第一章项目背景

 

       随着信息化进程的深入和互联网及网络应用等技术的广泛应用，信息网络技术的应用日益普及和不断深入，也使得旅游业这个以信息密集型和信息依托型产业，在信息技术与旅游业之间的有了更深层次互动。近年来，我国旅游业迅速发展，旅游者的消费需求越来越个性化、多样化，旅游企业也需要越来越多的提供一站式、综合化的旅游产品。

      伴随着信息技术的发展，旅游企业开始广泛使用信息技术，特别是网络技术，以不断提高企业的竞争力。企业信息设施在提高企业效益给用户带来

便利的同时，也给企业和消费者增加了风险隐患。各个行业都同样面临着信息安全问题的困扰，尤其是像旅游企业这样通过网络平台和信息系统直接面

对消费者的服务型行业，信息安全问题的矛盾就显得尤为突出。

      随着Internet的高速发展，旅游企业业务的开放性和国际性在增加应用自由度的同时，也使安全成为一个日益重要的问题。开放性的网络，导致网

络的技术是全开放的，因而网络所面临的破坏和攻击也是多方面的，如何保护旅游企业和旅游服务使用者的信息不被非法获取、盗用、篡改和破坏，已

成为旅游信息化从业人员的重要研究课题。

       通常认为黑客、病毒以及各种蠕虫的攻击大都来自外部的侵袭。根据统计，各种计算机网络、存储数据遭受的攻击和破坏，80％是内部人员所

为。来自内部的数据失窃和破坏，远远高于外部黑客的攻击。

     

       企业内部竞争性情报信息是企业无形资产管理的重要部分。如何保护企业自身重要情报不被竞争对手窃取，使企业在使用网络来提高工作效率的

企业如何避免重要的数据信息不被非法切取，如何有效的阻止外来终端的非法接入内部网络，对内部人员的进行行为规范管理等将是一个重要课题。传

统的安全解决方案只是在企业网络边界部署防火墙、入侵检测、IPS、UTM、防毒墙等安全设备，虽然在网络安全中起到非常重要的作用。但由于现在

网络边界的概念逐渐模糊，通过***、无线上网、远程拨号等方式连接到内部网络变得非常普遍，内网上各种信息滥用、误用、恶用行为增加，严重影

响内网安全。对于以上安全问题，传统安全技术显得力不从心。

       据IDC统计，80%以上的安全威胁来自于内部，企业内网数据安全所面临的安全隐患主要表现在如下几个方面：

• 非法外联难以控制、内部重要机密信息泄露频繁发生

• 移动电脑设备随意接入、网络边界安全形同虚设 

• 缺乏外设管理手段，数据泄密、病毒传播无法控制

• 网络应用缺乏监控，网络滥用现象严重

• 内部竞争情报和具有知识产权图档泄露严重

• 没有全网的同意安全策略

• 原有的终端应用软件没有统一监控管理

• 终端资产无管理，无法保证网络设备正常运行

• 内部员工滥用网络，上网行为无规范，行为无管理

• 管理制度缺乏依据，无法取证，安全策略无法有效落实

第二章    项目介绍及需求分析

 

1、项目介绍

      随着国旅旅游业务快速发展，企业信息化的程度越来越高，业务和应用更多的依赖于互联网和计算机终端。也将会合并收购越来越多的旅游企业，

开设更多的营业网点。这也使得国旅需要统计登记大量的电脑资产信息。同时在日常办公中，有些员工使用360WIFI、3G网卡 、笔记本一体机自带的

无线网卡上网等直接上网、或将自己的机器直接作为无线热点，让其他办公人员通过这个作为无线热点的机器上网；员工可以安装非正版软件，使用非

办公所需的软件（例如：PPTV等）、任意浏览与工作无关的网址。

                

  2、网络现状

                          

如图所示：

• 有三个主要办公点
• 三个主要办公点之间通过***互连；
• 事业部通过***与公司办公点连接；
• 营业点通过互联网与公司办公点连接；

 

3、需求分析

      

      信息化网络系统已有了初步的建设，在信息系统的使用上也使用了在线订票、在线支付、电子商务等系统，并取得了相当好的成效。但随着企业的发展，虽然有一定的网络管理制度和措施，系统安全上也采取了一定的安全防护设备，但在一定程度上还没有进行很好管理完善，还存在着以下问题：

