近日，联软科技中标吉林省审计厅专网准入及终端安全项目，正式为在网络准入及终端安全方面保驾护航，联软科技携手多家企业，为企业提供专业的网络安全解决方案，吉林省审计厅是联软科技在安全领域联手的又一个新的伙伴。

01

项目背景

随着吉林省审计系统信息化的快速发展，业务和应用越来越依赖于计算机网络和计算机终端。但是计算机病毒、黑客木马、间谍软件进入桌面计算机，在计算机上私自拨号上网，外来移动存储设备随意接入，内外网计算机混用等，这些行为非常容易导致桌面计算机和计算机网络系统的瘫痪，造成审计系统内部重要信息外泄风险，带来不可估量的损失。尤其是最近几年来，网络安全威胁愈演愈烈，网络攻击工具越来越多样，攻击的目的性越来越明显。

为了保障吉林省审计专网安全、稳定、高效运行，进一步加强信息资源访问管理，提高办公内网计算机机终端抵御信息风险的能力，吉林省审计厅现网系统下急需新建一套技术先进、安全性高、兼容性强的网络准入和桌面安全管理系统，规范计算机终端对信息资源的访问管理，从而支持全省系统快速发展、保障整体安全水平。

02

解决方案

根据吉林省审计局的需求，联软科技通过实施准入控制及终端安全项目，建设一套完整的终端安全管理体系，最大程度地提高内部资源和网络的安全性，具体内容如下：

1、终端的安全接入：终端在接入前需要满足管理员指定的安全级别、需要有合法的身份认证信息，防止外来终端随意接入内部网络。

2、非授权外联设备的使用控制和审计：对U盘、移动硬盘等存储设备的使用进行合理控制和管理，防止信息的泄露;对蓝牙、无线、红外、手机热点等外设的使用进行合理控制，防止内网用户非法连接互联网。

3、加强接入网络的内部终端防病毒软件检查，加强接入网络的内部终端防病毒软件检查，包括是否安装指定版本和病毒库更新时间，支持防病毒软件多选一的方式进行检查。

4、终端资产信息的管理：将终端—终端使用人—网络接口等信息形成统一的管理，便于软硬件资产信息查询、软硬件配置变更告警，可以对有问题的IP/MAC/主机名等进行快速的定位，方便管理员的日常维护。

5、业务数据防泄露

明文/矢量水印：对终端使用的重要业务数据采用水印功能，提高员工安全意识，同时对拍照泄密提供追溯功能

文档追踪：对审计厅内部流转的文件采用追踪技术，审计文档内部流转途径，同时，对于造成数据泄露的文件可进行追踪朔源。

6、其它安全管理。

方案价值

03

施实成果

项目适用于吉林省审计厅及下属各市县级单位的办公网准入控制、终端安全管控、终端数据泄密后追溯，支持PC终端、哑终端、云桌面等设备的接入控制，兼容Windows、Linux等操作系统的接入控制。

概括来讲，通过部署这套系统将能够实现以下的管理功能：

1.1.1. 网络准入控制功能

• 全方位准入控制

完善的准入控制，可以支持局域网、VPN各种接入方式，支持包括HUB在内的各种复杂网络环境下的部署，保证从任何地点、任何方式下的接入安全。

• 严格的身份认证

除基于用户名和密码的身份认证外，还支持身份与接入终端的MAC地址、IP地址、所在VLAN、接入设备IP、接入设备端口号等信息进行绑定，支持智能卡、数字证书认证，增强身份认证的安全性。

• 完备的安全状态评估

根据管理员配置的安全策略，用户可以进行的安全认证检查包括终端病毒库版本检查、终端安装的应用软件检查、是否有代理、拨号配置、U盘审计、外设管理、桌面资产管理等;支持和瑞星、江民、金山、Symantec、MacAfee、Trend Micro、360、卡巴斯基等国内外主流病毒厂商联动。外来非法设备或者具有安全隐患的终端将被移送的隔离区，只有在管理员授权或安全隐患得到修复后才能接入企业内网。

