虽然各种加密手段不断升级,但是一旦连接互联网,计算终端上的信息依然存在被窃取、被破译、被攻击的各种安全隐患。强内才能御外,为此,兆芯、统信软件联合盈高科技推出“终端安全可信防护解决方案”,为客户的终端安全体系建设添砖加瓦。
“网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施”。随着信息技术的发展,信息化对国家政治、经济、文化、社会和军事等领域产生了深刻影响,但同时网络安全威胁和风险也日益突出。
从国家规划层面来看,信息安全产业发展已上升为一项国家战略,政府、金融、能源、工控、电信、交通、医疗、教育等重要行业和关键领域将快速推进国产化替代进程,网络安全已然是信息安全产业发展中必不可少的一环。
为了更好的助力网络安全产业发展,兆芯、统信软件携手盈高科技共同打造了「终端安全可信防护解决方案」,该方案充分利用三方在技术、服务、市场等方面的优势,共同探索不同行业用户对于终端安全的需求,为行业客户量身定制的终端安全体系解决方案。
全方位、多层次、立体化
终端安全可信防护方案
--盈高主机监控与审计系统--
基于兆芯通用处理器、统信UOS操作系统打造的盈高终端安全可信防护联合解决方案,可实现对内网终端用户安全行为、终端资产状态、终端网络行为等进行全面监控审计管理,有效防止数据泄露、软件使用不规范、违规操作等终端安全问题,全面满足国家分级保护的管理要求,全面提升客户终端安全防护能力。
终端安全可信防护联合解决方案产品架构完美兼容兆芯通用处理器,并结合兆芯处理器进行了性能优化,能够为行业用户提供高稳定性、强兼容性、高安全性的终端一体化安全管理方案。
该方案基于统信UOS系统底层安全模块设计,前端应用程序和后端服务之间的通信主要是通过dbus进行保证, 普通用户无法轻易获得特殊权限,不会轻易破坏系统安全性、形成系统安全漏洞,造成不必要的损失。此外,统信软件和盈高科技还完成了专门的兼容性认证并获取企业签名,保证应用合法性,更好的提升管控效果。
01 核心功能
1. 统一安全策略管理
为管理者提供一个统一的管理中心,系统管理责权分离。安全管理员可以通过管理中心为单位内网制定统一安全管理策略,支持面向群组的组策略管理。灵活、强大的安全管理策略定制机制,让单位内网安全管理轻松、便捷、高效。
2. 终端行为监控与审计
主要针对终端的打印、光盘刻录、网络访问、登录及身份认证、账户变动、主机网络配置变动、移动存储设备、进程行为等行为进行统一管控,系统提供完备的日志查询功能以及多样化的统计分析报表。
3. 终端系统状态监控和审计
实时监视在线终端的运行状态,主要包括:进程信息、端口连接信息、软硬件信息、CPU使用率、磁盘使用率、内存使用率、主机安全状态、系统服务等。支持终端操作系统安全事件审计,包括软件安装卸载事件、安全策略变更事件、可执行程序加载事件、违反操作系统访问控制策略、身份鉴别、安全审计相关事件、其他系统安全事件等。
4. 文件监控及网络共享监视
根据策略对指定文件、指定目录的整个生命周期进行监控与审计,对生命周期中的访问行为如创建、修改、删除、重命名等进行监控和追踪记录,也可根据策略监控终端的网络文件共享行为,支持的共享方式包括SMB、ftp、tftp等。
5. 资产管理
支持人员、组织机构与终端资产关联,收集相关资产信息并展示。可以监控软硬件信息变化,以利于更好地管理终端资产。同时,支持查看内网终端审计软件安装情况。
6. 多种报警方式
系统支持声、光报警,支持邮件报警通知,确保在内网发生安全事件时能及时通知管理员进行处理。
02 方案优势
1. 资源占用率更低
统信系统和此方案完美适配,底层架构先进,安装后所占存储空间小,系统运行资源占用率低。(CPU不超过10%,内存不超过40M)
2. 存活性更高
兆芯、统信与盈高科技合作推动制定了安全启动方面的规范,从启动时就保证了软件的安全性和存活性,不存在控制进程被中止、被卸载,从而能有效管控系统内终端。
3. 更高效