规范大，终端数量多，电脑资产统计登记工作量大而繁琐困难，导致资产流失难以统计追查、审计；

       1、没有对接入内部的网络的终端进行有效的管理控制；

       2、非法违规外联现象严重，给内部网络造成了重大的安全隐患；

       3、员工使用电脑及网络行为无规范、无管理；

      公司的部门、人员组成十分复杂，无法对这些用户进行细粒度的资源访问进行权限控制。还有QQ、PPTV等网络资源无法进行有效的控制，员工通

过360WIFI将可连接外网的电脑作为无线热点，让其它电脑通过此无线热点连到外网。违规使用PPTV等软件，滥用企业禁用软件的等行为，会导致关

键业务系统无法正常使用或影响正常工作的开展进行，违反公司管理规定，工作时间浏览娱乐网站、购物网站等；无法对内网用户的网络行为进行有效

的监控提到网络安全问题，大多数用户都只关注外网安全。但是其实企业的信息资产更多的不是被黑客窃取，而是通过内部泄漏的。所以虽然公司内部

已经部署了防火墙等安全设备，

       1、无法对内网用户的网络行为进行有效的监控，包括邮件、论坛等。没有很好的统计方法，管理员无法得知内网的使用状况，查寻与统计相当不方便。

          无法保证客户端的安全性，终端用户权限未经限制，私自下载使用盗版软件、非法软件，所以无法保证在上网时的安全性，导致很容易从访问网站中感染病毒，木马，等不安全因素，从而影响整个内网用户的应用。给企业带来潜在的安全和法律风险；

      2、管理员无法有效了解计算机的运行状况与潜在漏洞

      3、管理制度缺乏依据，无法取证，安全策略无法有效落实

    

安全隐患可能带来的影响

 

         网络安全是一个十分重要的问题。网络出现故障将造成：

     企业无法开展正常的业务活动。因为目前企业的业务活动是建立在计算机网络基础上的，网络出现问题就造成很多业务活动无法正常开展。

• 造成人民群众情绪激动，容易发生过激行为，甚至出现群体性行为。

• 造成数据丢失。企业数据是十分重要的，很多数据丢失后将无法恢复。丢失数据将给企业造成无法估量的损失。从某种意义上说，数据是至关重要的。

• 工作时间（特别是夜间）的上网行为，影响到工作人员的工作效率和工作情绪，造成内部人员工作上的懈怠，轻则降低管理、企业的信誉丢失，重则引起纠纷、法律问题或社会问题。

  

 安全隐患产生的原因

 

     蔓通科技对以上种种安全隐患进行深入分析，并结合成功实施数千家企业内网安全项目的经验的基础上，发现形成如此众多的内部安全威胁主要原

因有以下几点：

“残缺意识，残疾制度，管理残疾”

•  一是部分内部人员存在侥幸心理，认为不规范的行为不会影响网络，不会影响工作；二是，虽然建立了完善的管理制度，但是得不到贯彻执行；三是没有有效的工具去发现并杜绝这些违规行为；

• 缺乏对内网接入安全的管理和技术手段；

• 缺乏对内网客户端的安全管理和监控；

• 缺乏对内部人员访问网络权限的管理；

• 缺乏对分散终端的集中管理和审计；

第三章 内网安全总体设计

   

      设计目标

 

