大勢至航空運輸企業(yè)上網(wǎng)行為控制、商業(yè)機密防泄漏解決方案

前言

隨著信息技術(shù)的不斷發(fā)展和航空運輸信息化的深入開展，當前國內(nèi)主流的航空運輸企業(yè)，在企業(yè)內(nèi)部信息化方面取得了長足的發(fā)展。具體表現(xiàn)為，在網(wǎng)絡方面增加了硬件設備，在軟件方面，增加了ERP、CRM和SCM等管理軟件和一些常用辦公軟件，日常的生產(chǎn)和工作很多都基于計算機網(wǎng)絡進行。這一方面極大地提高了航空運輸企業(yè)的生產(chǎn)效率和運營效率，為航空運輸企業(yè)創(chuàng)造了直接的經(jīng)濟效益。但另一方面，計算機網(wǎng)絡技術(shù)、信息技術(shù)的一些弊端也在航空運輸企業(yè)彰顯出來，由此引發(fā)了一系列的網(wǎng)絡管理問題，甚至威脅到航空運輸企業(yè)的穩(wěn)健經(jīng)營。

航空運輸信息化衍生出來的網(wǎng)絡管理問題

航空運輸是勞動密集型產(chǎn)業(yè)，通常雇傭的員工較多，相應地網(wǎng)絡規(guī)模也比較大，需要運維管理的計算機數(shù)量較多，網(wǎng)絡管理也比較復雜，需要管理的問題也比較多，主要分為以下兩大方面：

1、航空運輸內(nèi)部網(wǎng)絡設備等硬件系統(tǒng)的管理

由于航空運輸企業(yè)網(wǎng)絡設備、各種生產(chǎn)設備比較多，因此當務之急首先是保護好這些網(wǎng)絡設備的安全，這是保護航空運輸信息安全、商業(yè)機密安全的基礎和前提?？偨Y(jié)起來，主要有以下幾個方面：

較早部分是對企業(yè)信息資產(chǎn)的控制。企業(yè)所有包含企業(yè)信息的設備都是信息安全部門需要保護的對象。除了較常用的辦公工具電腦外，復印件、打印機等具有輸出信息功能的設備都是IT資產(chǎn)保護的一部分。此外，再把信息安全管控的因素加進去，把設備的類型、資產(chǎn)類型進行分類、標識、資產(chǎn)發(fā)放、合理，這樣便于企業(yè)對其信息資產(chǎn)進行控制。

第二部分是信息化系統(tǒng)的物理安全，需要對物理邊界進行把控。例如企業(yè)日常辦公中的門禁系統(tǒng)，門禁權(quán)限分配與管理、權(quán)限申請與把控。劉歆軼介紹說，對于生產(chǎn)航空運輸型的企業(yè)來說，其生產(chǎn)部分、研發(fā)部門因為職能的不同，對人員進出的要求也不同。尤其是研發(fā)部門，實驗室的物理安全性非常重要。

第三部分是對通信等網(wǎng)絡設備的安全管控。從廣義上的服務器，到狹義上的信息化安全產(chǎn)品的實施和規(guī)劃、驗收、網(wǎng)絡的，網(wǎng)絡的安全管理，磁盤的備份都是需要做管控。一般企業(yè)的IT也是較關(guān)心這類的安全內(nèi)容。

第四部分是訪問控制，企業(yè)對信息系統(tǒng)的體系和環(huán)節(jié)都需要訪問控制和人員把關(guān)，其中包括外來電腦或移動設備接入單位局域網(wǎng)、未經(jīng)的訪問局域網(wǎng)文件服務器的行為、局域網(wǎng)內(nèi)部電腦與外部電腦的主動通訊、各種軟件的賬號管理、網(wǎng)絡設備登陸登出管理、權(quán)限變更、人員訪問和等級劃分。

2、航空運輸內(nèi)部員工上網(wǎng)行為的管理

對航空運輸內(nèi)部局域網(wǎng)網(wǎng)絡行為的管控，是直接防止局域網(wǎng)遭遇網(wǎng)絡攻擊、商業(yè)機密泄漏的重要舉措。目前，在航空運輸內(nèi)部局域網(wǎng)中，依然存在著和其他行業(yè)一樣的網(wǎng)絡管理問題。主要有以下幾個方面：

