资源描述
桥盟BTA产品用户案例和资质材料北京桥盟创联科技有限公司2010-1-1 1、部分用户清单中国国家卫生部中国邮政储蓄银行 中国邮政技术局人民日报人民网国土资源部土地勘探规划院山西省文化站服务平台 山西移动宽带公众网 山西邮政技术局天津港轮驳有限公司中国移动山西省分公司 北京市委党校黄河水利委员会大唐国际盘山发电有限公司北京朝阳区财政局北京市西城区人民检察院北京市朝阳区统计局北京市信息安全评测中心天津公交集团天津市港务局集团信息中心天津港埠一公司天津港埠三公司天津港埠四公司天津港埠五公司天津港石化公司天津港焦炭公司天津港物资公司天津港煤码头公司天津港滚装码头公司天津港航运中心秦皇岛人民检察院保定市满城电力公司保定市阜平电力公司保定市蠡县电力公司北京市怀柔区人民医院北京市门头沟人民医院等2、案例介绍 成功案例一:中国国家卫生部用户面临的问题:1) 现有的网络安全防护措施仅仅在边界安全处进行防护,内网安全和终端管理比较薄弱2) 缺乏用“技术手段落实管理”,如员工利用PPLIVE,QQLIVE等P2P软件在线看电影,利用BT等下载工具下载电影,滥用网络带宽,导致网络视频会议等网络应用无法开展,财政系统正常的网络应用得不到带宽保障3) 员工随意访问一些非法的网站,现在大多数病毒、木马以嵌入到网页的形式,如“威金”病毒等,员工电脑极容易被感染这些病毒、木马4) 内部IP管理混乱,员工私自修改IP,导致IP冲突,引起多方不能使用网络,影响正常的办公5) 对内部终端计算机缺乏资产信息的统计与管理6) 缺乏对内部员工分组管理,对用户的访问权限没有进行严格的控制。7) 有时候安全管理员可能发现内网有机器重了蠕虫病毒,造成网络缓慢甚至中断,但却由于不知道该机器位于什么地方而束手无策,如何及时定位感染源?解决方案:1) 网络应用程序的准入控制:利用BTA“进程及DLL的准入模块“控制一些非法的应用程序,验证应用程序的源文件名,版本号,文件大小等相关因素,从而从根源上控制一些非法的应用程序,系统支持应用程序的“黑、白名单”形式2) URL地址过滤:利用BTA的“URL过滤”功能,将“特定非法网站”列入黑名单,屏蔽互联网上不良信息的冲击3) IP/MAC地址绑定:将内部终端计算机进行IP/MAC地址绑定,防止IP地址冲突或盗用4) 通过802.1x 端口认证对接入业务局域网终端进行准入管理,定义安全标准,在接入之后进行自动检查和修复5) 分布式防火墙:以应用程序为核心的分布式防火墙,实现了从网络层到应用层细粒度的纵深防御,分布式防火墙支持多条复杂的规则匹配,可以根据协议、端口、应用程序进行组合策略防护,提供双向检测功能6) 通过对终端计算机流量、进程的数据挖掘与分析,管理员容易及时定位感染源,找出病毒感染的扩散范围,进行及时处理和隔离客户案例评价:通过BTA运营保障系统,构建了我们卫生部网络系统内网安全防范与管理体系,根据我们的实际需求,做了一些安全策略,使我们在网络管理上清晰、透明、有序,大大减轻了网络安全管理员的工作,保证我们网络高效、安全的运行。成功案例二:天津港务局集团案例背景: 天津港地处华北的经济中心天津市,是我国北方重要的国际港口,也是亚欧大陆桥理想的起点港之一。天津港的现代化水平全国领先。通过广泛采用新技术、新装备、新工艺,天津港的港口现代化、信息化程度在全国港口中位居前列,建立了国际贸易与航运服务中心及电子口岸,可为客户提供快捷、高效的口岸“一站式”服务。天津港(集团)有限公司是天津港的主体,下属二级企业和单位共计63家。在2006年全国500强企业评选中,港口行业第二位。随着数据交换,业务资源共享越来越多,网络安全是天津港业务系统正常运营的保障,信息安全建设尤为重要。天津港集团总公司及下属企业和单位采用了北京桥盟的BTA运营保障系统,为天津港的内网安全及终端管理提供了一个安全管理的平台,构建了一个严格的内网安全管理策略环。解决方案:终端准入控制+终端安全管理+集中安全策略管理一、终端接入管理:BTA运营保障系统确保了所有的终端在被允许接入天津港公司网络之前必须经过MAC认证,认证完毕后自动遵循所制定的安全策略,确保接入天津港网络的终端计算机都是安全可靠的。