1.系統簡介
計算機以及計算機網絡給我們的工作和生活帶來巨大方便的同時,也不可避免地帶來了一些威脅,如果不能有效地加以解決,有可能會得不償失。比如對於一個企業來講,企業戰略、財務數據、技術資料以及客戶信息都是重要信息,如果因為管理不善,被別有用心的人拷貝出去並流到競爭對手那裏,將會給該企業造成毀滅性的打擊,而這整個過程,可能只有幾分鐘的時間。所以,對於內部信息安全問題,絕不可以掉以輕心。
世優保鏢企業版是北京世優時代科技有限公司開發的一套用於解決企業局域網內部信息安全的軟件系統,包括兩個主要的部分,即內網監控系統和外網監控系統,內網監控系統主要解決企業內部局域網的安全問題,外網監控系統則主要解決針對Internet網的安全問題,兩個部分相對獨立。本系統是目前國內對內部信息安全考慮最全面的系統,它具有功能全面、安全性高、使用簡單等特點。
本系統主要從五個方面來解決企業內部信息安全的問題,通常情況下這五個方面基本概括了可能造成泄密的各種可能情況,它們分別是打印的方式將資料帶出、刻錄光盤的方式將資料帶出、利用存儲設備(如硬盤、U盤以及其它的存儲設備)將資料拷貝出、利用外部計算機(比如自己帶入筆記本電腦拷貝資料)、利用Internet網絡將資料外傳。當然除了上面的方式以外,還有利用抄寫的方式將資料帶出(即先將文件資料的內容抄寫在自己的筆記本中,帶出企業的方式),不在本系統的考慮之列,可以采用其它的方法來解決,比如嚴格規定每個人的權限,防止越權查看文件資料的情況發生。
下面對五種不同的情況作簡單的分析,並說明本系統是如何解決各種情況的。
1.1 打印文件並帶出
文件打印並帶出是常見的泄密方式之一,因為文件打印也是一個企業內部日常工作的一部分,但是如果沒有一個完善的管理制度來進行管理,就可能因此而造成內部重要的文件資料泄密。本系統提供了打印監控的功能來將所有的打印任務進行記錄,以便管理人員能夠判斷哪些打印任務是正常的,哪些打印任務是屬於非正常的。這樣可以起到有效防止內部人員非法打印文件資料造成文件資料泄密時間的發生,除此之外,因為打印需要耗費原材料,所以也會產生一定的成本,加強打印管理還可以有效降低打印成本,避免不必要的浪費。
1.2 刻錄光盤並帶出
刻錄光盤並帶出是造成大規模文件資料泄密的主要方式之一,具體地講就是利用刻錄機將企業內部的文件資料刻錄在光盤並帶出,因為光盤的容量一般都在幾百MB,有的DVD光盤容量更大,能夠達到4GB,可以刻錄相當多的文件資料。而對企業內部重要文件資料進行刻錄備份又是企業日常管理工作中需要的,所以只有分清哪些是正常刻錄,哪些是非法刻錄,才能夠做到既保證日常工作的正常進行,又防止內部重要文件資料的泄密。本系統采用對刻錄的文件資料進行記錄的方法,同時要求刻錄人員提供刻錄文件的說明以及批準人等信息,這就有利於管理人員對每次刻錄的內容進行審核,以便識別出是否存在非法刻錄的情況,對發現的非法刻錄情況給予及時的處理,以防止泄密造成損失。
1.3 利用存儲設備拷貝文件並帶出
