公司信息监控系统项目设计方案

公司信息监控系统 项目设计方案 一 需求分析 目前正在进行较大规模的基础建设，是一个大面积的开发。在新办公区建设一个高质量、高带宽、多服务、范围广的综合信息网络势在必行。 但是随着应用需求的进一步扩展和新技术的进步，已存在的业务需求不断增长，新业务的需求也在不断增加。 基本扩展的业务包括： 内部网全范围的入侵检测、监控系统 传统入侵检测手段是镜像端口流量，软件从镜像端口获取流量进行分析，可采用核心交换机软件模块或者第三方硬件或软件实现。端口镜像功能会消耗交换机的性能，需要配置高性能的交换机。 集中的一体化网络管理平台 统一管理网络中的服务器、交换机、路由器、防火墙，集中在一个界面下，及时了解网络流量变化，网络瓶颈所在，诊断网络故障。 在全网部署防病毒软件 目前使用瑞星防病毒解决方案，产品升级后可以更灵活方便的管理客户端。病毒特征码的升级和补丁分发需要占用一定的带宽。 在全厂部署安防监控及报警系统 主要部位部署监控探头， 办公 区周 围设立电子围栏报警系统，确保 办公 区的安全生产环境。 二 设计原则 先进性和成熟性 网络 设计既要采用先进的概念、技术和方法，又要注意 标准、协议和技术 的相对成熟。不但能反映当今的先进水平，而且具有发展潜力。 包含执行国家的现行工业规范、标准及各项技术指标。 高性能 核心交换机满足网络中心海量数据交换的要求，到中心上联的通讯链路带宽能够满足应用对网络的性能要求。 当前应用普遍采用 络模式，其 务器， 务器，邮件服务器，小型机服务器等服务器群支撑着整个应用信息服务环境。网络用户客户端应用软件，透过网络访问中心服务器，请求应用，查询数据库。网络的负载流量主要是从边缘设备到核心的数据交换，随着业务的发展，网络规模的扩展，以及应用的信息交换量增加，使得网络通常首先在核心发生通讯瓶颈现象。改善局域网的网络数据交换性能，往往是首先扩充核心交换机的交换性能，增加边缘设备到核心的数据通讯带宽，以减轻整个网络的瓶颈，使得应用软件的性能和效率得到提高。因此在设计大型局域网的原则上，首先应该考虑满足网络规模所要求的核心设备 数据交换处理能力，以及边缘设备到核心的链路带宽。 高可用性 网络设备的选择，尤其是网络核心设备，应该可以配置冗余部件，关键部件不存在单一故障点，也就是说，像交换机的电源、风扇、交换引擎、管理模块这些部件可以冗余备份，其中之任何部件的损坏，不会影响设备的正常运行，不会影响网络的连通。提供网络设备的可靠性，容错性的另一个要求是设备损坏部件更换时间，不需要停机，更换部件后不需要重新启动，也就是说部件的更换可以进行在线操作，这样可以使停机的时间降低到最小。在设计企业网的原则上提高网络的高可用性原则是至关重要的，不仅 要求设备的部件冗余，同时要求网络的链路冗余，以保证网络可以在任何时间、任何地点提供信息访问服务。 稳定性 由于本次网络是在原有基础上进行改造、升级，所以应妥善考虑与原有系统的兼容性，同时考虑旧系统向新系统迁移时的工作，要做到在尽量减少影响原有网络系统的前提下，平滑升级网络核心。 高可靠性 核心交换机所有关键部件可以实现冗余工作，可以在线更换（热插拔），故障的恢复时间在秒级间隔内完成。 企业应用先进的计算机、网络等信息技术，实现生产过程的自动化控制，提高了企业的生产、管理效率和水平。支持企业应用的基础 设施是企业的网络。它的工作状况会直接影响到企业的办公应用环境，交易、生产、开发、设计等业务环境，财务管理，部品管理等环境，信息检索、数据库查询等支持企业正常运行的必要服务设施功能。网络的可靠性要求是保障企业应用环境正常运行的首要条件。 安全性 可以有效的控制网络的访问，灵活的实施网络的安全控制策略。 网络的安全性对企事业单位网络的设计是非常重要的，合理的网络安全控制可以使应用环境中的信息资源得到有效的保护。在企业网络中，关键应用服务器、核心网络设备，只有系统管理人员才有操作、控制的权力。应用客户端只有访问共 享资源的权限，网络应该能够阻止任何的非法操作。在企业网络设备上应该可以进行基于协议、基于 址、集于 址的包过滤控制功能。在大型企业网络的设计上，划分虚拟子网，一方面可以有效的隔离子网内的大量广播，另一方面隔离网络子网间的通讯，控制了资源的访问权限，提高了网络的安全性。在设计网络的原则上必须强调网络安全控制能力，使网络可以任意连接，又可以从第二层、第三层控制网络的访问。 可管理性 网络中的任何设备均可以通过网络管理平台进行控制，网络的设备状态，故障报警等都可以通过网管平台进行监控，通过网络管理平台简 化管理工作，提高网络管理的效率。 在设计企业网络时，选择先进的网络管理软件是必不可少的。