统信UOS家庭版

强内御外!统信携手兆芯、盈高科技为信创终端安全保驾护航

网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。


从国家规划层面来看,信创产业发展已上升为一项国家战略,重要行业和关键领域将快速推进自主化进程,网络安全是信创产业发展中必不可少的一环,终端设备一旦连接互联网,信息被窃取、被破译、被攻击的各种安全隐患依旧存在。

强内才能御外,保障终端安全,才能从根本上抵御外界风险。

为更好助力网络安全产业发展,统信软件携手兆芯、盈高科技共同打造「终端安全可信防护解决方案」解决方案,利用三方的技术、服务、市场等优势,共同探索不同行业用户对于端点安全的需求,为客户的信创终端安全体系建设添砖加瓦。

该方案可实现对内网终端用户安全行为、终端资产状态、终端网络行为等进行全面监控审计管理,有效防止数据泄露、软件使用不规范、违规操作等终端安全问题,满足国家分级保护的管理要求,全面提升客户终端安全防护能力。

方案架构

此方案基于统信UOS系统底层安全模块设计,完美兼容兆芯处理器,前端应用程序和后端服务之间的通信主要是通过dbus进行保证, 普通用户无法轻易获得特殊权限,不会轻易破坏系统安全性、形成系统安全漏洞,造成不必要的损失。



核心功能


01

统一安全策略管理

为管理者提供一个统一的管理中心,系统管理责权分离。安全管理员可以通过管理中心为单位内网制定统一安全管理策略,支持面向群组的组策略管理。灵活、强大的安全管理策略定制机制,让单位内网安全管理轻松、便捷、高效。


02

终端行为监控与审计

主要针对终端的打印、光盘刻录、网络访问、登录及身份认证、账户变动、主机网络配置变动、移动存储设备、进程行为等行为进行统一管控,系统提供完备的日志查询功能以及多样化的统计分析报表。


03

终端系统状态监控和审计

实时监视在线终端的运行状态,主要包括:进程信息、端口连接信息、软硬件信息、CPU使用率、磁盘使用率、内存使用率、主机安全状态、系统服务等。


支持终端操作系统安全事件审计,包括软件安装卸载事件、安全策略变更事件、可执行程序加载事件、违反操作系统访问控制策略、身份鉴别、安全审计相关事件、其他系统安全事件等。

04

文件监控及网络共享监视

根据策略对指定文件、指定目录的整个生命周期进行监控与审计,对生命周期中的访问行为如创建、修改、删除、重命名等进行监控和追踪记录,也可根据策略监控终端的网络文件共享行为,支持的共享方式包括SMB、ftp、tftp等。


05

资产管理

支持人员、组织机构与终端资产关联,收集相关资产信息并展示。可以监控软硬件信息变化,以利于更好地管理终端资产。同时,支持查看内网终端审计软件安装情况。


06

多种报警方式

系统支持声、光报警,支持邮件报警通知,确保在内网发生安全事件时能及时通知管理员进行处理。


方案优势

资源占用率更低

此方案与统信操作系统完美适配,底层架构先进,安装后所占存储空间小,系统运行资源占用率低。(CPU不超过10%,内存不超过40M)

存活性更高

统信软件与盈高科技、兆芯合作推动制定了安全启动方面的规范,从启动时就保证了软件的安全性和存活性,不存在控制进程被中止、被卸载的情况,从而能有效管控系统内终端。

更高效

此方案已完成与兆芯处理器的适配且性能卓越,单台服务端可以稳定支持3000台以上信创客户端同时在线管理,效率更高。

 

实践案例

     客户单位:某省高法


1

客户面临的安全挑战

某高法在响应国家政策与号召,逐步完成信创替代的过程中,为了确保业务的安全稳定以及提高单位内部的安全管理水平,需要建立一套完整的自主终端安全管理体系,以应对以下挑战:

1、非授权的网络接入,让非授权人员可以随意接入内网,对于办公网、涉密网和外网等多个网络并存的政府单位网络环境来说,容易有意或无意地造成数据泄密情况。

2、移动存储介质难管理,部分用户U盘内、外网混用,将外网病毒、木马等带入内网,并容易成为信息摆渡工具。

3、业务系统敏感信息难以分类分级保护,客户不清楚这些敏感数据存放在哪里、如何使用、是否经过授权使用、是否进行了安全传输以及存储、是否能够追踪敏感数据的流转流程。

4、部分终端系统存在安全漏洞,由于缺乏统一检测与批量修复的手段,管理、维护工作量大,容易带来安全隐患。

5、用户行为缺乏审计,发生信息外泄事件时难以追踪和定位。

6、违规外连行为的屡次发生,一方面可能将互联网上的病毒、木马等带入内网,另一方面终端可能会成为信息摆渡工具,将内网政务敏感信息发散到外网。


2

解决方案

终端准入控制

①边界完整性检查:禁止非法内连/非法外连行为,有效阻止非法终端恶意接入敏感数据区,防止敏感数据区恶意外接其他网络;

②结构安全:通过准入控制的动态授权访问,将内网系统划分多个安全域,安全域之间实现不同的安全策略访问。


桌面安全管理

①桌面安全管理:提供统一的终端安全漏洞检查、安全加固、安全隔离体系;

②访问控制:实现主体对客体的访问控制,依据安全策略,对设置敏感标记的重要信息文件赋予相应的读、写、另存权限,且对系统默认共享权限进行控制;

③行为安全管理:实现对数据泄密途径的严防管控,主要针对存储数据外发行为、网络外发行为进行管控;

④安全审计:对操作系统上的所有文件操作记录都可审计,包括重要敏感信息,比如对U盘直接拷贝、邮件发送、网络文件共享、光驱刻录、打印、网络外发等用户行为进行审计。


业务数据防泄密

分类分级:根据业务敏感数据的特征,自动对敏感数据分类、分级;

水印管理:对敏感数据增加水印,防止截屏、拍照导致泄密;

输出管控:对业务敏感数据的输出管道进行管控,未经授权禁输出;

记录流程:所有输入输出操作都有记录、文件泄露可以快速定位泄露源头



3

客户价值

1、通过一套系统、一个客户端实现准入控制、桌面安全管理、业务数据防泄密等功能;

2、通过准入控制、桌面安全的集中管理,确保电子政务网终端安全相关的管理要求做到“可落地、可执行、可检查、可优化”;

3、 完整的保密体系建设,针对数据信息的存储、使用和交换等环节进行完整的防护,解决了等级保护突出的信息保密需求;

4、完善的网络边界安全防护方案,从网络、存储设备等途径全方位考虑,提供了对边界安全防护灵活完善的解决方案,用户可以清晰、灵活和安全地界定不同密级和不同业务部门的信息安全边界,防止非法外联、非法接入和非法信息泄漏等破坏边界完整性行为的发生;

5、 建立桌面电脑的集中式快速安全管理体系,对数量众多、难以管理/监控的桌面电脑建立完善的安全评估、安全加固、集中维护体系,以提高桌面电脑的安全性及降低桌面电脑的日常维护工作量。良好的易用性和兼容性,不会改变业务系统的主要结构,也不会对业务系统的操作人员带来过多的习惯改变。

本方案助力某高法完成信息安全升级过程中,不但实现了客户单位内部安全管理水平的提升、还保障了日常业务开展的安全稳定,并且根据客户自身需求,建立了一套完整的自主高效终端安全管理体系。


未来,统信软件还将与盈高科技、兆芯等合作伙伴继续携手,积极推动政企单位信息化创新平台的建设和落地工作,切实保障用户终端安全。



相关文章

扫码加入官方社群
享受专属社群服务

回到顶部