精诚瑞宝·精诚精诠·精诚集团
繁體中文  |  
产品与解决方案
产品与解决方案-> 自有产品-> 产品方案

内网安全管理与审计解决方案  2015-05-12

业务背景

 

在当前信息化快速发展的情形下,企业在享受信息化带来的高效便捷的同时,也面临着严峻的网络安全挑战。在很多时候,企业会选择将全部或者是大部分预算投入到建设外网安全防御的体系中,往往忽视了针对内网动态的有效审计与管控,而内网管理的缺口,可能将给企业带来更大的安全威胁,从而造成更多的智力资产流失。据统计,有接近80%的安全事件是由于内部造成的信息泄露,可见当前内网安全的严峻性。从内部网络安全的治理关键来看,保护数据安全是其本质性要求,而对数据的安全管理关键点在于对数据的保密性以及完整性进行管理,而数据一般是存放在应用服务器中,所以加强对应用系统的安全管理亦显得格外重要。在对内部的数据进行安全管理,其中体现在对终端进行有效管理、对内部网络进行认证管理以及对应用系统进行访问权限管理。如何更好地保护企业的智力财产安全,加强内部网络计算机外联管理,同时对内部核心或者重要的应用系统进行访问权限限制,最终达到保护内部信息安全的目的,这也成为长久困扰着企业管理者的一个问题。

 

方案概述

 

终端安全防护

针对企业的内网信息安全管理需求,从终端层面出发,以IP-guard防泄密系统为核心,构筑信息防泄漏三重保护方案,第一重保护是对内网信息做详尽细致的审计,既要对信息的本地操作全面审计,还要对信息的流转详细审计,让企业管理员知道内网的安全状态;第二重保护是对信息的流动做严格的控管,屏蔽不必要的流转途径,规范必要的文档流转操作,防止机密信息被恶意泄漏;第三重保护是通过安全稳定的加密,时刻加密企业机密的文档数据,从根源上解决信息安全问题。

 

第一重保护:审计

文档全生命周期审计 对终端用户的文档操作(修改、删除、上传、下载、新建、复制、粘贴、重命名)进行全方位的操作审计。

文档流转审计 对文档在内部网络的流转,如打印、使用外部设备拷贝传送文档、使用IM工具传送、使用邮件发送等方式进行审计。

►桌面安全审计 对桌面进行录屏操作,全面审计桌面操作行为或者可针对特定软件进程进行审计。

 

第二重保护:管控

外部边界管控 对接入终端计算机的外部设备,限制U盘、移动硬盘、光驱、刻录机等各类设备的使用,禁止通讯接口和无线网卡、即插即用网卡等网络设备内部权限管控,对移动存储设备的读写权限进行控制。

内部权限管控 精确控制用户对本地、网络等各种位置的文件甚至文件夹的操作权限,包括访问、复制、修改、删除等,防范非法的文档操作,并根据用户不同的部门和级别设置相应的文档操作权限,同时管理用户对各类打印机的使用权限。

 

第三重保护:加密

对核心部门或者核心重要文档进行自动透明加解密,从数据的源头进行安全防护。

 

网络准入控制

 

UPAS是当前国内网络准入控制系统中的引领者,主要是通过对内部用户的网络接入和访问权限进行管理,对用户身份进行验证以及对终端机上的软件进程开启状态进行检测,防止内部IP/MAC地址被随意篡改,导致IP管理困境,以及防止外来访客随意接入网络,从而通过网络访问内部重要主机或者服务器窃取重要资源,主要通过以下功能进行网络准入管理

►实时阻断未经许可的计算机设备连接内部网络;

实时阻断内部使用者私自修改IP或MAC;

掌握计算机设备与用户的存活实时及历史信息,轻松达成节能减碳的管理目标;

整合AD账号管理功能,管理者可以确实执行AD政策;

提供访客申请与管理功能,访客可以在特定期间连接网络;

检查用户是否未安装或开启指定软件、进程,并提供下载链接实时修补。

 

内部系统、设备特权账号统一管理

 

特权账号,一般指的是系统或者内部网络、安全设备、数据库、中间件等具有较高权限的管理员账号。从大部分安全事件来看,一般权限越高的账户,一旦被控制或者被内部人员泄露账户密码,因其可对内部资源进行较高级别的操作,如批量下载,访问机密资源等,所以这可能将给企业带来不可估量的损失。

 

从当前的企业对于特权账号管理来看,大部分却是缺乏对内部特权账号进行密码管理、权限管理、操作管理,以合理、规范的管理方式,保障特权账号的合规使用。

 

通过Cyber-ark特权账号统一管理系统,对企业单位内部的应用系统、数据库、网络设备、安全设备等重要IT资产的特权账户进行密码管理、权限管理以及操作管理,具体通过以下方式进行

将特权账号密码托管给管理系统,实现人与密码的分离,将密码的管理交给;

定期对特权账户进行密码更换,可通过策略设置更换周期以及密码强度;

可针对特权账号进行操作审计管理,全面审计特权账号的操作行为,以防特权账号滥用自身权限,造成资源破坏或者外泄;

及时阻断特权账号的越权操作或者非法操作。

 

方案架构

 

终端防护系统架构

 

 

网络准入系统架构

 

 

特权账号统一管理系统

 

 

方案优势

 

多层次管理内网安全,从终端层面、网络层面、应用服务器层面,对用户和数据进行合规管理,全面覆盖内网管理要求;

多功能构筑安全体系,可按照不同需求选择不同产品或不同功能模块,打造最契合用户环境的安全管理体系;

高稳定长期正常运作,产品功能的高稳定性,保证了企业内网安全体系的持续防护性。

 

方案组件

 

►IP-guard

♦基本模块

应用程序管控

网页浏览管控

网络流量管控

文档操作管控

文档打印管控

屏幕监控

远程维护

设备管控

网络控制

邮件管控

即时通讯管控

资产管理

移动存储控制

文档加密

 

►UPAS

UPAS-ARPScanner IP/MAC管理系统

UPAS-IPLocator IP地址解析模块

UPAS-ADvantage AD进阶管理模块

UPAS-IDChecker 访客管理模块

UPAS-PCPatcher 软件修补模块

UPAS-NetInsight 网络监测系统

UPAS-IPCut IP阻断模块

 

►Cyber-ark

EPV  企业密码保鲜库

PSM 特权会话管理

AIM  应用账号管理

OPM 请求式账号管理

SKM  SSH密钥管理

 

版权所有 2017 精诚瑞宝计算机系统有限公司 粤ICP备07501181号 粤公网安备 44010602002237号
X
客户留言
留言标题:
联系姓名:
联系电话:
留言内容: