400-829-3755
服务热线
400-829-3755

通软桌面终端安全管理系统解决方案

通软™解决方案构成
       通软桌面终端安全管理解决方案由五大部分构成,将为用户打造可视化网络、安全的网络、稳定的网络、高效的网络和可维护的网络。

图 通软桌面终端安全管理解决方案
   1、打造可视化网络:真正做到心中有数
      1.1网络静态资源配置心中有数
      1.1.1实名制管理
       随着信息化建设的深入,计算机数量逐年增加,网络规模越来越大,当出现问题后,不容易定位问题,即使通过某些工具找到了问题计算机,但是仅凭IP或者MAC很难知道这是哪个部门的哪位员工的计算机,难以和具体的使用人一一对应,即建立有效的人机对应的管理机制。
       通软平台通过自动获取结合主动收录的方法,使计算机信息与使用人、部门、联系方式、地理位置以及所有终端自添加的注册信息等信息一一对应。当出现问题时能快速对应到具体的使用人员,使管理更有针对性。

图 通软实名制管理平台

      1.1.2软/硬件资产管理
       在一个规模较大的局域网内,如果没有一个有效的技术手段,仅仅想了解单位内有多少台计算机,每台计算机属于哪个部门或使用者,也不是一个易于完成的任务,更何谈详细了解局域网内的软硬件资产情况。
通软平台可以详细展示网内计算机软硬件资产信息,若资产发生变更则立即报警,防止资产流失。具体方案如下:
        ● 自动收集软硬件清单:管理员可以查询部分或所有计算机的软件和硬件配置信息,解决计算机设备配置情况统计难问题。
        ● 资产统计报表:可对计算机的硬件信息,如CPU、内存、硬盘、显卡等信息进行数据统计和对其进行详细或粗略的查询,轻松解决局域网中计算机众多,对其硬件配置不好统计的难题,并能够提供详细的报表。
        ● 资产变更报警及统计:由于技术水平和素质的差异,计算机使用者常会有意无意的破坏或更换了计算机的硬件设备,硬盘、内存条丢失时有发生,这不仅是单位硬件资产上的损失,更严重的后果是无形的信息技术资产的流失。通软平台当检测到硬件资产发生变化时,将立即发出报警,并定位问题计算机,使网管人员及时发现资产流失。
    1.2网络动态资源分配心中有数
    1.2.1流量资源监控
       由于网络运行情况不易了解,对于管理者而言,网络就像一个“黑箱子”,里面到底在运行什么,运行情况怎么样,都不清楚,只有当问题爆发时才会引起关注,经常处于被动救火的状态。
       通软平台从流量大小、关系和行为三个角度进行全方位的网络动态情况展示,使信息中心能够查看到网络中实时的流量信息,所有信息以曲线、饼图、柱状图、列表等各种形式进行展示,并且提供实时的排名、分布等情况,让管理人员对网络运行状态了如指掌,使网络运行的情况更加清晰、透明,据此可以快速分析网络运行趋势,把问题扼杀在摇篮之中。

图 网络动态资源使用情况
    1.2.2系统资源监控
       为保护和有效使用终端计算机的系统资源,通软平台为用户提供系统资源监控功能,该功能可以实时监测终端计算机的CPU、内存的占用率及硬盘的剩余空间的大小。当系统资源出现异常时可发出报警,有效地解决了因计算机系统资源使用不合理,造成系统卡死的状况,同时维护了系统资源的健康。
    1.3丰富报表更加强化心中有数
       通软报表系统为用户提供丰富的报表资源,可以全面反映局域网中桌面终端各个方面的信息,使管理者可以掌握网络运行情况、使用情况、资源分布情况等历史真实数据,认识优势与不足,为进一步规划网络及持续发展提供有力的数据支撑。
        ● 系统预置几十种常用报表模板,无须自定义即可查看网络及终端情况;
        ● 提供强大的数据过滤机制,可以快速生成自定义报表。

