟件方面,增加了ERP、CRM和SCM等管理軟件和一些常用辦公軟件,日常的生產和工作很多都基于計算機網絡進行。這一方面極大地提高了航空運輸企業的生產效率和運營效率,為航空運輸企業創造了直接的經濟效益。但另一方面,計算機網絡技術、信息技術的一些弊端也在航空運輸企業彰顯出來,由此引發了一系列的網絡管理問題,甚至威脅到航空運輸企業的穩健經營。
航空運輸信息化衍生出來的網絡管理問題
航空運輸是勞動密集型產業,通常雇傭的員工較多,相應地網絡規模也比較大,需要運維管理的計算機數量較多,網絡管理也比較復雜,需要管理的問題也比較多,主要分為以下兩大方面:
1、航空運輸內部網絡設備等硬件系統的管理
由于航空運輸企業網絡設備、各種生產設備比較多,因此當務之急首先是保護好這些網絡設備的安全,這是保護航空運輸信息安全、商業機密安全的基礎和前提。總結起來,主要有以下幾個方面:
較早部分是對企業信息資產的控制。企業所有包含企業信息的設備都是信息安全部門需要保護的對象。除了較常用的辦公工具電腦外,復印件、打印機等具有輸出信息功能的設備都是IT資產保護的一部分。此外,再把信息安全管控的因素加進去,把設備的類型、資產類型進行分類、標識、資產發放、合理,這樣便于企業對其信息資產進行控制。
第二部分是信息化系統的物理安全,需要對物理邊界進行把控。例如企業日常辦公中的門禁系統,門禁權限分配與管理、權限申請與把控。劉歆軼介紹說,對于生產航空運輸型的企業來說,其生產部分、研發部門因為職能的不同,對人員進出的要求也不同。尤其是研發部門,實驗室的物理安全性非常重要。
第三部分是對通信等網絡設備的安全管控。從廣義上的服務器,到狹義上的信息化安全產品的實施和規劃、驗收、網絡的,網絡的安全管理,磁盤的備份都是需要做管控。一般企業的IT也是較關心這類的安全內容。
第四部分是訪問控制,企業對信息系統的體系和環節都需要訪問控制和人員把關,其中包括外來電腦或移動設備接入單位局域網、未經的訪問局域網文件服務器的行為、局域網內部電腦與外部電腦的主動通訊、各種軟件的賬號管理、網絡設備登陸登出管理、權限變更、人員訪問和等級劃分。
2、航空運輸內部員工上網行為的管理
對航空運輸內部局域網網絡行為的管控,是直接防止局域網遭遇網絡攻擊、商業機密泄漏的重要舉措。目前,在航空運輸內部局域網中,依然存在著和其他行業一樣的網絡管理問題。主要有以下幾個方面:
1)企業內的員工在工作時玩游戲,用QQ/TM/MSN需要進行管理。
2)企業內設計部門的圖紙等重要數據發現被剽竊過,需要對相關重要文件進行管理。
3)員工在上班時間玩游戲、下載、上傳、看在線影視,占用網絡資源而且降低工作效率。
4)全網、分用戶組和針對單獨客戶端發送消息。
5)非法機器設備接入內網,隨意訪問內網資源。
6)企業內部的軟硬件資產需要進行審計和管理,避免資產的流失。
7)企業內需要對操作系統及時打補丁。
8)企業內PC維護量很大,需要遠程的維護。
9)信息中心摘除了PC的光驅軟驅,軟驅,但是U盤使用廣泛,病毒從U盤感染到內網,擴散很快,無法*清除。
10)特定的文件程序共享后分發安裝繁瑣。
3、航空運輸尤其要加強電腦文件安全管理、防范商業機密泄漏
如今,為了提高企業核心競爭力,航空運輸企業都已采用了計算機輔助設計工具,實現圖紙的數字化管理。然而,依靠之前的管理體系對數字化后的信息安全進行有效的監管也面臨著很多困難。
就航空運輸而言,知識產權的竊取是指一個企業可能會失去它的“秘方”,這將造成該企業的產品遠離市場競爭,并淡化其品牌。企業往往不知道出現了知識產權的泄漏,直到成品或服務端和其他公司的得獎產品驚人的相似。
除了知識產權盜竊的威脅,航空運輸商也面臨著網絡間諜的風險,特別是在產品測試和開發的領域。據第三方統計,企業內部信息80%都是由內部員工引發的。而當前日漸發達的存儲工具和信息傳輸手段,將會使得員工主動或不小心行為變得極為簡單。總結起來,主要有以下幾種:
1)員工電腦隨意插入各種移動存儲設備,如U盤、移動硬盤甚至手機等;
2)員工通過網盤、郵件、FTP文件上傳、軟件發送文件的方式將電腦文件泄漏出去;
3)員工通過藍牙、PCI卡、隨身wifi等移動上網設備將電腦文件出去;
4)外來電腦接入局域網隨意訪問局域網文件服務器或員工電腦后,隨意拷貝大量文件;
5)員工主動攜帶電腦、PAD等移動設備接入局域網,通過與自己電腦通過網絡傳輸文件。