• 精细化的权限控制

在用户终端通过病毒、补丁等安全信息检查后，可基于终端用户的角色，向安全联动设备下发事先配置的接入控制策略，并对未安装防病毒软件、存在漏洞的终端按照用户角色权限规范用户的网络使用行为，在控制台产生告警信息或禁止入网。终端用户的所属VLAN、ACL访问策略、是否禁止使用代理、是否禁止使用双网卡等安全措施均可由管理员统一配置实施。

• 准入故障审计信息

准入控制系统统一部署后，针对准入故障审计信息应该做到：

1.记录接入状态，如果认证失败，记录终端准入失败原因，提供如果认证失败如何快速处理故障;

2.记录设备ip\mac\设备名称\接入时间\哪个交换机哪个端口接入等信息;

3.提供整个认证过程的windows日志进行分析;

• 多种层次的高可用性

提供双机热备功能，当两台认证服务器都故障时，启用紧急情况下的“逃生模式”(包括自动逃生和手动逃生)，全网取消网络准入控制，让终端用户不用通过准入认证就能正常接入网络。

1.1.2. 终端安全管理功能

•终端资产及外设管理

提供对终端资产全方位的监控和管理的功能，可以对终端软硬件使用情况、变更情况进行监控，能自动收集包括：设备名、IP地址、MAC、硬件配置、软件配置、所属部门、使用人、接入交换机端口信息等。对资产的变更信息可审计，可告警提示管理人员。同时还支持终端资产的配置管理和软件的统一分发、远程桌面控制，实现对桌面资产的有效管理。

提供对U盘和其他外设的管理功能，可以对终端用户的各种外设进行控制，第一次接入内网U盘需要申请注册，由管理员授权U盘使用是否允许接入、内网使用时间与范围，将设备定位到个人，有效防止重要信息的泄密。

• 设备发现以及快速定位

具有设备快速定位功能。终端接入网络被系统发现并予以定位的时间小于1min。可以发现接入设备的MAC、IP地址、所属部门、使用人、设备类型、所在交换机端口。

• 非法外连控制与审计

对蓝牙、无线、红外、手机热点等外设的使用进行控制，防止内网用户非法连接互联网。内网计算机非法连接外网会产生告警，直接禁用所有的网卡，直到管理员解锁。

• 终端水印与文档追踪

对于屏幕显示和打印提供水印技术，水印分为自定义明文、图片、二维码、矢量等多种水印方式，使用明文水印对终端使用人员警示操作行为，对厅内重要业务数据采用矢量水印技术做到拍照泄密后定则。

提供内部流转文档追踪技术，审计内部文件流转途径，对文档的创建者、流转者、泄密者进行定位和追溯;

• 灵活方便的执行方式

按照网络管理员配置的安全策略区别对待不同身份的用户，定制不同的安全检查和处理模式，包括监控模式、提醒模式、隔离模式和离线模式，支持离线安全策略有效。用户可以根据自己的实际需要，为VIP客户、内部员工、外来访客等不同人群，定义不同的安全策略执行方式。

•易于部署的客户端

提供易于部署的客户端，用户可以根据引导自行下载客户端，客户端具有自保护功能不可自行卸载，可以自动升级，对用户身份和终端安全状态进行检查，在用户终端内存占用最小化。

客户端必须支持全省内网终端各类操作系统，具有良好兼容性，包括但不仅限于WIN7，XP，WIN8,，WES7、XPE系统和桌面云的准入。支持ip电话/网络打印机等哑终端的准入控制。

•其他要求

1、集中部署，一体化平台，统一控制中心。

2、兼容国产化系统，同时支持现网系统与国产化系统并行运行。

3、平台应具备准入控制、终端管理以及数据防泄密等扩展功能，未来可快速扩展终端安全以及数据防泄密的功能，无需重新部署

保障客户的机密信息受控，维护企业网络系统的安全性，提高客户的信息系统的可用性，是联软不断前进的动力。