近日，聯(lián)軟科技中標(biāo)吉林省審計(jì)廳專(zhuān)網(wǎng)準(zhǔn)入及終端安全項(xiàng)目，正式為在網(wǎng)絡(luò)準(zhǔn)入及終端安全方面保駕護(hù)航，聯(lián)軟科技攜手多家企業(yè)，為企業(yè)提供專(zhuān)業(yè)的網(wǎng)絡(luò)安全解決方案，吉林省審計(jì)廳是聯(lián)軟科技在安全領(lǐng)域聯(lián)手的又一個(gè)新的伙伴。

01

項(xiàng)目背景

隨著吉林省審計(jì)系統(tǒng)信息化的快速發(fā)展，業(yè)務(wù)和應(yīng)用越來(lái)越依賴于計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)終端。但是計(jì)算機(jī)病毒、黑客木馬、間諜軟件進(jìn)入桌面計(jì)算機(jī)，在計(jì)算機(jī)上私自撥號(hào)上網(wǎng)，外來(lái)移動(dòng)存儲(chǔ)設(shè)備隨意接入，內(nèi)外網(wǎng)計(jì)算機(jī)混用等，這些行為非常容易導(dǎo)致桌面計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的癱瘓，造成審計(jì)系統(tǒng)內(nèi)部重要信息外泄風(fēng)險(xiǎn)，帶來(lái)不可估量的損失。尤其是最近幾年來(lái)，網(wǎng)絡(luò)安全威脅愈演愈烈，網(wǎng)絡(luò)攻擊工具越來(lái)越多樣，攻擊的目的性越來(lái)越明顯。

為了保障吉林省審計(jì)專(zhuān)網(wǎng)安全、穩(wěn)定、高效運(yùn)行，進(jìn)一步加強(qiáng)信息資源訪問(wèn)管理，提高辦公內(nèi)網(wǎng)計(jì)算機(jī)機(jī)終端抵御信息風(fēng)險(xiǎn)的能力，吉林省審計(jì)廳現(xiàn)網(wǎng)系統(tǒng)下急需新建一套技術(shù)先進(jìn)、安全性高、兼容性強(qiáng)的網(wǎng)絡(luò)準(zhǔn)入和桌面安全管理系統(tǒng)，規(guī)范計(jì)算機(jī)終端對(duì)信息資源的訪問(wèn)管理，從而支持全省系統(tǒng)快速發(fā)展、保障整體安全水平。

02

解決方案

根據(jù)吉林省審計(jì)局的需求，聯(lián)軟科技通過(guò)實(shí)施準(zhǔn)入控制及終端安全項(xiàng)目，建設(shè)一套完整的終端安全管理體系，最大程度地提高內(nèi)部資源和網(wǎng)絡(luò)的安全性，具體內(nèi)容如下：

1、終端的安全接入：終端在接入前需要滿足管理員指定的安全級(jí)別、需要有合法的身份認(rèn)證信息，防止外來(lái)終端隨意接入內(nèi)部網(wǎng)絡(luò)。

2、非授權(quán)外聯(lián)設(shè)備的使用控制和審計(jì)：對(duì)U盤(pán)、移動(dòng)硬盤(pán)等存儲(chǔ)設(shè)備的使用進(jìn)行合理控制和管理，防止信息的泄露;對(duì)藍(lán)牙、無(wú)線、紅外、手機(jī)熱點(diǎn)等外設(shè)的使用進(jìn)行合理控制，防止內(nèi)網(wǎng)用戶非法連接互聯(lián)網(wǎng)。

3、加強(qiáng)接入網(wǎng)絡(luò)的內(nèi)部終端防病毒軟件檢查，加強(qiáng)接入網(wǎng)絡(luò)的內(nèi)部終端防病毒軟件檢查，包括是否安裝指定版本和病毒庫(kù)更新時(shí)間，支持防病毒軟件多選一的方式進(jìn)行檢查。

4、終端資產(chǎn)信息的管理：將終端—終端使用人—網(wǎng)絡(luò)接口等信息形成統(tǒng)一的管理，便于軟硬件資產(chǎn)信息查詢、軟硬件配置變更告警，可以對(duì)有問(wèn)題的IP/MAC/主機(jī)名等進(jìn)行快速的定位，方便管理員的日常維護(hù)。

5、業(yè)務(wù)數(shù)據(jù)防泄露

明文/矢量水?。簩?duì)終端使用的重要業(yè)務(wù)數(shù)據(jù)采用水印功能，提高員工安全意識(shí)，同時(shí)對(duì)拍照泄密提供追溯功能

