<form id="j1z55"><th id="j1z55"></th></form>

      <span id="j1z55"><span id="j1z55"><track id="j1z55"></track></span></span>

      <form id="j1z55"></form>
        <em id="j1z55"></em>
        首頁 解決方案 典型案例 行業新聞 資質榮譽 產品中心 關于我們
        您所在位置 > 首頁 > 解決方案 > 政府行業解決方案
        解決方案 / Solutions
        政府行業解決方案
        北京市政管理委員會局域網審計、終端管理軟件更新項目 點擊下載


        項目背景

         

        1.上網行為審計系統

        北京市政管理委員會是采用內部網絡地址與互聯網網絡地址轉換方式為用戶提供互聯網接入服務的,能夠記錄并留存用戶使用的互聯網網絡地址和內部網絡地址對應關系,記錄、跟蹤網絡運行狀態,監測、記錄網絡安全事件。用戶上網行為審計設備應采用旁路方式或橋接方式接核心交換機端口,實時分析網絡數據,從而實現上網行為審計。所有有關的用戶上網數據都將形成報表,存儲在內置數據中心,并至少保存60天,為單位提供方便快捷的日志查詢工具。

        能夠進行網絡流量分析,網絡層流量分析、應用軟件流量分析、P2P流量分析。能夠記錄用戶上網行為,郵件記錄、細分化的Web記錄、細分化的IM記錄、細分化的P2P記錄等。記錄的內容中要能獲取計算機名稱、IP地址、MAC地址等信息。記錄、跟蹤網絡運行狀態,監測、記錄網絡安全事件等安全審計功能。在公共信息服務中發現、停止傳輸違法信息,并保留相關記錄。

        能夠與北京市政管理委員會內網部署MAS移動代理服務器進行短信對接, MAS移動代理服務器采用MySQL數據庫,通信地址是192.168.2.9:3306,各信息系統通過往mas庫里的api_mt_11表中插入數據的方式,發送短信。上網行為審計系統應通過北京市政管理委員會統一的短信發送平臺,發送驗證短信。

         

        2.局域網終端管理軟件

        1)系統安裝需求

        在現有服務器上安裝新局域網終端軟件服務器端,支持利用域服務器推送管理軟件的客戶端。

        2)需求實現

           a) 終端資產管理

        資產管理模塊自動收集用戶IT設備的軟、硬件配置信息,并自動與終端注冊信息進行綁定。支持的硬件信息包括:計算機終端的BIOS參數、CPU型號、內存數量、硬盤序列號、硬盤類型、硬盤容量及分區、主板序列號、顯卡類型、各種外設等信息;軟件信息包括操作系統、安裝軟件等;并能夠及時提供終端軟件和硬件變更事件并進行告警。

        能夠生成計算機名稱、用戶、IP、MAC統計表。終端管理軟件應可以向用戶開放數據庫,方便用戶自己寫程序,做私人資產表的二次開發。

        能夠自動識別和區分終端類型是臺式機或筆記本電腦,方便用戶根據終端類型進行分類管理和查詢與統計。能夠自動識別和區分存在多網卡的終端,方便用戶對非法外聯行為進行控制。為管理員進行系統維護、技術支持、軟件部署等提供準確的信息。

           b) 遠程桌面

        支持用戶主動發起的遠程協助,保護用戶隱私,可設定管理員的遠程支持范圍,支持無客戶端的終端的遠程協助請求,能夠從Web控制臺下載實時生成的客戶端,自動向特定的管理員發起請求。

           c) 補丁管理

        補丁管理自動幫助計算機終端及時安裝最新的Windows操作系統的Service Pack或安全更新,IE瀏覽器相關補丁和Windows應用程序補丁。

           d) 終端外設管理

        員工隨意使用PC周邊設備可能導致敏感資料外泄或病毒廣泛傳播。終端管理軟件外設管理應能夠靈活控制和監控計算機終端硬件資源的使用情況,比如控制計算機終端的并口、串口、移動存儲設備、MODEM撥號、藍牙、USB等外設的使用情況,能夠自動收集終端曾經使用過的USB設備的歷史記錄,并能夠單獨禁用無法確定其用途的USB設備,保障USB接口的正常使用,更能夠通過對未知設備進行自動檢測和采樣,實現對未知和新增設備的有效控制和管理。靈活并有效保護單位機密,確保與外界的數據交換在管理人員可控的環境中進行,防止通過終端外設進行非法外聯,并減小病毒傳播的風險。

