毕节市中医医院安全管理终端综合管理平台 询价公告
2023-12-01 15:02:51采购科
毕节市中医医院安全管理终端综合管理平台
询价公告
1、询价项目名称:安全管理终端综合管理平台
2、询价项目联系人:余先生、陈先生 0857—8301526
3、询价本次报价联系地址:贵州省毕节市七星关区清毕南路32号中医医院采购科
4、询价设备数量及参数: 相关要求及参数见附件
5、报价供应商资格要求
参加报价的单位必须具有独立的企业法人资格、独立承担民事责任能力且从事相关行业;投标人经营范围符合本项目要求,具有良好的商业信誉和健全的财务会计制度;具有履行合同所必需的设备和专业技术能力;有依法缴纳税收和社会保障资金的良好记录;参加本次招标活动前三年内,在经营活动中没有重大违法记录。公司在行业内有良好的服务信誉。
6、报价须提交文件资料
须提供公司法人营业执照复印件、不是法人报价的需要提供法人授权委托书及被授权人的身份证明、产品报价单、产品资质及参数。所有复印件均应加盖公章,按顺序装订成册,并在封面留下公司名称及联系电话,送到或邮寄我院采购科。
7、报价时间:2023年12月4日上午09:00至2023年12月6日下午17:00,逾期不再受理。
特别说明:本次询价工作仅为对拟采购项目进行市场询价,我院不对参与报送的产品及价格其方案作任何承诺。
2023年12月1日
毕节市中医医院安全管理终端综合管理平台功能参数要求
整体要求:
1、本项目是交钥匙工程,投标人需在充分了解项目需求的前提下自行考虑完成项目集成所需配套软硬件、接口集成,包括但不限于服务器等设备数量、现有网络设施等数量和要求,投标人的报价已充分考虑项目所需一切设备费用、安装费用、集成费用、接口费用、调试费用及材料费用,确认所有投标的产品无需医院有任何额外投入即可以满足全部实施要求。
2、 软件及硬件安装完工后投标人需提供完整的运行文档、竣工报告、网络结构图、数据文档、软件密钥包等资料,软硬件必须满足国家五级电子病历、四级互联互通、三级智慧医院标准并配合相应评级评审工作。
3、所有设备、材料及安装、集成、调试等服务均质保不低3年(需求中另有要求的除外)维保期内须定期进行软硬件升级巡检,并对医院信息管理部门进行网络安全培训,每年不少于两次。
4、采购人保留测试的权力,有权要求中标人在中标后3个工作日内进行招标参数的逐一验证测试,测试不通过则取消中标人的中标资格,同时将追究投标人法律责任。
5、国产化要求:本项目所有软硬件须国产化信创产品,软件须做国产化适配。
根据网络安全法及主管单位监管要求,毕节中医院需要建设一套终端安全管理系统,切实增强终端威胁防御能力,在满足合规的同时,需要提供切实有效的终端安全防护能力,保障各类生产和办公业务平稳持续运行。
安全现状
医院共分为互联网、内部局域网,主要划分为网络接入区、核心交换区、办公区、第三方接入区、安全管理区。共有服务器及终端860台。其中,互联网接入区与核心交换区之间已经部署防火墙、上网行为管理系统、web应用防火墙,互联网与内部局域网通过双向网闸进行数据摆渡传输。内部局域网科室办公PC与后端核心业务区已部署防火墙、入侵检测系统,与第三方农合医保通过防火墙进行访问控制,安全管理区部署堡垒机、漏洞扫描、日志审计、数据库审计产品。
综上,医院在终端安全管理措施方面缺少有效的技术手段,无法切实增强终端威胁防御能力,不能满足国家网络安全法及监管单位合规要求,需要构建切实有效的终端安全防护能力,保障各类生产和办公业务平稳持续运行。
设计目标
(1) 构建安全高效的终端反病毒系统
实现对已知病毒、恶意代码、漏洞利用攻击的深度检测与精确阻断,构建安全有效的终端纵深防御体系。
(2) 全面提升终端安全运维能力
实现对内网终端的统一安全管控,基于资产管理和远程协助,全面掌握内网安全状况,及时处置终端安全威胁,打造快速响应的闭环运维体系。
(3) 满足终端合规管控要求
通过建设持续有效运营的终端安全管理体系,满足等级保护2.0需求,同时满足上级监管单位的安全建设要求。
设计原则
(1) 实用性
系统建设时要充分考虑实用性,能起到真正的防护效果,同时不影响正常的生产办公业务,实现安全与效率的有机融合。系统操作交互界面应当尽可能简单易用,降低系统使用和维护的复杂度。
(2) 安全性
系统自身应具备自保护机制,防止恶意破坏导致防护失效。在用户权限设置、抗干扰、抗故障等功能以及具有高度的可靠性,从技术手段上保证系统安全稳定运行,保证系统的数据安全。
(3) 先进性
系统设计应采用先进的、符合业界标准的系统平台、体系结构和开发技术,在保证系统的开放、可靠、实用的同时,也使系统具有较长的生命周期和较好的适用性、可维护性。
(4) 开放性
在系统设计时,应充分考虑对数据标准和应用接口标准的支持,以使系统具有广泛的互连性。
(5) 可扩展性
在技术的选用、功能的设计和实现等方面,应充分考虑长期建设需要,使后期功能和内容的增加能在一个开放性的平台上平滑扩展,而且要求易于管理,以降低后期管理维护成本,保障投资有效性,保证系统健康可持续拓展。
n 《中华人民共和国网络安全法》
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改
n 《中华人民共和国密码法》
第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。
n 《中华人民共和国数据安全法》
第二十七条 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
1. 《计算机信息系统安全等级保护划分准则》(GB 17859-1999)
