四川省某监狱金盾网络安全建设案例分析 - 案例
我要咨询
我要试用
我要合作
联系我们
四川省某监狱金盾网络安全建设案例分析
发布时间: 2016-12-17 14:37:31
项目背景

面对监狱体制改革的大潮,为了适应新形势下监狱工作的需要,推进监狱“三化”工作,提高改造质量,加大监管力度,某监狱党委领导审时度势,提出借助发展迅猛的信息技术,围绕监狱系统的各项管理和业务工作,设计为新建监狱建立以计算机网络技术、通讯技术、电子技术应用为支撑的监狱管理信息化工作平台,应用一体化的集成管理信息系统,构造监狱管理的可执行环境,建设好以智能化、信息化为特征的信息化监狱,将以此来保障监狱改革的顺利进行,从而为监狱长治久安的管理和发展奠定坚实的基础。

需求分析

(一)就入网终端整体的安全性而言,对许多网络接入终端没有统一的安全规范标准,终端的整体安全性无法确定,致使整个内网的安全性存在隐患。
(二)外来计算机随意接入内网,而对外部接入终端的安全性未知。一方面,终端设备上带有的病毒、木马等,有可能会散布到内部网络之中,造成极大危害;另一方面,因为外部人员身份的不确定性也会给内网造成很大威胁。若只依靠人工方式检查,不仅缺乏实时性和可控性,成本高、效果差,而且一旦出现事故也很难追查具体事源。
(三)外部设备的难管理性,如U盘的乱插、乱用、乱拷贝文件,wifi设备随意共享办公网络,手机、打印机设备的随意使用等,都使本已布满漏洞的终端更加千疮百孔。
(四)制度落实不彻底。尽管内网也已经有了关于网络安全规范及终端规范使用的种种制度,但是一直以来总有些终端不符合规范、未有效管理,制度的执行力度大打折扣,不规范的行为和现象依然存在,给网络维护和管理工作也带来了极大的不便。
(五)工作人员通过小WIFI工具等方式绕过防火墙的监控直接连接外网,向外部敞开了大门。一方面,攻击者或病毒可以通过无线进入单位内网,使得单位内网的IT资源暴露在外部攻击者面前;另一方面,内部工作人员可能通过这种不受监控的网络通道将单位的商业机密泄漏出去,给单位带来社会经济损失,却又不易取证。如何杜绝此类情形,是网络管理员头疼的问题。
(六)维护人员工作量大,接入内网的终端发生一点小问题,终端使用者就会联系维护人员处理,而维护人员不得不在各个楼层之间奔波,造成工作效率低、工作量大的问题。如果使用系统自带的远程桌面功能,需要指导终端用户进行一些列的设置,而开启远程桌面是存在非常大的安全危险的。
(七)IT资产信息的统计难,所有分发出去的电脑,只知道是谁领用了,对设备情况及其所在位置需要查询单独的资料,无法做到人员对应和时时查看,还有就是终端的维修记录。

解决方案

金盾CIS全面网络安全系统现了准入控制身份认证、非法外联管理、移动存储介质管理等功能。采用旁路方式部署在内网,内网核心交换机采用双链路双活模式工作,每台核心交换机各做一个镜像口接入到系统。这样,就可以实现对网络的管控,提高整个网络的安全性、终端的安全性,增强维护人员运维实力。
1、准入控制、身份认证
通过部署准入控制系统,防止不安全终端导致的内网大面积堵塞和瘫痪,杜绝内部人员违规的网络行为,杜绝非法终端进行非法访问,只有合规受控的终端才能够获得相应的访问权限。同时,对每个接入网络的终端进行了接入审核,确保终端安装了最新的防病毒软件,重要补丁及时更新等。
2、移动存储管控
对内部重要数据的传输进行有效控制,尤其需要对内部网络中移动存储介质的使用进行严格管理,保证网内信息资产、涉密信息等不流失到非授权的移动存储介质中,实现移动存储设备信息安全的“五不”原则,即:进不来、拿不走、读不懂、改不了、走不掉。
3、有效的追踪审计系统
对终端用户的所有操作行为记录并审计,方便管理层清楚的了解到终端用户的所有操作行为并生成各项统计报表,帮助管理层洞察到可能的危险趋向,使得办公人员自觉遵守安全制度,同时,还能为泄密事件提供强有力的追踪依据。
4、终端安全
网络规模的不断扩大(几百台甚至几千台PC),随意共享文件、全屏截图、浏览器代理、安装各种黑客软件,这些行为无疑使得单位内部资产在不知不觉中流失,也给网管人员增加繁重的工作量。通过金盾CIS全面网络安全系统,可限制文件共享、截图、安装新软件、禁用注册表、禁用多系统、禁止添加账户、禁止修改计算机名、统一桌面壁纸等多种功能,不仅保障了终端安全,还统一了管理。
5、网管工具
由于终端使用者计算机水平参差不齐,运维管理系统应为身在异地的网络管理人员解决远端日常终端故障、提供快捷工具,保证业务正常开展。金盾CIS全面网络安全系统,提供多种网管工具,提升运维效率,保障业务系统持久运行。
6、终端违规外联管理
金盾违规外联管理方案,主要分为事前预防、事中阻断、事后溯源三个方面;事前,可以有效的对终端可能的外联途径进行封堵,例如多网卡、3G上网卡等方式;事中,对终端的网络连接状态进行实时检查,当检查到违规外联互联网时,可以实时向管理员发送报警邮件,同时对其网络访问进行隔离或关机;事后,当违规终端连回内网后,终端电脑能够将违规外联的日志发回服务器,方便管理员进行事后审计。
7、IT资产管理
金盾CIS全面网络安全系统对客户端软件(软件程序信息、windows补丁信息)、硬件资产信息(主板、处理器、硬盘、内存、网卡、显卡、电源、鼠标、键盘)自动汇总提交至服务器数据库中。

价值收益

 (一)完善的审计追踪系统,做到事前预防、事中控制、事后溯源。使工作的目的不在于管控任何人,而在于保障一个完整、健康的网络工作环境。
(二)实现网络接入限制,规避信息化风险。对接入的终端进行认证,杜绝非法用户的随意接入,保障全网安全规范化管理。
(三)更为科学的管理U盘、移动硬盘等移动存储介质,既确保了办公的正常使用,又规避了移动存储的弊端,为数据安全提供保证。
(四)内部终端技术管理,严格规范终端行为,推动单位内部软件正版化工作。
(五)规范和简化了维护人员日常的工作,方便又实用的远程维护工作,简化了网维人员的日常工作,提高了工作效率。
(六)实现了违规外联的管理,有效控制了内网电脑全生命周期均不可接入外网环境中,为内外网隔离政策提供了技术上的强制性保障。
(七)健全和完善网络信息化系统,金盾软件能有针对性、实效性的监视网络性能,而且有强大的应急处置能力和协调处理能力,确保在网络安全紧急事件发生时能够主动预防、准确判断、快速反应和有效应对,尽可能避免或减少网络安全突发事件对经济社会发展带来的影响和破坏。
(八)通过部署金盾CIS全面网络安全系统可以有效防范和应对各种网络安全问题。加强了网络安全技术平台建设,实现对网络安全运行情况的全方位监控,提高网络安全事件的异常发现能力和分析能力,确保骨干通信网络和重要信息系统的安全可靠。
(九)有效的对终端IT资产和软件资产进行一键统计,一旦发生变化进行报警。

Copyright © 2017 goldencis Inc. All rights reserved.   山东华软金盾软件股份有限公司  鲁ICP备09047076号