背景需求
某单位一直都非常重视信息安全建设和管理,截至2006年底,已经建立起了较为完善信息安全防护体系和严格的管理制度,信息安全管理水平达到业界领先的水平。但是,随着信息技术的不断进步和银行业务的不断扩展,很多新的安全威胁和问题将层出不群,在新形势下,所面临的新的安全问题集中表现在如下几个方面:
1) 已经建成的信息安全防护体系,仍不能够有效防治病毒、木马等恶意代码,如大规模爆发ARP欺骗病毒等,造成了网络的堵塞,严重威胁到了业务的正常运行;
2) 外来电脑和存在安全隐患的办公电脑,没有经过任何身份认证就可随意接入到网络中,并成为了病毒和非法人员攻击网络和关键服务器的源头和跳板,但现有的安全防护体系却对其难以防范;
3) 针对终端的安全管理制度极大程度依赖用户的主动配合和安全意识提高,实际收效甚微;
4) 内部员工使用公共帐号在内网发布不当言论,但事后不能找到真正的责任人,给安全管理制度落实带来了极大的困难。
解决方案
经过详细沟通和深入交流之后,某单位确定选择启明星辰的内网合规管理产品——“天珣内网风险管理与审计系统”(以下简称天珣),作为某单位用户实名制管理平台,并通过这个平台有效解决以上提到的诸多问题。
依托天珣具备的业界领先“多层准入控制”技术,天珣可以在终端自身、内部网络接入边界、关键网络区域和关键业务系统,构建起对来访终端及用户的身份验证和安全健康状态检查的“安检”系统,不仅可以对来访的终端及用户进行多因素绑定的身份认证,还可以对申请接入的终端进行安全状态检查,检查终端是否存在漏洞,确保只有合法和安全的终端才能够接入内网和访问内网资源。
天珣准入控制中,提供业界最完整的多因素绑定的身份认证,可以将登录的用户名、IP、MAC、VLAN、资源使用有效期、安全状态等条件中的一个或多个条件进行绑定认证,只有申请接入的终端和用户所有输入条件都正确后,才能通过身份认证,才有资格接入内网。
而且,借助天珣实现的终端用户实名网络访问,可以方便根据精确的用户和终端信息,执行内网安全管理策略,保证策略执行能够真正落到实处。
图1构建实名制管理框架
举例说明:如果启用了User+IP+MAC+有效期+安全状态的多因素绑定认证,那么只有申请接入的终端和用户身份条件全部满足后,终端用户才能被获准接入。那么获准接入后,由该终端和使用者在内网中的所有网络行为将不能被仿冒和篡改,即使在某一个系统日志中只找到一个违规行为的IP地址,也可以根据准入控制所提供的多因素绑定认证所建立的“实名关系”,准确找出违规行为发生,是由哪个用户,使用哪个终端和IP地址,在什么时间,访问过哪个网络,追踪溯源,找到事故的源头和问题的责任人。
案例点评
通过天珣构建的内网实名制管控与审计体系后,可以确保只有合法的和健康的终端及用户才能实名接入内网,从而实现对网络终端的管理和控制。通过该系统,实现了终端主动防护能力和有效的管理,大幅度减少外来的和不安全的电脑非法接入或进行非授权访问,有效发现和拦截蠕虫病毒、木马的攻击和传播,杜绝因个别客户端电脑安全问题导致整个网络阻塞甚至瘫痪,确保银行业务和办公的正常进行,大大减少了企业网络安全事件的发生,提高网络安全防护到更高的级别,确保核心业务系统不间断运行。
扫一扫
438
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
