近日，聯(lián)軟科技中標吉林省審計廳專(zhuān)網(wǎng)準入及終端安全項目，正式為在網(wǎng)絡(luò )準入及終端安全方面保駕護航，聯(lián)軟科技攜手多家企業(yè)，為企業(yè)提供專(zhuān)業(yè)的網(wǎng)絡(luò )安全解決方案，吉林省審計廳是聯(lián)軟科技在安全領(lǐng)域聯(lián)手的又一個(gè)新的伙伴。

01

項目背景

隨著(zhù)吉林省審計系統信息化的快速發(fā)展，業(yè)務(wù)和應用越來(lái)越依賴(lài)于計算機網(wǎng)絡(luò )和計算機終端。但是計算機病毒、黑客木馬、間諜軟件進(jìn)入桌面計算機，在計算機上私自撥號上網(wǎng)，外來(lái)移動(dòng)存儲設備隨意接入，內外網(wǎng)計算機混用等，這些行為非常容易導致桌面計算機和計算機網(wǎng)絡(luò )系統的癱瘓，造成審計系統內部重要信息外泄風(fēng)險，帶來(lái)不可估量的損失。尤其是最近幾年來(lái)，網(wǎng)絡(luò )安全威脅愈演愈烈，網(wǎng)絡(luò )攻擊工具越來(lái)越多樣，攻擊的目的性越來(lái)越明顯。

為了保障吉林省審計專(zhuān)網(wǎng)安全、穩定、高效運行，進(jìn)一步加強信息資源訪(fǎng)問(wèn)管理，提高辦公內網(wǎng)計算機機終端抵御信息風(fēng)險的能力，吉林省審計廳現網(wǎng)系統下急需新建一套技術(shù)先進(jìn)、安全性高、兼容性強的網(wǎng)絡(luò )準入和桌面安全管理系統，規范計算機終端對信息資源的訪(fǎng)問(wèn)管理，從而支持全省系統快速發(fā)展、保障整體安全水平。

02

解決方案

根據吉林省審計局的需求，聯(lián)軟科技通過(guò)實(shí)施準入控制及終端安全項目，建設一套完整的終端安全管理體系，最大程度地提高內部資源和網(wǎng)絡(luò )的安全性，具體內容如下：

1、終端的安全接入：終端在接入前需要滿(mǎn)足管理員指定的安全級別、需要有合法的身份認證信息，防止外來(lái)終端隨意接入內部網(wǎng)絡(luò )。

2、非授權外聯(lián)設備的使用控制和審計：對U盤(pán)、移動(dòng)硬盤(pán)等存儲設備的使用進(jìn)行合理控制和管理，防止信息的泄露;對藍牙、無(wú)線(xiàn)、紅外、手機熱點(diǎn)等外設的使用進(jìn)行合理控制，防止內網(wǎng)用戶(hù)非法連接互聯(lián)網(wǎng)。

3、加強接入網(wǎng)絡(luò )的內部終端防病毒軟件檢查，加強接入網(wǎng)絡(luò )的內部終端防病毒軟件檢查，包括是否安裝指定版本和病毒庫更新時(shí)間，支持防病毒軟件多選一的方式進(jìn)行檢查。

4、終端資產(chǎn)信息的管理：將終端—終端使用人—網(wǎng)絡(luò )接口等信息形成統一的管理，便于軟硬件資產(chǎn)信息查詢(xún)、軟硬件配置變更告警，可以對有問(wèn)題的IP/MAC/主機名等進(jìn)行快速的定位，方便管理員的日常維護。

5、業(yè)務(wù)數據防泄露

明文/矢量水?。簩K端使用的重要業(yè)務(wù)數據采用水印功能，提高員工安全意識，同時(shí)對拍照泄密提供追溯功能

文檔追蹤：對審計廳內部流轉的文件采用追蹤技術(shù)，審計文檔內部流轉途徑，同時(shí)，對于造成數據泄露的文件可進(jìn)行追蹤朔源。

6、其它安全管理。

方案價(jià)值

03

施實(shí)成果

項目適用于吉林省審計廳及下屬各市縣級單位的辦公網(wǎng)準入控制、終端安全管控、終端數據泄密后追溯，支持PC終端、啞終端、云桌面等設備的接入控制，兼容Windows、Linux等操作系統的接入控制。

概括來(lái)講，通過(guò)部署這套系統將能夠實(shí)現以下的管理功能：

1.1.1. 網(wǎng)絡(luò )準入控制功能

• 全方位準入控制

完善的準入控制，可以支持局域網(wǎng)、VPN各種接入方式，支持包括HUB在內的各種復雜網(wǎng)絡(luò )環(huán)境下的部署，保證從任何地點(diǎn)、任何方式下的接入安全。

• 嚴格的身份認證

除基于用戶(hù)名和密碼的身份認證外，還支持身份與接入終端的MAC地址、IP地址、所在VLAN、接入設備IP、接入設備端口號等信息進(jìn)行綁定，支持智能卡、數字證書(shū)認證，增強身份認證的安全性。

• 完備的安全狀態(tài)評估

根據管理員配置的安全策略，用戶(hù)可以進(jìn)行的安全認證檢查包括終端病毒庫版本檢查、終端安裝的應用軟件檢查、是否有代理、撥號配置、U盤(pán)審計、外設管理、桌面資產(chǎn)管理等;支持和瑞星、江民、金山、Symantec、MacAfee、Trend Micro、360、卡巴斯基等國內外主流病毒廠(chǎng)商聯(lián)動(dòng)。外來(lái)非法設備或者具有安全隱患的終端將被移送的隔離區，只有在管理員授權或安全隱患得到修復后才能接入企業(yè)內網(wǎng)。

