《银行终端管理及安全整体解决方案LANDesk桌面管理系统》由会员分享,可在线阅读,更多相关《银行终端管理及安全整体解决方案LANDesk桌面管理系统(65页珍藏版)》请在金锄头文库上搜索。
1、 Word版本-审核通过版银行终端管理及安全准入整体解决方案2020年3月 67 / 67目 录1概述31.1背景31.2现状分析31.3建设目标52LANDesk桌面管理介绍52.1部署阶段63LANDesk准入控制介绍73.1概述73.1.1局域网存在的安全问题83.1.2传统准入控制面临的问题93.1.3部署ID网络安全管理系统的意义103.2ID网络安全管理系统简介113.2.1系统组成和架构113.2.2典型网络拓扑133.2.3ID网络安全管理系统功能133.3优势应用场景203.4产品优势214明朝万达Chinasec(安元)数据安全管理平台介绍224.1公司介绍224.2产品概
2、述224.2.1产品简介224.2.2产品研发背景244.2.3产品设计理念254.2.4产品特点264.3产品架构294.3.1产品架构294.3.2部署方式304.4功能介绍324.4.1虚拟安全环境324.4.2邮件智能加密324.4.3移动存储介质管理系统334.4.4硬盘加密系统334.4.5外部设备管理354.4.6虚拟安全域354.4.7网络安全管理364.4.8文档主动加密374.4.9文档自动加密374.4.10安全文件夹384.4.11应用保护系统384.4.12文件审批系统394.4.13虚拟加密磁盘404.4.14身份认证414.4.15传输数据加密414.4.16安全
3、邮件414.4.17终端管理系统425LANDesk桌面与准入结合联动436LANDesk与明朝万达Chinasec(安元)结合联动457部署效果与收益451 概述1.1 背景XX银行已经在终端整体部署LANDesk桌面管理系统。依托XX银行运维技术人员及其良好的运维经验,辅于LANDesk桌面管理系统整体的功能,XX银行终端管理及安全能力进一步提升,管理效率整体提高,终端安全性日趋完善。随着XX银行对终端管理及安全要求进一步提高,上级监管部门日益严苛的安全审计及要求,LANDesk原来桌面管理系统模块在某些专业功能上已经无法满足XX银行目前要求。LANDesk厂商根据业界的真实需求与自身的创
4、造性思维,不断地推出了新的适应用户的解决方案,例如:终端安全准入系统、终端审计系统、与友商明朝万达推出整合方案安全数据防泄密系统等;针对XX新的要求,LANDes准入控制系统及与友商明朝万达推出整合方案安全数据防泄密系统能够帮助用户进一步提高终端的安全性,实现更严格有效的管理。安全方案与产品在业界也是一种逐步提高的过程,受限于各产品方案的推出与成熟度提高,准入系统与防泄密系统最近二年已经成熟起来,并受到越来越多的高端用户的接受和欢迎。1.2 现状分析XX银行在终端主要部署LANDesk桌面管理系统及瑞星(360)杀毒软件,实现如下主要功能:a) IT资产管理:通过LANDesk收集终端资产信息
5、,并形成满足要求的报表;b) 客户端远程协助:为员工故障终端提供快捷、高效的维护,提升管理效率;c) 软件分发:通过LANDesk独特传输技术,快速分发(卸载)终端软件;d) 外设控制:控制外设(USB设备、3G网卡等)在终端的使用,只有允许的外设才能接入终端;e) 软件黑白名单:只有在白名单内的程序才可以在终端执行,列入黑名单的程序则不能在终端执行;f) 其他如补丁管理、操作系统部署等;g) 杀毒软件。上述功能基本是每家银行的必备功能,基本都进行了实施布署,但目前方案已远远达不到用户目前对终端资产管理及终端安全性要求,XX银行提出如下新的需求:1. 对终端接入网络进行控制目前XX银行存在如下