网络占用情况报表
   2、打造安全的网络:保护核心数据安全
    2.1既严格又实用的准入管理
       单位的网络中往往保存和传输着大量的重要数据或机密信息,为了防止重要信息外泄,很多单位实施了内、外网物理隔离。即便如此,仍会有很多危险威胁着内网的安全,非法接入行为即是内网重要数据流失和引入病毒的主要隐患之一。
对于已经实施了物理隔离的内网而言,严格有效的网络准入管理是最为重要的安全管理措施。目前市场上出现了很多网络准入类产品,此类产品主要采用两种技术手段来实现,一是基于ARP技术的非法IP地址管理,二是基于802.1X标准的入网认证。但是上述技术都存在一定的局限性,基于ARP技术的非法IP地址管理不可跨越VLAN,并对装有ARP防火墙的计算机不能限制;基于802.1X标准的认证对网络设备有很大的依赖性,且无法解决私接路由的问题。上述两种方案更无法解决两台计算机直连拷贝数据的非法接入行为。总的来说,业内现有大部分解决方案不易于全网实施,且存在明显的缺陷和管理漏洞。
       鉴于业内缺乏完整的网络准入管理解决方案的现状,通软公司首创“无漏洞”准入管理方案。该产品支持各种类型网络,无需用户修改任何网络配置,不受网络设备和防火墙的限制,即使是私接路由或计算机直连的入网行为也能够有效禁止,彻底杜绝外来计算机随意接入网络。而对于不便安装本产品客户端的特殊管理点(如重要服务器等),可通过部署通软网络访问控制服务器(GNAC)来保障安全性,从而杜绝管理盲点的存在。通软“接入管理”与“GNAC”的完美结合为用户提供了天衣无缝的网络接入管理解决方案,真正实现“无漏洞”的接入控制,打造严格密闭的网络空间。另外,也可以采用“接入管理”与“802.1X”结合的方式达到同样效果。
       根据需要,单位可能需要计算机安装一些必要的软件,例如管理软件或杀毒软件等。但随着时间的推移,很难保证这些软件都能够正常被运行。重新部署,即浪费人力物力,又无法保证不会再次流失。本系统提供绑定第三方软件功能,可绑定任意需要安装的软件,绑定后,计算机不安装运行规定的软件,可以阻断其通讯。对于已经被阻断了的计算机,还可通过访问修复区安装绑定的软件。
       说明:详细内容见第5章通软特色解决方案之5.1既严格又实用的准入管理。
    2.2非法外联管理
       即使用户内、外网进行了物理隔离,但是仍有内网的计算机使用者想方设法的连接互联网,炒股、打游戏、看电影等,给内网带来了巨大的安全隐患。针对上述问题,通软提供如下解决方案:
        ● 外联管理:可以监控或阻止终端计算机通过拨号、WIFI等方式连接网络,支持多种拨号方式的管理,如2G、3G、Modem、VPN等,杜绝违规外联行为,减少局域网安全隐患。通过设置外网带宽控制了隐蔽性极强的“网络后门”。
        ● 代理软件管理:可以防止计算机通过私自设置代理访问网络。可设置“禁止软路由接入”、“禁止代理软件接入”和“禁止拨号接入”。
    2.3移动存储管理
       在各种计算机外设给信息交换带来极大方便的同时,也给很多数据安全敏感单位带来很多麻烦。现今非常常见的USB移动存储设备是造成内网机密信息流失的主要途径,一个小小的U盘便能在不被人察觉的情况下将核心数据拷走。然而由于工作的需要,内网的一些计算机却不能封闭U口,需要在工作中用U盘进行信息的传递,因此USB移动存储设备成为内网机密信息流失和引入病毒的主要途径。针对上述问题,通软提供如下解决方案:
        ● 外部设备管理:可以屏蔽USB设备,禁止使用U盘和移动硬盘等存储类设备,而仅可以使用USB鼠标和USB打印机等非存储类设备。还可对光驱、软驱、红外、串/并口、1394、蓝牙、磁带、USB网卡等设备进行管理。此外,可以对终端的USB存储设备的使用行为进行审计,记录审计信息。
        ● U盘和SD卡管理:可以防止U盘和SD卡传播病毒,设置U盘和SD卡的使用权限和属性,信息只能入网不能出网,即使U盘丢失信息也不会被获取,有效防止网内机密信息通过U盘外泄。
       说明:详细内容见第5章通软特色解决方案之5.2完善的U盘管理。
    2.4上网痕迹检查
       针对一些内网管理较严格的单位,要求内网计算机不允许访问互联网,因为上过网的计算机很可能带有木马、病毒等程序,再联入内网时就会对内网其他终端造成威胁,所以只要是上过网的计算机就不允许再联入内网,这样就需要对联入内网的计算机进行上网痕迹的检查,当发现计算机有过上网行为时,阻断计算机与内网的通讯,确保内网环境的安全。