      通过建设内网安全管理系统，建立内部网络的统一内网管控中心平台，实现对内部网络在终端管理的存在的安全问题，把安全隐患降至可管控的范

围内。

      制定符合企业网络安全管理的相关规定，通过内网安全管控系统，强化对内网电脑终端设备的使管理。对终端设备的使用登记、电脑设备及其软硬

件配置的资产登记，规范员工使用电脑的权限、行为及规范，培养并强化内部人员在内网使用中的规范意识、安全意识；

       对内网终端进行监控和审计，做到内网安全管控的“事前预防、事中控制、事后溯源”。能够对员工使用电脑、网络等的行为有一个很好的管理手

段，对员工的使用电脑及网络资源的情况进行统计，审查，及时发现和制止不正当的使用内部网络资源事件，对不正当的使用行为进行时刻的规范提

醒，从而是员工有一个良好健康的网络办公环境，同时，通过软件能够找出违规人员，保障企业的各类系统的正常运行。

对信息传递途径进行控制，实现全面的终端通讯设备和存储设备的彻底控制；进行国旅内网接入保护，实现外来电脑的接入局域网络限制；制定详细的

报警策略，对非法接入设备进行及时报警提示；制定详细的互联网信息传递阻断策略，对非法信息传递进行阻断；

技术层面和管理层面的良好配合，是组织实现全面内网安全系统的有效途径。其中，全面内网安全技术通过采用包括建设安全的主机系统和安全的网络

系统以及可信的客户端系统的安全产品的方法来实现。在管理层面，则通过构架信息安全管理体系来实现。

      以信息中心为中枢建立主控计算机网络系统，在各地分支机构分设分控服务器，将全国各个分支机构的工作情况，资产信息，通过***来实现与总

部信息中心互通，汇总后与总部网络的互连，总部可以通过总控平台对全国各分支机构办公人员的PC、笔记本实现监控管理，分支机构也可使用分控

中心管理自己的客户端。

      改善内部管理。使总部对各分支机构管理纳入稳固的良性运行机制。

    设计原则

      技术可行性和实用性原则

      内网安全系统结构设计在满足以上要求的同时还必须做到经济实用，以节约投资，必须以有限的投资获得较高的性能，即系统应该具有较高的性能

价格比。在技术上用一定的先进性，而又有经济实用的网络。要考虑到以后可能的发展需求，在保证实用、可靠的基础上，选择先进性技术，使其整个

系统应该容易升级。

     可扩充性原则

      易扩展性是业务发展的需要。员工不断增多，电脑终端设备不断增加，为了保护现有投资，也为了满足用户的需要，系统应具有一定的终端可扩充

能力，同时系统提供的功能不能只局限在准入控制及资产管理功能需求上，可具有不同的功能模块方便用户选择增加。在客户数量剧增的情况下依然能

够提供优质服务，这就要求我们的系统具有良好的可扩展性。

 

相对安全性原则

    在内网安全的管控方面，安全是相对的，在安全保护方面投入的资源是有限的，保护的目的是能够在现有的基础上，在一定的程度上提高国旅内网

安全管理的能力，能够对不同的管理对象定义不同的管理策略，而解决安全问题不能只依靠技术，还要从组织、流程、管理等多方面整体考虑解决。

   

内网安全管控设计图

                         

  

 拓扑结构说明

      在内网安全管控系统基于需求分析和设计原则，对整个内网管理系统主要从准入控制、资产管理及行为规范管理等方面进行设计。

      分别部署一台蔓通NSC内网安全管控设备，蔓通NSC内网安全管控设备与该三个办公点的核心交换机相连接，并同时连接一台安装了NSC内网安全

管控中心服务端软件的服务器，作为内网安全的管理中心机器，可以再该中心平台上对内网的所有终端进行策略下发，策略的配置、终端信息查看等。

    对营业网点和事业的电脑终端直接通过办公点的NSC硬件设备来管理，并营业网点和事业部的电脑终端不做准入控制，只做资产统计管理，在所有的

电脑终端上安装蔓通NSC内网安全管控系统的一个插件，即可实现相应的管理需要。

NAC准入控制解决方案

   1）产品主要特点

   1、合适的准入控制点

 

