安全生产_某公司内网安全管理系统解决方案

北信源内网终端安全管理系统北信源内网终端安全管理系统 解决方案解决方案 北京北信源软件股份有限公司北京北信源软件股份有限公司 2 目目 录录 1.1.前言前言3 1.1.概述3 1.2.应对策略4 2.2.终端安全防护理念终端安全防护理念.5 2.1.安全理念5 2.2.安全体系6 3.3.终端安全管理解决方案终端安全管理解决方案 .7 3.1.终端安全管理建设目标7 3.2.终端安全管理方案设计原则7 3.3.终端安全管理方案设计思路8 3.4.终端安全管理解决方案实现10 3.4.1.网络接入管理设计实现10 3.4.1.1.网络接入管理概述10 3.4.1.2.网络接入管理方案及思路10 3.4.2.补丁及软件自动分发管理设计实现15 3.4.2.1.补丁及软件自动分发管理概述15 3.4.2.2.补丁及软件自动分发管理方案及思路15 3.4.3.移动存储介质管理设计实现19 3.4.3.1.移动存储介质管理概述19 3.4.3.2.移动存储介质管理方案及思路20 3.4.4.桌面终端管理设计实现23 3.4.4.1.桌面终端管理概述23 3.4.4.2.桌面终端管理方案及思路24 3.4.5.终端安全审计设计实现36 3.4.5.1.终端安全审计概述36 3.4.5.2.终端安全审计方案及思路36 4.4.方案总结方案总结.42 内网安全管理系统设计方案 3 1.1. 前言前言 1.1. 概述概述 随着信息化的飞速发展，业务和应用逐渐完全依赖于计算机网络和计算机 终端。为进一步提高单位内部的安全管理与技术控制水平，必须建立一套完整 的终端安全管理体系，提高终端的安全管理水平。 由于单位内部缺乏管理手段，导致网络管理人员对终端管理的难度很大， 难以发现有问题的电脑，从而计算机感染病毒，计算机被安装木马，部分员工 使用非法软件，非法连接互联网等情况时有发生，无法对这些电脑进行定位， 这些问题一旦发生，往往故障排查的时间非常长。如果同时有多台计算机感染 网络病毒或者进行非法操作，容易导致网络拥塞，甚至业务无法正常开展。 建立终端安全管理体系的意义在于：解决大批量的计算机安全管理问题。 具体来说，这些问题包括： 实现对单位内部所有的终端计算机信息进行汇总，包括基本信息、审计信 息、报警信息等，批量管理终端计算机并提高安全性、降低日常维护工作 量； 实现对单位内部所有的终端计算机的准入控制，防止外来电脑或违规的电 脑接入单位内部网络中； 实现对单位内部所有的终端计算机进行补丁的自动下载、安装与汇总，最 大程度减少病毒、木马攻击存在漏洞的计算机而导致的安全风险； 实现对 单位内部所有的移动存储设备的统一管理，防止部分人员通过 USB 设备将单位大量的机密文件传播出去，同时也极大减少了病毒、木马通过 USB 设备在网络中传播等情况的发生； 实现对单位内部所有的终端计算机进行终端安全管理与分析，包括第一时 4 间禁止非法外联行为的发生，实时监控异常流量，检测非法软件，禁用部 分硬件设备等，将计算机与人结合起来管理，防止非法操作导致发生不必 要的安全事件。 1.2. 应对策略应对策略 从网络空间应用接入方式来来说，网络空间应用从传统的互联网应用接入 发展到以移动/无线通信应用接入乃至移动互联网接入等多种方式。 而针对网络空间安全方面的问题，北信源公司基于多年的产品开发与超大 规模成功部署与应用经验基础，组建了面向网络空间的终端安全管理产品体系。 该产品体系主要面向重要网络、信息系统及基础设施的失泄密检测与防范，实 现从终端、区域网到互联网的一体化检测、管理与防范。该体系从终端接入控 制、终端行为管控制、终端数据防泄密，以及终端安全审计等方面，实现了多 层次、全方位、立体化纵深失窃密检测与防范，形成了面向复杂网络空间的终 端安全管理一体化解决方案，有效地实现了网络空间下对终端计算机的安全管 理体系。 内网安全管理系统设计方案 5 2.2. 