中关村近期将进行大规模整顿,中关村西区的电子卖场将搬迁到北京市海淀区的大钟寺,而中关村电子卖场里集中的大量攒机商户即将被集体清退。
微软最新的Win 7提升了微软自身的利润,也推动零售商的PC销售,然而对惠普、戴尔等PC厂商的业绩并无太大帮助。
据国外媒体报道,IBM日前表示,去年第四季度从Sun和惠普手中抢到了200多家企业客户。
华深慧正将渠道政策定位于“成本趋零 收益倍增”,为渠道伙伴提供“自助式”渠道合作。
“科盾内网安全平台”是由北京峰盛博远科技有限公司和国防科技大学一起合作开发的,主要包含6大子模块:网络认证授权子系统、桌面管理子系统、移动存储介质管理子系统、网络监控子系统、网络分域子系统、文档安全管理子系统(文档透明加密采用驱动级加密技术)
针对目前内网安全存在的问题,科盾提供一下几种解决方案:
1.对于一个公司或者企业单位来说,平凡的与对外客户来往,外来的笔记本电脑或者一些智能化的终端设备需要接入企业内网中,这就会给公司带来一定得风险,那么“科盾内网安全平台-网络认证授权子系统就是专门针对这类现象提供解决方案,通过采用以系列的认证手段:身份认证、口令认证、U-KEY认证、支持第三方数字签名认证等等方式,保证了外来电脑需要通过合法身份才能接入内网,同时结合权限管控,分配外来设备的使用范围,事后提供全程的日志审计。
2.对于目前员工上班期间不遵守公司公章制度,平台乱用公司资源等等问题,例如:
针对控制层面:
? 不希望员工在工作时间处理与工作无关的事情;
? 不希望员工通过移动磁盘拷贝、刻录、打印、非法拨号外联等途径将内部资料泄露到外部;
? 对于特定类型的敏感信息,对其操作能够监视;
针对管理层面:
? 统计终端的软、 硬件信息,从而掌握企业或单位的资产,并能跟踪资产的变更情况;
? 按照企业或单位的统一规划、分发及自动安装软件和补丁;
? 即时发送公告,通知终端用户某类消息或工作指令,或者终端用户即时发送公告给管理
员,请求解决某类问题;
? 监视终端用户的桌面,掌握终端的运行进程以及CPU、内存和磁盘的使用状况,从而约束
他们的行为;
? 查看和控制终端的帐户和共享,减少信息外泄的风险;
? 提供用户自注册途径的单点登录,避免多账户混乱;
科盾内网平台——桌面管理子系统能做到以下几点:
1)敏感信息拿不走。系统提供外设管理功能,通过控制终端外设的使用,实现终端用户在非授权的条件下无法拷贝或传输敏感信息到企业或单位外部。
2)敏感信息看不懂。系统通过透明加、解密敏感信息,实现非授权用户即使带走了敏感信息也无法阅读。
3)文件操作强审计。系统提供文件控制功能,通过严密审计敏感文档的操作,实现用户违规操作的事后追查;
4)用户行为的可监控。在监视方面,系统提供远程终端监视功能,使管理员可以实时地监控用户正在运行的应用程序、桌面状况、内存和硬盘的使用状况等。如果某个用户的行为不符合企业或单位的规定,则可通过锁定或截屏操作终止其行为或进行实时取证。在控制方面,系统提供进程控制功能,控制用户是否允许运行某个程序。该功能一方面可以规范用户的行为,有效提高员工的工作效率,另一方面也保证了终端的稳定性,防止病毒的攻击。
5)终端资产的可计量。管理员能够对终端的软、硬件资产进行统计,并能跟踪其变更,防止企业或单位资产的流失。
6)数据分发的可自动。管理员能够将文档、软件或补丁分发给终端,并根据它们的性质选择存储、安装或执行。
信息交互的可即时。管理员和终端用户之间的信息交流,用于企业或单位内公告的发布和反馈。
3.目前,存储介质作为企业核心机密和敏感信息的载体,实现对它们安全、有效的管理是保证企业信息安全的重要手段。移动存储介质由于具有使用灵活、方便携带和存储量大等优点,使得它在企业信息化的过程中迅速得到普及。越来越多的敏感信息、秘密数据和档案资料被存贮在移动介质里,大量的秘密文件和资料变为磁性、光学介质,存贮在无保护的移动存储介质中。但是,移动存储介质(如U盘、移动硬盘等)的普及也给企业的信息安全带来了巨大的隐患,具体表现在:
1、许多企业对计算机存储介质的管理不规范,甚至未被纳入保密管理的范畴,导致无法对内部使用的移动存储介质进行统一管理;
2、私人的U盘、移动硬盘等,可以在单位的计算机上随意使用,容易造成计算机病毒感染和泛滥,导致内部网络运行出现故障;
3、使用移动存储介质,怀有恶意的内部人员可以随意将单位内部涉密信息复制出去,容易造成单位敏感信息泄密;
4、企业内部使用的移动存储介质被随意带出,在外网中使用时容易造成失泄密;
5、企业涉密移动存储介质在使用时,缺乏身份认证和访问控制,导致任何人可以使用任何介质在任何机器上进行文件拷贝,造成企业文件流失;
6、企业涉密移动存储介质被内部人员在非涉密计算机上使用,容易遭受“轮渡攻击”,导致机密数据流失;
7、内部人员在使用移动存储介质进行文件交换时,无法对文件流向进行审计和控制,在出现文件流失时难以对责任人进行追究;
8、企业移动存储介质使用时存在明密不分、公私不分的现象,导致企业的内部文件出现失泄密;
9、企业移动存储介质在被盗或遗失时,会导致内部数据丢失。
这些由于移动存储介质的大量使用而引起的安全问题给企业信息化建设带来了很大的困扰,随着移动存储介质越来越轻便、存储容量越来越大,这些问题随着信息化建设的逐步深入也会越来越突出、越来越严重!
