【正文】 過濾網(wǎng)站訪問，降低網(wǎng)絡(luò)安全風(fēng)險，規(guī)避法律風(fēng)險利用IPguard預(yù)先對高風(fēng)險的網(wǎng)站以及色情、反動網(wǎng)站等進(jìn)行封堵，減少病毒、間諜軟件和黑客的侵?jǐn)_和攻擊，同時避免了利用公司資源瀏覽色情、反動網(wǎng)站等帶來的法律風(fēng)險。直觀的統(tǒng)計報表，掌握員工工作動態(tài)。圖310網(wǎng)絡(luò)流量控制規(guī)范計算機(jī)桌面行為，提高企業(yè)辦公效率IPguard對計算機(jī)使用行為進(jìn)行有效的控制和規(guī)范，人性化管理企業(yè)計算機(jī)桌面行為，避免使用與工作無關(guān)的程序包括游戲、炒股等給企業(yè)帶來隱形損失，提升業(yè)務(wù)辦公效率，營造良好的工作氛圍。圖39 網(wǎng)絡(luò)流量統(tǒng)計2. 合理分配管理用戶網(wǎng)絡(luò)流量如圖37所示，根據(jù)企業(yè)相關(guān)規(guī)定與業(yè)務(wù)需要，IPguard能向管理者提供靈活的定義控制策略平臺，控制客戶端計算機(jī)各種網(wǎng)絡(luò)應(yīng)用的流量。也可通過時間范圍，對工作人員，部門或整個網(wǎng)絡(luò)的計算機(jī)的網(wǎng)絡(luò)流量情況進(jìn)行統(tǒng)計，統(tǒng)計方式多種多樣。圖37 賬號管控策略2. 聊天內(nèi)容詳細(xì)審計詳細(xì)記錄聊天中的對象、聊天時間、工具類型、聊天內(nèi)容等信息供公司管理員審核，支持關(guān)鍵字搜索，可作為估算用戶工作效率和績效的參考。2賬號登錄黑名單禁止在職員計算機(jī)上登錄的賬號，即受控計算機(jī)上登錄該黑名單中的賬號時將自動被關(guān)閉，黑名單支持通配符“*”表示全部賬號。建議實施該管控方案前，有序的統(tǒng)計各職員需要使用的工作賬號并設(shè)置允許登錄，嚴(yán)格管控用戶工作時間使用工作賬號，提高用戶工作效率。在用戶被告知聊天內(nèi)容被監(jiān)控的情況下，監(jiān)視和控制公司用戶即時通訊情況，以提高企業(yè)用戶工作效率，國家法律法規(guī)規(guī)定不屬于侵犯員工隱私。圖35網(wǎng)頁瀏覽控制3. 對計算機(jī)上網(wǎng)行為詳細(xì)細(xì)致審計如圖36所示，IPguard可以多角度記錄各計算機(jī)使用者上網(wǎng)行為，按應(yīng)用網(wǎng)頁類別、網(wǎng)頁地址等顯示審計結(jié)果，向管理員提供詳細(xì)細(xì)致的網(wǎng)頁瀏覽日志，幫助管理員了解企業(yè)內(nèi)上網(wǎng)行為動態(tài)，及時發(fā)現(xiàn)企業(yè)內(nèi)潛在的行為威脅。圖34 按網(wǎng)頁類別統(tǒng)計瀏覽網(wǎng)頁時間2. 對計算機(jī)操作行為進(jìn)行控制管理如圖35所示，根據(jù)企業(yè)相關(guān)規(guī)定與業(yè)務(wù)需要，IPguard能向管理者提供靈活的定義控制策略平臺，控制是否允許客戶端計算機(jī)上瀏覽各種網(wǎng)頁的權(quán)限。也可通過時間范圍，對工作人員，部門或整個網(wǎng)絡(luò)的計算機(jī)的訪問網(wǎng)站情況進(jìn)行統(tǒng)計，統(tǒng)計方式多種多樣。IPguard的應(yīng)用效率管理主要幫助企業(yè)管理者對企業(yè)計算機(jī)使用者的上網(wǎng)行為進(jìn)行統(tǒng)計分析，幫助管理者及時了解計算機(jī)使用者的工作狀態(tài)，從而提高管理者對企業(yè)的把握能力和執(zhí)行力，保證信息系統(tǒng)的應(yīng)用效率。