《终端安全数据防泄漏解决方案》由会员分享,可在线阅读,更多相关《终端安全数据防泄漏解决方案(18页珍藏版)》请在金锄头文库上搜索。
1、先安科技终端安全管理系统解决方案2019年3月目录一 概述 11.1 方案背景11.2 风险分析11.3 需求分析2二 方案设计 32.1 设计思路32.2 功能拓扑32.3 功能简介42.3.1行为审计42.3.2 桌面管理52.3.3 网络管理72.3.4 文档安全82.3.5 文档加密92.3.6 运维中心102.3.7 报表统计11三 方案价值 133.1一体化信息防泄漏解决方案,强力保护企业核心竞争力 13 事前防御13 事中控制13 事后审计13 智能防护133.2 细致的桌面管理,规范员工行为,提高工作效率133.3 全面的IT运维,帮助企业一手掌控内网IT资产13四 成功案例1
2、4五 先安科技简介161.1 方案背景对于现代企业来讲,计算机、宽带、打印机等作为公司计算资源,如何更加高效的利用 这些资源为公司创造价值,成为了一个重要课题,而传统桌面终端管理太弱、可视化程度太 低、安全/管理/维护脱节、往往是事后救火的特性,使用户的网络管理人员往往疲于奔命, 导致效率低下,漏洞百出。并且与工作无关的上网行为,非法网站访问,外部设备随意接入等,如果不加管理,都 可能使用户的桌面行为趋于失控,不仅影响信息安全和工作效率,容易造成数据泄露,严重 者甚至为企业带来触犯法律法规的危险。刖人肥孑人员方主-#5山扇巾盂im 璃金业网堆面临城胁1林埸军特肯电圭霍赢曼F. 盘电星式,更宙和
3、*僵旳押用市變朽9席时忡趾由5it:piitStKt=an1.2 风险分析 IT资产管理失控网络中终端用户随意增减调换,每个终端硬件配备(CPU、硬盘、内存等)肆意组装拆 卸、操作系统随意更换、各类应用软件胡乱安装卸载,各种外设(软驱、光驱、U盘、打印 机、 Modem 等)无节制使用病毒蠕虫入侵由于补丁不及时、网络滥用、非法接入等因素导致网络内病毒蠕虫泛滥、网络阻塞、数 据损坏丢失,而且无法找到灾难的源头以迅速采取隔离等处理措施,从而为正常业务带来灾 难性的持续的影响。 网络资源滥用IP 地址滥用,流量滥用,甚至工作时间聊天、游戏、疯狂下载、登陆各种娱乐、购物 网站等行为影响工作效率,影响网
4、络正常使用。计算机无统一管理内网规模越来越大,计算机数目越来越多,单位没有统一的计算机使用规范。员工对于 计算机的随意使用,导致计算机系统经常出现故障,信息安全也受到了极大的威胁。重要信息泄密因系统漏洞、病毒入侵、非法接入、非法外联、网络滥用、外设滥用等各种原因与管理 不善导致组织内部重要信息泄露或毁灭,造成不可弥补的重大损失。 补丁管理混乱终端用户不了解系统补丁状态,不及时打补丁,也没有办法统一进行补丁的下载、分析、 测试和分发,从而为蠕虫与黑客入侵保留了通道。下载占用大量带宽终端用户应用迅雷、 BT 等下载软件大量的占用了网络带宽。没有统一的网络流量管理 控制,导致员工上网速度缓慢,影响正
5、常办公。1.3 需求分析随着网络规模的不断扩大,公司的不断发展,企业企业传统的运作方式正在发生改变, 越来越多的业务逐步依靠应用系统来开展,越来越多商业、销售操作依托于网络连接平台, 企业也在寻找如何有效的管理内网行为,提高管理效率的解决方案,结合企业实际情况,提 出了几大需求: 如何过滤非法和色情网站,减少系统安全威胁的同时又令企业规避法律风险? 如何行之有效的管控任意“网络旷工”谨防资源浪费和信息外泄? 如何避免外围设备随意接入企业计算机而给企业带来无法掌控的安全隐患? 如何解决炒股、游戏、聊天工具等程序肆意运行,影响工作效率的问题? 如何平衡工作与休息,使用户劳逸结合,专注本职工作的同时
