烟草行业解决方案

一、概述

目前烟草行业信息化建设面临几方面挑战;除了安全意识和制度体系的问题外主要问题在于管控措施的不健全、综合防范较薄弱以及安全检查不够深入。

近年来,烟草行业在信息保护、故障响应和规范运维等方面多次发 生问题。如,有的单位个别人员私自将客户信息转让给行业外机构,违反了国家相关法律。有的单位系统出现故障长达三天不能恢复,造成较大经济损失。有的单位 外包运维人员变动后不及时收回权限。还有的单位对重要系统权限管理不严,个别人员利用系统私自开立证件,造成严重违规事件。

行业内信息安全问题涉及多个方面,但源头在于网络内终端的安全问题,如何从根本上提高行业信息安全水平,提高工作效率要依靠良好的安全意识和制度体系,同时也必须依靠先进的具有针对性的终端管理技术。

传统终端管理是基于操作系统平台之上的应用程序,操作系统及其 他应用程序的不稳定,使传统的终端管理工具无法从根本上解决烟草行业办公网对网络、系统及信息安全的高需求,目前如何从根本上解决烟草行业办公网的管理和 安全问题变得格外紧迫,烟草行业办公网运行中出现的各种问题可能造成难以估量的损失,因此,确保其安全、稳定、高效的运行是十分重要的。

虚拟终端管理系统从当前的网络整体状况及用户需求出发,结合自身的优势为烟草行业用户提供前瞻、专业、务实的技术解决方案。

 烟草.jpg

2.烟草行业网络需求分析

对于烟草行业在运营过程中所遇到的种种问题,我们分类进行了需求分析:

2.1    办公网络需求

烟草行业办公网络内终端较多且应用复杂,行业对办公网的准入及网络外联有明确的制度规定,同时内部的信息安全是办公网面临的主要问题,如何更好的对办公网进行运维并能实现深入的安全管理,主要涉及以下方面:

  • 集中、统一化运维;
  • 灵活的系统及应用交付,支持用户个性化配置;
  • 良好的稳定性、兼容性及可扩展性
  • 深入的网络、系统及信息安全;
  • 良好的用户体验;

2.2    烟草专卖部需求

烟草专卖网络具有自己的特殊性;专卖网络分散在各地,网络内终端数量很少,这使网络管理人员的运维工作极为困难。同时,专卖店应用单一,结合以上情况,分析需求主要涉及以下方面:

  • 终端的集中、统一化管理
  • 根本、快捷的操作系统及应用的保护和恢复;
  • 终端个性化应用及配置均可保留
  • 可实现远程管控?

3.传统终端管理技术解决上述问题的局限性

  • 防病毒软件

  –  防病毒软件已经经过了几十年的发展,从管理角度来看,依然还是无法解决软件自身被随意卸载、病毒库没有及时更新、无法有效遏制蠕虫病毒传播。

  • 内网安全管理软件

  –  内网安全管理系统无法阻止用户自行安装软件导致出现的网络滥用行为,也无法防止各种最新病毒木马的侵入。同时,对于操作系统本身出现的驱动冲突更是无能为力。

  • 桌面管理技术

  桌面管理系统侧重于对信息资产的管理,无法解决病毒、木马等问题,在终端应用的控制方面基于规则库进行,很难满足客户个性化的需求。

  • WSMS

  –  是微软公司用于解决终端计算机自动升级问题的软件,然而在实际使用过程中,终端计算机使用者总是由于操作不当等多种原因无法保持操作系统始终处于最新补丁状态。在计算机数量众多的单位,信息技术人员也无法及时发现。

  现有和终端管理相关的技术都只解决了终端问题的一部分,导致许多单位花费大量资金购买了各种终端管理设备进行部署。但由于各软件之间无法很好的兼容整合,终端管理问题始终是信息化建设中的最大的风险因素。

二、方案原则及目标

 1.方案原则

为保证方案的能够最终达到××烟草企业网络相关要求,在设计方案时遵循如下的设计原则:

  •  根据烟草行业信息安全保障体系建设指南,借鉴国际信息安全纵深防御架构并参照P2DR模型(策略、防护、检测、响应),以技术与管理同步,动态防护和静态保障相结合的思想,总体规划设计烟草行业“十二五”终端信息安全架构。
  •   根据国家信息安全等级保护制度,将等级保护工作贯穿在烟草行业终端管理系统安全建设的整个生命周期。
  • 方案先进原则:办公网信息化办公环境的虚拟终端管理系统要求功能完善、技术先进、安全可靠、服务领先;
  • 系统安全原则:管理系统自身安全包括物理安全、系统安全、数据安全和运行安全等;
  • 可扩展原则:统一规划,兼顾长远,既要满足现有的需求,又要兼顾系统的可扩展性,保证分布实施的延续性。系统在结构、规模、应用能力等各个方面都必须具备很强的扩展能力;
  • 按照GB17859-1999《计算机信息系统安全保护等级划分准则》的要求建设;
  • 可靠性原则。执行ISO9002质量认证体系要求,确保安全保密设备的高可靠性和稳定性;
  • 经济性原则。虚拟终端管理系统的建设、运行维护以及将来的扩展建设,必须符合经济性原则;
  • 易操作原则。虚拟终端管理系统的使用、维护、管理、发行等方面要易操作;
  • 高效原则。虚拟终端管理系统的处理能力要求能满足现阶段的实际需求,保证系统的高效运行,并能根据系统的发展进行不断提升;
  • 功能完整原则。虚拟终端管理系统的功能完整,应用安全扩展系统功能完整;
  • 灵活性原则。虚拟终端管理系统的系统扩展、应用安全建设方面都必须满足灵活性要求。

 2.方案目标

烟草行业“十二五”信息安全保障的总体策略是:安全保障体系与 信息系统建设“同步规划、同步建设、同步运行”,静态保障与动态防护有机结合。管理上实施技术与管理同步,教育与制度并行,检查与考核结合。技术上实施分 区分域,安全接入,动态感知,整体防护;在总策略的指导下使安全管理水平明显提高,安全防范能力明显增强,安全隐患明显减少,有效保障行业信息化健康发 展。

本项目的总体目标是在不影响烟草行业办公网及营业部用户信息化 应用环境网络及终端正常工作的前提下,满足国家保密部门及信息系统安全等级保护的相关要求,从虚拟安全、桌面管理等多个角度构建一套包括整体规划、设计、 部署、管理、应急处理及安全和管理策略的完整的网络和终端管理体系,实现对××烟草企业网络的全面和有效管理。

 三、虚拟终端管理系统方案设计

 虚拟终端管理系统,基于云计算环境下全国首家推出的全新终端管理系统,其整合最新的虚拟安全技术,以终端系统管理为中心出发点,从虚拟防护、桌面管理、行为控 制等多个角度构建一套完整的终端系统管理体系,防御各种终端异常事件,通过技术手段全面贯彻落实各单位的终端管理策略。

1.  虚拟终端管理系统结构、原理及部署

针对烟草企业办公网对终端管理及安全提出的功能和性能要求,北京和信创天科技有限公司为了有效的满足局域网环境下实现的要求,故提出以“和信”虚拟终端产品作为基础建设安全管理系统的构想,从管理运维、应用等方面为烟草办公网提供全面解决方案。

1.1 虚拟终端管理系统架构

 

虚拟终端管理系统分为客户端和策略管理中心两个部分,其中策略管理中心为服务器端;通过建立用户定制的操作系统镜像文件及提供虚拟防护、桌面管理及行为控制等的策略管理,为客户端提供多方面的系统及策略服务。客户端通过网络启动的方式通过网络加载服务及信息。

1.2 系统功能

1.2.1 虚拟防护:

  –  远程虚拟化管理

  –  网关控制

  –  病毒库同步

  –  防ARP欺骗

  –  恶意网站防护

  –  驱动防火墙

  –  个性化安全磁盘

1.2.2 桌面管理:

  –  资产管理

  –  补丁管理

  –  软件群发

1.2.3 行为控制:

  –  外设控制

  –  应用软件控制

  –  上网监控

  –  行为监控

2.  虚拟终端管理系统在烟草网中的应用

2.1  烟草办公网应用

烟草行业办公网因应用较多较复杂,终端对安全性、稳定性及桌面个性化的要求较高,应用“和信”虚拟终端专业版可达到最优效果;“虚拟终端管理系统专业版安装简便;只需要在服务器上安装好服务器端程序,建立用户定制的操作系统镜像文件,然后在客户机进行镜像下载即可;专业版可最大程度的提高终端处理速度,可实现离线应用,即使断网终端应用也不会受到影响。 #page#

和信VEMS在烟草行业中的解决方案

 

专业版优势如下:

 2.11集中、统一化管理

虚拟化在终端管理方面的优势体现在可集中、统一的对终端进行管 理,可完全改变传统分散的终端管理模式;终端以远程启动的方式访问统一的操作系统镜像,并可设置终端分区重启还原,这样管理员可以通过对一台终端的管理而 实现对全网的管理。同时,终端数据可集中存储于服务器端,增强办公网数据的安全性。

2.12灵活、多样化的应用

和信虚拟终端管理系统在管理上可灵活设置;既可以对终端实现严格的统一控制,也可以保留终端个性化的系统、程序及桌面;

同时,和信虚拟终端管理系统采用了服务器磁盘镜像技术和网络磁盘映射功能,使用户的个性化数据可以保存到服务器的加密镜像文件中。用户所保存的数据就像在本地磁盘操作一样简单。

2.13 保障系统及应用的安全、稳固

无论是操作系统还是应用系统的安全和稳固,在虚拟化的平台上都 会得到前所未有的提升;“和信”虚拟终端管理系统可实现虚拟磁盘镜像的“本地缓存”;镜像本地缓存后终端可离线使用,即使网络断开终端也可继续使用。同 时,系统重启恢复的功能使得终端无论因误操作还是病毒等因素导致的系统和应用问题,都可在重启终端后得到恢复。

虚拟化和终端管理相结合的方式从根本上解决了系统管理和安全的问题,可极大的保证办公网业务的连续性,并提高网络管理的便捷性。

2.14 多服务器管理

在大规模的网络环境中,和信虚拟终端管理系统提供多服务器管理功能;包括可提供多服务器间的负载均衡功能,可以使网络中的所有服务器平分所承受的网络负担以增加服务器工作效率。

同时,和信虚拟终端管理系统在多服务器的网络环境中实现了多服务器数据实时同步功能,当网络中的任何一台服务器停止工作时,其他服务器可以承接其工作继续为客户端提供相应的数据服务。

2.15 丰富的安全管理策略

虚拟终端管理系统具有丰富的安全管理策略;如“外设管 理”可控制终端的移动存储设备、光驱、软驱、打印机等外设的使用,控制内网数据信息的泄露,“网关控制”可限制终端是否可上外网,“上网行为监控”可审计 终端的上网行为,“流量控制”功能可限制终端内外网上传及下载的流量等,全面深入的安全策略可保障烟草行业办公网的安全性和合规性。

2.16 良好的使用体验

应用“和信”虚拟终端管理系统后,用户的使用体验和PC机相 同;如软硬件的兼容性,操作系统及应用的速度,桌面及其他个性化配置等,在很多方面可有更好的应用体验;如终端的故障率大大降低而业务连续性则有很大的提 高,应用及补丁升级无需终端干预且升级迅速及时,“个性化加密磁盘”可为用户提供更为灵活的文件存取方式等。 #page#

2.2  烟草专卖部应用

烟草专卖部应用较单一,但终端分布极为分散,“和信”虚拟终端管理系统远程版可完全满足专卖部网络终端需求;

和信VEMS在烟草行业中的解决方案

远程版可实现跨地区的终端统一运维及安全管理,优势如下:

2.21 远程集中统一运维

因专卖店较为分散,且单个专卖店终端数量较少,导致专卖店网络终端的运维极为困难;管理员往往要各个专卖店间奔波且难以及时的处理终端问题,“和信”虚拟终端管理系统可实现各个专卖店终端的集中、统一管理,这将大大减少终端故障率,减少管理人员的工作量。

