文章详细

金盾内网安全产品案例分析业界

软件IC网 / 2016-01-06 08:56:10
  一、项目背景  中国移动河北分公司(以下简称河北移动)是中国移动根据《中华人民共和国外资企业法》在河北省设立的全资运营子公司。

  一、 项目背景

  中国移动河北分公司(以下简称河北移动)是中国移动根据《中华人民共和国外资企业法》在河北省设立的全资运营子公司。河北移动拥有一个全省覆盖范围最广、通信质量高、业务品种丰富、服务水平一流的移动通信网络,网络规模和客户规模列湖北全省第一。
  随着河北移动单位信息化业务的不断发展及网络的日益扩大,各地市分公司网络建设范围不断扩大,网络日趋复杂,而各个地市终端操作人员电脑操作水平良莠不齐,这使得移动业务支撑内网存在着诸多的安全隐患,因此,迫切需要一款产品,实现对入网终端的身份及安全状况进行检查,并在检查的同时能够实现对终端电脑存在的危险项进行自动修复,保障终端始终以安全合规状态接入网络;同时,由于移动通信业务是涉及民生的基础性业务,如何防止终端操作人员在业务操作过程中数据业务的保密性,避免发生移动客户信息资源的外泄,也是网络建设者急需解决的问题。

  二、 需求分析

  虽然河北移动内网部署了防火墙、防毒墙等一些列的内网安全管理设备,颁布了一系列的规范制度,但是仅仅是具备了防止恶意访问业务服务器、防范病毒泛滥的功能,但是像终端数据泄密风险、网络无限制访问风险等仅仅停留在制度阶段,不能从技术手段上保障规范的坚决落地执行,不能解决网内的以下问题:

  1、终端入网的身份认证

  现阶段河北移动网内已部署的防火墙或网管交换机能够对入网终端进行初步的MAC入网认证,但是像MAC地址冒用、入网后的后续控制等是没有有效的控制方法的,移动网内亟需一套完善的准入控制、身份认证产品,不仅能对终端进行入网的身份认证,还须具备身份防冒用、入网后的持续监管控制等功能。

  2、服务器的访问保护

  河北移动网内的4A等重要服务器缺少访问控制的保护功能,需要禁止外来人员的私自接入,保护移动生产网内部核心的业务系统不被未经授权的访问,需要实现对业务系统的安全访问。

  3、数据防泄密

  移动业务引起业务数据的关键、特殊性,如何防止业务系统线上数据和线下的文档数据在合法获取处理过程中的安全性,如何确保文件在多级流转时不被篡改保护数据的完整性,如何防止文件跨部门、跨区域使用,使各部门各司其职防止有意或无意的操作造成泄密,成为移动网络亟需解决的问题。

  4、U盘任意使用

  河北移动业务系统计算机基本不能访问外网,外设是数据交换的一个重要途径,包括U盘、光驱、打印、红外、串口、并口等;U盘由于使用的方便性,现已成为数据泄密、病毒感染的出入口。通过封贴端口、制度要求,即便是拆除光驱、CMOS 禁止 USB 端口等方式无法灵活对外设进行管理,特别是对USB接口的管理,另外,个别工作人员通过将外界拿来的光驱接到客户机上或主板电池放电方式重置CMOS设定,达到客户机可以使用光驱与USB移动存储设备的目的。

  5、终端远程维护

  由于网络接入地理位置分散,各个营业点分部在不同的市县中,日常对终端的软件使用等小问题进行现场维护时费时费力效率低,针对此情况,需要一款能够对终端进行远程控制的软件,实现软件问题的远程维护,提高工作效率。

  6、非法外联

  工作人员通过小WIFI工具等方式绕过防火墙的监控直接连接外网,向外部敞开了大门,使得单位内网的IT资源暴露在外部攻击者面前,攻击者或病毒可以通过无线进入单位内网;另一方面,内部工作人员可能通过这种不受监控的网络通道将单位的商业机密泄漏出去,给单位带来社会、经济损失但又不易取证,如何杜绝此类情形,是网络管理员头疼的问题。

  三、 项目方案

  针对河北移动的相关需求,金盾软件提供金盾NACP产品解决方案来实现相关需求。在部署时,采用一台金盾服务器部署在网络内核心的服务器交换机上,通过在双核心交换上的端口镜像功能,实现对服务器访问的合法性访问控制,进而通过客户端插件的安装,实现对终端电脑的一系列数据防泄密策略和安全行为规范策略。网络接入逻辑拓扑如下:

  1、入网身份认证

  通过NACP服务器的身份认证、准入控制功能,可以对入网终端的网络访问行为进行监视并过滤,禁止非法终端的4A等服务器的访问,只有身份认证通过的终端才能继续进行下一步的入网安全状态评测;
  身份认证时,为防止对合法终端的非法冒用,金盾NACP产品客户端插件安装时,会为每台终端生成一个全球唯一的标识(ID),即非法终端即时仿冒了合法终端的MAC、IP、计算机名等信息,依然无法入网,有效防止了冒用入网的问题;

  2、终端安全状态评测

  入网终端进行身份验证通过后,NACP客户端插件可以对入网终端的安全状态进行检查,包括检查是否安装杀毒软件、是否禁用Guest账户等涉及系统运行安全的项目,检查通过的终端才能访问业务服务器;

  3、施加安全策略

  施加安全策略:终端身份认证及评测合格后,金盾NACP对终端电脑施加安全策略,包括禁止使用USB接口、禁止连接WIFI上网、资产变化报警等功能,通过一系列的安全规范策略,提高业务终端电脑的整体安全性;

  4、数据防泄密管理

  安装NACP管理插件后,通过NACP系统的数据隔离沙箱功能,可以为每一台入网终端生成一个“绝对”安全的数据使用沙箱桌面。生成此桌面后,通过一系列的策略设置,实现只允许终端电脑在此沙箱桌面内操作线上和线下业务数据的功能。
  沙箱桌面是一个与原始桌面完全隔离的安全的数据处理环境,在沙箱桌面内处理的数据,无法将4A线上业务数据通过复制、粘贴的方式拷贝至原始桌面使用;业务数据文件存储在沙箱存储内,无法将沙箱存储内的业务数据文件通过分区拷贝、桌面拷贝、网络发送、外设拷贝等方式带离沙箱存储,实现对数据存储安全隔离的目的。
  同时,针对可能发生的打印、拍照等造成泄密的情况,NACP沙箱隔离系统支持对终端电脑施加水印策略,施加策略后,打印或拍出的照片中将含有数据流出终端的相关信息,便于事件的倒查溯源。

  5、USB管理使用规范

  金盾NACP产品USB管理解决方案主要可以对终端电脑的外设使用进行规范,例如可以禁止使用U盘、光驱、打印机等外设,同时,因为现阶段USB接口设备众多,金盾USB管理解决方案通过三个方向的功能配合实现对USB接口的全方位管理:1禁用:支持对USB接口全部禁用、仅USB存储禁用、USB读写禁用;2认证:USB外设认证、U盘加密认证、U盘非加密认证;3审计:USB存储插拔认证、USB存储内文件操作认证;通过一系列功能的配合使用,实现了对网内U盘的使用。

  6、远程终端维护

  为简化管理员的日常管理,金盾NACP产品内集成IT资产统计与报警、文件分发、终端远程调试等功能,通过同一平台内一系列辅助功能的使用,既提高了网内终端的整体安全性,又提高网络维护人员整体的日常维护效率;

  7、终端违规外联管理

  金盾NACP违规外联管理方案,主要分为事前预防、事中阻断、事后日志倒查三个方面; 事前,可以有效对终端可能的外联途径进行封堵,例如多网卡、3G上网卡等方式;同时,事中,对终端的网络连接状态进行实时检查,当检查到违规外联互联网时,可以实时向管理员发送报警邮件,同时对其网络访问进行隔离或关机;事后,当违规终端连回内网后,终端电脑能够将违规外联的日志发回服务器,方便管理员进行事后审计;

  四、 收益价值

  ·实现对服务器的安全访问保护,有效杜绝未经允许的对服务器的资源访问;
  ·实现了全网终端安全状态的同查同测,使管理员能够实时掌握网内终端电脑的安全状况,使网络安全又上一个台阶;
  ·通过一系列的技术手段的配合,能够彻底的杜绝银行内网违规连接互联网造成的泄密风险,提高了用户数据在网内存储的安全性;
  ·通过NACP产品功能的应用,有效为德州银行颁布的USB使用规范制度提供了技术上的强制保障手段,可以彻底规范内网USB接口的使用规范,提高了管理质量。
  ·通过便于网络运维的辅助功能的使用,提高了运维人员日常的网络维护效率。

1.软件IC网遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.软件IC网的原创文章,请转载时务必注明文章作者和"来源:软件IC网",不尊重原创的行为软件IC网或将追究责任;3.作者投稿可能会经软件IC网编辑修改或补充。


阅读延展

地址:北京市海淀区紫竹院路66号赛迪大厦十八层 (100048) 京ICP证041415号 | 京ICP备05039896号-3 | 京公安网备11010802015075

免费服务热线:010-88558864 联系电话:010-88558857 010-88558840 传真:010-88558861

Copyright © 2017 - 2021 softic.com.cn All Rights Reserved 软件IC网 版权所有
1
3