《某公司内网安全管理解决方案(基本、准入)》

内网安全管理项目解决方案XX公司北京北信源自动化技术有限公司华东技术支持中心2010年11月目录1XX公司内网管理需求分析111XX公司信息系统现状112终端管理中存在的问题1121IT资产管理问题1122移动电脑的接入管理1123终端行为管理与审计22北信源内网安全管理解决方案321系统概述322桌面安全管理4221IT资产管理4222终端安全检查策略5223防病毒策略6224软件和进程黑、白名单监控功能6225IP/MAC绑定策略7226防火墙策略7227终端密码策略7228注册表加固注册表监护功能8229违规外联策略82210终端安全运维管理823网络接入管理10231终端接入控制11232基于8021X协议的交换机端口接入认证12233基于业务服务器的接入认证1324档案、报警和日志管理功能14241详尽的档案管理功能14242日志管理功能15243报警管理1525系统具备的接口和强大的可扩展性16北京北信源自动化技术有限公司251接口描述16252系统具有良好的可扩展性16北京北信源自动化技术有限公司HTTP/WWWVRVCOMCN/PAGE1OF201XX公司内网管理需求分析11XX公司信息系统现状XX公司位于。在XX公司多年的发展过程中，计算机网络也逐渐壮大起来，其维护工作量也越来越大，因此必须找到一个适合公司网络和客户端的工具辅助管理，从而保证公司网络和终端计算机的正常工作，为公司发展做出应有的贡献。XX公司内网是信息化建设的重要基础设施，随着网络的不断发展，计算机数量将达到XX台左右。公司的内外网是严格物理隔离的，不允许任何内网中的计算机连接外网，并且对内网中的所有文件必须严格保护，防止数据的流失。但是由于缺乏有效并统一的管理工具，因此网络中依然存在某些漏洞，极易造成重大损失。具体如下12终端管理中存在的问题121IT资产管理问题硬件资产管理问题由于XX公司的IT设备众多，涉及的门类繁多，设备的更新调整较多，给管理人员对硬件资产的统计和管理带来了繁重的工作量。软件资产管理问题XX公司的终端设备上所安装运行的操作系统的版本，以及对于终端用户所使用的应用软件的类型，难以做到及时的统计和更新。软、硬件设备信息变更管理对硬件设备不经允许的变动、流失，网络管理员不能及时的跟踪发现，而使得硬件资产的流失不能得到很好的责任追究。对终端用户随便删除系统软件，从而导致系统的崩溃，导致管理员的工作量加重。122移动电脑的接入管理为了保护数据，XX公司内网中不允许使用笔记本电脑，但是仅仅从制度上，难以对笔记本的随意接入行为进行控制，通过笔记本电脑接入网络，并破解拷贝机密文件的行为，依然有可能发生。因此，需要借助一个强而有效的工具对这种行为进行管理控制。123终端行为管理与审计终端用户对计算机的登陆使用拥有管理员权限，用户随意修改IP地址，导致内部IP冲突问题；恶意修改删除机密文件，导致数据丢失；终端计算机自行安装接入一台打印机，并打印重要文件，导致数据外泄等行为极易造成重大损失。北京北信源自动化技术有限公司HTTP/WWWVRVCOMCN/PAGE3OF202北信源内网安全管理解决方案为了应对以上内网安全管理的问题，北信源通过多年为国家机关、大型企业网络安全服务的实践，研发了内网安全管理系统，这套系统可以很好的解决大型网络面临的内网安全管理问题。21系统概述北信源终端安全管理产品采用C/S与B/S混合模式设计，支持分布式部署，并具有模块化软件定制、支持标准API、无缝功能扩展与升级等优点。对于不同类型的网络，从终端状态、行为、事件三个方面来进行防御。整个系统具有以下特点1统一的策略管理软件采用统一的策略管理中心实现对内网终端的管理。策略具有多种类型，针对多个不同的终端区域，在多个不同的时间段，以及不同的网络中生效，方便于管理员进行灵活的控制。2分级管理系统支持对管理员分级管理，实现不同管理员管理不同内容，可分为授权、管理和审计等多种角色划分，适合集中授权、多角色参与监控的管理模式。3通信保护系统的组件间通信时，数据传输是经过加密的，客户端和服务器端相互通信使用双向认证机制，防止已安装同类客户端的非本网络计算机非法进入网络，同时也防止模拟的假客户端和服务器进行通信。