曲美集团内网安全管理案例

壹佰家具

一、参评企业基本情况


    1、企业基本情况

    2、企业介绍


    北京曲美家具集团有限公司创建于1987年，经过20余年的发展，已发展成为集设计、生产、销售于一体的大型、规范化家具集团，现为中国家具协会副理事长单位，是中国家具行业的领军企业。曲美集团同时拥有“中国名牌产品”、“中国驰名商标”、“中国环境标志”（即十环环保认证）等多项国家权威荣誉，同时还是政府指定购买的环保产品。


　　曲美家具集团有限公司注册资金13000万元，在职员工3000多名。拥有3个家具生产基地，共占地26万平米，生产车间占地约15万平米。曲美家具已经在全国范围内建立了广泛的销售网络，拥有600多家专卖店，其中面积在3000平米以上的独立专卖店有四十余家。


　　曲美集团制造系统拥有四个大型制造基地，拥有世界先进的板式家具生产线和实木家具生产线，80%的设备均由德国、意大利等地进口。公司还斥资2000万从丹麦引进国际一流的实木压缩弯曲加工设备和技术，目前，曲美集团是中国唯一拥有此项技术和设备的家具企业。曲美家具公司的实木压缩弯曲工艺丰富了我国家具产品传统的加工方式，转变了我国家具行业没有弯曲木生产能力的局面，加强了我国压缩弯曲成型家具产品在国际市场上的竞争力，为中国家具行业走向世界做出了很大贡献。


　　曲美集团始终以设计为核心竞争力，以传播经典家居文化、发展中国家具设计为己任，在“差异化品牌”战略的带动下，引进国际先进设计理念、销售和管理模式，打造现代家具设计第一品牌。1998年，曲美引进中国第一个国际家具设计师，开启了中国家具行业自主设计之门；此后，曲美一直坚持与世界知名的设计大师合作，并成立曲美国际设计联盟，引领中国家具设计走上自主创新之路。曲美集团还开创了中国“家居独立店”的销售模式，为消费者营造时尚的家居环境提供了充分的选择空间。


　　为消费者及社会带来价值，是曲美工作的核心部分。曲美集团通过引入国际化、多元化的生活观念和家居用品，为中国消费者创造了崭新的生活方式；通过倡导绿色生态家居环境建设，为消费者提供健康安全的家居用品。曲美还是环境保护的标兵，公司各部门在日常工作中节水、节电、节约能源，同时在产品设计中实施生命周期设计方法，在原材料选择、产品设计、制造、包装、运输、回收这一系列的环节中实施可行的环保措施，为节约宝贵的自然资源、保护自然环境做贡献。


　　曲美集团本着“道德为本，能力为先”的理念，不断引进高水平的专业管理人才，拥有一支高效务实的团队，在为集团的发展奠定坚实管理基础的同时也使“曲美”成为一个具有极高文化含量和社会影响力的优秀品牌。


　　自主创新、视社会责任为己任的精神使我们在发展的道路上屡获殊荣：不断提升的曲美品牌知名度和美誉度，靠的是优质的产品，靠的是不断提升的经营业绩，靠的是国内领先的核心技术和诚信的服务。相信通过曲美人的努力，曲美将会不断以新的姿态为提升广大消费者的生活质量做好服务，为中国家具行业设计创新做出卓越贡献。


二、信息化应用总体现状与规划


    1、信息化应用现状


    曲美家具制造ERP系统、曲美家具商业ERP系统、多项电子商务平台、集团OA系统、chinasec可信网络安全平台。


    商业ERP系统为曲美集团商业管理水平的提高起到了卓越的贡献。实现了集团对全国各店的直接管控。曲美集团的信息管理系统具备了从销售预知到送货后的客户反馈的管理模式。


    制造ERP系统实现了商业管理系统与生产系统的无缝链接，有效的解决了集团各子公司之间的“信息孤岛”问题，缩短了板式家具的生产周期，大大提高了生产效率。


    PDM系统控制成本的关键，这一项目的成功，给企业的材料控制水平带来了质的飞跃，曲美的材料库库存从数千万降到了几百万，而产量却提高了近一半，这些数据在过去对于家具制造业的企业都是不敢想像的。


    CHINASEC安全系统平台，使曲美集团实现了对电脑终端获取数据权限的差异化管理，杜绝了因人员因素造成的数据流失。


    2、信息化规划


    ·商业ERP系统的深入推广；
    ·加强制造ERP系统对质量管理环节的管控支持、细化绩效考核系统。


三、参评信息化项目详细情况介绍（曲美集团内网安全管理）


    1、需求分析


    1.1 北京曲美集团内网安全管理现状


    北京曲美集团为中型企业，公司计算机数量多、网络设施完善，分散在各个区域之间。在进行信息网络建设的时候，对安全性做了成熟的考虑，但是主要基于传统的网络安全，主要是边界防护设备、灾难备份、病毒防护等。随着分散在各个内网主机和服务器上的有价值的信息越来越多，内网安全和保密成为信息中心不得不重视的问题；另外区域的分散对于技术人员管理起来非常不方便，一旦计算机出了一点问题，都要到现场处理；对于企业管理者来说，每个员工在工作时间具体做什么事情也是要非常关注的；还有办公部门内部人员数量众多，所属部门，职责和权限各不相同，如果某个人员访问了其权限以外的信息资源，如重要计算机，服务器等，将会对内网的信息安全构成极大的威胁。


