 | 
|
|
|
|
信创终端安全与运维解决方案 |
背景与问题分析 |
|
一、信创终端规模达数千万台 终端安全该如何建设? 为推进“数字中国”建设战略,国家提出了“2+8”安全可控体系:“2”指党、政体系;“8”指关于国计民生的八大行业,即金融、电力、电信、石油、交通、教育、医疗、航空航天行业。研究报告称,预计未来每年信创终端出货量为1017万台,如此规模的信创终端替代需求,势必将催生出巨大的信创终端安全运维的需求。  1、USB移动存储设备及USB外设管控 ◆ U盘、移动硬盘管控 U盘、移动硬盘等带有移动存储功能的介质作为日常的信息交换载体被广泛应用,然而超强的便捷性也带来高泄密和病毒传播的风险。 ◆ 智能手机管控 目前的智能手机同样拥有存储功能,可以和信创终端进行数据交换。 ◆ 通讯外设管控 蓝牙、WIFI等可以通讯的设备同样会造成泄密风险,没有可靠的管理手段。 2、违规外联管控 针对不允许连接外网的内网终端,尤其是“一机两用”会被通报的单位,终端的非法外联一直是一个难题。 三、违规外联隐患 ◆ 隐私外设:在涉密终端私自接入无线WIFI或无线网络接收器通过手机热点联网; ◆ 内外网共存:由于工作需要,很多办公室都同时安装了涉密网与互联网。两种网络接口同处一室,极易发生混乱,导致“一机两用”现象发生; ◆ 防范意识不高:终端出现故障在所难免,而一般维修人员没有“一机两用”的意识,导致注册过的计算机维修时或维修后联入外网。 内控王一体化解决方案 本方案严密配合国家权威机构提出的相关法规,从多个层面对信创终端设备进行全方位的安全防护及运维支持。具体包括USB外设管理、非法外联阻断以及告警日志等多种安全运维功能于一体。本方案通过统一的图形化管理界面,实现了安全管控的功能。终端部署方式简便,扩充性和兼容性好,支持多vlan和动态dhcp网络环境,能够实现在极少量管理人员的情况下实现大规模网络管理。是一种低成本、易实施、好管理、高可靠的安全解决方案,全面解决信创终端的安全问题。  方案架构  1、移动存储设备及通讯外设的禁用 管控USB存储介质(U盘、移动硬盘、刻录光驱等具备存储功能的设备) 和 USB通讯外设(蓝牙、WIFI等)。防止因外设泛滥带来的病毒扩散至内网的威胁。 智能识别并禁用USB移动存储设备和USB通讯外设,对鼠标,键盘,U-KEY、CA锁、打印机等其它外设没有影响。 2、智能手机的管控 目前的智能手机同样拥有存储功能,可以和信创电脑进行数据交换,所以智能手机的存储功能同样需要禁止。 在禁用智能手机的同时,保留了手机连接电脑的充电功能。  1、驱动层面对所有数据包进行监控,发现并拦截通过任何方式与外网通讯的数据包,杜绝违规外联事件的发生。 2、发生违规外联后,终端向服务器发送告警信息,记录日志,日后溯源。  方案特色 1. 智能识别:禁止USB存储介质使用,但不影响其他USB设备正常使用(CA锁、UKEY、USB键盘鼠标、USB打印机等); 2.高兼容性:硬件支持loongarch64、mips64e、arm64架构的龙芯和飞腾芯片,系统支持银河麒麟、统信UOS等主流操作系统;  • 网络版:适用于内部局域网的信创终端,集中管理,灵活授权; • 单机版:适用于没有联网的信创终端; 4.驱动级违规外联防护:驱动层面对所有数据包进行监控,发现并拦截通过任何方式与外网通讯的数据包,杜绝违规外联事件的发生; 5.高稳定性:公安部安全产品销售许可二级(等保2.0产品)。支持大规模部署,7*24 小时保证在网络中运行,稳定运行有保障。 |