政府系统内网安全解决方案

网络现状与安全隐患

        目前我国政务机构的基本架构为“三网一库”(办公业务内网、信息资源外网、涉密专网和信息资源数据库)体系。随着政府信息化工程的逐步深入,业务应用环境越来越复杂,而许多政府的桌面应用仍以传统PC模式为主,这种情况导致在桌面管理方面面临着如下挑战:
        相关网络主管部门缺乏有效的技术手段,不能形成完善的管理机制,使得政府的内网管理长期处于被动管理的局面,发生信息网络安全事件后的快速处置能力薄弱。据国际权威调查,85%以上的安全事件出自内网。内网信息安全是一个广泛的概念,包括了桌面管理、监控审计、授权管理和信息保密等内容,一个完整的内网信息安全体系,需要考虑计算机终端、用户身份、计算机外设、应用系统、网络、存储和服务器等各方面的因素。
        近些年政府部门加大对电子政务的规划和建设,导致桌面计算机数量越来越庞大,用户分布也非常广泛,而且用户对访问桌面环境时的位置无关性要求越来越高。在这种情况下,桌面安全管理难度极大,很难形成标准化的管理,人力支持成本居高不下,且又无法产生对业务推动的实际效益。
        根据国家信息主管部门相关要求,电子政务信息系统平台一般采用政务内网、政务外网和互联网三网模式。其中政务内网与外网之间采用物理方式隔离,政务外网与互联网之间采用逻辑方式隔离。而传统PC模式需要采用多台计算机,不仅使办公桌面繁杂,而且PC的分散化导致很难建立和完善统一的内网安全机制。
        传统PC模式将所有敏感文件都保存在桌面计算机上,但由于政府网络涉及面广,参与人员多,开放性强,技术水平不平衡,管理手段有差别,所以很容易出现安全方面的漏洞。在这种情况下,文件失密的风险非常大,特别是政务内网的机密信息容易暴露危险之中,一旦发生泄密事件便会有损政府的形象。
        从电子政务内网安全状况看,网络边界安全管理、非涉密计算机中存储敏感信息带来的信息安全管理、信息网内违规网站的管理以及移动存储介质内外网随意使用的情况是急迫需要解决的安全管理重点工作。因此,在已有安全管理技术建设基础上,应进一步加强上述方面的安全管理技术建设,建立并完善电子政务内网安全管理技术体系和工作机制,强化对信息与网络安全问题的监测、预警和处置能力,确保电子政务内网的安全运行。
        综上所述,为了支持电子政务的桌面变革,需要一种安全的桌面管理模式来应对当前政府单位遇到的各种挑战,从而满足高效、易用、高安全性的需求。

传统脱困之道问题分析

        针对以上政务桌面管理挑战,目前许多政府单位采用传统的方式来解决问题,比如为了应对安全管理难度大的问题,政府部门一般出台相关规定或通过破坏外部端口来控制桌面的使用行为,同时增加人手进行桌面管理工作,但往往发现使工作的便捷性大幅降低,也无法有效控制并解决问题;另外,为了应对多网隔离的问题,一般采用双网卡、双硬盘技术,这种方式让使用者觉得非常麻烦,每次都需要手动切换;而为了应对文件失密问题,则采用破坏光驱端口、破坏USB端口、破坏……。以上种种传统的技术手段都无法有效解决当前政务安全遇到的问题。

政务终端安全的解决方案

政府终端架构解析


        如拓扑图所示,本方案通过捍卫者终端安全管理软件技术将用户桌面系统部署上管理终端,从而有效的做到终端数据防护。不同岗位的员工可以通过不同的策略下达以达到分组织部门的灵活式管理。在用户终端上客户端默认为隐藏状态只有显示和连接服务器功能,不存文件,也不留数据。
        捍卫者终端安全管理平台是专为桌面而构建的一站式安全防护管理桌面解决方案,该方案以C/S(客户端/服务器)方式实现统一部署,提供最佳的性能、最高的安全性、最低的成本和最强的灵活性。具体需要的组件如下:
服务器端:为整套系统核心部件,主要功能为对客户端进行远程策略的下达,以及客户端产生的日志上传的接收端,提供完整详细的审计日志,同时可与控制台进行搭配使用。采用符合国家保密局规范的三个管理账户分开管理的模式。
客户端:与服务端配合使用,默认用户界面为隐藏状态,无需用户进行操作,采用指令和密码双重验证方式。底层驱动技术,有效防止安全模式失效。
控制台(可选):控制台为服务器上层部件,可通过连接到服务器端进行策略下达与审计上传等操作。

