当前位置:首页>产品中心>终端安全>终端安全管理解决方案

终端安全管理解决方案

  • 价格:面议
购买咨询:

产品介绍

     

    一、面临问题

    安全防御理念往往局限在常规的网关级别(防火墙等)、网络边界(漏洞扫描、安全审计、防病毒、IDS)等方面的防御,重要的安全设施大都集中于机房、网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。但是在实际情况中,来自网络内部的安全威胁却是多数网络管理人员真正需要面对的问题。据统计结果表明,80%的安全事件来自于网络内部,而只有20%的安全事件来自于外部。在内部网络安全管理和防泄密管理工作中,面临着诸如外部终端设备随意接入内部网络、病毒木马防控不严、U盘等移动存储设备使用不当、擅自连接其他网络、终端行为不可控、重要文档被非授权访问和复制、未经授权而进行数据拷贝、移动终端随意接入导致的不可控安全风险等各种安全问题。

    由于目前各企事业单位网络结构一般较为复杂,用户使用水平参差不齐,而网络管理人员编制有限,因此往往难以面对数量众多的客户端安全事件。目前网络安全管理工作量最大的是内部终端安全部分,对网络的正常运转威胁最大的也同样是内部安全管理。事实表明,只有解决网络内部的安全问题,才可以排除网络中最大的安全隐患。

    二、总体解决方案

    本方案的总体架构共分为“接入认证授权、终端使用控制、终端行为管控、终端数据安全、终端安全审计”等安全管理组件,并通过统一、联动的安全管控与审计平台实现对不同层次架构的集中策略配置与管理,完成对网络终端的分级部署、统一管控,最终实现对内网终端全方位的控制管理,形成完整的终端安全管理体系。

    具体解决思路如下:

         ●接入认证授权(Authentication)

    用于识别和确认终端用户的身份信息,完成对终端用户的身份鉴别,确保只有合法的终端用户才能使用终端计算机,同时结合“终端使用控制安全管理组件”完成对终端用户的授权管理,便于后续的授权访问策略的制定和执行,避免非授权用户使用终端计算机而引起的数据泄密。

    终端使用控制(Usage Control

    用于评估并检验终端计算机的安全性,避免不符合安全策略和安全规定的终端计算机进入内部网络,同时管理终端计算机的软硬件资源,以及监控终端计算机的运行状态和外联行为,完成对终端计算机的资产管理、安全加固、外设管理、运行异常监控与远程维护协助,确保经过认证授权的用户能够按照授权许可的安全策略正确地使用和操作终端系统,避免因非受控终端而引起的敏感信息泄漏。

         ●终端行为管控(Behavior Control

    终端行为管控主要对终端用户的网站浏览控制、网络应用使用控制、网络下载控制、带宽使用控制等各种网络访问和使用行为进行管理和控制。通过上述对终端的行为管控,实现对终端网络访问行为的可管、可控,保障网络访问、网络流量、网站访问的安全与顺畅。

         ●终端数据安全(Data Security

    按照相应的授权级别和终端安全管理策略完成对终端授权用户的操作行为控制和文件加密管理(包括目录和文件操作行为控制、移动存储介质使用控制、电子文档管理控制、光盘刻录行为控制以及保密信息检查控制),确保授权终端用户对不同的应用系统、不同的目录和文件进行可控操作和访问,实现授权终端用户的可信访问控制,避免引发重要文件信息泄漏事故。

         ●终端安全审计(Audit

    通过集中统一的管控和审计平台,完成对上述安全管理组件的统一策略配置与下发、集中管理与审计,最终形成联动化的、集成化的、完整的数据防泄密体系的建设。

    三、移动终端的管理

    面向各行各业的移动办公环境,以智能手机、平板电脑等移动终端为主要管理对象,结合传统桌面终端管理,强调统一的终端管理平台,使移动设备像PC机一样可管、可控;关注并解决管理者当前最关注、最急于解决的问题,通过实现对数量众多的移动终端系统的有效管理,帮助用户实现更加安全、可靠和稳定的移动办公环境。

         ●移动终端准入管理

    当终端移动设备用户使用办公软件远程连接公司内网办理业务时,对其进行授权,合法移动设备通过认证准许接入网络,非法移动设备立即禁止接入网络并发出报警,彻底杜绝外来终端移动设备随意接入网络。

         ●远程数据擦除

    当出现设备丢失等情况,可远程对丢失设备进行恢复出厂设置,格式化SD卡及擦除SIM卡联系人的操作,防止设备中的信息外泄。能够记录服务器远程擦除客户机的任务执行日志。

         ●软件分发

    可远程实现软件(如业务系统)的批量、自动、高效安装并可在终端设备中记录分发软件的历史记录,对分发的软件进行监控保证其正确安装并运行。

         ●限制接入WLAN网络

    可以设置终端移动设备准许接入的WLAN网络,确保移动设备在指定范围内使用,为防止终端用户仿冒白名单中的WLAN信息,提供内部网络连接引擎验证功能。

         ●终端应用程序管理

    可以设定终端移动设备只允许运行什么程序或禁止运行什么程序,在操作系统驱动层对进程的运行进行监视和控制,当进程在启动过程中,如果发现有不应该运行的进程,则终止其运行,方便地把个人终端移动设备塑造成工作专用设备,明显提高工作效率。

    四、用户收益

    1、通过终端集中管控与策略平台对终端进行接入认证授权管理、使用控制安全管理、终端数据安全防护、终端安全审计等组件进行集成化的管控,最终实现对内网授权终端用户的可控、可管、可审计,从而形成完整的数据防泄密体系,为整个网络系统信息安全管理体系建设打下坚实的基础。

    2、覆盖终端的资产安全管理、终端数据安全管理、终端行为安全管理、终端服务安全管理等多个方面,涉及管理计算机本身、计算机应用、计算机操作者、计算机使用单位管理规范等多个方面,形成全方位、多层次、立体化终端安全管理。

    3、 为企事业单位提供一个包含移动终端安全准入、身份认证、数据防护、行为审计、终端设备管控等在内的移动终端安全管理全面解决方案,为移动办公保驾护航。

     

在线客服