    1.2 网络中存在的一些隐患


    ★ 员工可能通过 U 盘或者移动硬盘将数据复制出去，造成有意或无意的信息泄漏问题；   
    ★ 员工可能将文件打印带出办公区的问题；   
    ★ 员工可能将笔记本电脑带出公司，从而造成知识产权泄密问题。
    ★ 网络中共享信息的无授权访问、以及服务器的无授权连接。
    ★ 业务信息终端计算机相互之间的非加密通信；
    ★ 业务信息终端计算机中的非加密存储；
    ★ 业务信息网络中的计算机无安全域的划分；
    ★ 系统终端有非授权人员的登录情况；
    ★ 非信任计算机的非法接入业务信息网络的问题；
    ★ 在工作中处理一些与工作无关的事情（如：玩游戏、看小说、听音乐等）；
    ★ 集团分部不能做到统一的管理等。


    2、解决方案


    2.1 设计原则


    根据信息中心内网的规模和管理情况，本解决方案根据以下原则进行信息中心内网安全管理系统的设计：


    1）系统应该统一规划，分步实施，实施各个阶段应该保持良好的衔接；
    2）系统与应用相关性应该尽可能低，支持应用系统的升级和新应用的扩展；
    3）系统的选型必须是基于现有的成熟产品和系统，具有可靠的稳定性；
    4）系统应具有良好的可管理性和可维护性，有统一的管理中心；
    5）系统必须具有良好的易用性和兼容性，不会改变业务系统的主要结构，也不会对系统的操作人员带来过多的习惯改变；
    6）系统应该符合国家制定的相关安全管理规范，取得相关资质。


    2.2 分域管理


    2.2.1 虚拟保密子网划分


    通过保密子网的划分，可以在保障网络统一维护的前提下，对信息中心内部不同的部门等实现有效的数据隔离，例如重要技术部门和其他部门独立开来，增加内网安全级别，降低安全风险。通过保密子网，还可以有效防止非法外连或者非法接入。不同保密子网（VCN）之间可以设定信任关系，从而允许他们的计算机之间进行数据交换。


    2.2.2 移动存储设备管理


    Chinasec可信网络保密系统可以实现对移动存储设备的有效管理。管理员可以设定没有注册的移动存储设备（U盘或者移动硬盘等）默认的使用策略，可选策略包括禁用（没有注册的磁盘禁止使用）、只读（可以将没注册磁盘数据拷入到VCN网内的计算机，但不能拷出数据）或者加密读写（所有写入该未注册磁盘的数据自动加密，加密的数据只能在计算机所在的VCN内使用）。


    2.2.3 用户注册


    内网安全管理平台对用户进行集中管理。用户通过网络申请获得合法的数字证书（载体为配发的硬件USB令牌）后，可以远程注册到平台用户认证服务器上。该注册过程由系统客户端代理自动完成，用户只需要将自己的USB令牌插入计算机，并输入正确的PIN码，该用户令牌即会自动注册到安全支撑平台的用户认证服务器上。


    2.2.4 权限管理


    用户注册成功后，管理员必须为用户赋予相应权限，以使用户获得在内部网络中的使用权。权限管理的内容包括计算机登录权限和服务器访问权限等。


    如果该新增用户属于一个已经存在的并且设置好权限的部门分组中，管理员只需要将用户分配到其所在的部门分组，用户即可自动获得其相应权限。如果用户具有特殊权限或者是一个权限的部门，则需要进行相应的权限设置，从而完成用户的授权管理工作。


    2.3 身份认证


    内网安全管理平台的身份认证系统采用Chinasec可信网络认证系统进行集中的认证，用户必须通过认证后，才能进入操作系统并获得其相应的权限以访问信息中心内部各个应用服务器。
   
    2.4 主机监控


    2.4.1 实时监控


    实时远程监视和控制客户端计算机的状态，这些状态包括：安装的应用程序、服务、驱动以及他们的运行状态；当前网络连接状态、打开的窗口、运行的进程、系统的用户和用户组、共享目录、当前的屏幕截图等信息，并可以实时远程控制，比如关闭某个打开的进程、服务或者窗口等。


    2.4.2 外设监控


    外设监控策略运行管理员针对每台计算机进行外设端口使用的授权，比如允许或者禁止USB存储设备的使用等。这些端口和设备类型包括USB存储设备、USB普通设备、红外、串口、并口（打印端口）、键盘鼠标、光驱、软驱和1394端口等，用户还可以根据关键字和设备类型进行自定义，管理所有计算机上的设备。使用关键字是一种非常灵活的方式，比如只允许某个打印机使用，而其它任何打印机不能使用等。


