军工行业解决方案

2007-4-12　发布方：lansecs　网友评论 0 条　点击进入论坛

背景

军工企业担负着国家绝密的武器生产任务，其网络中的数据必须处于高度的保密状态，这样就要在网络安全和信息安全方面特别需要加强。军工行业网络特点：网络完全物理隔离、网络要求安全级别高、系统运行实时性强、主机相对比较集中。保证网络安全运行，避免遭受来之内部和外部的攻击，保证数据信息安全，避免重要涉密信息的外泄。军工行业根据国家保密部门要求，其局域网和Internet网是完全物理隔离的。但随着军工行业与外部联系日益密切，网络作为一个重要的与外界联系的途经，军工也要求能够访问internet，这样就会给病毒和黑客侵入的机会，给军工网络安全带来严重威胁，病毒传播快、危害大，而且有很强的隐蔽性和欺骗性，黑客技术在不停的发展，黑客的水平也在提高，要防止网络系统遭到没有授权的存取或破坏以及非法入侵；在数据安全方面要防止机要、敏感数据被窃取或非法复制、使用等。如何搭建安全的网络架构，将非法入侵者拒之门外，防止内部信息外泄，这些是军工企业在网络建设时必须解决的问题。需要一个完善的方案来保护整个网络的安全和稳定，同时便于在整个网络的实施和管理。

 内网存在如下安全隐患：

u       内部信息泄密：目前泄密途经包括：网络传播泄密和物理介质泄密两种途经，在军工行业中，同样存在上述安全隐患。

u       网络访问权限控制：军工行业对终端用户有严格的等级要求，主机间的访问基本是通过vlan方式进行划分隔离，但是在本网段的主机访问无法进行控制，同样存在安全隐患。

u       对涉密文件访问隐患：对于军工网络来说，内部的主机存放有涉密文件，对涉密文件的访问，存在安全隐患，不能监控对文件的访问，这样对发生的事件不能进行事后的追踪。

u       用户网络访问行为无法追踪：军工网络虽然是物理隔离，但是也不能避免有登陆Internet的可能，安全管理员要对终端Internet的访问痕迹做事后审计，审计每台机器是否有登陆Internet的行为。

u       无法审计安装卸载软件状况：对于终端用户安装软件管理员无法进行统计，一旦内网用户安装黑客软件，对内网发起攻击，无法在事后进行取证。

u       系统补丁漏洞隐患：由于军工行业网络与Internet完全的物理隔离，内网主机操作系统的补丁无法进行更新，内网主机对病毒的防御能力低，一旦有病毒发作就有可能感染整个网络。

u       非法主机接入隐患：对于军工行业来说，也需要与外界进行技术方面交流，外来人员可能在管理员不知情下接入到军工网，将病毒带入军工网中，或者对军工的内网进行攻击，造成安全泄密事件发生。

u       非法拨号安全隐患：内部用户非法电话拨号上网可以轻易地从涉密网络的内部网络撕开一条通向外部的秘密通道，绕过防火墙、基于网络的入侵检测系统的监控。由于在这种方式下没有任何的安全防护，可能对涉密局域网的安全构成极大的影响；

u       存储设备泄密隐患：离线存储设备防泄密管理主要集中各种移动存储设备、移动硬盘、移动U 盘、IDE硬盘信息防泄密管理；

u       网络设备安全隐患：军工行业按照国家保密要求，对网络设备安全进行加强，空闲端口需要完全关闭；

u       不明进程隐患：内部用户随意将不安全的软件带到涉密网中运行，可能带来病毒或木马程序，造成泄密事件发生；

u       无内部行为审计：对于终端用户的行为，无法控制和审计，在安全事件发生后没有办法对事件进行追踪。

 

部署LanSecS内网安全管理系统后：

针对以上军工行业内网管理所面临的问题，我们做出详细的分析，并且给出相应的解决办法。管理人员可以通过LanSecS产品对终端进行审计、控制和网络设备进行加固，解决内网中存在的问题。

u       外设、硬件设备控制

通过制订策略禁止对某种设备使用，禁用行为将会作用在操作系统驱动层，客户强行启用设备的尝试将无法生效。另外控制台客户端消息将实时显示警报信息，实时提醒管理人员有违规事件发生。在制订并下发设备控制策略后，客户端程序对于新增加的各种外接设备都将采取禁止的动作，只有通过控制台重新制订策略才可应用设备。同时也将在客户端消息框中发出警报。系统可控制的设备包括USB可移动存储设备、打印机、DVD/CD-ROM、软盘、磁带机、PCMCIA设备、COM/LPT端口、1394设备、红外设备等。