网络管理软件应用于网络的设备配置，网络拓扑结构表示，网络设备的状态显示，网络设备的故障事件报警，网络流量统计分析以及计费等。网管软件的应用可以提高网络管理的效率，减轻网络管理人员的负担。网络管理的目标是实现零管理，基于策略的管理方式，网络管理是通过制定统一的策略，由管理策略服务器进行全局控制的。基于 网管界面是网管软件的发展趋势，灵活的操作方式简化了管理人员的工作。在设计网络的设备选择上，要求网络设备支持标准的网络 管理协议时支持 I 协议，核心设备要求支持 程分析端口）协议，实施充分的网络管理功能。在设计企业网络的原则上应该要求设备的可管理性，同时先进的网管软件可以支持网络维护、监控、配置等功能。 可扩展性 核心交换机应该具备灵活的端口扩充能力，满足网络规模的扩充，同时提高性能，满足更高性能的要求。 在设计企业网络方案时，首先是满足现有规模的网络用户的需求，同时考虑到业务发展、规模的扩大，设计的网络应具有用户端口灵活的扩充能力。核心设备是整个网络的枢纽，用户端口数的扩充，需要增 加配线间边缘工作组的设备，增加边缘设备的同时，要求连接核心骨干设备的端口数能相应增加，因此核心设备应该能够通过增加模块或增加核心交换机来灵活地增加端口数。核心设备的机箱设计应该具备强大的背板带宽，足够多的负载插槽容量。对于交换机来说，核心交换引擎应该可以满足最大配置下，无阻塞的进行端口数据包交换，模块的扩充不影响交换性能。 开放性和投资保护 网络设备应采用开放技术、支持标准协议，从而保护用户的投资，提高设备互操作性。企业网络的设备要求采用主流技术、开放的标准协议，具有良好的互操作性， 能够支持同一厂家的不同系列产品，不同厂家的产品之间的无缝相互连接与通讯。在设计企业网络的原则上，发挥不同厂商产品的专用先进技术同时，必须强调考察设备的技术、协议的标准性，减少设备互连的问题以及网络维护的费用，使用户的投资得到有效保护。 三 网络 方案设计 计目标 在此我们建议核心层设备之间采用支持千兆以太网的核心交换设备，核心层与汇聚层之间使用千兆以太网链路、汇聚层和接入层设备之间也采用千兆以太网链路。整网考虑采用 术实现业务隔离，并作相应访问控制。对安全性要求较高的服务器集群配置高性能防火墙，设立虚拟安全隔离区，保障服务器集群的安全。整网进行有效的 化策略处理。所采用的设备以及网络构架都具有良好可扩展性，可以根据后续发展的需求，后期在不改变现有组网方案的情况下，通过增加相关设备，即可提供无线， 话，电视会议等业务。 心及汇聚交换机 网络数据中心位于四 楼，接入了包括 务器，内部 务器，网管服务器，数据库服务器等。大楼内还分布了众多的业务部门，部门也有自己独立的服务器。根据前面我司的网络 设计思路与应用需求分析，我们规划在业务网核心层，用 1 台 思科 公司的 兆位核心路由交换机。 500 系列为企业 局域网 接入、小型骨干网、 布点和集成式 分支机构提供先进的高性能解决方案。其优点包括： 性能： 500 提供的高级交换解决方案不但能随着端口的增加扩充带宽，还采用了业内领先的应用专用集成电路（ 术，能够提供线速 0/100 或千兆交换能力。由于 换提供模块化管理引擎灵活性和全面的线路卡兼容 性，因而能将性能扩展到 320 250用 换也可以扩展到 320 250换性能与路由项或支持的高级 务的数量无关。 端口密度： 500 系列能够满足机箱中 388 个以太网端口的网络组件连接要求。 500 系列支持从网络边缘直接到桌面计算机的业内密度最高的 10/100/1000 自适应、自协商千兆以太网。万兆以太网上行链路端口支持高密度千兆以太网到 桌面部署和交换机到交换机应用。 500 系列的可热插拔、易于使用的模块化交换解决方案不但能降低复杂性，还能容易地支持当今网络中不断变化的桌面环境。 以太网供电（ 500 系列为 10/100 或 10/100/1000 端口支持 准，以帮助客户支持电话、无线基站、视频摄像机及其他设备。利用 需要提供新插座和昂贵的电路就能将设备放置在适合的位置。不仅如此， 允许企业专门为关键设备配备一台电源系统，以便整个系 统都能得到不间断电源（ 份的支持。 管理引擎冗余性： 为实现集成式永续性， 507 4510箱支持 1+1 管理引擎冗余性。冗余管理引擎有助于缩短计划内和计划外网络停机时间，改善业务连续性，并提高员工生产率。带状态化切换的不间断转发（ 够在管理引擎切换过程中提供连续包转发。 够显著提高 境中的网络可靠性和可用性。完全图像 新线路卡、新电源、新特性或缺陷修复提供无影响的快速软件升级，而且不会影响路由过程，也不会 使网络不稳定。即使 像正在升级或降级， 音也不会掉线。 音（ 关键业务应用非常重要。 络 接入层 接入交换机采用 思科 24 口或者 48 口交换机，根据每处的数据点需求配置足够相应的端口数。 