2.22安全性好,重启恢复

无论因误操作或是病毒等问题导致的系统及应用问题,都会在终端重启后瞬间得到恢复。专卖店终端安全可用性好,不会因系统及应用问题对日常办公产生影响。

2.23系统及应用远程集中安装、升级

专卖店终端应用单一,可利用虚拟终端管理系统的远程软件安装和升级功能为终端及时的安装和升级软甲,更新系统及补丁。管理人员无需到达现场即可轻松完成运维。

2.24远程管控

在专卖店终端遇到应用问题时,管理员可利用虚拟终端管理系统的远程接管功能对终端进行远程的接管,以便于远程解决相应的技术问题。 

 四、公司及产品介绍

 1. 公司简介

天正科技是国内领先的虚拟应用产品和服务提供商,专注于互联网时代虚拟应用领域的技术与产品的研究、开发、生产、销售及服务,致力于帮助用户建立和谐稳定、高效安全的信息环境,提高工作效率,降低用户成本。

作为领先的虚拟应用产品和服务提供商,天正科技拥有虚拟终端管理系统等系列产品,能够满足不同用户对终端控制管理的需求。目前,天正科技的产品和服务已广泛应用于政府、金融、能源、教育、企业等众多行业。

天正科技是业界最具技术创新和产品研发实力的企业之一,拥有国 际一流的虚拟应用技术研发团队――虚拟应用研究实验室。同时,上海天正科技还与华中科技大学等国内著名高校建立了长期合作关系。雄厚的技术实力使得和信创天在 国内第一家推出“和信”虚拟终端管理系统,并完全具有自主知识产权,处于业界领先水平。  

未来,天正科技将继续秉承诚信和创新精神,继续致力于提供具有国际竞争力的自主创新产品和服务,帮助客户全面提升信息化平台的工作效率和管理品质,为打造国际一流的专业公司而不懈努力。

2. 产品简介

国内第一款构建信息终端管理体系的虚拟化终端管理系统——虚拟终端管理系统,是由天正科技专家团队在多年虚拟化应用技术的研究积累上,深入理解广大用户对终端管理和安全管理的需求,结合行业经验合作研发而成。

虚拟终端管理系统与国际当今先进的虚拟化技术同步,以终端系统管理为中心,从虚拟安全、桌面管理、行为控制等多个角度构建完整的终端系统管理体系,预防终端异常事件的发生,并全面贯彻落实企业终端管理策略。

虚拟终端管理系统部署简单,支持各种网络环境,兼容原 有终端工作站,可针对不同的工作部门、工种类型、工作需要指定专用的虚拟操作系统。在驱动层全面实现对ARP病毒、流量异常、USB等外设接口的控制,采 用最新的恶意网站动态防护技术,无需对客户端升级即可避免恶意网站的侵害。支持域环境,终端可直接登录到指定的域中,根据用户的需要,将个人数据加密存储 在服务器上,可以在任意终端上随时调用。基于强大的虚拟化技术,虚拟终端管理系统真正从根本上解决了病毒感染、软件冲突、系统崩溃、补丁升级和流量异 常等终端问题,保持业务可持续性,让终端管理更便捷。 #page#

 专业快速的技术服务

 在进行了虚拟终端管理系统的部署以后,要持续保障一个动态网络 的安全性,持之以恒的安全管理和专业的外部咨询顾问是必不可少的。一个固定的长期安全合作伙伴,就像企业的常年法律顾问和管理顾问一样,直接高效的帮助企 业完成安全管理目标,降低安全及管理代价,从而使企业能更专心地运行其主要业务,获得更好的收益。

为了较好的保障持续性的网络服务,以合理的费用保障较高的安全支持级别,我公司提供了如下基本的服务方式和支持指标。

主要内容包括:

日常支持

远程应急响应:2小时内响应

5x8小时热线支持

无限次Email或传真支持

定期的通告

复查和外部监督

每年提供服务报告汇总

提供全方位的技术顾问与咨询

提供不限次数的产品与技术问题咨询

提供对技术人员的培训计划

针对网管和技术人员的初级培训

针对网管和技术人员的中级培训