    2.4.3 应用监控


    应用监控提供了管理员集中授权管理客户端应用的方法。管理员可以黑名单或者白名单的方式授权，并且可以基于进程名称、服务名称或者窗口名称进行管理。


    自动记录计算机上的文件操作记录，包括创建、删除和复制等操作，并记录用户名、文件名和相应的时间等。


    对用户打印行为进行监控，记录打印文件名、打印人、计算机以及打印的时间等。对是否允许客户端安装Windows程序进行授权。


    2.4.4 网络监控


    可以根据IP地址、网络端口和数据流向等设定客户端计算机或者用户访问的权限，以白名单或者黑名单的方式工作。例如发现蠕虫病毒，可以及时全网统一封锁相应的传播端口，从而有效控制该类型病毒的破坏效果。


    管理员集中授权计算机和用户访问的网址范围，可以白名单或者黑名单的方式设置。同时可以进行审计和记录。


    管理员集中授权计算机和用户可以发送和接受的邮件地址范围，可以白名单或者黑名单的方式设置。同时对邮件的正文和附件进行审计和记录。


    2.5 系统部署

    2.6 方案效果


    2.6.1 实现了有效的高强度用户身份认证，并在此基础上实现了有效的资源集中授权管理，保护内网终端的安全


    通过Chinasec可信网络认证系统（TIS），基于数字证书技术，为每个用户发放一个代表用户身份的硬件USB令牌。每个令牌内置运算芯片，具有不可复制性，结合PIN码访问控制，具有锁定功能，安全强度高。


    所有用户在本系统的服务器进行统一认证和授权，授权的内容包括计算机终端的使用和研究所内部各个数据服务器和应用服务器的使用。


    管理员可以指定某一个用户只能使用某一台或者某几台计算机，或者该用户能够访问那些研究所内部的服务器；管理员也可以指定某一台计算机只能由那几个用户使用。如果需要变更户用的权限，仅需要管理员在控制台进行简单的授权更改即可。


    2.6.2 有效实现了内网安全保密，对网络和移动存储两个主要数据交换途径进行了有效的管理控制


    通过Chinasec可信网络保密系统（VCN），可以根据需要将信息中心内部网络按照业务群体分成不同的虚拟保密子网（VCN）。同一个VCN内的计算机可以通过网络或者移动存储设备进行正常的数据交换，但是如果处于不同VCN之间的计算机要进行数据交换，则需要管理员的授权。这些保密措施使用了透明的数据加密和解密处理技术，对用户和应用程序都是不可见的，不改变用户的计算机使用习惯。


    在同一个VCN之间计算机通信，每两台计算机直接的数据传输都使用了独特的密钥进行加密，所以可以有效防止恶意的Sniffer之类的网络监听软件。


    实现了有效的移动存储设备管理，没有经过授权的移动存储设备在受控VCN网络中的计算机上不能使用。


    有效防止了非法外联和非法接入的行为。非法外联的防止不仅仅限于拨号方式，所有基于IP协议传输的非法外联方式都可以得到有效的控制。非法接入的控制也非法有效，不管是通过网络交换设备接入还是通过网线直接将两台计算机直联，都可以被有效防止。


    可以实现本地硬盘的加密，防止因为硬盘丢失或者失窃造成的数据泄密行为。


    2.6.3 实现了灵活有效的外设和应用管理，并可以结合用户进行授权


    可以对计算机所有通用的外设进行管理，不仅仅局限于常见的外设端口（如USB、红外、串并口、光驱软驱、打印机等），计算机所有的设备都可以根据黑白名单和设备关键字进行控制。


    对应用程序也可以进行有效的授权管理，允许或者禁止使用某种应用程序的执行，并可以通过进程名称、服务名称或者窗口标题进行关键字控制。


    结合认证系统，还可以实现在同一台计算机上，给不同的用户授予不同的权限，如A用户能够使用软驱，而B用户则不能使用。


    具有离线策略管理功能，即便计算机脱离服务器所在网络，依然能够得到有效的管理。


    2.6.4 内网服务器访问认证   


    通过使用安全网关设备将内网运行的服务器统一管理起来，只有经过认证的用户才有权利访问服务器上面的资源，保证了内网服务器数据安全性。


    2.6.5 提供详细的审计信息，并提供分日期查询功能


    能够实时查看客户端的所有状态，包括应用程序安装运行情况、设备安装使用情况以及用户桌面信息等，有效实现远程维护和监控。


    能够详细记录用户文件操作信息，包括文件的创建、删除、重命名等操作。


    能够记录用户的违规行为。


    能够记录用户每次登陆系统的信息。



该贴已经同步到 壹佰家具的微博