           e) 軟件分發

        軟件分發,作為終端自動化軟件分發和管理工具,能夠提高終端管理效率,尤其對于終端數量巨大,分布范圍很廣的用戶,能夠實現遠程批量軟件分發。


        解決方案


        1.1.上網行為審計系統方案

        1.1.1.設備部署說明

        一臺網康高性能上網行為管理器部署在防火墻與核心交換機之間做透明橋接。

        1.1.2.系統部署拓撲示意圖

        網康上網行為管理設備透明部署在網絡主干鏈路之中,實現對內網用戶上網行為認證、管理、審計以及帶寬資源的優化,且部署方式上不影響整個網絡架構的路由走向。

        1.1.3.上網行為管理產品

        網康上網行為管理ICG支持網關模式、透明橋接、旁路模式等基本接入模式。

        根據北京市政管理委員會(以下簡稱“市政管委”)的具體需求及網絡拓撲規劃,我們推薦將網康上網行為管理設備ICG部署在核心交換機與出口核心防火墻之間,通過相關策略的開啟,對內部用戶的上網行為進行審計和控制,同時對帶寬資源進行相應的管理。在保障高可用性的同時,完美實現上網行為管理解決方案。在此方案中選擇透明模式部署,實現對內網用戶上網行為管理,不需要對網絡結構、路由配置、IP地址規劃等進行修改,部署簡單快捷。

        ICG通過自身的web-portal短信認證,針對不同的終端系統發送相適應認證頁面,并與市政管委現有第三方MAS移動代理服務器短信完美對接,實現訪客用戶短信認證,同時實現用戶實名制認證環節。

        ICG同時也支持與LDAP、Radius、POP3、數據庫等外部認證服務器或結合進行身份認證。當用戶在認證服務器上進行認證后,ICG能夠獲取用戶認證信息,用戶不用在ICG上進行第二次身份認證,形成單點登錄,避免重復認證所帶來的麻煩。通過身份認證功能,ICG能夠準確識別上網用戶,從而對該用戶進行上網行為管理,而對于未通過認證的用戶則禁止其網絡活動。

        1.1.4.用戶管理方案

        用戶是上網行為管理產品最為核心的要素,任何一條策略都是針對一個用戶或者部門設置的,因此對于用戶的識別、認證與管理能力決定了設備效果。網康設備提供了豐富的用戶認證方式以及符合銀行實際的用戶管理能力,很好地滿足銀行對于用戶的管理要求。

        Ø   普通用戶本地認證

        在沒有統一的認證接口的情況下,可在網康設備上開啟本地認證或郵件認證,以實現員工上網時的身份認證。

        在WEB本地認證方式下,管理員可以設定并分發統一的初始口令,并定義賬號的有效期,保障用戶身份的安全,使用戶身份的確定與具體上網設備完全無關。要實現WEB認證,首先需要在網康互聯網控制網關中建立用戶信息。ICG支持多種用戶信息獲取方式,可以通過IP網段地址掃描,自動獲取內網用戶的IP地址、計算機名、MAC地址信息,也可以通過LDAP同步的方式定期更新用戶目錄服務器的用戶信息,支持RADIUS認證,此外,還可以使用網康自定義用戶導入功能,將微軟Excel表格整理的用戶信息快速導入。WEB本地認證如所示。用戶的認證頁面可根據市政管委的實際情況,自定義LOGO,通知等信息。

        對于在特殊情況下不需要控制或審計監控的用戶,網康ICG提供免監控和免審計功能。針對這部分特權用戶,可開啟免監控賬號,其上網行為不受網康上網行為管理設備的管控。

        圖認證頁面

        Ø   訪客短信認證

        針對無線網絡用戶,提供無線用戶的快速認證,訪客可通過手機號碼進行申請,通過與短信網關的聯動實現手機號碼的驗證,并自動將口令發送至已完成驗證的手機中,訪客通過輸入手機驗證口令即可通過認證,獲取上網權限。使用效果類似于中國移動CMCC上網認證模式。如下圖所示:

        手機號登陸界面

        針對短信認證用戶,網康上網行為管理設備支持與北京市政管理委員會原有MAS移動代理服務器(深圳嘉訊軟件郵件公司)進行短信對接,上網行為審計系統通過web方式提供短信認證,并且將認證電話號碼信息由用戶填寫完成后,通過市政管委統一的短信發送平臺,發送驗證短信。

        手機接收驗證碼短信

        用戶名顯示手機號

        審計數據直接顯示手機號

        Ø   建立用戶組織結構

        當用戶數目較多、組織結構比較復雜時,按照實際的組織結構管理各部門用戶是最有效的方式,易于管理員查詢、定位和設置策略。網康設備支持樹型結構管理用戶,能夠完全按照銀行的實際情況建立用戶組,如下圖所示:

         

        按照市政管委組織結構管理用戶

        建立用戶信息后,按照管理需求,基于網段、權限、行政職能自定義用戶組和成員,并且可以在不同用戶組之間靈活調整成員用戶,最終形成清晰直觀的樹型組織結構。這樣就解決了“確定用戶身份”的問題,并為基于用戶或用戶組制定策略和統計報表奠定了基礎。

        1.1.5.流量深度洞察分析

        通過在市政管委互聯網接入主干線路上部署行為管理設備(ICG),對網絡流量進行分析、控制保障網絡資源合理使用,提高網絡可管理性。

        1. 應用流量分析:

        通過流量分析功能,可分析網絡中流量的大小能清晰的展示網絡中流量是由哪些應用構成的,每種應用所占用的帶寬資源是多大。

        Ø 通過實時監控功能,能夠實時展示設備及鏈路的流量走勢情況、帶寬占用情況等內容,同時,還能夠通過不同維度對目前一段時間內的流量進行實時分析,如并發連接數走勢、新建連接數走勢、應用占用帶寬排名、用戶帶寬排名等。

        Ø 通過查詢統計功能,能夠對歷史流量進行綜合統計分析,根據不同的分析條件,對指定時間、指定用戶的各類應用流量進行統計,從而展現整個網絡一段時間內的網絡流量情況,此外,功能上支持遞進式查詢和多維關聯分析,將帶來更詳盡的分析效果。

        2. 應用帶寬保障:

        由于不同部門和用戶的重要性存在比較大的差異,帶寬保障功能可以基于時間、內部用戶(組)、外部用戶(組)和某(些)VLAN、應用等進行最起碼的帶寬保障,從而實現為某(些)關鍵業務應用配備相應速率的帶寬資源,形成差異化的網絡質量服務。除了能對不同的應用進行帶寬保障外,功能上還應具有每連接保障功能,為應用的每條連接分配帶寬,避免應用本身的多連接之間互相干擾,細粒度的保障應用質量。

        對于ERP、郵件、視頻會議、視頻會議等對時延及其敏感、影響客戶辦公效率和業務活動的關鍵業務應用,功能上還應提供帶寬強制預留功能,可以對對進入特定通道的某(些)關鍵業務的應用架設“帶寬專線”,通過劃分專門的帶寬,使關鍵業務在任何時候都可以獨享該通道全部的帶寬資源,徹底避免非關鍵業務無序搶占此專線帶寬資源,從而使關鍵業務應用的帶寬需求能獲得可靠保障。

        3. 應用帶寬控制:

        Ø 通過應用封堵功能,能夠基于時間、用戶、VLAN、應用等條件,嚴格禁止用戶在制定時間內使用與工作無關、降低工作效率、甚至有安全風險的網絡應用,如網絡游戲、在線炒股等,從而達到精細化封堵的目的。

        Ø 通過流量限速功能,能夠在不封堵某種網絡應用的情況下,將其上傳、下載帶寬限定在某個合理的范圍內,這樣既可以保持相關網絡應用的可用性,又能夠防止這些應用對有限帶寬資源的無序搶占。

        Ø 通過流量限額功能,能夠為指定的網絡應用設定流量限額閥值,在預定的周期性時間段及某(些)VLAN范圍內,限制應用的流量總額,實現了對非關鍵業務,特別是不良應用在使用上的有效約束。

