为推进“数字中国”建设战略,国家提出了“2+8”安全可控体系:“2”指党、政体系;“8”指关于国计民生的八大行业,即金融、电力、电信、石油、交通、教育、医疗、航空航天行业。研究报告称,预计未来每年信创终端出货量为1017万台,如此规模的信创终端替代需求,势必将催生出巨大的信创终端安全管理与高效运维的需求。
一种简单有效的解决方案
1.移动存储介质的管控
U盘、移动硬盘等带有移动存储功能的介质作为日常的信息交换载体被广泛应用,然而超强的便捷性也带来高泄密和病毒传播的风险。蓝牙、WIFI等可以通讯的设备同样会造成泄密风险,没有可靠的管理手段;
所以需要管控USB存储介质(U盘、移动硬盘、刻录光驱等具备存储功能的设备) 和 USB通讯外设(蓝牙、WIFI等)。防止因外设泛滥带来的病毒扩散至内网的威胁。智能识别并禁用USB移动存储设备和USB通讯外设,对鼠标,键盘,U-KEY、CA锁、打印机等其它外设没有影响。
2.智能手机管控
目前的智能手机同样拥有存储功能,可以和信创电脑进行数据交换,所以智能手机的存储功能同样需要禁止。在禁用智能手机的同时,保留了手机连接电脑的充电功能。
3.违规外联管控
针对不允许连结外网的涉密终端,尤其是违反“一机两用”规定会被通报的单位,终端的非法外联一直是一个难题。
注:“一机两用”是指公安网上的设备,未经离网安全处理,在线或离线联接其他网络的违规行为。
违规外联的原因大概分为以下几种:
1)在涉密终端私自接入无线WIFI或无线网络接收器通过手机热点联网。
2)由于工作需要,很多办公室都同时安装了涉密网与互联网。两种网络接口同处一室,极易发生混乱,导致“一机两用”现象发生;
3)终端出现故障在所难免,而一般维修人员没有“一机两用”的意识,导致注册过的计算机维修时或维修后联入外网。
所以要彻底杜绝违规外联事件,可以在驱动层面对所有数据包进行监控,发现并阻断通过任何方式与外网通讯的数据包。当发生违规外联后,终端向服务器发送告警信息,记录日志,便于日后溯源。
4.远程协助
目前终端维护量大且部署分散,遇到用户不会操作、软硬件兼容性不好、操作系统设置等问题都需要到终端现场处理,很难进行高效的终端运维。
需要一个可以远程控制所有信创终端的平台同时可发起多个远程连接,不限制远程连接数量,这样减少等待时间,提升运维效率。
5.程序分发
软件版本更新迭代很快,软件更新或新安装软件都需要到每台终端操作,费时费力。
当需要部署新软件或给程序升级更新时,可以在平台统一将安装包远程发送到终端电脑并进行安装。
6.资产统计
终端资产没有明细,不知道有哪些终端,终端在什么位置,终端硬件什么配置。
所以需要自动获取信创终端的软硬件资产信息,并支持一键导出报表。及时记录硬件变更并告警,防止资产流失。
关于内控王安全运维管控系统
上面的解决方案,我集成在内控王安全运维管控系统上,以便可以快速部署和实现。内控王安全运维管控系统通过统一框架,数据集中的平台架构,能够给信创终端提供高性能、高稳定性、高可靠性、高安全性的一体化防护,在信创系统环境中为客户实现更强更智能的安全保护,减轻运维负担和维护成本。
系统特点如下
禁止USB存储介质使用,但不影响其他USB设备正常使用(CA锁、UKEY、USB键盘鼠标、USB打印机等)。
网络版:适用于可以联网的信创终端,集中管理,灵活授权;
单机版:适用于没有联网的信创终端。
驱动层面对所有数据包进行监控,发现并拦截通过任何方式与外网通讯的数据包,杜绝违规外联事件的发生。
支持大规模部署,7*24 小时保证在网络中运行,稳定运行有保障。
硬件支持loongarch64、mips64e、arm64架构的龙芯和飞腾芯片,系统支持银河麒麟、统信UOS等主流操作系统。
专业的研发团队可对新上市的信创终端提供适配和定制服务,完善信创终端外设管控生态;