终端安全解决方案
企业规模的不断扩大使终端数量变得日益庞大,终端承载的信息和业务活动也越来越重要,而针对终端的病毒、木马和恶意代码也层出不穷,给企业的终端使用及业务生产造成很大的影响,终端安全已经成为企业信息安全管控的主要阵地。然而,大多数企业终端用户对于PC的使用和维护没有良好的习惯,不良的操作行为以及终端系统的滥用,企业终端系统环境非常令人担忧。终端已经逐渐成为企业安全管理的最短板,这样的状况给企业终端管理带来严重的挑战,面对庞大的终端数量,面对恶劣的终端系统环境,面对大量不安分的终端用户,面对无数的终端服务请求,面对层出不穷的外部威胁,企业的终端安全管理该如何进行。
事实上,大多数企业在终端上已经部署了防病毒、补丁管理等相关软件,但实际效果并不十分明显,最终根源在于企业对于终端电脑缺乏统一的管理策略、控制措施以及终端的标准化体系。
目前,企业对于终端安全管理的需求日益明显,企业需要构建全面的终端安全管理体系,制定统一的终端管理策略、流程和技术手段,来统一管理企业所有个人电脑的使用和维护,确保终端系统的安全、可靠和可用,从而促进企业业务应用的安全稳定运行,完善企业信息安全管控体系。
Ø 安全性原则
对性能影响小,与其他业务系统无冲突。
Ø 可靠性原则
在反复操作与长期实践之后依然能够保持高度的稳定性。
Ø 可扩展性原则
能够符合IT发展方向,并随业务系统增长的同时保持高度的可扩展性。
Ø 易用性原则
提供简单、友好界面、能够进行直观操作,形成丰富的图形界面与详细报表。
Ø 兼容性原则
能够与主流厂商设备的系统、软件、主机设备、安全设备、网络设备保持高度的兼容性。
Ø 终端接入时要落实安全保护技术措施,保障内部网络的运行安全和信息安全。
Ø 对已接入内部网络的终端PC,做好相关权限设定工作,不开放规定以外的操作权限。
Ø 发现违规情况,保留相关原始记录,并可直接了解到违规信息及方式等。
Ø 网络管理人员能够利用该管理方式,便捷的管理网内终端PC,并能够利用该种方式对终端PC现状一目了然。
企业根据自身实际内网安全需求进行组合,通过组合不同的模块,可以实现信息防泄漏、终端杀毒、文档加密、上网行为管理、桌面行为管理、系统管理等多种内网终端安全解决方案,满足企业不同内网终端安全的不同应用需求。
Ø 信息防泄漏三重保护
1) 第一重保护:操作审计
Ø 文档全生命周期审计
详细记录文档从创建之初到访问、修改、删除等全生命周期的每一项操作,记录共享文档被其他计算机修改、删除等操作。
Ø 文档传播过程审计
记录文档通过打印机、外部设备、即时通讯工具、邮件等工具进行的传播过程。
Ø 桌面行为全面审计
对用户的行为进行全面直观的审计。
2) 第二重保护:操作授权
Ø 文档操作管控
控制用户对本地、网络等各种文件和文件夹的操作权限。
Ø 移动存储管控
规范移动存储设备在企业内部的使用、限制刻录、蓝牙等,可禁止外来移动存储使用。
Ø 网络通讯控制
控制用户由即时通讯工具和邮件发送机密文件。
Ø 准入网关
及时检测并阻断外来计算机非法接入企业内网。
Ø 桌面安全管理
设置安全管理策略,关闭非必要的共享,禁止修改网络属性等。
3) 第三重保护:文件透明加密
Ø 强制透明加密
电子文档进行强制性加密,授信环境下加密文档正常使用,非授信环境下加密文档则无法使用。
Ø 内部权限管理
对于多部门多层级的企业,能够灵活的将用户权限与不同保密等级的敏感信息一一对于,做到信息分部门分级别授权使用。
Ø 文档外发管理
企业可控制外发加密文档的合法阅读者、有效访问时间及访问次数。
Ø 移动办公管理
出差或在家办公人员笔记本进行离线授权,包括使用期限、是否允许外发、是否允许复制/答应/截屏等。
Ø 桌面终端安全
1) 安全/合规管理
Ø 应用程序管理
允许/禁止企业用户使用指定的应用程序并记录和统计使用比例,允许/禁止使用即时通讯工具。
Ø 设备管理
允许/禁止常见外部设备的使用并加密移动存储设备中的文档,并可对打印行为和内容、权限进行控制。
2) 操作审计
3) 资产管理
Ø 上网行为管理
1) 上网行为审计
Ø 上网行为审计
记录企业用户上网行为,包括访问的站点、使用的程序、邮件往来等并提供丰富的报表和统计功能。
Ø 在线聊天监管
管理企业用户能够使用的即时通讯工具。
Ø 邮件往来授权
对企业用户的电子邮件进行管理,并限制收件人及附件发送等。
2) 网络应用管理
Ø 网站访问授权
允许/禁止对特定站点的访问,细分到时段和用户差异化网站访问授权。
Ø 上网流量管理
对企业用户的互联网流量进行分类统计,方便分析上网行为,限制P2P、BT、下载等无关流量。
Ø 实时报警和阻断
对企业用户违规的上网行为,向管理员报警并对用户弹出警告。
3) 网络安全管控
Ø 终端杀毒
病毒查杀、木马查杀、漏洞修复、恶意网址拦截等。
Ø 实现信息安全目标
全方位的终端防护解决方案,帮助企业构建“事前防御—事中控制—事后审计”的完整终端防护体系,从而实现信息安全的透明性、可控性和不可否认性。
Ø 构建完善的保密体系
根据企业多部门多层级的保密需求,通过对同一文档根据用户部门和级别给予不同的使用权限,构建完整的保密体系,增强员工的保密意识。
Ø 规范网络行为
对上网行为进行行之有效的控制和规范,避免“网络旷工”给企业带来的隐形损失。
Ø 全面管控新接入设备
管控USB设备、蓝牙、红外、光盘刻录、移动硬盘、智能手机以及任意新设备的使用。
Ø 加密管理范围全面,覆盖各种应用场景
全面管理企业内部文件流转,文档外发、离线办公等文档应用场景,无论何时何地,加密文档都能得到高强度的保护