6、情况:n 非法终端禁止接入内部网络,无法有效提醒,非法终端的接入位置难以确定;n 终端不符合遵从性检查,比如是否有终端没有安装LANDesk软件、杀毒软件或其他必要软件等;n 存在终端更换了网点(如:终端从网点A搬至网点B),技术上难以限制,造成资产在各分(支)行的变动需手工统计;私自修改IP/MAC地址等;n 具有终端资产基本统计报表,但其准确性难以确定并仍需手工盘点辅助,耗时耗力;终端接入网络安全问题可归纳为如下几种:非法接入、非法外联、保证网络安全边界完整、防止私改IP地址、确保终端设备合法性和安全性、终端统计数量的准确性、防止伪造设备接入网络等等。2. 终端数据防泄密XX银行通过各种手
7、段增加终端安全性,如使用LANDesk禁止USB等外设接入,但是受信任的通过U盘拷贝、QQMSN等通讯软件传输、邮件外发等依旧可以拷贝内部涉密数据到个人电脑等通过各种工具造成资料外泄。通过对终端数据加密,可以有效解决终端数据安全问题。1.3 建设目标 LANDesk桌面管理系统与LANDesk准入控制系统联动结合,可以对整个XX银行的终端管理更严格;如强制实施终端安全策略,提供主动防御的能力,防止不合规、不安全的终端接入网络,防止私自更改IP地址等; 利用LANDesk准入里的鹰眼设备,可以实现对HUB等不支持SNMP协议的设备下终端的管理,这样的优点是基本不改变网络环境。 当不合规的终端异常
8、接入时,发现定位更精准 通过对两个数据源的对比,更好的实现终端统计数据的准确性; 建立数据防泄密系统,确保终端涉密数据安全性,比如可以防止通过U盘拷贝、QQMSN等通讯软件传输、邮件外发等等途径。2 LANDesk桌面管理介绍LANDesk蓝代斯克,在国内外银行安全管理方面拥有较好的经验,通过积极参与国内银行业用户的项目,基本了解目前国内银行业的管理现状和需求,设计出能基本满足国内银行业PC安全管理需要的领先方案。LANDesk包含的管理模块与安全模块,如下:说明:网络准入、审计模块为单独模块,不含在最初的原方案中。LANDesk硬件网络准入方案于2013年底推出。LANDesk审计模块方案于
9、2014年上半年推出。2.1 部署阶段部署阶段可分为两个组成部分,一部分是新购PC的部署,另一部分是存量PC的部署。新购PC,一般都需要开始进入操作系统安装部署阶段。这时LANDesk能提供批量部署操作系统的工具LANDesk OSD, 通过远程的镜像克隆,把包含基本系统文件,基本应用程序,基本业务程序,基本管理策略、LANDesk客户端程序的终端镜像存档在中心服务器端,进行批量的镜像推送。存量计算机的部署基本就是LANDesk客户端的部署,难度较低。因为基本的安全策略都已经集成进了客户端配置中,只需要点击安装完代理就结束了,快速方便,同时客户端代理程序包含全部的功能,所以在推广部署的时候,会
10、节省大量的部署时间。3 LANDesk准入控制介绍3.1 概述众所周知,员工对系统的滥用、错误的维护以及恶意访问导致机构业务面临很多现实的安全威胁。Gartner调查分析表明:机构20%的电脑终端已被蠕虫、木马等病毒入侵。机构中20%的终端被违规使用,鉴于终端的非法使用和病毒的泛滥,80%的网络将会实施网络接入控制。近几年来,传统IT响应机制开始受到BYOD(Bring Your Own Device)的威胁,根据IT研究公司Gartner报告显示,BYOD趋势为机构在提高员工移动和远程办公方面创造了新的机遇。但随之而来的安全问题成为了机构IT部门最为关心的问题。根据调查结果看到,有86%的受