针对这些问题,科盾内网安全平台-移动存储介质管理子系统能做到:
?1)非认证介质进不来。企业内网中使用的移动存储介质均需进行注册,管理员能够禁止未注册移动
存储介质在内网中使用。
2)涉密文件拿不走。管理员能够对移动存储介质的访问进行灵活、严格地控制,对于没有授权的移
动存储介质,无法从机器上将涉密文件拷贝出去。
?3)认证介质外部没法用。管理员能够将内部流通的移动存储介质注册为内网专用的加密格式,内部
人员将注册后的介质拿出后将无法使用。
?4)内部数据读不懂。管理员能够制定对特定移动存储介质的读写实施透明加密防护,是数据在写入
后被自动加密,即使介质丢失也不会导致数据的丢失。
?5)移动介质操作跑不了。管理员能够对移动存储介质的接入和文件操作进行严格审计,从而能够追
踪泄密事件,事故责任人跑不了。
4.从用户的网络行为的角度,分析传统的企业网络的安全和管理状况,存在三个方面的缺陷:
1)ARP病毒防护
2)网络流量和带宽不能管控
3)网络邮件发送不能管控
科盾内网安全平台-网络监控子系统能提供以下功能:
(1)端点防火墙。集中管理和控制的客户端防火墙,其策略由管理员根据单位管理需要指定,可以根据IP地址、URL地址、网络端口和数据流向等设定客户端计算机或者用户访问的权限,以白名单或者黑名单的方式工作。例如发现蠕虫病毒,可以及时全网统一封锁相应的传播端口,从而有效控制该类型病毒的破坏效果。
(2) 能够对ARP病毒免疫,确保主机获取网关MAC的正确性以及网关获取主机MAC的正确性。能够对ARP病毒免疫自动拦截和预警,管理员可以根据丰富的预警信息追溯ARP病毒的源头,从而可以彻底的消除该病毒。
(3) 可以将主机的IP地址与MAC地址进行强制性绑定,防止员工随意修改IP地址,造成IP经常冲突,以及无法对安全事件源追溯定位,给管理人员造成很大的麻烦。
(4) 网络常规应用层协议解析。对常规网络应用层协议进行解析,从而进行了详细的日志记录,主要包括了HTTP协议日志、FTP协议日志、邮件协议日志和其他日志。
(5) 终端邮件控制。通过解析SMTP协议,可以对指定的发件人、收件人进行邮件和附件收发控制。
(6) 终端邮件内容记录。可以记录通过POP3和SMTP协议收发的邮件正文内容及附件,如:OUTLOOK、Foxmail等。
(7) Web附件控制。能够对通过WEB方式上传文件的行为进行控制,包括通过WEB邮箱发送附件、通过WEB论坛粘贴附件、通过网络硬盘传输文件等方式。
(8) Web附件记录。能够对通过WEB方式上传的文件进行缓存,管理员可以进行上传文件的内容审计。
三、系统特点
(1) 端点防火墙可以对URL进行网页过滤,防止用户浏览恶意网页中毒和木马。
(2)为了平衡管理和安全,端点防火墙对用户的网络访问控制提供分时段控制功能,可以由管理员灵活配置指定用户在指定时间段内的访问范围。
(3)强大的WEB附件控制功能可以防止信息通过WEB论坛粘贴附件、通过网络硬盘传输文件等方式外泄。
(4)流量控制和带宽控制功能提供对粒度不同对象的控制,如对用户或用户组,并且提供实时的统计显示。
(5)可以对主机的IP和MAC地址进行强制性的绑定,对恶意修改IP的用户可以采取断网的惩罚措施。
(6)智能的ARP防火墙,不仅可以对ARP病毒免疫而且阻止ARP病毒进行破坏活动,更重要的是提高丰富的日志信息追溯该病毒源。
5.为什么要对网络进行分域管理?
随着网络安全技术的不断发展,网络攻击的技术也在不断的改进和创新,以前简单的网络边界安全解决方案,已经不能从整体上解决企业网络的安全隐患,企业或单位不再简单满足于架设防火墙、IDS(入侵检测)和防病毒等安全产品,内网安全管理体系已经越来越得到企业或单位的重视。
企业或单位的组织结构由若干职能部门组成,涉及不同的敏感信息,使得不同的职能部门存在安全等级的差异,因此部门之间以及部门与外网之间的安全访问显得尤为重要,它需要利用某种技术或手段实现不同等级部门之间的网络阻断和信息加密,从而防止特定部门内部信息的外泄。针对这一问题,安全域的概念应运而生,它要求企业或单位能够根据自身的业务特点、安全目标以及保护等级的不同对内部网络进行划分,实现不同强度的安全保护。
科盾内网安全平台-网络分域子系统提供以下功能:
CNSDMS涉及虚拟安全域、公共交换域、工作组以及可信域四个概念:
虚拟安全域对应于接入域,是根据安全等级的不同对企业或单位安装了内网安全终端的机器的划分,实现域间的安全访问。其中,一台机器只能隶属于一个虚拟安全域。虚拟安全域的功能主要实现域间的通信控制和外网访问控制。
公共交换域对应于核心处理域,它与所有虚拟安全域之间能够互相访问,保证企业或单位的业务畅通。在CNSDMS中,公共交换域所包含的机器分为两种类型:一是企业或单位的公共网关、公共路由器或业务服务器;二是安装或未安装内网安全终端的机器。
工作组是一个临时的虚拟划分,具有有效期,可与实际项目组相对应。一个工作组至少要包含两个以上虚拟安全域的机器,一台机器可以隶属于多个工作组。
可信域是指虚拟安全域间的信任关系,具有对称性。具有可信关系的安全域可以相互访问。
6.内网数据安全问题:
存在的安全隐患:
? 对外部设备、网络接口进行了各种防护措施,但是机密文件还是被外泄?
? 为什么企划部的一份宣传文档,在正式投放之前已经被别的公司提前获知?
? 为什么在一次招标中,别人的设计方案跟我们的如此相似?
? 怎么防止投标书、价格单等泄露给竞争对手……?
? 一台机器多个用户使用,A老说他的文档被别人泄漏出去?
? 为什么很多人的机器上都有这个月的财务报表?
? 公司的文件服务器,内容杂乱、访问授权已经混乱,怎么办呢?
科盾内网安全系统-文档安全管理子系统:
? 1)保护任何类型文件或进程文件,该文件在存储时都会自动加密,而只有合法授权后才能正确获取明文;
? 2)防止文件作者泄密,文件作者在本机做成文件后被加密存放在硬盘上,即使拷贝带到外界仍是密文无法读取;
? 3)防止将文件泄露到工作环境外部,本系统并不会限制,或封闭外接设备端口,而是从文件本身加密,即使文件流传到外部,也不可能被利用。
? 4)权限分离。通过指定系统管理员对系统用户进行管理和设定、审计员对文档制作、上传、下载进行日志查询。指定文档审批人,决定是否将用户的制作文件上传到文件服务器。这些管理员均无查看文件正文的权限,文档审计员不能销毁系统日志。
? 5)规范文件的流转过程。设置每个部门的文档审批人,那么该部门员工提交的制作文档,首先会自动流转到对应的审批人,审批通过后,文档进入集中存放,并且通知受件人查看该文件。整个流程后台自动解决,不需要再进行mail或者电话通知。
? 6)限制文件扩散范围。文件制作者在制作NSD文件时候,可以指定分发对象,以及分发对象的查看策略,这时候即使非分发对象获取到了该NSD文件,他也无法打开加密和压 缩的文件,这样就能够有效的控制文件的扩散范围。
? 7)保护用户知识产权。对于投标或者报价这样的外发文档行为,我们通过文件加密和自安装控制程序,可以达到对方接受文件后,只能够在我们授权范围内进行操作,不允许进行修改和另存,也不能进行屏幕打印,并且超过时间期限后,即使修改系统时间也无法打开外发文档包。这样能够对企业的知识产权进行控制,防止窃取。
? 8)兼容windows域。可以跟域用户进行捆绑,并且用户管理上和域保持同步。
深圳市迅博信息技术有限公司是一家专业的网络设备厂商,DB-LINK是公司的注册商标,公司产品有交换机、路由器、无线网络、网络安全产品等,2010年公司进入快速发展期,秉承平等互利、合作共赢的原则,面向全国诚征空白区域经销代理,欢迎有志之士加入DB-LINK大家庭,共创美好未来
“得渠道者得天下”,这句话摆明了是替厂商提出的,好像前几年提它的人很多,近年来这一提法却渐渐不见了。这不能说是渠道在眼下失去了存在价值,不再受关注,反倒说明大家对此日渐熟悉。作为一门“必修课”,如果渠道管理者们经常把它拿出来提,反倒显得“外行”了。
ERP选型的重要性大家已经众所周知,但是,在ERP选型工作中,很多企业由于没有经验,所以,会掉进软件提供商挖的陷阱中,被他们牵着鼻子走。给大家披露一下,软件供应商在选型过程中,常用的一些“技巧”或者鱼饵,看其是如何来吊企业上钩的。
