业务需求

郑州银行实施科技兴行的战略，具有国内同业领先水平的计算机综合业务网络系统，产品和服务功能日趋完善。随着信息化的不断发展，整个网络形成了内、外两套网络，外网为办公网络，内网为业务网络。

因业务内网与Internet处于物理隔离状态，不容易受到Internet上病毒的侵入，但计算机也无法实现更新安全补丁等措施，一旦有病毒通过其他渠道进入到业务内网，传染的速度、规模和造成的影响都非常危险。

通过现场检查，我们发现当前面临的主要问题是：

1.营业网点存在部分电脑和用户通过无线设备、拨号设备等“一机双网”的重大违规行为，严重违反了IT安全管理制度；
2.在生产网存在大量、随意使用U盘的不安全行为，导致了病毒和木马传播，加剧了重要机密信息泄密的风险；
3.难以评估的不安全电脑和外来电脑的入侵，导致内网的安全隐患与日俱增，难以符合银监会的终端安全管理要求；
4.难以对计算机终端资产、软硬件配置进行及时的发现和统计；
5.由于补丁、漏洞、升级等问题频繁，运维管理人员的工作压力很大，难以把精力转移到信息安全规划等更重要层次的工作上来；
6.计算机使用人员技能不一，有些很小的问题都需要维护人员现场解决，降低了维护的效率；
7.无法对计算机进行批量维护，例如：批量安装软件、批量打补丁、批量设置计算机的安全设置。

项目需求

建立一套完整的内网接入控制和终端安全管理平台，并且与杀毒软件、个人防火墙等安全管理手段相配合，形成合力和整体效应，从根本上保证基本安全手段的长效性，形成完整、统一、有效、长久的安全管理保障手段体系。

1、对终端用户的违规行为进行事前控制、事中跟踪、事后审计，防止非授权外联等重大的违规安全事件，规范用户使用终端电脑的行为同，实现内网终端安全管理标准化。
2、对终端电脑当前的配置和安全状态进行评估和提升，包括从操作系统层面、应用软件层面、网络层面和安全补丁及软件层面。
3、对各类安全事件进行统一展现，并从各种不同角度进行分析，针对不同的安全事件，提供安全预警、响应和分析，实现终端安全态势可视化。
4、增强终端管理的自动化，事件响应自动化，提高管理效率，减少人力投入，从而大幅度降低管理成本，提高效益，实现内网终端运行管理自动化。

需求与目标

建立一套完整的内网接入控制和终端安全管理平台，并且与杀毒软件、个人防火墙等安全管理手段相配合，形成合力和整体效应，从根本上保证基本安全手段的长效性，形成完整、统一、有效、长久的安全管理保障手段体系。

1、对终端用户的违规行为进行事前控制、事中跟踪、事后审计，防止非授权外联等重大的违规安全事件，规范用户使用终端电脑的行为同，实现内网终端安全管理标准化。
2、对终端电脑当前的配置和安全状态进行评估和提升，包括从操作系统层面、应用软件层面、网络层面和安全补丁及软件层面。
3、对各类安全事件进行统一展现，并从各种不同角度进行分析，针对不同的安全事件，提供安全预警、响应和分析，实现终端安全态势可视化。
4、增强终端管理的自动化，事件响应自动化，提高管理效率，减少人力投入，从而大幅度降低管理成本，提高效益，实现内网终端运行管理自动化。

集中式终端安全管理体系

1.资产信息自动采集
二层拓扑发现功能为终端设备管理构建了一个基线数据库，即所有资产的全集和概要信息，且所有的资产信息都被保存在数据库中，管理员可以在线浏览或者输出各种资产报表；
可以发现网络中的所有IT设备，包括网络设备、主机设备、网络打印机、终端设备等；
支持大型网络的拓扑发现，可以跨网络、跨路由发现设备，支持不同厂商网络设备混合构建的异构网络设备发现；
能够获得网络设备之间、主机和网络设备之间的物理连接关系，获得设备的基本信息如IP地址、MAC地址、设备名、在线时间、离线时间、IP地址历史使用信息等；
对于安装了客户端助手的终端设备，可以采集到终端详细的软硬件配置信息。

2.设备快速定位（交换机端口定位）

可以快速发现接入网络的所有设备（无需准入控制），无论接入网络的终端是否安装个人防火墙，均可以在3分支以内的时间快速发现并予以定位。管理员可以通过接入设备的MAC或IP地址及主机名查询到接入设备的位置（所连接的网络交换机及其端口）。