上网痕迹检查是对联入网络的终端计算机进行详细的磁盘扫描,及时发现计算机的上网记录,并对违规终端进行网络阻断,功能特点如下:
        ● 能够对当前操作系统的上网记录进行扫描。
        ● 能够对磁盘上的历史上网记录进行扫描,即使上网记录被删除、操作系统重新安装、磁盘被格式化,也同样可以扫描出终端计算机的上网行为。
        ● 针对不允许上网的计算机,一旦发现上网行为时,可以阻断其网络通讯,防止向内网引入风险。
        ● 能够设置信任网站,比如单位内网,仅上过单位内网的计算机,可不作为违规终端进行处理。
    2.5操作系统管理
       在具有数量众多终端计算机主机的局域网中,很容易出现私自安装或重装操作系统行为,严重影响终端计算机操作系统的规范化工作,更可能造成管理漏洞,威胁网络和终端信息安全。通软平台提供操作系统管理功能,能够对终端主机的操作系统的安装、更换行为进行监控和审计,对安装有多个操作系统的终端计算机能够禁止其启动,当出现违规行为时,能够报警并记录报警和审计信息。
    2.6安全审计和监控
       加强数据安全的另一项重要措施就是强化审计和监控功能。强大的审计和监控功能一方面是对不正当行为构成威慑力,因此,是很好的预防措施;另一方面,审计功能可以用来调查事故的原因,准确定位造成安全事故的终端。而监控功能可以起到有效的保护作用,防止由于误操作引起对文件的损坏。因此,强大的审计和监控功能是确保数据安全的必要措施之一。
       针对客户机文件众多,特别是一些重要的或者是机密文件,不容易管理的问题,通软平台提供了完善的文件审计功能。可监控并记录对重要文件/文件夹所做的读取、修改、删除、重命名、创建、复制、移动(剪切)、恢复等操作,并且支持对审计文件的备份,当出现安全事故时,便于快速查清事故成因,准确定位责任人。
       通软平台文件审计功能,支持对所有文件、指定类型文件、指定路径文件、指定文件名关键字文件进行审计,支持审计的范围包括以下四大类:
        ● 外设文件审计:记录终端用户在外部设备上进行的文件操作,如:将文件拷贝到U盘中;将光驱文件拷贝到本地等等。
        ● 本地文件审计:记录终端用户在计算机本地进行的文件操作,如:用户在本地将文件进行了重命名;用户在本地修改了重要涉密文件等等。
        ● 网络文件审计:记录终端用户在网络上进行的文件操作,如:终端用户通过网络访问服务器,删除了服务器上的文件;终端用户通过网络访问服务器,修改了服务器上的文件等等。
       通软平台文件审计功能,提供了详细的审计信息查询和文件审计报表,支持以文件为线索的终端定位,和支持以可疑终端为线索的事件、文件追踪,使用还原违规事件现场变的十分方便、准确、快捷。
       同时,为了防止局域网内的重要文件或是机密文件通过打印、刻录等方式泄露出去,通软平台提供打印机监控与审计、刻录机监控与审计和邮件发送审计功能,能够监控和审计计算机的打印、刻录和发送邮件行为,提供详细的报警审计信息查询功能和报表。
        ● 打印机监控与审计:可以监视计算机的打印行为,可记录是哪台计算机打印过哪些文件,同时也可设置禁止计算机打印文件,保证重要文件无法通过打印方式流失。通过将打印机授权给客户端可满足特定用户的打印机使用需求。 
        ● 刻录机监控与审计:能够对刻录机的使用进行监控和审计,从而有效的防止和跟踪处理通过刻录机而产生的泄密事件。同时也可允许特定的客户机使用刻录机。
        ● 邮件发送审计:邮件发送审计功能可以审计终端用户使用网页和邮件软件发送的所有邮件信息,并提供报警机制,确保网管人员及时发现通过邮件形式散播敏感信息或文件的行为,并可快速定位是哪台终端在什么时间、通过什么方式发送了敏感邮件,以及回放邮件的详细信息和附件。
   2.7系统自身安全
       除了对网络及终端的安全管理外,产品系统自身的信息安全也尤为重要。客户端方面,除了上面已经介绍过的客户端拥有强大的自我保护机制外(3.4.3),系统还提供了操作系统帐号审计,可以查看终端帐号的基本信息,并对终端账号的变化进行审计。服务端方面,系统提供了多种安全管理措施,例如:
        ● 配置登陆IP地址:定义用户可以登陆的控制台IP地址,只有授权的计算机才能使用产品的控制台。
        ● 管理员身份鉴别:完善管理员身份鉴别功能。包括对管理员口令强度和长度的检查,登陆尝试次数的限制,以及登陆后的超时锁定。
        ● 防数据丢失:数据库存储空间将满时,提供报警提示信息,防止因空间不足导致数据丢失。