6、又满足对休闲的需求? 如何合理分配快带,避免无管制的P2P下载,在线试听等占用大量宽带,堵塞网络,影 响关键业务的进行? 如何提高企业规章制度的执行力,让用户的计算机操作在企业合规范围内进行?二方案设计2.1 设计思路主机是承载操作系统、应用软件和数据的载体,一切网络攻击都以攻破主机为最高点。 保护主机安全,就是保护我们数据资产不受侵犯。当我们一谈到安全,就是购买大量的网络安全产品,单真正有效实用的,还是对主机 本身进行防护,胜过万千设备的千堵万堵。而主机加固又是最简单、最便宜、最可靠的技 术解决方案。先安桌面终端安全解决方案是一款真正意义上把传统的“人治”变为高效自动化、信 息化管理的产品方
7、案,本系统平台适用于不同规模和不同复杂程度的局域网管理需求,为 企业管理人员提供一个可以同时面向终端用户、应用系统和计算机网络本身三个层面,依 据管理、安全、运维、审计四位一体设计思想的桌面终端管理平台。2.2 功能拓扑先安桌面终端安全解决方案协助企业管理者通过单一控制台以授权的方式对企业计算机、宽带、打印、外围设备等IT资源进行管控,与此同时规范员工的内网行为,其中包括 计算机使用行为、网络使用行为、 IT 资产使用行为、设备使用行为等,令员工活动在企业 合规范围内进行,提高IT资源利用率,提升员工的工作效率,维护系统的安全稳定,让企 业内部环境井然有序。严ufiE全管理外廠备管理违规外联管
8、理-非法入网冒理呆毒軟件昔理-載屛/水印管理A文祥泄密追蠶k文件外雄管控j审计软忡文件分发网立占测1E审计软醺件异动报警电子邮件审计卜补丁贅理”助时通簡计A远程克面文件操作攻卜发申计注工单音理u盘僅审审计誇远程幵关机文件打印审计批定消息炭送流屋审计远程文件管理屏荊截畀录像审计 IT產产管理-应用程序黑F白名单网站黑/白名单$邮枠蟲/自名单带話/流品港理文件备份毎境慕统暉牆管理系统安全检测23功能简介2.3.1行为审计2.3.1.1 上网行为审计即时通讯审计:a) 系统自动记录主流聊天工具的文本聊天内容b) QQ 的文件发送情况也可以记录下来。可设置即时通讯关键词报警C)设置QQ等聊天软件只能登
9、录指定账号,限制私人QQ的滥用,提升工作效率d) 可审计 QQ 群、微信群聊天记录电子邮件审计:a) 系统能够详细记录 FOXMAIL、OUTLOOK 等邮件客户端发送邮件的信息,包括发送时间、 收发地址、邮件标题、正文内容、附件内容等。b) 可以对邮件的发件人、收件人等条件进行限制,阻止未授权账户发送邮件。c) 支持QQ邮箱、腾讯企业邮箱、163邮箱、网易企业邮箱、263企业邮箱、搜狐邮箱、新 浪邮箱、 139 邮箱等数十种邮箱协议,业内最全;d) 支持Foxmail、Out look、网易邮件大师等主流邮件客户端;e) 国内率先支持 HTTPSSSL 加密传输协议的审计;浏览网站审计:a)
10、 浏览时间、网站地址、网页标题、 URL 等。b) 右键点击可复制网址、打开链接、评价网站、查看当时屏幕截屏。信息发布审计:记录终端用户在论坛、贴吧、微博等的发帖记录:包括发表时间、内容、标题、网址等。泄密追踪:a) 对通过即时通讯、邮件、 U 盘拷贝等方式外传的所有文件,系统都会自动记录。包括时 间、终端名称、操作用户、文件名。b) 系统自动对评定将高风险等级操作涉及到的文件上传到服务器。流量审计:系统提供了实时网络流量的查询方式,可以很好的查看、分析当前企业的网络资源利用情况。2.3.1.2 终端行为审计 USB外发日志 系统会全程记录员工使用USB设备拷贝走了哪些文件,包括:用户名称、操