2. 《信息安全技术信息系统物理安全技术要求》(GB/T 21052-2007)
3. 《信息安全技术信息系统安全管理要求》(GB/T 20269-2006)
4. 《信息安全技术网络基础安全技术要求》(GB/T 20270-2006)
5. 《信息安全技术信息系统安全通用技术要求》(GB/T 20271-2006)
6. 《信息安全技术信息系统安全等级保护体系框架》(GA/T 708-2007)
7. 《信息安全技术信息系统安全等级保护基本模型》(GA/T 709-2007)
8. 《信息安全技术信息安全风险评估规范》(GB/T 20984-2007)
9. 《信息安全技术信息安全风险评估实施指南》(GB/T 31509-2015)
10. 《信息技术安全技术信息安全风险管理》(GB/T 31722-2015)
11. 《信息安全技术信息安全风险处理实施指南》(GB/T 33132-2016)
12. 《信息安全技术信息系统安全等级保护实施指南》(GB/T 25058-2010)
13. 《信息技术安全技术信息安全管理体系要求》(GB/T 22080-2016)
14. 《信息安全技术网络安全等级保护测评过程指南》(GB/T 28449-2018)
15. 《信息安全技术网络安全等级保护测试评估技术指南》(GB/T 36627-2018)
16. 《信息安全技术网络安全等级保护安全管理中心技术要求》(GB/T 36958-2018)
17. 《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)
18. 《信息安全技术网络安全等级保护安全设计技术要求》(GB/T 25070-2019)
19. 《信息安全技术网络安全等级保护测评要求》(GB/T 28448-2019)
20. 《信息安全技术网络安全等级保护定级指南》(GB/T 22240-2020)
21. 《卫生行业信息安全等级保护工作的指导意见》(卫办发〔2011〕85号)
建设方案
终端安全管理系统软件是在安全大脑极智赋能下,以大数据、云计算、人工智能等新技术为支撑,以可靠服务为保障,集防病毒与终端安全管控、终端运维功能于一体的企业级安全产品。提供病毒查杀、漏洞修复、资产管理、终端管控、准入控制等诸多功能,帮助政企用户全面掌控全网终端安全状态,快速处置各类已知未知威胁,对终端进行规范化管理,有效保障生产和办公业务正常进行。
建设思路
管控平台:部署在服务器系统上,负责终端统一管理、控制策略下发、未知文件云端查询。
客户端代理软件:作为前端插件部署在受保护终端上,负责终端安全状态监控、数据信息采集以及上传、执行管控平台下发的扫描查杀策略,发起版本升级、病毒库和补丁库更新请求并执行升级修复任务。
云端查杀平台:由安全大脑提供云端能力支撑,基于智能化多引擎平台进行文件安全性实时分析,并将云查询结果返回管理控制台。云端查杀平台支持互联网公有云查询,同时也支持隔离网本地化部署模式。
隔离网部署架构
本单位内网终端与外部互联网隔离,可在内网部署一台终端安全管理系统控制中心,将终端安全管理系统私有云平台接入内网并做好相应配置,在所有内网终端上安装终端安全管理系统客户端代理,在办公网安装隔离网升级工具,定期从相关的服务器下载病毒库、木马库、漏洞补丁文件等,更新到控制中心后,所有终端安全管理系统终端都可以自动升级和修复漏洞。安全管理员可以负责控制中心的日常运行,定时查看各终端的安全情况,下发统一杀毒、漏洞修复等策略。
图终端安全管理系统隔离网场景部署架构
威胁防御
恶意代码检测
恶意代码攻击常常利用社会工程学、零日漏洞、定制恶意软件等,传统的基于特征库的被动防御体系无法识别异常流量,存在严重的滞后性。
终端安全管理系统,提供先进的网络版防病毒功能,通过云查杀引擎、人工智能引擎、构建多维智能检测体系,并配合主动防御,支持对蠕虫病毒、恶意软件、APT、广告软件、勒索软件、引导区病毒的检测查杀。
云查杀引擎:云查杀引擎建立在云端庞大的黑白名单数据库基础上,具有高检出、低误报的特点。提供自动化病毒特征提取分析能力。相较于传统引擎的病毒特征提取方式,引擎依托安全大脑提供的大存储、多样本、高算力、机器学习等资源,实现后端病毒特征自动分析提取。智能识别引擎采用人工智能与机器学习的方法,对前已经积累的海量样本进行多次切片学习,抽取出病毒与恶意代码共性特征,建立恶意代码不同族系模型,对变种病毒具有出色的免疫能力。非PE文件可以通过钓鱼、自身功能被利用、漏洞等多种方式在客户端产生威胁。针对非PE类宏病毒、VBS、REG等恶意文件,终端安全管理系统利用专用QEX脚本查杀引擎进行检测。QEX引擎为脚本执行模拟器,可将变种繁多的宏病毒置入模拟器执行,通过既定输出参数精确判断宏病毒后执行精确查杀。
本地私云
为了解决隔离网情况下的终端病毒查杀问题,避免终端调用本地大型病毒库消耗过多资源,终端安全管理系统提供本地私有云查杀平台。通过把内网终端云查路径指向私有云平台,直接调用私有云病毒特征库执行鉴定和查杀,其运算速度和数据量都远远超过传统杀软的本地查杀引擎,实现类似于公云查杀的效果。
本地私有云鉴定中心,可复合多种病毒查杀引擎,提供文件MD5的黑白属性查询与鉴定功能,支持1亿的标准黑白名单,同时用户可以将自身网络内终端产生的新样本提交到本地鉴定中心进行安全鉴定,打造属于自己的样本大数据安全运营中心。
通过部署本地私有云,可以为本单位提供安全有效的隔离网环境威胁检测和防护能力:
(1) 可以快速实现恶意样本/URL 查杀、鉴定、 检测能力的建设并形成具有自有品牌的查杀解决方案。