利用存儲設備拷貝文件並帶出是造成大規模文件資料泄密的主要方式之一,這裏的存儲設備主要是指U盤、移動硬盤以及其它的便攜式存儲設備。這些設備的使用,為日常工作中確實帶來了不少的方面和快捷,但是,如果不能進行有效的管理,就有可能造成內部資料的泄密,比如將企業內部的重要文件資料,比如設計圖紙、設計文檔、源程序、企業的戰略、財務數據、市場策略、投標文件等拷貝出企業,甚至流到競爭對手的手上,這樣一來將會給企業造成不可挽回的損失。本系統對這些設備拷貝文件的情況進行詳細記錄,並要求操作人員提供拷貝文件的用途、批準的領導等信息,以便相應的管理人員進行能夠進行審核和分析,確認是否存在將企業內部信息非法帶出的情況發生,一旦發生這樣的情況,將可以立即采取措施,有效防止給企業帶來不必要的損失。
1.4 利用外部計算機拷貝文件並帶出
利用外部計算機(通常是個人的筆記本電腦)拷貝文件並帶出是造成大規模文件資料泄密的主要方式之一,主要表現是企業內部人員將自己的筆記本電腦帶入企業,並從自己的計算機或者企業內部的局域網上的其它計算機拷貝文件資料。本系統提供對接入內部網絡系統的計算機進行監視,可以有效確認是否有外部計算機的接入,如果有外部計算機接入,就可以立即進行確認,看是否是非法計算機,如果是,可以通過采用對應的辦法,及時防止內部重要文件資料的丟失。
1.5 利用Internet網絡外傳
利用Internet網絡外傳是造成重要文件資料泄密的主要方式之一,這種方式一般不會造成大規模文件的泄密,但是可能造成重要文件的泄密,就具體的方式主要有Email和Ftp兩種方式。本系統提供對Email和Ftp的監視,並備份對應的內容的方法,給管理人員進行查看,以確保不會出現以此方式將重要文件資料外泄的情況。
上述內容分別從五個不同的方面闡述了對企業內部可能造成重要文件資料泄密和丟失的可能,為確保企業內部信息的安全,必須有相應的軟件系統來進行管理,同時還需要相應的規章制度,這樣才能夠確保企業內部重要文件資料的安全。
2.系統的安裝
2.1客戶端的安裝
1.找到安裝程序文件Client3Setup.exe並雙擊運行。
2.單擊【下一步】,出現下面的提示窗口。
3.單擊【是】,出現下面的提示窗口。
4.單擊【瀏覽】,彈出如下窗口。
5.選擇好安裝路徑,單擊確定,然後繼續單擊【下一步】,出現下面的提示窗口。
6.繼續單擊【下一步】,開始進行客戶端程序安裝,安裝向導將自動完成客戶端的安裝。
2.2客戶端參數設置
1.客戶端安裝完成後,將自動彈出初始化參數設置窗口,如下所示。
2.在這裏彈出的是歡迎窗口,然後單擊【下一步】。
3.在此需要設置的參數有兩個,IP地址和客戶端向服務器上傳數據的間隔時間,選擇適當的網卡,就可以自動設置好IP地址和MAC地址了,設置上傳時間需要根據具體的網絡規模進行,如果只是做少數計算機的測試,可以設置較小的參數,如5秒;如果是50臺以上計算機,那麽,建議設置為100比較合適。設置完成後單擊【下一步】。
4.在此需要設置三個參數,服務器IP,服務器端口號以及服務器的監聽端口號。服務器IP一定要與安裝服務器端計算機的IP地址一致,服務器端口號和服務器的監聽端口號一般情況下取默認值就可以,如果發現與其它程序存在沖突的時候,可以設置其它的數值,但一定要與服務器端的參數設置一致,設置完成後,單擊【下一步】。
5.在這裏需要設置客戶端與服務器端通信的參數以及客戶端升級的參數,對端口號一律使用默認值,只有與其它程序發生沖突的時候,才需要修改端口設置;IP地址的設置可以設置為服務器的IP地址。不過這裏的設置一定要和服務器端的設置一致,以確保系統的正常運行。
6.這裏設置客戶端的用戶名和密碼以及校驗碼,可以保留默認設置,單擊【下一步】。
