企业内外网网间安全文件摆渡解决方案.docx

《企业内外网网间安全文件摆渡解决方案.docx》由会员分享，可在线阅读，更多相关《企业内外网网间安全文件摆渡解决方案.docx（25页珍藏版）》请在第一文库网上搜索。

1、企业内外网网间安全文件摆渡解决方案目录1方案背景32企业需求43企业网间文件摆渡应用方案53.1 方案概述53.2 方案特点533过滤策略51.1.1 基于文件内容过滤51.1.2 基于文件类型过滤61.1.3 不能璘!J的文件类型71.1.4 穿透压缩包过滤71.1.5 ；耀审批83.4 事后审计83.4.1 摆渡文件的归档83.4.2 归档文件的删除83.4.3 详细的日志审计93.5 用户台10351摆渡目录容量设置103.5.2友好的用户访问界面103.6 系统雌113.6.1 客户端部署113.6.2 客户端的兼容性123.6.3 IPifetltSig12364客户端资源占用123

2、.6.5 定制的操作系统133.6.6 CAS 存储韩133.6.7 全局单副本14368硬件冗余153.6.9 硬件异常报警153.6.10 备份及还原153611系统维护163.6.12 整合第三方认SEM统163.6.13 数据通讯173.7 方案拓扑及说明184产品的优势和收益194.1 靠性194.2 而用性194.3 高安194.4 可扩充性204.5 易用性204.6 智能分析功能205技术参数216成功案例：某电力公司内外网间文件摆渡系统226.1 项目背景226.2 项目介绍226.3 方案拓扑236.4 使用效果231方案背景随着信息化的发展，信息安全的重要性在各行业越来越

3、得到重视，采用内外网隔离的双网模 式办公网络架构已成为众多企业保证网络信息安全的首选。这种双网模式与传统“混合网”模式 完全不同，他在极大的提高了信息安全的同时，也带来了工作方式的彻底改变。尤其是在内网和公 众信息网之间不能直接建立连接的下，内外网间信息交换就成了企业所面临的一个问题。而由于业务不断增加，内网和公众信息网之间信息交换的需求不断增长，如何保证内网和公众 信息网在隔离的情况下安全、可靠、及时地交换文件对于企业来说也是一种全新的挑战。2企业需求在企业施了内外网隔离的情况下,企业的需求基本如下：1 .内外网之间信息可以交互2 .保证内网敏感信息不会被外泄3 .保证外网不安全因素不会进入

4、内网4 .不改变用户原有的工作习惯5 .对于所有文件的操作要有日志记录供事后审计3企业网间文件摆渡应用方案企业网间文件摆渡应用方案就是在员工内外网主机处于不交互的状态下,实现内网和公众信息 网之间文件的快捷、便利、安全的交换，同时也保证企业内网的文件使用安全性。3.1 方案概述企业内外网间文件摆渡应用方案，满足企业内外网之间文件交互需求。基于文件内容及文件类 型过滤策略，保证了企业内外网间信息交互的安全，防止信息泄露;文件共享与检索管理、与资源 管理器整合等方式,大大提高了企业员工的工做率。3.2 方案特点一套完整的文件摆渡解决方案，应该涵盖丰富的过滤策略、多样化的审计方式、友好的用户界 面、

5、完整的系统架构等四个方面。企业文件摆渡解决方案通过这四个方面对文件摆渡进行了详细的 阐述。3.3 过滤策略3.3.1 基于文件内容过滤产品对系统中的所有的可编辑的文件格式（word、excel, pdf、ppt、txt、html等）进行了 的内容读取，可提供内外网基于文件内容关键字敏感信息过滤。在由内向外传输过程中，对于一些 包含特定词汇、敏感信息、秘密信息的内容,可以根据设定的策略进行控制,避免信息的非法泄露。支持在一条策略中添加多个关键字。配置为包含时，则只要文件内容中有其中一个关键字策略设置过滤类型:判断条件:保存关闭1.1.1 于文件类型过滤除了对文件内容进行过滤之外，产品也提供了基于

6、文件类型（word、excel、ppt、pdf、exe. dL rarx zip、gif、tif、jpeg、bmp、mediaplayer, realplayer）的过滤策略。通过侦测文件 头特征码来确定文件类型,杜绝了对于想仅仅通过修改文件后缀名来实现内外网间文件非法交互的 操作。支持在一条策略中选取多种文件类型。配置为包含时，则这些文件类型都不能摆渡；配置1.1.3 不能识别的文件类型对于不能识别的文件类型,可配置“是否同步不可识别的文件类型，选择是则可以同步 不可识别的文件类型，选择否则不能同步。有密码的压缩包属于不可识别的文件类型。1.1.4 穿透压缩包过滤过滤策略支持穿透压缩包进行扫

7、描，如果压缩包内存在不符合摆渡过滤策略的文件，则整个压 缩包会被全部打回不能进行摆渡，只有压缩包内所有文件符合摆渡策略，压缩包才会被摆渡，进一 步保证了内网安全和防止信息泄密。1.1.5 流程审批不能通过文件摆渡过滤策略的文件，需要走审批流程，相关责任人审批同意后才允许摆渡。同 时，审批流程符合WFMC标准，可以和所有基于此标准开发的OA、ERP等系统无算整合。3.4 事后审计3.4.1 摆渡文件的归档对于上传（拷贝）到“已发送目录上的文件或文件夹，如果包含的文件类型（根据后缀名和 产品的类型配置）在指定的文件类型范围中（目前为excel pdf、ppt、txt、word, visio ,可以