(2) 利用本地查杀云的样本/URL 黑白名单库以及强大的样本鉴定中心分析鉴定能力,安全运营人员、安全分析研究人员可以快速分析海量的待处理数 据样本、精准分析特定样本集,极大减少人工干预成本。
(3) 本地私有云部署在内网环境下,样本/URL 数据、分析结果全部本地化存储, 数据安全有保障。
主动防御
终端安全管理系统在互联网场景下,能直接联动云主防体系,通过浏览器防护、系统防护、入口防护、横向渗透防护等功能,构建主动防御体系,实时监控病毒木马最常利用的目录、文件、注册表位置,阻止恶意利用,免疫流行病毒,抵御高级威胁攻击。
系统主动防御,对高级威胁、漏洞利用攻击具有出色的防御能力。主动防御是基于程序行为自主分析判断的实时防护技术,不以病毒的特征码作为判断病毒的依据,而是从最原始的病毒定义出发,直接将程序的行为作为判断病毒的依据。主动防御解决了传统安全软件无法防御未知恶意软件的弊端,从技术上实现了对木马和病毒的主动防御。在实现机制上可以对文件访问、进程创建、注册表读写、网络IP请求、设备加载完成主动防御拦截。
勒索病毒防护
弱口令攻击、横向渗透、暴力破解等一直是勒索病毒最重要的传播手段(超过六成半),病毒木马扩散,黑客入侵等导致的数据丢失、机密信息泄露、服务器瘫痪日益频繁。终端安全管理系统,基于勒索诱饵、横向渗透防护提供勒索病毒实时感知和阻断能力。
勒索诱饵:提供了反勒索防护能力,利用勒索诱饵,感知勒索加密行为,反向定位勒索进程并实时查杀。
横向渗透防护:提供远程服务创建防护、远程注册表篡改防护、远程COM组件调用防护、远程计划任务创建防护、远程WMI命令执行防护、远程系统工具进程启动防护等常用横向渗透手段的防护,阻断勒索病毒通过失陷终端横向扩散的行为。
终端威胁自查
为了排查终端是否存在恶意威胁,通过威胁自查(扫雷),对终端下发扫描指令,检测是否存在APT高级威胁,基于扫描结果与MD5库比对,从而识别终端上的恶意威胁。在实际的威胁自查过程中,可以使用或第三方提供的MD5自查库。扫描结束后,可以查看终端排查的威胁日志。
上网安全防护
览器安全防护
互联网访问行为极易受到各类钓鱼网站、木马病毒攻击,为了避免浏览器成为风险入口,终端安全管理系统提供浏览器安全护航能力,精确识别挂马网页,自动对危险网站进行查杀拦截,打造安全网络环境,实现安全上网和上网安全的目标。
(1) 网页安全防护:当访问挂马网站时,自动拦截网页中的欺诈信息和危险Flash文件,并可将可以代码上传到安全中心。
(2) 搜索安全防护:搜索引擎有时会利用Cookies记录上网痕迹,然而这些Cookies很容易受到商业组织或者是黑客利用,导致个人隐私泄露,同时会遭受个性化推荐广告或者其他弹窗骚扰,开启搜索引擎防跟踪功能后,上网Cookies将会被定期清理,保障个人隐私安全。
(3) 浏览器及首页防护:用户可以设置终端默认浏览器和首页,防止被恶意篡改,也有利于实现浏览器标准化管理。
办公安全防护
为了保障日常办公安全,终端安全管理系统对常用的办公工具和办公行为进行了重点防护,包括邮件外链安全检测、U盘接入检测、IM聊天安全防护、下载软件捆绑安装防护以及输入法防护,全面保障办公业务安全。
漏洞管理
终端安全管理系统的补丁管理共由三部分组成:
终端漏洞管理模块(终端安全管理系统客户端):通过漏洞检测模块检查终端系统、应用是否存在漏洞,并向管理控制台请求补丁修复;
终端安全管理系统管理控制台:管理员统一下发漏洞修复策略、请求补丁更新;
云端漏洞管理服务器(安全大脑):在管理控制台请求补丁更新后,同步管理控制台需要更新的补丁和下发最新补丁。
在日常的漏洞与补丁管理过程中,终端安全管理系统可以对全网计算机进行漏洞扫描把计算机与漏洞进行多维关联,可以根据终端或漏洞进行分组管理,并且能够根据不同的计算机分组与操作系统类型将补丁错峰下发,在保障网络带宽的前提下可以有效提升企业整体漏洞防护等级。
漏洞修复
终端安全管理系统,提供四大类漏洞管理能力,分别是操作系统级Office高危漏洞、官网尚未修复的0day漏洞、软件更新以及功能性更新补丁。
(1) 操作系统及Office高危漏洞
此类补丁一般为微软发布的严重或重要级别漏洞补丁,漏洞级别由微软安全公告全球公开发布,涵盖有Windows系统级补丁、Office补丁以及Windows中各种组件的补丁(如Visual Studio、.Net Framework等)。智能漏洞管理功能将此类漏洞列在高危漏洞中,会第一时间提示用户打补丁进行修复。
由于国内大量终端使用了第三方修改过的Windows操作系统版本,在安装个别补丁时可能会出现系统或软件故障。集团具备丰富的打补丁运营经验,若发现某个补丁有较大概率会导致系统蓝屏或无法启动,智能补丁管理功能会根据终端系统环境,将此补丁转到“可选”甚至“不推荐安装”,“不建议安装”的补丁类别中。
(2) 官方尚未修复的0day漏洞
0day漏洞一般为微软或其它流行软件被曝光的严重漏洞,在官方还来不及修复情况下已经遭到黑客利用,从而使造成非常广泛的恶劣影响。对此,集团会以临时补丁(热补丁)的方式迅速堵住漏洞,在官方补丁发布前确保证用户计算机安全,同时也不会与官方补丁有任何冲突。例如:微软快捷方式自动执行0day漏洞、IE浏览器“极光”0day漏洞等。
(3) 软件更新
此类为第三方软件的严重漏洞。主要为比较流行软件中的漏洞(例如Adobe Flash Player、Acrobat Reader),而这些漏洞可能导致严重问题。这类补丁集团在软件官方发布修正版本后第一时间提醒用户修复漏洞。
(4) 功能性更新补丁