通過應(yīng)用程序的控制，達(dá)到限制計算機(jī)使用者進(jìn)行炒股、游戲甚至是一些不安全的應(yīng)用程序等行為，提高計算機(jī)使用者的使用效益與工作效率。通過對職的應(yīng)用程序使用進(jìn)行個性化統(tǒng)計和分析，能根據(jù)職員使用程序的情況和頻率，客觀的評估職工的工作情況。對工作情況進(jìn)行統(tǒng)計分析如圖31所示，IPguard可以多角度統(tǒng)計應(yīng)用程序的使用時間和百分比，可以圖表方式顯示統(tǒng)計結(jié)果。 文檔安全與資金投入性價比最高三重安全保護(hù)按需實施，對頻繁接觸機(jī)密信息的部門實施全面三重保護(hù)最有力保護(hù)文檔安全，對普通職能部門實現(xiàn)簡單的管控與審計有效防止信息泄密，減少資金的投入同時也能達(dá)到保證機(jī)密信息的安全性，追求文檔高安全性與資金投入最低的高性價比。 避免法律和商業(yè)等風(fēng)險“審計管控加密”三重保護(hù)體系，全面保護(hù)企業(yè)信息資產(chǎn)，幫助企業(yè)專注于核心事業(yè)，符合各類保密法律法規(guī)的政策要求，同時規(guī)避商業(yè)、法律、政治上的風(fēng)險。建立分級保密體系，提升企業(yè)信息安全水平。詳細(xì)掌握內(nèi)部所有操作。全面保護(hù)企業(yè)機(jī)密商業(yè)數(shù)據(jù)，降低信息泄露風(fēng)險。l 明文備份服務(wù)器機(jī)制。l 備用服務(wù)器機(jī)制，應(yīng)對各種硬件或軟件問題導(dǎo)致IPguard主服務(wù)器無法正常工作問題，備用服務(wù)器即時啟動并接替主服務(wù)器工作，一方面給管理人員騰出時間去修復(fù)主服務(wù)器，另一方面保證整個加密系統(tǒng)持續(xù)不斷的穩(wěn)定運(yùn)行，軟件部門等計算機(jī)可正常操作加密文檔，以保證公司正常的業(yè)務(wù)工作開展。同時，通過該客戶端程序上傳文件到服務(wù)器時，客戶端程序的加密文檔自動被解密保存到服務(wù)器上，而通過該客戶端程序下載服務(wù)器的文件到本地時自動被加密保護(hù)，以防止通過客戶端計算機(jī)泄漏企業(yè)信息。某些無法安裝加密客戶端認(rèn)證的計算機(jī)，例如公司領(lǐng)導(dǎo)的計算機(jī)等，可通過配置相應(yīng)的白名單，以實現(xiàn)其暫時性的訪問服務(wù)器辦公操作。解決方案示意圖1．服務(wù)器訪問控制在服務(wù)器組交換機(jī)前部署加密安全網(wǎng)關(guān)，則外來計算機(jī)、職員帶來的私人筆記本電腦或公司重裝系統(tǒng)后的計算機(jī)被禁止訪問服務(wù)器，以防止文檔被不受監(jiān)控的計算機(jī)所獲取。同時，職員的加密文件有時候需要上傳到OA、PLM、SVN等系統(tǒng)中時，上傳文檔自動解密保存到服務(wù)器上，而下載服務(wù)器上的文檔到計算機(jī)上時自動加密保護(hù)。只有合法的計算機(jī)才能與服務(wù)器進(jìn)行正常通訊；不合法的計算機(jī)將被引導(dǎo)至修復(fù)區(qū)進(jìn)行修復(fù)或完全阻斷訪問。l 在接收方為可信任用戶，即對方能妥善保護(hù)好外發(fā)的文檔的情況下，例如分公司領(lǐng)導(dǎo)等用戶，為提高發(fā)外文檔的外發(fā)工作效率，管理員預(yù)設(shè)定郵件白名單，用戶通過標(biāo)準(zhǔn)郵箱發(fā)送到指定白名單收件人郵箱的文檔自動解密。