文檔追蹤：對(duì)審計(jì)廳內(nèi)部流轉(zhuǎn)的文件采用追蹤技術(shù)，審計(jì)文檔內(nèi)部流轉(zhuǎn)途徑，同時(shí)，對(duì)于造成數(shù)據(jù)泄露的文件可進(jìn)行追蹤朔源。

6、其它安全管理。

方案價(jià)值

03

施實(shí)成果

項(xiàng)目適用于吉林省審計(jì)廳及下屬各市縣級(jí)單位的辦公網(wǎng)準(zhǔn)入控制、終端安全管控、終端數(shù)據(jù)泄密后追溯，支持PC終端、啞終端、云桌面等設(shè)備的接入控制，兼容Windows、Linux等操作系統(tǒng)的接入控制。

概括來(lái)講，通過(guò)部署這套系統(tǒng)將能夠?qū)崿F(xiàn)以下的管理功能：

1.1.1. 網(wǎng)絡(luò)準(zhǔn)入控制功能

• 全方位準(zhǔn)入控制

完善的準(zhǔn)入控制，可以支持局域網(wǎng)、VPN各種接入方式，支持包括HUB在內(nèi)的各種復(fù)雜網(wǎng)絡(luò)環(huán)境下的部署，保證從任何地點(diǎn)、任何方式下的接入安全。

• 嚴(yán)格的身份認(rèn)證

除基于用戶名和密碼的身份認(rèn)證外，還支持身份與接入終端的MAC地址、IP地址、所在VLAN、接入設(shè)備IP、接入設(shè)備端口號(hào)等信息進(jìn)行綁定，支持智能卡、數(shù)字證書(shū)認(rèn)證，增強(qiáng)身份認(rèn)證的安全性。

• 完備的安全狀態(tài)評(píng)估

根據(jù)管理員配置的安全策略，用戶可以進(jìn)行的安全認(rèn)證檢查包括終端病毒庫(kù)版本檢查、終端安裝的應(yīng)用軟件檢查、是否有代理、撥號(hào)配置、U盤(pán)審計(jì)、外設(shè)管理、桌面資產(chǎn)管理等;支持和瑞星、江民、金山、Symantec、MacAfee、Trend Micro、360、卡巴斯基等國(guó)內(nèi)外主流病毒廠商聯(lián)動(dòng)。外來(lái)非法設(shè)備或者具有安全隱患的終端將被移送的隔離區(qū)，只有在管理員授權(quán)或安全隱患得到修復(fù)后才能接入企業(yè)內(nèi)網(wǎng)。

• 精細(xì)化的權(quán)限控制

在用戶終端通過(guò)病毒、補(bǔ)丁等安全信息檢查后，可基于終端用戶的角色，向安全聯(lián)動(dòng)設(shè)備下發(fā)事先配置的接入控制策略，并對(duì)未安裝防病毒軟件、存在漏洞的終端按照用戶角色權(quán)限規(guī)范用戶的網(wǎng)絡(luò)使用行為，在控制臺(tái)產(chǎn)生告警信息或禁止入網(wǎng)。終端用戶的所屬VLAN、ACL訪問(wèn)策略、是否禁止使用代理、是否禁止使用雙網(wǎng)卡等安全措施均可由管理員統(tǒng)一配置實(shí)施。

• 準(zhǔn)入故障審計(jì)信息

準(zhǔn)入控制系統(tǒng)統(tǒng)一部署后，針對(duì)準(zhǔn)入故障審計(jì)信息應(yīng)該做到：

1.記錄接入狀態(tài)，如果認(rèn)證失敗，記錄終端準(zhǔn)入失敗原因，提供如果認(rèn)證失敗如何快速處理故障;

2.記錄設(shè)備ip\mac\設(shè)備名稱(chēng)\接入時(shí)間\哪個(gè)交換機(jī)哪個(gè)端口接入等信息;

3.提供整個(gè)認(rèn)證過(guò)程的windows日志進(jìn)行分析;

• 多種層次的高可用性

提供雙機(jī)熱備功能，當(dāng)兩臺(tái)認(rèn)證服務(wù)器都故障時(shí)，啟用緊急情況下的“逃生模式”(包括自動(dòng)逃生和手動(dòng)逃生)，全網(wǎng)取消網(wǎng)絡(luò)準(zhǔn)入控制，讓終端用戶不用通過(guò)準(zhǔn)入認(rèn)證就能正常接入網(wǎng)絡(luò)。