此类补丁主要是微软发布的功能性更新补丁,或者微软一些软件更新程序(例如Silverlight、恶意软件删除工具)。这类补丁一般是非安全更新,安全等级多为中等或低。终端更新这种补丁并不能提升用户计算机安全,还可能会占用用户带宽、硬盘空间、系统资源等,所以默认不推荐用户打。可把存在“副作用”(如系统蓝屏,无法启动,其他软件与之存在冲突等)的安全漏洞补丁设置为可选。
Win7专项防护
本单位内部仍然有部分Windows 7终端,由于Winddows 7终端已经停止更新,面临的最大风险是漏洞利用攻击:
(1) 停服之前的漏洞补丁无法获取更新。
(2) 停服之后新爆发的漏洞,无官方补丁可打。
(3) 停掉了软件更新和技术支持,对系统安全策略、软件使用都产生影响,更容易被攻击渗透。
提供的Win7盾甲旨在解决包括Win7在内的Windows停服系统面临的安全风险。通过深入分析系统自身设计机制上的缺陷,从内存保护检查、导入导出表检查、系统调用者检查、栈置换防护、阻止远程映射、零地址防护、堆喷射防护、内核攻击防护、子系统隔离保护、镜像攻击防护、内核隔离防护等多个层面,对操作系统进行安全加固,切断漏洞利用通路,对漏洞利用攻击实现系统级防护。针对没有官方补丁的高危漏洞,终端安全管理系统以微补丁的方式进行防护,管理员可以根据本单位的防护要求启用或停用针对某个CVE漏洞的微补丁。
终端检测响应EDR
网络攻击愈来愈呈现复杂化、高级化的特点。以APT攻击为例,APT攻击具有针对性强、组织严密、持续时间长、隐蔽性高、采用技术手段先进等多种特征,检测相关的攻击给安全行业带来很大的挑战。对于攻击者而言,内网终端和主机既可以作为被攻击目标,也可以作为攻击的跳板。因此增强端点的安全性和可对抗性,找出隐匿在终端的威胁痕迹,提前遏制并阻断攻击,是保证业务安全和网络安全的重要问题。
为了解决包括无文件攻击、0day漏洞利用攻击、APT攻击在内的高级攻击检测及溯源难题,本方案提供终端检测响应EDR(以下简称“EDR”)能力模块,增强内网端点威胁防御以及威胁对抗能力,在满足安全合规的同时,保障各类生产和办公业务平稳持续运行。
EDR聚焦APT攻击常见攻击行为检测,及时汇聚关键事件信息进行高维度分析,可监控60种Windows行为、70种Linux行为,检测全面且有针对性,减少次要数据的干扰。
EDR客户端持续采集终端事件、行为、等动静态数据,并将数据实时推送到EDR大数据平台进行统一的存储和管理。
EDR客户端由于要对系统事件、操作行为进行持续监控和上报,如果系统上触发事件的频率较为持续,EDR进程的CPU、内存、磁盘IO占用可能出现持续占用高的状态。为避免和缓解资源高占用的情况,在EDR控制中心可以对性能阈值进行设置,当EDR客户端CPU、内存、磁盘IO持续超过阈值一段时间后,会暂停或放缓检测,直到监控资源持续低于阈值的情况再重新开启事件检测功能。
为了实现最佳的管理效果,EDR客户端可以与终端安全管理系统客户端集成,实现一体化管理和维护。
终端安全管理
为了有效贯彻终端安全管理规范,可通过终端安全管理系统实现对用户终端的统一管理,减少内部和外部风险输入。
终端安全检查
内部终端安全配置不统一,所有终端并未达到最低的安全要求。安全配置不一致除了带来管理混乱,更容易被外部攻击者利用终端防护脆弱面实施渗透攻击。通过终端安全检查功能,相当于给终端配置了最低的安全基线,所有终端都必须达到最低的配置要求,减少可预知的初级安全隐患。
检查项配置
安全检查功能,通过管理控制中心将安全检查的时机、内容及标准统一下发至客户端,客户端根据收到的策略要求进行安全检查和修复,当完成检查后,客户端能够实时的将检查结果上报至管理控制中心。
管理员可根据管理需求自行配置安全检查项、检查项的扣分标准、修复方式以及是否为否决项,其中检查项包含包括身份鉴别检查、访问控制检查、入侵威胁检查、系统状态检查以及系统运行检查。
安全检查项包括:
(1) 身份鉴别检查
Ÿ 账户锁定阈值:若终端配置与管理员要求一致,则检查通过。
Ÿ 账户锁定持续时间:若终端配置与管理员要求一致,则检查通过。
Ÿ 重置账户锁定计数器:若终端配置与管理员要求一致,则检查通过。
Ÿ 密码长度最小值:若终端配置与管理员要求一致,则检查通过。
Ÿ 密码最短使用期限:若终端配置与管理员要求一致,则检查通过。
Ÿ 密码最长使用期限:若终端配置与管理员要求一致,则检查通过。
Ÿ 密码必须符合复杂性要求:若终端配置与管理员要求一致,则检查通过。
(2) 访问控制检查
Ÿ Windows防火墙检查:若终端配置与管理员要求一致,则检查通过。
(3) 入侵威胁检查
Ÿ 关闭自动播放功能:若终端配置与管理员要求一致,则检查通过。
Ÿ 系统共享:若终端配置与管理员要求一致,则检查通过。
(4) 系统状态检查
Ÿ 病毒库及时更新检查:终端检查已安装管理员要求的杀毒软件(目前仅支持终端安全管理系统),且病毒库更新天数超过设置天数,则检查通过。
Ÿ 系统漏洞检查:终端检查未修复漏洞中不存在管理员所选漏洞级别或KB ,则检查通过。
Ÿ 系统账号弱密码检查:终端检查系统账号未发现弱密码,则检查通过。
Ÿ 使用WIFI方式连接检查:检查终端当前未使用 WIFI 连接则检查通过。
Ÿ 远控软件检查:终端检查未运行管理员指定的远程控制软件,则检查通过。
(5) 系统运行检查
Ÿ 高危端口检查:终端检查未开启管理员所选高危端口,则检查通过。
Ÿ 违规外联检查:终端检查无违规外联行为,则检查通过。
Ÿ 病毒检查:终端检查不存在未处理病毒则检查通过。
安全检查的每个检查项会内置默认值,管理员可自行修改。管理员可根据业务需要,配置检查项的扣分标准、修复方式以及是否为否决项(若有1 项及以上否决项不符合标准,则终端检查不通过)。