同時,由于航空運輸內部局域網通常都配備有文件服務器,用于存儲單位重要的圖紙文檔,一方面便于無形資產的存儲和保全,另一方面也便于資源共享和員工協同工作,并且通常為了方便員工工作而設置了較高的文件訪問權限,甚至是*的訪問權限。這就使得員工在訪問共享文件時,一旦不小心或者惡意操作訪問共享文件,將會使得服務器的文件安全存在重大威脅。因此,航空運輸網絡管理人員也必須采取有效的舉措來保護文件服務器共享文件的安全。
大勢至航空運輸網絡管理解決方案
大勢至公司作為國內較早的上網行為管理軟件和信息安全管理軟件提供商,一直密切關注于航空運輸信息化的建設,以及由此引發的網絡管理問題。通過自主研發的全線網絡管理產品,并結合在航空運輸大量用戶的廣泛實踐,可以為國內航空運輸提供從上網行為管理、網絡設備運維到商業機密保護、企業數據防等領域一站式的解決方案。具體如下:
首先,通過“大勢至上網行為管理系統”全面控制局域網上網行為。
大勢至上網行為管理系統分為基于B/S架構和基于C/S架構。基于B/S的“聚生網管”系統,通過的“虛擬網關”監控模式,只需要在航空運輸局域網內部任意一臺電腦部署就可以控制整個局域網電腦上網行為,有效禁止局域網電腦玩游戲、網購、看視頻、下載、瀏覽網頁等行為,同時還可以限制電腦網速、進行局域網IP和MAC地址綁定以及防御局域網ARP攻擊等,規范員工上網行為,保護網絡資源,保護網絡安全。
首先可以在一個聚生網管的控制機上面額外配置多塊網卡(較高配置6塊),然后通過每個網卡分別接入各個局域網上的交換機的方式實現對多個局域網的監控,如圖(一)所示。如果存在多個多個交換機、多個局域網的情況下,可以在每個局域網對應的交換機下面各配置一臺聚生網管的控制機,分別控制各自的局域網,如圖(二)所示。
而對于一些航空運輸企業需要監控局域網網絡設備,保護硬件資產的需求,可以通過部署基于C/S架構的“大勢至網絡運維管理系統”,可以實時查看局域網電腦屏幕、查看電腦硬件資產、監測硬件系統的運行狀況、分發補丁、批量安裝軟件等,實現局域網的網絡運維管理。
其次,通過大勢至電腦文件防系統保護電腦文件安全,防止各種途徑。
針對員工電腦存儲有單位重要的機密文件,可能隨時有意無意的行為,通過部署“大勢至電腦文件防系統”可以防止通過各種管道將電腦文件的行為。大勢至電腦文件防系統分為單機版和網絡版,用戶可以在單個電腦安裝和運行,也可以在局域網內部分別安裝管理端和客戶端,由管理端控制客戶端電腦的行為來實現。
大勢至電腦文件防系統可以有效禁用U盤、移動硬盤等USB存儲設備,同時還可以禁止網盤使用、禁止電腦發送郵件、禁止FTP文件上傳以及禁止軟件發送文件,同時還可以精準地控制郵件收發行為(例如只讓使用特定、只讓收郵件而禁止發郵件等)、精準地控制軟件的使用(只讓特定軟件和特定賬號的軟件使用),從而既可以防止電腦文件,又可以不影響員工正常工作中的網絡應用。
同時,通過大勢至電腦文件防系統還可以對操作系統注冊表、組策略、計算機管理等關鍵位置進行有效的管控,防止一些懂技術的員工通過修改上述位置而繞過系統監控而達到泄露電腦文件的目的。
此外,本系統集成了強大的自我防護功能,可以不被第三方軟件破壞與通過技術手段干擾本系統的正常運行,是當前保護電腦文件安全、實現企業數據防的利器。
較后,通過部署大勢至局域網共享文件管理系統,保護文件服務器共享文件的安全。
當前,很多企業內部局域網通常都有文件服務器,通常會共享一些重要文件供局域網用戶訪問使用,并且為了方便用戶工作,通常會設置較高的訪問權限,甚至是*的訪問權限。這樣就存在著用戶不小心或惡意刪除服務器共享文件的行為,從而不利于文件服務器的安全。
而大勢至局域網共享文件管理系統就是一款專門保護服務器共享文件安全的軟件,通過在文件服務器上安裝之后,就可以為文件服務器共享的文件和用戶設置相應的訪問權限,特別是可以實現只讓讀取共享文件而禁止復制共享文件、只讓修改共享文件而禁止刪除共享文件、只讓打開共享文件而禁止另存為本地磁盤,以及禁止拖拽共享文件、禁止打印共享文件等,從而有效保護了服務器共享文檔的安全。同時,本系統還可以詳細記錄局域網用戶訪問共享文件的日志,便于管理員事后備查和審計。
總之,作為國內上網行為管理和商業機密保護的一線廠家,大勢至公司通過十多年的不斷研發和技術積累,以及在國內各行業企事業單位的廣泛實踐,使得大勢至公司的網絡管理解決方案可以*航空運輸網絡管理和商業秘密保護的需要,配合大勢至公司提供的“隨需應變”個性化定制開發服務,可以更進一步滿足航空運輸網絡管理的個性化需求,真正幫助航空運輸實現網絡管理的目的,幫助航空運輸企業創造良好的網絡管理收益和經濟效益。