终端安全防护理念终端安全防护理念 2.1. 安全理念安全理念 针对目前网络中终端计算机面临的各种安全问题，作为终端安全管理市场 的领导者，北信源公司特推出了面向网络空间的 VRV SpecSEC 终端安全管理 体系。 VRV SpecSEC 终端安全管理体系以 APPDR 模型为依据，遵循国家和行业 等级保护，基于安全工程的思想，以独特的终端安全配置策略为核心，以终端 安全风险测试与评估为依据，实现组件化可动态组合配置的终端安全管理。其 核心理念如下图所示： VRV SpecSEC 终端安全管理体系核心理念终端安全管理体系核心理念 安全产品法规符合性开发（S Specification-based Products Development） 策略引导的终端安全配置（P Policy-based Configure Management） 评估驱动的终端安全管理（E Evaluation-driven Security Management） 6 组件化终端安全管理体系（Component-based Plug-in/out Security Architecture ） 2.2. 安全体系安全体系 北信源 VRV SpecSEC 体系覆盖终端的资产安全管理、终端数据安全管理、 终端行为安全管理、终端服务安全管理等多个方面，涉及管理计算机本身、计 算机应用、计算机操作者、计算机使用单位管理规范等多个方面，形成全方位、 多层次、立体化终端安全管理。VRV SpecSEC 终端安全管理体系层次结构图如 下所示： VRV SpecSEC 终端安全管理体系层次结构图终端安全管理体系层次结构图 本解决方案正是基于上述核心理念和安全体系的基础上而组建的基于终端 各方面安全管理和控制的一体化解决方案。 内网安全管理系统设计方案 7 3.3. 终端安全管理解决方案终端安全管理解决方案 3.1. 终端安全管理建设目标终端安全管理建设目标 (1) 当终端接入时要落实安全保护技术措施，保障内部网络的运行安全和 信息安全； (2) 对已接入内部网络的终端计算机，要做好用户权限设定工作，不能开 放 其规定以外的操作权限。 (3) 发现有违规情形的，应当保留有关原始记录，并可直接了解到该违规 信息及违规方式等。 (4) 网络管理人员能够利用该管理方式，便捷的管理内网终端计算机，并 能够利用该种方式对终端计算机现状一目了然。 3.2. 终端安全管理方案设计原则终端安全管理方案设计原则 方案设计遵循如下原则： (1) 安全性原则：对性能影响小，与其它业务系统无冲突。 (2) 可靠性原则：在反复操作与长期实践之后依然能够保持高度的稳定性。 (3) 可扩展性原则：能够符合 IT 发展方向，并随业务增长的同时保持高度 的可扩充性。 (4) 易用性原则：提供简单、友好界面，能够进行直观的操作，形成丰富的 图形界面与报表。 (5) 兼容性原则：能够与主流厂商的系统、软件、主机设备、安全设备、网 络设备保持高度的兼容性。 8 3.3. 终端安全管理方案设计思路终端安全管理方案设计思路 1 1、遵循、遵循 ITIT 服务标准服务标准 随着信息技术的发展以及对信息技术依赖程度的提高，IT 已成为许多业务 流程必不可少的部分，甚至是某些业务流程赖以运作的基础。IT 部门要承担更 大的责任，即提高业务运作效率，降低业务流程的运作成本，遵循 ITIL 标准， 协调 IT 服务部门内部运作，改善 IT 部门与业务部门之间的沟通，帮助单位对 信息化系统的规划、研发、实施和运营进行有效管理的方法。IT 服务管理将流 程、人和技术三方面整合在一起来解决 IT 服务管理问题。并结合单位内部组织 结构、IT 资源与管理流程等，对业务需求进行整体管理与服务。解决方案设计 要采用 IT 服务管理的理念，按照 ITIL 最佳实践标准来设计。 2 2、遵循、遵循 ISOISO 2700127001 标准标准 ISO27001 作为信息系统安全管理标准，已经成为全球公认的安全管理最佳 实践，成为全国大型机构在设计、管理信息系统安全时的实践指南。