企业
武汉**科技有限公司是一家主要从事通信领域电子器件开发和制造的公司,是一家有能力对通信器件进行系统性、战略性研究开发的高新技术企业。随着公司网络及信息化系统的建设,建设了全面覆盖的网络信息化系统,全公司共和各类PC终端设备3000多台,具备有客户端数量多,分布距离远、内部安全性要求高等特点。
随着信息技术的不断发展,客户业务的运作越来越依赖于计算机,而目前防不胜防的计算机病毒给用户计算机终端的正常运行造成了较大的威胁。为了应对层出不穷的计算机病毒,武汉**科技有限公司需要引入一套终端安全管理软件,包含技术先进的网络版防病毒功能,可通过云端的海量计算资源与海量存储资源满足对数十亿病毒进行100%查杀的防病毒需求。并且用户客户端数据量众多,虽然制订了相应的终端安全管理制度,但目前终端安全管理制度的控制点缺乏有效的技术执行措施,仅仅依靠终端使用者的自觉性是很难落实相应的管理制度的,主要存在的问题有:USB无线路由屡禁不止:在办公电脑上使用USB无线路由,使终端暴露在不可控的无线网络空间,不受控的智能终端或其他无线设备可以任意接入办公网,造成极大的安全隐患。USB移动存储及各种外设滥用:在办公电脑上任意接入USB移动存储,给单位办公网带来很大的恶意代码感染风险,蓝牙、红外等外设接口的滥用,也带来非法外联的风险;随意安装和运行各种软件:通常终端使用者都具有操作系统本地管理员权限,可以任意安装运行各种娱乐、盗版软件,软件可能带有的木马、病毒为单位的终端设备带来了安全风险;任意使用带宽资源导致网络拥塞:虽然用户在网络边界部署了流量控制设备,制定了带宽限制策略,但无法实现基于应用的流量限制,内网依然存在P2P软件占用带宽,影响正常办公的情况。随意更改主机信息:终端使用者可随意更改主机名、IP地址、MAC地址等信息,对资产管理、网络审计等方面造成不便。为了贯彻用户终端安全管理规范,本方案中引入的终端安全管理软件还应具备桌面管理功能,可从技术措施上落实终端安全控制点,有效减少终端安全风险。
本次采用的天擎终端安全管理系统,包含技术先进的网络版防病毒功能,支持对蠕虫病毒、恶意软件、广告软件、勒索软件、引导区病毒、BIOS病毒的查杀,这依赖于QVM人工智能引擎、云查杀引擎、AVE(针对可执行文件的引擎)、QEX(针对非可执行文件的引擎)等多引擎的协同工作。
奇安信云查杀建立在云端庞大的黑白名单数据库基础上,病毒检出率高,系统资源占用低。通过使用云端的黑白名单验证的方法,可以最大限度的保护数据安全。奇安信杀毒具备140亿黑白名单库,而且每天黑白名单库都在以百万级的数量在增长。
在武汉**科技有限公司的数据中心和办公网络中存在各种不同类型的操作系统及不同版本的操作系统,都需要管理员进行全面的补丁管理,管理员往往需要甄别不同的操作系统并根据各个系统的不同情况有选择性的下发系统补丁,服务器系统尤为复杂,需要管理员将补丁与服务器应用进行兼容性测试后才能对相应的服务器进行补丁升级操作。天擎终端安全管理系统可以对全网计算机进行漏洞扫描把计算机与漏洞进行多维关联,可以根据终端或漏洞进行分组管理,并且能够根据不同的计算机分组与操作系统类型将补丁错峰下发,在保障网络带宽的前提下可以有效提升企业整体漏洞防护等级。
为了贯彻武汉**科技有限公司终端安全管理规范,天擎具备桌面安全管理功能,可从技术措施上落实终端安全控制点,有效减少终端安全风险。
流量监控:通过使用天擎终端安全管理系统运维管控模块中的单点管理功能,管理员可以了解指定终端的网络流量情况,包括终端的实时网络速度、一段时间内的下载上传流量等,帮助管理员查证及定位网络中消耗大量带宽的终端,避免非法应用占用大量带宽,保证用户正常业务的平稳运行。
非法外联:非法外联管理模块可以针对用户中经常遇到的通过3G网卡、随身Wifi等方式使内网电脑可以通过非法途径连接外网导致企业核心数据泄漏等问题的出现,天擎非法外联管理模块无论终端使用何种方式连接外网都可以在第一时间对管理员发送告警并隔离非法终端,在最大程度上保障用户核心数据安全。
应用程序安全:应用程序安全支持三种策略:针对终端在线作用,针对终端离线作用和针对在线和离线终端作用。应用程序安全支持进程黑白名单,添加进白名单的进程为信任进程,而黑名单中的进程为恶意进程,系统将直接阻断该类进程。另外,还有进程红名单,添加进进程红名单的进程为必须运行进程,可以防止恶意程序对该必备类型进行破坏。
网络安全:网络安全防护支持同上三种类型策略,也是通过黑白名单准测来确保网络安全。管理员可以添加某些网络连接的协议类型,IP地址和端口号或者添加URL地址来使它成为黑名单或者白名单,从而保证用户网络安全。
