<nav id="guskm"></nav>
  • <menu id="guskm"><strong id="guskm"></strong></menu>
    首页 解决方案 典型案例 行业新闻 资质荣誉 产品中心 关于我们
    您所在位置 > 首页 > 解决方案 > 政府行业解决方案
    解决方案 / Solutions
    政府行业解决方案
    北京市政管理委员会局域网审计、终端管理软件更新项目 点击下载


    项目背景

     

    1.上网行为审计系统

    北京市政管理委员会是采用内部网络地址与互联网网络地址转换方式为用户提供互联网接入服务的,能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系,记录、跟踪网络运行状态,监测、记录网络安全事件。用户上网行为审计设备应采用旁路方式或桥接方式接核心交换机端口,实时分析网络数据,从而实现上网行为审计。所有有关的用户上网数据都将形成报表,存储在内置数据中心,并至少保存60天,为单位提供方便快捷的日志查询工具。

    能够进行网络流量分析,网络层流量分析、应用软件流量分析、P2P流量分析。能够记录用户上网行为,邮件记录、细分化的Web记录、细分化的IM记录、细分化的P2P记录等。记录的内容中要能获取计算机名称、IP地址、MAC地址等信息。记录、跟踪网络运行状态,监测、记录网络安全事件等安全审计功能。在公共信息服务中发现、停止传输违法信息,并保留相关记录。

    能够与北京市政管理委员会内网部署MAS移动代理服务器进行短信对接, MAS移动代理服务器采用MySQL数据库,通信地址是192.168.2.9:3306,各信息系统通过往mas库里的api_mt_11表中插入数据的方式,发送短信。上网行为审计系统应通过北京市政管理委员会统一的短信发送平台,发送验证短信。

     

    2.局域网终端管理软件

    1)系统安装需求

    在现有服务器上安装新局域网终端软件服务器端,支持利用域服务器推送管理软件的客户端。

    2)需求实现

       a) 终端资产管理

    资产管理?樽远占没T设备的软、硬件配置信息,并自动与终端注册信息进行绑定。支持的硬件信息包括:计算机终端的BIOS参数、CPU型号、内存数量、硬盘序列号、硬盘类型、硬盘容量及分区、主板序列号、显卡类型、各种外设等信息;软件信息包括操作系统、安装软件等;并能够及时提供终端软件和硬件变更事件并进行告警。

    能够生成计算机名称、用户、IP、MAC统计表。终端管理软件应可以向用户开放数据库,方便用户自己写程序,做私人资产表的二次开发。

    能够自动识别和区分终端类型是台式机或笔记本电脑,方便用户根据终端类型进行分类管理和查询与统计。能够自动识别和区分存在多网卡的终端,方便用户对非法外联行为进行控制。为管理员进行系统维护、技术支持、软件部署等提供准确的信息。

       b) 远程桌面

    支持用户主动发起的远程协助,;び没б,可设定管理员的远程支持范围,支持无客户端的终端的远程协助请求,能够从Web控制台下载实时生成的客户端,自动向特定的管理员发起请求。

       c) 补丁管理

    补丁管理自动帮助计算机终端及时安装最新的Windows操作系统的Service Pack或安全更新,IE浏览器相关补丁和Windows应用程序补丁。

       d) 终端外设管理

    员工随意使用PC周边设备可能导致敏感资料外泄或病毒广泛传播。终端管理软件外设管理应能够灵活控制和监控计算机终端硬件资源的使用情况,比如控制计算机终端的并口、串口、移动存储设备、MODEM拨号、蓝牙、USB等外设的使用情况,能够自动收集终端曾经使用过的USB设备的历史记录,并能够单独禁用无法确定其用途的USB设备,保障USB接口的正常使用,更能够通过对未知设备进行自动检测和采样,实现对未知和新增设备的有效控制和管理。灵活并有效;さノ换,确保与外界的数据交换在管理人员可控的环境中进行,防止通过终端外设进行非法外联,并减小病毒传播的风险。

