業務需求

鄭州銀行實施科技興行的戰略，具有國內同業領先水平的計算機綜合業務網絡系統，產品和服務功能日趨完善。隨著信息化的不斷發展，整個網絡形成了內、外兩套網絡，外網為辦公網絡，內網為業務網絡。

因業務內網與Internet處于物理隔離狀態，不容易受到Internet上病毒的侵入，但計算機也無法實現更新安全補丁等措施，一旦有病毒通過其他渠道進入到業務內網，傳染的速度、規模和造成的影響都非常危險。

通過現場檢查，我們發現當前面臨的主要問題是：

1.營業網點存在部分電腦和用戶通過無線設備、撥號設備等“一機雙網”的重大違規行為，嚴重違反了IT安全管理制度；
2.在生產網存在大量、隨意使用U盤的不安全行為，導致了病毒和木馬傳播，加劇了重要機密信息泄密的風險；
3.難以評估的不安全電腦和外來電腦的入侵，導致內網的安全隱患與日俱增，難以符合銀監會的終端安全管理要求；
4.難以對計算機終端資產、軟硬件配置進行及時的發現和統計；
5.由于補丁、漏洞、升級等問題頻繁，運維管理人員的工作壓力很大，難以把精力轉移到信息安全規劃等更重要層次的工作上來；
6.計算機使用人員技能不一，有些很小的問題都需要維護人員現場解決，降低了維護的效率；
7.無法對計算機進行批量維護，例如：批量安裝軟件、批量打補丁、批量設置計算機的安全設置。

項目需求

建立一套完整的內網接入控制和終端安全管理平臺，并且與殺毒軟件、個人防火墻等安全管理手段相配合，形成合力和整體效應，從根本上保證基本安全手段的長效性，形成完整、統一、有效、長久的安全管理保障手段體系。

1、對終端用戶的違規行為進行事前控制、事中跟蹤、事后審計，防止非授權外聯等重大的違規安全事件，規范用戶使用終端電腦的行為同，實現內網終端安全管理標準化。
2、對終端電腦當前的配置和安全狀態進行評估和提升，包括從操作系統層面、應用軟件層面、網絡層面和安全補丁及軟件層面。
3、對各類安全事件進行統一展現，并從各種不同角度進行分析，針對不同的安全事件，提供安全預警、響應和分析，實現終端安全態勢可視化。
4、增強終端管理的自動化，事件響應自動化，提高管理效率，減少人力投入，從而大幅度降低管理成本，提高效益，實現內網終端運行管理自動化。

需求與目標

建立一套完整的內網接入控制和終端安全管理平臺，并且與殺毒軟件、個人防火墻等安全管理手段相配合，形成合力和整體效應，從根本上保證基本安全手段的長效性，形成完整、統一、有效、長久的安全管理保障手段體系。

1、對終端用戶的違規行為進行事前控制、事中跟蹤、事后審計，防止非授權外聯等重大的違規安全事件，規范用戶使用終端電腦的行為同，實現內網終端安全管理標準化。
2、對終端電腦當前的配置和安全狀態進行評估和提升，包括從操作系統層面、應用軟件層面、網絡層面和安全補丁及軟件層面。
3、對各類安全事件進行統一展現，并從各種不同角度進行分析，針對不同的安全事件，提供安全預警、響應和分析，實現終端安全態勢可視化。
4、增強終端管理的自動化，事件響應自動化，提高管理效率，減少人力投入，從而大幅度降低管理成本，提高效益，實現內網終端運行管理自動化。

集中式終端安全管理體系

1.資產信息自動采集
二層拓撲發現功能為終端設備管理構建了一個基線數據庫，即所有資產的全集和概要信息，且所有的資產信息都被保存在數據庫中，管理員可以在線瀏覽或者輸出各種資產報表；
可以發現網絡中的所有IT設備，包括網絡設備、主機設備、網絡打印機、終端設備等；
支持大型網絡的拓撲發現，可以跨網絡、跨路由發現設備，支持不同廠商網絡設備混合構建的異構網絡設備發現；
能夠獲得網絡設備之間、主機和網絡設備之間的物理連接關系，獲得設備的基本信息如IP地址、MAC地址、設備名、在線時間、離線時間、IP地址歷史使用信息等；
對于安裝了客戶端助手的終端設備，可以采集到終端詳細的軟硬件配置信息。

2.設備快速定位（交換機端口定位）

可以快速發現接入網絡的所有設備（無需準入控制），無論接入網絡的終端是否安裝個人防火墻，均可以在3分支以內的時間快速發現并予以定位。管理員可以通過接入設備的MAC或IP地址及主機名查詢到接入設備的位置（所連接的網絡交換機及其端口）。