其中除了 安全思路之外，给出了许多非常细致的安全管理指导规范。在 ISO27001 中有一 个非常有名的安全模型，称为 PDCA 安全模型。PDCA 安全模型的核心思想是： 信息系统的安全需求是不断变化的，要使得信息系统的安全能够满足业务需要， 必须建立动态的“计划、设计和部署、监控评估、改进提高”管理方法，持续 不断地改进信息系统的安全性。 北信源认为，终端安全管理，也将是一个持续、动态、不断改进的过程， 北信源将提供统一的、集成化的平台和工具，帮助对其终端进行统一的安全控 制、安全评估、安全审计及安全改进策略部署。 3 3、遵循、遵循 VRVVRV SpecSECSpecSEC 安全理念安全理念 依据业界最佳安全实践和行业信息安全管理体系的建设流程，结合北信源 VRV SpecSEC 核心安全理念，本方案的总体架构共分为“网络接入管理、补丁 及软件分发管理、移动存储介质管理、桌面终端管理、终端安全审计”等安全 管理组件，并通过统一、联动的安全管控与审计平台实现对不同层次架构的集 中策略配置与管理，完成对网络终端的分级部署、统一管控，最终实现对内网 内网安全管理系统设计方案 9 终端全方位的控制管理，形成完整的终端安全管理体系。 方案设计思路方案设计思路 10 3.4. 终端安全管理解决方案实现终端安全管理解决方案实现 本方案通过网络接入控制管理、补丁及软件分发管理、移动存储介质管理、 桌面终端安全管理，以及终端安全审计管理等五大部分，并由集中统一的管控 和策略平台，完成对上述安全管理组件的统一策略配置与下发、集中管理与审 计，最终形成联动化的、集成化的、完整的终端安全体系建设。 3.4.1. 网络接入管理设计实现网络接入管理设计实现 3.4.1.1.网络接入管理概述网络接入管理概述 通过网络接入控制能够完成对未知终端、授权终端的安全准入管理与控制。 该系统能够完成基于 802.1x 协议的准入控制技术的安全准入管理控制，为内网 终端的安全接入控制提供了一道绿色的保护屏障。 3.4.1.2.网络接入管理方案及思路网络接入管理方案及思路 系统能够确保终端电脑只有在通过认证，即安装终端安全管理组件，并符 合必要的安全策略的前提下才能被允许接入内部网络，否则会强制终端电脑跳 转到访客隔离区(guest 区)，完成认证后还需要完成安检，即终端管理软件的下 载和安装，且符合既定安全策略要求时才可准许接入内部网络。具体接入流程 如下： 内网安全管理系统设计方案 11 终端认证安检工作区 非法用户 进入guest区 修复区 安检合格 不合格 修 复 完 成 认证未通过 认证通过 网络接入控制管理系统流程图网络接入控制管理系统流程图 以上过程完全满足网络准入控制的目的和意义：能确保合法的、健康的终 端接入内部网络访问被授权的资源。 通过网络准入控制技术，确保接入网络的电脑终端符合预定义要求，必要 的安全策略功能包括： 1 1、802.1x802.1x 接入认证管理接入认证管理 802.1x 接入认证管理具有对接入策略和安检策略整体的配置和管理功能。 接入是通过用户名密码的认证方式，对终端接入网络进行限制。对认证成功的 终端进行安全健康检测。 12 802.1X 接入认证接入认证 2 2、未注册终端接入访问区域限制（、未注册终端接入访问区域限制（vlanvlan 限制）限制） 未注册终端会因认证不成功进入 guest Vlan，在 guest Vlan 中终端只可以 与服务器通信只有在终端注册成功后方可以通过认证。 3 3、未安装杀毒软件等必备软件自动安装下载管理、未安装杀毒软件等必备软件自动安装下载管理 针对终端计算机安装及运行杀毒软件情况，管理员可以设置安全策略检查 终端用户是否正常启动、运行防病毒软件，并且强制检查防病毒软件的版本和 病毒库版本，确保所有终端版本必须满足安检的规定方可接入内部网络。