       e) 软件分发

    软件分发,作为终端自动化软件分发和管理工具,能够提高终端管理效率,尤其对于终端数量巨大,分布范围很广的用户,能够实现远程批量软件分发。


    解决方案


    1.1.上网行为审计系统方案

    1.1.1.设备部署说明

    一台网康高性能上网行为管理器部署在防火墙与核心交换机之间做透明桥接。

    1.1.2.系统部署拓扑示意图

    网康上网行为管理设备透明部署在网络主干链路之中,实现对内网用户上网行为认证、管理、审计以及带宽资源的优化,且部署方式上不影响整个网络架构的路由走向。

    1.1.3.上网行为管理产品

    网康上网行为管理ICG支持网关模式、透明桥接、旁路模式等基本接入模式。

    根据北京市政管理委员会(以下简称“市政管委”)的具体需求及网络拓扑规划,我们推荐将网康上网行为管理设备ICG部署在核心交换机与出口核心防火墙之间,通过相关策略的开启,对内部用户的上网行为进行审计和控制,同时对带宽资源进行相应的管理。在保障高可用性的同时,完美实现上网行为管理解决方案。在此方案中选择透明模式部署,实现对内网用户上网行为管理,不需要对网络结构、路由配置、IP地址规划等进行修改,部署简单快捷。

    ICG通过自身的web-portal短信认证,针对不同的终端系统发送相适应认证页面,并与市政管委现有第三方MAS移动代理服务器短信完美对接,实现访客用户短信认证,同时实现用户实名制认证环节。

    ICG同时也支持与LDAP、Radius、POP3、数据库等外部认证服务器或结合进行身份认证。当用户在认证服务器上进行认证后,ICG能够获取用户认证信息,用户不用在ICG上进行第二次身份认证,形成单点登录,避免重复认证所带来的麻烦。通过身份认证功能,ICG能够准确识别上网用户,从而对该用户进行上网行为管理,而对于未通过认证的用户则禁止其网络活动。

    1.1.4.用户管理方案

    用户是上网行为管理产品最为核心的要素,任何一条策略都是针对一个用户或者部门设置的,因此对于用户的识别、认证与管理能力决定了设备效果。网康设备提供了丰富的用户认证方式以及符合银行实际的用户管理能力,很好地满足银行对于用户的管理要求。

    Ø   普通用户本地认证

    在没有统一的认证接口的情况下,可在网康设备上开启本地认证或邮件认证,以实现员工上网时的身份认证。

    在WEB本地认证方式下,管理员可以设定并分发统一的初始口令,并定义账号的有效期,保障用户身份的安全,使用户身份的确定与具体上网设备完全无关。要实现WEB认证,首先需要在网康互联网控制网关中建立用户信息。ICG支持多种用户信息获取方式,可以通过IP网段地址扫描,自动获取内网用户的IP地址、计算机名、MAC地址信息,也可以通过LDAP同步的方式定期更新用户目录服务器的用户信息,支持RADIUS认证,此外,还可以使用网康自定义用户导入功能,将微软Excel表格整理的用户信息快速导入。WEB本地认证如所示。用户的认证页面可根据市政管委的实际情况,自定义LOGO,通知等信息。

    对于在特殊情况下不需要控制或审计监控的用户,网康ICG提供免监控和免审计功能。针对这部分特权用户,可开启免监控账号,其上网行为不受网康上网行为管理设备的管控。

    图认证页面

    Ø   访客短信认证

    针对无线网络用户,提供无线用户的快速认证,访客可通过手机号码进行申请,通过与短信网关的联动实现手机号码的验证,并自动将口令发送至已完成验证的手机中,访客通过输入手机验证口令即可通过认证,获取上网权限。使用效果类似于中国移动CMCC上网认证模式。如下图所示:

    手机号登陆界面

    针对短信认证用户,网康上网行为管理设备支持与北京市政管理委员会原有MAS移动代理服务器(深圳嘉讯软件邮件公司)进行短信对接,上网行为审计系统通过web方式提供短信认证,并且将认证电话号码信息由用户填写完成后,通过市政管委统一的短信发送平台,发送验证短信。

