需求来源
《中华人民共和国网络安全法》于2017年6月1日颁布,明确了国家实行网络安全等级保护制度,标志了等级保护制度的法律地位,等级保护制度是国家的基本制度、基本国策、地位特殊,对于维护中国网络安全、维护国家安全、社会秩序和公共利益意义重大。为了配合网络安全法的实施,同时适应云计算、移动互联、物联网、工业控制和大数据等新技术、新应用情况下网络安全等级保护工作的开展,弥补等保1.0标准在适用性、时效性、可操作性等方面的缺陷,公安部组织相关单位制定并发布了等保2.0系列标准,为推动标准落地,联软科技提出了基于可信数字网络架构的等保适配解决方案,可协助用户建立“打防管控”一体化的网络安全综合防御体系,积极防御,同时满足云计算、移动互联、工控系统、物联网提出安全扩展要求。
解决方案
为落实“分等级保护、突出重点、积极防患于、综合防护”的总体要求,建立“打防管控”一体化网络安全等级保护防护体系,联软提供了基于可信数字网络架构的等保适配方案,方案具体如下:
网络区域边界
网络接入控制:通过UniNAC不但能够对非授权设备私自联到内网的行为进行检查或限制,还能适应有线、无线、VPN等复杂网络环境,并对提供多重高可用设计,可大幅提升系统可靠性
授权外联:通过UniAccess非授权外联功能可对内部用户非授权连接到外部网络的行为进行检查、预警和阻断,如WIFI热点等
移动接入控制:针对移动终端,通过UniEMM不但对接入终端和服务节点采用双向认证,并可保证跨界的访问仅可通过安全网关受控接口进行通信,并采用密码技术保证通信过程中数据的完整性和保密性
资源访问控制:可联动所有主流网络设备动态下发访问控制策略(包括源地址、目的地址、源端口、目的端口、协议等),仅允许受控端口通信拒绝其他所有;也可通过边界网关支持动态访问控制策略,仅允许受控接口通信,拒绝其他所有通信
访问控制列表最小化:通过数据安全摆渡设备实现数据安全交换,实现防火墙/网闸访问控制列表最小化;同时管理后台集中管理访问控制策略,可在后台删除多余/无效的访问控制列表,确保访问控制列表排序合理
外部网络攻击行为:可在关键网络节点处通过网络智能防御设备及时发现网络扫描、挖矿、漏洞利用等网络攻击行为,可向管理员预警,也可联动防火墙阻断恶意IP或域名。
内部网络攻击行为:可在网络关键节点部署网络智能防御设备,及时发现设备仿冒、IP/MAC伪装连接、异常访问、异常接入位置等异常行为,并可向管理员预警或联动准入阻断失陷主机的横向攻击行为,避免风险扩散
新型网络攻击行为:通过智能欺骗技术,高仿真内网真实设备或服务,可捕获新型网络攻击行为,并分析预警或联动准入、防火墙等设施阻断风险,避免扩散
恶意代码防范:通过数据安全摆渡设备可防止外网感染恶意代码的文件导入内网,另外可确保格力情况先,失陷恶意代码库在线或离线更新
安全审计:可对本地或远程每个接入的用户进行安全接入审计,也可对仿冒接入、非法外联、DDOS攻击等安全事件进行审计,审计记录包括日期事件、用户、事件类型、事件是否成功等信息,可留存备份
安全计算环境
1、PC终端安全
安全检查:通过UniAccess对账户身份身份进行验证,可发现系统中是否存在默认账户,并可禁止或删除默认账户,同时通过安全检查可对终端上的恶意软件进行检查,对恶意代码库是否及时更新进行检查
安全审计:通过UniAccess可对终端邮件、打印等各种外发通道实现管控、审计和阻拦,同时通过UniDLP更可发现外发通道中传输的敏感信息,针对敏感信息留存审计记录
入侵防范:通过UniAccess标准化管理功能科对终端软件进行卸载或安装,服务、端口、共享禁用,可管理终端IP地址,防止用户或黑客程序修改IP或MAC等
可信验证:通过UniAccess可对可信区域模板机提取程序、程序目录下所有文件、程序安装过程中产生文件的MD5值,并存储在管理服务器上,终端计算机仅能运行MD5库中经过验证的程序