二、终端安全策略强制: 安全完整性检测功能-安全资源整合 分布式防火墙策略强制 终端计算机外设进行统一控制三、终端安全审计对用户WEB站点的访问记录审计 四、终端安全标准化检测: 防病毒软件是否安装 操作系统安全补丁是否安装五、统一注册表策略: 关闭危险服务 关闭默认共享 IP/MAC地址绑定 禁止修改注册表 禁止修改IE连接成功案例三:中国移动集团山西省公司案例背景: 山西移动IT-NMS项目(满足萨班斯方案)随着中国移动电信事业的飞速发展,相应的电信业务量迅猛增加,用户对电信服务的质量要求越来越高,对电信网络安全要求也越来越高!同时为了满足萨班斯法案(Sarbanes-Oxley法案,简称SOX法案)对IT内控的要求,就需要在企业内部作一系列变越革,企业信息化的需求将更为迫切。针对于公司治理的SOX法案,虽然主要指向财务管理、经营管理,要求企业保证财务数据的真实性、全面性和及时性,但对于企业来说,这些规则的落脚点,恰恰是IT系统的有效性和可靠性的体现,电信运营商最为关注的是信息化与信息安全建设对运营的技术与业务组织体系结构的影响,求得企业价值最大化和风险最小化的平衡。 解决方案:终端管理终端管理类型包括办公终端(含省公司、分公司)、计费终端、临时来访者、厂家开发维护人员四类,并可在上述四类的基础上根据实际情况划分子类 OA终端管理 计费终端管理 临时来访终端管理 厂家开发维护人员终端管理功能实现:BTA运营保障系统用于实现如下功能: 终端接入控制 进程及DLL准入控制 分布式防火墙安全策略 终端计算机流量审计与TOP 排序 安全完整性检查终端接入控制:严格控制内部合法的计算机身份注册,禁止非法计算机接入网内1)快速并行扫描多个子网可以同时扫描,将非法接入的计算机进行跟踪和隔离 2)自动发现没有经过身份注册的计算机IP地址、MAC地址,进行上报给策略服务器3)系统提供基于角色的用户与帐号管理,基于角色的访问控制。根据网络接入对象对企业网络业务的需求进行严格的访问控制;防止内部员工或外部接入人员的越权网络访问行为,同时屏蔽和减少了网络安全隐患的触发点网络应用程序及DLL准入控制策略 1 系统能够自动学习到终端计算机网络上运行的应用程序,收集到进程列表里。2 系统按部门统计网络相关进程的情况,可以按进程的使用频率、网络资源占用情况进行排名,支持连锁分析,如某网络进程的分布情况。3 新增网络进程统计表:按部门统计某段时间内网络中新出现的网络进程,便于定位异常的安全事件。通过策略服务器设置网络程序白名单功能,实现自有在名单里的网络程序可运行,在白名单之外的软件均不能正常运行访问网络终端接入后的安全标准检查通过BTA网络准入控制模块实现该功能,终端接入网络进行访问时,必须首先安装BTA客户端,安装好BTA客户端后,还必须接受桌面安全完整性检查,安装了完整性检查要求的必要的软件和补丁后,才能够访问公司网络,否则将阻止该终端访问公司网络需要实现的基本功能和基本要求 访问控制 对于未通过认证及不符合安全策略的用户,可以限制其对网络的访问。 安全策略统一制定和管理 可以灵活地制定所有用户的安全策略,及时地下发给所有用户,并强制用户执行。用户网络行为的控制管理1) 禁止终端计算机使用任意的网络应用程序如P2P程序,游戏程序,网络攻击程序等,保障企业网络业务的正常稳定运行2) 保证企业的已有的安全投资(如:防病毒软件、各种补丁程序及系统管理软件等)处于正常运行状态,禁止终端员工私自卸载企业要求必须使用的安全软件 客户评价:1 遵从萨班斯法案(Sarbanes-Oxley法案,简称SOX法案),使电信运营商IT内部控制有效性提高2 优化了终端计算机的管理结构,简洁清晰便于管理,降低了安全风险3 集中统一安全管理,终端计算机动态信息(进程数据挖掘、动态流量)获取,安全问题快速异常定位与隔离,降低网络安全的运营成本4 基于角色的用户管理与安全策略,提高对安全风险的控制,安全策略的灵活制定,确保IT内控的有效性成功案例四:山西移动公众宽带、文化站运营平台建设项目案例背景: 近年,山西全省移动宽带业务量、用户数呈现几何级数式的增长,截至2008年初已有93000多个公众互联网宽带接入用户。公众互联网宽带接入业务已全面覆盖山西全省11个地市。但在业务大发展的背后,我们也看到了伴随业务增长带来的管理和控制上的问题。同时,如此数量的互联网用户为进一部提供增值业务创造了非常有优良的基础。新农村建设是已成为国家十一五计划的重要内容,为了响应党中央提出的建设新农村号召,为建设社会主义新农村,推进农村信息化建设,山西移动率先提出了农村信息建设的战略方针。