【51CTO.com 综合消息】网络安全管理需求
随着现代信息化的高速发展,在政府机关单位、军工军队部门、各行业机构及企业集团内部都应用了信息化办公平台。信息平台的开放性、广泛性、高效性等特点可以提升各单位的竞争能力和事务处理效率。
我们知道,很多单位拥有大量的计算机终端,然而在众多上网人员日常办公时,由于终端计算机缺乏统一有效的管理手段或者因为上网人员保密意识薄弱,再加之各种病毒、网络黑客等的恶意破坏和攻击等原因,将会使员工因办公时间滥用网络资源引起其工作效率下降,或者引发有意、无意的的信息窃密、泄密事件,严重威胁了各单位计算机系统及信息安全。 因此,有效地保护单位内部信息安全成为现代信息化管理的一项重点任务。管理者目前更亟需结合专业的技术手段和相关IT产品来解决以上问题。
最有效管理手段的出台
随着安全威胁正由单纯网络威胁向应用和数据演进,同时市场格局正在发生着巨大的变化,网络安全、内容安全与终端安全技术的融合是未来安全市场的发展趋势,深圳市任子行网络技术股份有限公司凭借在这三个领域的良好基因,快速推出一系列融合产品,构建未来竞争优势。
该系列产品包括:任天行网络安全管理系统(硬件)、信盾计算机终端监控系统(软件)、任天行透明文档加密系统(软件)、任天行文档留存与备份系统(软件)。
通过该系列软硬件产品的有机整合和无缝集成,为信息平台的使用者和管理者提供了一个综合解决网络终端、用户行为、网络通信、应用系统、数据库安全等一系列安全隐患的一整套最全面、最可信、最可控的安全防护与统一管理平台。
产品系列综述
综合平台集成化管理理念
◆领先的综合管理平台概念,加强内外部网络行为监管,保障管理无缺漏。
◆每个安全功能模块产品既相互独立,又紧密结合,实现可分离的一体化概念。
◆针对不同的终端安全管理需求,用户可以灵活选择和集成各种不同功能模块。
◆保障用户能够实现采购价值利益最大化,降低采购成本。
紧密围绕合规,以终端计算机为管理对象
◆引领了互联网安全管理模式的最新变革。
◆突破了“单一、被动” 的内网安全管理旧模式。
◆审计内容可以只限定为与网络合规管理相关的信息,保证在达到合规管理审计要求的前提下,充分保护终端用户个人隐私。
◆开创了“主动防护、纵深监管、合规合理”的网络安全管理新纪元。
典型的应用效果
◆实现“终端认证管理、终端安全管理、终端审计管理、桌面合规管理、外设防泄密管理和”五维一体化管理模式。
◆各产品线全部具备完整的控制检查点,具备有效的执行力和卓越的安全性。
◆产品线具备强大的可靠性、可扩展性及高度的稳定性。
◆确保100%的终端接受管理监督,有力促进内外部网络安全状况持续改善。
◆产品可按域、部门、工作组和策略类型对终端分组管理,全面提升网络管理员的工作效率。
广泛适用 全面掌控
◆适用范围及行业:政府及机关、军队、军工、教育、医疗、电信、金融、制造业、能源、企事业集团等;
◆适用网络类型:适用于大型及超大型网络管理(涉密网与非涉密网)。
采用多级分布式结构,系统各级管理中心建立了良好的调度和通信机制,管理权限层层下发,管理逻辑清晰明确。 #p#
功能特点综述
◆全面的网络安全管理新模型
打造“终端认证管理、终端安全管理、终端审计管理、桌面合规管理、外设防泄密管理和”五维一体化网络管理新模型,实现立体纵深的安全防护。
终端认证管理----“安检门 ”
实名验证 准入控制
作为网络终端计算机的综合管理平台,产品根据“信息也有身份证”的研发理念,设定内网“安检门”,确保只有通过身份验证的终端才能允许“进门”,从源头上保障内网安全的准入控制。
具体安检手段包括:
◆实名注册:通过管理控制平台配置用户账户、计算机IP地址、卡片、实名信息等进行设置,实现登录账户实名制;
