《{财务管理内部审计}企业上网行为控制审计系统需求说明书.》由会员分享,可在线阅读,更多相关《{财务管理内部审计}企业上网行为控制审计系统需求说明书.(27页珍藏版)》请在金锄头文库上搜索。
1、【交通管理业务信息综合分析研判平台】江西优码创达软件技术有限公司文档编号密级机密文档类型部门网安研发文档状态草稿审核 批准作废版本号1.0共 0 页企业上网行为控制审计系统需求说明书编写: 日期:2012/9/3审核:日期:批准:日期:江西优码创达软件技术有限公司2012-9-3目 录1. 引言21.1.编写目的21.1.背景31.2.参考资料32. 需求分析42.1项目目标42.2架构设计要求42.2.1设计原则42.2.2系统架构特点52.2.3系统架构简图52.3需求说明62.3.1 应用程序管控62.3.2 网页浏览管控82.3.3 文档操作管控102.3.4 打印内容管控112.3.
2、5 设备管控122.3.6 网络控制132.3.7 网络流量管控132.3.8. 屏幕监控142.3.9. 邮件管控152.3.10. 即时通讯控制162.3.11 资产管理172.3.12 远程维护182.3.13 移动存储控制193. 总体设计203.1网络拓扑结构203.2硬件系统设计203.2.1服务器及网络设备203.3安全设计213.3.1身份认证213.3.2信息安全213.3.3网络系统安全213.3.4应用安全223.4关键技术实现22附录一 公司简介23附录二 硬件设备清单251. 引言 1.1.编写目的今天,随着信息科技的高速发展,IT给企业的运营带来了前所未有的便利,并
3、且逐渐成为企业发展的重要驱动力。但与此同时,IT也给企业带来了风险和挑战。v 企业信息安全隐患激增现在,越来越多的企业认识到,信息泄漏对企业的危害之重,它不仅给企业带来法律风险、巨额的经济损失,还可能危及企业的生存发展。雇员被列为最有可能制造信息安全事件的素。v 系统应用效率难以评估和控制最近公布的一项调查结果表明,在工作中使用MSN、QQ等聊天的人数高达89.2%,网页浏览中新闻网页占65.9%居于首位。一个月薪2000元的员工,每天“隐性旷工”2小时,每年为企业带来的直接损失高达6000元。一个拥有50人的企业仅此一项每年将损失30万。并且滥用网络和系统资源还可能将暗藏于互联网的安全隐患带
4、入企业网络内,威胁系统安全。v 系统维护,资产管理繁琐IT部门接近一半的工作时间用于为计算机安装及升级软件,IT 人员为PC 做简单的日常维护工作占其总工作量的70-80%,大大增加计算机网络的综合管理成本。如果问题没有得到及时有效的处理,也会极大影响企业的业务连续性。v 读者 需求提出者 企业行政管理层 项目组成员1.1.背景v 系统的名称暂定企业上网行为控制审计系统网狼1.0v 提出者公司行政管理层,决策层v 开发者网安行业研发人员v 用户企业网络管理人员1.2.参考资料v 盈高多维终端安全管理平台技术白皮书.pdfv 威盾3.2用户使用手册.docv 联软上网行为管理系统.docv 交通
5、管理业务信息综合分析研判平台.doc2. 需求分析2.1项目目标 该系统的实现将让企业对所有计算机的使用情况了如指掌,它将是企业对信息的安全防护和技术的广泛应用而应运而生的,其功能强大的计算机监视、控制与管理系统软件,是为现代企事业的管理人员量身定做的企业管理软件。不但可以对员工电脑的屏幕、上网、聊天、邮件和文件操作进行全面的监控、记录和管理,而且还可以防止员工盗窃公司机密资料,并对员工的工作进行一个客观的评价。它可以大幅度提高企业生产效率,减少不必要的资源浪费,帮助企事业管理人员培养企事业优良风气。2.2架构设计要求2.2.1设计原则1、规范性:系统设计按公安部颁发信息系统数据库标准以及有关
6、管理办法。2、整体性:系统整体设计统一规范,功能模块清晰合理。3、先进性:系统设计规划采用符合应用系统发展趋势的主流技术,采用B/S三层架构与C/S结合,充分利用两者的优势。4、实用性:系统设计充分考虑当前企业上网管理的工作实际,具有较强的实用性和可操作性。5、稳定性:为保证系统最大限度地发挥作用,系统设计采用目前业界主流信息化技术及产品平台,整体系统具有较高稳定性。6、安全性:为确保系统安全,应该具有完善的安全解决方案。7、可扩展性:系统具有较高的灵活性和健壮性,支持多种主流开发软件,支持组件化、插件模式开发,具备扩展性强、易于集成的二次开发能力,以满足各方面应用扩展的需要,维护简单、升级方
7、便。8、易用性:提供统一美观的界面、详尽方便的帮助、智能化的提示、简便的操作等。2.2.2系统架构特点省略2.2.3系统架构简图 本系统相关比较独立,主要分前端数据获取及被控层,区域管理层和中心管理层,数据层。2.3需求说明2.3.1 应用程序管控2.3.1.1 需求描述 应用程序日志系统自动记录客户端机器打开或关闭的应用程序,或者应用程序窗口切换信息。管理员可以通过控制台查看相关日志;应用程序日志类型包括:启动/停止日志类型说明启动/停止记录客户端机器上启动/停止应用程序的情况;系统应用程序日志记录包含的属性有:操作类型、时间、计算机、用户、应用程序、路径/标题等信息属性名称说明操作类型应用
