网络安全管理需求
随着现代信息化的高速发展,在政府机关单位、军工军队部门、各行业机构及企业集团内部都应用了信息化办公平台。信息平台的开放性、广泛性、高效性等特点可以提升各单位的竞争能力和事务处理效率。
我们知道,很多单位拥有大量的计算机终端,然而在众多上网人员日常办公时,由于终端计算机缺乏统一有效的管理手段或者因为上网人员保密意识薄弱,再加之各种病毒、网络黑客等的恶意破坏和攻击等原因,将会使员工因办公时间滥用网络资源引起其工作效率下降,或者引发有意、无意的信息窃密、泄密事件,严重威胁了各单位计算机系统及信息安全。
因此,有效地保护单位内部信息安全成为现代信息化管理的一项重点任务。管理者目前更亟需结合专业的技术手段和相关IT产品来整合解决以上问题。
最有效管理手段的出台
随着安全威胁正由单纯网络威胁向应用和数据演进,同时市场格局正在发生着巨大的变化,网络安全、内容安全与终端安全技术的融合是未来安全市场的发展趋势,任子行网络技术股份有限公司凭借在这三个领域的良好基因,快速升级内容安全与行为审计全线产品,以“一个中心、多个融合点”为目标,通过统一的管理中心,使上网行为管理、终端准入及监控、文档传输加密、文档备份与留存等方面有机整合和无缝集成,为信息平台的使用者和管理者提供了一个综合解决网络终端、用户行为、网络通信、应用系统、数据库安全等一系列安全隐患的一整套最领先、最全面、最可控的安全防护与统一管理平台。
解决方案
紧密围绕合规,以终端计算机为管理对象
通过“认证识别管理、终端安全管理、细粒审计管理、桌面合规管理、文档传输管理、外设防泄密管理”,全面突破了“单一、被动” 的网络安全管理旧模式,通过信息安全整体解决方案,开创了“主动防护、纵深监管、合法合规”的网络安全管理新纪元。
审计内容可以只限定为与网络合规管理相关的信息,保证在达到合规管理审计要求的前提下,充分保护终端用户个人隐私。
任子行互联网管理与终端安全系列融合产品之间可以无缝连接,集成应用,达到既统一又独立的管理效果。
方案描述
实名验证 准入控制
在认证识别上,方案遵循“严格认证,实名上网”的“入门”规则,设定 “安检门”,通过多种对象识别技术,确保只有通过身份验证的终端才能允许“进门”,实现对单位内部数量庞大的用户身份精准识别,实现“信息也有身份证”的认证理念,从源头上保障网络安全的准入控制。
具体安检手段包括:
1、实名注册:通过管理控制平台配置用户账户、卡片、实名信息等进行设置,实现登录账户实名制。
2、多认证方式:系统支持用户名和密码、刷卡、USbkey等识别认证方式;系统支持的用户识别配置分为透明识别和认证识别,识别类型有12种之多,包括IP、MAC、PPPOE、AD域、POP3、Radius、LDPA、ESMTP等各种认证,灵活、详细,全面支持各种网络应用环境。
3、多模式认证:系统支持Windows普通模式和Windows域用户模式。
4、授权管理:系统支持工作组授权、账户管理、IP和MAC捆绑等管理;从而满足一个用户账户可以在固定机器使用,也可以在非固定的机器上使用。
5、记录认证日志:系统可记录登录账户信息,即登录账户名、登录计算机IP地址、登录计算机名称、登录/登出时间等信息。
主动防御 有力监控
1、内置强大的终端安全控制引擎:采用IP控制、网络访问控制、流量控制、文件传输控制等手段,实现了针对终端的威胁主动防御和网络行为控制,从而保证终端双向访问安全、行为受控;同时,能够监控和管理第三方防病毒软件等恶意代码查杀工具,协同构建终端主动防御体系。系统可以实现对站点(含分类站点)访问、邮件收发、文件传输(下 载、上传、邮件转发、即时通讯工具发送)、网络游戏、音视频、股票财经、P2P下载、即时通讯、远程登录、网络端口等网络活动的全面监控。
2、流量控制:从网络底层技术入手,分析大量占用资源的通信应用,发现后予以限制,可以有效的限制BT等P2P软件,不会妨碍网页等的浏览速度,实时分析用户的各项网络传输内容及行为合法性,对其流量进行限制或禁止,全面提高网络使用价值。
3、文件传输控制:系统对设定的文件类型实现传输控制,监控用户对文件的打开、修改、新建、删除、重命名、复制等操作行为,也可指定盘符、文件类型、目录进行监控;系统提供关键字设置控制,对于设定的关键字包含在文件中,则在文件传输被阻止;从而保证敏感文件不被外发。
