华为桌面安全解决方案,坚持以提高外部风险防御能力与加强内部信息安全管控并重为原则,构建精细化信息安全管控体系,保护信息资产安全,保障业务持续运行,通过对终端准入控制、移动介质管理、数据隔离与保护、网络访问控制、终端安全管理、文档权限管控、文档集中存储和管理、文档与数据的共享管理、分策略细粒度审计等进行综合规划,实现对终端设备安全接入,桌面数据安全防护与隔离、文档安全管控、全过程的集中审计,帮助金融客户构建体系化的、全方位的、整体的信息安全管理和技术体系,解决客户信息安全的痛点,为金融企业的发展保驾护航。
如上图所示,方案由接入安全、终端安全、文档安全三个子方案组成,其中接入安全方案提供安全接入控制、安全策略管理、员工行为管理、补丁管理、软件分发和资产管理六大功能组件,并采用License控制的方式实现这些功能组建的搭配组合,通过检查、隔离、加固和审计等手段为金融企业提供网络接入控制、安全策略管理等一体化的内网终端安全防护与管理;终端安全方案可实现对包括PC、Pad在内的各类型终端的数据保护及隔离,做到数据防泄漏、可审计、集中管理;文档安全方案通过实时权限控制,提供安全授权下的机密信息共享,使信息所有者能够定义信息的访问者、访问方式和时间等,并记录文档操作日志,助力金融企业构建安全可控的文档安全管理平台。
整体方案特点:
- 接入、终端、文档三层安全,全过程安全管控,业务数据不泄露;
- 唯一支持多类型应用的平台,最完善的接入控制功能,终端接入全过程完整可控;
- 集中式多层安全过滤设计、细粒度的安全审计,提供全方位的终端安全管理;
- 强大的AES动态加解密技术、实时文档权限控制,降低主动泄密、黑客窃密、意外丢失风险。
2.2接入安全解决方案
需求分析
据统计,目前企业网络受到的攻击,企业信息泄密至少80%来自内部的终端系统,内部泄密对金融企业造成的危害尤其严重。终端是金融企业中数目最多,也是安全风险最为严重的部分之一。正因为如此,如何对系统中的大量终端进行有效管理,杜绝其对银行信息安全带来的巨大风险得到越来越多重视。
终端安全管理主要解决来自企业内部网络的安全威胁,涉及终端安全的各个方面,如非法接入和越权访问控制、终端安全策略检查、实时监控和取证、终端行为控制、资产管理等等。其主要需求集中在7大方面:终端用户管理;多种认证方式;安全接入控制和终端安全策略管理;员工行为管理;软件分发;补丁管理;资产管理。
方案概述
接入安全解决方案通过双重认证检查,包括对终端设备合法性与合规性检查、终端用户的身份认证和安全策略检查,实现阻断非法终端,隔离修复不安全终端;根据终端用户的角色实施细粒度的访问控制,保护业务系统的安全;对进入企业网络后的终端实施行为监控和设计,使终端安全得到有效控制,防范不安全终端给金融企业内网带来的安全威胁;构筑在检查、隔离、加固、管理的安全模型之上的终端安全管理系统,为企业提供持续的内网终端安全管理与防护。
方案特点:
- 全面的网络准入控制方案,全方位保护企业内网安全---提供基于接入层、汇聚层网络设备(交换机、Wlan、防火墙等)联动的准入控制,形成有线无线一体化接入控制方案;提供802.1x认证、Portal认证、MAC认证等多种认证方式,接入用户可通过客户端、Web、Webagent发起认证,灵活适应企业雇员、合作伙伴、访客等各种网络接入用户的认证需要;
- 丰富的安全策略,实时掌握现网终端的安全状况:量化安全风险管理---提供终端遵从性评分,实时监控接入终端的安全状态,让安全状态一目了然;可扩展的安全策略:提供业界最丰富的安全策略,并提供所见即所得的策略自定义工具,可根据用户需要灵活配置所需安全检查策略;
- 强大的桌面运维管理,轻松实现对桌面终端的远程管理---提供全方位的桌面运维管理功能,包括资产管理、软件分发、补丁管理、远程协助等,协助用户集中运维;网络设备扫描,自动识别IP打印机、IP电话、IP扫描仪、部门专用服务器等非PC类设备,免除在NAC部署前后需要对该类设备逐一采集登记和维护的麻烦。
2.3终端安全解决方案
需求分析
银行的区域隔离面临巨大的挑战,一方面受到国际网络安全紧迫形势的冲击,黑客攻击活动猖獗,利用网络安全漏洞通过互联网入侵银行内部网络的事件时有发生,导致银行敏感信息泄露、数据遭删除和篡改、系统长时间中断;另一方面国家政策推动银行的信息安全建设,要求商业银行加强敏感信息保护。金融机构作为信息安全敏感单位,数据安全尤其重要,不同区域不同安全级别需要采用区别性安全防范手段。
- 不同权限,不同区域的隔离:涉密数据防泄漏,防止高密区的数据泄漏到低密区;
- 支持各种终端接入,保障接入和终端安全;
- 支持移动办公需要,同时防止内网文件及数据非法复制到外网终端;
- 防止上网行为不规范,导致的被动泄密隐患;
- 终端异常或网络中断,不影响业务应用;
- 数据集中存储,统一运维。