个人信息保护:通过UniDLP可禁止未授权访问和非法使用用户个人信息。不因失窃等泄露个人信息和机密信息。控制各种客户信息、业务敏感数据等多种泄露途径,从而防止数据外泄
2、移动终端安全
边界防护:边界部署接入网关,对通过无线接入的终端进行双向接入认证,并实现动态资源访问控制
入侵防范:能够发现非授权移动终端的接入行为,并能够阻断非授权移动终端接入;另外,能够检测无线接入设备SSID广播、WPS等搞风险功能的开启状态,并可关闭这些存在的高风险功能
移动终端管控:可检查并强制移动终端安装、注册并运行移动终端客户端软件,并可对移动终端进行远程控制及设备全生命周期管理,如远程锁定、远程数据擦除等
移动应用管控:通过应用商店可选择用户需要的应用安装并运行;可在移动终端只允许指定证书签名的应用软件安装和运行;提供软件白名单功能,通过白名单功能控制应用软件安装和运行
安全建设管理:通过后台发布软件,确保软件来自可靠分发渠道;可确保软件由指定的开发者开发;可对应用软件开发者进行资格审查,审查通过后软件签名发布,管理平台可确保签名证书合法性
安全运维管理:可建立无线接入设备和合法移动设备配置库,并通过配置库识别非法设备
3、服务器安全
安全基线管理:通过UniSIMS基线检查、弱口令检测功能,可以对服务器登录的用户进行身份标识和鉴别,可确保服务器登录用户身份标识唯一性,并可对身份鉴别信息进行复杂度检查,可帮助用户查找默认账号或默认口令等
入侵防范:通过UniSIMS可检查服务器是否遵循最小安装原则,并能检查出服务器不需要的系统服务、默认端口、高危端口和漏洞
4、资产探测及漏洞检测
访问控制:通过可针对互联网资产和内网资产,执行弱口令检测扫描,识别出操作系统、网络设备、安全设备、数据库、中间件等系统存在的默认口令(弱口令账户),及时整改
入侵检测:通过可针对互联网资产和内网资产,执行资产探测、端口服务识别,发现目标系统开放的不需要的系统服务、默认共享和高危端口。通过漏洞扫描功能,发现可能存在的已知漏洞,并提供漏洞结果的POC验证信息,协助安全人员确认漏洞的真实性,为整改提供帮助
审核和检查:通过可执行周期性扫描检测任务,及时发现互联网或内网存在的漏洞,并可导出数据、生成风险扫描报告,留存以备等级保护测评检查
上线前安全测试:在上线前,利用系统扫描功能、集成扫描能力,统一调度上线前安全性测试的扫描任务,进行上线前的系统层和Web应用层漏洞扫描,并出具安全测试报告
漏洞和风险管理:通过建立周期性的扫描任务,完善最新全量资产库。执行常规漏洞检测可识别已知安全漏洞,并推动修补整改。在高危漏洞爆发/重大安全威胁时,可根据漏洞/安全情报,执行快速排查和POC扫描检测,完成精准识别,协助修改。另外,管理员可以通过持续扫描,跟踪漏洞修复进度、更新状态,实现闭环管理
业务价值与方案优势
安全区域边界。确保只允许合法、合规用户接入,同时实现访问控制列表最小化,并可有效检查或控制非授权内联、非授权外联等行为,最大限度满足等保2.0测评要求
安全计算环境:可实现PC终端、移动终端、服务器等多种计算机环境的安全,满足身份鉴别、账号管理、入侵防范等合规需要,并可通过标准化管理、安全检查等功能,确保主机安全可控,程序可信
资产识别管理。统一识别和管理服务器、终端、网络等设备基线和漏洞,保护核心资产,提高管理员运维效率
异常行为可管。不依赖黑白名单,实现外部攻击行为、内部异常行为,新型网络攻击行为可管可控
数据安全可控。提供敏感内容识别、屏幕与打印水印、数据内部安全流转、数据授权外发、泄密追踪溯源等数据保护技术,确保个人隐私数据可控
智慧洞察安全。基于AI的深度分析和全景安全展示,真正做到用户可见、行为可控、风险可视、响应及时