7.在這裏可以設置客戶端需要使用的監控模塊,設置完成後單擊【下一步】。
8.如果本地計算機上安裝有刻錄機並且希望對刻錄機刻錄文件進行監控,需要在這裏設置刻錄機對應的盤符。設置完成,單擊【下一步】。
9.單擊【完成】,到此,客戶端的參數設置已經完成,客戶端將自動開始運行。
2.3
服務器端的安裝
1.找到安裝程序文件Server3Setup.exe並雙擊,開始進行安裝。
2.單擊【下一步】。
3.單擊【是】。
4.單擊【瀏覽】,彈出目錄選擇窗口如下。
5.選擇安裝路進,然後單擊“確定”,然後單擊【下一步】。
6.單擊【下一步】,安裝程序開始進行安裝,安裝向導將自動完成服務器端的安裝。
2.4 服務器端的參數設置
1.自動彈出初始參數設置窗口,如下所示。
2.單擊【下一步】,出現下面的提示窗口。
3.在這裏需要設置服務器參數,服務器IP,服務器端口號和服務器監聽端口,一般來說,服務器IP地址就是本機的IP地址,如果服務器有兩個或者多個IP地址的時候,需要確保設置的IP地址與監控的客戶端一致,服務器端口號和服務器監聽端口一般取默認值,如果與其它軟件發生端口沖突的時候可以修改該設置,但是一定要與客戶端的設置相一致。
當服務器同時連接到兩個網段的時候,並且客戶端程序同時位於兩個網段中,此時可以添加多個服務器到服務器列表中。
註意:這裏至少應該有一個服務器IP地址以及端口號被設置,否則客戶端無法將找到服務器並上傳監控記錄。
4.選擇使用的數據庫,如果是為了測試功能,建議選擇Access數據庫,設置會比較簡單,如果選擇SqlServer則要求已經安裝了Sql Server系統,同時需要提供數據庫服務器的計算機名、數據庫名、用戶名和密碼。
如果數據庫安裝在本計算機上,可以用“.”符號代替計算機名;數據庫名可以根據需要自己選取,建議設置為SUV3,註意,數據庫名稱的第一個字符不能是數字;用戶名和密碼就是連接數據庫的用戶名和密碼了,與Sql Server數據庫的安裝的時候設置的相同就可以。如果是第一次安裝需要點擊“新建”按鈕,創建數據庫,如果是第二次安裝,可以選擇原來建立的數據庫,然後通過單擊“測試連接”來驗證數據庫是否成功創建。單擊【下一步】。
5.這裏需要設置外部計算機監視的參數,包括發現外部計算機應該發送消息到那裏和外部計算機監視的參數兩個部分,消息參數的設置需要與消息管理工具的參數設置保持一致,監視參數一般取默認值就可以。設置完成後單擊【下一步】。
6.這裏需要設置消息管理工具和數據處理消息的參數,消息管理工具的參數中,IP地址設置為消息管理工具運行的計算機的IP地址,端口號可以取默認值,只有當與其它程序發生沖突的時候才需要修改。數據處理消息中的IP地址也是消息管理工具運行的計算機的IP地址,端口號可以取默認設置。設置完成後單擊【下一步】。
6.至此,參數設置已經完成,如果需要立即啟動服務器,勾選啟動服務器,單擊【完成】,服務器程序就可以運行起來了。
2.5 郵件和FTP監控安裝
1.找到安裝程序文件EmailFtpSetup.exe並雙擊,開始進行安裝。
2.單擊【下一步】。
3.單擊【是】。
4.單擊【瀏覽】,彈出目錄選擇窗口如下。
5.選擇安裝路進,然後單擊“確定”,然後單擊【下一步】。
6.單擊【下一步】,安裝程序開始進行安裝,安裝向導將自動完成服務器端的安裝。
