网站首页 关于向勋 新闻动态 产品展示 产品订购 成功案例 解决方案 联系我们
分类导航
思科成长型企业解决方案  (1)
病毒防护  (1)
反垃圾邮件  (1)
IPS  (1)
防火墙  (1)
WEB内容过滤  (1)
虚拟专用网(VPN)  (1)
无线移动  (1)
语音 VOIP  (1)
SSL VPN 解决方案  (1)
物流行业解决方案  (1)
入侵防护解决方案  (1)
互联网访问及防病毒方案  (1)
数据保密解决方案  (1)
网络视频监控系统解决方案  (1)
流量控制解决方案  (1)
链路负载均衡解决方案  (1)
服务器负载均衡解决方案  (1)
企业网解决方案  (1)
校园网解决方案  (1)
广域网解决方案  (1)
北信源上网行为管理解决方案  (1)
北信源某政府行业解决方案  (1)
最新文章
北信源-某政府行业解决方案
上海向勋网络科技有限公司   2011-09-09 10:35:22 作者:SystemMaster 来源: 文字大小:[][][]

某政府行业解决方案

1、前言

某政府行业信息化的发展,主要表现在微电子、通信、计算机及网络等技术的广泛应用,实现各种水利基础信息遥感、遥测以及快速的信息传输和处理。

 

某政府行业信息化主要包括信息的采集、传输、存储和应用,这四个方面通过网络有机成为一体,其中信息的采集、传输和存储,一般称为信息系统的基础设施,主要为应用提供服务。目前应用业务主要包括电子政务、水情测报预报、防汛指挥调度、水资源调度与管理、水质监控、水土流失监测、建设管理、视频会议等。

1.1 某政府行业信息化建设现状

1.1.1 信息化重点工程建设
 

Ø 国家防汛抗旱指挥系统

Ø 国家水资源管理信息系统

Ø 全国水土保持监测网络和管理系统

Ø 中国农村水利管理信息系统

Ø 水利建设与水库移民管理信息系统

Ø 水利电子政务系统

Ø 国家水利数据中心

Ø 水利网络与信息安全保障系统

1.1.2 信息化制度建设 
 

《水利信息网络运行管理办法》、《水利部政务内网管理办法》、《水利部政务内网身份认证系统及数字身份证书管理规定》和《水利部政务内网命名及IP地址分配规定》等一批管理办法出台并实施。 
 

1.1 当前某政府行业信息化工作

某政府行业信息化建设的近期主要任务是:

 

1.基本建成覆盖全国水利系统的水利信息网络,全面开发水利信息资源,建设和完善一批水利基础数据库。

2.健全信息化管理体制,形成法规、标准规范和安全体系框架,全面提供准确、及时、有效的信息服务。

3.重点建设国家防汛抗旱指挥系统、国家水资源管理决策支持系统、国家水质监测和评价信息系统、全国水土保持监测与管理信息系统、全国水利政务信息系统等,并部署实施其他应用系统的建设。

4.建立水利信息化教育培训体系,加快水利系统内部专业技术人员的选拔培养,为今后的发展奠定人才基础。

 

今后3~5年,水利信息化发展的总体目标:一是建成完善的水利信息化基础设施,二是形成完善的水利信息化业务应用体系,三是建立完善的水利信息化保障环境。 

 2、某政府行业行业终端安全建设依据

某政府行业行业内网终端安全管理建设将主要遵循和参照如下信息安全法律法规、政策要求和安全标准,及其他相关规定和标准:

 

 

Ø《信息安全技术信息系统安全等级保护技术要求》(GB/T 22239-2008

2008年颁布的信息安全等级保护国家标准——《信息安全技术信息系统安全等级保护技术要求》中,在边界完整性检查、主机安全、身份鉴别、安全审计、数据安全与备份恢复等几个方面明确规定了必须对内网终端计算机应采取安全管理、准入控制管理、非法外联控制、身份认证、安全审计管理、文件加密保护、介质管理、资产管理等相关措施。

 

Ø《水利信息网运行管理办法》水办[2006]495

该办法明确提出“接入水利信息网政务外网”的水利行业各单位要加强网络安全管理,落实网络安全责任制;定期分析、评估所属网络的安全状况,配备网络安全设施,制定有效的安全保障方案;加强网络安全监视,落实安全保障措施;明确专门的网络安全管理人员,负责网络安全管理工作。

政务内网运行管理按照《水利部政务内网管理办法》(水办[2006]254号)执行。

 

Ø《水利网络与信息安全体系建设基本技术要求》

2010年水利部组织并审议通过的《水利网络与信息安全体系建设基本技术要求》依据国家信息系统等级保护要求,结合水利信息化实际,提出“两网三区四级”的水利网络与信息安全体系框架和分区、分域防护的安全策略和各安全区域的安全要素,明确要求采取相应措施实现各安全要素。
 

 

3、某政府行业行业终端安全管理解决方案

本方案将通过对内网终端计算机的桌面使用安全管理子系统、终端准入控制子系统、终端身份认证子系统、移动存储介质管理子系统,以及终端安全综合审计等五个子系统进行设计与阐述。 

3.1 某政府行业行业终端安全解决方案

3.1.1 桌面使用管理子系统

桌面使用管理子系统用于评估并检验终端计算机的安全性,同时管理终端计算机的软硬件资源,以及监控终端计算机的运行状态和外联行为,完成对终端计算机的资产管理、安全加固、外设管理、运行异常监控与远程维护协助,确保经过授权用户能够按照授权许可的安全策略正确地使用和操作终端系统。

 

桌面使用管理子系统主要通过部署北信源内网安全管理系统来评估并检验终端计算机的安全性,实行补丁检测下发和防病毒软件检测等终端加固措施,提供软硬件资源登记及终端设备变化报警、进行远程维护、软件进程保护和终端流量监控,以及非法外联监控等功能,防止通过其他途径而造成的敏感信息的泄漏。

 

北信源内网安全管理系统工作流程

 

北信源内网安全管理系统主要实现功能如下:
 

l 能够对终端电脑硬件资源、软件资源,以及软、硬件资源变更的信息统一与管理;能够解决终端电脑外围设备(软驱、光驱、刻录机、U 盘、移动硬盘、拨号连接、无线上网、红外传输、蓝牙、串并口、打印机等)的使用管理与控制;
 

l 能够对终端电脑软件安装、进程运行、服务加载的监控与保护的安全问题;能够快速有效地定位网络中病毒、蠕虫、黑客的引入点,及时、准确地切断安全事件发生点和网络;
 

l 能够对终端电脑登录密码、用户权限、IP访问控制、IE安全设置、注册表监控与保护的安全问题;对终端电脑运行资源、异常流量、异常进程的监控与管理;
 

l 能够对终端补丁安装进行管理,能够统计每台终端补丁安装情况,能够根据补丁策略选择补丁自动分发和人工选择补丁分发,根据不同需要制定不同策略实现补丁的自动分发。
 

l 能够对终端安装防病毒软件进行管理,监控终端是否安装杀毒软件,安装哪款杀毒软件、杀毒软件是否运行等。
 

l 能够对终端用户的非法外联进行管理,如未经允许私自连入单位内非授权网络或者外联网的行为;并可以监控受控终端离开受控网络后,是否有违规连入外联网等行为。

 

通过对终端计算机的桌面使用安全管理,最终实现对终端计算机的安全使用控制与管理,实现对终端计算机的资产登记与管理,防止终端用户非法外联,保证终端计算机的使用和运行安全。|
 

 

3.1.2 终端准入控制子系统

终端安全准入控制的核心思想在于屏蔽一切不安全的终端计算机接入网络,或者规范用户接入网络的行为。它主要用于管理所有非内网终端试图接入内网或其他网络的行为,以及行业内网终端离开本地内网,接入行业内其他单位内网的漫游行为控制。

 

终端安全准入控制管理子系统主要通过应用北信源网络接入控制管理系统来完成对未知终端、授权终端的安全准入管理与控制。该系统能够完成基于802.1x协议的准入控制技术、基于ARP协议的分布式阻断技术、基于虚拟强制隔离的准入控制技术等多种环境下的安全准入管理控制,为内网终端的安全接入控制提供了一道绿色的保护屏障。

 

终端接入控制管理流程图

 

北信源网络接入控制管理系统能够确保终端电脑只有在安装终端安全管理组件,并符合必要的安全策略的前提下才能被允许接入内部网络,否则会强制终端电脑跳转到访客隔离区,待完成终端管理软件的下载和安装成功后,且符合既定安全策略要求时才可准许接入内部网络。必要的安全策略包括:

 

Ø 终端电脑只有在安装主流防病毒软件,并且升级到最新病毒库的前提下才能被允许接入内部网络;否则会强制终端电脑跳转到指定安全修复区进行病毒软件安装和病毒库升级等修复动作,修复完成后且符合既定安全策略要求时准许接入内部网络;

 

 

Ø 终端电脑只有在安装必要的OS补丁或者应用程序补丁的前提下才能被允许接入内部网络;否则会强制终端电脑跳转到指定安全修复区进行补丁软件安装和升级等修复动作,修复完成后且符合既定安全策略要求时准许接入内部网络;

 

 

终端安全准入控制实现示意图如下:

终端安全准入控制实现示意图

 

通过对终端安全准入控制管理,最终实现对终端计算机的安全控制与合规性管理,实现终端系统的可管理性、可控性,杜绝不安全的终端电脑在网络中的运行,防止各种不安全因素在网络中运行而造成的敏感数据泄漏的风险。
 

 