11、作时间、文件外 发的源途径、目的途径及文件名称。文件操作日志系统会全程记录文件的各种操作包括:操作时间、终端名称、操作用户、新建文件、删除文 件、打开文件、编辑文件、复制文件、重命名文件等。剪切板记录系统自动记录各终端剪切版内容,包括终端、操作员、类型、内容以及该条记录的产生时间 等信息。程序使用日志系统会自动对用户运行应用程序的的情况进行全程记录,包括:运行时间、用户名称、事件 标题以及事件内容(如:错误、警告、正常使用等)。进打印操作日志系统支持打印环节进行全程审计:什么人、什么时间、哪台电脑、哪台打印机、打印什么内 容、多少页数、多少份数,都会全程跟踪记录。智能截屏及录像a) 系统可以屏
12、幕墙形式实时显示终端电脑的屏幕画面。b) 系统自动对各终端电脑进行截屏,并且可自动设置。c) 可以定时进行屏幕录像。2.3.2桌面管理2.3.2.1 移动存储及外设管控 USB管控通过移动存储设备管理功能,你可以限制终端计算机使用u盘等移动存储设备的权限,比如: 禁止使用U盘或者只读模式使用U盘。 USB授权先安支持对任意普通U盘进行认证授权,您可以根据不同需要,通过内部组织架构,为指定 已授权U盘独立设置使用权限,如使用范围、使用期限、操作权限等。 USB加密通过移动存储加密管理功能,可以对移动存储整个设备进行加密,加密的移动存储设备只能 在指定安装客户端的终端上使用,在其他设备中全部都禁止
13、使用。此功能可有效杜绝公司移 动存储设备中的信息被员工私自带到外面或者移动设备丢失设备内的重要信息被别人查阅 的现象外设管控a)通过设备管理功能,管理员可以进行一些外接设备限制,比如:禁止使用光驱、蓝牙、 打印机、手机、mp3、便携WiFi设备、串口、并口、USB接口等操作。b)还可以通过USB端口,设置USB端口禁止终端使用通过USB端口连接的设备,(键盘鼠 标除外),还可以设置例外设备和添加例外设备,勾选后的设备不会被禁用移动存储审计先安终端安全系统会全程记录员工使用USB设备拷贝走了哪些文件,包括:用户名称、操作 时间、文件外发的源途径、目的途径及文件名称2.3.2.2 IT 资产管理硬
14、件资产管理支持对终端内部的硬件信息包括处理器、主板、磁盘驱动器、内存、网络适配器、声卡设备、 显卡设备等型号的记录和查询,当有硬件变更时,生成硬件变更报告,并能够以excel的格 式导出报表。软件资产管理支持对终端安装的软件信息包括软件名称和软件版本号进行记录和查询,当有软件变更时, 生成软件变更报告;系统日志统计全网操作系统安装时间,系统版本,支持导出日志2.3.2.3 应用程序管理A软件黑名单设定黑名单后,右侧列表中所有进程被加入黑名单,不允许运行,还可以手动输 入新的进程加入黑名单。软件白名单 自动扫描系统应用并生成白名单,支持一键导入导出,快速部署2.3.2.4 系统安全策略系统策略管
15、理 设置系统安全策略,如:禁止安装新软件、禁止共享、禁用注册表、禁用任务管理器、禁用 控制面板、禁用安全模式等。保证系统始终处于安全状态。系统安全检测 查看全网终端防火墙设置情况、杀毒软件安装情况、来宾用户开启状态、系统多用户使用状 态及 Internet 代理使用状态。2.3.3网络管理2.3.3.1 网站访问控制通过网站访问控制功能,管理者有效管理终端的上网行为,或者只允许用户访问某些 网站或者设置网页关键词,凡是设置关键词的网页一律禁止打开。网址访问控制支持黑名单 和白名单两种选择,黑名单指设定域名禁止访问,白名单指只允许访问设定域名。2.3.3.2电子邮件管控 通过电子邮件管控,管理员可对全网终端使用邮件进行有效管理,避免员工个人邮