960 系列智能以太网交换机是一个全新的固定配置、独立交换机系列，为入门级大型企业、中端市场和分支机构网络提供了桌面 10/100 快速以太网和 10/100/1000 千兆以太网连接，支持增强局域网服务。 960 ，具备 48 个 10/100M 自适应以太网电口和 2 个 槽，可灵活配置千兆光纤接口。 由于 960 具备 32交换背板和最大 传输速率，所以在它把终端工作站和用户连接到公司的时可以在各个端口提供线速连接性能。 960 交换机支持性能增强特性，如 速以太通道）和 兆位以太通 道）技术，可在 换机、路由器和服务器之间提供最大 4 网路由器 路由器提供 接， 道等应用，采用 811 路由器。支持同步异步串口、 置 口、 持 持 1 接口，支持动态路由协议： 持链路层协议： 中继、 ，支持组播，提供 量整形，支持 四 防入侵安全设计方案 求分析 伴随着网络的高速发展，安全问题已成为用户组建网络环境最为关心的因素。特别是对企业用户而言，随着企业网络应用的深入，业务范围的拓展，必定会对网络安全有更高的要求。特别在传统的服务器端安装防病毒软件、进行相关安全设置调整，已经无法满足用户对网络安全的需求时，硬件防火墙越来越多的被企业用户所关注。 07 年网络呈现出病毒猖獗、黑客活跃的局面，企业用户信息甚至财产都受到来自网络的威胁，大多数企业已经认识到只有保证网络安全，才能更好的提高工作效率，带来更多的收益。对于企业来说，病毒、黑客等已不再是公司信息安全最大的威胁。一项网络安全专项调查显示，超过 85%的安全威胁来自公司内部，其中有 16%来自内部未授权的存取， 14%来自专利信息被窃取， 12%来自内部人员的财务欺骗，而只有 5%是来自黑客的攻击。那么企业应该采取那种方式来保护自己的信息安呢？ 火墙 设计 网神 600 防火墙 F 系列基于多核 处理器架构和自主开发的新一代多核并行操作系统 整实现了状态检测包过滤 /应用代理防火墙、 击、深度内容检测、入侵检测防护、带宽管理和流量控制、病毒防御等综合安全网关的功能。 能够满足中小型企业 /单位和大型企业 /单位分支机构日益增长的的安全需求，为众多的用户提供有特色的安全应用。网御神州 F 系列防火墙在政府、军队、公安、税务、教育、电力、保险、金融、交通等各个单位和行业以及分支机构的网络有着广泛的应用。 高性能与高安全的多核架构 网神 火墙基于多核硬件架构与新一代多核并行安全操作系统 个核并行处理，分担数据流量，极大的提升系统性能。多核并行操作系统可实现驾驭更多处理器核、减少串行比例、降低系统开销。保证同时开启防火墙、 制等功能系统依然运行平稳。 强大的网络自适应设计 网神 F 系列防火墙适应于各种复杂网络拓扑，包括透明桥接、路由以及桥和路由完全自适应识别的混合模式。同时满足支持多（ 6）路由负载均衡；支持基于应用（ 链路质量的链路探测；支持多（ 3） 持多纯透明子桥与接口联动；支持基于路由的 道及双 道备份；生成树和每 成树协议（ 和虚拟路由冗余协议（ 提供全面可靠的二层链路备份和三层路由备份。 深度内容安全检测 网神 F 系列防火墙多核间相互分工协作，一部分核进行高速数据转发，并对常见 13 种应用协议的预处理；另外一部分核实现快速重组数据包还原内容，进行深度安全检测。从而可以实现大流量下的深度内容检测，完成 M 协议识别与限制、入侵防护、病毒防护等功能。 贴心的安全助手 网神 F 系列防火墙系统集成强大的安全助手，能够根据需要对内网主机、服务、端口、系统及版本进行扫描，实时获取内网状况，并可以根据扫描结构轻松设置对象及安全策略，大大降低了配置、维护的复杂度。 网御神州 600数细节 基本规格 防火墙类型 企业级防火墙 全处理器 网络吞吐量 800发连接数 1200000 持 支持 主要功能 安全防御功能 , 管理审计能力 , 网络适应能力 , 高可用性 网络 网络管理 日志管理 , 防火墙集中管理系统 , 带宽管理 端口类型 10/100 可扩到 8 个 ,1U 机箱 安全性 人数限制 无用户数限制 入侵检测 全标准 级 端口参数 控制端口 他端口 10/100 可扩到 8 个 , 1U 机箱 电气规格 电源电压 100V250V 交流 环境参数 工作温度 0 - 45 工作湿度 0% - 95% 存储温度 80 存储湿度 0% - 95% 五 网络 安全方案设计 网安全设计 1 产品选型 经过我们对 新区 网络系统的深入了解和调研，我们认为北信源桌面安全管理系统（以下简称 完全适合单位内部网客户端的管理，提高运行维护效率的产品。其主要内容是为实现单位内部网计算机客户端资源进行有效管理，对客户端行为进行全面监控，提高病毒防治的能力，减少客户端行为对网络的破坏，防止涉密信息泄漏。