4客户端软件系统客户端运行有四个进程VRVEDP_MEXE,VRVRF_CEXE,VRVSAFECEXE,WATCHCLIENTEXE，在不分发安装补丁或软件时，占用物理内存25M左右，占用虚拟内存30M左右，在分发补丁或软件时，管理员可自定义对网络资源的占用。系统客户端具有自我保护机制，防止用户随意停止、卸载。5服务器安全性服务器系统具备保护服务器的功能。保证管理系统服务器使用的安全性，保证其受到恶意修改IP地址的方式攻击时仍可正常工作，网络中出现IP地址甚至MAC地址冲突等现象时，管理服务器不会被阻断出网，只有发起恶意攻击的设备会被自动阻断。6提供系统审计员、系统管理员、系统操作员三权分立的权限管理体系。7系统日志系统提供运行审计和操作审计机制，保证系统的稳定运行。系列产品组成图北信源内网安全管理系统主要包括以下几个功能模块桌面安全管理系统、补丁管理系统、网络接入管理系统、移动存储管理系统、主机行为强审计系统、安全U盘（硬件）等。下面主要详细介绍桌面安全管理系统和网络接入管理系统两个系统功能模块的作用。22桌面安全管理桌面安全管理以内网终端为核心，通过安全策略应用，加强终端自身的安全性，防止因终端配置或使用者疏忽造成终端安全故障，进一步影响整个网络的安全性。内网安全管理包括以下功能策略221IT资产管理IT资产管理管理接入内网的众多IT设备，通过软硬件管理策略的应用，加强对众多终端设备的数量、状态的统计和运维的日常管理。防止因软硬件配置的变化，造成单位资产的流失以及给终端带来安全故障，甚至进一步影响整个网络的安全性。IT资产管理包括以下功能策略北京北信源自动化技术有限公司HTTP/WWWVRVCOMCN/PAGE5OF202211终端注册管理终端注册管理可以对接入内网并且注册的终端设备进行软硬件资产的统计和管理，主要包一下几个方面的内容硬件资产统计管理统计终端设备，如终端主机CPU的厂商、频率，内存、硬盘的大小，光驱，USB接口等基本硬件信息，通过硬盘以及IP、MAC地址标识内网中设备的唯一性。对网络中存在的交换机、路由器、打印机等网络设备进行信息的统计和做相应的记录。软件资产统计管理对已经注册的客户端，进行对操作系统版本以及杀软厂商的识别，对已安装的应用软件进行统计。对于系统可能存在的漏洞，以及杀软没有及时的更新，进行补丁的下载安装，杀软的自动升级。资产变更管理对已经注册的客户端的资产变动情况进行及时的发现并记录上报到服务器。管理员可适时的查看到网络中资产的变更情况，避免因为人为的原因造成资产的流失。2212设备信息统计在数据查询中可以进行一些自定义查询，通过本地注册情况统计，可以统计终端总数量、应注册的计算机、已注册的计算机、注册率、在线设备、安装杀毒软件的情况等，并以图标的形式显示出来，如需要，可以打印EXCEL报表。根据本地设备统计信息，可以按操作系统、硬盘大小、CPU主频、系统内存等不同的类别进行统计，并以饼状图的形式显示。通过本地设备系统类型统计，可以对注册设备进行类型登记率、终端、服务器、网络设备以及其它设备进行分类统计。222终端安全检查策略终端安全检查策略可以对所有接入内网的终端的自身安全性做检查，主要包两个方面内容杀毒软件检查1是否安装杀毒软件，未安装则自动安排指定的杀毒软件。2杀毒软件是否最新版本，不是最新版本则自动运行指定的升级包。系统补丁检查是否指定的系统补丁，未安装则自动安装。访问资源限制在终端未完成以上检查项目前，只能访问指定的网络资源，如防病毒服务器等。223防病毒策略对于公司内网，终端使用者的计算机水平参差不齐，可能会出现用户卸载甚至退出统一安装的防病毒软件的情况，也可能出现有个别用户被遗漏，未安装防病毒软件的情况。同样也会出现个别客户胡乱安装运行非可靠软件，甚至黑客扫描软件的情况。这些均只有依靠技术手段才可以解决。北信源内网安全管理系统可统一监控网络内的防病毒软件（国内外主流厂商的防病毒产品）安装情况和使用状态，了解网络中的病毒软件安装状况，必要时可通过软件分发强制为客户端安装防病毒程序，如果需要，此系统也可监控终端软件的安装情况，并进行相应的管理（如安装软件，强行升级、禁止使用特定软件，删除软件等）。224软件和进程黑、白名单监控功能安装软件黑白名单控制可对终端软件安装情况进行黑白名单控制，可制定软件安装黑白名单，指定禁止安装和必须安装的软件，并可对违规的终端进行报警提示、终端提示、阻断联网等措施。客户端进程监控监控网络客户端软件的违规使用情况，控制禁止启用的程序，如搜索病毒、木马等可疑程序，可直接结束终端的违规进程。并可对违规的终端进行报警提示、终端提示、阻断联网等措施。网络进程管理功能1统一汇总和监视全网主机的进程运行情况，并生成报表。2对进程进行黑白名单控制，即根据策略设定禁止运行的软件或必须运行的软件。3自动停止或启动被黑白名单监控的进程。北京北信源自动化技术有限公司HTTP/WWWVRVCOMCN/PAGE7OF204根据进程出现的时间进行排序，显示网络中所有新出现的进程，以便发现新的可疑的进程。5此系统可对网络中出现的异常进程（很可能是病毒或木马进程）进行定位和报警。6对违规的客户端进行客户端提示和断网处理等相应措施。225IP/MAC绑定策略通过IP/MAC绑定策略，可以防止用户乱改IP地址导致IP冲突的情况，影响内网的正常运行。桌面管理系统在发现用户更改IP地址的行为后，可以通过自动恢复、报警提示、断开网络等方式进行处理。226防火墙策略公司的终端计算机中并未使用软件防火墙，而蠕虫病毒等均是通过一定的端口进行传播和发包，因此，如果系统可以统一控制网络中计算机的端口，关闭病毒使用的端口，就可以有效阻止这些病毒的传播和破坏。北信源内网安全管理系统具备可由管理员根据需要统一配置的客户端主机防火墙，可按照策略控制客户端的特定端口的连接，包括禁用（开启）指定的端口，禁止PING入（出），设定IP区域访问控制，进行包过滤控制等，也可禁止使用代理服务器，系统不管如何设置包过滤规则，均不会造成管理服务器对客户机管理的通信无法进行。当某些客户机临时离开内部网络安装到其它网络时，客户机端软件的包过滤功能和禁止使用代理服务器功能可根据管理员的预设策略自动关闭或继续工作。227终端密码策略目前很多病毒已经可以“猜”出用户机的口令，如果计算机使用弱口令，病毒将会通过这些弱口令获得计算机的控制权，并进行传播。这类病毒的传播行为靠杀毒软件或者补丁加固均无法进行控制。系统可以检查开机密码、屏幕保护密码以及其它应用的密码（如SQL数据库）是否为弱口令，以保障系统不因为弱口令被病毒和黑客攻击。228注册表加固注册表监护功能WINDOWS的所有安全策略都是基于注册表的。通过改变注册表的有关配置，可以在指定方面很大程度上增强客户端的安全性。同时，木马和病毒的开机自动启动一般也是通过改变注册表项，启动时自动加载实现的。因此有必要对注册表进行检查。系统相关功能1系统提供注册表保护与访问行为审计功能系统可防止未授权用户添加、更改、删除注册表相关内容；系统可对用户访问注册表的操作进行审计。2对注册表项、键名、键值进行黑白名单时的检查，检查具备包括键值必须符合或者不符合；键值必须存在或者不存在。出现违规注册表项时进行客户端提示或上报服务器。229违规外联策略XX公司网络中内外网是物理隔离开的，并且不允许内网中的计算机访问INTERNET，所有私自上网的行为都属于违规行为。通过违规外联策略可以自动检测终端是否有同其它网络的连接，发现违规外联的行为及时断开其网络连接，保护内网的安全边界。终端安全系统可以检测到终端的多种外联行为，包括无线网络（GPRS、CDMA），蓝牙，红外等。另外还可以检测到内网的终端是否离开网络单独接入其它网络的行为。对于这些行为可能采取提示报警、阻断网络、提示进行安全检查等方式处理。2210终端安全运维管理22101PC服务器运行资源监控功能对于无人值守的服务器，监控其资源的使用情况显得极其重要，特别是重要进程和服务的运行是否正常。北信源内网安全管理系统提供了以下几个针对服务器的功能检测终端设备的CPU、硬盘含每个硬盘分区、内存等的资源占用情况，可自主设定阈值，以确定终端系统资源占用是否达到上限，是否应该升级；北京北信源自动化技术有限公司HTTP/WWWVRVCOMCN/PAGE9OF20重要进程异常报警和自动恢复对未响应进程和意外退出进程进行（如退出、退出并重起等）处理；基于主机方式对重要文件服务器的流量、分支网络带宽流量进行分析，防止非法入侵、滥用网络资源。