2.6 郵件和Ftp監控參數設置
1.自動彈出初始參數設置窗口,如下所示。
2.設置相關參數,單擊保存即可。
3. 系統的結構
本系統采用C/S結構,監控的內容分為服務器端和客戶端,客戶端主要負責監控客戶端計算機上進行的各種操作,並將操作記錄上傳到服務器,由服務器對各個客戶端的監控數據進行集中統一管理。
4.系統的功能簡介
4.1服務器端數據查看程序
服務器端數據查看程序的作用是查看各個客戶端上傳到服務器端的監控數據,以便了解整個局域網中各個計算機的使用情況。
4.2.1共享文件監視
對訪問網絡上其它計算機的文件進行記錄,當用戶訪問其它計算機的文件時進行記錄,包括新建、刪除、拷貝等操作,具體的內容包括計算機名、操作時間、操作類型、文件所在的位置以及改記錄上傳到服務器的時間。
記錄的內容主要是文件路徑以雙反斜線(\\)開頭的文件操作,對映射的網絡驅動器的記錄也會出現在此。
4.2.2 U盤監控
對通過U盤進行文件拷貝的操作進行記錄。記錄的具體內容包括進行操作的計算機名、接入U盤時間、操作類型、文件的位置、文件的內容說明、文件的用途說明、操作人員、批準人員、操作時間、上傳到服務器時間。
如果U盤文件記錄的說明信息為空,說明操作人員在彈出的說明輸入窗口中沒有輸入相關信息,也可能該操作並沒有取得批準。另外,通常情況下移動硬盤也屬於該類型。
4.2.3光盤刻錄
對客戶端計算機的刻錄機刻錄的文件進行記錄,具體內容包括刻錄計算機的名稱、插入光盤的時間、文件的名稱、文件的內容說明、文件的用途說明、操作人員、批準人員、刻錄時間以及服務器接收到記錄的時間。
如果刻錄文件的說明為空,說明操作人員在彈出的說明輸入窗口中沒有輸入相關信息,也可能該操作並沒有取得批準。另外,對於沒有刻錄機的計算機,在進行安裝設置的時候就不要設置刻錄機了。
4.2.4敏感文件
將特定的文件類型設置為敏感文件,當這樣的文件在任何一臺被監控的計算機上操作的時候就會被記錄下來,包括查看,修改,刪除,拷貝等操作。記錄的內容包括計算機名稱、操作時間、操作類型、文件位置、記錄上傳到服務器的時間。
敏感文件的文件類型可以由用戶根據需要進行設定,只有符合敏感文件設定條件的記錄才會出現在敏感文件中。
4.2.5文件打印
對於局域網內的文件的打印情況進行監控和管理,記錄的內容包括打印記錄的計算機名、文件名稱、打印機的名稱、打印時間、打印頁數、打印類型、打印用戶、文件大小、打印計算機的IP地址、Mac地址以及該記錄發送到服務器的時間。
記錄中的用戶名稱代表記錄該打印任務的用戶的計算機的名稱。在網絡打印的情況下,發送打印任務的計算機會記錄打印文件信息。
文件名稱主要是用於描述打印任務的文字說明,不一定是完整的文件名稱,特別在使用一些特殊的程序進行打印的時候就會出現其它的說明,因為這是可能根本沒有文件與該打印任務相對應。
打印類型主要是本地打印和網絡打印兩種情況。打印用戶包括兩部分組成,前面是發出打印任務的計算機名稱,後面是登錄計算機的時候使用的名稱,這樣有助於區分不同的人使用不同的帳號進行登錄同一臺計算機進行打印的情況。
4.2.6端口訪問
對本地計算機與其它計算機進行通訊的端口使用情況進行記錄,不管其它計算機是在局域網還是在Internet網上。記錄的內容包括計算機名稱、使用端口的應用程序的名稱、本地IP地址和端口號、遠程IP地址和端口號、連接使用的協議、連接狀態、連接時間。