1）企業(yè)內(nèi)的員工在工作時玩游戲，用QQ/TM/MSN需要進行管理。

2）企業(yè)內(nèi)設計部門的圖紙等重要數(shù)據(jù)發(fā)現(xiàn)被剽竊過，需要對相關(guān)重要文件進行管理。

3）員工在上班時間玩游戲、下載、上傳、看在線影視，占用網(wǎng)絡資源而且降低工作效率。

4）全網(wǎng)、分用戶組和針對單獨客戶端發(fā)送消息。

5）非法機器設備接入內(nèi)網(wǎng)，隨意訪問內(nèi)網(wǎng)資源。

6）企業(yè)內(nèi)部的軟硬件資產(chǎn)需要進行審計和管理，避免資產(chǎn)的流失。

7）企業(yè)內(nèi)需要對操作系統(tǒng)及時打補丁。

8）企業(yè)內(nèi)PC維護量很大，需要遠程的維護。

9）信息中心摘除了PC的光驅(qū)軟驅(qū)，軟驅(qū)，但是U盤使用廣泛，病毒從U盤感染到內(nèi)網(wǎng)，擴散很快，無法*清除。

10）特定的文件程序共享后分發(fā)安裝繁瑣。

3、航空運輸尤其要加強電腦文件安全管理、防范商業(yè)機密泄漏

如今，為了提高企業(yè)核心競爭力，航空運輸企業(yè)都已采用了計算機輔助設計工具，實現(xiàn)圖紙的數(shù)字化管理。然而，依靠之前的管理體系對數(shù)字化后的信息安全進行有效的監(jiān)管也面臨著很多困難。

就航空運輸而言，知識產(chǎn)權(quán)的竊取是指一個企業(yè)可能會失去它的“秘方”，這將造成該企業(yè)的產(chǎn)品遠離市場競爭，并淡化其品牌。企業(yè)往往不知道出現(xiàn)了知識產(chǎn)權(quán)的泄漏，直到成品或服務端和其他公司的得獎產(chǎn)品驚人的相似。

除了知識產(chǎn)權(quán)盜竊的威脅，航空運輸商也面臨著網(wǎng)絡間諜的風險，特別是在產(chǎn)品測試和開發(fā)的領(lǐng)域。據(jù)第三方統(tǒng)計，企業(yè)內(nèi)部信息80%都是由內(nèi)部員工引發(fā)的。而當前日漸發(fā)達的存儲工具和信息傳輸手段，將會使得員工主動或不小心行為變得極為簡單?？偨Y(jié)起來，主要有以下幾種：   

1）員工電腦隨意插入各種移動存儲設備，如U盤、移動硬盤甚至手機等；

2）員工通過網(wǎng)盤、郵件、FTP文件上傳、軟件發(fā)送文件的方式將電腦文件泄漏出去；

3）員工通過藍牙、PCI卡、隨身wifi等移動上網(wǎng)設備將電腦文件出去；

4）外來電腦接入局域網(wǎng)隨意訪問局域網(wǎng)文件服務器或員工電腦后，隨意拷貝大量文件；

5）員工主動攜帶電腦、PAD等移動設備接入局域網(wǎng)，通過與自己電腦通過網(wǎng)絡傳輸文件。

同時，由于航空運輸內(nèi)部局域網(wǎng)通常都配備有文件服務器，用于存儲單位重要的圖紙文檔，一方面便于無形資產(chǎn)的存儲和保全，另一方面也便于資源共享和員工協(xié)同工作，并且通常為了方便員工工作而設置了較高的文件訪問權(quán)限，甚至是*的訪問權(quán)限。這就使得員工在訪問共享文件時，一旦不小心或者惡意操作訪問共享文件，將會使得服務器的文件安全存在重大威脅。因此，航空運輸網(wǎng)絡管理人員也必須采取有效的舉措來保護文件服務器共享文件的安全。

大勢至航空運輸網(wǎng)絡管理解決方案

大勢至公司作為國內(nèi)較早的上網(wǎng)行為管理軟件和信息安全管理軟件提供商，一直密切關(guān)注于航空運輸信息化的建設，以及由此引發(fā)的網(wǎng)絡管理問題。通過自主研發(fā)的全線網(wǎng)絡管理產(chǎn)品，并結(jié)合在航空運輸大量用戶的廣泛實踐，可以為國內(nèi)航空運輸提供從上網(wǎng)行為管理、網(wǎng)絡設備運維到商業(yè)機密保護、企業(yè)數(shù)據(jù)防等領(lǐng)域一站式的解決方案。具體如下：

首先，通過“大勢至上網(wǎng)行為管理系統(tǒng)”全面控制局域網(wǎng)上網(wǎng)行為。

大勢至上網(wǎng)行為管理系統(tǒng)分為基于B/S架構(gòu)和基于C/S架構(gòu)。基于B/S的“聚生網(wǎng)管”系統(tǒng)，通過的“虛擬網(wǎng)關(guān)”監(jiān)控模式，只需要在航空運輸局域網(wǎng)內(nèi)部任意一臺電腦部署就可以控制整個局域網(wǎng)電腦上網(wǎng)行為，有效禁止局域網(wǎng)電腦玩游戲、網(wǎng)購、看視頻、下載、瀏覽網(wǎng)頁等行為，同時還可以限制電腦網(wǎng)速、進行局域網(wǎng)IP和MAC地址綁定以及防御局域網(wǎng)ARP攻擊等，規(guī)范員工上網(wǎng)行為，保護網(wǎng)絡資源，保護網(wǎng)絡安全。