    手机接收验证码短信

    用户名显示手机号

    审计数据直接显示手机号

    Ø   建立用户组织结构

    当用户数目较多、组织结构比较复杂时,按照实际的组织结构管理各部门用户是最有效的方式,易于管理员查询、定位和设置策略。网康设备支持树型结构管理用户,能够完全按照银行的实际情况建立用户组,如下图所示:

     

    按照市政管委组织结构管理用户

    建立用户信息后,按照管理需求,基于网段、权限、行政职能自定义用户组和成员,并且可以在不同用户组之间灵活调整成员用户,最终形成清晰直观的树型组织结构。这样就解决了“确定用户身份”的问题,并为基于用户或用户组制定策略和统计报表奠定了基础。

    1.1.5.流量深度洞察分析

    通过在市政管委互联网接入主干线路上部署行为管理设备(ICG),对网络流量进行分析、控制保障网络资源合理使用,提高网络可管理性。

    1. 应用流量分析:

    通过流量分析功能,可分析网络中流量的大小能清晰的展示网络中流量是由哪些应用构成的,每种应用所占用的带宽资源是多大。

    Ø 通过实时监控功能,能够实时展示设备及链路的流量走势情况、带宽占用情况等内容,同时,还能够通过不同维度对目前一段时间内的流量进行实时分析,如并发连接数走势、新建连接数走势、应用占用带宽排名、用户带宽排名等。

    Ø 通过查询统计功能,能够对历史流量进行综合统计分析,根据不同的分析条件,对指定时间、指定用户的各类应用流量进行统计,从而展现整个网络一段时间内的网络流量情况,此外,功能上支持递进式查询和多维关联分析,将带来更详尽的分析效果。

    2. 应用带宽保障:

    由于不同部门和用户的重要性存在比较大的差异,带宽保障功能可以基于时间、内部用户(组)、外部用户(组)和某(些)VLAN、应用等进行最起码的带宽保障,从而实现为某(些)关键业务应用配备相应速率的带宽资源,形成差异化的网络质量服务。除了能对不同的应用进行带宽保障外,功能上还应具有每连接保障功能,为应用的每条连接分配带宽,避免应用本身的多连接之间互相干扰,细粒度的保障应用质量。

    对于ERP、邮件、视频会议、视频会议等对时延及其敏感、影响客户办公效率和业务活动的关键业务应用,功能上还应提供带宽强制预留功能,可以对对进入特定通道的某(些)关键业务的应用架设“带宽专线”,通过划分专门的带宽,使关键业务在任何时候都可以独享该通道全部的带宽资源,彻底避免非关键业务无序抢占此专线带宽资源,从而使关键业务应用的带宽需求能获得可靠保障。

    3. 应用带宽控制:

    Ø 通过应用封堵功能,能够基于时间、用户、VLAN、应用等条件,严格禁止用户在制定时间内使用与工作无关、降低工作效率、甚至有安全风险的网络应用,如网络游戏、在线炒股等,从而达到精细化封堵的目的。

    Ø 通过流量限速功能,能够在不封堵某种网络应用的情况下,将其上传、下载带宽限定在某个合理的范围内,这样既可以保持相关网络应用的可用性,又能够防止这些应用对有限带宽资源的无序抢占。

    Ø 通过流量限额功能,能够为指定的网络应用设定流量限额阀值,在预定的周期性时间段及某(些)VLAN范围内,限制应用的流量总额,实现了对非关键业务,特别是不良应用在使用上的有效约束。