11、访机构计划在采购像苹果iPad这类的平板电脑,为移动办公提供支持。而BYOD可行的要点中,安全占32%(最高),其次才是成本和部署。机构评估安全的首要问题来自于员工使用私人设备和部署新的机构移动平台,Gartner建议机构将重点放在采用移动数据保护(MDP)、网络准入控制(NAC)和移动设备管理(MDM)工具方面。NAC可以强制实施机构安全策略,提供主动防御的能力,防止不合规、不安全的终端接入网络,有效控制病毒、蠕虫的蔓延,提高BYOD的安全性。不幸的是,网络准入控制仍然面临着没有标准、存在准入盲区、部署困难、维护成本高等许多不足和挑战。蓝代斯克(北京)软件有限公司最新推出的ID网络安全管理系
12、统是下一代网络准入控制系统,是首个实现全面完整的网络准入控制技术的产品,综合了领先的网络可视化技术、设备准入控制技术和终端准入控制技术为一体的纯硬件安全解决方案。该解决方案为用户提供了一套切合实际,适合各种个性化安全要求和网络环境,有效的解决了传统准入盲区、部署困难、维护成本高等难题。3.1.1 局域网存在的安全问题综上所述,局域网面临着严重的安全威胁,我们将目前可能存在的安全问题归纳如下:1. 非法接入、非法外联的问题2. 如何保证全网边界完整的问题3. 防止私改IP地址,IP地址管理难的问题。4. 保证终端设备合法性和安全性的问题5. 伪造设备接入网络造成的安全性问题如果缺乏有效的“局域网
13、规范管理”手段,机构内部网络常常处于管理混乱的状态。机构不知道局域网有什么人、有多少人、有多少终端正在使用机构内部网络;不知道终端是否安装了要求的终端软件、是否使用了外来的终端设备进入内部网络;不知道局域网中IP的使用情况;不知道内部员工在下载文档的同时,也在使用3G网卡向外发送;不知道是否有外部的网络设备(如:私带的路由器、无线AP、等)正在本单位的内部网络运行。虽然大多数单位都采用身份认证、授权、桌面管理(或终端安全管理)等技术来进行保障,但过于依赖客户端软件,加之缺乏有效的控制手段(例如,缺乏有效的网络准入控制),使得这些技术的作用难以达到用户的目标要求。如果不采用创新性的、正确的方法来
14、评估终端、设备安全状况,即便是最值得信赖的用户也有可能在无意间通过受感染的设备威胁内部网络。更何况恶意人员渗透内部网络而有意绕开传统安全策略的问题发生时,将如何发现并定位?对安全厂商而言,似乎最好的办法就是推荐准入网关(或者虚拟网关)技术,与访问控制技术结合,在汇聚层或者关键应用前部署准入网关,当失控的终端访问关键应用时,准入网关可以强制其安装客户端,失控终端发起的访问数据包将被丢弃。由于准入网关只是局部的访问控制,用户的网络数据流经过网关,才被控制,无法做到接入局域网的准入控制,有很大的局限性。3.1.2 传统准入控制面临的问题综上所述,如何有效的部署网络准入控制系统,帮助用户解决上述诸多局
15、域网安全问题。由于金融行业其网络结构具有的特殊性,传统准入控制技术不能全面满足用户的实际环境需求,主要有以下几种原因:1 网络地域分布范围广,不集中,涉及到分行及支行不同地域分布的情况。2 802.1x协议需要进行交换机的配置,实施起来配置相对比较复杂;另外也存在有少量的老旧设备不兼容的现象;实际布署时在交换机等设备均为同一厂商时实施相对方便,准入效果才会比较好。3 需要改变网络结构,一些准入控制系统往往需要在网络中部署Enforcer(准入控制器)或者额外增加交换机,通过改变网络结构达到准入控制的效果。4 不支持设备准入控制,传统准入一般将网络中的非终端类设备加入白名单,例如网络打印机、ATM机、网络摄像机、VOIP电话、瘦终端等,缺乏有效的监测及控制。5 传统网络准入盲区带来的隐患,由于种种原因造成准入策略失效,就形成了准入
