近日,联软科技中标吉林省审计厅专网准入及终端安全项目,正式为在网络准入及终端安全方面保驾护航,联软科技携手多家企业,为企业提供专业的网络安全解决方案,吉林省审计厅是联软科技在安全领域联手的又一个新的伙伴。
01
项目背景
随着吉林省审计系统信息化的快速发展,业务和应用越来越依赖于计算机网络和计算机终端。但是计算机病毒、黑客木马、间谍软件进入桌面计算机,在计算机上私自拨号上网,外来移动存储设备随意接入,内外网计算机混用等,这些行为非常容易导致桌面计算机和计算机网络系统的瘫痪,造成审计系统内部重要信息外泄风险,带来不可估量的损失。尤其是最近几年来,网络安全威胁愈演愈烈,网络攻击工具越来越多样,攻击的目的性越来越明显。
为了保障吉林省审计专网安全、稳定、高效运行,进一步加强信息资源访问管理,提高办公内网计算机机终端抵御信息风险的能力,吉林省审计厅现网系统下急需新建一套技术先进、安全性高、兼容性强的网络准入和桌面安全管理系统,规范计算机终端对信息资源的访问管理,从而支持全省系统快速发展、保障整体安全水平。
02
解决方案
根据吉林省审计局的需求,联软科技通过实施准入控制及终端安全项目,建设一套完整的终端安全管理体系,最大程度地提高内部资源和网络的安全性,具体内容如下:
1、终端的安全接入:终端在接入前需要满足管理员指定的安全级别、需要有合法的身份认证信息,防止外来终端随意接入内部网络。
2、非授权外联设备的使用控制和审计:对U盘、移动硬盘等存储设备的使用进行合理控制和管理,防止信息的泄露;对蓝牙、无线、红外、手机热点等外设的使用进行合理控制,防止内网用户非法连接互联网。
3、加强接入网络的内部终端防病毒软件检查,加强接入网络的内部终端防病毒软件检查,包括是否安装指定版本和病毒库更新时间,支持防病毒软件多选一的方式进行检查。
4、终端资产信息的管理:将终端—终端使用人—网络接口等信息形成统一的管理,便于软硬件资产信息查询、软硬件配置变更告警,可以对有问题的IP/MAC/主机名等进行快速的定位,方便管理员的日常维护。
5、业务数据防泄露
明文/矢量水印:对终端使用的重要业务数据采用水印功能,提高员工安全意识,同时对拍照泄密提供追溯功能
文档追踪:对审计厅内部流转的文件采用追踪技术,审计文档内部流转途径,同时,对于造成数据泄露的文件可进行追踪朔源。
6、其它安全管理。
方案价值
03
施实成果
项目适用于吉林省审计厅及下属各市县级单位的办公网准入控制、终端安全管控、终端数据泄密后追溯,支持PC终端、哑终端、云桌面等设备的接入控制,兼容Windows、Linux等操作系统的接入控制。
概括来讲,通过部署这套系统将能够实现以下的管理功能:
1.1.1. 网络准入控制功能
• 全方位准入控制
完善的准入控制,可以支持局域网、VPN各种接入方式,支持包括HUB在内的各种复杂网络环境下的部署,保证从任何地点、任何方式下的接入安全。
• 严格的身份认证
除基于用户名和密码的身份认证外,还支持身份与接入终端的MAC地址、IP地址、所在VLAN、接入设备IP、接入设备端口号等信息进行绑定,支持智能卡、数字证书认证,增强身份认证的安全性。
• 完备的安全状态评估
根据管理员配置的安全策略,用户可以进行的安全认证检查包括终端病毒库版本检查、终端安装的应用软件检查、是否有代理、拨号配置、U盘审计、外设管理、桌面资产管理等;支持和瑞星、江民、金山、Symantec、MacAfee、Trend Micro、360、卡巴斯基等国内外主流病毒厂商联动。外来非法设备或者具有安全隐患的终端将被移送的隔离区,只有在管理员授权或安全隐患得到修复后才能接入企业内网。