该项目将实现单位内网资源统一监控、资产管理、策略分发、安全维护、漏洞修复、违规发现、数据查寻、统计报表，全面提高单位内网安全，方便管理维护。 统部署构架 单位内部网络终端数目达到 300 点，且无下级单位连接，因此根 据实际情况只需安装一个管理器即可对终端进行统一监控和管理。系统需要在内网部署一台内网安全管理服务器，由于系统管理采用 B/S 构架，管理员可在网络的任何终端或者自定义的 围内终端通过登录内网管理服务器的 理页面进行管理和各种信息查询；所有的网络终端需要安装客户端程序以对其进行监控和管理；系统同时需要部署一台补丁下载服务器，用来更新补丁信息 。 网络通过内网安全管理服务器对全网进行网络客户端的各种策略和配置补丁以及文件的下发，流量监控、违规联网监控、入网设备联网状况监控、终端软硬件管理、系统文件分发、消息 分发等工作，并对客户端进行各种行为和状态的监控。网络终端上的客户端程序可将各种网络终端的状态信息、日志信息和报警信息上报，可通过管理节点对异常计算机进行断网等处理，也可通过系统远程对客户端进行故障诊断和维护。如果实际情况需要，系统可以进行无限制的多级级联部署，各级网络独立安装相应的管理软件。下级管理节点统一汇总本级的报警信息和统计信息，统一上报管理节点；上级管理节点的管理策略、命令、各种补丁或病毒库升级文件统一下发下级管理节点。系统将来可根据实际需要在客户端数量、管理层次和功能扩展上进行无缝平滑扩展。 户端快速部署安装技术 系统在部署时采用先进的网页自动分发注册技术，网络中的客户端访问本地的 站进行自动注册安装。（此项技术在全国性广域网络实施中使用，并取得极好效果，如在公安部项目实施中，大约在两个月的时间内完成约数十万台计算机的注册）。 在未注册的客户端访问本地的 站时，将自动弹出相应的提示信息，提醒用户进行注册，用户可以点击相应的信息自动填写相关的信息进行注册，客户端进行注册以后再访问将不再出现注册提示。 客户端下载内网安全系统及注册完成后运行该系统所占用的客户端资源均极小，注册后 客户端程序将在系统中实时运行，不会对系统产生任何影响。如需要，系统可提供专门的实施进度网站系统，实施过程中能实时的了解全部工程进度情况。 统功能设计主要特点 1. 统一控制、集中管理： 系统把所有和终端安全控制和运行维护有关的控制功能分类地集中在一个管理中心完成，所有的配置均在此中心完成，以方便用户的使用。 2. 配置方法简单方便： 具体控制时采用“策略制定对象下发”的方式，管理控制一目了然，十分简捷方便。 3. 策略设置精细： 策略设计时充分考虑到了多级级联的策略统一问题，策略可分为仅在本级管理区域执行，仅在下一级管理区域执行，所有管理区域均执行等，并可任意组合。上级根据需要可自主锁定下级的管理策略。 系统提供十分精细的策略对象分配方案。可以按照创建区域、 围、操作系统、搜索设备、自定义组或所有设备进行策略对象分配，同一策略可以对应多个分配对象，用户可以十分方便的使用。 策略设计时考虑到了时效性和有效时段，按照各种时段和起止时间点设定是否有效，以方便灵活管理。 4. 权限分配灵活： 系统可以精细的划分用户的权限，可以规定每个用户管理的区域、以及可以使用的策略种类和控制菜单种类；各项策略和功能可根据需求按不同用户登录进行屏蔽或开放，可以在最大程度上方便管理。 5. 兼容性和扩展性强： 系统策略采用 式进行描述， 于脚本语言， 式的策略描述满足了功能的快速扩展性和版本兼容性，使得用户提出的新需求在短期内即可完成。 系统在设计时充分考虑了将来可能进行的系统部署扩展，部署范围需要扩展时，不需做任何变动即可平滑的向外扩展。 统自身防护的高安全性 全 性设计要求 要求管理系统服务器端保证使用的安全性，保证其收到恶意修改 址的方式攻击时的仍可正常工作，保证其在遭受 击时仍可正常工作。 要求管理系统客户端不会被用户手动卸载或意外停止，仅能通过特殊工具卸载。要求客户端出现异常（如停止工作）时管理端可自动获知情况并可进行相应的处理。 务器安全设计 1. 服务器系统具备保护服务器的主机数据包过滤功能。 2. 网络中出现恶意修改成与管理服务器相同信息（如相同的 址、相同的 址等）的机器时，出现 址或 址冲突等现象时，管理服务器将不会 被阻断出网（即不会出现地址冲突的现象），只有发起恶意攻击的设备会被自动阻断，不会影响管理服务器的正常管理。 户端注册程序安全设计 1. 系统具备很强的自我保护功能，在正常模式和安全模式下均提供主机安全代理自身防护功能。并可防止用户停止代理进程、破坏代理运行目录和相关文件、停止代理相关服务。 2. 如需要，主机安全代理的程序和进程可做到用户不可见。 