Ping32公共终端安全管理解决方案.pdf

安在软件 公共终端安全管理解决方案 Windows 身份认证功能 产品简介 Ping32 终端安全管理系统是安在软件面向政府、企业、金融、军队、医疗、教育、制 造业等大型企事业单位推出的集终端资产管理、漏洞补丁管理、安全运维管控、网络安全 准入、移动存储管理、终端安全审计等功能于一体的解决方案。 产品主要功能 ● 对访问网站、即时通讯、发送电子邮件、论坛发帖等行为进行审计，支持 HTTPS\ SSL协 议； ● 对文档的全生命周期进行审计追踪，可控制文档的外发权限； ● 对计算机各类接口设备进行权限设置，如：光驱、蓝牙、打印机、便携设备、便携 WIFI、1394 （火线）、串口并口等； ● 支持全面的系统管控策略，如：软件黑名单、系统组件禁用、禁止安装安全性未知的软 件、管控截屏行为等； ● 对上网行为进行管控，支持传输层和应用层协议的管控，如： HTTP 协议过滤，网络访 问控制、电子邮件管控、违规外联等； ● 强大的运维工具，如：如远程协助，远程文件管理，分发文件、软件、补丁，系统漏洞 检测并修复，资产管理等； ● 支持多重身份认证模式，并自动将审计记录和操作者身份进行关联，方便进行追溯； ● 网络安全准入：支持旁路应用准入、802.1x 准入及其它多种准入技术，对不满足安全 性检查的终端不予接入网络，并引导到修复区进行安全修复； ● 文档权限管理：通过加密机制与权限控制相结合的方式，保护文档全生命周期安全，实 现重要信息安全流转，防止重要信息泄露和扩散的综合解决方案。 2 背景分析 随着电子办公的普遍应用，机关内部网络的建设发展进入实质性的运用。在安全措施 上已经对办公电脑进行了有效的管理。从不同的层面，维护着用户的网络系统及数据安 全。尽管如此，对于一些公用电脑的管控，还是无法做到追根溯源，无法有效解决公共终 端安全和泄密的问题。从而导致另内部网络的安全问题日益突出，如网络资源被滥用造成 的网络阻塞，重要信息的非法拷贝和传播等，机密泄露、数据丢失、身份冒认、非法入侵 层出不穷，给机关造成了重大的损失。 行为审计难追溯。员工使用公用电脑，用户行为缺乏审计，发生信息外泄事件时难以追 踪 ，不能针对不同的操作用户进行有效的全程记录，发生问题时很难进行有效追踪和定 位。 移动存储难管控。缺乏有效的技术手段对移动存储介质使用进行管控，部分用户 U 盘内、 外网混用，将外网病毒、木马等带入内网，并容易成为信息摆渡工具。 安全漏洞难修复。由于是公共使用终端，运维人员维护不及时、不重视，导致系统可能存 在安全漏洞，比如，没有安装并及时更新防病毒软件，没有及时进行系统补丁更新。由于 缺乏统一检测与批量修复的手段，管理、维护工作量大，容易带来安全隐患。 公共终端难维护。由于公共终端分散在各个办公地点，使用时间、人员不确定，关机不及 时，造成了工作人员运维效率低、浪费资源等问题。 3 解决方案 基于上述背景，安在软件提出了一套基于身份认证的权限管理、行为审计追溯系统。 系统要求使用工作人员必须进行身份认证后才能使用公共终端，同时对工作人员的所有操 作进行审计，审计记录和工作人员身份进行关联，方便回溯追查。 身份认证合规进入。只有内部合法身份的人员经系统认证后才能访问使用自己的终端， 认 证模式支持口令、UKEY、短信、双因子认证等多种认证模式。 实现对终端一对一的管控，合规身份需要通过加密狗的验证使用电脑，不合规身份或者无加 密狗无法启动使用电脑，严格保证电脑和人员的一对一认证。也保证了违规登录他人电脑的 审计工作； 实现对数据泄密途径的严防管控。可以限制移动存储介质拷贝、打印、违规外连、光驱刻 录行为、随身 WIFI 热点等存在数据泄密风险的操作。也可以支持网络外发行为，如邮件外 发、即 时通讯工具外发等行为。支持基于 URL 粒度的 HTTP 网络外发行为识别，支持 HTTPS\ SSL 加密协议。 移动存储介质管理。对终端进行移动存储介质管理，对移动存储介质进行授权，进行权限 划分，严防外部的 U 盘接入内网公共终端使用。 进行统一终端安全漏洞检查、安全加固。保证操作系统安全组件，如防火墙、杀毒软件正