金盾助力河北移动网络安全事业,为河北移动通讯撑起保护屏障 - 案例
我要咨询
我要试用
我要合作
联系我们
金盾助力河北移动网络安全事业,为河北移动通讯撑起保护屏障
发布时间: 2014-11-21 11:50:41
项目背景

河北移动是中国移动根据《中华人民共和国外资企业法》在河北省设立的全资运营子公司。河北移动拥有一个全省覆盖范围广、通信质量高、业务品种丰富、服务水平一流的通信网络,网络规模和客户规模列河北全省第一。 随着河北移动信息化程度的日益提高,各地市分公司网络建设范围不断扩大,网络结构也日趋复杂,而各个地市终端操作人员的电脑水平良莠不齐,这使得移动业务内网存在着诸多的安全隐患。因此,河北移动迫切需要一款产品,实现对其网内终端的身份及安全状况进行检查,并在检查的同时实现对终端电脑存在的危险项进行自动修复,保障终端始终以安全合规状态接入网络;同时,由于移动通信业务是涉及民生的基础性业务,如何确保终端操作人员在业务操作过程中数据的保密性,避免发生客户信息资源外泄的情况,也是网络建设者急需解决的问题。

需求分析

如何实现对入网终端进行有效的身份认证,且当终端在网内环境中时,对其安全性、合法性进行实时监控?

如何禁止外来人员的私自接入,保护核心业务系统不被未经授权的终端访问? 

如何防止业务系统线上数据和线下数据在合法获取处理过程中,被有意或无意的操作造成泄密? 

如何防止通过U盘的任意使用造成的数据泄漏?

如何防止非法外联导致的数据泄漏问题?

如何实现分散的终端统一管控,既保证网内终端的安全性,又提高运维人员的工作效率?

解决方案

针对河北移动的问题,金盾软件提供金盾NACP解决方案来满足其需求。在部署时,采用一台金盾服务器部署在网络内核心的服务器交换机上,通过在双核心交换上的端口镜像功能,实现对服务器访问的合法性访问控制,进而通过客户端安装的插件,实现对终端电脑下发一系列数据防泄密策略和安全行为规范策略。

入网身份认证

通过服务器的身份认证、准入控制功能,可以对入网终端的网络访问行为进行监视并过滤。禁止非法终端对4A等服务器进行访问,只有身份认证通过的终端才能继续进行下一步的入网安全状态评测;身份认证时,为防止对合法终端的非法冒用,金盾产品客户端插件安装时,会为每台终端生成一个全球唯一的标识(ID),既非法终端即使仿冒了合法终端的MACIP、计算机名等信息,依然无法入网,有效防止了冒用入网的问题。

终端安全状态评测

入网终端进行身份验证通过后,客户端插件可以对入网终端的安全状态进行检查,包括检查是否安装杀毒软件、是否禁用Guest帐户等涉及系统安全运行的目,检查通过的终端才能访问业务服务器。

施加安全策略

终端身份认证及评测合格后,金盾NACP对终端电脑施加安全策略,包括禁止使用USB接口、禁止连接WiFi上网、资产变化报警等功能,通过一系列的安全规范策略,提高业务终端电脑的整体安全性。

数据防泄密管理

安装NACP管理插件后,通过NACP系统的数据隔离沙箱功能,可以为每一台入网终端生成一个“绝对”安全的数据沙箱桌面。生成此桌面后,通过一系列的策略设置,实现只允许终端电脑在此沙箱桌面内操作线上和线下业务数据的功能。沙箱桌面是一个与原始桌面完全隔离的安全的数据处理环境,在沙箱桌面内处理的数据,无法将线上业务数据通过复制、粘贴的方式拷贝至原始桌面使用;在沙箱环境内存储的业务数据,无法通过分区拷贝、桌面拷贝、网络发送、外设拷贝等方式带离沙箱存储,从而实现对数据存储安全隔离的目的。同时,针对可能发生的打印、拍照等造成泄密的情况,沙箱隔离系统支持对终端电脑施加水印策略。施加策略后,打印或拍出的照片中将含有数据流出终端相关信息,便于事件的倒查溯源。 

USB管理使用规范 

金盾NACP产品USB管理解决方案主要可以对终端电脑的外设使用进行规范,例如可以禁止使用U盘、光驱、打印机等外设,同时,因为现阶段USB接口设备众多,金盾USB管理解决方案通过三个方向的功能配合实现对USB接口的全方位管理。1、禁用。支持对USB接口全部禁用、仅USB存储禁用、USB读写禁用;2、认证。USB外设认证、U盘加密认证、U盘非加密认证;3、审计。USB存储插拔认证、USB存储内文件操作认证。

远程终端维护

为简化管理员的日常管理,金盾NACP产品内集成资产统计与报警、文件分发、终端远程调试等功能,通过同一平台内一系列辅助功能的使用,既提高了网内终端的整体安全性,又提高网络维护人员的日常维护效率。 

终端违规外联管理

金盾违规外联管理方案,主要包括事前预防、事中阻断、事后日志倒查三个方面。事前,可以有效对终端可能的外联途径进行封堵,例如多网卡、3G上网卡等方式;事中,对终端的网络连接状态进行实时检查,当检查到违规外联互联网时,可以实时向管理员发送报警邮件,同时对其网络访问进行隔离或关机;事后,当违规终端连回内网后,终端电脑能够将违规外联的日志发回服务器,方便管理员进行事后审计。

价值收益

1、实现了对服务器的安全访问,有效杜绝了未经允许的终端非法访问服务器资源现象的发生;

2、实现了全网终端安全状态的同查同测,使管理员能够实时掌握网内终端电脑的安全状况,使网络安全又上一个台阶;

3、通过一系列的技术手段的配合,降低了内网终端违规连接互联网造成的泄密风险,提高了用户数据在网内存储的安全性;

4、通过NACP产品功能的应用,有效为河北移动的USB使用规范制度提供了技术上的强制保障手段,规范了内网USB接口的使用,提高了管理质量;

5、通过便于网络运维的辅助功能的使用,提高了运维人员日常的网络维护效率。

Copyright © 2017 goldencis Inc. All rights reserved.   山东华软金盾软件股份有限公司  鲁ICP备09047076号