近日，聯軟科技中標吉林省審計廳專網準入及終端安全項目，正式為在網絡準入及終端安全方面保駕護航，聯軟科技攜手多家企業，為企業提供專業的網絡安全解決方案，吉林省審計廳是聯軟科技在安全領域聯手的又一個新的伙伴。

01

項目背景

隨著吉林省審計系統信息化的快速發展，業務和應用越來越依賴于計算機網絡和計算機終端。但是計算機病毒、黑客木馬、間諜軟件進入桌面計算機，在計算機上私自撥號上網，外來移動存儲設備隨意接入，內外網計算機混用等，這些行為非常容易導致桌面計算機和計算機網絡系統的癱瘓，造成審計系統內部重要信息外泄風險，帶來不可估量的損失。尤其是最近幾年來，網絡安全威脅愈演愈烈，網絡攻擊工具越來越多樣，攻擊的目的性越來越明顯。

為了保障吉林省審計專網安全、穩定、高效運行，進一步加強信息資源訪問管理，提高辦公內網計算機機終端抵御信息風險的能力，吉林省審計廳現網系統下急需新建一套技術先進、安全性高、兼容性強的網絡準入和桌面安全管理系統，規范計算機終端對信息資源的訪問管理，從而支持全省系統快速發展、保障整體安全水平。

02

解決方案

根據吉林省審計局的需求，聯軟科技通過實施準入控制及終端安全項目，建設一套完整的終端安全管理體系，最大程度地提高內部資源和網絡的安全性，具體內容如下：

1、終端的安全接入：終端在接入前需要滿足管理員指定的安全級別、需要有合法的身份認證信息，防止外來終端隨意接入內部網絡。

2、非授權外聯設備的使用控制和審計：對U盤、移動硬盤等存儲設備的使用進行合理控制和管理，防止信息的泄露;對藍牙、無線、紅外、手機熱點等外設的使用進行合理控制，防止內網用戶非法連接互聯網。

3、加強接入網絡的內部終端防病毒軟件檢查，加強接入網絡的內部終端防病毒軟件檢查，包括是否安裝指定版本和病毒庫更新時間，支持防病毒軟件多選一的方式進行檢查。

4、終端資產信息的管理：將終端—終端使用人—網絡接口等信息形成統一的管理，便于軟硬件資產信息查詢、軟硬件配置變更告警，可以對有問題的IP/MAC/主機名等進行快速的定位，方便管理員的日常維護。

5、業務數據防泄露

明文/矢量水印：對終端使用的重要業務數據采用水印功能，提高員工安全意識，同時對拍照泄密提供追溯功能

文檔追蹤：對審計廳內部流轉的文件采用追蹤技術，審計文檔內部流轉途徑，同時，對于造成數據泄露的文件可進行追蹤朔源。

6、其它安全管理。

方案價值

03

施實成果

項目適用于吉林省審計廳及下屬各市縣級單位的辦公網準入控制、終端安全管控、終端數據泄密后追溯，支持PC終端、啞終端、云桌面等設備的接入控制，兼容Windows、Linux等操作系統的接入控制。

概括來講，通過部署這套系統將能夠實現以下的管理功能：

1.1.1. 網絡準入控制功能

• 全方位準入控制

完善的準入控制，可以支持局域網、VPN各種接入方式，支持包括HUB在內的各種復雜網絡環境下的部署，保證從任何地點、任何方式下的接入安全。

• 嚴格的身份認證

除基于用戶名和密碼的身份認證外，還支持身份與接入終端的MAC地址、IP地址、所在VLAN、接入設備IP、接入設備端口號等信息進行綁定，支持智能卡、數字證書認證，增強身份認證的安全性。

• 完備的安全狀態評估

根據管理員配置的安全策略，用戶可以進行的安全認證檢查包括終端病毒庫版本檢查、終端安裝的應用軟件檢查、是否有代理、撥號配置、U盤審計、外設管理、桌面資產管理等;支持和瑞星、江民、金山、Symantec、MacAfee、Trend Micro、360、卡巴斯基等國內外主流病毒廠商聯動。外來非法設備或者具有安全隱患的終端將被移送的隔離區，只有在管理員授權或安全隱患得到修復后才能接入企業內網。

