金盾牵手西北石油局,打造石化领域网络安全实力派 - 案例
我要咨询
我要试用
我要合作
联系我们
金盾牵手西北石油局,打造石化领域网络安全实力派
发布时间: 2016-11-25 13:48:43
项目背景

中国石化西北石油局、西北油田分公司(以下简称西北油田局)是中国石化上游发展较快的油田企业之一,主要从事油气勘探、开发与油气销售业务。局、油田分公司合署办公,总部机关和科研院所设在美丽、富饶的新疆维吾尔自治区首府乌鲁木齐市,主要油气勘探开发油区为塔河油田,并在巴音郭楞蒙古自治州轮台县建立了前线生产指挥基地。

需求分析

随着石油局业务的不断拓展、规模的不断扩大,无论是办公还是其他方面,相继采用各种先进现代化技术,信息化程度越来越高,对计算机及网络的依赖性也越来越大。
在享受信息化带来的巨大好处的同时,各种困扰也相伴而来,目前西北石油局的主要需求是:
1.外来计算机非法接入,造成内部网络危害和重要数据泄密;
2.控制数据通过外设端口(U盘、光盘、磁带)、邮件、即时通讯工具(QQ、TM、MSN)、U盘等移动存储设备、拆卸硬盘等造成的数据泄密。

解决方案

1.准入控制、身份认证,安全接入审核
强身份认证:非授权用户接入网络需要身份认证,在用户身份认证时,可绑定用户接入IP、MAC、接入设备IP、端口等信息,进行强身份认证,防止帐号盗用、限定帐号所使用的终端,确保接入用户的身份安全。
网络隔离区:对于安全状态评估不合格的用户,可以限制其访问权限,被隔离到金盾网络隔离区,待危险终端到达安全级别后方可入网。
终端授信认证:对于外来计算机由于业务需要接入内网或者访问Internet时,针对对方IP、MAC等端口做授信暂时放行。
网络安全域:可以限制用户只能在允许的时间和网络IP段内(接入设备和端口)使用网络。
2.安全状态评估
终端补丁检测:评估客户端的补丁安装是否合格,包括:操作系统(Windows 98/me/2000/XP/2003/Vista/win7/2008 )。
客户端版本检测:检测安全客户端的版本,防止使用不具备安全检测能力的客户端接入网络,同时支持客户端自动升级。
终端运行状态实时检测:可以对上线用户终端的系统信息进行实时检测,发现异常客户端或被卸载时自动阻断网络,强制安装。
终端防病毒联动:主要包含两个方面,终端用户接入网络时,检查其计算机上防病毒软件的安装运行情况以及病毒库和扫描引擎版本是否符合安全要求等,不符合安全要求可以根据策略阻止用户接入网络或将其访问限制在隔离区。
端点用户接入网络后,金盾CIS全面网络安全系统定期检查防病毒软件的运行状态,如果发现不符合安全要求,可以根据策略强制让用户下线或将其访问限制在隔离区。
3.图档管控、数据加密
强制加密:
软件预置大量常见格式,特殊格式可自定义,对单位内网终端任何文件加密,即使发到外网数据,在没有金盾客户端的情况下无法正常使用,强制打开将以乱码方式显示,看不到文件的明文。这也是杜绝泄密的有效办法,从泄密文件根源上来解决问题。
智能加密:
可根据用户自主设定的一个或多个涉密信息关键字、正则表达式、指纹等进行扫描,并将在终端发现的涉密信息进行加密或者销毁等操作,避免因涉密信息不慎外泄带来的风险;并对扫描信息进行记录,方便查询。
透明加密:
采用文件过滤驱动内核级强制透明加解密技术,不影响用户的原有使用习惯。安装客户端的用户在使用文件时,用户终端自动将文件实时加解密。
丰富文件外发途径:
文件交互途径支持审批流程,邮件外发,受限外发,手动解密等。
4.精细化存储设备权限管理
禁用USB存储设备,保证不经管理员授信的设备无法使用;
控制移动存储设备的读写权限;
控制数据单向流动,如:可以从U盘单向拷入到计算机硬盘,但不能从计算机硬盘拷入数据到U盘;
创建加密U盘,使U盘内的文件在外部终端上无法使用,避免由于有意或者无意的U盘丢失造成的泄密。
5.详尽的安全审计
对移动存储设备的使用情况,详细记录;
对移动存储设备的插拔、在设备中读取、访问、新建、修改、剪切、复制、重命名、移动、删除等详细记录;
对终端文件操作进行详细记录;
对邮件内容及附件进行详细记录。

价值收益

1.接入限制,规避信息化风险
要求用户主机在享受网络服务前达到一定的安全要求,尽量避免单个用户的网络安全隐患对整个网络构成威胁。
2.保护知识产权,杜绝图档外泄
财务报表、设计图纸、客户资料等,都是激烈竞争中来之不易的成果,保护信息全生命周期的安全,从而保护企业竞争力。
3.避免法律和商业等风险
信息的泄漏不仅使企业损失巨额的财产,还可能带来法律上、商业上的风险。保护网络安全,有效避免法律商业风险。

Copyright © 2017 goldencis Inc. All rights reserved.   山东华软金盾软件股份有限公司  鲁ICP备09047076号