◆多认证方式:系统支持用户名和密码、刷卡、指纹、USbkey等识别认证方式;
◆多模式认证:系统支持Windows普通模式和Windows域用户模式;
◆授权管理:系统支持工作组授权、账户管理、IP和MAC捆绑等管理;从而满足一个用户账户可以在固定机器使用,也可以在非固定的机器上使用;
◆记录认证日志:系统可记录登录账户信息,即登录账户名、登录计算机IP地址、登录计算机名称、登录/登出时间等信息。
终端安全管理----“防御门 ” 主动防御 有力监控
内置强大的终端安全控制引擎,采用IP与端口控制、网络访问控制、流量控制、文件传输控制等手段,实现了针对终端的威胁主动防御和网络行为控制,从而保证终端双向访问安全、行为受控;同时,能够监控和管理第三方防病毒软件等恶意代码查杀工具,协同构建终端主动防御体系。
◆IP与端口控制:
集中管理和控制的客户端防火墙,其策略由管理员根据单位管理需要指定,可以根据IP地址、网络端口和数据流向等设定客户端计算机或者用户访问的权限,以白名单或者黑名单的方式工作。例如发现网络病毒,可及时全网统一封锁相应的传播端口,从而有效控制该类型病毒的破坏程度。
◆网络访问控制:
网址访问监控提供了管理员集中授权计算机和用户访问的网址范围,可以以白名单或者黑名单的方式设置。
系统可以实现对站点(含分类站点)访问、邮件收发、文件传输(下载、上传、邮件转发、即时通讯工具发送)、网络游戏、音视频、股票财经、P2P下载、即时通讯、远程登录、网络端口等网络活动的全面监控;
◆流量控制:
从网络底层技术入手,分析大量占用资源的通信应用,发现后予以限制,可以有效的限制BT等P2P软件,不会妨碍网页等的浏览速度,实时分析用户的各项网络传输内容及行为合法性,对其流量进行限制或禁止,全面提高网络使用价值。
◆文件传输控制:
系统对设定的文件类型实现传输控制,监控用户对文件的打开、修改、新建、删除、重命名、复制等操作行为,也可指定盘符、文件类型、目录进行监控;系统提供关键字设置控制,对于设定的关键字包含在文件中,则在文件传输被阻止;从而保证敏感文件不被外发。#p#
桌面合规管理----“监控屏” 全面监控 旨在合规
系统确保100%的终端部署并运行任子行客户端软件,使得管理员始终拥有具备执行力的管理手段,实现对单位IT资产、操作系统补丁及桌面运行软件的合规管理。
具体管理功能如下:
终端锁屏
◆终端锁屏:系统支持开机锁屏、用户注销锁屏、屏保锁屏功能;
◆屏幕解锁:系统提供刷卡解锁屏幕功能,即用户在计算机终端刷卡后才可以解锁屏幕而进行其它操作;锁屏状态下,用户无法进行键盘和鼠标操作;
◆解锁认证方式:系统支持本地和远程认证解锁模式,以保证终端计算机不被非法用户登录;
◆卡片授权:系统提供卡片授权保护功能,即非授权卡片不能登录到终端操作系统;
◆日志记录:系统详细记录解锁屏幕的卡号、用户账户、计算机IP、计算机MAC地址、计算机名称、刷卡解锁时间等信息;
信息提醒
◆提醒信息设置:系统管理控制平台提供信息设置功能,可以根据模板或者自定义的方式设置文字内容、背景图片;
◆信息警告:管理控制平台可以对选定的计算机或者所有计算机发送消息,以起到安全警告或者通知功能;
桌面屏幕监控
◆客户端实时监控:
系统实时远程监视和控制客户端计算机的状态,这些状态包括:安装的应用程序、服务、驱动及他们的运行状态;当前网络连接状态、打开的窗口、运行的进程、系统的用户和用户组、共享目录、当前的屏幕截图等信息,并可以实时远程控制,比如关闭某个打开的进程、服务或者窗口等。
◆桌面监控:
通过桌面监控可以让您及时了解到用户对终端的操作行为,比如鼠标移动、键盘操作、网络的访问、文件及文件夹的打开、应用程序开启等;
◆桌面录制:
系统可以录制被监控计算机桌面的所有操作时间,可以设置录制时间、录制文件的存储格式(默认为WMV);
◆桌面录制回放:
系统提供回放功能,可以播放屏幕录制文件,为时候审核提供检查依据;
◆日志记录:
系统记录桌面监控的计算机IP地址、当前用户账户、监控的时段(开始和结束时间)、文件存储路径、大小等内容;
进程管理与监控
◆进程管理:通过管理控制台设置进程黑白名单,当进程文件被设置为黑名单后,在终端计算机上就不允许运行;只有管理员重新设置才可以在终端上运行进程文件;
◆进程监控:结合桌面监控功能,管理员可以监控终端计算机的运行进程,从而知晓运行进程对应的应用系统,如果非授权应用程序,则管理员可以远程阻止该进程运行,并设置黑名单后,中断该应用软件的使用;
◆进程异常报警:当终端计算机中运行的进程或应用程序触动该终端计算机的资源警戒线,则系统自动报警告知管理员;通过报警功能可以有效监控一些非法应用程序在企业内部计算机上运行;
◆日志记录:系统提供进程监控、设置、报警等内容记录,为系统审计和统计提供数据;#p#
终端审计管理----“内容墙”
合规效果 全面检验
审计的意义不仅仅是对以事件驱动为特征的追本溯源,更是改进网络安全管理状况的良好保证。该平台可以提供强大的终端行为审计功能,包括:
◆多方位网络活动行为审计:系统提供协议分类审计、用户及用户组审计、时间范围审计;比如可以根据协议类型进行某一个部门或所有部门进行查询和统计,从而了解到该协议下的用户活动行为(状态和数量),也可以根据某一个组或者某一个用户网络活动行为;也可以根据时间条件,了解用户该段时间范围内的网络活动行为;
◆网络活动行为报警:系统提供网络活动行为报警设置,当某一个用户或某用户组的网络活动异常,则系统自动报警而告知管理员;
◆详细的日志记录保存:系统详细的记录网络活动信息,比如计算机的源IP地址和端口、目的IP地址和端口、用户账户、时间、网络活动类型、网络活动内容等信息,并根据相关政策规定,在期限内对日志进行保存;
外设防泄密管理----“外防线”
内外监管 疏而不漏
系统可全面监控以防止非授权人员随意使用单机的各种接口、外设拷贝信息、打印从而泄露重要机密信息。
◆外设控制策略:外设控制策略运行管理员针对每台计算机进行外设端口使用的授权,比如允许或者禁止USB存储设备的使用等。这些端口和设备类型包括USB存储设备、USB普通设备、红外、串口、并口(打印端口)、键盘鼠标、光驱、软驱和1394端口等,用户还可以根据关键字和设备类型进行自定义,管理所有计算机上的设备。使用关键字是一种非常灵活的方式,比如只允许某个打印机使用,而其他任何打印机不能使用等。
◆提供外设启用/禁止功能:系统对计算机外设及端口进行有效控制,根据使用需要进行外设和端口控制;
◆存储设备管控:系统可以对USB存储设备(U盘和移动硬盘)、光驱(含刻录机)、软驱进行限制,提供禁止和启用功能;其中USB端口的键盘和鼠标不进行控制;
◆设备端口管控:提供“禁止和启用”功能;支持串口、并口(打印端口)、1394、红外接口、蓝牙、PCMCIA、无线等进行管控;
◆立即生效功能:针对被控制的设备和端口,设置完成后立即会生效,无需再重新启动计算机;
◆日志记录:系统记录外设设备安全策略配置、配置人、配置时间、生效时间等信息;#p#
主要价值体现
通过部署该系列产品,能够达到最大化的提升相关部门的网络价值:
◆价值一
合法合规
互联网行为要有效遵循国家法律,单位政策;
◆价值二 信息保密
无意识的外发涉密信息将得到极好的控制,有意识的泄密将被阻止;
◆价值三 提高工作学习效率
使人员精力更多的集中在本职工作和学习上;
◆价值四
个人隐私安全防护
个人隐私审计信息的存储与防护采用国家机关制定的涉密信息系统防护机制,有效防止个人信息外泄。