终端自检与修复
终端用户根据管理员设定的检查项,可以自主执行终端健康状态检查并进行修复。
终端用户执行安全检查,减少全网终端脆弱面,便于管理与维护,同时提高终端用户的网络安全意识。
桌面安全加固
随着终端数量不断增加,终端统一配置逐渐成为管理中的突出问题。如果没有集中管控手段,逐台操作工作量非常大,且终端用户也会擅自变更配置,会造成内网终端的基本配置无法统一管理,出现诸如账户密码太简单被恶意软件渗透,私设代理上网引入外界风险等一系列问题。桌面安全加固能帮助IT管理员对终端桌面系统的账号密码、本地安全策略、控制面板、屏保与壁纸、杀毒软件检查等功能进行细粒度的统一管控,并支持不同的分组设置不同的策略功能。通过桌面安全加固策略,可以协助IT管理员对全网终端进行统一配置,提高终端运维效率。
终端桌面助手
办公终端承载了业务办公主体的角色,其运行性能直接影响办公体验和办公效率。办公终端面临的管理问题集中表现在:
(1) 长时间运行导致系统性能效率降低:计算机运行时间越长,由于缓存文件、启动项的因素,可能运行效率会降低,为了让终端保持良好的运行状态,需要经常对终端进行优化清理。
(2) 广告弹窗导致的效率与安全问题:随着互联网应用的发展,广告弹窗问题比较显著,对正常的办公造成干扰,尤其是恶意软件会利用弹窗诱导用户点击黑链网站,从而造成安全隐患。
(3) 数字办公时代办公效率提升的问题:经常访问的网站实现快速访问、快速运行指定的软件、日常办公事项备忘录、常用操作的快捷实现(如关机、截屏、锁屏、本地文件搜索等),如果有更快捷的工具可以帮助实现操作可达性,将会大大提升办公效率。
终端安全管理系统提供了多项终端桌面优化和自助管理功能,降低系统运行负担,提升办公体验:
(1) 垃圾清理:清理终端下载的文件缓存,释放本地磁盘空间。
(2) 优化加速:检查系统开机加载项,可禁用相关启动项加快开机速度。
(3) 文件粉碎机:粉碎终端顽固的文件或文件夹。
(4) 弹窗防护:对第三方软件恶意弹窗进行防护,减少对终端办公的干扰。
(5) 查找大文件:扫描查找终端本地前1000个最大的文件,终端用户可以选择删除不需要的文件从而释放本地磁盘空间。
(6) 断网急救箱:提供的断网修复小工具,支持诊断电脑网线是否插好、网卡电源机驱动、DHDP服务是否正常等影响上网的常见问题,可执行一键修复。
(7) 右键管理:管理终端文件右键菜单,可以删除相关的右键菜单项。
(8) 流量管理:对终端有网络连接的进程进行流量限速,可配置上传和下载速度。可查看进程的俺去教案登记、连接状态、连接协议、目的IP、目的端口等信息。流量管理还提供浏览器保护网速功能,对安全浏览器、IE浏览器、Chrome浏览器等常见的浏览器进行网速保护。
(9) 隔离沙箱:采用智能识别和轻量的虚拟化技术,支持手动指定程序在沙箱中运行。
(10) 系统盘瘦身:实现系统盘瘦身,释放C盘空间,支持转移虚拟内存、关闭系统休眠功能、删除自动备份区的文件。
(11) 默认软件设置:终端用户可根据个人使用习惯,把终端安装的常用视频播放器(如Windows Media Player)、音乐播放器(如Groove、Windows Media Player)、看图软件(如Windows照片查看器)、邮件收发软件(如Microsoft Office Outlook)、压缩软件(如压缩)以及浏览器(如安全浏览器、IE浏览器、Microsoft Edge)设置为默认的软件。
(12) LSP修复:对恶意软件劫持LSP协议造成的上网问题进行修复。
(13) 自定义工具:管理员可在服务端知识库中自定义小工具(添加的小工具软件均需预先安装在终端上),小工具类型支持“本地程序”和“网址”两类。“本地程序”中设置的进程,在终端上若未运行,可提示终端用户;管理员可把常用网站地址设置到“网址”小工具中,终端用户可在客户端工具箱界面直接单击该网址工具,便可访问对应的网站,提供便捷的网站访问方式。
(14) 桌面助手:提供终端桌面自助办公助手,支持桌面整理、待办事项、本地文件搜索、桌面整理、记事本、计算器、便签、定时关机、截屏、锁屏、注册表、命令行等功能,提升终端用户办公体验。
安全通讯管理
网络安全防护,通过黑白名单机制确保网络通讯安全。管理员可以添加某些网络连接的协议类型,基于IP、域名和端口等维度进行终端网络控制,阻止网络攻击。管理员还可以对终端的DNS地址进行统一配置,阻止通过指定的DNS进行攻击。
终端外联管理
为了更有效、更及时侦测内部终端是否存在非法连接外网或指定网络的行为,终端安全管理系统提供了外联探测功能。为了提供,我们通过终端探测、互联网探测、外联靶机三大检测方式提供全面且准确的外联行为检测能力。
(1) 终端探测:通过解释域名、PINIG探测地址、TCP建立链接等方式,探测指定的地址(该地址不会发生变化),发现违规外联可触发告警或执行终端断网。
(2) 互联网探测:此方式适用于探测内网用户是否存在访问外部互联网的行为。通过对公网域名https://ip.safe..cn进行外联探测,探测后返回的出口地址如果是非白名单内的地址,则认为发生违规外联。由于https://ip.safe..cn地址是提供的一个固定地址,故不会存在误报的情况。
(3) 靶机探测:如果单位内部划分了多个不同安全等级的局域网网段,或者不同的网段有不同的网络访问限制,需要及时发现内部跨网段违规访问(如涉密网段机器访问公共区网络)或者违规访问外部互联网的行为。针对这种场景需求,可以使用外联靶机探测。可以在Windows或Linux机器上部署靶机软件,这些机器作为探测服务器,当发生违规外联行为时可邮件通知管理员。
为了配合违规外联策略控制,还可通过禁止终端修改IP和MAC地址,实现IP/MAC绑定效果,封堵基于IP或MAC方式的网络绕过行为。
终端脱网防护
在客户端与管控中心无法正常通讯(即客户端处于离线状态)时可执行脱网策略,终端所有网络访问能力将被阻止(管控中心和逃生地址例外)。同时,为不影响用户业务系统的正常使用,支持配置脱网逃生地址,即终端脱网后逃生地址仍可正常访问。
进程管理
为了规范内网用户办公行为,阻止不合规程序的运行,通过设置进程黑名单和红名单,对终端运行进程进行管理,确保办公软件使用规范化。
黑名单:禁止名单中的进程运行,运行黑名单中进程时可弹框告警,及时通知管理员。
红名单:可以把涉及常用软件关联的进程添加到红名单中,红名单的进程将会被强制运行。
移动存储设备管理
本方案提供完善的移动存储设备管理机制。针对移动存储设备注册、授权、注销/挂失全周期管理能力,避免移动存储设备的不规范使用带来的安全风险。
本方案提供的移动存储设备管理功能,能同时兼容Windows和信创终端,满足Windows和信创终端跨平台使用移动存储介质的要求。
对于移动存储设备的管理,我们分为普通移动存储设备和提供的硬件安全U盘两类管理对象,适用于内部管理、外出管理的不同使用场景。
普通U盘
对于常规的移动存储设备,可以根据厂商ID、设备ID,对移动存储介质进行识别、注册以及读写权限控制,可以禁止非法设备或未授权设备的接入,减少未知风险输入。
(1) 设备注册与授权
管理员通过设备注册工具对移动存储设备进行注册。Windows终端用户也可以申请注册移动存储设备,然后由管理员进行注册审批。
注册成功后,通过管理中心将移动存储设备归属于某分组。
(2) 设备状态控制
管理员对于已注册移动存储可实现停用启用、挂失取消挂失等状态的修改,对于已注册移动存储可实现取消注册功能。
(3) 设备打标签
管理员对于已注册移动存储设备可以赋予标签信息,标签由管理员自定义,不同的标签可以赋予不同的使用权限。
(4) 权限控制
管理员对指定分组可分配对于未授权设备的权限控制,支持读写、只读、禁用三个状态。提供标签授权功能,按照移动存储的标签对终端进行授权,具备此标签的移动存储才可以使用,使用包括只读、读写权限。
安全U盘3台
提供的硬件安全U盘,拥有国密加密机制,并提供32G、64G两种标称容量。安全U盘能对存入的数据能进行有效保护,同时禁止在U盘内部执行程序,能有效防止病毒感染传播。为了确保使用安全性,可通过设置密保问题,当忘记密码时支持通过密保答案找回密码。用户可以通过指纹方式登录,也可选择使用密码方式登录访问安全U盘。
终端发现
看清并掌握内部终端存在情况,是终端管理的前提。不被监管的终端,很有可能会被作为黑客入侵的跳板,存在不可预知的安全风险。终端发现是通过客户端向内网其他设备发送探测包,利用NetBIOS、ARP等协议识别目标终端的设备类型以及系统信息,方便安全管理员及时发现隐匿终端。
终端准入管理
外来终端未经授权访问内网服务器资源,将会带来严重威胁。终端安全管理系统的终端准入功能,提供NAC、802.1x、Portal、DHCP多种准入管理方式,对接入设备和用户身份进行合法认证,支持复杂网络环境,实现对试图访问内部资源的终端实施准入控制,保障内部资源安全。
NAC准入
通过浏览器重定向机制,当计算机接入网络并访问重要服务器时,准入网关会检查其是否安装了管理平台客户端软件,若未安装客户端的计算机使用浏览器访问内网资源,将重定向跳转页面,终端用户安装客户端程序后,才允许访问内网业务服务器。
本建设方案,准入采用旁路镜像部署模式,准入服务器通过旁路连接到网络核心交换中,通过监控路由交换数据,识别客户端在通讯过程中发送的通讯数据中标识,并判断其是否合法。未安装客户端软件的终端,因为无法发送标识数据,所以无法通过准入校验,未通过验证的终端将被拒绝访问内部业务服务器资源。
提供的准入部署方案应具备的优势:
(1) 部署简易:准入服务器采用旁路镜像的部署模式,可在不改变用户原有网络结构基础上,实现对终端访问内网资源的控制及管理,同时避免对网络拓扑结构产生较大影响。
(2) 规避准入绕过:适应多VLAN、多路由器情况网络,支持NAT形式的地址转换环境,基于数据包的客户端网络水印判断终端合法性,有效规避小路由、NAT等环境下的准入绕过行为。
(3) 信创终端准入控制:可以同时支持Windows终端与信创桌面机的准入控制,满足信创过渡期内不同系统终端的准入管理要求。
802.1x准入
基于802.1x安全认证协议的准入管理能力,限制未经授权的用户/终端访问内部网络。在认证通过前,只允许认证数据通过设备连接的交换机端口。认证过程是将802.1x协议传输的数据(如IP、MAC、账户、密码等)与RADIUS服务器进行结合,解析协议中的通讯信息,进而确定协议中的身份信息,并将其与终端身份进行关联,形成强安全认证;认证通过以后,正常的数据才可以顺利地通过交换机端口。
终端可通过安装客户端程序,使用账号登录验证接入终端和用户的合法性,控制终端对网络资源的访问。针对用户身份的校验方式包括用户口令和UKey模式,支持与AD、LDAP相结合;针对设备身份的校验方式包括是否通过了入网审批、是否安装了客户端程序。
对于一些有入网需求,但又不便于安装客户端的终端,提供例外终端入网机制。管理人员可以在产品中添加例外终端的唯一标识(MAC),即可在不安装客户端的情况下入网。
为防止非本单位人员安装客户端后访问受保护资源,进而造成资产流失的风险,产品提供入网审批的机制。管理人员可以从管控平台中,审批终端是否可入网。