    Ø 通过连接控制功能,能够对并发连接数和每秒新建连接数进行控制,有效限制某(些)用户或某(些)应用对网络设备资源的无限占用,避免产生异常流量和网络攻击。

    1.1.6.内容审计与过滤

    通过互联网传递信息已经成为北京市政管理委员会的关键应用,然而信息的机密性、健康性、政治性等问题也随之而来。通过网康ICG,您可以制定精细化的信息收发监控策略,有效控制信息的传播范围,控制敏感信息的泄露,避免可能引起的法律风险。

    l  邮件收发审计和过滤

    网康ICG不但可以审计通过任意端口的POP3和SMTP协议收发邮件内容,同时还可以审计通过WEB-MAIL发送邮件的内容,实现对用户邮件收发内容的全面审计。

    同时,网康ICG可基于邮件特征对邮件外发内容进行审计和过滤,并能够匹配收发邮件的标题及内容关键字等特征进行邮件报警,从根本上杜绝包含敏感信息邮件的外发行为,保证协和医院的信息安全。

    另外,网康ICG支持对外发邮件的人工审核,将那些包含敏感信息的邮件暂时拦截下来,缓存在ICG本地,由审计员审核内容后在决定是否允许外发,确保精准过滤。

    l  IM审计和过滤

    网康ICG对IM行为及内容审计功能包括:

    MSN审计和过滤

    审计收发动作、发送账号、接收账号、聊天内容、视频行为、文件传输内容;

    支持MSN shell加密聊天内容审计;

    基于MSN账号、文件名称、文件传输方向、文件类型、和文件大小阻塞聊天行为和文件传输行为;

    基于MSN外发信息的关键字进行匹配并报警;

    能够将审计信息按照一次完整的对话进行还原,提高内容的可读性。

    QQ审计

    审计收发动作、发送账号(昵称)、接收账号(昵称)、聊天内容、语音聊天行为、群组聊天内容。

    飞信审计

    审计收发动作、发送账号、接收账号、聊天内容、音视频行为、文件传输行为;

    基于账号和聊天内容关键字、文件名称、文件类型过滤聊天行为和文件传输行为;

    对违反预定义规范的飞信聊天行为进行报警。

    l  论坛发帖审计和过滤

    网康ICG能够针对各类BBS论坛、新闻评论、搜索引擎贴吧、博客、微博的发帖内容进行监控审计,包括发帖账号、标题、正文、附件,对于违背预设关键字的发帖进行实时阻断并报警。对于发帖日志,还可以通过时间、用户、关键字进行全面查询,准确定位发帖行为与内容。此外,ICG还支持对论坛投票行为及内容的审计,增强了发帖审计的多样性。

    本次项目ICG选型支持1T大容量内置存储空间,极大程度满足用户审计及相应报表数据本地存储60天以上。一体化的数据存储、生成、搜索。

     

    1.2.局域网终端管理软件解决方案

    1.2.1.终端安全发展阶段和主要问题

    1.2.1.1.终端安全管理建设的四个阶段

    终端安全作为架构企业网络安全的核心组成部分,其重要性已经被业界广泛接受和认可。但是,由于终端安全范畴涉及到终端桌面运维管理、内网接入管理、终端安全加固、终端威胁主动防御、终端用户网络行为规范、终端信息防泄密、终端审计等一系列广泛的问题,对到底如何才能做好终端安全管理建设,业界对其的解读和实践,却各有不同。

    终端安全管理是一项系统工程,涉及到各个领域相关性很强,相互依存,相互影响,并非解决某一个领域的问题,终端安全问题就可以高枕无忧了。终端安全管理建设也不是一蹴而就,一劳永逸,需要根据实际的问题,对症下药,循序渐进,才能建立起高效、可靠的终端管理体系。

    基于对终端安全管理的实践,启明星辰总结出终端安全管理建设的四个阶段,这四个阶段分别是:

    阶段一:基础认证及运维阶段

    阶段二:合规管理建设阶段

    阶段三:主动防御及强制阶段

    阶段四:安全运营阶段

    下图为终端安全健身的四个阶段示意图:

    图1 终端安全管理建设的四个阶段

     

    以上这四个阶段,概括了企业终端安全管理建设的发展路线图,每个企业在进行终端安全管理建设,都需要经历以上四个阶段,循序渐进,与企业核心业务的发展同步,系统解决终端面临的安全威胁和管理问题,保障和促进企业核心业务的持续、稳定和健康发展。