8、程序启动/停止和窗口标题切换;应用程序应用程序的进程名称;文件路径当操作类型是启动/停止时,记录应用程序在客户端机器上的详细路径;窗口标题当操作类型是切换窗口/切换标题时,记录当前的应用程序的窗口标题。 应用程序控制系统可以按全天或指定的时间段对指定的程序禁止,对违规网络行为在事前进行控制。应用程序的控制支持以下2种方式:通过进程名称来禁止:管理员直接添加应用程序的名称,如QQ.exe;通过应用程序分类来禁止:管理员可以按照某种规则产生相应的程序分类,如聊天软件: (QQ, MSN, 阿里旺旺, 飞信等)统一划分为一类, 系统可以把通过设置应用程序分类来禁止在这分类中的所有程序运行。2.3.1
9、.2 统计查询系统可以针对计算机每天的工作情况和应用程序使用的情况进行人性化统计和分析. 为管理者评估员工工作效率提供了可靠的依据,并且提供了统计数据的导出功能. 系统应支持以下几种统计方式: 应用程序类别统计系统按照管理员设置的应用程序分类进行统计。 可以统计出各计算机的开机时间,以及各种分类应用程序的使用时间, 以及占总开机时间的百分比。 应用程序名称统计系统可以统计出各计算机的开机时间。各应用程序的使用时间,以及其使用时间占总开机时间的百分比。 分项统计系统可以把设置某些应用程序为工作应用程序(如: Office系统,开发环境VC,VB,DEPHI之类)。如果用户在使用这些应用程序,则视
10、为工作。系统可以统计出第个计算机的开机时间,以及工作时间。系统支持各种统计数据以图形方式显示如:柱状图饼状图2.3.2 网页浏览管控2.3.2.1 需求描述 上网浏览日志系统支持详细记录员工访问网站情况,可以按网站名称、标题名称、时间、范围查询日志. 属性名称说明标题浏览的网站标题;网址浏览的网站的详细网址;时间浏览时间计算机名称计算机名称或IP地址用户登录用户名称 上网浏览控制 系统支持限制客户端计算机的网站访问,限制对于工作无 关的网站、恶意网站等的访问. 系统支持对网站URL分类管理,支持添加/删除/修改网站URL分类,添加/修改网站URL分类时,支持批量导入网站URL列表。 系统可以按
11、全天或指定的时间段对指定URL或URL分类设置策略,用于控制用户对网站URL的访问。 策略动作可分为允许,禁止,告警; 1,允许为用户可以正常访问URL; 2,禁止为用户访问URL会被中止;3,告警指用户可以正常访问URL,但在系统后台会产生相应的告警。2.3.2.2 统计查询系统支持网页浏览信息做以统计分析,分为按明细统计和按类别统计,并以直观形象的图标方式展现出来,查看统计图表即可了解哪类甚至哪些网站被访问的时间比较长,从而判断是否有影响正常工作的情况发生; 按网站类别统计系统按照管理员设置的应用网站URL分类进行统计。 可以统计出各计算机的各分类URL访问时间; 按网站明细统计系统按照网
12、络URL列表明细进行统计。统计各计算机访问URL列表明细时间。2.3.3 文档操作管控2.3.3.1 需求描述 文档操作日志文档操作日志记录客户端机器用户对文档的操作信息,可以让管理员通过查看日志记录可以发现用户的文档操作行为,同时为事后追查资料泄密事件提供可靠线索,增强电子文档管理的安全性; 日志记录的内容包括: 属性名称说明操作类型包括:创建、访问、修改、重命名、复制、移动、删除、恢复以及上传/发送源文件用户操作的文档名称;路径用户操作的文档的详细路径,当操作类型为复制、移动、重命名时,路径会记录文档的源路径和目的路径;盘符类型用户操作的文档所在的盘符类型,包括:硬盘、软盘、光盘、可移动盘
13、、网络盘。当操作类型为复制、移动时,会显示源和目的盘符类型;应用程序操作该文档使用的应用程序进程名称;标题操作该文档时的窗口标题。 文档操作控制 系统可以在指定的时间,禁止对指定文档的操作。操作 类型包含:创建、复制、移动、删除、重命名、修改、恢复及访问; 系统可以按全天或指定的时间段对指定文档设置策略,用于控制用户对该文档的操作。 策略动作为禁止,告警,备份。1,禁止指用户禁止操作此文档。2,告警指用户操作此文档是后台会产生告警。3,备份指用户操作些文档之前。文档会被自动在后台产生备份。2.3.4 打印内容管控2.3.4.1 需求描述 文件打印日志系统可以记录和查询员工打印文档情况,包含打印
14、时间,目标文档路径,打印页数,打印机名称,执行打印任务的PC机器各登录用户名。 文件打印控制对客户端计算机的打印权限进行控制,从而实现对打印资源合理分配,限制非法应用程序打印,有效避免敏感或机密信息通过打印而外泄。控制条件包括:时间,打印机名称,执行打印任务的用户名。2.3.5 设备管控2.3.5.1 需求描述系统可以限制各类设备的使用:设备分类功能介绍管理作用驱动类设备可以按某台、某组或者整个网络禁止使用哪些存储设备。包含:软驱,光驱,刻录机,磁带机,可移动设备(U盘,移动硬盘,记忆棒,智能卡,MO,Zip)避免员工使用与工作不相关的计算机设备,错误修改网络属性,方便统一部署屏保程序或画面。根据风险评估,制定事前预防策略,根据策略对相应的设备进行禁止,预防文件泄密。可以灵活的开启设备,不影响员工的正常使用。通讯类设备可以按某台、某组或者整个网络禁止使用哪些通讯设备。包含:串口,并口,USB 控制器和连接器(HUB),SCSI接口,1394控制器,红外线,PCMICA卡,蓝牙设备,MODEM,直接电缆连接(串口,并口,USB),拨号连接防止随意通过无线、蓝牙、红外、拔号等方式上网,从而避免机密文件外泄。USB
