IT商业网-解读信息时代的商业变革
当前位置: 首页 > 物联网 > 正文

联软科技中标吉林省审计厅专网准入及终端安全项目

2019-11-01 16:15:24 来源:   

  近日,联软科技中标吉林省审计厅专网准入及终端安全项目,正式为在网络准入及终端安全方面保驾护航,联软科技携手多家企业,为企业提供专业的网络安全解决方案,吉林省审计厅是联软科技在安全领域联手的又一个新的伙伴。

  01

  项目背景

  随着吉林省审计系统信息化的快速发展,业务和应用越来越依赖于计算机网络和计算机终端。但是计算机病毒、木马、间谍软件进入桌面计算机,在计算机上私自拨号上网,外来移动存储设备随意接入,内外网计算机混用等,这些行为非常容易导致桌面计算机和计算机网络系统的瘫痪,造成审计系统内部重要信息外泄风险,带来不可估量的损失。尤其是最近几年来,网络安全威胁愈演愈烈,网络攻击工具越来越多样,攻击的目的性越来越明显。

  为了保障吉林省审计专网安全、稳定、高效运行,进一步加强信息资源访问管理,提高办公内网计算机机终端抵御信息风险的能力,吉林省审计厅现网系统下急需新建一套技术先进、安全性高、兼容性强的网络准入和桌面安全管理系统,规范计算机终端对信息资源的访问管理,从而支持全省系统快速发展、保障整体安全水平。

  02

  解决方案

  根据吉林省审计局的需求,联软科技通过实施准入控制及终端安全项目,建设一套完整的终端安全管理体系,最大程度地提高内部资源和网络的安全性,具体内容如下:

  1、终端的安全接入:终端在接入前需要满足管理员指定的安全级别、需要有合法的身份认证信息,防止外来终端随意接入内部网络。

  2、非授权外联设备的使用控制和审计:对U盘、移动硬盘等存储设备的使用进行合理控制和管理,防止信息的泄露;对蓝牙、无线、红外、手机热点等外设的使用进行合理控制,防止内网用户非法连接互联网。

  3、加强接入网络的内部终端防病毒软件检查,加强接入网络的内部终端防病毒软件检查,包括是否安装指定版本和病毒库更新时间,支持防病毒软件多选一的方式进行检查。

  4、终端资产信息的管理:将终端—终端使用人—网络接口等信息形成统一的管理,便于软硬件资产信息查询、软硬件配置变更告警,可以对有问题的IP/MAC/主机名等进行快速的定位,方便管理员的日常维护。

  5、业务数据防泄露

  明文/矢量水印:对终端使用的重要业务数据采用水印功能,提高员工安全意识,同时对拍照泄密提供追溯功能

  文档追踪:对审计厅内部流转的文件采用追踪技术,审计文档内部流转途径,同时,对于造成数据泄露的文件可进行追踪朔源。

  6、其它安全管理。

  03

  施实成果

  项目适用于吉林省审计厅及下属各市县级单位的办公网准入控制、终端安全管控、终端数据泄密后追溯,支持PC终端、哑终端、云桌面等设备的接入控制,兼容Windows、Linux等操作系统的接入控制。

  概括来讲,通过部署这套系统将能够实现以下的管理功能:

  1.1.1. 网络准入控制功能

  • 全方位准入控制

  完善的准入控制,可以支持局域网、VPN各种接入方式,支持包括HUB在内的各种复杂网络环境下的部署,保证从任何地点、任何方式下的接入安全。

  • 严格的身份认证

  除基于用户名和密码的身份认证外,还支持身份与接入终端的MAC地址、IP地址、所在VLAN、接入设备IP、接入设备端口号等信息进行绑定,支持智能卡、数字证书认证,增强身份认证的安全性。

  • 完备的安全状态评估

  根据管理员配置的安全策略,用户可以进行的安全认证检查包括终端病毒库版本检查、终端安装的应用软件检查、是否有代理、拨号配置、U盘审计、外设管理、桌面资产管理等;支持和瑞星、江民、金山、Symantec、MacAfee、Trend Micro、360、卡巴斯基等国内外主流病毒厂商联动。外来非法设备或者具有安全隐患的终端将被移送的隔离区,只有在管理员授权或安全隐患得到修复后才能接入企业内网。