• 精細化的權限控制

在用戶終端通過病毒、補丁等安全信息檢查后，可基于終端用戶的角色，向安全聯動設備下發事先配置的接入控制策略，并對未安裝防病毒軟件、存在漏洞的終端按照用戶角色權限規范用戶的網絡使用行為，在控制臺產生告警信息或禁止入網。終端用戶的所屬VLAN、ACL訪問策略、是否禁止使用代理、是否禁止使用雙網卡等安全措施均可由管理員統一配置實施。

• 準入故障審計信息

準入控制系統統一部署后，針對準入故障審計信息應該做到：

1.記錄接入狀態，如果認證失敗，記錄終端準入失敗原因，提供如果認證失敗如何快速處理故障;

2.記錄設備ip\mac\設備名稱\接入時間\哪個交換機哪個端口接入等信息;

3.提供整個認證過程的windows日志進行分析;

• 多種層次的高可用性

提供雙機熱備功能，當兩臺認證服務器都故障時，啟用緊急情況下的“逃生模式”(包括自動逃生和手動逃生)，全網取消網絡準入控制，讓終端用戶不用通過準入認證就能正常接入網絡。

1.1.2. 終端安全管理功能

•終端資產及外設管理

提供對終端資產全方位的監控和管理的功能，可以對終端軟硬件使用情況、變更情況進行監控，能自動收集包括：設備名、IP地址、MAC、硬件配置、軟件配置、所屬部門、使用人、接入交換機端口信息等。對資產的變更信息可審計，可告警提示管理人員。同時還支持終端資產的配置管理和軟件的統一分發、遠程桌面控制，實現對桌面資產的有效管理。

提供對U盤和其他外設的管理功能，可以對終端用戶的各種外設進行控制，第一次接入內網U盤需要申請注冊，由管理員授權U盤使用是否允許接入、內網使用時間與范圍，將設備定位到個人，有效防止重要信息的泄密。

• 設備發現以及快速定位

具有設備快速定位功能。終端接入網絡被系統發現并予以定位的時間小于1min。可以發現接入設備的MAC、IP地址、所屬部門、使用人、設備類型、所在交換機端口。

• 非法外連控制與審計

對藍牙、無線、紅外、手機熱點等外設的使用進行控制，防止內網用戶非法連接互聯網。內網計算機非法連接外網會產生告警，直接禁用所有的網卡，直到管理員解鎖。

• 終端水印與文檔追蹤

對于屏幕顯示和打印提供水印技術，水印分為自定義明文、圖片、二維碼、矢量等多種水印方式，使用明文水印對終端使用人員警示操作行為，對廳內重要業務數據采用矢量水印技術做到拍照泄密后定則。

提供內部流轉文檔追蹤技術，審計內部文件流轉途徑，對文檔的創建者、流轉者、泄密者進行定位和追溯;

• 靈活方便的執行方式

按照網絡管理員配置的安全策略區別對待不同身份的用戶，定制不同的安全檢查和處理模式，包括監控模式、提醒模式、隔離模式和離線模式，支持離線安全策略有效。用戶可以根據自己的實際需要，為VIP客戶、內部員工、外來訪客等不同人群，定義不同的安全策略執行方式。

•易于部署的客戶端

提供易于部署的客戶端，用戶可以根據引導自行下載客戶端，客戶端具有自保護功能不可自行卸載，可以自動升級，對用戶身份和終端安全狀態進行檢查，在用戶終端內存占用最小化。

客戶端必須支持全省內網終端各類操作系統，具有良好兼容性，包括但不僅限于WIN7，XP，WIN8,，WES7、XPE系統和桌面云的準入。支持ip電話/網絡打印機等啞終端的準入控制。

•其他要求

1、集中部署，一體化平臺，統一控制中心。

2、兼容國產化系統，同時支持現網系統與國產化系統并行運行。

3、平臺應具備準入控制、終端管理以及數據防泄密等擴展功能，未來可快速擴展終端安全以及數據防泄密的功能，無需重新部署

保障客戶的機密信息受控，維護企業網絡系統的安全性，提高客戶的信息系統的可用性，是聯軟不斷前進的動力。