中電投內(nèi)外網(wǎng)終端準(zhǔn)入安全管理項(xiàng)目
業(yè)務(wù)需求
- 項(xiàng)目背景
-
(1)需要實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入和網(wǎng)絡(luò)資源訪問控制
·非法接入的終端,都無(wú)法訪問網(wǎng)絡(luò)和數(shù)據(jù)資源,也不能對(duì)網(wǎng)絡(luò)造成攻擊和干擾;
·實(shí)現(xiàn)全網(wǎng)網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問控制,所有網(wǎng)絡(luò)設(shè)備只有獲得允許的情況下才能訪問網(wǎng)絡(luò)資源,否則將不能訪問任何網(wǎng)絡(luò)資源。
·網(wǎng)絡(luò)準(zhǔn)入和終端的安全和管理狀態(tài)檢查能夠?qū)崿F(xiàn)聯(lián)動(dòng)。終端安全和管理的狀態(tài)和網(wǎng)絡(luò)資源訪問權(quán)限實(shí)現(xiàn)聯(lián)動(dòng)。網(wǎng)絡(luò)準(zhǔn)入的同時(shí)提供靈活的方式,實(shí)現(xiàn)終端獲得修復(fù)資源,修復(fù)和保持安全和管理狀態(tài)。
(2)終端的統(tǒng)一管理和安全加固
·實(shí)現(xiàn)終端外設(shè)和接口的統(tǒng)一監(jiān)控管理,終端只能使用授權(quán)的外設(shè)和接口,并且對(duì)管理員指定的外設(shè)(如u盤、打印機(jī))的使用過(guò)程進(jìn)行記錄。
·實(shí)現(xiàn)對(duì)終端注冊(cè)表和系統(tǒng)配置的統(tǒng)一監(jiān)控管理,管理員能夠?qū)K端的注冊(cè)表和系統(tǒng)配置進(jìn)行檢查,檢查不合格的項(xiàng)目可以進(jìn)行自動(dòng)修復(fù)和記錄。管理員可以對(duì)終端進(jìn)行分組,并設(shè)置統(tǒng)一的windows安全策略。
·實(shí)現(xiàn)對(duì)終端補(bǔ)丁的統(tǒng)一管理,對(duì)終端補(bǔ)丁的操作系統(tǒng)類型進(jìn)行智能識(shí)別和統(tǒng)計(jì),并對(duì)安裝補(bǔ)丁級(jí)別進(jìn)行分類和統(tǒng)計(jì),能夠進(jìn)行智能的補(bǔ)丁分發(fā),按照客戶端的操作系統(tǒng)類型和補(bǔ)丁級(jí)別自動(dòng)安裝需要的補(bǔ)丁程序,并對(duì)安裝的結(jié)果進(jìn)行記錄和統(tǒng)計(jì)。
·實(shí)現(xiàn)對(duì)終端上運(yùn)行的程序和進(jìn)程進(jìn)行網(wǎng)絡(luò)訪問控制,管理員限制只有授權(quán)的程序和進(jìn)程才能訪問網(wǎng)絡(luò),代理軟件、惡意軟件等其他非法軟件禁止訪問網(wǎng)絡(luò),防止非法惡意軟件對(duì)網(wǎng)絡(luò)上其他終端造成攻擊和干擾。
(3)終端統(tǒng)一安全運(yùn)維管理
·實(shí)現(xiàn)通過(guò)集中管理平臺(tái),對(duì)網(wǎng)絡(luò)準(zhǔn)入訪問控制規(guī)則,終端管理和安全策略的進(jìn)行統(tǒng)一控制,集中管理;
·實(shí)現(xiàn)對(duì)終端的分組控制和遠(yuǎn)程協(xié)助,管理員可以根據(jù)終端用戶的身份、物理位置或管理需求,將終端劃分成不同的組,分配不同的網(wǎng)絡(luò)準(zhǔn)入控制、終端管理和安全策略等;同時(shí),終端用戶可以發(fā)起申請(qǐng),管理員遠(yuǎn)程直接控制終端電腦進(jìn)行問題處理。
·實(shí)現(xiàn)終端準(zhǔn)入控制規(guī)則、管理和安全策略的遵從情況的統(tǒng)計(jì)報(bào)表功能,按照管理員設(shè)定的時(shí)間段進(jìn)行統(tǒng)計(jì)報(bào)告,以便管理員針對(duì)全網(wǎng)終端的狀態(tài)采取相應(yīng)的措施。
解決方案
- 項(xiàng)目建設(shè)
-
依據(jù)中電投的情況,采取雙中心部署模式和分級(jí)管理,中電投總部、各分部均采用主備管理中心,各自部署獨(dú)立網(wǎng)絡(luò)準(zhǔn)入控制管理系統(tǒng)。各自部署獨(dú)立網(wǎng)絡(luò)準(zhǔn)入控制管理系統(tǒng),分別對(duì)本部的終端計(jì)算機(jī)進(jìn)行管理和控制。同時(shí)中電投總部作為一級(jí)管理中心,各分部作為二級(jí)管理中心鏈接到總部。
·資產(chǎn)管理與資產(chǎn)變更管理。LeagView自動(dòng)采集桌面電腦和筆記本電腦的軟件、硬件資產(chǎn)信息,自動(dòng)發(fā)現(xiàn)資產(chǎn)變更。
·信息安全管理。LeagView能夠自動(dòng)發(fā)現(xiàn)接入到網(wǎng)絡(luò)中的外來(lái)電腦,防止外來(lái)電腦竊取機(jī)密文件,能夠?qū)?nèi)部網(wǎng)絡(luò)的電腦撥號(hào)上網(wǎng)或者使用USB等行為進(jìn)行監(jiān)控,通過(guò)上網(wǎng)審計(jì)和上網(wǎng)過(guò)濾功能防止員工使用外部的郵件服務(wù)器收發(fā)郵件。
·桌面電腦和手提電腦安全漏洞檢測(cè)。LeagView自動(dòng)檢測(cè)所有的操作系統(tǒng)漏洞、微軟應(yīng)用系統(tǒng)漏洞,確保桌面系統(tǒng)的安全性。同時(shí)能夠檢測(cè)常見的桌面安全設(shè)置。
·安全接入控制。對(duì)不符合安全規(guī)定的電腦或者外來(lái)電腦,限制其接入內(nèi)部網(wǎng)絡(luò)或者限制其訪問重要服務(wù)器和網(wǎng)絡(luò)資源。
·集中式維護(hù)。LeagView允許管理員對(duì)數(shù)以千計(jì)的桌面電腦進(jìn)行集中管理、維護(hù)。
方案價(jià)值
-
·在日常的終端安全管理上可針對(duì)不同人員、不同時(shí)間段靈活定制安全策略,特別是網(wǎng)絡(luò)準(zhǔn)入控制、非法外聯(lián)管控、終端安全管理、設(shè)備快速定位、資產(chǎn)管理,網(wǎng)絡(luò)設(shè)備監(jiān)控等功能,不僅能與中電投的網(wǎng)絡(luò)環(huán)境緊密結(jié)合,解決目前出現(xiàn)的安全隱患及問題,而且在很大程度上為網(wǎng)絡(luò)維護(hù)人員帶來(lái)工作方便。
·一個(gè)管理平臺(tái)即可實(shí)現(xiàn)所有所需測(cè)試功能,不僅節(jié)省投資,同時(shí)還可提高運(yùn)維效率,最終能為單位整個(gè)網(wǎng)絡(luò)安全的長(zhǎng)遠(yuǎn)規(guī)劃建設(shè)帶來(lái)很大幫助。