3.1.3 终端身份认证子系统
 

终端身份认证子系统用于识别和确认终端用户的身份信息,完成对终端用户的身份鉴别,确保只有合法的终端用户才能使用终端计算机,避免非授权用户擅自使用终端计算机系统。

 

终端身份认证子系统通过北信源安全登录与监控审计系统来完成对终端用户的身份鉴别,确保只有经过合法验证的终端用户才能使用终端计算机。

 

该产品是综合利用登录身份认证、文件系统加密等核心技术开发的身份认证授权保护系统。该产品认证工作流程如下图:

认证工作流程示意图

 

首先,它通过硬件(USBKey)和软件(USBKeyClient)相结合的方式实现了物理身份与用户身份的双重认证;同时还能够将USBKey与操作系统不同权限用户的绑定,实现对USBKey的权限划分。

 

其次,采用的登录key能够与计算机管理相互结合,如拔除实时锁屏管理,屏保锁屏管理,注销锁屏管理;同时,还能够禁止在安全模式下通过key进行登录。由于USBKey本身的唯一性,从而保证了登录用户的唯一性。

 

通过终端身份认证管理子系统可以完成对终端用户的身份认证与授权管理,防止非法用户或非授权用户擅自终端计算机而造成的数据信息的失密、窃密事件发生。
 

 

3.1.4 移动存储介质管理子系统  
 

移动存储介质管理子系统主要完成对移动存储介质规范化的管理,实现内部的移动存储介质未经授权无法在外部使用,而外部的移动存储介质未经许可则不能在内部使用的管理控制,最大限度保障移动存储介质的安全使用,避免网络病毒的肆意传播、敏感信息的泄漏。

 

移动存储介质管理子系统将通过北信源移动存储介质使用管理系统来完成对各类移动存储介质的授权管理与控制。它通过为移动存储介质标记不同的控制标签来划分成任意容量的交换区和保密区,且需要通过密码认证才可以访问。该产品自带USB标签制作工具,能够对移动存储介质进行保护和加密,对移动存储设备进行使用范围授权,访问控制等综合的管理。

 

北信源移动存储介质管理应用示意图

 

北信源移动存储介质使用管理系统主要实现功能如下:

 

Ø 能够对移动存储设备统一进行接入认证管理,能够支持终端识别指定的移动存储设备。

 

Ø 能够对存储介质进行分区管理,能够通过标签方式将存储介质分为交换区和保密区,并可灵活设置分区大小、访问密码,数据存储方式均为加密存储。

 

Ø 能够对存储数据采取加密管理方式,如采用AES加密算法对存储数据进行加密。

 

Ø 能够对移动存储介质的读写权限进行管理;能够通过对移动存储介质写入标签,实现分级权限控制。

 

Ø 具备移动存储介质审计和文件操作审计功能,能够对移动存储的插拔动作进行审计;能够对文件操作的各种行为进行审计,包括读、写、删除、修改、拷贝等。
 

 

3.1.5 终端安全审计子系统

终端安全审计子系统采用北信源主机监控审计系统实现对终端用户访问行为、设定目录文件的操作行为、共享文件的输出行为,以及对终端用户的打印行为进行统一监控与综合审计。最终实现对终端操作行为、远程访问行为的集中记录与审计,便于对各种事件信息的统计分析和事后跟踪、追查。

 

终端安全审计管理子系统通过集中统一的管控和审计平台,完成对上述子系统的统一策略配置与下发、集中管理与审计。

  

3.2 水利行业终端安全解决方案组件

 

组件名称

产品组成

备注

桌面使用管理子系统

北信源内网安全管理系统

 

终端准入控制子系统

北信源网络接入控制管理系统

 

终端身份认证子系统

北信源安全登录与监控审计系统。

 

移动存储介质管理子系统

北信源移动存储介质使用管理系统、北信源光盘刻录监控与审计系统

 

终端安全审计子系统

北信源主机监控审计系统

 

其他子系统

北信源存储介质信息消除系统、北信源电子文档安全管理系统、北信源计算机信息系统保密检查工具

 


 

 

3.3 终端安全管理部署结构

终端安全防护建设拓扑示意图

 

4、方案总结

 

本方案基于某政府行业行业的信息化现状与发展,结合其重要的应用系统,通过对内网终端计算机的桌面使用安全管理子系统、终端准入控制子系统、终端身份认证子系统、移动存储介质管理子系统,以及终端安全综合审计等子系统的安全防护进行了详细阐述,形成了具有某政府行业行业特点的终端安全管理防护一体化解决方案。

 

同时,通过北信源集中管控与策略平台(EDP SERVER)对上述子系统进行集成化的管控;最终实现对内网授权终端用户的可控、可管、可审计,从而形成了完整的终端安全管理体系,为整个网络系统信息安全管理体系建设打下坚实的基础。

版权所有:上海向勋网络科技有限公司    电 话:021-60518476  传真:021-34681690 
地址:上海市益文路101号2号楼209室     沪ICP备11004828号