|
一、我国政府网络安全现状
近几年,政府信息化步伐很快,对终端越来越依赖,对网络安全非常重视,基本已经部署了安全产品进行防护:包括部署了反病毒软件,边界安全防护的防火墙,防止黑客入侵的IDS。虽然部署了这么多安全产品但还是存在很多安全隐患。
国家发布的《国家信息化领导小组关于加强信息安全保障工作的意见》中认为,不同的信息系统有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。要重点保护基础信息网络和关系信息安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。
就目前政府的安全状况,其最薄弱的环节还是对内网的管理,和对网络行为的管理。
对内网维护而言,目前政府维护人员比较少,计算机维护量大,内网行为复杂,这些情况都是目前政府内网管理所急需解决的。
|
二、问题分析
我国政府信息化发展速度快,在发展的过程中出现了一些内网管理的问题,下面就从内网运行维护的角度分析我国政府内网的安全隐患和需求。
|
内网安全问题 ?
1、系统漏洞
系统补丁和杀毒软件没有及时更新,从而导致了内网的安全隐患。
|
2、没有对“非法外联”进行管控
虽然政府单位明令禁止内网电脑私自接入外网,但目前3G、4G、无限WIFI、蓝牙、手机等新型网络连
接形式的出现,很容易设置成代理热点或其他形式使得内网终端连接外网。
|
|
3、没有对“USB移动存储设备”(byod)进行管控
U盘、移动硬盘、智能手机、WIFI、蓝牙等移动存储介质可以轻易接入内网,从而导致内网安全受到
威胁。
|
4、没有对 “非法接入设备” 进行禁止
外来笔记本等智能设备,可以轻易接入内网,访问内网资源,从而导致内网安全受到威胁。
|
维护问题 ?
1、政府网络维护问题是近几年的热点问题。内网维护难,主要是设备(PC)多,人员少,工具差。
2、以一些业务程序(如OA)升级为例,内网计算机操作人员的计算机水平参差不齐,很难通过主动获取的
方式进行远程维护和升级,通过网管人工升级,效率又很低。
3、由于政府规模比较大,计算机分布比较分散,就是二三级网络比较多,需要由网管统一进行管理,达到
集中管控。
4、政府普遍缺少有效的IP地址管理,造成IP地址使用混乱,经常修改IP地址,使得不少网管手中的IP地址对
照表已失去价值。(DHCP除外)
5、政府软件正版化的要求,需要管理人员及时掌握和统计每台电脑安装的软件情况。
|
三、政府内网管理之道
内控王政府内网解决方案,是针对以上的问题,推出一系列的功能的组合,消除内网中的各种内网安全隐患,减轻管理人员工作压力,创造绿色的网络运维环境,提高网络使用效率,成为政府信息化等级保护考评中的重要砝码!
|
一、内网安全主动防御方案
1、补丁管理系统
内控王补丁管理系统通过对全网计算机的监测,自动更新补丁库,新发现补丁后可自动下载,对于新
出现的客户端可自动安装补丁。实现全自动的补丁管理方式。内控王采用了流量调节机制,对于大规
模补丁安装的带宽做了限制,不会影响内部网络的使用。
|
2、终端电脑合规检测
合规检测将对终端电脑是否启动了杀毒软件、是否开启防火墙等安全项目进行自动检测,如发现安全
问题将提示警告或禁止其接入内网。
|
3、“非法外联”管控
终端启用非法外联报警后,无论终端以什么方式连接外网(Wifi路由等),都能及时阻断连接并报警!
|
4、USB移动存储设备管控
◆ 智能识别,不同USB设备可区别对待。
① 设置了针对USB存储设备的禁用功能后,内控王会自动识别用户插入的设备是否属于存储设备, 并
拦截设备同时弹出提醒对话框;
② 对于其他非存储设备,如 USB鼠标、键盘、打印机等不影响正常使用。
◆ 授权使用USB设备。
① 网络管理人员可以对内部的USB存储设备进行注册并设定一个使用权限;
② USB端口封锁情况下,只有注册过的USB存储设备才可以在指定的PC机上使用,未经授权的PC机上
不可用;
③ 被注册过的USB设备亦可在局域网内全部PC机使用。而自带的USB存储设备和未经授权的存储设备
均无法使用。
|
5、非授权接入阻断
对非法接入终端(智能设备),在没有允许的情况下私自接入内网的将禁止其访问内网;
内控王相关功能:非法外联管理、补丁管理、USB移动存储(byod)管理。
|
二、终端维护方案
内控王对终端的维护主要分为几大类,主要分为:
1、系统维护
能够了解每台机器的基本情况,即时显示远程客户端电脑的系统运行状态,并可以随时进行系统的远程
维护。
2、网络资源管理
对网络的计算机名,工作组,IP,MAC地址及相关的网络情况进行了解,集中进行管理。尤其是对用户
的IP地址进行管理。
3、文件分发、程序分发
通过该功能分发程序和文件,自动升级应用程序,提高效率。
4、资产统计
硬件资产统计,可以对所有客户端电脑的硬件配置自动生成统计报表。
软件资产统计,可以对所有电脑安装的应用软件自动生成统计报表。
|
内控王总体部署方案
根据以上对政府内网问题的分析和内控王提供的解决方案,最终的部署拓扑如下图。
|
|
政府常用到的功能包括:
1、USB外设管理(USB移动存储、智能设备(安卓和IOS)、光驱和刻录、随身WIFI、蓝牙设备等)
2、USB白名单(授权使用)
3、USB设备使用审计
4、软件安装权限
5、软硬件资产统计及变更报警
6、通讯管理(http\邮件\ftp)
7、打印审计与管理
8、终端PC远程维护(远程协助)
9、消息发送
10、文件分发、程序分发
11、补丁管理
12、程序黑名单
13、非法外联报警
14、终端合规检测
......
|
内控王典型政府用户
|
|
|