外设管理:外设是PC使用者传输数据的通道,为我们日常的工作带来了极大的方便,但是,对于终端的安全运维管理同时带来了难题。一方面用户会通过外设将数据传出到企以外,另一面用户会通过外设通道将病毒感染至企业内部各个终端。天擎采用策略化的外设管理模式。管理员统一定义出针对不同类别外设的多个策略,一个策略可以包括多种类型设备的控制,使管理策略更有针对性,并支持分配到不同的分组上面。管理员可通过天擎终端安全管理系统对PC终端外设进行强有力的全面管控,杜绝数据外泄和感染病毒的风险。
桌面安全加固:用户的终端数量不断增加,PC统一配置逐渐成为管理中的突出问题。如果没有集中管控手段,逐台操作工作量非常大,且PC用户也会擅自变更配置,会造成内网PC的基本配置无法统一管理,出现诸如账户密码太简单被恶意软件渗透,私设代理上网引入外界风险等一系列问题。桌面安全加固能帮助终端管理员对终端桌面系统的账号密码、本地安全策略、控制面板、屏保与壁纸、浏览器安全、杀毒软件检查等功能进行细粒度的统一强管控,并支持不同的分组设置不同的策略功能。协助IT管理员做到全网终端统一配置的管控目标,提高IT管理员的运维水平。
为了有效减轻终端运维工作量,天擎具有统一运维的功能,并提供日常电脑维护小工具,方便IT维护人员快速完成工作。
硬件资产管理:系统具备跟踪硬件资产变更功能,可帮助管理员及时获取硬件资产的变更记录,硬件新增、丢失情况,对硬件变更准确监控,及时预警,方便财务审计,轻松构建专业的企业硬件资产监控与审计平台。
系统自动升级:在无须运维管理人员参与的情况下,对天擎客户端软件、天擎管理控制台软件、天擎客户端病毒特征库、系统/应用的漏洞补丁进行自动下载、升级与安装。
远程协助功能:天擎提供按需支援远程协助功能可对用户网内需要帮助的计算机终端进行远程维护操作,帮助远程计算机终端进行异地操作和检查系统问题,充分发挥与共享信息中心的技术优势,为信息中心节省普通终端故障处理时间、提高运维服务的效率,达到成本与服务质量的双重效益。
终端Agent强制安装与运行:终端Agent一旦安装之后,便强制运行,不允许终止Agent进程的运行,并且默认情况下不允许卸载,即不能手工卸载Agent程序,也不允许第三方工具对Agent程序进行删除,如必须卸载Agent软件,必须提供卸载密码。防卸载:天擎终端Agent通过在卸载程序uninstaller.exe加入了密码验证的逻辑,要求在卸载过程中必须提供管理员密码,如果密码不正确,则卸载程序uninstaller.exe将拒绝执行卸载操作。防终止:天擎终端Agent通过截获窗体的Windows消息,获得用户发出的终止Agent进程的消息,通过改写OnExit()函数,在其中加入验证逻辑,改变进程退出的标准路径,以此防止Agent被非法终止。
天擎终端安全管理系统,能够实现对移动存储设备的灵活管控,保证终端与移动存储介质进行数据交换和共享过程中的信息安全要求。移动存储管理包括移动存储介质的身份注册、网内终端授权管理、移动介质挂失管理、外出管理和终端设备例外等功能。移动存储管理解决了用户在安全管控要求下使用移动存储介质,实现数据共享和数据交换的迫切需求。移动存储管理支持分组管理,给予不同的移动存储介质相应的授权范围和密级,同时支持设备状态的追踪与管理。
移动存储介质注册:在管理控制中心启用天擎移动存储管理中的设备注册模块,将要注册的移动存储介质(例如U盘、移动硬盘等)通过USB接口接入电脑,点击注册,天擎将弹出认证提示框,并自动识别出该移动存储设备,管理员按照要求填写移动存储介质相关归属信息并设定该移动存储介质的相应密级后,经管理员对该移动存储介质确认和授权后,该移动存储设备才可在已授权终端上使用。管理员可以将该移动存储介质赋予“低”、“中”、“高”三个密级,不同密级对应不同权利;同时可赋予某些网内终端读、写该移动存储介质的权限,以保证认证后的移动存储介质只被它的授权用户使用,并且消除不明来历的移动存储可能带来的病毒传播等隐患。
设备授权:注册过的移动存储介质在相应授权计算机上可以进行相应读写操作,移动存储设备授权支持“组授权”以及“计算机例外授权”,且支持只读、读写的分级授权,更灵活的满足了用户对于移动存储设备授权要求;同时可直观地查看指定组或计算机的可用设备数量,便于用户进行日常的统计与维护工作。
挂失管理:注册过的移动存储介质意外丢失后,可以通过挂失管理,禁用该移动存储介质 继续在内网使用;当移动存储介质找回时,可在相应模块设置,即可重新恢复使用。
外出管理:天擎提供移动介质外出管理。对于密级处于中级和低级的移动存储设备,不需要外出管理模块登记。中等密级的移动存储介质,需要进行密码验证;低密级移动存储设备默认可以在外使用。高密级的移动存储设备,未经外出登记,在非授权PC上无法访问。
设备例外:可对部分包含存储功能的外设进行例外处理,例外后的设备将可在终端上进行使用。可以对例外设备进行自定义管理。