• 精細化的權限控制

在用戶(hù)終端通過(guò)病毒、補丁等安全信息檢查后，可基于終端用戶(hù)的角色，向安全聯(lián)動(dòng)設備下發(fā)事先配置的接入控制策略，并對未安裝防病毒軟件、存在漏洞的終端按照用戶(hù)角色權限規范用戶(hù)的網(wǎng)絡(luò )使用行為，在控制臺產(chǎn)生告警信息或禁止入網(wǎng)。終端用戶(hù)的所屬VLAN、ACL訪(fǎng)問(wèn)策略、是否禁止使用代理、是否禁止使用雙網(wǎng)卡等安全措施均可由管理員統一配置實(shí)施。

• 準入故障審計信息

準入控制系統統一部署后，針對準入故障審計信息應該做到：

1.記錄接入狀態(tài)，如果認證失敗，記錄終端準入失敗原因，提供如果認證失敗如何快速處理故障;

2.記錄設備ip\mac\設備名稱(chēng)\接入時(shí)間\哪個(gè)交換機哪個(gè)端口接入等信息;

3.提供整個(gè)認證過(guò)程的windows日志進(jìn)行分析;

• 多種層次的高可用性

提供雙機熱備功能，當兩臺認證服務(wù)器都故障時(shí)，啟用緊急情況下的“逃生模式”(包括自動(dòng)逃生和手動(dòng)逃生)，全網(wǎng)取消網(wǎng)絡(luò )準入控制，讓終端用戶(hù)不用通過(guò)準入認證就能正常接入網(wǎng)絡(luò )。

1.1.2. 終端安全管理功能

•終端資產(chǎn)及外設管理

提供對終端資產(chǎn)全方位的監控和管理的功能，可以對終端軟硬件使用情況、變更情況進(jìn)行監控，能自動(dòng)收集包括：設備名、IP地址、MAC、硬件配置、軟件配置、所屬部門(mén)、使用人、接入交換機端口信息等。對資產(chǎn)的變更信息可審計，可告警提示管理人員。同時(shí)還支持終端資產(chǎn)的配置管理和軟件的統一分發(fā)、遠程桌面控制，實(shí)現對桌面資產(chǎn)的有效管理。

提供對U盤(pán)和其他外設的管理功能，可以對終端用戶(hù)的各種外設進(jìn)行控制，第一次接入內網(wǎng)U盤(pán)需要申請注冊，由管理員授權U盤(pán)使用是否允許接入、內網(wǎng)使用時(shí)間與范圍，將設備定位到個(gè)人，有效防止重要信息的泄密。

• 設備發(fā)現以及快速定位

具有設備快速定位功能。終端接入網(wǎng)絡(luò )被系統發(fā)現并予以定位的時(shí)間小于1min?？梢园l(fā)現接入設備的MAC、IP地址、所屬部門(mén)、使用人、設備類(lèi)型、所在交換機端口。

• 非法外連控制與審計

對藍牙、無(wú)線(xiàn)、紅外、手機熱點(diǎn)等外設的使用進(jìn)行控制，防止內網(wǎng)用戶(hù)非法連接互聯(lián)網(wǎng)。內網(wǎng)計算機非法連接外網(wǎng)會(huì )產(chǎn)生告警，直接禁用所有的網(wǎng)卡，直到管理員解鎖。

• 終端水印與文檔追蹤

對于屏幕顯示和打印提供水印技術(shù)，水印分為自定義明文、圖片、二維碼、矢量等多種水印方式，使用明文水印對終端使用人員警示操作行為，對廳內重要業(yè)務(wù)數據采用矢量水印技術(shù)做到拍照泄密后定則。

提供內部流轉文檔追蹤技術(shù)，審計內部文件流轉途徑，對文檔的創(chuàng )建者、流轉者、泄密者進(jìn)行定位和追溯;

• 靈活方便的執行方式

按照網(wǎng)絡(luò )管理員配置的安全策略區別對待不同身份的用戶(hù)，定制不同的安全檢查和處理模式，包括監控模式、提醒模式、隔離模式和離線(xiàn)模式，支持離線(xiàn)安全策略有效。用戶(hù)可以根據自己的實(shí)際需要，為VIP客戶(hù)、內部員工、外來(lái)訪(fǎng)客等不同人群，定義不同的安全策略執行方式。

•易于部署的客戶(hù)端

提供易于部署的客戶(hù)端，用戶(hù)可以根據引導自行下載客戶(hù)端，客戶(hù)端具有自保護功能不可自行卸載，可以自動(dòng)升級，對用戶(hù)身份和終端安全狀態(tài)進(jìn)行檢查，在用戶(hù)終端內存占用最小化。

客戶(hù)端必須支持全省內網(wǎng)終端各類(lèi)操作系統，具有良好兼容性，包括但不僅限于WIN7，XP，WIN8,，WES7、XPE系統和桌面云的準入。支持ip電話(huà)/網(wǎng)絡(luò )打印機等啞終端的準入控制。

•其他要求

1、集中部署，一體化平臺，統一控制中心。

2、兼容國產(chǎn)化系統，同時(shí)支持現網(wǎng)系統與國產(chǎn)化系統并行運行。

3、平臺應具備準入控制、終端管理以及數據防泄密等擴展功能，未來(lái)可快速擴展終端安全以及數據防泄密的功能，無(wú)需重新部署

保障客戶(hù)的機密信息受控，維護企業(yè)網(wǎng)絡(luò )系統的安全性，提高客戶(hù)的信息系統的可用性，是聯(lián)軟不斷前進(jìn)的動(dòng)力。