如有 违规，即刻跳转到修复区或者直接断开终端网络连接； 针对终端计算机安装的必备软件情况，管理员可以设置可控软件名单，检 查必备软件的安装运行情况，如有违规，即刻跳转到修复区或者直接断开终端 网络连接； 在网络中专门划分出修复区域，防病毒软件服务器放置在网络修复区中。 终端计算机根据安全策略要求安装及升级杀毒软件。 内网安全管理系统设计方案 13 杀毒软件检测杀毒软件检测 4 4、未打补丁终端接入限制、未打补丁终端接入限制 通过北信源补丁索引检测终端用户是否安装系统补丁，检测注册终端未打 或漏打补丁时，将会提示终端计算机有哪些需要安装的补丁并且会自动弹出下 载的补丁的 WEB 页面，如若不满足补丁预定义策略，即刻跳转到修复区或者直 接断开终端网络连接。 在网络中专门划分出修复区域，系统补丁文件服务器放置在网络隔离区中。 根据北信源补丁索引要求升级操作系统软件补丁。 14 补丁检测补丁检测 5 5、运行不可信进程、服务、注册表终端接入限制、运行不可信进程、服务、注册表终端接入限制 不可信进程、服务、注册表是针对可信进程、服务、注册表进行判断的， 通过自定义设置可信进程、服务、注册表来判断终端是否允许接入到工作区。 对于终端计算机没有运行可信进程、服务、注册表的视为不可信终端，即运行 了不可信进程、服务、注册表，并对终端接入进行限制。 进程、服务、注册表检测进程、服务、注册表检测 内网安全管理系统设计方案 15 6 6、自定义终端安全接入必须的桌面运行安全环境、自定义终端安全接入必须的桌面运行安全环境 可以结合需求自定义终端安全策略，也可以按照现实环境的需要个性化搭 配各个安全检查策略组合，已达到最佳的桌面安全管理效果。 3.4.2. 补丁及软件自动分发管理设计实现补丁及软件自动分发管理设计实现 3.4.2.1.补丁及软件自动分发管理概述补丁及软件自动分发管理概述 补丁及软件自动分发管理能够自动识别终端计算机操作系统类型，并根据 需求自动下载所需补丁，自动安装并提示。系统向指定终端计算机（用户组） 分发文件或安装软件，分发时可提供软件的运行参数和必要的运行控制。该管 理体系可减轻网络管理人员的工作负担，软件分发时可报告软件安装的状态， 无论软件正确安装与否，管理员均可及时了解情况。 3.4.2.2.补丁及软件自动分发管理方案及思路补丁及软件自动分发管理方案及思路 补丁及软件自动分发管理支持推、拉两种方式自动下载补丁。整个补丁管 理运行平台构架是：通过北信源外网补丁下载服务器及时从补丁厂商网站获取 最新补丁；补丁安全测试后，通过补丁分发管理中心服务器对网络用户进行分 发安装；补丁安装支持自动和手动两种方式。 16 北北信信 源源补补 丁丁中中 心心 ( (一一级级) ) 补补丁丁库库分分类类 北北信信 源源补补 丁丁管管 理理中中 心心 ( (二二级级) ) 补补丁丁增增量量导导入入 补补丁丁测测试试 策策略略控控制制 推推拉拉分分发发控控制制 流流量量控控制制 多多级级级级联联控控制制 补补丁丁分分发发检检索索 补补丁丁自自动动识识别别 客客户户端端策策略略 客客户户补补丁丁查查询询 动动态态下下载载 转转发发代代理理 报报表表中中心心 北北信信 源源补补 丁丁管管 理理中中 心心 ( (二二级级) ) . . . . . . . . . . . . 客客户户端端 自自动动测测试试组组 ( (真真实实环环境境) ) 级级联联 同同步步 级级联联 同同步步 补丁分发管理体系补丁分发管理体系 网络应用对象：连通互联网的网络：直接通过补丁下载服务器将补丁下 1 载至补丁分发服务器；物理隔离网络：在互联网连通网络上安装补丁下载服 2 务器模块，通过补丁下载增量分离工具，区分内网已导入和未导入的补丁，将 最新补丁导入到内网补丁分发服务器。 