通過對該記錄的查看,可以知道對應計算機使用過哪些程序與其它計算機進行通信,這裏包括操作人員主動使用和病毒程序或者木馬程序使用兩種情況。通過直接在目標計算機查找對應的應用程序並與操作人員進行確認,可以判斷出是主動使用還是病毒或者木馬程序使用的,如果發現是病毒或者木馬程序,可以及時采取有效措施,防止其繼續影響目標計算機的使用。
通過IP地址可以判斷出該計算機是同什麽計算機進行通信的,通過查詢核對等方法可以判斷出該通訊是合法通訊還是非法通訊。
通過記錄的本地計算機和遠程計算機的端口號可以大致判斷出操作的類型,比如當端口號是21的時候,就知道使用的是FTP程序了,在配合遠程計算機的IP地址,可以判斷出是與什麽FTP服務器進行通訊。
連接協議也在一定程度上說明本連接的作用。
4
.2.7網絡連接
將本計算機連接到網絡的時間進行記錄,主要是記錄連接到網絡和斷開網絡的時間。當出現網絡連接斷開的時候,應該及時進行確認,看是人為拔掉網線還是因為其它的故障引起的,如果是人為拔掉網線,並將網線接到其它的計算機上(如外部計算機),或者是為了將本地計算機同其它的計算機連接進行文件拷貝,這是管理人員可以確認具體情況進行具體的處理。
4.2.8瀏覽網頁
將客戶機訪問網頁的情況記錄下來,包括訪問的網頁標題、網頁的網址,訪問的時間等信息。通過這些記錄,可以重現目標計算機瀏覽過的網頁,以了解計算機操作人員利用計算機瀏覽網頁的大概情況。
4.2.9運行程序
對於本地計算機上運行的程序進行監控記錄,了解計算機的使用情況。記錄的內容包括計算機名稱、窗口標題、應用程序文件的位置、運行時間、狀態。
4
.2.10硬件設備
對計算機的硬件設備進行管理,如硬盤,CPU,內存,網卡、聲卡等,當這些硬件設備變動的時候,會記錄下設備變動的時間,設備的類型,設備的相關參數等信息。
4
.2.11熱插拔設備
針對U盤,光盤,可移動硬盤等即插即用設備,主要是記錄他們什麽時候接入了本地計算機系統,什麽時候斷開與本地計算機系統的連接。
4.2.12開關機
對局域網內的每臺計算機的使用情況進行管理,對每一臺計算機的開機時間和關機時間進行記錄,以便了解網絡內計算機的使用情況。
4.2.13外部計算機
對非本單位的計算機接入企業網絡進行監控,記錄他們訪問本單位網絡時使用的IP地址、接入網絡的時間、斷開時間、他們的計算機名稱、網卡的MAC地址等信息。
4.2 服務器控制臺程序
服務器端控制臺程序主要用於對客戶端程序進行管理,包括啟動客戶端監控程序、停止客戶端監控程序、卸載客戶端程序、升級客戶端程序、獲取客戶端的基本信息以及保存客戶端的狀態信息等。
1.啟動客戶端監控程序的方法,首先在狀態顯示列表中選中需要啟動監控客戶端的計算機,然後單擊下面的【啟動客戶端】按鈕就可以了,操作是否成功的信息將在下面的最新返回信息中顯示出來。
2.停止客戶端監控程序的方法,首先在狀態顯示列表中選中需要停止監控客戶端的計算機,然後單擊下面的【停止客戶端】按鈕就可以了,操作是否成功的信息將在下面的最新返回信息中顯示出來。
3.卸載客戶端監控程序的方法,首先在狀態顯示列表中選中需要卸載監控客戶端的計算機,然後單擊下面的【卸載客戶端】按鈕,此時會出現確認對話框,要求確認是否確實要下載對應計算機的客戶端監控程序,如果選擇是,對應計算機上的監控程序將被卸載,操作是否成功的信息將在下面的最新返回信息中顯示出來。