• 精细化的权限控制
在用户终端通过病毒、补丁等安全信息检查后,可基于终端用户的角色,向安全联动设备下发事先配置的接入控制策略,并对未安装防病毒软件、存在漏洞的终端按照用户角色权限规范用户的网络使用行为,在控制台产生告警信息或禁止入网。终端用户的所属VLAN、ACL访问策略、是否禁止使用代理、是否禁止使用双网卡等安全措施均可由管理员统一配置实施。
• 准入故障审计信息
准入控制系统统一部署后,针对准入故障审计信息应该做到:
1.记录接入状态,如果认证失败,记录终端准入失败原因,提供如果认证失败如何快速处理故障;
2.记录设备ip\mac\设备名称\接入时间\哪个交换机哪个端口接入等信息;
3.提供整个认证过程的windows日志进行分析;
• 多种层次的高可用性
提供双机热备功能,当两台认证服务器都故障时,启用紧急情况下的“逃生模式”(包括自动逃生和手动逃生),全网取消网络准入控制,让终端用户不用通过准入认证就能正常接入网络。
1.1.2. 终端安全管理功能
•终端资产及外设管理
提供对终端资产全方位的监控和管理的功能,可以对终端软硬件使用情况、变更情况进行监控,能自动收集包括:设备名、IP地址、MAC、硬件配置、软件配置、所属部门、使用人、接入交换机端口信息等。对资产的变更信息可审计,可告警提示管理人员。同时还支持终端资产的配置管理和软件的统一分发、远程桌面控制,实现对桌面资产的有效管理。
提供对U盘和其他外设的管理功能,可以对终端用户的各种外设进行控制,第一次接入内网U盘需要申请注册,由管理员授权U盘使用是否允许接入、内网使用时间与范围,将设备定位到个人,有效防止重要信息的泄密。
• 设备发现以及快速定位
具有设备快速定位功能。终端接入网络被系统发现并予以定位的时间小于1min。可以发现接入设备的MAC、IP地址、所属部门、使用人、设备类型、所在交换机端口。
• 非法外连控制与审计
对蓝牙、无线、红外、手机热点等外设的使用进行控制,防止内网用户非法连接互联网。内网计算机非法连接外网会产生告警,直接禁用所有的网卡,直到管理员解锁。
• 终端水印与文档追踪
对于屏幕显示和打印提供水印技术,水印分为自定义明文、图片、二维码、矢量等多种水印方式,使用明文水印对终端使用人员警示操作行为,对厅内重要业务数据采用矢量水印技术做到拍照泄密后定则。
提供内部流转文档追踪技术,审计内部文件流转途径,对文档的创建者、流转者、泄密者进行定位和追溯;
• 灵活方便的执行方式
按照网络管理员配置的安全策略区别对待不同身份的用户,定制不同的安全检查和处理模式,包括监控模式、提醒模式、隔离模式和离线模式,支持离线安全策略有效。用户可以根据自己的实际需要,为VIP客户、内部员工、外来访客等不同人群,定义不同的安全策略执行方式。
•易于部署的客户端
提供易于部署的客户端,用户可以根据引导自行下载客户端,客户端具有自保护功能不可自行卸载,可以自动升级,对用户身份和终端安全状态进行检查,在用户终端内存占用最小化。
客户端必须支持全省内网终端各类操作系统,具有良好兼容性,包括但不仅限于WIN7,XP,WIN8,,WES7、XPE系统和桌面云的准入。支持ip电话/网络打印机等哑终端的准入控制。
•其他要求
1、集中部署,一体化平台,统一控制中心。
2、兼容国产化系统,同时支持现网系统与国产化系统并行运行。
3、平台应具备准入控制、终端管理以及数据防泄密等扩展功能,未来可快速扩展终端安全以及数据防泄密的功能,无需重新部署
保障客户的机密信息受控,维护企业网络系统的安全性,提高客户的信息系统的可用性,是联软不断前进的动力。