湖南省国土资源厅金盾网络安全产品案例分析 - 案例
我要咨询
我要试用
我要合作
联系我们
湖南省国土资源厅金盾网络安全产品案例分析
发布时间: 2016-11-12 16:36:20
项目背景

随着国家对政府机构信息化建设的日益重视,目前湖南省国土资源厅内部已建成相应规模的计算机网络,并且在网络内部也运行着如OA系统、电子政务系统、门户网站等多个系统。湖南省国土厅内部分为两套网络,大楼内部各科室通过政务信息系统进行日常工作和管理。通过涉密网传输涉及国家机密或内部机密的信息。但是目前内网接入计算机依然存在种种不符合网络安全管理规范的情况,包括电脑自身的整体安全性低下(如杀毒软件未安装、补丁未及时更新等),另外,一些外来人员使用计算机接入到内网也无法进行入网规范管理,这都给内网带来了很大隐患,使内网整体的安全性受到很大威胁。

湖南省国土资源厅在使用办公信息化带来的丰富资源的同时,也面临着来自互联网的安全威胁。国土资源厅是主管全省土地资源、矿产资源和房产管理的市政府工作部门。一旦网络安全出现问题,就可能给国家和社会造成不可估量的损失。为此,湖南省国土资源厅希望尽快找到一个全面的安全解决方案,来解决其网络办公的各种安全问题。

需求分析

(一)入网终端整体的安全性对于许多入网接入终端没有统一的安全规范标准,终端的整体安全性无法确定,致使整个内网的安全性存在隐患。

(二)外来计算机随意接入政务内网,但是外部接入终端安全性的未知,有可能将终端设备上带有的病毒、木马等散布到内部网络之中造成极大危害;另一方面,因为外部人员身份的不确定性也会给内网造成很大威胁。如果依靠人工方式检查,缺乏实时性和可控性,成本高、效果差,且一旦出现事故也很难追查具体事源。

(三)外部设备的难管理性。如U盘乱插乱用拷贝文件、WiFi设备随意共享办公网络、手机、打印机等设备的使用,使本已布满漏洞的终端更加千疮百孔。

(四)制度落实不彻底。尽管内网也已经有了关于网络安全规范及终端规范使用的种种制度,但是一直以来总有些终端不符合规范,未有效管理,制度的执行力度大打折扣,不规范的行为和现象依然存在,给网络维护和管理工作也带来了极大的不便之处。

(五)工作人员通过小WiFi工具等方式绕过防火墙的监控直接连接外网,向外部敞开了大门,使得单位内网的IT资源暴露在外部攻击者面前,攻击者或病毒可以通过无线进入单位内网;另一方面,内部工作人员可能通过这种不受监控的网络通道将单位的商业机密泄漏出去,给单位带来社会、经济损失但又不易取证,如何杜绝此类情形,是网络管理员头疼的问题。

解决方案

金盾CIS桌面终端安全管理平台实现了准入控制身份认证、非法外联管理、移动存储介质管理等功能。采用旁路方式部署在政务内网,政务内网核心交换采用双链路双活模式工作,每台核心交换各做一个镜像口接入到金盾CIS桌面终端安全管理平台。涉密网采用单核心交换单链路工作模式,只需在核心交换做镜像口接入到金盾CIS桌面终端安全管理平台,实现对网络的管控,提高整个网络运维实力的要求。

准入控制、身份认证
通过部署准入控制系统,防止不安全终端导致的内网大面积堵塞和瘫痪,杜绝内部人员违规的网络行为,杜绝非法终端进行非法访问,合规受控的终端才能够获得相应的访问权限,同时对每个接入网络的终端进行了接入审核,确保终端安装了最新的防病毒软件,重要补丁及时更新等。
移动存储管控
对内部重要数据的传输进行有效控制,尤其需要对内部网络中移动存储介质的使用进行严格管理,保证网内信息资产、涉密信息不流失到非授权的移动存储介质中,实现移动存储设备网络安全的“五不”原则,即:进不来、拿不走、读不懂、改不了、走不掉。
有效的追踪审计系统
对终端用户的所有操作行为记录并审计,方便管理层清楚的了解到终端用户的所有操作行为并生成各项统计报表,帮助管理层洞察到可能的危险趋向,使得办公人员自觉遵守安全制度,同时还能为泄密事件提供强有力的追踪依据。
终端安全
随着公司网络规模的不断扩大(几百台甚至几千台PC),随意共享文件、全屏截图、浏览器代理、安装各种黑客软件,公司内部资产在不知不觉中流失,也给网管人员增加繁重的工作量。通过金盾终端安全功能模块,可限制文件共享、截图、安装新软件、禁用注册表、禁用多系统、禁止添加账户、禁止修改计算机名、统一桌面壁纸等多种功能,不仅保障了终端安全,还统一了管理。
网管工具
由于终端使用者计算机水平参差不齐,运维管理系统应为身在异地的网络管理人员解决远端日常终端故障提供快捷工具,保证业务正常开展。金盾终端安全管理系统提供如下网管工具,提升运维效率,保障业务系统持久运行:
远程调试:管理员可以快速连接到远程终端,并对终端进行实时控制;
远程关机:管理员可以快速关机或者定时关机,以降低能耗;
文件分发:管理员可以设置定时、即时向终端用户推送应用程序或文件,并设定终端接收完毕后是否运行或弹出提示信息。
终端违规外联管理
金盾NACP违规外联管理方案,主要分为事前预防、事中阻断、事后溯源三个方面;事前,可以有效的对终端可能的外联途径进行封堵,例如多网卡、3G上网卡等方式;事中,对终端的网络连接状态进行实时检查,当检查到违规外联互联网时,可以实时向管理员发送报警邮件,同时对其网络访问进行隔离或关机;事后,当违规终端连回内网后,终端电脑能够将违规外联的日志发回服务器,方便管理员进行事后审计。

价值收益

(一)满足国土系统网络安全管控体系的建设要求,提升国土系统安全管理能力和运营效率,打造服务型政府。

(二)通过部署金盾全面网络安全系统可以有效防范和应对各种网络安全问题。加强了网络安全技术平台建设,实现对网络安全运行情况的全方位监控,提高网络安全事件的异常发现能力和分析能力,确保骨干通信网络和重要信息系统安全可靠。

(三)完善的审计追踪系统,做到事前预防、事中控制、事后溯源。使工作的目的不在于管控任何人,而在于保障一个完整、健康的网络工作环境。

(四)健全和完善网络信息化系统,软件能有针对性、实效性的监视网络性能,而且有强大的应急处置能力和协调处理能力,确保在网络安全紧急事件发生时能够主动预防、准确判断、快速反映和有效应对,尽可能避免或减少网络安全突发事件对经济社会发展带来的影响和破坏。

(五)实现了违规外联的管理,有效控制了内网电脑全生命周期均不可接入外网环境中,为内外网隔离政策提供了技术上的强制性保障。

Copyright © 2017 goldencis Inc. All rights reserved.   山东华软金盾软件股份有限公司  鲁ICP备09047076号