近日，聯(lián)軟科技中標吉林省審計廳專網(wǎng)準入及終端安全項目，正式為在網(wǎng)絡(luò)準入及終端安全方面保駕護航，聯(lián)軟科技攜手多家企業(yè)，為企業(yè)提供專業(yè)的網(wǎng)絡(luò)安全解決方案，吉林省審計廳是聯(lián)軟科技在安全領(lǐng)域聯(lián)手的又一個新的伙伴。

01

項目背景

隨著吉林省審計系統(tǒng)信息化的快速發(fā)展，業(yè)務(wù)和應(yīng)用越來越依賴于計算機網(wǎng)絡(luò)和計算機終端。但是計算機病毒、黑客木馬、間諜軟件進入桌面計算機，在計算機上私自撥號上網(wǎng)，外來移動存儲設(shè)備隨意接入，內(nèi)外網(wǎng)計算機混用等，這些行為非常容易導(dǎo)致桌面計算機和計算機網(wǎng)絡(luò)系統(tǒng)的癱瘓，造成審計系統(tǒng)內(nèi)部重要信息外泄風險，帶來不可估量的損失。尤其是最近幾年來，網(wǎng)絡(luò)安全威脅愈演愈烈，網(wǎng)絡(luò)攻擊工具越來越多樣，攻擊的目的性越來越明顯。

為了保障吉林省審計專網(wǎng)安全、穩(wěn)定、高效運行，進一步加強信息資源訪問管理，提高辦公內(nèi)網(wǎng)計算機機終端抵御信息風險的能力，吉林省審計廳現(xiàn)網(wǎng)系統(tǒng)下急需新建一套技術(shù)先進、安全性高、兼容性強的網(wǎng)絡(luò)準入和桌面安全管理系統(tǒng)，規(guī)范計算機終端對信息資源的訪問管理，從而支持全省系統(tǒng)快速發(fā)展、保障整體安全水平。

02

解決方案

根據(jù)吉林省審計局的需求，聯(lián)軟科技通過實施準入控制及終端安全項目，建設(shè)一套完整的終端安全管理體系，最大程度地提高內(nèi)部資源和網(wǎng)絡(luò)的安全性，具體內(nèi)容如下：

1、終端的安全接入：終端在接入前需要滿足管理員指定的安全級別、需要有合法的身份認證信息，防止外來終端隨意接入內(nèi)部網(wǎng)絡(luò)。

2、非授權(quán)外聯(lián)設(shè)備的使用控制和審計：對U盤、移動硬盤等存儲設(shè)備的使用進行合理控制和管理，防止信息的泄露;對藍牙、無線、紅外、手機熱點等外設(shè)的使用進行合理控制，防止內(nèi)網(wǎng)用戶非法連接互聯(lián)網(wǎng)。

3、加強接入網(wǎng)絡(luò)的內(nèi)部終端防病毒軟件檢查，加強接入網(wǎng)絡(luò)的內(nèi)部終端防病毒軟件檢查，包括是否安裝指定版本和病毒庫更新時間，支持防病毒軟件多選一的方式進行檢查。

4、終端資產(chǎn)信息的管理：將終端—終端使用人—網(wǎng)絡(luò)接口等信息形成統(tǒng)一的管理，便于軟硬件資產(chǎn)信息查詢、軟硬件配置變更告警，可以對有問題的IP/MAC/主機名等進行快速的定位，方便管理員的日常維護。

5、業(yè)務(wù)數(shù)據(jù)防泄露

明文/矢量水印：對終端使用的重要業(yè)務(wù)數(shù)據(jù)采用水印功能，提高員工安全意識，同時對拍照泄密提供追溯功能

文檔追蹤：對審計廳內(nèi)部流轉(zhuǎn)的文件采用追蹤技術(shù)，審計文檔內(nèi)部流轉(zhuǎn)途徑，同時，對于造成數(shù)據(jù)泄露的文件可進行追蹤朔源。

6、其它安全管理。

方案價值

03

施實成果

項目適用于吉林省審計廳及下屬各市縣級單位的辦公網(wǎng)準入控制、終端安全管控、終端數(shù)據(jù)泄密后追溯，支持PC終端、啞終端、云桌面等設(shè)備的接入控制，兼容Windows、Linux等操作系統(tǒng)的接入控制。

概括來講，通過部署這套系統(tǒng)將能夠?qū)崿F(xiàn)以下的管理功能：

1.1.1. 網(wǎng)絡(luò)準入控制功能

• 全方位準入控制

完善的準入控制，可以支持局域網(wǎng)、VPN各種接入方式，支持包括HUB在內(nèi)的各種復(fù)雜網(wǎng)絡(luò)環(huán)境下的部署，保證從任何地點、任何方式下的接入安全。

• 嚴格的身份認證

除基于用戶名和密碼的身份認證外，還支持身份與接入終端的MAC地址、IP地址、所在VLAN、接入設(shè)備IP、接入設(shè)備端口號等信息進行綁定，支持智能卡、數(shù)字證書認證，增強身份認證的安全性。

• 完備的安全狀態(tài)評估

根據(jù)管理員配置的安全策略，用戶可以進行的安全認證檢查包括終端病毒庫版本檢查、終端安裝的應(yīng)用軟件檢查、是否有代理、撥號配置、U盤審計、外設(shè)管理、桌面資產(chǎn)管理等;支持和瑞星、江民、金山、Symantec、MacAfee、Trend Micro、360、卡巴斯基等國內(nèi)外主流病毒廠商聯(lián)動。外來非法設(shè)備或者具有安全隱患的終端將被移送的隔離區(qū)，只有在管理員授權(quán)或安全隱患得到修復(fù)后才能接入企業(yè)內(nèi)網(wǎng)。