 

u       U盘注册管理工具

随着U盘等移动介质的广泛应用，众多的泄密事件都是由于内部工作人员利用自身的合法性以及管理制度的不健全性，利用移动存储设备使用便捷灵活，没有技术跟踪等特点，将重要数据可信息进行转移。圣博润技术人员在经过技术积累后增加此项功能，帮助企事业单位增强健全内部保密管理机制。限制、控制内部人员在保密环境中对未注册的U盘的使用，只能使用注册过的U盘，并根据工作性质的不同将人员以及设备进行密级划分，从细节上更准确的控制用户对移动设备的使用。

u       打印控制

通过控制台制订策略控制用户对打印机的使用。可以避免网内用户通过打印的途径达到机密信息外泄的目的。

u       拨号访问的控制

允许或阻断用户通过拨号访问Internet，从拨号连接的手段上控制内网计算机连接Internet。

u       杀毒软件的检测与控制

对客户端杀毒软件的安装情况进行检测，一旦发现未安装杀毒软件，客户端程序会自动断开网络连接，减少病毒扩散的概率。

u       进程管理与控制

检测客户端上运行的进程状态，并对受控终端上运行的进程进行强制控制，允许或禁止某些进程的启动。方便网络管理人员从专业人员的角度对应用者提供安全建议。

u       网络访问控制

通过制订策略控制计算机对网络进行访问，允许或阻断客户端对某些网络地址或是网段的访问。在网络访问控制上，策略还可以细化到针对特定的协议、特定的网络端口以及在特定的时间段允许或是阻断网络连接。

u       上网行为监控

上网行为监控的功能主要是通过客户端实现管理控制用户访问Internet的行为，产品主要是通过限制IP地址、URL地址以及域名三个方面的访问条件来实现管理控制上网行为，结合审计策略中的上网行为审计策略，将为网络管理人员提供更有效的管理方式。

u       补丁管理

利用准确的检测机制来判断被控制计算机上补丁程序安装的情况，可以检测出已安装的补丁和未安装的补丁。可以从程序提供的补丁安装包中自动检测到适合的补丁程序进行自动或手动进行客户端的补丁分发，并对补丁安装结构有详细的跟踪。客户端的补丁进行后台安装，而且实现全部安装完成后提示用户重启计算机，避免影响客户端机器的使用。补丁文件的更新能够做到同微软网站同步更新，并且支持服务器增量下载和本地增量下载两种更新方式。

u       非法计算机的接入阻断

自定义非法计算机，对非法计算机或未安装客户端的计算机进行非法接入阻断，以防止外来计算机随意接入内部网络,防止外界的恶意攻击对内部网络形成安全隐患。

u       交换机的管理与控制

通过控制台可以实现交换机端口的打开或关闭的控制，增加网络管理的灵活性。

u       被控制系统的配置信息统计

自动记录受控终端操作系统配置的用户、工作组、逻辑驱动器，当其发生变化时，自动向安全管理核心平台发出报警信息。

Ø         自动登记客户端补丁安装情况，已安装补丁和未安装补丁列表显示；

Ø         对受控终端的系统服务、应用程序的安装与卸载情况及进程进行审计，自动记录其操作行为的变更；

Ø         通过安全管理核心平台可以随时查看受控终端的系统日志，包括应用程序事件、安全性事件和系统事件；

Ø         对网络访问进行审计，记录用户对规则指定网址进行的访问操作；

Ø         对打印机使用情况进行审计；

Ø         对受控终端的软盘、U盘等移动存储设备的使用情况进行审计；

Ø         对拨号访问情况进行审计；

Ø         对受控终端的共享文件夹设置进行审计，包括共享、会话和打开文件的信息；

Ø         查看受控终端的TCP/UDP连接端口，及时掌握受控终端的网络连接情况。

u       强制的审计监控进程

在客户端隐藏审计/监控进程，使得受控客户端不能停止和删除进程，确保安全审计和监控，同时不影响客户端的正常使用。

u       安全日志信息库

所有网络、系统数据及安全事件，可以通过SQL Server数据库进行存储，便于网络安全管理审计、分析。

相关案例

• ·黑匣子监控系统[图]
• ·EZ-Lock易锁_文件加密保护系统[图]
• ·东育恒远远程教学资源解决方案[组图]
• ·DCI黑匣子网络安全监控系统[图]
• ·F1JEE ,J2EE业务基础软件和工作流平台[图]

• ·博商零售业网上商店系统解决方案
• ·蓝波物资管理系统——船舶行业软件产品
• ·总体规划下渤船重工管加工分厂的数字化工作
• ·中国舰船研究设计中心PDM系统实施与应用[图]
• ·博商零售业网上商店系统解决方案

推荐解决方案

领军企业实施案例

电子杂志订阅

赞助商链接