3. 客户机端软件基本部分在客户机上强制运行，运行时在客户机上没有界面，系统有专门的保护程序，通过系统的任务管理器不能删除该软件进程。 4. 客户端注册程序进程具有自我保护程序，在被用户停止时可自动启动。 户端程序卸载 若网管要求强制卸载客端时，系统对主机安全代理提供特定的卸载程序，用户只能通过运行卸载程序停用删除主机安全代理或通过管理平台远程卸载。 户端与服务器通讯的安全设计 1服务器端使用 88 端口，客户端使用 口，同时客户端数据上报和服务器端指令、策略下发采用加密算法，防止他人旁路嗅探涉密信息。 2客户端和服务器端相互通信使用双向认证机制，防止已安装同类客户端的非本网络计算机非法进入网络，同时也防止模拟的假客户端和服务器进行通信。 统自身管理功能 1. 策略集中管理功能：系统把所有和终端安全控制和运行维护有关的控制功能分类地集中在一个管理中心完成，所有的配置均在此中心完成，以方便用户的使用。 2. 级联管理功能：可进行多级级联管理，支持多级管理方式，上级管理区域可进行统一的状态和报警信息，各级子管理节点能够与根管理节点进行策略同步，各级管理员管理辖区内的有关事件。 3. 策略级联和分发功能，可根 据情况需要将策略下发至本区域、下一级区域和所有区域。 4. 客户端分组（域）管理功能：按照多种方式（如按操作系统、已划定区域、按 域或用户自定义、所有设备等）灵活的对客户端方便的进行分组（域）管理，可对一个分组（域）内的被管理对象实施统一管理。 5. 策略管理功能：可以灵活的按照用户需要制订策略触发条件：可根据时间段和时间点定制策略使用或禁止使用的触发条件。并可根据创建区域、自定义组、操作系统、 围和按照条件搜索的设备进行策略分组分发管理。 6. 局部基于域（分组）拓扑图的动态可视化界面管理功能，拓扑图可自动生成，包 含所有安全域中的相关资源；系统资源的更改可自动的动态识别；可以通过拓扑图对被管理对象进行各种安全操作； 7. 策略可按照时间进行，可按照日期进行，可规定策略生效或失效的时间段，可设定策略的存活时间段。 8. 系统可以精细的划分用户的权限，可以规定每个用户管理的区域、可以使用的策略种类和控制菜单种类；各项策略和功能可根据需求按不同登录用户进行屏蔽或开放。系统提供三权（系统部署员、系统管理员和系统审计员）分立模式，部署员、管理员的所有操作都有对应的日志记录，供系统审计员审计。 1) 系统能够对系统管理员进行分级，分权限管理，对于 级别和权限的分配可没有任何限制的进行。可对管理员定义不同的管理范围和操作，本区域的管理员只能看到自己所管理区域内的设备情况，并对区域内的相关设备进行管理操作。 2) 系统在设定权限时可根据工作需要，规定该用户所能操作的策略、管理的区域及查看的信息。设定权限时还可以根据工作需要设定用户是否是只读用户（只能看数据，不能改数据）还是有读写权限。 a) 用户分为超级用户、普通用户和审计用户。 b) 由超级用户开设并分配用户及权限。 3) 支持二级直至多级管理模式，必要时可在本区域内自行划分增加下级管理区域，并设定下级管理区域的管理员以及他 的相应权限（下级区域管理员只管理本下级区域）。下级区域的级别和划分可自主增加，增加的级数没有限制。无需增加新的软、硬设备。 9. 支持全网统一升级功能。 10. 转发代理功能：为在软件分发（或文件分发）的过程，尽量减少消耗网络资源，保证客户端可从其他客户端下载分发软件。 11. 系统可提供组件开发规范和标准化的接口，供二次开发使用，具体包括数库、开发说明手册、部分程序实例等。 12. 系统提供组件动态管理功能，依照标准化接口规范，终端安全各相关功能模块可以以组件的方式在系统上加载、运行，接受系统的统一管理；所有产生的运行日志写入统一数据库中供系统查询、分析、综合。 统功能介绍 户端安全管理功能 丁 自动分发和 管理功能 补丁管理主要功能 1. 补丁增量导入功能：其内部补丁升级服务器中的补丁必须从外部获得，因此，要求从可以连接 专用补丁下载服务器下载补丁。但十分巨大的补丁库使得每次补丁导入的工作烦琐，因此北信源针对此类物理隔离的内 网，使用增量式补丁自动分离技术，在外网分离出已安装、未安装补丁，分类导入，即仅对内网的补丁进行“增量式”的升级，减少拷贝工作量。互联网补丁自动实时探测，支持补丁导出前病毒过滤。 2. 补丁分析功能：自动建立补丁库，支持补丁库信息查询。针对下载的补丁进行归类存放，按照不同操作系统、补丁编号、补丁发布时间、补丁风险等级、补丁公告等进行归类，帮助管理人员快速识别补丁。 3. 补丁策略制订（分发）功能：支持用户自定义补丁策略自由配置分发，发送至客户端后统一按策略执行应用。 