全面监控 旨在合规
系统确保100%的终端部署并运行任子行客户端软件,使得管理员始终拥有具备执行力的管理手段,实现对单位IT资产、操作系统补丁及桌面运行软件的合规管理。
具体管理功能如下:
一、终端锁屏:
(1)终端锁屏:系统支持开机锁屏、用户注销锁屏、屏保锁屏功能;
(2)屏幕解锁:系统提供刷卡解锁屏幕功能,即用户在计算机终端刷卡后才可以解锁屏幕而进行其它操作;
(3)解锁认证方式:系统支持本地和远程认证解锁模式,以保证终端计算机不被非法用户登录;
(4)卡片授权:系统提供卡片授权保护功能,即非授权卡片不能登录到终端操作系统;
(5)日志记录:系统详细记录解锁屏幕的卡号、用户账户、计算机IP、计算机MAC地址、计算机名称、刷卡解锁时间等信息。
二、信息提醒
(1)提醒信息设置:系统管理控制平台提供信息设置功能,可以根据模板或者自定义的方式设置文字内容、背景图片;
(2)信息警告:管理控制平台可以对选定的计算机或者所有计算机发送消息,以起到安全警告或者通知功能。
三、桌面屏幕监控
通过桌面监控可以让您及时了解到用户对终端的操作行为,比如鼠标移动、键盘操作、网络的访问、文件及文件夹的打开、应用程序开启等;
(1)桌面录制:系统可以录制被监控计算机桌面的所有操作时间,可以设置录制时间、录制文件的存储格式(默认为WMV);
(2)桌面录制回放:系统提供回放功能,可以播放屏幕录制文件,为时候审核提供检查依据;
(3)日志记录:系统记录桌面监控的计算机IP地址、当前用户账户、监控的时段(开始和结束时间)、文件存储路径、大小等内容。
四、进程管理
(1)进程管理:通过管理控制台设置进程黑白名单,当进程文件被设置为黑名单后,在终端计算机上就不允许运行;只有管理员重新设置才可以在终端上运行进程文件;
(2)日志记录:系统提供进程监控、设置、报警等内容记录,为系统审计和统计提供数据。
合规效果 全面检验
审计的意义不仅仅是对以事件驱动为特征的追本溯源,更是改进网络安全管理状况的良好保证。该平台可以提供强大的终端行为审计功能,包括:
1、多方位网络活动行为审计:系统提供协议分类审计、用户及用户组审计、时间范围审计;比如可以根据协议类型进行某一个部门或所有部门进行查询和统计,从而了解到该协议下的用户活动行为(状态和数量),也可以根据某一个组或者某一个用户网络活动行为;也可以根据时间条件,了解用户该段时间范围内的网络活动行为;
2、网络活动行为报警:系统提供网络活动行为报警设置,当某一个用户或某用户组的网络活动异常,则系统自动报警而告知管理员;
3、详细的日志记录保存:系统详细的记录网络活动信息,比如计算机的源IP地址和端口、目的IP地址和端口、用户账户、时间、网络活动类型、网络活动内容等信息,并根据相关政策规定,在期限内对日志进行保存。
内外监管 疏而不漏
系统可全面监控以防止非授权人员随意使用单机的各种接口、外设拷贝信息、打印从而泄露重要机密信息。
1、存储设备管控:系统可以对USB存储设备(U盘和移动硬盘)、光驱(含刻录机)、软驱进行限制,提供禁止和启用功能;其中USB端口的键盘和鼠标不进行控制;
2、设备端口管控:提供“禁止和启用”功能;支持串口、并口(打印端口)等进行管控;
3、立即生效功能:针对被控制的设备和端口,设置完成后立即会生效,无需再重新启动计算机;
4、日志记录:系统记录外设设备安全策略配置、配置人、配置时间、生效时间等信息。
典型的应用效果
1、具备完整的控制检查点,具备有效的执行力和卓越的安全性。
2、具备强大的可靠性、可扩展性及高度的稳定性。
3、确保100%的终端接受管理监督,有力促进网络安全状况持续改善。
4、产品可按域、部门、工作组和策略类型对终端分组管理,全面提升网络管理员的工作效率。
- 适用范围及行业:政府及机关、教育、金融、军工、军队、医疗、电信、制造业、能源等。对于小型、中型、大型及超大型网络管理(涉密网与非涉密网)。采用多 级分布式结构,系统各级管理中心建立了良好的调度和通信机制,管理权限层层下发,管理逻辑清晰明确。