当流量（含出、入或总流量）超过一定限度并持续一定时间后，进行有关信息上报，以便管理员了解到流量的异常，从而快速分析是否是网络安全事故。22102外设应用行为管理设备禁用功能控制外设的使用，如启用或禁用软驱、光驱、USB口、打印机、MODEM、串口、并口、1394火线口、红外接口、无线网卡、PCMCIA卡等。其中USB存储设备、软驱、可刻录光驱提供禁用、只读、读写三种控制状态，其他类型外设提供禁用、可用两种状态，系统能够对所有外设访问行为进行细粒度审计。对于公司网络中，只允许使用指定的网络打印机，而不允许终端随意安装打印机的情况，可以禁用终端的并口，达到终端不能使用打印机的目的。22103客户端文件备份对于访问、修改等操作频繁的文件或目录，可以采用文件备份功能，定时对指定的文件或目录进行备份，文件备份的服务器可以是任意一台能够通信的计算机。在文件被删改后，可以恢复至上一次备份的状态。22104垃圾文件自动清理协助终端用户维护（指定目录下的）临时文件、备份文件、帮助的历史文件、IE临时文件、安装临时文件、异常临时文件等各种应删除的文件。22105IP管理和设备入网管理1对IP地址使用情况进行监视和管理；网络管理员可通过此系统精确统计网络计算机入网设备，了解当前网络IP资源使用，以取代原始的数据资料记载的手段，增强了设备管理信息的实时性、准确性；2系统提供安全时间源精确定位功能，通过此系统可精确定位发生安全问题的终端设备所在地点和使用人等，以增加安全应急反应速度，简化网络管理员的工作。对已注册的客户机，在线时有操作忙/闲标志，以及空闲的时间（长时间无键盘鼠标操作标志为“闲”）。23网络接入管理北信源网络准入控制功能可以保护XX公司内部整个网络，包括可管理的（台式机、手提电脑、服务器）以及不可管理的（外部访客、合作伙伴、客户）终端。利用北信源设备接入控制功能，能够强制提升终端安全的能力，保证公司网络保护机制不被间断，配置正确无误，以及补丁拥有最新的时效性，以防御网络安全威胁。与此同时基于设备接入控制网关。还可以对于远程接入公司内部网络的计算机进行身份、唯一性及安全认证。同时可以选用北信源专用的接入认证网关，此硬件设备与系统管理中心联动，并实现防火墙、VPN、接入流量控制管理、交换机网关接入控制等四大功能。其详细功能如下1与内网管理软件联动2控制未注册终端接入网络3终端访问认证4终端网络资源接入访问控制5未授权设备访问重定向6支持关键区域接入控制模式7支持两个网络间以及办公网访问互联网接入控制模式8支持网络外终端接入内网的认证控制通过北信源设备接入控制可以满足XX公司的网络要求，将设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外；能够覆盖到公司网络的每一个角落，甚至是当使用者拿着他们的移动设备离开XX公司网络时，仍能有效的提供北信源设备接入控制的执行。北信源内网安全管理系统针对所有的网络架构工作，并且不必进行昂贵的网络架构改造。北京北信源自动化技术有限公司HTTP/WWWVRVCOMCN/PAGE11OF20231终端接入控制终端接入控制流程图客户端注册管理将客户端的硬件设备信息硬件属性（诸如硬盘、CPU、内存等）、地理位置信息（设备名称、使用人、房间号等）经过注册后存储到数据库中，管理员通过WEB控制台获取数据库中客户端信息。客户端拓扑管理系统具有终端网络拓扑扫描功能，其强大的设备认知能力实现对网络不同设备的全面搜索发现，自动发现整个网络中的终端系统的IP地址、机器名和MAC地址，允许管理者对终端系统按部门进行登记管理，形成网络基本情况数据库，自动生成网络结构拓扑图。提供了图形化管理界面，管理员在WEB控制台查看终端定位连接交换机的信息，详细列表终端连接交换机端口状况信息。客户端带入带出网络监控系统对非法接入计算机的行为进行报警，并能够自动阻断，如便携式笔记本电脑和新增设备的接入（未经允许擅自接入的设备会给网络带来病毒传播、黑客入侵等不安全因素）；监测笔记本电脑带出网络后接入其它网络等行为（此类电脑如未通过安全检查程序的检测，系统将自动阻断这类笔记本入网）。8021X认证基于端口在交换机端口对接入设备进行认证和控制，连接在该端口上的用户设备如果能通过认证就可以访问网络内的资源，否则无法访问网络内资源相当于物理上断开连接。