金盾助力四川省工商局网络安全,树立准入控制行业旗帜新标杆 - 案例
我要咨询
我要试用
我要合作
联系我们
金盾助力四川省工商局网络安全,树立准入控制行业旗帜新标杆
发布时间: 2014-11-19 17:21:51
项目背景

四川省工商行政管理局是四川省人民政府主管市场监督管理和行政执法工作的直属机构,对全省工商行政管理系统实行省以下垂直管理,依法负责市场主体准入、市场行为监管执法、流通领域商品质量监管、消费者权益保护等职能。 近年来随着工商局信息化程度的提高,如何在信息网络化时代充分发挥各类先进信息管理系统和网络设备的作用,促进提高工作人员的工作效率和服务水平,强化网络管理人员应对网络内突发事件的能力,保证整个网络系统持续、健康运行成了领导们关注的焦点。在此背景要求下,建立一个全面高效系统的网络安全管理平台,便迫在眉睫。

在几年前就启用金盾CIS7网络安全管控平台,随着信息系统的不断升级和网络规模的不断扩大,对网络安全的要求也越来越全面,越来越细致,虽然前期已经部署3000点,并且也得到了很好的应用,但由于单位网络规模的快速发展,仍有近千台终端没有纳入统一的管理中来,给网络管理人员造成了不少麻烦,为此,统筹规划、统一管理,构建覆盖全网的网络安全管理平台成为四川省工商局加强单位网络内控工作的重中之重。

需求分析

四川省工商行政管理局项目的主要需求为是身份认证准入控制,非法外联管理,移动介质使用规范,IT资产管理,终端补丁管理,终端维护管理。
如何制约不允许将计算机中数据拷入到U盘, 但U盘中数据可以拷入到计算机?
如何规范管理移动存储介质的使用,防止移动存储设备的使用导致信息泄密事件?
如何及时掌控了解移动存储设备的使用操作审计记录?
如何防止多样化的U盘、移动硬盘、手机/MP3/MP4、CF/MD/SD卡、数码相机以及各类Flash Disk等移动存储介质交叉使用、病毒木马传播?
如何防止内网终端用户交叉使用内外网线?以及笔记本电脑内外网混用?
内网终端使用拨号、无线网卡、双网卡等方式接入外网?
如何合理规划IP地址使用,杜绝IP冲突,防止arp病毒的攻击?
如何对繁多复杂的终端机器问题故障修复排除?
如何及时更新终端病毒库?
能否远程对终端实现文件分发或定时分发?
如何防止越来越猖獗蠕虫、病毒和木马过操作系统的漏洞进入计算机?
如何快速全网批量更新安装大量的操作系统漏洞补丁?
如何确认您公司的每一台计算机分别需要安装哪些的补丁?
如何避免大面积出现安装补丁程序后系统或应用程序不兼容而导致系统瘫痪的事件发生?

解决方案

针对以上这些问题金盾软件提供了如下解决方案

精细化存储设备权限管理
金盾CIS控制移动存储设备的读写权限;控制数据单向流动、如:可以从U盘单向拷入到计算机硬盘,但不能从计算机硬盘拷入数据到U盘;
金盾CIS控制终端机器是否可以使用移动存储设备,支持分组、分个人、分时段;
金盾CIS可以分组、分个人、分时段注册移动存储设备,对移动存储设备存储区域进行加密处理;

金盾CIS对移动存储设备特有生物取样指纹鉴别功能,控制计算机登录系统权限,未经过指纹认证,无权限登录操作系统。

详尽的移动存储设备应用审计
金盾CIS对移动存储设备的使用情况,详细记录;
对移动存储设备的插拔、在设备中读取、访问、新建、修改、剪切、复制、重命名、移动、删除等详细记录;
对设备中的数据操作权限做以精细化控制和管理,包括读取、修改和删除。有效防止对文档的非授权操作,避免重要文档被篡改或者恶意删除;

对在修改或者删除时对数据进行自动备份,主动防御数据破坏,以防万一。

控制终端通过多网卡的非法外联
金盾CIS通过添加限制多网卡的“安全防护策略”,可以实现针对指定IP或网段的终端处于在线或离线状态时,禁止通过双网卡的非法外联行为。

如果终端用户尝试通过其他网卡进行非法外联,客户端将即时阻断该行为,并对终端进行告警通知、隔离、将该行为上报到金盾CIS告警服务器,该行为信息可以在审计结果中进行查询。

控制终端通过外设的非法外联
金盾CIS可以根据合规管理的要求,通过定制和下发禁用可能存在非法外联的外设控制策略规则到指定IP、IP段,或者指定用户或用户组,实现控制终端通过外设(例如USB、modem、无线网卡、红外线设备、串口、并口等进行)进行非法外联的行为。

在外设禁用后,如果终端仍尝试要打开禁用的外设,客户端将即时阻断该行为,并对终端进行告警通知、隔离、将该行为上报到金盾CIS告警服务器,该行为信息可以在审计结果中进行查询。

控制通过异常路由对可能的非法外联进行审计

金盾CIS提供对终端异常路由的审计功能,通过监控终端的路由信息,通过发现路由信息中异常路由信息,为合规管理提供终端可能存在的其它网络非法外联的信息或证据。

安全状态评估
终端补丁检测:评估客户端的补丁安装是否合格,包括:操作系统(Windows 98/me/2000/XP/2003/Vista/win7/2008 )。
客户端版本检测:检测安全客户端的版本,防止使用不具备安全检测能力的客户端接入网络,同时支持客户端自动升级。
终端运行状态实时检测:可以对上线用户终端的系统信息进行实时检测,发现异常客户端或被卸载时自动阻断网络,强制安装。
终端防病毒联动:主要包含两个方面,终端用户接入网络时,检查其计算机上防病毒软件的安装运行情况以及病毒库和扫描引擎版本是否符合安全要求等,不符合安全要求可以根据策略阻止用户接入网络或将其访问限制在隔离区。

