政府行业整体解决方案_政府_解决方案_广州世安智慧科技有限公司

背景需求

随着信息化技术的不断发展，政府部门的网络规模和终端数量不断变大，业务系统对信息化依赖程度也在逐渐增加，面对日愈复杂的网络环境，虽然有采用防火墙做访问控制，用入侵检测系统监控可能的入侵行为，用防病毒系统保护桌面及服务器端的安全，从不同层面上维护了网络层及系统层的安全，但是依然不能有效解决内部网络安全和泄密的问题。

目前，政府单位内网终端移动存储介质的使用未做任何的技术防护措施，只出台相关的制度管理，使用人员依然可以随意接入U盘在办公专网和互联网上使用；对于政府单位，内网终端连接互联网的行为也未实施相关的技术防护，管理员很难在第一时间阻断违规外联的政府单位内网终端；对于政府单位内网的保密检查依然是通过传统的单机检查方法来进行，耗时耗力。这些问题，让政府机关和企事业单位的内部网络安全面临更加严峻的挑战。

存在问题

传统堡垒机存在安全隐患

很多政府行业客户配备有堡垒机，但实际应用时经常会出现堡垒机绕行的行为，而这样的操作极容易给政府单位网络带来安全风险。

外来运维人员操作存在风险

当前政府单位有大量的外来运维人员，这些外来运维人员的账号管理以及操作管控，都是政府单位进行网络安全管理需要考虑的。同时，政府单位还需对运维人员的操作进行审计留档，便于发生安全事故时进行事故责任人追查。

非法终端管控力度不足

目前政府单位内网存在非法终端随意接入的风险，这些非法终端接入后可能对政府内网网络进行攻击和破坏，同时这些非法终端一旦感染病毒，它们携带的病毒将直接对内网网络造成破坏，从而造成重要信息的泄露。

非法违规外联操作

有些政府单位人员安全管控意识不够，可能存在“一机两用”等违规外联的操作，这些操作就可能造成敏感信息泄密，而目前很多政府单位无法及时追踪查证，难以对责任人进行追究。

移动存储介质管理不够

目前政府内部对于移动存储介质例如U盘等使用随意、管理无序、来源复杂；任何人都可以使用U盘拷贝数据并带走，从而带来信息泄露风险。

不重视端口外设管理

计算机外设端口忽视管理，非法人员通过（红外接口、蓝牙…）这些外设接口进行打印、刻录、外联等操作导致信息泄露。

缺乏终端审计及告警

目前，当非法终端进行接入内部网络、违规外联、敏感信息检查、终端进程等行为时无法对其进行审计，无法判断违规事件的发生地点，无法实时报警并精准定位事件的发生设备以及责任人。

解决方案

网络准入控制系统内网终端安全管理系统世安Octopus安全运维管理平台

世安网络准入控制系统结合 DHCP 准入管控、VLAN 准入管控、ARP 准入管控、SNMP 准入管控、流量准入管控等多种准入技术，通过自动化运维技术实时检测入网终端的合规性，对非法入网终端实现自动化隔离和引导；同时具备可视化的网络管理技术，可以实现终端认证、访问控制和物理定位的一体化管理。便于固定资产的集中管理和临时设备的有限交互，保证内部网络的安全。

传统的网络准入系统需要大量的 802.1x 复杂配置！成千上百的客户端安装导致难以推广！频繁大范围断网让管理员苦不堪言！世安网络准入控制系统采用秒级·旁路部署结合自动化运维技术，对用户网络 0 改造，对在线终端 0 影响，对灾难状况 0 断网 , 实现自动化管理无须任何配置操作，一键管控安全到位！

1、对政府单位内网下的终端违规外联行为进行监管和阻断

对内网计算机非法外联行为进行监管，并及时通知保密管理员，杜绝单位内网计算机非法外联的可能，保障政府单位内网的安全。

2、移动存储介质实现专网专用、强制隔离
对各种移动存储介质(例如U盘、移动硬盘）进行使用登记、加密处理以及使用区域控制与主机外设端口管理的功能。全面部署后可对整个内网使用的移动存储介质与外设端口实现统一、灵活、全面的控制管理和审计。

3、对终端敏感信息实时监控
实时监控政府单位内网终端的敏感信息（包括对政府单位内网电脑是否存有敏感信息进行检查，另外对敏感信息的创建、修改、复制等操作进行实时的监控，敏感信息与外网的交换行为将形成记录并生成报表），防止发生重大泄密事件。

4、对终端主机进行实时监控管理
可实时对主机使用状态进行监控，采集主机软硬件信息分析并进行分析，管理员在管理平台可清楚地看到每个部门的终端主机数量及所使用的IP地址。另外对已经在使用的IP地址可进行绑定管理，防止使用人员随意纂改IP，造成网络通信的混乱。

1、基础运维能力完善
运维人员可以对用户账号进行统一管理，按需授权。管理员在统一入口对资产进行运维管理，进一步简化运维步骤，同时，所有运维操作可实现一键跟踪，保障事后可溯源取证。

2、 多维度运维监控
系统运行时，将对当前运维人员的运维操作、资产实时运行状态、文件的安全状态以及是否存在异常登录进行全面监控，发现网络安全隐患进行及时告警。

3、自动化运维

通过批量下发、预方案等方式，将人为操作自动化，进一步提高运维效率；系统实时监控资产、站点运行状态，一旦有异常将自动生成故障工单，并通过短信或邮件下发告警信息。系统还增加了密码修改等自动化功能，协助提高运维安全。

方案价值

自动化运维，提高审计效率：支持运维人员批量下发工单，同时支持自动修改密码等功能，大大简化了运维人员工作，降低人为操作失误的概率，提高了运维效率。

多维度运维监控，增强运维安全：方案在堡垒机4A基础运维能力的基础上，整合了资产运行、数据安全、绕行登录等多维度监控分析，针对传统堡垒机存在的安全风险进行了升级加固。

一个完整的终端安全体系，多套系统联动，从终端接入控制、到终端监控审计、违规外联、移动介质管控、可信运维安全等行为，提供完整的终端全方位、多层次的安全管控。

符合《网络安全等级保护2.0制度》建设的安全要求，同时也符合政府行业部门的检查要求，为政府行业网络安全保驾护航。

采用多种安全技术，对内网终端及其存储的信息进行保护，监控数据流动的全过程。对可能造成泄密的网络访问、存储介质拷贝和打印等行为进行全程跟踪、审计和访问控制，封堵可能数据外泄的每个途径。

网络资源管理：可视化的IP地址管理，IP地址的分配、使用、未使用、保留等信息一目了然。

网络可视化：可视化的面板视图管理、交换机端口列表管理，直观的展示该端口下入网终端情况，安全事件发生时，快速定位终端所在网络位置，所属交换机端口等信息一目了然。