3.未安裝指定殺毒軟件客戶端報警

主機安全漏洞檢測功能可以檢查終端設備是否存在安全漏洞，包括指定版本的防病毒軟件是否安裝、防病毒軟件的病毒特征庫是否為最新的。

4.管理員權限二維化管理

實現管理員權限的二維化管理，可為每個管理員定義不同的管理權限，可以控制管理員可使用的菜單功能及可管理的設備范圍。

5.客戶端安全漏洞檢查

可以對客戶端操作系統漏洞進行掃描，包括是否存在弱口令賬號、是否啟用Guest賬號、賬號口令是否很長時間沒有修改、是否沒有設置屏?？诹?、是否存在可寫的共享目錄、是否為加入到規定AD域、是否存在已知的黑客程序、是否安裝了違禁軟件、是否未安裝必須安裝的軟件、是否啟用違禁進程等。所有這些漏洞信息都會在客戶端界面顯示，提醒用戶自己機器存在的安全漏洞，并且給出漏洞修復指南，用戶可以按指南說明修復這些漏洞。同時。所有漏洞也會通知管理員。

6.非授權外聯審計

非授權外連審計功能實現對非授權外連方式的審計和控制，且可以對審計和控制策略設置適用場景，確保在安全的基礎上實現靈活辦公。

7.支持穿透客戶端防火墻

正常的安全管理功能不需要在終端設備上打開任何服務端口，所以不會給客戶端帶來額外的安全風險，客戶端防火墻不會對其有任何影響。

8.報表和數據備份

管理員可以在管理界面上查詢到所有安全策略信息、安全漏洞信息、審計信息等，且可以對信息進行按條件查詢，并提供報表，且報表可以導出至excel或本地打印。

另外還提供數據備份功能，既可以對所有數據做完整備份，也可以定時做增量配置。

9.U盤/軟盤控制

U盤控制功能通過U盤標識來實現U盤的讀寫控制，同時能全面審計U盤操作，審計內容全面，包括何時、哪臺終端、哪個用戶、使用的U盤標識、做的操作、文件名稱和大小等信息。另外，還可以對U盤進行注冊管理，只有注冊過的U盤才可以使用。同時，U盤的數據可以進行加密處理，加密的U盤只能在指定設備上使用，否則為亂碼，不可識別。軟盤類似。

10.補丁斷點續傳

補丁分發支持斷點續傳，若在補丁分發過程中網絡斷開或者終端設備被關機，當網絡連接正常后，客戶端能夠從原來的文件下載點開始繼續下載補丁包。

11.補丁測試

對于一個新的補丁包，管理員可以選定一組測試計算機進行測試，測試沒有問題后，再對該補丁做確認。補丁測試機制可以控制只有管理員確認的補丁才會被分發到各個終端。

12.客戶端用戶手工安裝補丁

客戶端會向終端用戶顯示本機有哪些補丁未安裝以及這些補丁的詳細信息，并提供下載鏈接。

13.補丁自動分發安裝

管理員可以為某類微軟產品如Windows 2000操作系統定義自動分發與安裝策略，策略內容包括需要升級的補丁級別、補丁分發時間、補丁安裝方式、是否需要管理員確認、補丁分發的目的機器范圍、分發采用的中繼設備、補丁下載的最大流量等。同時會自動檢查策略目標范圍內的終端設備的補丁安裝情況，如果有規定級別的補丁未安裝，則自動將補丁分發下去并根據安裝腳本進行安裝。

確保策略執行

1.系統部署簡單易行

提供了多種技術手段，如WEB安裝、HTTP聯動、防火墻聯動等手段，方便客戶機軟件的部署。同時，系統還提供了多種部署工具，包括遠程自動部署安裝工具。

2.客戶端反卸載及管理員聯機卸載

安裝客戶端之后，沒有管理員的授權，普通用戶無法卸載、刪除或者中止執行客戶端，或者刪除客戶端的目錄下的文件，并且客戶端安裝之后，不會打開可以被外部訪問的TCP端口。同時，我們也為管理員提供了集中卸載客戶端功能，允許有權限的管理員能夠非常方便地批量卸載掉客戶端。

部署網絡準入控制與終端安全管理整體解決方案后，收獲到了以下成果：

1、確保內網邊界得到徹底地保護，任何非本單位的移動終端和惡意用戶都無法訪問業務內網的資源，造成重要商業信息的泄密，影響內網網絡的安全。

2、防止內部用戶和內部機器通過非法外聯手段擅自把內部機器接入外部網絡，從而規避由此帶來的信息安全和運行安全重大風險。

3、 建立安全保障機制，保障殺毒軟件及其它安全軟件使用的長效性，使既有的安全投資和制度能夠發揮最大的效用。

4、加強對第三方人員和內部用戶的行為監管，保障其網絡和信息使用行為的合規性、安全性。

5、確保各種安全策略能夠及時、有效地下達到客戶機，比如各類安全補丁下發、U盤管理策略、文件使用行為審計策略等，減輕管理人員的工作負擔，保障制度的有效落實。

6、確保鄭州銀行業務不中斷。