内网面临威胁，我们“解决之道”（一）

NO.1 涉密网络文件（信息）保密体系     经过多年建设，党政军网络已经基本实现了信息化，政府、军队和军工单位的信息网络中有大量的涉密文件和信息需要进行保密。根据国家保密局的要求，涉密网络跟外网（Internet）物理上相互隔离，虽然如此，随着信息化程度的提高和各种内部泄密事件的发生，对涉密内网的信息保密工作受到越来越多的重视。 面临的威胁：     内部人员随意使用移动存储介质（如U盘和软盘等），有意或者无意将涉密文件带出涉密网络和保密区域，造成泄密；     内部人员通过Modem拨号、ADSL拨号、无线拨号或者对等网（网线直联）方式私自建立非法外联网络，从而造成信息泄密；     非涉密网络移动计算机和PDA等，通过网络交换机或者对等网（网线直联），接入涉密网络，获取涉密信息；     通过涉密网络的计算机终端外设（如红外、蓝牙、USB和打印等）将涉密信息泄漏出去；     盗取或者偷换涉密计算机的硬盘，造成数据泄密；     带有涉密信息的U盘或者计算机丢失，造成泄密风险；     内部人员将涉密网络计算机无意或者有意连接到互联网上，造成信息泄密。 解决之道：     提供基于IP包的网络控制技术，有效防止一切形式的非法外联和非法接入行为，并且可以防止将涉密内网计算机接入外网网线的上网泄密行为发生。     提供完善的移动存储介质（U盘等）的管理，可以对U盘进行注册、授权、挂失和注销；授权内容包括禁止、只读、加密读写和普通读写策略，可以对用户授权，也可以结合计算机授权，非常灵活；同时还提供移动存储介质在涉密网络中使用的详细审计记录，并可以形成报表；加密存储介质上的数据带离指定的涉密网络，则无法使用。     可以对各种类型的外设进行关闭或者开放授权，并且可以针对不同的人和不同的计算机实施不同的策略，并且支持关键字黑白名单的设置；     提供对计算机硬盘的全盘加密和身份认证增强控制，防止因为硬盘丢失或者计算机丢失造成信息泄密；     通过对网络和存储的控制，可以依据国家保密局等级保护相关条例，将涉密网络根据保密级别不同，划分为不同的保密域，分域分级管理；     提供针对用户网络访问、文件操作、外设使用、应用程序使用、移动存储介质使用和打印等行为，提供详细的审计，并生成图文并茂的报表。 NO.2 统一身份认证和授权管理     在单位中，各种IT应用系统越来越多，包括各种服务资源、计算机终端、计算机外设、应用程序和网络等各种企业资源的合理分配和使用越来越重要，而分散的身份认证和授权管理让管理员疲于应付，并且容易遗留安全漏洞，建立一个统一的身份认证和授权管理体系愈发重要。 面临的威胁：     各种应用系统都使用独立的用户名和密码，员工职位变更给管理员带来很大的工作量，并容易造成安全漏洞；     计算机的使用难以控制，经常发生不同部门计算机串用的情况，需要增强对计算机的授权使用；     各种单位的信息资源，包括外设、网络和应用等资源的使用无法进行授权管理，造成资料浪费或者管理出现漏洞；     计算机口令认证方式容易被攻击，尤其是领导管理人员，通常使用简单的口令，容易被员工冒充身份。 解决之道：       通过组策略，可以对不同的应用系统进行统一的认证授权，方便快捷，根据不同用户群体和不同的计算机集群设置不同权限的用户组；     可以对各种类型的计算机外设进行授权，根据不同用户（组）和不同的计算机（组）设置不同的权限；     可以对各种应用程序使用进行授权，根据不同用户（组）和不同的计算机（组）设置不同的权限；     可以对各种网络应用协议、网络地址和网络端口等进行授权，根据不同用户（组）和不同的计算机（组）设置不同的权限；     可以对打印、移动存储介质使用以及文件权限等进行授权，根据不同用户（组）和不同的计算机（组）设置不同的权限；     提供详细的审计记录，并对试图违反授权规则的行为进行详细的日志记录。 NO.3 移动存储介质管理 以U盘为代表的移动存储介质的出现和普及，极大方便了数据交换和存储便利性，但是，对于企业来说，移动存储设备小型化、形式多样化和存储量大的特点，也给文件管理和信息管理带来了很大的困难。 面临的威胁：     任意个人的U盘、移动硬盘、软盘或者光盘等，可在单位的计算机上随意使用，容易造成计算机病毒感染和泛滥；     使用移动存储介质，怀有恶意的内部人员可以随意将单位内部重要信息复制出去，容易造成单位敏感信息泄密；     移动存储介质一旦无意丢失，存储在里面的大量单位敏感数据可能失控，造成泄密。 解决之道：   设定移动存储介质允许使用的用户（组）；     通过加密涉密数据读写策略，可以有效控制移动存储介质数据的共享范围，移动存储介质的使用方便性和数据安全性兼得；     提供移动存储介质注册机制，未经注册的移动存储介质不能在受管理的计算机系统中使用；反之，已注册移动存储介质将不可在指定范围以外使用。     提供详细的审计记录，包括使用信息和文件操作信息，记录要素包括使用人、使用计算机、使用时间和动作等，并提供丰富的审计报告。