一、概述 随着IT技术的飞速发展以及互联网的广泛普及,虽然防火墙、入侵检测系统等常规的网络安全产品可以解决信息系统一部分安全问题,但计算机终端的信息安全一直是整个网络信息系统安全的一个薄弱环节。据权威机构调查,超过85%的安全威胁来自企事业单位。在国内,高达80%的计算机终端应用单位未部署有效的终端安全管理系统和完善的管理制度,造成网络木马、病毒、恶意软件肆虐,各种0day漏洞、APT攻击层出不穷。 各行各业对信息系统依赖程度的日益增强,在各信息系统中的服务器、网络设备、安全设备的不断增加,服务外包人员也随之增多,加大了企业内控审计的难度。各行各业主管单位需建立更完善、标准的安全管理制度、审核监控制度,加大对第三方网络安全服务机构背景审查力度,建议形成行业内部网络安全服务机构推荐列表。行业机构应建立安全管理关键岗位的人员安全背景审查机制,形成体系化人员审查及储备制度。 信息技术应用创新终端安全运营解决方案集成统一运营组件及终端安全管理组件,为设备远程统一部署操作系统和应用环境,解决终端在部署实施过程中面临的系统安装难,环境配置时间长,标准不统一等问题;同时提供定期自动更新,保证业务连续不间断等运维手段,并在应用层保护系统免受病毒危害,控制文件及外设的合理使用。 二、方案背景 痛点一:企事业单位出现资产设备难以管理的问题,存在设备较多,设备型号多样,分支较多、设备地理位置分散,终端单点维护依靠大量人工现场处理。且容易造成IT资产不能精确统计,资产变动情况掌握滞后。 痛点二:设备在运维时容易出现设备私接难以防范问题,同时维护设备的运维人员流动行强难以管理,会导致无法管理未经认证的U盘、移动硬盘等移动存储等设备接入,成为病毒传播的载体。容易造成全网被动防御病毒、木马的传播与破坏,无法应对未知威胁。且终端中毒后,不能高效有序查杀。 痛点三:数据库系统内的各人信息等重要数据信息泄露将会造成重大损失。比如前端设备,在大部分情况下无人值守,攻击者很容易将这些终端作为入侵的跳板,入网后未经授权访问核心资源;并且发生非法外联不能及时报警并阻断,导致重要资料数据外传流失。 三、适配平台 本解决方案涉及的产品。除了传统的x86架构外,还适配了以下平台: 芯片:飞腾 操作系统:麒麟/统信 四、方案介绍 (一)方案的架构 本方案基于B/S、C/S架构建设,采用SOA的体系结构。在标准规范体系保障下,集成了设施层、数据层、服务层、应用层、展示层和用户层。 (二)应用场景 本方案可以应用于哑终端、工控设备、办公PC场景,汇聚交通、医院、教育等领域各种终端设备,监控并管理所有设备的资产信息、网络连接、运行进程等实时动态数据,构建安全基础设施平台,助力城市精细化管理水平。 (三)技术特点 1)进程保护 通过白名单管理和控制运行的程序,只可以运行白名单中的程序,保障授权程序才能运行。拦截不在白名单中的程序,防止恶意程序非法运行。对于系统升级、应用程序等情况,也有操作简单的增加授权程序的功能。 2)外设管控 通过外设接口类型、外设设备类型维度管理和控制设备接入,设置外设白名单,只允许接入白名单中的外设,禁用不在白名单内的设备,确保有效保障系统设备接入安全。 3)防病毒 在文件、进程、网络、服务等维度均设计了全面的防护规则,有效地针对操作系统的脆弱点进行防护。且具备勒索病毒的事前防御、事中监控拦截、事后恢复全套的闭环的三重纵深防护,还具备文件保护、实时防护、智能备份的能力,能够有效防御勒索病毒,最大限度保护用户文档。 4)远程升级和策略下发 通过服务器下发指令,客户端即可进行远程升级及策略下发,执行结果可以即时报告给网络服务器。 (三)核心优势 优势一:支持进程白名单; 优势二:符合各种行业标准; 优势三:可接入各平台,适配各软硬件产品。 优势四:全面监控,威胁发现,量化风险
|