    企业终端安全管理建设必须经历的四个阶段,每个阶段都具有鲜明的特征,每个阶段具备的特征表现如下:

    1、基础认知及运维阶段 :

    基础认证及运维阶段,是对终端在业务中的角色和终端自身特征的认证阶段,在了解到终端对保障业务持续稳定运行的重要性之后,围绕终端运行维护相关问题,企业逐步引入一定技术手段,准确掌握终端信息和终端运行状况,完善和加强终端运行维护管理。

    2、合规管理建设阶段

    在解决对终端的基础认知问题,并建立起终端运行维护体系后,终端安全管理建设就可以迈入第二个阶段,即合规管理建设阶段。合规管理建设阶段,核心是要实现终端安全管理的制度化和规范化,依据指定的规章制度有针对性地实施和完善终端安全管理。

    3、主动防御及强制阶段

    终端管理完成合规管理建设阶段之后,终端安全管理体系规范也初具规模,终端安全管理也将具备上升到第三个阶段的条件。终端安全管理的第三个阶段,是终端主动防御及强制管理阶段,这个阶段的主要特征,就是终端安全管理不再是被动防御和管理,而是需要根据潜在的威胁和安全隐患,主动调整终端安全管理体系和制度,实现终端安全主动管理,将终端面临的风险抑制在未起之时。

    4、安全运营阶段

    终端安全运营阶段,是终端安全管理建设的最终阶段,在完成以上三个阶段的安全管理建设之后,终端安全管理将进入到安全运营阶段。进入安全运营阶段,终端安全管理已经不能简单应对和解决终端面临的具体安全威胁,而要站在企业风险管理的层面,从终端风险管理的角度,建立终端风险集中管理与监控生态体系,随终端面临的风险更迭,动态调整终端风险管理体系、制度、架构和需要采用的技术手段,全面提升针对终端风险管理的驾驭能力,促进企业核心业务持续、健康发展。

    以上的四个阶段,概括了企业终端安全管理建设发展的全过程,是企业终端安全管理建设的必由之路。

    1.2.2. 终端安全问题的解决方案

    启明星辰作为安全领航厂商,已经在终端安全管理和建设相关领域实践多年,依据对终端安全管理建设的深入了解和研究,自主研发了业界领先的内网安全管理产品——“天珣内网安全风险管理与审计系统”(以下简称天珣)。

    天珣提供的产品功能覆盖终端安全管理建设的“基础认知及运维阶段”、“合规建设阶段”“主动防御及强制阶段”三个阶段,全部核心功能?,如下图所示:

    图3 天珣功能?槭疽馔

    其中:

    覆盖“基础认知及运维阶段”的五个功能?槭牵骸资产管理、“软件分发”、“远程桌面”、“补丁管理”和“主机防火墙”。

    覆盖“合规建设阶段”的四个功能?槭牵骸主机监控审计”、“非法外联控制”、“移动存储管理”和“涉密信息发现”。

    覆盖“主动防御及强制阶段”的两个功能?槭牵骸准入控制”和“安全基线管理”。

    对照终端安全管理建设路线图,天珣所提供的功能已经完全覆盖了终端安全管理建设四个阶段的前三个,即“基础认知及运维阶段”、“合规管理建设阶段”和“主动防御及强制阶段”,通过引入天珣作为终端安全管理体系建设的支撑产品,即可实现终端安全管理跨越式发展,如下图所示:

    图4 天珣帮助终端安全管理实现跨越式发展

    启明星辰终端安全管理建设路线图以天珣为核心,全面覆盖终端安全管理建设的四个阶段和所有关键终端安全子系统,助力企业实现终端安全管理跨越式发展。


    版权所有:北京金钻芯科技有限公司 2007-2027 保留一切权利 京ICP备19056231号-1    网站制作海大科技
    购彩助手 <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <文本链> <文本链> <文本链> <文本链> <文本链> <文本链>