补丁及软件自动分发管理包括：补丁下载、补丁分析、补丁策略制订、补 丁文件分发、终端计算机补丁漏洞检测、补丁安全性测试、补丁分发控制、普 通文件自动分发等，包括功能如下： 1 1 终端计算机漏洞自动侦测终端计算机漏洞自动侦测 终端计算机补丁自检测，在内网中建立补丁检测网站，终端计算机用户 访问网站后，Web 网页自动检测显示客户段补丁安装信息，用户可进行补丁 下载安装；管理员还可以在管理控制台上远程检测终端计算机补丁安装状 况。 内网安全管理系统设计方案 17 补丁自动检测补丁自动检测 2 2 补丁下载补丁下载 增量式补丁自动分离技术在外网分离出已安装、未安装补丁，分类导入 系统补丁库，仅对内网的补丁进行“增量式”升级，以减少拷贝工作量； 互联网补丁自动实时探测，支持补丁导出前病毒过滤。 3 3 补丁分析补丁分析 自动建立补丁库，支持补丁库信息查询。针对下载的补丁进行归类存放， 按照不同操作系统、补丁编号、补丁发布时间、补丁风险等级、补丁公告 等进行归类，帮助管理人员快速识别补丁。 4 4 补丁策略制订（分发）补丁策略制订（分发） 支持用户自定义补丁策略并自由配置分发，基于终端计算机网络 IP 范 围、操作系统种类、补丁类别（系统补丁、IE 补丁、应用程序补丁以及网 管自定义补丁类等）等制订策略，发送至终端计算机后统一按策略执行应 用。 18 补丁分发策略补丁分发策略 5 5 补丁自动修复补丁自动修复 在指定时间、指定网络范围内以不同方式（如推、拉）分发补丁，或者 根据脚本策略统一控制终端计算机下载补丁，当监测到有终端计算机未打 补丁时，可对漏打补丁终端计算机进行推送补丁。补丁分发支持流量和连 接数控制，以免占用太大带宽，影响网络正常工作。 6 6 补丁下载转发代理补丁下载转发代理 提供补丁自动代理转发功能，提高补丁下发效率，减少网络带宽的占用 率，节省网络资源。 7 7 补丁安全性测试补丁安全性测试 补丁分发前闭环自动测试，对下载的补丁进行自动测试（建立测试网络 组） ，测试完成后将其存入补丁库，以提高打补丁的成功性、安全性、可靠 性。 8 8 普通文件分发及文件自动执行普通文件分发及文件自动执行 可以提供分发普通文件也可以分发可执行文件及 MSI 等形式的压缩文件 内网安全管理系统设计方案 19 并自动执行。 文件分发策略文件分发策略 3.4.3. 移动存储介质管理设计实现移动存储介质管理设计实现 3.4.3.1.移动存储介质管理概述移动存储介质管理概述 该设计针对内网移动存储介质管理的特点进行，以移动数据生命周期为主 导，紧扣其存储和交换的安全需求，针对移动数据全生命周期各个环节潜在的 安全隐患，综合运用各种安全技术和手段，进行有效全程防护的安全产品。设 计时考虑到了区域访问控制，信息保密、文件走查审计等方面，确保单位内网 的信息不因使用移动存储而造成威胁，做到事前有保护，事后可追查，提供安 全、简单易用的数据交换安全解决方案。 该设计以数据为中心，用户作为数据的使用者，主机作为数据的存储者， 移动存储介质作为数据的迁移者，在管理范围内均赋予唯一的标识，三者进行 相互认证。只有经认证和授权成功后，才保证合法的用户在合法的机器上访问 合法存储介质上的数据，并形成详尽的日志供审计。 20 移动数据安全访问模型移动数据安全访问模型 3.4.3.2.移动存储介质管理方案及思路移动存储介质管理方案及思路 体系设计对移动存储介质安全管理范围应该包括 U 盘、移动硬盘、MP3、手 机、智能卡设备等移动存储介质，以及打印机等外设，体系设计与利用移动存 储设备或其他方式进行数据交换的相关终端计算机接口管理，包括光驱、软驱、 USB 移动存储接口、USB 全部接口、打印机接口、红外设及蓝牙设备等。 因此，体系技术设计主要包括 5 类的 USB 设备控制问题，包括存储类 （Mass Storage） 、打印机类（Printer Class） 、智能卡类（Smart Card Class） 、图像类（Imaging Class） 、HID 设备类等，并通过相关的技术手段提 供统一的管理平台及适用于各类存储介质的应用管理策略，确保提供完整有效 的移动存储环境和移动存储设备的安全使用方案。