l 外發(fā)申請與審批管理流程，由于直接外發(fā)的權(quán)限太高，因此建議一般普通用戶外發(fā)時，通過申請外發(fā)文檔審批的管理模式，填寫外發(fā)理由、外發(fā)文檔操作權(quán)限等，由相關(guān)領(lǐng)導(dǎo)查閱外發(fā)信息和外發(fā)文檔內(nèi)容，批準(zhǔn)后方可外發(fā)文檔。l 用戶能夠?qū)π枰M(jìn)行外發(fā)的文檔進(jìn)行加密控制,只允許授權(quán)的外部人員查看,防止二次泄密。可通過向管理員工人方式申請后，由管理員設(shè)置離線授權(quán)后，生成離線授權(quán)文件導(dǎo)入到離線計算機(jī)，延么離線授權(quán)時間?？芍匦略O(shè)置離線加密權(quán)限，并不受在線加密權(quán)限的影響，例如在線設(shè)置允許打印加密文檔，離線而設(shè)置禁止打印加密文檔。通過加密系統(tǒng)安全密碼離線授權(quán)登入加密系統(tǒng)啟動，登入后可正常操作加密文檔。管理員后臺設(shè)置離線授權(quán)，包括授權(quán)離線時間和加密權(quán)限等，無須用戶提交申請。l 如果發(fā)生職員計算機(jī)遺失或被盜等情況下造成客戶端離線，為避免這種情況下計算機(jī)上的加密文檔被打開泄漏，可設(shè)置離線狀態(tài)下開啟計算機(jī)時不登錄加密系統(tǒng)，需要輸入正確的加密安全密碼登錄加密系統(tǒng)后才可以正常打開加密文檔，以保護(hù)計算機(jī)離線安全。l 高層領(lǐng)導(dǎo)離線辦公時，事先對其計算機(jī)進(jìn)行授權(quán)設(shè)置，領(lǐng)導(dǎo)離線后，只需進(jìn)行登錄離線授權(quán)操作，輸入正確的離線授權(quán)賬號密碼，即可正常打開加密文檔繼續(xù)辦公，保存文檔后依然會自動加密文檔，以保證離線辦公文檔安全。離線策略由管理員設(shè)定，策略的內(nèi)容包括離線的時間以及離線時運(yùn)行使用的權(quán)限。默認(rèn)情況下，計算機(jī)斷開與服務(wù)器的連接時，用戶將不能使用客戶端上的加密文檔。主管等重要級（兩顆星）可打開普通級（一顆星）和重要級（兩顆星）加密文檔，即文檔安全級別不超過用戶安全級別的文檔，以此類推。 如上圖中，IPguard根據(jù)用戶崗位和部門等將用戶進(jìn)行安全區(qū)域和級別進(jìn)行標(biāo)識，將設(shè)計部普通職員標(biāo)識為普通級，即上圖中一顆星的用戶計算機(jī)，主管或經(jīng)理等標(biāo)識為重要級，即上圖中兩顆星的用戶，以及總監(jiān)等三顆星機(jī)密級用戶等，并將文檔標(biāo)識為普通級、重要級、機(jī)密級等五個安全級別。l 默認(rèn)情況下，禁止離線使用加密文檔，以保證文檔脫機(jī)安全?？筛鶕?jù)需要再在加密文件夾中設(shè)置一個例外文件夾，當(dāng)文檔保存在該文件夾中可不作加密對于多部門多層級的企業(yè)，如果加密文檔在不同部門之間的加密計算機(jī)上也可以被正常打開使用，例如財務(wù)的加密文檔被技術(shù)部門打開，那也是十分不安全的，因此IPguard引入了分部門分級別的權(quán)限控制機(jī)制，根據(jù)文檔所屬部門和重要程度貼上標(biāo)簽，用戶對不同標(biāo)簽的文檔的訪問權(quán)限的集合組合成其特有的內(nèi)部文檔使用權(quán)限。l 將文件夾范圍擴(kuò)大成整個磁盤，即實現(xiàn)全盤范圍內(nèi)