端点用户接入网络后,金盾CIS定期检查防病毒软件的运行状态,如果发现不符合安全要求可以根据策略强制让用户下线或将其访问限制在隔离区。

安全接入审核
强身份认证:非授权用户接入网络需要身份认证,在用户身份认证时,可绑定用户接入IP、MAC、接入设备IP、端口等信息,进行强身份认证,防止帐号盗用、限定帐号所使用的终端,确保接入用户的身份安全。
网络隔离区:对于安全状态评估不合格的用户,可以限制其访问权限,被隔离到金盾网络隔离区,待危险终端到达安全级别后方可入网。
软件安装和运行检测:检测终端软件的安装和运行状态。可以限制接入网络的用户必须安装、运行或禁止安装、运行其中某些软件。对于不符合安全策略的用户可以记录日志、提醒或隔离。
终端授信认证:对于外来计算机由于业务需要接入内网或者访问Internet时,针对对方IP、MAC等端口做授信暂时放行。

网络安全域:可以限制用户只能在允许的时间和网络IP段内(接入设备和端口)使用网络。

终端管理便捷
通过金盾CIS IP绑定功能,可以对内网中IP合理管理,彻底解决IP冲突及盗用IP问题。发现客户端私自更改IP后,可自动修复到绑定之前的状态。
通过金盾CIS 健康状态检测和远程协助功能,可以远程对内网机器进行桌面接管控制对方机器以便对终端频繁的机器故障做修复排除。
通过金盾CIS杀毒软件管理功能,可检测网络中安装的杀毒软件版本、名称、病毒库是否为最新并升级。

通过金盾CIS远程文件分发功能,可远程即时或定时为客户端发送任何格式的程序。

智能终端漏洞扫描

自动智能漏洞扫描检测、下载终端机器缺少的漏洞补丁信息,包括:操作系统(Windows 98/me/2000/XP/2003/Vista/win7/2008 )。

准确高效漏洞修复

自动根据客户端缺少的补丁漏洞信息,自动检测补丁对终端机器兼容性后及时有效的进行补丁更新升级,无需人工干预。

漏洞修复日志报表

完整、快速地报告修复结果,包括哪台计算机需要特定的补丁、哪台计算机已经安装了补丁、哪台计算机需要进行手工修复,快速地定位不能被修复的设备,来处理特殊的需求和要求,报告已完成和正在进行的修复的日志请求。

IT资产自动发现

金盾CIS对客户端软件(软件程序信息、windows补丁信息)、硬件资产信息(主板、处理器、硬盘、内存、网卡、显卡、电源、鼠标、键盘)自动汇总提交至服务器数据库中。

IT资产查询搜索

众多的IT硬件和软件资产中,要想找到相关的设备或者软件信息,无疑是大海捞针。金盾CIS让用户很快地定位要找的IT资产信息。

IT资产视图管理

通过IT资产视图,用户可以从不同角度来查询IT资产的情况。IT资产视图为硬件资产视图和软件视图,用户可以根据所设的条件分别查询单位硬件设备和软件状况。

IT资产报表管理
IT资产报表让管理层能对现有IT资产情况有深入的了解,从而做出更准确地决策。

IT资产生命周期

金盾CISIT资产生命周期对于一个单位来讲,非常重要,特别是在做IT采购决策的时候,金盾CIS可以给IT管理人员一个清楚的全局IT资产状况,如:

采购:什么时间采购的IT资产,信息记录入库。
入库:设备到货,安装金盾CIS资产自动汇总形成明细。
维修:设备维修,IT资产的整个维修过程全程跟踪记录。
借调:设备借调,支持借调设备申请流程以及追踪设备借调返回时间。
领用:记录设备使用情况,包括哪一位员工领用了设备等信息。
折旧:支持单位的财务制度,通过年限的设定,统计个别折旧年限的设备。
报废:允许管理员通过流程,报废已经损坏不堪的机器或者年限太老的机器。

价值收益

通过部署以上解决方案,单位实际工作获得如下成效:
建立移动存储设备使用规则
灵活的场景应用,加强权限、网络管理保护整体数据安全。

降低管理成本,防止病毒木马
精细化的权限管控,杜绝移动存储设备交叉使用引发病毒木马造成网络瘫痪。

接入限制,规避信息化风险

要求用户主机在享受网络服务前达到一定的安全要求,尽量避免单个用户的网络安全隐患对整个网络构成威胁。

系统上线后,通过使用动态的准入控制功能,构建出完善的内网“安检”系统,所有接入内网的终端都需要进行身份认证和安全检查,从源头上有效减少网络安全漏洞,实现了变被动防御为主动防御。同时通过强大的运维管理可以帮助用户更好的维护网络资源,复杂的网络维护变得异常简单。通过灵活的移动存储管理,在网络内部建立完善的移动存储设备使用规则。

金盾软件与四川省工商局的再次成功合作,既体现了金盾软件多年来对政府行业用户需求的深刻理解,又是对金盾CIS7硬件产品强大功能的认可和肯定。金盾将竭力为客户提供安全、可靠、实用的网络安全管控系统,提供最优的服务。

Copyright © 2017 goldencis Inc. All rights reserved.   山东华软金盾软件股份有限公司  鲁ICP备09047076号