信锐综合运维监控系统解决方案

  构建端到端安全的企业级WLAN

     1、认证&加密&准入
       ● 802.1X, Web,MAC,短信认证,微信认证,二维码认证…
       ● 802.11i, WPA / WPA2,TKIP, AES, CCMP
       ● 智能终端识别与准入……
     2、集成策略防火牆
       ● 基于全国最大应用规则库的应用控制
       ● 基于用户、用户组、终端类型、接入位置、时间段的控制策略

     3、上网行为记录
       ● 满足公安部82号令
       ● 审计记录所有用户上网行为,包括访问的网站、收发的邮件、论坛微博发帖等

     4、入侵检测/攻击防护
       ● WIDS/WIPS、防钓鱼
       ● 防欺骗攻击、防泛洪攻击、防DoS攻击…
       ● 动态黑名单




   丰富的认证方式

      员工/企业认证
       ● 802.1x认证
       ● Portal认证
       ● CA双向证书认证[可控制器本地认证,也可第三方服务器认证(Radius/LDAP/AD)]
     访客认证
       ● 短信认证
       ● 微信认证
       ● 二维码审核认证
       ● 临时访客认证
       ● 免用户认证

   智能终端识别与安全准入
       ● 智能识别接入终端类型
           智能识别苹果、安卓、Windows Phone、笔记本/台式机等无线终端
       ● 基于终端类型的安全准入
          访客无线网络只允许手机、PAD接入,不允许笔记本电脑接入,减少网络风险


   行为审计

       ● 内置行为审计,满足公安部82号令
          可记录并留存用户注册信息,并针对不同用户(组)进行差异化的行为记录和审计,包括网页访问行为、网络发帖、邮件Email、IM聊天行为、文件传输、游戏行为、炒股行为、在线影音、P2P下载等行为,并且包含该行为的详细信息等。
       ● 无线控制器获得公安部《销售许可证》,满足公安部82号令。

   防钓鱼Wi-Fi

          AP开启防钓鱼功能,系统会实时根据周边环境进行非法接入点检测、干扰检测等,对存在的钓鱼接入点进行反制,防止顾客误连入与企业一样或类似的Wi-Fi网络,避免上网用户银行钱财、隐私信息被盗。

   无线热点发现
    无线热点发现,防共享、防私接
          发现并反制内网中的非法无线热点,禁止无线热点共享上网,造成管理漏洞以及泄密风险。

苏州万科美好广场案例展示

 万科美好广场属于苏州地标,此次网络建设对商场室内以及周围室外区域进行Wi-Fi全面覆盖。

 顾客采用微信连WiFi免费使用无线网络,整个认证过程一气呵成。




上海金虹桥广场案例展示



 上海金虹桥国际中心是上海首家花园式购物中心,建筑面积8万多平米,对商业综合体进行全面无线覆盖

 共采用400多台AP,顾客通过关注微信公众号获得免费上网权限

 并利用全上海最快的商场WiFi进行信息即时互动。

广州海印集团案例展示

   采用2台万兆控制器及2000多台双频AP集中部署;
   促使顾客用微信关注集团公共帐号,后期集团可通过微信为客户推送商场活动及广告,降低营销成本; 
   让顾客注册成为集团会员,提高顾客忠诚度; 
   收集顾客的手机号码,用于集团短信营销, 
   分析用户上网行为和上网偏好,为集团营销策略调整做参考; 


在线客服
  • icon  在线客服
服务热线
  • 400-829-3755

微信公众号

智慧校园无线解决方案 | 热线:400-829-3755

智慧校园无线解决方案 关闭