-
项目背景
-
(1)需要实现网络准入和网络资源访问控制
·非法接入的终端,都无法访问网络和数据资源,也不能对网络造成攻击和干扰;
·实现全网网络设备的网络访问控制,所有网络设备只有获得允许的情况下才能访问网络资源,否则将不能访问任何网络资源。
·网络准入和终端的安全和管理状态检查能够实现联动。终端安全和管理的状态和网络资源访问权限实现联动。网络准入的同时提供灵活的方式,实现终端获得修复资源,修复和保持安全和管理状态。
(2)终端的统一管理和安全加固
·实现终端外设和接口的统一监控管理,终端只能使用授权的外设和接口,并且对管理员指定的外设(如u盘、打印机)的使用过程进行记录。
·实现对终端注册表和系统配置的统一监控管理,管理员能够对终端的注册表和系统配置进行检查,检查不合格的项目可以进行自动修复和记录。管理员可以对终端进行分组,并设置统一的windows安全策略。
·实现对终端补丁的统一管理,对终端补丁的操作系统类型进行智能识别和统计,并对安装补丁级别进行分类和统计,能够进行智能的补丁分发,按照客户端的操作系统类型和补丁级别自动安装需要的补丁程序,并对安装的结果进行记录和统计。
·实现对终端上运行的程序和进程进行网络访问控制,管理员限制只有授权的程序和进程才能访问网络,代理软件、恶意软件等其他非法软件禁止访问网络,防止非法恶意软件对网络上其他终端造成攻击和干扰。
(3)终端统一安全运维管理
·实现通过集中管理平台,对网络准入访问控制规则,终端管理和安全策略的进行统一控制,集中管理;
·实现对终端的分组控制和远程协助,管理员可以根据终端用户的身份、物理位置或管理需求,将终端划分成不同的组,分配不同的网络准入控制、终端管理和安全策略等;同时,终端用户可以发起申请,管理员远程直接控制终端电脑进行问题处理。
·实现终端准入控制规则、管理和安全策略的遵从情况的统计报表功能,按照管理员设定的时间段进行统计报告,以便管理员针对全网终端的状态采取相应的措施。
- 项目建设
- 依据中电投的情况,采取双中心部署模式和分级管理,中电投总部、各分部均采用主备管理中心,各自部署独立网络准入控制管理系统。各自部署独立网络准入控制管理系统,分别对本部的终端计算机进行管理和控制。同时中电投总部作为一级管理中心,各分部作为二级管理中心链接到总部。
·资产管理与资产变更管理。LeagView自动采集桌面电脑和笔记本电脑的软件、硬件资产信息,自动发现资产变更。
·信息安全管理。LeagView能够自动发现接入到网络中的外来电脑,防止外来电脑窃取机密文件,能够对内部网络的电脑拨号上网或者使用USB等行为进行监控,通过上网审计和上网过滤功能防止员工使用外部的邮件服务器收发邮件。
·桌面电脑和手提电脑安全漏洞检测。LeagView自动检测所有的操作系统漏洞、微软应用系统漏洞,确保桌面系统的安全性。同时能够检测常见的桌面安全设置。
·安全接入控制。对不符合安全规定的电脑或者外来电脑,限制其接入内部网络或者限制其访问重要服务器和网络资源。
·集中式维护。LeagView允许管理员对数以千计的桌面电脑进行集中管理、维护。
-
·在日常的终端安全管理上可针对不同人员、不同时间段灵活定制安全策略,特别是网络准入控制、非法外联管控、终端安全管理、设备快速定位、资产管理,网络设备监控等功能,不仅能与中电投的网络环境紧密结合,解决目前出现的安全隐患及问题,而且在很大程度上为网络维护人员带来工作方便。
·一个管理平台即可实现所有所需测试功能,不仅节省投资,同时还可提高运维效率,最终能为单位整个网络安全的长远规划建设带来很大帮助。