补丁策略制定：具体可支持定时、定周期、分类、分部门、分 范围、客户机状态和用户自定义等策略。 补丁策略分发：具备详尽的补丁分发策略，补丁可以定时、定周期、分类、分范围、分部门、客户机状态和用户自定义等进行分发。 补丁文件任务制定：针对特定的一个补丁或多个补丁，对指定计算机或者计算机网络进行补丁自动分发安装。 4. 补丁文件自动分发功能：在指定时间、指定网络范围内以不同方式（如推、拉）分发补丁，或者根据脚本策略统一控制客户端下载补丁。当系统监测到有客户端未打补丁时，可对漏打补丁客户端进行推送补丁。同时，通过推送安装，也可以为 统不支持的客户端安装补丁及应用软件（补 丁）。 5. 补丁分发流量控制功能：为了适应将来可能的系统扩展，系统特别设计了利用多种方式进行下载流量控制： 系统能够根据网络的负载情况自动调整分发补丁时所占的网络带宽和并发连接数。 根据手动设置允许的带宽或服务器并发连接数及每个连接所允许使用的带宽。 系统同时支持客户端转发代理补丁下载以减少网络带宽流量，提高效率。 下级级联同步下载补丁的连接数和下载流量的大小进行自动的判别或者根据需要进行手动调整。客户端补丁检测：支持客户端补丁多重探测周期配置。定时检测注册客户端系统补丁安装状况，同补丁信息库比较后，显示客户端 补丁安装状况（客户端访问指定网页自动获得漏打补丁信息，物理隔离网络中自动生成补丁分发网站）。 6. 补丁安全性测试：测试是补丁安装前必须进行的，系统支持网管测试组定义进行自动补丁安全性测试，即首先选定一定区域的计算机作为测试计算机，首先对这些计算机进行新补丁的安装测试，以便网管可选择有效对象，进行非模拟性自动测试。补丁自动测试可提高打补丁的成功性、安全性、可靠性，降低网管工作量。 7. 报表输出查询功能：服务器端补丁查询模块基于补丁名称等关键字对区域网络范围内的计算机终端进行补丁安装状况查询，通过相应的查询条件，能快速的获知所查询补丁的安装情况并生成报表，以保证补丁及时的安装。 8. 客户端网页查询补丁安装信息功能：系统客户端的计算机可以通过访问内网的特定网页，对本机所缺少的计算机补丁进行查询，查询结果在网页上进行显示，计算机用户根据需要进行安装。 9. 新（长时间关机）客户端入网先打补丁功能：系统可保证此新（常时间关机）的客户端刚接入网络时，不与网络中除补丁服务器外其它计算机的通讯，只有在上网后首先进行补丁安装工作；只有在补丁安装完成后，才开放其与网内其它计算机的通讯，防止有漏洞的计算机在网上出现。 特别说明 1. 客户端统一安全管理系统具有良好的兼容性，支持主流操作系统，如000 P 。 2. 因为补丁索引文件为自主开发，因此补丁索引的结构具备可扩 展和可编辑性，索引的结构和定义可以支持除了支持微软补丁外，还可以支持非微软系统补丁、各种数据库补丁，甚至可以支持各种用户应用程序的更新补丁。 3. 系统拥有专门的外网补丁下载服务器，能根据索引自动下载新增的计算机补丁，补丁校验功能对所下载的补丁进行校验，保证计算机补丁的可靠性、完整性、安全性。 4. 补丁在导入时并具有病毒检测功能，保证导入到补丁库中的补丁不被病毒感染。 5. 可定期进行同步校验，也可自主设定同步校验周期和时间。在有新补丁导入时，也可以自动触发与下级服务器间的同步操作。所有的同步过程均可自动完成，上级服务器可 以了解下级服务器补丁库是否同步成功。 络隔离度保障功能 目前内网采用了专门的物理隔离手段、安全网段划分、安全防护设备（如防火墙、入侵检测等）等方式以保证自身的网络安全，但是移动设备（笔记本电脑等）和新增设备未经过安全过滤和检查，违规接入内部网络；以及内部网络用户通过调制解调器、双网卡、无线网卡等网络设备进行在线违规拨号上网、违规离线上网等行为的时有发生，这些都使得以上那些网络安全技术无法发挥自身的力量对边界进行保护；因此作为一个安全的网络系统，必须杜绝这种现象的产生。除了相应的管理制度以 外，边界完整性检查类产品正是其技术保障，它可以发现本应该被隔离的内部主机建立其他的网络通道的情况，以技术手段保障网络内网保障隔离度的有效性。 网络隔离度不彻底主要可能造成以下的危害： 1. 病毒攻击，甚至可能导致网络瘫痪； 2. 黑客攻击，影响网络工作； 3. 导致内部机密信息泄漏。 造成隔离度不够的原因具体又可分为以下几点： 1. 网络内部电脑设备私自通过 者无线网卡等手段，未经过安全代理，违规接入外网； 2. 下级网络私自开通出口访问 3. 非内部网络计算机未经允许，通过有线或无线网络的方式，违规接入内部网络； 4. 便携式 出内部网络后，未经过安全检测（如病毒检测、弱口令检测），违规接入公司内部网络。 北信源是国内最先研究 C/S 模式的网络隔离度保障安全产品的厂商，其内网安全管理系统是最成熟和最强大的网络隔离度保障系统，用于保障网络的专网专用，它可以： 1. 