在全省28000村庄,村村铺设光纤、建立文化站网络。截止到2007年4月,全省已开通25000多个文化站,共投放终端47000多个,文化站的互联网宽带接入业务已全面覆盖山西农村各个地区。将这十多万现实客户,进行规范管理,并以此为基础,提供基于互联网和移动通信相融合的增值服务,将可能为山西移动的下一步发展带来新的机会和增长点! 解决方案:客户终端安全服务和广告运营平台根据文化站、公众宽带运营管理与运营平台的定位,对平台需求总体分为文化站终端管理运营(广告投放)、宽带用户应用和公共安全服务两大部分, 文化站终端管理、应用包括文化站终端管理模块、统计报表管理模块, 文化站的接入终端的业务承载模块;公共服务部分包括终端自检测模块,在线杀毒模块、自动更新模块。力图通过建设一套对现有互联网业务都有统一业务支撑能力的运营管理支撑平台,以解决目前迅速发展的互联网业务的平台支撑问题。功能实现:采用桥盟BTA运营保障平台进行专项开发,实现如下功能: 文化站终端安全管理 终端广告业务承载模块 宽带用户安全服务系统:系统自检、在线杀毒、远程维护、内容投放平台; 内容管理与客户行为分析 统计报表文化站终端安全管理当远程终端接入互联网时,进行接入认证,计算机终端出现故障时,(远程维护人员可以通过服务管理系统查看任务的执行情况获知、告警、或者 工作人员直接打电话向县公司求助),县公司的远程维护人员可以通过远程维修功能来排除文化站计算机终端的故障。 具体实现 远程文件传输 远程执行脚本 远程协助 接入设备资产管理 终端检查 机器发现终端广告业务承载模块针对宽带、文化站用户群,在客户端系统预装时绑定广告推送功能模块(后台运行,禁止删除或卸载)。 管理人员通过后台管理界面输入要投放的广告内容,再选择要投放的区域。广告发布的内容和时间由省管理中心统一审核、发布、控制.如县市公司需要在本地小范围内发布桌面广告,需把广告内容提交给省管理部门审核,授权后,平台管理人员对指定的乡镇、村录入新的广告消息。广告投放的方式和运营管理: 滚动广告 弹出式广告 桌面背景广告 广告位点击分析 广告效果分析 计费平台宽带用户安全服务系统针对移动宽带个人用户群,用户在登陆网络后,可以自主选择接受移动的在线帮助和下载客户端诊断程序,用户在安装使用后,如果不满意,可以自己通过控制面板的“添加/删除程序”卸载此软件功能模块。终端自服务模块软件要求包括以下功能:网络检测、安全检测、性能检测三部分构成,在应用时既提供“一键”式操作,也可通过远程协助执行。具体如下所述:1、网络检测检测类别检测项目说明网络检测与修复网络接口测试检测网卡设备工作状态ADSL测试检测ADSL连通状态IP,网关,DNS测试检测网络设置是否正常网络速度优化优化网络连接速度2、安全检测检测类别检测项目说明安全检测与修复防火墙状态检测检测防火墙工作状态与设置系统漏洞检测与修补检测操作系统补丁是否最新系统与数据安全性检测检测系统和数据的安全性3、性能检测检测类别检测项目说明性能检测与修复 硬件检测CPU检测、 主板和内存检测、显卡检测、硬盘检测。磁盘垃圾检测与清理清理磁盘垃圾,优化磁盘效率注册表优化与清理检测和清理注册表IE清理与修复检测IE设置并修复IE插件管理检测和清除无用的IE插件在线杀毒系统功能: 平台包含一个独立的在线杀毒服务器,提供基于WEB的非安装式的杀毒功能,要求客户端软件提供该杀毒服务的超链接,当用户计算机出现一些由于病毒引起的异常现象,用户可以在上网后,在客户端超链接的指导下,通过IE浏览器登陆移动杀毒服务器,直接进行病毒的在线查杀,解决因为病毒而引起的计算机故障问题。内容投放模块1)软件升级:客户端系统软件能够定时查看服务器上的软件升级信息,当服务器上的版本比目前使用的客户端版本还要新的时候,客户端系统软件会自动从服务器上下载最新版本的客户端软件,然后安装。覆盖原来的旧版本软件。2)广告信息更新:查看服务器上是否有新的广告信息,如果有新的广告信息,下载新的广告信息覆盖原来的广告信息.3、用户使用报告1)、天津港务局集团使用报告2)、人民日报使用报告3)、山西移动使用报告4)、北京市安全评测中心使用报告4、公司资质 1)、软件著作权登记证书2)、软件产品认定证书3)、软件企业认定证书4)、国家密码局销售许可定点单位证书5)、高新技术企业定证书6)、公安部安全产品销售许可证 17
展开阅读全文