一、概况管理
东软集团是中国第一家上市的软件公司。大规模的网络覆盖,分散的终端分布,给企业的终端管控带来巨大的困难和挑战。尤其是对USB外设的管控,目前还处于空白状态,若长久下去,就可能出现心怀不轨的职员随意插入USB存储设备,拷贝终端机密文件;随意使用蓝牙,wifi等外设,意图盗取企业敏感数据,就会给企业带来巨大的损失。完全禁用USB外部设备也是不现实的,所以如何才能让符合要求的,安全的USB外部设备接入网络,是目前东软商用软件事业部需要面临和解决的重要问题之一。
二、实施方案:
2.1 整体部署图
2.2 服务器部署
2.3 客户端部署
三、策略设置
3.1 技术人员
技术部的源代码和文档是需要防护的重中之重,所以对带存储功能的USB外设(U盘、移动硬盘、智能手机、刻录光驱等)是严禁使用的。在设置策略时,对技术部施加了禁用USB存储、禁用智能手机和禁用光驱的策略。
3.2 办公室人员
管理部、商务部等办公室部门,有使用U盘交互文件的需求,但文件仅限于内部交流,所以在施加策略时,对办公室人员施加了禁用光驱、禁用智能手机和USB白名单功能。来实现未授权的USB设备禁止使用,只有授权的USB设备的允许使用,并实时监控操作行为,详细记录了终端电脑上USB存储设备的插拔操作、文件拷贝操作等。对USB存储设备的使用做到有据可查。
所有的可用USB设备由管理员统一注册授权,在授权时,USB读写模式选择“放行”,USB类型选择“专用U盘”,实现在部门以外的非授信环境中无法使用的效果,同时可以防止因USB存储设备丢失导致内部机密泄露。
3.3外派人员
外派人员的策略默认与开发部是相同的,禁止使用所有带存储功能的USB外设。但外派人员偶尔有和外部交流文件的需求,所以在施加了禁用外设策略的同时也设置了USB外设申请的权限,当需要临时使用U盘的时候可以提交USB外设使用申请,申请时需要选择审批流程、申请理由、有效时间等信息。相应流程的审批人可以根据实际情况进行批准和拒绝。当审批通过之后,申请人可以在有效期内使用授权的U盘,当超过有效期后此授权U盘不能使用,如果需要继续使用必须重新申请。
四、实施效果
对终端的USB端口实行了针对性的有效管理。兼顾了USB外设便捷性的同时保障了USB外设使用的安全性。
1. 针对技术部、财务部等存在机密文件的终端,禁止使用任何带有存储功能和通讯设备的USB外设,但不影响其他usb设备正常使用(CA锁、USB
键盘鼠标等),保护核心文件的安全。
2. 针对有文件交流需求的终端,授权使用USB外设,没有授权的终端和外设不能使用。
3. 针对外派人员,通过申请USB外设使用权限,远程审批后可使用,审批过程记录可追溯。
4. 详细记录终端电脑上USB存储设备的插拔操作、文件拷贝操作等,对USB存储设备的使用进行全程追踪,完全杜绝了非法的,违规的USB外部
设备的使用,保障了企业内部的数据安全,保证了USB外设使用的规范性,对USB存储设备的使用做到有据可查。
|