• 精細化的權(quán)限控制

在用戶終端通過病毒、補丁等安全信息檢查后，可基于終端用戶的角色，向安全聯(lián)動設(shè)備下發(fā)事先配置的接入控制策略，并對未安裝防病毒軟件、存在漏洞的終端按照用戶角色權(quán)限規(guī)范用戶的網(wǎng)絡(luò)使用行為，在控制臺產(chǎn)生告警信息或禁止入網(wǎng)。終端用戶的所屬VLAN、ACL訪問策略、是否禁止使用代理、是否禁止使用雙網(wǎng)卡等安全措施均可由管理員統(tǒng)一配置實施。

• 準入故障審計信息

準入控制系統(tǒng)統(tǒng)一部署后，針對準入故障審計信息應(yīng)該做到：

1.記錄接入狀態(tài)，如果認證失敗，記錄終端準入失敗原因，提供如果認證失敗如何快速處理故障;

2.記錄設(shè)備ip\mac\設(shè)備名稱\接入時間\哪個交換機哪個端口接入等信息;

3.提供整個認證過程的windows日志進行分析;

• 多種層次的高可用性

提供雙機熱備功能，當兩臺認證服務(wù)器都故障時，啟用緊急情況下的“逃生模式”(包括自動逃生和手動逃生)，全網(wǎng)取消網(wǎng)絡(luò)準入控制，讓終端用戶不用通過準入認證就能正常接入網(wǎng)絡(luò)。

1.1.2. 終端安全管理功能

•終端資產(chǎn)及外設(shè)管理

提供對終端資產(chǎn)全方位的監(jiān)控和管理的功能，可以對終端軟硬件使用情況、變更情況進行監(jiān)控，能自動收集包括：設(shè)備名、IP地址、MAC、硬件配置、軟件配置、所屬部門、使用人、接入交換機端口信息等。對資產(chǎn)的變更信息可審計，可告警提示管理人員。同時還支持終端資產(chǎn)的配置管理和軟件的統(tǒng)一分發(fā)、遠程桌面控制，實現(xiàn)對桌面資產(chǎn)的有效管理。

提供對U盤和其他外設(shè)的管理功能，可以對終端用戶的各種外設(shè)進行控制，第一次接入內(nèi)網(wǎng)U盤需要申請注冊，由管理員授權(quán)U盤使用是否允許接入、內(nèi)網(wǎng)使用時間與范圍，將設(shè)備定位到個人，有效防止重要信息的泄密。

• 設(shè)備發(fā)現(xiàn)以及快速定位

具有設(shè)備快速定位功能。終端接入網(wǎng)絡(luò)被系統(tǒng)發(fā)現(xiàn)并予以定位的時間小于1min。可以發(fā)現(xiàn)接入設(shè)備的MAC、IP地址、所屬部門、使用人、設(shè)備類型、所在交換機端口。

• 非法外連控制與審計

對藍牙、無線、紅外、手機熱點等外設(shè)的使用進行控制，防止內(nèi)網(wǎng)用戶非法連接互聯(lián)網(wǎng)。內(nèi)網(wǎng)計算機非法連接外網(wǎng)會產(chǎn)生告警，直接禁用所有的網(wǎng)卡，直到管理員解鎖。

• 終端水印與文檔追蹤

對于屏幕顯示和打印提供水印技術(shù)，水印分為自定義明文、圖片、二維碼、矢量等多種水印方式，使用明文水印對終端使用人員警示操作行為，對廳內(nèi)重要業(yè)務(wù)數(shù)據(jù)采用矢量水印技術(shù)做到拍照泄密后定則。

提供內(nèi)部流轉(zhuǎn)文檔追蹤技術(shù)，審計內(nèi)部文件流轉(zhuǎn)途徑，對文檔的創(chuàng)建者、流轉(zhuǎn)者、泄密者進行定位和追溯;

• 靈活方便的執(zhí)行方式

按照網(wǎng)絡(luò)管理員配置的安全策略區(qū)別對待不同身份的用戶，定制不同的安全檢查和處理模式，包括監(jiān)控模式、提醒模式、隔離模式和離線模式，支持離線安全策略有效。用戶可以根據(jù)自己的實際需要，為VIP客戶、內(nèi)部員工、外來訪客等不同人群，定義不同的安全策略執(zhí)行方式。

•易于部署的客戶端

提供易于部署的客戶端，用戶可以根據(jù)引導(dǎo)自行下載客戶端，客戶端具有自保護功能不可自行卸載，可以自動升級，對用戶身份和終端安全狀態(tài)進行檢查，在用戶終端內(nèi)存占用最小化。

客戶端必須支持全省內(nèi)網(wǎng)終端各類操作系統(tǒng)，具有良好兼容性，包括但不僅限于WIN7，XP，WIN8,，WES7、XPE系統(tǒng)和桌面云的準入。支持ip電話/網(wǎng)絡(luò)打印機等啞終端的準入控制。

•其他要求

1、集中部署，一體化平臺，統(tǒng)一控制中心。

2、兼容國產(chǎn)化系統(tǒng)，同時支持現(xiàn)網(wǎng)系統(tǒng)與國產(chǎn)化系統(tǒng)并行運行。

3、平臺應(yīng)具備準入控制、終端管理以及數(shù)據(jù)防泄密等擴展功能，未來可快速擴展終端安全以及數(shù)據(jù)防泄密的功能，無需重新部署

保障客戶的機密信息受控，維護企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全性，提高客戶的信息系統(tǒng)的可用性，是聯(lián)軟不斷前進的動力。