1.1.2. 終端安全管理功能

•終端資產(chǎn)及外設(shè)管理

提供對(duì)終端資產(chǎn)全方位的監(jiān)控和管理的功能，可以對(duì)終端軟硬件使用情況、變更情況進(jìn)行監(jiān)控，能自動(dòng)收集包括：設(shè)備名、IP地址、MAC、硬件配置、軟件配置、所屬部門(mén)、使用人、接入交換機(jī)端口信息等。對(duì)資產(chǎn)的變更信息可審計(jì)，可告警提示管理人員。同時(shí)還支持終端資產(chǎn)的配置管理和軟件的統(tǒng)一分發(fā)、遠(yuǎn)程桌面控制，實(shí)現(xiàn)對(duì)桌面資產(chǎn)的有效管理。

提供對(duì)U盤(pán)和其他外設(shè)的管理功能，可以對(duì)終端用戶的各種外設(shè)進(jìn)行控制，第一次接入內(nèi)網(wǎng)U盤(pán)需要申請(qǐng)注冊(cè)，由管理員授權(quán)U盤(pán)使用是否允許接入、內(nèi)網(wǎng)使用時(shí)間與范圍，將設(shè)備定位到個(gè)人，有效防止重要信息的泄密。

• 設(shè)備發(fā)現(xiàn)以及快速定位

具有設(shè)備快速定位功能。終端接入網(wǎng)絡(luò)被系統(tǒng)發(fā)現(xiàn)并予以定位的時(shí)間小于1min。可以發(fā)現(xiàn)接入設(shè)備的MAC、IP地址、所屬部門(mén)、使用人、設(shè)備類(lèi)型、所在交換機(jī)端口。

• 非法外連控制與審計(jì)

對(duì)藍(lán)牙、無(wú)線、紅外、手機(jī)熱點(diǎn)等外設(shè)的使用進(jìn)行控制，防止內(nèi)網(wǎng)用戶非法連接互聯(lián)網(wǎng)。內(nèi)網(wǎng)計(jì)算機(jī)非法連接外網(wǎng)會(huì)產(chǎn)生告警，直接禁用所有的網(wǎng)卡，直到管理員解鎖。

• 終端水印與文檔追蹤

對(duì)于屏幕顯示和打印提供水印技術(shù)，水印分為自定義明文、圖片、二維碼、矢量等多種水印方式，使用明文水印對(duì)終端使用人員警示操作行為，對(duì)廳內(nèi)重要業(yè)務(wù)數(shù)據(jù)采用矢量水印技術(shù)做到拍照泄密后定則。

提供內(nèi)部流轉(zhuǎn)文檔追蹤技術(shù)，審計(jì)內(nèi)部文件流轉(zhuǎn)途徑，對(duì)文檔的創(chuàng)建者、流轉(zhuǎn)者、泄密者進(jìn)行定位和追溯;

• 靈活方便的執(zhí)行方式

按照網(wǎng)絡(luò)管理員配置的安全策略區(qū)別對(duì)待不同身份的用戶，定制不同的安全檢查和處理模式，包括監(jiān)控模式、提醒模式、隔離模式和離線模式，支持離線安全策略有效。用戶可以根據(jù)自己的實(shí)際需要，為VIP客戶、內(nèi)部員工、外來(lái)訪客等不同人群，定義不同的安全策略執(zhí)行方式。

•易于部署的客戶端

提供易于部署的客戶端，用戶可以根據(jù)引導(dǎo)自行下載客戶端，客戶端具有自保護(hù)功能不可自行卸載，可以自動(dòng)升級(jí)，對(duì)用戶身份和終端安全狀態(tài)進(jìn)行檢查，在用戶終端內(nèi)存占用最小化。

客戶端必須支持全省內(nèi)網(wǎng)終端各類(lèi)操作系統(tǒng)，具有良好兼容性，包括但不僅限于WIN7，XP，WIN8,，WES7、XPE系統(tǒng)和桌面云的準(zhǔn)入。支持ip電話/網(wǎng)絡(luò)打印機(jī)等啞終端的準(zhǔn)入控制。

•其他要求

1、集中部署，一體化平臺(tái)，統(tǒng)一控制中心。

2、兼容國(guó)產(chǎn)化系統(tǒng)，同時(shí)支持現(xiàn)網(wǎng)系統(tǒng)與國(guó)產(chǎn)化系統(tǒng)并行運(yùn)行。

3、平臺(tái)應(yīng)具備準(zhǔn)入控制、終端管理以及數(shù)據(jù)防泄密等擴(kuò)展功能，未來(lái)可快速擴(kuò)展終端安全以及數(shù)據(jù)防泄密的功能，無(wú)需重新部署

保障客戶的機(jī)密信息受控，維護(hù)企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全性，提高客戶的信息系統(tǒng)的可用性，是聯(lián)軟不斷前進(jìn)的動(dòng)力。