首先可以在一個聚生網(wǎng)管的控制機上面額外配置多塊網(wǎng)卡（較高配置6塊），然后通過每個網(wǎng)卡分別接入各個局域網(wǎng)上的交換機的方式實現(xiàn)對多個局域網(wǎng)的監(jiān)控，如圖（一）所示。如果存在多個多個交換機、多個局域網(wǎng)的情況下，可以在每個局域網(wǎng)對應的交換機下面各配置一臺聚生網(wǎng)管的控制機，分別控制各自的局域網(wǎng)，如圖（二）所示。

而對于一些航空運輸企業(yè)需要監(jiān)控局域網(wǎng)網(wǎng)絡設備，保護硬件資產(chǎn)的需求，可以通過部署基于C/S架構(gòu)的“大勢至網(wǎng)絡運維管理系統(tǒng)”，可以實時查看局域網(wǎng)電腦屏幕、查看電腦硬件資產(chǎn)、監(jiān)測硬件系統(tǒng)的運行狀況、分發(fā)補丁、批量安裝軟件等，實現(xiàn)局域網(wǎng)的網(wǎng)絡運維管理。

其次，通過大勢至電腦文件防系統(tǒng)保護電腦文件安全，防止各種途徑。

針對員工電腦存儲有單位重要的機密文件，可能隨時有意無意的行為，通過部署“大勢至電腦文件防系統(tǒng)”可以防止通過各種管道將電腦文件的行為。大勢至電腦文件防系統(tǒng)分為單機版和網(wǎng)絡版，用戶可以在單個電腦安裝和運行，也可以在局域網(wǎng)內(nèi)部分別安裝管理端和客戶端，由管理端控制客戶端電腦的行為來實現(xiàn)。

大勢至電腦文件防系統(tǒng)可以有效禁用U盤、移動硬盤等USB存儲設備，同時還可以禁止網(wǎng)盤使用、禁止電腦發(fā)送郵件、禁止FTP文件上傳以及禁止軟件發(fā)送文件，同時還可以精準地控制郵件收發(fā)行為（例如只讓使用特定、只讓收郵件而禁止發(fā)郵件等）、精準地控制軟件的使用（只讓特定軟件和特定賬號的軟件使用），從而既可以防止電腦文件，又可以不影響員工正常工作中的網(wǎng)絡應用。

同時，通過大勢至電腦文件防系統(tǒng)還可以對操作系統(tǒng)注冊表、組策略、計算機管理等關(guān)鍵位置進行有效的管控，防止一些懂技術(shù)的員工通過修改上述位置而繞過系統(tǒng)監(jiān)控而達到泄露電腦文件的目的。

此外，本系統(tǒng)集成了強大的自我防護功能，可以不被第三方軟件破壞與通過技術(shù)手段干擾本系統(tǒng)的正常運行，是當前保護電腦文件安全、實現(xiàn)企業(yè)數(shù)據(jù)防的利器。

較后，通過部署大勢至局域網(wǎng)共享文件管理系統(tǒng)，保護文件服務器共享文件的安全。

當前，很多企業(yè)內(nèi)部局域網(wǎng)通常都有文件服務器，通常會共享一些重要文件供局域網(wǎng)用戶訪問使用，并且為了方便用戶工作，通常會設置較高的訪問權(quán)限，甚至是*的訪問權(quán)限。這樣就存在著用戶不小心或惡意刪除服務器共享文件的行為，從而不利于文件服務器的安全。

而大勢至局域網(wǎng)共享文件管理系統(tǒng)就是一款專門保護服務器共享文件安全的軟件，通過在文件服務器上安裝之后，就可以為文件服務器共享的文件和用戶設置相應的訪問權(quán)限，特別是可以實現(xiàn)只讓讀取共享文件而禁止復制共享文件、只讓修改共享文件而禁止刪除共享文件、只讓打開共享文件而禁止另存為本地磁盤，以及禁止拖拽共享文件、禁止打印共享文件等，從而有效保護了服務器共享文檔的安全。同時，本系統(tǒng)還可以詳細記錄局域網(wǎng)用戶訪問共享文件的日志，便于管理員事后備查和審計。

總之，作為國內(nèi)上網(wǎng)行為管理和商業(yè)機密保護的一線廠家，大勢至公司通過十多年的不斷研發(fā)和技術(shù)積累，以及在國內(nèi)各行業(yè)企事業(yè)單位的廣泛實踐，使得大勢至公司的網(wǎng)絡管理解決方案可以*航空運輸網(wǎng)絡管理和商業(yè)秘密保護的需要，配合大勢至公司提供的“隨需應變”個性化定制開發(fā)服務，可以更進一步滿足航空運輸網(wǎng)絡管理的個性化需求，真正幫助航空運輸實現(xiàn)網(wǎng)絡管理的目的，幫助航空運輸企業(yè)創(chuàng)造良好的網(wǎng)絡管理收益和經(jīng)濟效益。