未注册客户端ARP阻断管理独有ARP阻断技术，对于接入网络未注册客户端进行ARP阻断，禁止其联网。交换机开关定位阻断管理自动扫描网络拓扑结构，记录客户端所接入交换机位置及其端口，可以关闭交换机端口阻断设备接入网络。IP和MAC绑定管理对固定IP网络的MAC和IP地址进行绑定管理，系统探测到IP变化将进行报警同时对该客户端进行恢复原有IP配置及关机断网等处置。232基于8021X协议的交换机端口接入认证在支持8021X协议的情况下，可以使用该功能对外来设备的接入进行控制。在认证过程中通过EAPFAST进行状态确认，RADIUS根据检查后的结果为用户分配不同的VLAN。通过EAPO8021X控制。基于8021X协议的交换机端口接入认证8021X协议与LAN是无缝融合的。8021X利用了交换LAN架构的物理特性，实现了LAN端口上的设备认证。在认证过程中，LAN端口作为请求者，LAN端口则负责向认证服务器提交接入服务申请。基于端口的MACW锁定只允许信任的MAC地址向网络中发送数据。来自任何“不信任”的设备的数据流会被自动丢弃，从而确保最大限度的安全性。在8021X协议中，只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权。1客户端。安装在用户的终端上（集成在EDPAGENT里），当用户有网络访问需求时，EDPAGENT自动激活客户端程序通过认证，或由用户手动输入必要的用户名和口令通过认证。2认证系统（交换机）。在以太网系统中指认证交换机，其主要作用是完成用户认证北京北信源自动化技术有限公司HTTP/WWWVRVCOMCN/PAGE13OF20信息的上传、下达工作，并根据认证的结果打开或关闭端口。3认证服务器（RADIUS）。通过检验客户端发送来的身份标识（用户名和口令）来判别用户是否有权使用网络系统提供的网络服务，并根据认证结果向交换机发出打开或保持端口关闭的状态。233基于业务服务器的接入认证基于设备接入网关的互联网接入认证第一步、注册管理如果计算机没有安装客户端程序则由北信源接入网关控制终端访问范围，终端计算机无法获取应用服务器资源。如果试图访问应用服务器HTTP资源时。北信源接入网关会强制终端注册。第二步、安全检查终端接入网络注册后，客户端程序将对终端进行安全检查。可以设置策略对检查未通过的终端进行分发补丁、安装杀毒软件、执行必要修复等操作。安全检查通过的终端根据自己权限获取可以访问的网络资源。24档案、报警和日志管理功能241详尽的档案管理功能1系统提供完善的报表功能，能够根据按不同部门、不同操作系统提供软硬件资产、报警、状态及其他情况汇总报表，提供多种报表功能，以对客户端资产情况、网络流量进行统计。2提供资产统计报表，能根据不同部门，不同操作系统对客户端硬件、软件提供资产统计报表。3具备独有的“组态报表”查询功能，对于有关报表，能根据不同的需要进行多种不同条件组合（组合查询条件包括所属区域、单位名称、设备所在部门、设备名称、设备IP、操作系统及版本、IE版本、防范等级、运行状态、安装杀毒软件版本及厂商、CPU情况、内存情况、硬盘情况、设备使用人、设备最后使用时间等等），生成多种不同的报表格式。4报表以网页的方式呈现，提供链接可在各项查询功能中跳转。报表可以方便的调整格式，并可以EXCEL格式输出，以便打印。5管理服务器提供方便的导入、导出客户档案和管理策略功能。6对网络异常或病毒等事件或其它需要的记录，管理服务器能够按照定义好的时间周期，进行统计报表输出。7可以根据需要输出成柱形图、饼图等。具体的统计报表包括设备软件信息统计报表（部门、网段）设备硬件资源信息汇总表各区域设备注册情况统计表错误报表首次运行进程表违规软件列表违规进程列表级联上报设备注册情况统计报表级联上报设备操作系统分类报表北京北信源自动化技术有限公司HTTP/WWWVRVCOMCN/PAGE15OF20级联上报设备硬件信息统计报表网络和服务器流量报表各种报警事件表组态查询报表242日志管理功能1可以方便的管理以下日志，并生成表格用户登录日志用户操作日志用户策略日志2系统管理员可以灵活设置查询条件，条件具体包括按部门、按日期、按IP地址名称等。3系统也可定时自动备份、清除日志。4系统具