  • 精细化的权限控制

  在用户终端通过病毒、补丁等安全信息检查后,可基于终端用户的角色,向安全联动设备下发事先配置的接入控制策略,并对未安装防病毒软件、存在漏洞的终端按照用户角色权限规范用户的网络使用行为,在控制台产生告警信息或禁止入网。终端用户的所属VLAN、ACL访问策略、是否禁止使用代理、是否禁止使用双网卡等安全措施均可由管理员统一配置实施。

  • 准入故障审计信息

  准入控制系统统一部署后,针对准入故障审计信息应该做到:

  1.记录接入状态,如果认证失败,记录终端准入失败原因,提供如果认证失败如何快速处理故障;

  2.记录设备ip\mac\设备名称\接入时间\哪个交换机哪个端口接入等信息;

  3.提供整个认证过程的windows日志进行分析;

  • 多种层次的高可用性

  提供双机热备功能,当两台认证服务器都故障时,启用紧急情况下的“逃生模式”(包括自动逃生和手动逃生),全网取消网络准入控制,让终端用户不用通过准入认证就能正常接入网络。

  1.1.2. 终端安全管理功能

  •终端资产及外设管理

  提供对终端资产全方位的监控和管理的功能,可以对终端软硬件使用情况、变更情况进行监控,能自动收集包括:设备名、IP地址、MAC、硬件配置、软件配置、所属部门、使用人、接入交换机端口信息等。对资产的变更信息可审计,可告警提示管理人员。同时还支持终端资产的配置管理和软件的统一分发、远程桌面控制,实现对桌面资产的有效管理。

  提供对U盘和其他外设的管理功能,可以对终端用户的各种外设进行控制,第一次接入内网U盘需要申请注册,由管理员授权U盘使用是否允许接入、内网使用时间与范围,将设备定位到个人,有效防止重要信息的泄密。

  • 设备发现以及快速定位

  具有设备快速定位功能。终端接入网络被系统发现并予以定位的时间小于1min。可以发现接入设备的MAC、IP地址、所属部门、使用人、设备类型、所在交换机端口。

  • 非法外连控制与审计

  对蓝牙、无线、红外、手机热点等外设的使用进行控制,防止内网用户非法连接互联网。内网计算机非法连接外网会产生告警,直接禁用所有的网卡,直到管理员解锁。

  • 终端水印与文档追踪

  对于屏幕显示和打印提供水印技术,水印分为自定义明文、图片、二维码、矢量等多种水印方式,使用明文水印对终端使用人员警示操作行为,对厅内重要业务数据采用矢量水印技术做到拍照泄密后定则。

  提供内部流转文档追踪技术,审计内部文件流转途径,对文档的创建者、流转者、泄密者进行定位和追溯;

  • 灵活方便的执行方式

  按照网络管理员配置的安全策略区别对待不同身份的用户,定制不同的安全检查和处理模式,包括监控模式、提醒模式、隔离模式和离线模式,支持离线安全策略有效。用户可以根据自己的实际需要,为VIP客户、内部员工、外来访客等不同人群,定义不同的安全策略执行方式。

  •易于部署的客户端

  提供易于部署的客户端,用户可以根据引导自行下载客户端,客户端具有自保护功能不可自行卸载,可以自动升级,对用户身份和终端安全状态进行检查,在用户终端内存占用最小化。

  客户端必须支持全省内网终端各类操作系统,具有良好兼容性,包括但不仅限于WIN7,XP,WIN8,,WES7、XPE系统和桌面云的准入。支持ip电话/网络打印机等哑终端的准入控制。

  •其他要求

  1、集中部署,一体化平台,统一控制中心。

  2、兼容国产化系统,同时支持现网系统与国产化系统并行运行。

  3、平台应具备准入控制、终端管理以及数据防泄密等扩展功能,未来可快速扩展终端安全以及数据防泄密的功能,无需重新部署

免责声明: IT商业新闻网遵守行业规则,本站所转载的稿件都标注作者和来源。 IT商业新闻网原创文章,请转载时务必注明文章作者和来源“IT商业新闻网”, 不尊重本站原创的行为将受到IT商业新闻网的追责,转载稿件或作者投稿可能会经编辑修改或者补充, 如有异议可投诉至:post@itxinwen.com
微信公众号:您想你获取IT商业新闻网最新原创内容, 请在微信公众号中搜索“IT商业网”或者搜索微信号:itxinwen,或用扫描左侧微信二维码。 即可添加关注。
标签:

品牌、内容合作请点这里: 寻求合作 ››

相关阅读RELEVANT