峰盛科技教育行业内网安全管理解决方案
时间:2011-01-19 21:06来源:峰盛科技 作者:峰盛科技 点击:次
随着信息技术的不断发展,教育的时空观念得到了极大地拓展;远程教育、多媒体教学,计算机教学软件、虚拟大学等应运而生;全球性学术交流、合作研究空前繁荣;信息生产、传播和应用日新月异。现代教育科学、心理科学和信息科学技术的相互渗透,已成为教育改革和发展的强大动力。传统的教育模式面临挑战,自校园网建设启动至今,目前100%的高校建立了校园网,一半以上的中小学也完成了基础设施的建设。目前教育信息系统已由基础网络建设向内容建设迈进,教学、管理、增值、合作等越来越多的应用在教育网络上运行。校园网络是互联网络的有机组成部分,同时又是为师生员工的教学、科研、管理、服务、文化等服务的基础平台。
校园网拓扑图
需求分析:
近年来,校园网络的应用水平在不断提高。规模的壮大和运用水平的提高就决定了校园网面临的隐患也相应加剧。由于互联网的技术开放性及共享性的影响,校园网在运行过程中面临各种安全性威胁,由上图分析总结校园网结构的特点和其存在安全风险如下:
1.校园网还基本处在一个开放的状态,没有任何有效的安全预警手段和防范措施。
2.随着信息化程度的深入,校园内学生宿舍区的终端数量日益膨胀,终端数量庞大,不易对用户和计算机进行集中管理。
3.学生是校园网的重要使用者,网络安全意识淡薄,没有指定完善的网络安全管理制度。校园网络上的攻击、侵入他人机器,盗用他人帐号非法使用网络、非法获取未授权的文件、长时间网络下载占用、对重要服务器群的信息窃取等等。这些行为除了会影响校园系统的正常运行,同时还对那些重要服务器的安全造成了威胁。
另外,没有制定完善而严格的网络安全制度,各校园网在安全管理上也没有任何标准,这也是网络安全问题泛滥的一个重要原因。
4.校园网网络繁杂,由多个网络组成比如学生宿舍网络、教学楼网络、科研试验室网络等网络。这几个网络的访问比较开放,随意访问。所以数据的安全性也受到威胁,特别是科研实验室的重要数据。
峰盛科技教育行业内网安全解决方案:
1.提供进程的签名白名单、签名黑名单、名称白名单以及名称黑名单几种方式来对终端用户的进程行为进行控制。
签名白名单和签名黑名单通过对程序进行签名,防止用户通过重命名达到使用非法程序的目的,分别用于控制终端用户只能和禁止使用名单内的程序。考虑到Windows操作系统的版本和企业或单位办公对微软程序的广泛使用,在这两种控制方式中对微软类程序(微软公司开发)与其它程序做出了区分,前者不采用签名控制;名称白名单和名称黑名单利用程序的名称分别控制终端用户只能和禁止使用名单内的程序。
2.提供终端桌面的远程监视和控制,包括屏幕监控,运行进程监控,CPU、内存和磁盘使用监视等功能。
提供给管理员远程锁定、解锁、注销、重启和关闭终端的功能。
提供终端Windows帐号的远程管理功能,如帐号的增加和删除、锁定和解锁、密码修改、权限提升和下将等。
提供终端共享目录的远程查看,如共享路径、共享类型、最大连接数、当前连接数以及相应的说明信息,并且为了防止敏感信息的外露,管理员可远程进行删除。在管理员和终端用户之间提供信息交流的平台。管理员可以选择通信的范围向终端统一发送公告,而终端用户可向管理员发送消息,询问或请求解决某类问题。
3.提供终端软、硬件资产的查询以及硬件资产的统计和变更审计,并能将统计结果以报表的形式输出。
软件资产查询提供按名称罗列已安装该软件的终端;
硬件资产查询提供按标签、MAC地址以及操作系统、CPU、内存和硬盘容量等信息的组合罗列满足条件的终端;
硬件资产统计提供按操作系统、CPU、内存和硬盘容量统计终端的数量及所占比例;
硬件变更审计通过管理员对感兴趣资产及其时间段的定义提供审计结果。
4.能够限制总流量和针对网络进程、IP、端口控制流量。能够限制终端的上行与下行带宽。防止滥用各内软件占用大量网络带宽。
5.系统可将网络中的计算机按照管理需求划分成多个虚拟安全域,实现内部网络的分域分级管理。
同一个安全域内的计算机可以相互访问,非同一个安全域的计算机则不能相互访问,只有在获得管理员授权的情况下才能建立信任关系,实现网络连接;在保障网络统一维护的前提下,通过虚拟安全域的划分,单位内部不同职能部门之间的重要敏感数据可以实现有效隔离。
方案特点:
科盾内网安全平台是一个完善的内网安全防御体系,与常规的网络监控或行为控制软件不同,它综合考虑了内网数据安全和内网有序管理两个方面,结合操作系统内核数据加密、网络智能控制和行为分析等先进技术,对组织的内部网络进行综合、高强度的保护。
在系统架构上,科盾内网安全平台由一个基础平台和七个产品组成,其中基础平台对整个内网安全系统提供基础设施支撑,如预警、日志、管理员管理、报表系统等;另外七个产品分别从桌面安全管理(DSM)、终端准入管理(EAM)、终端补丁管理(EPM)、存储介质管理(SMM)、终端上网行为管理(SAC)、数据泄漏防护(DLP)以及打印安全管理(PSM)七个方面,对内网安全各个层面的需求进行满足。