Portal准入
通过用户名和密码认证,解决企业临时员工或外来访客人员在不安装客户端的情况下,安全接入企业网络的问题。终端用户在未安装客户端时,连接企业网络并访问网站,系统将自动显示重定向界面,引导用户填写个人信息完成账号申请。管理员审批通过后,用户可在重定向页面输入用户名和密码完成合法性认证。认证通过,终端即可使用企业网络。到达账号生效的截止时间后,账号将无法再登录入网。
DHCP准入
通过DHCP相关协议实现IP的自动分配及权限配置。准入系统可以在各接口上的广播域启动各自的DHCP服务,使得网内终端能够自动获取IP,根据终端的合规性(如已安装客户端)分配至不同的地址段,如隔离网段IP和工作网段IP,并获得相应的访问权限。
终端审计管理
为了监管终端行为风险,改进终端安全管理策略,终端安全管理系统具有完善的终端审计能力,审计终端主要的操作行为并记录重要的行为操作信息。
文件操作审计
对当前计算机所发生的文件操作做到完整记录,监管可能的安全风险行为。可以对不同来源的文件进行审计,包括审计本地磁盘文件、移动存储设备文件、光盘和网络共享文件。对于特别关注的文件类型,可以通过指定文件扩展名的方式进行记录。
终端打印审计
借助终端打印审计,可以规范员工的打印行为,有效监管打印成为信息外泄途径。可以记录是哪台计算机打印过哪些文件,同时也可设置禁止计算机打印文件,保证重要文件无法通过打印方式流失。在设置阻止打印策略时,能同时设置例外打印机列表和例外进程,保障合法打印行为。对产生的的违规行为,可记录打印页数及份数,配置禁止打印行为。
网络连接访问审计
网络连接访问审计,记录包括网络连接协议类型、源IP地址、目的IP地址以及连接端口等信息。管理员可以从协议层面了解终端网络连接情况,发现是否有异常连接。
终端开关机审计
对终端的开关机状态进行审计,支持对终端的开机、关机、睡眠、登录、注销、切换用户、锁定行为进行审计,记录完整的审计日志,便于了解终端在线状态。
系统账户审计
针对一机多人使用的情况,可以对操作系统账号的新增、删除、登录以及注销等操作进行。除此之外,还可以对修改账号信息进行自定义审计,包括:修改账户名、更改账号密码、更改账户、更改用户组等有关设置变化进行审计。管理员可以通过操作系统账号审计,明确终端登录账号信息,发现终端系统中存在的不合规账号。
外设使用审计
面对终端滥用外设的情况,可通过外设使用审计功能,对所有外设或指定外设的插拔操作进行审计,能够配置自动过滤掉鼠标、键盘类型设备的插拔行为。通过指定的设备名称、VID/PID实现特定外部设备的使用行为审计,审计内容包括:终端设备的插拔时间、设备类型、设备名称等信息。
终端敏感信息防控
数据是重要的无形资产,核心生产数据、业务数据、知识产权数据等,往往是外部黑客和内部人员非法窃取的目标。内部人员有多种系统访问权限,更容易获取机密数据,统计数据表明,内部人员引起的泄密事件,要高于外部黑客攻击和间谍刺探。终端是数据的重要驻留点,也是数据的外泄风险点。对数据的安全管理,可以通过对终端的防控策略来实现。
终端安全管理系统可以提供全面细致的数据防控机制,结合用户的防控需求,提供了敏感信息扫描、敏感信息库、文件外发防控、文件外发审批等功能。
敏感信息扫描
敏感信息扫描可以为用户提供有效的终端重要数据监控机制。该功能与文件外发防护相辅相成,可共用敏感信息库中配置的关键字和正则表达式规则。敏感数据扫描重在扫描监控本地涉密文件,文件外发防控则注重对敏感文件外泄途径进行监管。两项功能双管齐下,共同为用户的终端信息安全保驾护航。
(1) 敏感信息扫描,支持全部和增量扫描,可单次或周期性扫描。
(2) 敏感信息模板,能够将常用规则、文件类型、扫描方式等配置成模板方便多个扫描任务复用。
(3) 快捷扫描路径,支持配置全盘或指定路径,也可配置快捷路径,如:我的桌面、我的文档、我的下载、当前用户缓存。
(4) 扫描效率优化,可对扫描条件进行配置,以优化扫描效率,如:文件大小、压缩包层数、超时时间、CPU空闲阈值、磁盘IO空闲阈值、扫描文件日期等。
(5) 扫描日志记录,可详细记录发现的敏感文件信息,包括:检出时间、终端信息、文件信息、文件中涉及的敏感信息等,方便管理员定位敏感文件。
文件外发防护
文件外发防护功能,可以实现对敏感文件外发渠道的针对性控制,阻断终端办公人员的风险操作,避免敏感信息泄漏。
配置防护内容可引用敏感信息库中的规则,也支持手动添加。可设置文件外发的途径如:即时消息(如:微信、QQ)、文件访问控制,这些都是机密信息可能外泄的渠道。文件外发防护功能对办公环境中可能出现的外泄渠道都进行管理,以确保敏感信息不外泄。对于识别出的敏感文件,系统会自动根据文件的密级,及配置的处理方式进行拦截、审计或用户确认。对于无法识别或者存疑的特殊文件类型,系统也可以根据预设的处理方式进行管理。
文件外发防护如同一道铁闸,与敏感信息扫描功能整合在一起,组成数据安全的核心功能,在终端敏感信息保护方面发挥着重要的作用。
终端安全运维
为了有效减轻终端运维工作量,终端安全管理系统须有统一运维的功能,方便IT维护人员快速完成工作。
硬件资产管理
系统具备跟踪硬件资产变更功能,可帮助管理员及时获取硬件资产的变更记录,硬件新增、丢失情况,对硬件变更准确监控,方便资产审计,可轻松构建专业的企业硬件资产监控与审计平台。
软件管家
软件管家提供软件自助管理功能,通过软件管家,终端用户可以规范安装并更新与业务有关的应用软件,管理员则可以通过软件管家构建一套由单位自运营的合规软件系统。
软件管家须有如下特点:
l 提供本地软件库以及互联网软件库,可以根据需要选择使用。