          蔓通NAC的位置本身即位于安全域边界（互联网出口、服务器出口及办公网出口等），从安全理论的角度讲，对某个用户进行控制（包括访问控

制、准入控制、业务控制etc）的最佳位置就是在安全域的边界；同时，蔓通NAC的其他控制模块可以与准入控制功能相互配合，蔓通NAC一旦发现某用

户行为违规，就可通过内网管理系统直接断开该用户的所有连接。

2、实现简单方便，成本低，易于部署

       采用蔓通NAC配合内网管理系统实现准入控制，与基于802.1x/EOU等协议相比，业务实现流程清晰可靠、环节少，用户只需要购买少量蔓通

NAC，采用透明方式部署至网络关键节点处，即可实现全面的准入控制，且对用户原有的业务流程不造成任何影响。

3、控制力度强，覆盖全面

       与基于DHCP控制，ARP spoofing，DNS劫持等准入控制相比，UTM准入控制能力更强、更全面，终端用户在任何情况下均无法突破或绕过准入控制。

4、与蔓通NSC的其它安全功能进行有机的配合

       例如，在采用蔓通NSC作为***网关时，对接入的移动用户实施准入控制，可为整个***体系提供更佳的安全防护措施，同时实现对内网用户和

***用户的管理及准入控制。除此以外，与众多的安全模块联动的强大防护能力效果更佳。

2）应用价值

    帮助确保所有的用户网络设备都符合安全策略，从而大幅度提高网络的安全性，不受规模和复杂性的影响。通过积极抵御蠕虫、病毒、间谍软件和

恶意软件的攻击，机构可将注意力放在主动防御上（而不是被动响应）。

1. 减少恶意代码（如病毒、蠕虫、间谍软件和其它形式的犯罪软件）的传播。

2. 快速检测并控制试图连接网络的所有非法设备，不受其访问方法的影响(如路由器、交换机、无线、***和拨号等)，从而提高系统永续性和可扩展性。

3. 防止不符合策略和不可管理的终端设备影响网络可用性或用户生产率，降低风险。

4. 通过近乎实时端点遵从数据获得可验证的企业遵从信息。

5. 企业级集中管理架构将总体拥有成本降至最低。

6. 通过与蔓通NSC的其他几大解决方案集成和联动,扩展现有安全系统,使得内网安全系统的功能更强大、更全面。

第四章 安全审计、网络行为管理解决方案

    蔓通NSC安全审计管理解决方案以事前预防、事中监控、事后溯源为主要设计理念，通过外设管理关闭避免办公设备的滥用，病毒的传播，非法外联

等危险行为；通过桌面安全对windows的系统管理级功能进行了屏蔽，有效保证windows桌面安全；通过行为监控对文件操作、文件打印等行为全程监控。

强大的行为管理

• 禁止或允许使用的应用软件，分时段控制，支持模糊关键字，如“QQ”

• 同时监控多个客户端屏幕，一屏显示支持2X2,3X3,4X4,远程截取客户端即时屏幕。

• 远程实时监视屏幕并录像，可后台播放所有记录屏幕影像。

全面的行为审计记录

• 详细记录文件复制、粘贴、剪切、改名、删除等操作，统计应用行为（数据、饼图、柱图）。

• 保护客户端文件，可设定访问、修改、改名或删除等文件操作权限。

• 对客户端打印的文件的名字和页数及其相关内容记录。

实时的行为报警跟踪

• 客户端异常、非法卸载等报警，可自动阻断、关机、启动、发通知信息。

• 对网络客户端流量进行监控报警，客户端输入或输出流量超过管理员设定阈值时报警，可自动阻断、关机、启动、发通知信息。

• 客户端硬件信息变化报警，可自动阻断、关机、启动、发通知信息。

• 客户端软件信息变化报警，可自动阻断、关机、启动、发通知信息。

• 非法连接互联网报警，可自动阻断、关机、启动、发通知信息。

• 非法外来设备报警，可自动阻断、关机、启动、发通知信息。

4）应用价值

 

       杜绝终端不规范的行为造成内网流量异常对整个企业内网的影响；

• 杜绝终端用户擅自安装其他软件（游戏软件等），影响工作效率和企业形象，保障终端设备最少资源消耗；防止终端用户擅自更换硬件设备而造成的资产流失；

• 对内网终端的违规行为提供审计功能和证据保存，杜绝内网故障发生后不能明确责任人的尴尬局面。

产品介绍

       蔓通NSC是融合了监控软件、网管软件、加密软件、内网安全等产品的功能，构建了一套可信赖的全面内网安全管控平台，使得用户的网络行为管

理更规范，从根本上提升网络和PC有效利用，全面提高工作效率；使得内网安全的诸多隐患得到全面的管理和监控，实时监测内网的运行，监控客户

端的一举一动；使得文档资料更加安全，避免内网的数据信息心外泄，几乎封堵了现在能够想到的所有泄密的途径，是目前国内极具竞争力的全面内网

安全解决方案。

        是一个强有力的安全产品，在强调企业内部管理的同时，同时关注外网的安全，尤其是内网人员在访问外网时的规范，有效防止内网人群对互联

网资源的滥用和带宽的非法占用。帮助企业的高管或信息主管把众多的客户端纳入到一个紧密的管控平台，根据不同的角色和权限，针对每个客户端施

加不同的策略，既保证每个客户端的正常有序工作，又能全程监控客户端的所有操作，如：“网站审计、文件审计、打印审计、IM（QQ/MSN/YAHOO

通/UC/SKYPE/淘宝旺旺/贸易通）审计、邮件审计、屏幕快照、多屏监视、屏幕录像”等，满足企业对网络使用规范和管理制度的有效执行，以期进一步

提高市场竞争的比较优势。

产品部署：

       蔓通NSC基本系统由四个不同的组件组成：客户端组件、服务器组件、控制台组件、WSUS补丁服务器组件。用户可以根据具体需要将它们安装在

局域网中的计算机上。客户端组件安装在每一台需要被监视的计算机上。服务器组件用来存储和管理所有安装客户端组件的计算机，用于管理监视所产

生的相关数据，一般安装在一台具有大容量内存和硬盘的服务器计算机上。控制台组件主要用于监视每台安装有客户端组件的计算机及查看历史记录，

一般安装在网管和管理人员的计算机上，也可以和服务器组件安装在同一台计算机上，WSUS组件主要是定时或不定时从微软网站下载windows、office

等微软产品的所有补丁，根据分发策略向所有客户端组件安装补丁。