4.升級客戶端監控程序的方法,首先要導入升級包文件,升級包文件可以通過網站下載或者是與我們聯系通過郵件的方式獲得,之後再啟動升級服務器,之後再在狀態顯示列表中選中需要升級監控客戶端的計算機,然後單擊下面的【升級客戶端】按鈕,對應計算機上的監控程序將被升級,操作是否成功的信息將在下面的最新返回信息中顯示出來。
5.獲取客戶端的基本信息,客戶端基本信息包括客戶端的IP地址、當前的監控狀態、安裝時間、安裝版本、升級時間、升級版本。首先在狀態顯示列表中選擇需要獲取其基本信息的計算機,然後單擊下面的【客戶端信息】按鈕,對應計算機上的監控程序的基本信息將被返回,並顯示在上面的列表中,操作是否成功的信息將在下面的最新返回信息中顯示出來。
6.通過【更新數據庫】按鈕,可以將各個客戶端的信息保存到數據庫中,以便隨時可以查看各個客戶端當前的狀態信息。
4.3 服務器消息管理程序
服務器端消息管理程序主要用於收集監控程序發現的非法操作,及時通知給管理人員進行處理。本程序可以直接運行在服務器上,也可以運行在其它的計算機上面,只是此時需要確保在參數設置的時候消息服務器的IP地址設置正確。
記錄的內容包括接收消息的時間、消息來源、消息類型以及消息的內容。管理人員可以將本程序放在自己的計算機上面運行,服務器一旦發現由相關的操作,就會自動將消息發送到本程序。
本程序只是特殊監控記錄的一個副本,所以沒有添加保存功能,因為詳細信息已經保存在服務器中。
4.4 服務器主程序
1.啟動服務器程序,出現下面的窗口。
2.出現此窗口的原因是本系統還沒有註冊,只能用於演示或者測試目的。點擊【確定】,進入主窗口界面。
3.服務器程序自動開始運行。
4.敏感文件過濾器設置,單擊【設置】,彈出如下窗口。
5.在此可以完成敏感文件過濾器的設置,包括添加、修改和刪除過慮關鍵字。
6.單擊【客戶端管理】可以出現下面的窗口界面。
7.在這裏可以完成客戶端的設置。
4.5 註冊工具
單擊服務器主程序上方的【註冊】按鈕,彈出如下窗口。
單擊【下一步】按鈕。
輸入註冊碼,然後點擊添加授權。添加完成以後,單擊【下一步】。
核對輸入的信息是否正確。單擊【退出】完成註冊碼的添加。
4.6 郵件和FTP監控程序
1.主窗口界面如下。
2.單擊【啟動監控】,如果是第一次運行,系統會自動安裝驅動程序。
3.單擊【參數設置】按鈕可以對設置的參數進行修改。
4.單擊【刷新】可以查看最新的監控記錄。
5.單擊【郵件記錄】可以查看到郵件的監控記錄。
6.單擊【Ftp記錄】可以查看Ftp的監控記錄。
7.單擊【隱藏】可以隱藏主窗口。
5.FAQ
5.1 如何卸載客戶端
首先找到服務器程序的安裝目錄,雙擊可執行文件“管理員工具.EXE”,然後輸入卸載密碼,點擊卸載客戶端,就可以將客戶端卸載。
5.2如何查看監控記錄
查看監控記錄有三種方法,分別介紹如下:
方法一:從【開始】菜單中選擇【程序】,然後再選擇【世優科技】,繼續選擇【世優保鏢V3.0服務器端】,繼續選擇其中的【服務器端記錄查看程序】,就可以直接啟動監控記錄查看程序。
方法二:單擊服務器程序主窗口上面的“查看”按鈕,也可以直接啟動監控記錄查看程序。
方法三:雙擊服務器程序主窗口上的計算機列表框,也可以直接啟動監控記錄查看程序。
|
