一、全面的、实用的解决方案
NiordSec内网安全平台的总体目标是保障内网系统安全有序的运行,规范和约束员工的各种行为,防止敏感信息泄密。NiordSec内网安全平台由一个基础平台和5个子系统组成,其体系结构如图1.1所示。可信网络认证授权子系统提供以用户和计算机为对象的各种认证行为,同时基于访问控制、数据加密、行为监控、网络分域、安全审计等内置功能,通过与可信网络认证子系统、可信桌面管理子系统、可信网络监控子系统、可信移动存储介质管理子系统和可信网络分域管理子系统相结合,对企业内网提供全方位的保护。
可信网络基础平台
·可信网络认证授权子系统
·可信桌面管理子系统
·可信移动存储介质管理子系统
·可信网络监控子系统
·可信网络分域管理子系统
1、可信网络认证授权管理
从访问控制的角度,分析传统的企业网络的安全状况,存在三种严重的安全缺陷。(1)不能保证企业网内主机可信,即没有明确的企业网安全设备边界,这样造成的严重安全隐患是恶意主机可以方便地接入企业网络,进行恣意的网络破坏和窃密活动。(2)不能保证企业网内用户的可信,即没有明确的企业网安全用户边界,这样不仅造成终端使用者行为不可控,而且造成了他们的行为不能有效审计,在安全事故发生后,出现了难以有效追踪和定位泄露源以及追究泄密者安全责任的尴尬局面。(3)不能保证服务资源的使用者可信,即没有可靠的服务资源的安全使用边界,因此恶意窃密者可以利用可以接触的网内任意主机进行暴力攻击(如密码的字典攻击)和旁路攻击(如绕过信息系统的认证机制,直接登入该信息系统依赖的数据库)而窃密网络内重要的服务资源。
因此,为了保障企业网的安全,必须要保证网内所有接入主机可信,保证网内所有接入用户可信,以及保证服务资源的使用者可信。
存在的安全隐患
单位的计算机数量越来越多,无法集中管理;
不清楚哪些用户能够使用计算机或者正在使用计算机;
用户可以随意地登录其同事的计算机并获取一些敏感数据;
外部笔记本电脑接入内部网络,获取敏感数据或进行网络破坏活动;
随意进入敏感服务器并获取非授权资料;
帐号/口令的用户认证方式太脆弱,容易被窃取。
我们帮您解决
计算机集中管理。对内网中的所有计算机信息采集后统一进行显示和管理,采集的信息包括终端计算机ID、名称、IP地址、版本、所属组等。可以针对特定的计算机设置规则和策略。
用户集中管理。对内网中的所有用户进行统一分配和管理,可以针对特定的用户设置规则和策略。提供用户ID和USB令牌两种模式来标识用户。
用户登录授权。可以设定某个用户能够使用哪些计算机,也可以设定某台计算机只允许指定的一个或者多个用户使用。同时记录用户登录计算机的信息,包括登录时间,登录用户名等。
计算机接入认证。任何接入内部网络的计算机都必须安装NiordSec内网安全平台,未经许可的计算机将被隔离在内网之外。
服务资源分布式授权和审计。对内部业务服务器群细粒度的统一身份认证,各类业务应用服务器、数据库服务器都在保护的范围之内。同时提供对服务器资源的访问操作进行日志记录。
身份认证扩展功能。除了用户ID和USB令牌两种身份标识模式外,还提供了智能存储型USB硬件认证设备、智能指纹型USB硬件认证设备以及数字证书的支持。
2、可信桌面管理
为了提高企业或单位的竞争力,现今几乎所有的办公环境都已实现了计算机化,它们在网络中共同或独立地处理任务。随着计算机数量的快速增长,网络也变得越来越复杂,使得管理员不仅要处理单机问题,还要处理复杂的网络问题。如果每一个问题的出现都需要管理员亲自到现场去维护,显然会使他们感到工作繁重,最终导致效率低下。另外,企业或单位的敏感信息以及员工的行为需要得到有效的控制:一是杜绝员工的非许可行为,如工作时间处理工作以外的事情;二是对敏感信息的操作监视和外泄控制,如将信息通过外设拷贝或传输到企业外部,对敏感文档执行了不该执行的操作等。因此,如何针对日益增加的计算机进行远程清查、控制和管理,使得管理员不用到现场就可以解决终端发生的众多问题,是桌面管理非常值得关注的问题。
存在的安全隐患
计算机软、硬件数量无法确实掌握,盘点困难;
无法有效防止员工私装软件,造成非法版权使用威胁;
硬件设备私下挪用、窃取,造成财产损失;
应用软件购买后,员工真正使用状况如何,无从分析;
员工在工作时间处理与工作无关的事情;
员工通过移动磁盘拷贝、刻录、打印、非法拨号外联等途径将内部资料泄露到外部;
对于特定类型的敏感信息,无法对其操作进行监视;
无法统计终端的软、硬件信息,从而掌握企业或单位的资产,并能跟踪资产的变更情况;
无法按照企业或单位的统一规划、分发及自动安装软件和补丁;
无法即时发送公告,通知终端用户某类消息或工作指令,或者终端用户即时发送公告给管理员,请求解决某类问题;
无法监视终端用户的桌面,掌握终端的运行进程以及CPU、内存和磁盘的使用状况,从而约束他们的行为;
不能够查看和控制终端的帐户和共享,减少信息外泄的风险;
居高不下的信息化资源成本,不知如何改善。
我们帮您解决
敏感信息拿不走。系统提供外设管理功能,通过控制终端外设的使用,实现终端用户在非授权的条件下无法拷贝或传输敏感信息到企业或单位外部。
敏感信息看不懂。系统通过透明加、解密敏感信息,实现非授权用户即使带走了敏感信息也无法阅读。
文件操作强审计。系统提供文件控制功能,通过严密审计敏感文档的操作,实现用户违规操作的事后追查;
用户行为的可监控。在监视方面,系统提供远程终端监视功能,使管理员可以实时地监控用户正在运行的应用程序、桌面状况、内存和硬盘的使用状况等。如果某个用户的行为不符合企业或单位的规定,则可通过锁定或截屏操作终止其行为或进行实时取证。在控制方面,系统提供进程控制功能,控制用户是否允许运行某个程序。该功能一方面可以规范用户的行为,有效提高员工的工作效率,另一方面也保证了终端的稳定性,防止病毒的攻击。
终端资产的可计量。管理员能够对终端的软、硬件资产进行统计,并能跟踪其变更,防止企业或单位资产的流失。
数据分发的可自动。管理员能够将文档、软件或补丁分发给终端,并根据它们的性质选择存储、安装或执行。
信息交互的可即时。管理员和终端用户之间的信息交流,用于企业或单位内公告的发布和反馈。
3、可信网络监控
从用户的网络行为的角度,分析传统的企业网络的安全和管理状况,存在三个方面的缺陷。(1)不能保证网络的