8、 根据实际情况修改），则会在文件摆渡归档已发送目录中新建一个本周时间段的子目录并向其 中相应的目录拷贝T分，文件名的末尾处会添加当前的日期等信息的唯一编号，且在另一服务器的 文件摆渡归档已接收目录中也会归档该文件。1 .压缩包中有需要归档的文件，整个压缩包归档；2 .可以根据文件内容归档,也可单向归档已摆入或已摆出的文件；3 .文件摆渡归档目录下的文件不做全文索引，也不能被文件检索。3.4.2 归档文件的删除用户（系统管理员除外）都有一个摆渡归档目录用于摆渡文件的审计，也有已发送和已接收两 个分类,用户对归档目录只有查看权限。1 .文件摆渡归档目录支持文件（夹）的查看、下载、查看文件属性操作；

9、2 .文件摆渡归档目录下的文件不支持修改、复制、删除功能。对于指定文件的类型（目前为excel, pdf、ppt、txt、word, visio ）,可设置该类型文件的保存期限，一旦超过保存期限，可根据过期历史文档删除策略由系统统一定时删除。隹业归笆文件删除添邮设为“提交策略文件类!D文件类as保存天22VlSlO019word013MX012PM018txt807excel903.4.3 详细的日志审计针对电子文件具有易修改、易拷贝的特点，用户首先可以通过产品对文件的全面保护实现信息 的可控，降低信息泄露风险。同时通过详细的文件访问审计，可以了解和追溯所有对文件的操作与 访问记录。文件的所有

10、操作（新建、查看、下载、检出、回滚、剪切、删除、复制、修改（覆盖文件）、 修改（生成新版本）、重命名、修改属性、提交、粘贴、摆渡发送、摆渡接收）都有详细的日志记 录供事后审计。a拥： 。当天匣吟 匣般畲出反通： 。领SE声： MWWP。本Ii1W /JMM本月吃下ft，修改IMC MW5W雌文件），即（生成ii版本）I B IBCTJ计改IHO6Omx* sc*UHb - SCA行缶本*作者MIM研Sit7 1.M1吴扎更201Iglol30046文件霆邀EK於JllMI8 IM1吴孔爨2011-05-1013:11:01我的文件IE9 11M1兵孔勇2011-05-101112:12辑的文母

11、IE10 11M1具孔S2011-05-1013.12:28会的文性11 Wt文件隹蓑，巳发国11MU Ilm1昊孔勇2011-05-10 111226砒mtn wRttsesHiM12 葡* MiCTosonomcewordXttd 1矍孔KnlglO 1114 22做球文仲法窗* M0soft Office Vord Rtt 0n ffs Uiaosoft Office word Stt d. 1美孔国2011-05-10 U14 22雷富发迸文件82发法制 MlcroSCmofflCeWOS文隹803.5 用户体验3.5.1 摆渡目录容量设置用户摆渡目录容量可通过管理员来设置，默认大小为

12、2Go如果没有设置，则使用系统默认的容量大小，否则，以用户配置的容量为准。摆渡目录容量指已发送和已接收”目录大小的总和，此总和不能大于配置的摆渡目录容摆渡目录答里限制：施用户下次登京必级佳鼓手系统默认禁用该用户无限制IOOM限制使用时间/次数200M500M小作自IG2G电话号码：4G手机：IOG3.5.2 友好的用户访问界面与资源管理器整合的方式，使用户对产品的操作就如同操作本地计算机的硬盘一样简单快捷, 支持鼠标拖放、拷贝粘贴、右键菜单、键盘热键等方式。r我的iFil文件9 编辑 查看9 收藏心 工具9 帮助国)。后退 J (t Q搜索 文件夹区1 A W bolder3.6 系统架构3.

13、6.1 客户端部署真正实现一键安装，域环境下可进行批量安装，为计算机用户免去传统安装过程中的 复杂操作，从服务器端可强制对各客户端进行升级。3.6.2 客户端的兼容性采用微软最新ShelIEXtenSion接口规范,和操作系统、杀毒软件、应用程序等具有广泛的兼容 性，和微软操作系统后续版本的兼容性上将更具优势。3.6.3 IP地址过滤可配置IP地址黑白名单过滤，允许或者阻止某一 IP地址（段）访问。通过将IP地址和用户 绑定，控制终端机器只能由指定的用户来使用。允许访河ip.J受限访问ip9增加删除3地口 SiW余J开始ip结束ipJ开始ip结束ipV 192.168.16.23192.168

14、.16.23J 192.168.16.200192.168.16.250 192168161192.168.16.199如上图所示：IP 为 192.168.16.23 及 192.168.16.100-192.168.16.199 的用户可访问系统,而IP为192.168.16.200-192.168.16.250的用户不能访问系统。登录名：用户姓名：test密码：密码确认：绑定5（多个IP用，号分192.168.16.23割）：如上图所示：用户test和IP : 192.168.16.23绑定。3.6.4 客户端资源占用客户端占用资源少，通过客户端启用前、客户端启用后及客户端进行批量处理的测试，对CPU 占用情况和内存使用情况进行监控，发现CPU和内存的变化是极其微小的。CPU占用情况一 CPU占用情况内存使用情况20151O1OQ2M