监控移动设备（笔记本电脑等）和新增设备未经过安全过滤和检查，违规接入内部网络；（这里的安全检查主要指病毒检查和弱口令检查） 2. 监测内网计算机绕过防火墙等设备，违规接入网络的行为； 3. 监控物理隔离的网络内部设备违规接入 行为； 4. 监控违反规定将专网专用的计算 机带出网络进入到其他网络的行为； 5. 提供精确的 址绑定功能 ,可以自动恢复被修改的 址。 管可统一配置的主机防火墙 蠕虫病毒均是通过一定的端口进行传播和发包，如果网管可以统一控制网络中计算机的端口，关闭病毒使用的端口，就可以有效阻止这些病毒的传播和破坏。 系统具备可由网管根据需要统一配置的客户端主机防火墙，可按照策略控制客户端的特定端口的连接，包括如禁用（开启）指定的端口， 禁止 （出），设定 域访问控制等。 毒引入点确定功能 由于现有的杀毒软件只能了解哪些网络客户端感染病毒，并不能获知哪些网络中的客户端为网络中引入了病毒。而对于 539 所网络，由于网络复杂，在网络出现病毒、蠕虫等安全问题后，难以确定和查找病毒引入点，也就更难以实时、快速、准确的对其进行封堵和事后处理。 内网安全管理系统采用独家技术，在网络出现病毒、蠕虫攻击等安全问题时，对安全事件源的实时、快速、精确定位、并可进行远程阻断隔离操作。在大规模病毒（安全）事件发生后，帮助网管确定病毒或黑客事件源头，以做到事后分析、责任查处和加强安全预警的问题。 虫行为和 大量并发下载行为报警处理 蠕虫病毒大量占用网络带宽，可能造成网络阻塞，对网络造成严重影响。目前相当一部分网络事故都是蠕虫病毒造成的，如何对付蠕虫病毒，特别是未知的蠕虫病毒是经常困扰网络管理人员的一个重要问题。 蠕虫病毒在网络上进行扫描，而扫描的主要特征是对外发包数目和系统接收数据包的数目严重失衡，这也是扫描行为的一个主要的特征。同时，发包行为也会占用大量带宽，内网安全管理系统通过分析发包行为和带宽占用情况，可发现蠕虫病毒行为，并对其进行报警和控制。 迅雷下载行为在很多情况下会严重占用网络带宽，由于现在市面上 常见的采用 术进行下载的软件众多，而且还在迅速增加，因此通过安装软件的监视和进程监视难以对其进行控制。因此需要针对 载的特征，对其进行控制。 主要功能： 1. 流量采样阈值设定：用户自主设定采样阈值，当流量（含出、入或总流量）超过一定限度并持续一定时间后，进行有关信息上报，防止上报数据过多给网络带来负担。 2. 上报的当前流量进行汇总，对当前的流量进行实时排序，以便网络管理人员进行快速分析是否是网络安全事故。 3. 对网络客户端的历史流量进行统计和排序，并可生成报表。 4. 对并发连接数设定阈值并进行采样。 5. 对网络扫描的可疑行为进行阈值设定和报警。 6. 对客户端大量发包的可疑行为进行阈值设定和报警。 7. 对具备可疑行为的客户端进行报警上报、自动阻断、客户端提示等管理。 8. 设定网络客户端流量上限阈值，对超过的进行报警上报、自动阻断、客户端提示等管理。 户端流量分析和排序功能 标准网管软件获得的是路由器和交换机的接口流量，一般为网络主干或支干流量，在网络事件产生时，网管人员最关心的应是具体终端的流量和排序。 系统具备基于主机方式对网络中客户端流量、分支网络带宽流量进行分析，防止非法入侵、滥用网络资源。可由网络 管理人员设定流量的阈值参数，当流量（含出、入或总流量）超过一定限度并持续一定时间后，进行有关信息上报，以便网管了解客户端异常流量，从而快速分析是否是网络安全事故。 正常终端阻止入网功能 对于带有威胁的病毒的电脑和一些行为严重不正常（如大量发数据包，阻塞网络等）的电脑，目前的主要手段是通过交换机进行阻断，具体可分为手工阻断（拔网头）和利用可管理交换机阻断。这样的方法存在一定的不便（需要具体查找需要阻断的电脑及其端口）和风险（可能阻断错误造成网络正常计算机无法入网）。此外，利用 制可管理交换机，通过命令切断端口的方法，对非可管理交换机和 可行，而当前网络中有许多单位采用此种非可管理设备。综合分析，传统的交换机阻断方法主要有以下四个问题： 1. 对非可管理交换机实现麻烦； 2. 对可管理交换机 使用自动阻断存在一定风险； 3. 此种方法需要可控交换机的密码； 4. 难以精确定位安全事件的发生点。 内网安全管理系统的非正常终端软阻断功能 内网安全管理系统还可通过软件进行软阻断的方法对危险的病毒源进行阻断。此阻断技术利用了分布式技术，可跨网段，跨 透防火墙，达到与进行交换机操作同一的阻断效果。用该系统进行阻断有风险小，反应速度快的优点；同时，网管可在服务器端精确定位异常终端，并通过调度客户端的（在同一网段内的）注册探头对其阻断。