3.未安装指定杀毒软件客户端报警

主机安全漏洞检测功能可以检查终端设备是否存在安全漏洞，包括指定版本的防病毒软件是否安装、防病毒软件的病毒特征库是否为最新的。

4.管理员权限二维化管理

实现管理员权限的二维化管理，可为每个管理员定义不同的管理权限，可以控制管理员可使用的菜单功能及可管理的设备范围。

5.客户端安全漏洞检查

可以对客户端操作系统漏洞进行扫描，包括是否存在弱口令账号、是否启用Guest账号、账号口令是否很长时间没有修改、是否没有设置屏保口令、是否存在可写的共享目录、是否为加入到规定AD域、是否存在已知的黑客程序、是否安装了违禁软件、是否未安装必须安装的软件、是否启用违禁进程等。所有这些漏洞信息都会在客户端界面显示，提醒用户自己机器存在的安全漏洞，并且给出漏洞修复指南，用户可以按指南说明修复这些漏洞。同时。所有漏洞也会通知管理员。

6.非授权外联审计

非授权外连审计功能实现对非授权外连方式的审计和控制，且可以对审计和控制策略设置适用场景，确保在安全的基础上实现灵活办公。

7.支持穿透客户端防火墙

正常的安全管理功能不需要在终端设备上打开任何服务端口，所以不会给客户端带来额外的安全风险，客户端防火墙不会对其有任何影响。

8.报表和数据备份

管理员可以在管理界面上查询到所有安全策略信息、安全漏洞信息、审计信息等，且可以对信息进行按条件查询，并提供报表，且报表可以导出至excel或本地打印。

另外还提供数据备份功能，既可以对所有数据做完整备份，也可以定时做增量配置。

9.U盘/软盘控制

U盘控制功能通过U盘标识来实现U盘的读写控制，同时能全面审计U盘操作，审计内容全面，包括何时、哪台终端、哪个用户、使用的U盘标识、做的操作、文件名称和大小等信息。另外，还可以对U盘进行注册管理，只有注册过的U盘才可以使用。同时，U盘的数据可以进行加密处理，加密的U盘只能在指定设备上使用，否则为乱码，不可识别。软盘类似。

10.补丁断点续传

补丁分发支持断点续传，若在补丁分发过程中网络断开或者终端设备被关机，当网络连接正常后，客户端能够从原来的文件下载点开始继续下载补丁包。

11.补丁测试

对于一个新的补丁包，管理员可以选定一组测试计算机进行测试，测试没有问题后，再对该补丁做确认。补丁测试机制可以控制只有管理员确认的补丁才会被分发到各个终端。

12.客户端用户手工安装补丁

客户端会向终端用户显示本机有哪些补丁未安装以及这些补丁的详细信息，并提供下载链接。

13.补丁自动分发安装

管理员可以为某类微软产品如Windows 2000操作系统定义自动分发与安装策略，策略内容包括需要升级的补丁级别、补丁分发时间、补丁安装方式、是否需要管理员确认、补丁分发的目的机器范围、分发采用的中继设备、补丁下载的最大流量等。同时会自动检查策略目标范围内的终端设备的补丁安装情况，如果有规定级别的补丁未安装，则自动将补丁分发下去并根据安装脚本进行安装。

确保策略执行

1.系统部署简单易行

提供了多种技术手段，如WEB安装、HTTP联动、防火墙联动等手段，方便客户机软件的部署。同时，系统还提供了多种部署工具，包括远程自动部署安装工具。

2.客户端反卸载及管理员联机卸载

安装客户端之后，没有管理员的授权，普通用户无法卸载、删除或者中止执行客户端，或者删除客户端的目录下的文件，并且客户端安装之后，不会打开可以被外部访问的TCP端口。同时，我们也为管理员提供了集中卸载客户端功能，允许有权限的管理员能够非常方便地批量卸载掉客户端。

部署网络准入控制与终端安全管理整体解决方案后，收获到了以下成果：

1、确保内网边界得到彻底地保护，任何非本单位的移动终端和恶意用户都无法访问业务内网的资源，造成重要商业信息的泄密，影响内网网络的安全。

2、防止内部用户和内部机器通过非法外联手段擅自把内部机器接入外部网络，从而规避由此带来的信息安全和运行安全重大风险。

3、 建立安全保障机制，保障杀毒软件及其它安全软件使用的长效性，使既有的安全投资和制度能够发挥最大的效用。

4、加强对第三方人员和内部用户的行为监管，保障其网络和信息使用行为的合规性、安全性。

5、确保各种安全策略能够及时、有效地下达到客户机，比如各类安全补丁下发、U盘管理策略、文件使用行为审计策略等，减轻管理人员的工作负担，保障制度的有效落实。

6、确保郑州银行业务不中断。