        Ø 通過連接控制功能,能夠對并發連接數和每秒新建連接數進行控制,有效限制某(些)用戶或某(些)應用對網絡設備資源的無限占用,避免產生異常流量和網絡攻擊。

        1.1.6.內容審計與過濾

        通過互聯網傳遞信息已經成為北京市政管理委員會的關鍵應用,然而信息的機密性、健康性、政治性等問題也隨之而來。通過網康ICG,您可以制定精細化的信息收發監控策略,有效控制信息的傳播范圍,控制敏感信息的泄露,避免可能引起的法律風險。

        l  郵件收發審計和過濾

        網康ICG不但可以審計通過任意端口的POP3和SMTP協議收發郵件內容,同時還可以審計通過WEB-MAIL發送郵件的內容,實現對用戶郵件收發內容的全面審計。

        同時,網康ICG可基于郵件特征對郵件外發內容進行審計和過濾,并能夠匹配收發郵件的標題及內容關鍵字等特征進行郵件報警,從根本上杜絕包含敏感信息郵件的外發行為,保證協和醫院的信息安全。

        另外,網康ICG支持對外發郵件的人工審核,將那些包含敏感信息的郵件暫時攔截下來,緩存在ICG本地,由審計員審核內容后在決定是否允許外發,確保精準過濾。

        l  IM審計和過濾

        網康ICG對IM行為及內容審計功能包括:

        MSN審計和過濾

        審計收發動作、發送賬號、接收賬號、聊天內容、視頻行為、文件傳輸內容;

        支持MSN shell加密聊天內容審計;

        基于MSN賬號、文件名稱、文件傳輸方向、文件類型、和文件大小阻塞聊天行為和文件傳輸行為;

        基于MSN外發信息的關鍵字進行匹配并報警;

        能夠將審計信息按照一次完整的對話進行還原,提高內容的可讀性。

        QQ審計

        審計收發動作、發送賬號(昵稱)、接收賬號(昵稱)、聊天內容、語音聊天行為、群組聊天內容。

        飛信審計

        審計收發動作、發送賬號、接收賬號、聊天內容、音視頻行為、文件傳輸行為;

        基于賬號和聊天內容關鍵字、文件名稱、文件類型過濾聊天行為和文件傳輸行為;

        對違反預定義規范的飛信聊天行為進行報警。

        l  論壇發帖審計和過濾

        網康ICG能夠針對各類BBS論壇、新聞評論、搜索引擎貼吧、博客、微博的發帖內容進行監控審計,包括發帖賬號、標題、正文、附件,對于違背預設關鍵字的發帖進行實時阻斷并報警。對于發帖日志,還可以通過時間、用戶、關鍵字進行全面查詢,準確定位發帖行為與內容。此外,ICG還支持對論壇投票行為及內容的審計,增強了發帖審計的多樣性。

        本次項目ICG選型支持1T大容量內置存儲空間,極大程度滿足用戶審計及相應報表數據本地存儲60天以上。一體化的數據存儲、生成、搜索。

         

        1.2.局域網終端管理軟件解決方案

        1.2.1.終端安全發展階段和主要問題

        1.2.1.1.終端安全管理建設的四個階段

        終端安全作為架構企業網絡安全的核心組成部分,其重要性已經被業界廣泛接受和認可。但是,由于終端安全范疇涉及到終端桌面運維管理、內網接入管理、終端安全加固、終端威脅主動防御、終端用戶網絡行為規范、終端信息防泄密、終端審計等一系列廣泛的問題,對到底如何才能做好終端安全管理建設,業界對其的解讀和實踐,卻各有不同。

        終端安全管理是一項系統工程,涉及到各個領域相關性很強,相互依存,相互影響,并非解決某一個領域的問題,終端安全問題就可以高枕無憂了。終端安全管理建設也不是一蹴而就,一勞永逸,需要根據實際的問題,對癥下藥,循序漸進,才能建立起高效、可靠的終端管理體系。

        基于對終端安全管理的實踐,啟明星辰總結出終端安全管理建設的四個階段,這四個階段分別是:

        階段一:基礎認證及運維階段

        階段二:合規管理建設階段

        階段三:主動防御及強制階段

        階段四:安全運營階段

        下圖為終端安全健身的四個階段示意圖:

        圖1 終端安全管理建設的四個階段

         

        以上這四個階段,概括了企業終端安全管理建設的發展路線圖,每個企業在進行終端安全管理建設,都需要經歷以上四個階段,循序漸進,與企業核心業務的發展同步,系統解決終端面臨的安全威脅和管理問題,保障和促進企業核心業務的持續、穩定和健康發展。

        企業終端安全管理建設必須經歷的四個階段,每個階段都具有鮮明的特征,每個階段具備的特征表現如下:

        1、基礎認知及運維階段 :

        基礎認證及運維階段,是對終端在業務中的角色和終端自身特征的認證階段,在了解到終端對保障業務持續穩定運行的重要性之后,圍繞終端運行維護相關問題,企業逐步引入一定技術手段,準確掌握終端信息和終端運行狀況,完善和加強終端運行維護管理。

        2、合規管理建設階段

        在解決對終端的基礎認知問題,并建立起終端運行維護體系后,終端安全管理建設就可以邁入第二個階段,即合規管理建設階段。合規管理建設階段,核心是要實現終端安全管理的制度化和規范化,依據指定的規章制度有針對性地實施和完善終端安全管理。

        3、主動防御及強制階段

        終端管理完成合規管理建設階段之后,終端安全管理體系規范也初具規模,終端安全管理也將具備上升到第三個階段的條件。終端安全管理的第三個階段,是終端主動防御及強制管理階段,這個階段的主要特征,就是終端安全管理不再是被動防御和管理,而是需要根據潛在的威脅和安全隱患,主動調整終端安全管理體系和制度,實現終端安全主動管理,將終端面臨的風險抑制在未起之時。

        4、安全運營階段

        終端安全運營階段,是終端安全管理建設的最終階段,在完成以上三個階段的安全管理建設之后,終端安全管理將進入到安全運營階段。進入安全運營階段,終端安全管理已經不能簡單應對和解決終端面臨的具體安全威脅,而要站在企業風險管理的層面,從終端風險管理的角度,建立終端風險集中管理與監控生態體系,隨終端面臨的風險更迭,動態調整終端風險管理體系、制度、架構和需要采用的技術手段,全面提升針對終端風險管理的駕馭能力,促進企業核心業務持續、健康發展。

        以上的四個階段,概括了企業終端安全管理建設發展的全過程,是企業終端安全管理建設的必由之路。

        1.2.2. 終端安全問題的解決方案

        啟明星辰作為安全領航廠商,已經在終端安全管理和建設相關領域實踐多年,依據對終端安全管理建設的深入了解和研究,自主研發了業界領先的內網安全管理產品——“天珣內網安全風險管理與審計系統”(以下簡稱天珣)。

        天珣提供的產品功能覆蓋終端安全管理建設的“基礎認知及運維階段”、“合規建設階段”“主動防御及強制階段”三個階段,全部核心功能模塊,如下圖所示:

        圖3 天珣功能模塊示意圖

        其中:

        覆蓋“基礎認知及運維階段”的五個功能模塊是:“資產管理、“軟件分發”、“遠程桌面”、“補丁管理”和“主機防火墻”。

        覆蓋“合規建設階段”的四個功能模塊是:“主機監控審計”、“非法外聯控制”、“移動存儲管理”和“涉密信息發現”。

        覆蓋“主動防御及強制階段”的兩個功能模塊是:“準入控制”和“安全基線管理”。

        對照終端安全管理建設路線圖,天珣所提供的功能已經完全覆蓋了終端安全管理建設四個階段的前三個,即“基礎認知及運維階段”、“合規管理建設階段”和“主動防御及強制階段”,通過引入天珣作為終端安全管理體系建設的支撐產品,即可實現終端安全管理跨越式發展,如下圖所示:

        圖4 天珣幫助終端安全管理實現跨越式發展

        啟明星辰終端安全管理建設路線圖以天珣為核心,全面覆蓋終端安全管理建設的四個階段和所有關鍵終端安全子系統,助力企業實現終端安全管理跨越式發展。


        版權所有:北京金鉆芯科技有限公司 2007-2027 保留一切權利 京ICP備19056231號-1    網站制作海大科技
        赢彩