通过软件手段对非正常终端进行阻断可达到与交换机阻断相同的效果，其优点如下： 内网安全管理系统所采用的软阻断方式还可以视需要与防火墙、交换机进行联动，以达到更好的效果。 1. 反应速度快，可以迅速精确的定位客户端，不用查找其端口等相关信息； 2. 风险小，每次只阻断特定的一台终端； 3. 方便快捷。 户端防病毒软件统一管理功能 对于大型网络，网络客户端由于用户使用水平的差别，会出现用户卸载甚至退出统一安装的防病毒软件的情况，也会出现有个别用户被遗漏，未安装防病毒软件的情况。同样也会出现个别客户胡乱安装非可靠软件，甚至黑客扫描软件的情况。这些均只有依靠技术手段才可以解 决。 可统一监控网络内的防病毒软件（国内主流厂商的均可）安装情况和使用状态，了解网络中的病毒软件安装状况，必要时可通过此系统强制为客户端安装防病毒程序，如果需要，此系统也可监控终端软件的安装情况，并进行相应的管理（如安装软件，强行升级、禁止使用特定软件，删除软件等）。 册表检查功能 所有安全策略都是基于注册表的。通过改变注册表的有关配置，可以在指定方面很大程度上增强客户端的安全性。同时，木马和病毒的开机自动启动一般也是通过改变注册表项，启动时自动加载实现的。因此有必要对注册表进行检查。 系统相关功能 1. 系统提供注册表保护与访问行为审计功能。 系统可防止未授权用户添加、更改、删除注册表相关内容； 系统可对用户访问注册表的操作进行审计。 2. 对注册表项、键名、键值进行检查，检查具备包括： 键值 必须 符合 ； 键值 必须不 符合 ； 键值 必须存在； 键值 必须不存在； 3. 出现违规注册表项时进行客户端提示或上报。 户权限变化监控功能 网络终端的权限一般不会被用户检查，正常的客户端用户权限极少改变，但是很多病毒和黑客的攻击很多是利用计算机上权限的变化实现的，计算机上权限的变化造成的危害往往是致命的，因此十分有必要对终端权限的变化进行监控，以告知终端用户和网络管理人员。 系统相关功能： 1. 当系统用户 系统权限发生改变时 ，进行上报和客户端提示； 2. 当系统用户 系统 组 权限发生改变时 ，进行上报和客户端提示； 3. 当系统用户增加时，进行上报和客户端提示； 4. 当系统用户减少时，进行上报和客户端提示； 5. 当系统用户组增加时，进行上报和客户端提示； 6. 当系统用户组减少时， 进行上报和客户端提示； 口令检查功能 目前很多病毒已经可以“猜”出用户机的口令，如果计算机使用弱口令，病毒将会通过这些弱口令获得计算机的控制权，并进行传播。这类病毒的传播行为靠杀毒软件或者补丁加固均无法进行控制。 系统可以检查开机密码是否是弱口令，以保障系统不因为弱口令被病毒和黑客攻击。 密信息检查 1. 监控设备内的文件内是否有违规的涉密文件或涉密文件内容。 2. 检查可根据制定的盘符或目录进行。 3. 检查可根据多个不同的关键字组合设定。 4. 通过 检查访问某一特定网络的历史信息，如 存， 息，收藏夹等 ，检查外联设备访问的网站信息。通过 检查访问某一特定网络的历史信息，如 存， 息，收藏夹等 ，检查外联设备访问的网站信息，如是否访问违规或违法网站等。 全自身防护功能 1. 系统具备很强的自我保护功能，在正常模式和安全模式下均提供主机安全代理自身防护功能。防止用户停止代理进程、破坏代理运行目录和相关文件、停止代理相关服务； 2. 如需要，主机安全代理的程序和进程可做到用户不可见； 3. 主机安全代理进程具有自我保护程序，在被用 户停止时可自动启动； 4. 系统具备监控程序，可获知运行不正常或被用户（通过重新安装系统等手段）强行卸载主机安全代理的终端，并进行如警告、阻断等处理； 5. 系统对主机安全代理提供特定的卸载程序，用户只能通过运行卸载程序停用删除主机安全代理。 北信源根据多年为国家机关、大型企业网络安全服务的实践经验，研发的内网安全管理系统为网络系统建设一个完整的客户端防护体系，从外部对公司的网络边界的完整性进行有效监控（即网络隔离度监控），从内部通过补丁管理，防病毒软件管理，入网设备联网状况管理，软件安装状况管理，客户硬件状况管理等 手段，完成对网络客户端的全面监控和管理，网络建设一个完善的客户端防护体系，解决网络客户端安全管理的问题。 户端设备维护管理功能 件资源管理功能 对于大型客户端，可能会出现客户端用户随意拆卸网络终端硬件的现象，这会给网络终端的管理带来混乱，甚至可能造成公司内部网络硬件设备资产流失。 内网安全管理系统可自动探测终端硬件情况：具体包括客户端计算机名， 存大小、硬盘品牌及大小、网卡型号及速度 、 大小、设备编号等。所有数据上报至数据中心，自动生成报表信息存入相关数据库， 并可对其变化报警。 件设备禁用功能 1. 硬件设备禁用功能： 控制外设的使用，