政务桌面应用场景说明

        对于总部大楼、分支机构等内网、专网职能办公用户,一般这些部门处理业务均在局域网内或涉密网进行,不涉及连接互联网的行为,根据这些特点,部署捍卫者主机监控与审计系统,并可配合捍卫者硬件中间机设备和敏感字检查系统的部署达到有效和完整的边界发现和保护,从而建立完善的安全管理机制,防范各种破坏网络和系统的行为的发生,保证安全域内的信息数据的安全,记录归档详细的操作日志,从而有效的的遏制违规行为发生。
        对于服务大厅办公用户,一般他们处理的业务应用类型相对统一,需要访问互联网进行办公操作,同时需要连接到外网数据中心进行数据查找修改操作等,根据这些特点,部署捍卫者上网行为管理系统,配合捍卫者准入控制系统以及捍卫者敏感字检查系统的部署能达到合理控制和利用网络资源,有效的规避内网数据流出等

安全解决方案

一、主机监控与审计系统


架构说明:需要一台终端安装服务器端(建议在服务器操作系统上进行安装),内部其他终端安装客户端,连接客户端和服务端后,通过服务端设定客户端的整体策略,并可针对某些特定用户也可以设定不同的数据。
优势说明:客户端无需进行任何操作,客户端离线后策略依然生效。所有操作均在服务端上完成,统一部署,完整审计。保证数据无法流出到内网环境之外,同时有效的防止外部的违规连接。

二、准入系统与上网行为管理系统


架构说明:需要一到多台上网行为管理设备部署到网络出口处,还需将内部终端部署准入系统,准入系统设置网络唯一出口,确保所有数据流量经过上网行为设备。
优势说明:规范客户端的网络行为,合理分配和控制网络带宽,最大化利用资源,限制非法接入和违规外联行为。

三、中间机数据单向导入系统



架构说明:在内外网之间数据交互的中间环节,需要搭建一台采用捍卫者终端安全技术封装的硬件中间机,并在内部环境中安装捍卫者终端安全软件,从而使数据只能经过中间机进入内部安全环境。
优势说明:通过易泰通独特技术彻底封杀了摆渡木马在中间机中的启动、中间机上无法运行任何系统预知之外的程序,外来移动存储介质与内网可信介质之间直接进行单向点对点的数据传输,不在中间机内存留存,中间机上所有数据交换都有日志生成便于事后审计追查。

四、敏感字检查系统


架构说明:需要一台终端部署敏感字服务器端(建议在服务器操作系统上进行安装),内部其他终端安装敏感字客户端,下达敏感字检索任务后,客户端并行处理,并将结果上报至服务端进行审计。
优势说明:相较于传统的敏感字检查工具单机模式采用更加便捷高效的网络模式,检索任务由逐台检索改为并行处理,并且所有任务均在后台处理,不影响原有操作习惯。支持检索格式全面,还可对压缩文件中的文件进行检索。检索结果日志记录信息丰富,便于事后追查。

捍卫者一站式方案优势总结

完善的全系列安全解决方案:
涵盖主机监控与审计,上网行为,敏感字检查系统,中间机等方案,业界方案最全面,兼容性最好,性价比最高,为 IT 提供了一种更加精简和安全的方法来管理用户和数据。
卓越的用户体验:
针对各种应用场景进行性能调优,部署完全不影响用户正常的使用习惯,利用上网行为管理设备可将带宽优化至最大化,解决网络卡顿等多种问题的发生。
更全面的安全保护机制:
多种身份认证方式保障用户接入安全、全方位的加密算法保障传输安全、灵活访问控制进行集中鉴权、数据存储加密保障个人数据安全,高可靠性HA设计保障平台安全,最终实现端到端桌面虚拟化安全保护。
集中式C/S管理模式:
整套方案的搭建仅需三大组件(client和server以及硬件设备),相对业界其他厂商其部署组件最少,并可提供集中式、单一化的远程运维模式,提高了内网环境的安全性和可维护性。
专业的本地化服务模式:
在河北有专业的技术研发团队,成为国内具备自主研发整套终端解决方案产品体系的厂商,产品个性化开发能力强,并且在全国各省市设立多个办事处及代理有本地化技术支持,可快速解决产品后期问题。