兆芯处理器已完成与此方案的适配,适配性能卓越,单台服务端可以稳定支持3000台以上信创客户端同时在线管理,效率更高。
03 实践案例
客户案例:某政企单位
01 客户面临的安全挑战
某政区单位在响应国家政策与号召,逐步完成信息安全升级的过程中,为了确保业务的安全稳定以及提高单位内部的安全管理水平,需要建立一套完整的自主可控终端安全管理体系,以应对以下挑战:
1、非授权的网络接入
让非授权人员可以随意接入内网,对于办公网、涉密网和外网等多个网络并存的政府单位网络环境来说,容易有意或无意地造成数据泄密情况。
2、移动存储介质难管理
部分用户U盘内、外网混用,将外网病毒、木马等带入内网,并容易成为信息摆渡工具。
3、业务系统敏感信息难以分类分级保护
客户不清楚这些敏感数据存放在哪里、如何使用、是否经过授权使用、是否进行了安全传输以及存储、是否能够追踪敏感数据的流转流程。
4、部分终端系统存在安全漏洞
由于缺乏统一检测与批量修复的手段,管理、维护工作量大,容易带来安全隐患。
5、用户行为缺乏审计
发生信息外泄事件时难以追踪和定位。
6、违规外连行为的屡次发生
一方面可能将互联网上的病毒、木马等带入内网,另一方面终端可能会成为信息摆渡工具,将内网政务敏感信息发散到外网。
02 解决方案
1、终端准入控制
①边界完整性检查:
禁止非法内连/非法外连行为,有效阻止非法终端恶意接入敏感数据区,防止敏感数据区恶意外接其他网络;
②结构安全:
通过准入控制的动态授权访问,将内网系统划分多个安全域,安全域之间实现不同的安全策略访问。
2、桌面安全管理
①桌面安全管理:
提供统一的终端安全漏洞检查、安全加固、安全隔离体系;
②访问控制:
实现主体对客体的访问控制,依据安全策略,对设置敏感标记的重要信息文件赋予相应的读、写、另存权限,且对系统默认共享权限进行控制;
③行为安全管理:
实现对数据泄密途径的严防管控,主要针对存储数据外发行为、网络外发行为进行管控;
④安全审计:
对操作系统上的所有文件操作记录都可审计,包括重要敏感信息,比如对U盘直接拷贝、邮件发送、网络文件共享、光驱刻录、打印、网络外发等用户行为进行审计。
3、业务数据防泄密
分类分级:根据业务敏感数据的特征,自动对敏感数据分类、分级;
水印管理:对敏感数据增加水印,防止截屏、拍照导致泄密;
输出管控:对业务敏感数据的输出管道进行管控,未经授权禁输出;
记录流程: 所有输入输出操作都有记录、文件泄露可以快速定位泄露源头。
04 客户价值
1、通过一套系统、一个客户端实现准入控制、桌面安全管理、业务数据防泄密等功能;
2、通过准入控制、桌面安全的集中管理,确保电子政务网终端安全相关的管理要求做到“可落地、可执行、可检查、可优化”;
3、 完整的保密体系建设,针对数据信息的存储、使用和交换等环节进行完整的防护,解决了等级保护突出的信息保密需求;
4、完善的网络边界安全防护方案,从网络、存储设备等途径全方位考虑,提供了对边界安全防护灵活完善的解决方案,用户可以清晰、灵活和安全地界定不同密级和不同业务部门的信息安全边界,防止非法外联、非法接入和非法信息泄漏等破坏边界完整性行为的发生;
5、 建立桌面电脑的集中式快速安全管理体系,对数量众多、难以管理/监控的桌面电脑建立完善的安全评估、安全加固、集中维护体系,以提高桌面电脑的安全性及降低桌面电脑的日常维护工作量。良好的易用性和兼容性,不会改变业务系统的主要结构,也不会对业务系统的操作人员带来过多的习惯改变。
本次兆芯、统信软件携手盈高科技助力某政企单位完成信息安全升级过程中,不但实现了单位内部安全管理水平的提升、还保障了日常业务开展的安全稳定,并且根据客户自身需求,建立了一套完整的自主高效终端安全管理体系。
兆芯国产CPU性能卓越,生态体系成熟,拥有杰出的操作系统和软硬件兼容性,在兼容成本、应用连续性等方面具有先天优势。未来,兆芯、统信软件、盈高科技还将继续携手,积极推动政企单位信息化创新平台的建设和落地工作,为我国信息技术创新发展贡献力量。
| 文中产品介绍及图片均来自兆芯合作伙伴
如有后续更新恕不另行通知,如涉侵权请告知我司予以删除 |