行业背景:
随着电子政务的普遍应用,内部网络的建设发展并进入实质性的运用,在安全措施上也采取了一些措施进行保护,如:防火墙、检测系统、安全网关等等。维着着用户的网络系统及数据安全。尽管如此,但是依然不能有效解决内部泄密的问题。大家发现内部网络的安全问题日益增多,如网络资源被滥用造成的网络阻塞,重要信息被拷贝和传播等,泄露数据、数据丢失层出不穷,造成了重大的损失。
行业需求:
1、非授权的设备接入。非授权人员可以随意接入内网;且单位网络环境复杂,办公网、外网等多个网络并存,经常在不同网络间交换数据时出现有意或的的的接入,造成数据泄密情况。
2、移动存储介质难管理。缺乏有效的技术手段对移动存贮介质使用进行管控,部分用户U盘内、外网混用,将外网木马等带入内网,并容易成为信息摆渡工具。
3、信息难以分类分级保护,政务网内的计算机存放着大量的信息,不清楚这些敏感数据存放在哪里? 敏感数据是如何使用?是否经过授权使用?是否进行了安传传
4、部分终端系统存在安全漏洞。由于用户计算机水平不一,各单位的技术力量也有差异,部分终端维护不够及时,系统存在漏洞,比如,没有安装并及时更新软件,没有及时进行系统补丁更新,存在弱口令,共享可写目录等,由于缺乏统一检测与批量修复的手段,管理、维护工作量大,容易带来问题。
5、终端上网行为缺乏审计。虽然有部分单位对某些重要信息系统部署了审计系统,对用户访问服务器行为进行记录。但是部署、监控范围小。另外,像U盘直接拷贝、邮件发送、网络文件共享、光驱刻录、打印等,这些手段大多发生在终端或终端之间,只在服务器端进行审计,不能对用户的行为全程进行记录,发生问题时很难进行有效定位。
6、违规外连行为的屡次发生;虽然明确规定内网电脑禁止连接互联网,但由于部分用户安全意识薄弱,存在一机两用的情况,即一台机器既在内网使用也在外网使用,甚至将内、外网联通。一方面可能将互联网上木马等带入内网,另一方面终端可能会成为信息摆渡工具,将内网政务信息发散到外网。而每年的保密检查主要针对一门门,检查范围不能覆盖所有的用户,难以及时、全面地发现违规外联的情况。
解决方案:
桌面安全管理系统
桌面安全管理:进行统一终端安全漏洞检查、安全加固,安全隔离体系;
访问控制:实现主体对客体的访问控制,依据安全策略的控制,对设置敏感标记的重要信息文件赋予相应的读、写、另存权限,且对系统默认共享权限进行控制。
数据安全管理:实现对数据泄密途径的严防管控,主要针对存储数据外发行为(移动存储介质拷贝、打印、违规外连、光驱刻录行为、3G网卡拨号、随身wifi热点等行为)、网络外发行为(http网络外发、邮件外发、即时通讯工具外发等行为)进行管控;
上网行为审计:对职员工作时间内,可监控审计所有操作行为,包括屏幕录像,上网记录,邮件记录,文件外发记录,打印记录等。
准入控制系统
身份鉴别:提供基于USBkey硬件身份识别及Windows用户绑定,对系统登录身份进行识别。
结构安全:通过准入控制的动态授权访问,将内网系统划分多个安全域,安全域之间实现不同的安全策略访问。
业务数据防泄密系统
合规进入:网络层合规进入控制与应用层合规进入控制,只有内部法的设备、用户、程序才能访问业务系统;
发现管理,敏感数据杂而乱,模式匹配来显示;
自动发现终端设备的敏感数据,并统一迁移到授权磁盘;
分类分级:根据业务敏感数据的特征,自动对敏感数据分类、分级;
输出管控:对业务敏感数据的输出管道进行管控,未授授禁禁输出;
加密传输:对业务敏感数据文件内部流转全程采用加密传输;
安全存储:对业务敏感数据进行安全存储,自动迁移至虚拟安全磁盘进行保护;
审核输出 :所有文件输出可以审核;所有数据输出都有控制手段;
记录流程: 所有输入输出操作都有记录、文件泄露可以快速定位泄露源头。
数据交换系统
可以实现在多个网络间进行数据文件交换,避免了一机两用的情况发生,且可以对交换的文件进行审查和审计。 内置安全软件,可以进行安全检查,防止木马。
来源:laoruan
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!