l 用户自主使用,终端用户可自行下载、安装或更新办公应用。
l 软件库自维护,管理员可通过管控中心对本地软件库进行维护,维护本地软件库的操作包括应用软件的增改查、设置下载保存路径、自定义软件logo等。
管理员可以把安全合规的软件放到软件管家上,内部人员可自行下载,减少员工随意下载软件带来的盗版和安全风险。
文件分发
在日常终端维护过程中,管理员经常要分发指定文件到目标终端。利用文件分发功能,可以从管理控制中心下发200M以内的文件到指定信创终端,管理员同时可设置分发任务的执行方式、任务有效期。在安全方面,文件分发采用签名校验的方式,可有效防止文件分发被恶意利用。为了避免文件被恶意利用,可以对需要分发的文件进行签名。
远程协助功能
终端安全管理系统提供按需支援远程协助功能,可对需要帮助的计算机终端进行远程维护操作,节省终端故障处理时间、提高运维服务的效率。
信创终端管理
随着信息技术应用创新产业(简称“信创”)在国内的快速发展,政务、军工、金融、央企等行业用户,越来越多Windows终端逐步向信创终端进行过渡,那么在过渡期间,对终端安全管理的标准不能下降,对整体的管理情况也非常过关注。产品实现了将信创终端与Windows终端统一平台管理,这将为很多正在进行信创建设的政企用户解决了过渡期间的管理难题。
本单位内部有Windows终端和信创终端并存的情况,需要对信创终端进行统一管理,避免防护缺口。
本方案针对信创终端的管理,基于“统一平台、有效管理”的原则,提供防病毒、资产管理、终端管控、移动存储管理、敏感字审计等诸多功能,实现安全与合规的双重目标。
防病毒
目前在国家政策的推动下,信创操作系统已经在政府、央企以及各关键基础设施单位使用。信创操作系统大多基于Linux进行二次开发,同时由于信创操作系统的用户规模、网络环境的特殊性,大多数软件未能定期及时更新安全补丁,也同样会爆发各种安全问题。
为了有效的应对信创领域计算机病毒带来的威胁,公司专门成立团队对信创领域的计算机及病毒特点进行研究,最新研发了一款专门针对信创领域的专杀引擎-EAV引擎。
EAV信创专用查杀引擎,在传统反病毒特征引擎的基础上,进行了有力的创新,具有了复杂的广谱查杀能力、灵活的逻辑控制能力以及强大的感染型修复能力,能有效检测Elf恶意样本。EAV引擎具有四大优势:
(1) 卓查杀能力。EAV引擎可以覆盖信创环境下所有流行的样本。基于庞大的用户量以及精准的人工分析,目前EAV引擎可精准查杀超过140W的ELF文件格式的黑样本,涵盖了目前主流的僵尸网络病毒(Mirai、Gafgyt、Tsunami)、挖矿(XMRig、H2Miner)、勒索软件(Lucky)等恶意程序。
(2) 强大的记录描述能力。EAV引擎能轻松对抗混淆、加密、加固,具有灵活的逻辑控制能力和强大的可扩展性。针对不断变换自身的木马有很好的效果,区别于传统杀软,EAV引擎的定位方法更为强大,让恶意程序无所遁形。截至目前,EAV引擎能精确的查杀超过10W的加固样本。
(3) 强大的感染型病毒修复能力。为对抗信创环境下ELF文件格式的感染型病毒(以ELF文件为感染目标,病毒可感染系统的依赖库和可执行文件),通过使用EAV引擎修,可精准的识别和修复被病毒感染的系统库文件和可执行文件。
EAV引擎具备轻量化特点,极小的本地病毒库涵盖了对绝大部分病毒的查杀能力,在有效查杀的同时尽可能减少对终端系统资源的占用。
资产管理
资产管理记录信创终端的硬件信息,包括CPU、内存、硬盘、主板、网卡等。管理员可启用终端资产登记,包括资产类型、资产用途、归属部门、使用人、手机、邮箱等基础信息将会被上报到管理中心服务器。
支持灵活的登记策略,管理员可配置登记提醒功能,包括每次开机提醒、每天固定时间提醒、开机常驻提醒等。终端在离线指定天数后,可要求重新上报资产信息。基于统一管理平台,管理员可以查看包括Windows和信创终端在内的所有终端的资产信息。
敏感字安全审计
为了排查涉密信创终端上是否存在包含特定敏感词的文档,可以通过安全审计模块执行本地扫描,发现敏感文档。管理员可以自定义需要审计的词库,对终端下发安全审计的任务,支持对WPS和ODF等格式文件的关键字审计。
本项目终端安全管理系统功能配置,需要配备的功能模块详细清单如下:
产品描述 | 数量 | 单位 | 备注 |
准入硬件-硬件平台 | 2 | 台 | 互联网、内网各一套 |
系统控制中心软件 | 2 | 套 | |
套装版:杀毒+漏洞管理+资产管理+终端管控+移动存储+Win7盾甲+桌面优化 | 860 | 点 | 互联网+内网WindowsPC终端 |
终端准入客户端认证模块,支持应用准入。需要准入认证引擎配合。 | 860 | 点 | |
杀毒模块授权,服务器,含杀毒、资产。 | 100 | 点 | 根据服务器操作系统数量购买 |
杀毒模块授权,终端,含杀毒、补丁、资产。 | 760 | 点 | 根据终端操作系统数量购买 |
|
|
|
|
|
|
|
|
硬件服务器配置
终端安全管理系统为软件产品,需要硬件服务器或虚拟机资源完成系统部署,所需资源为8核心CPU,16G内存,2T硬盘(主要用于系统补丁缓存)。
信创过渡期终端管理
支持麒麟、统信UOS操作系统,兼容ARM、MIPS和X86三种架构,满足信创过渡期内Windows终端、信创终端统一管理需求。
易用性和可维护性
基于在互联网行业的积累,终端安全管理系统延续了在设计、使用方面的经验,在产品UI设计、策略批量下发、漏洞细粒度管控、软件标准化管理、一对一远程协助方面,全面满足企业级安全管控需求,降低管理运维成本,提高全网终端的管理效益。