移动存储设备接入管理具体 功能如下： 1.移动存储设备（分设备、网段等的）接入认证管理，保障指定设备读写指 定移动存储设备的访问控制管理； 2.移动存储数据读写控制管理； 3.移动存储设备标签认证管理； 4.移动存储设备分区（普通区和加密区）管理； 内网安全管理系统设计方案 21 分区格式化分区格式化 5.移动存储设备的加密管理，防止加密区的敏感信息外泄； 6.移动存储设备接入行为审计； 7.移动存储设备数据交换行为审计管理，比如设定文件后缀名等条件； 8.设计对文件操作详细审计记录：包括文件的创建、复制、删除、修改和重 命名等操作， （包括文件名、审计描述、时间、用户名、计算机 IP 地址和 其他必要的信息） ； 9.设计对移动存储介质的插入和拔出动作的详细记录，具体包括事件类型、 移动存储介质的名称、用户、计算机 IP 地址、事件时间； 22 移动存储审计移动存储审计 设计对终端计算机大量的文件拷贝行为可自主设定阈值，超过阈值的不进 行审计。如拷贝超过 1000 个文件不进行审计（这主要是因为这样的大量拷贝行 为一般不会是违规的行为） ；移动存储标签制作记录：对于在网络内使用的移动 存储设备（如 U 盘等）设置一个标签，不同管理员可以获得不同的标签类型分 配。当 U 盘接入到网络终端时，能够自动识别标签，如果识别通过，则该 U 盘 可以使用，否则不可使用。 该设计运用商用密码技术，实现商用密码算法的加密、解密和认证等功能 的技术，通过密码算法编程技术、密码算法芯片或加密卡等以实现移动信息保 护、访问控制、审计监控等，以满足移动介质标记认证管理的功能需求。 内网安全管理系统设计方案 23 移动存储管理策略移动存储管理策略 3.4.4. 桌面终端管理设计实现桌面终端管理设计实现 3.4.4.1.桌面终端管理概述桌面终端管理概述 网络终端安全是一个综合的系统问题，涉及管理计算机本身、计算机应用、 计算机操作、计算机使用单位管理规范等多个方面。因此体系设计需采用 C/S 与 B/S 混合设计模式，并支持分布式部署，具有模块化定制，支持标准 API、 无缝功能扩展与升级等优点。设计应遵循网络防护与断点防护并重理念，对网 络安全管理人员在网络管理、终端管理过程中所面临的种种问题提供解决方案， 实现内部网络终端的可控管理。 北信源桌面终端管理体系强化了对网络计算机终端状态、行为以及事件的 管理，并针对基本管理、资产管理、安全管理、运维管理、桌面管理、审计管 理等提供的模块化的防护功能，并能够同其它安全设备进行安全集成和报警联 动。 24 终端安全模型图终端安全模型图 3.4.4.2.桌面终端管理方案及思路桌面终端管理方案及思路 桌面终端管理需从使用人的基本信息开始记录，同时包括 IP 地址、MAC 地 址、软硬件资产、进程信息、软件信息、密码信息、杀毒软件、计算机资源、 流量信息等方面进行统计，形成立体式数据库，当发生信息改变或资源报警时， 能够第一时间通知管理人员，便于排查错误，并能够提供给管理人员相应的应 急措施与手段，帮助管理人员迅速解决问题。桌面终端管理具体功能还应包括 以下功能。 内网安全管理系统设计方案 25 应用界面应用界面 1.1. 终端注册管理终端注册管理 该设计采用 C/S 和 B/S 模式混合管理方式，在被管理的桌面计算机上安装 VRVEDP 客户端程序。在安装客户端程序需要填写当前计算机使用人的个人相关 信息，如使用人、单位、部门、联系电话、邮件、所在地、计算机类型等，进 行实名化的管理便于快速定位，无论是违规，还是网络安全事件发生时都可以 快速定位到事件源。 个人信息填写个人信息填写 26 2.2. IPIP 和和 MACMAC 绑定管理绑定管理 对固定 IP 网络的 MAC 和 IP 地址进行绑定管理，当探测到 IP 变化后根据策 略设置恢复其原有 IP 地址，或者阻断其联网，同时禁止修改网关、禁用冗余网 卡。 IP、MAC 绑定策略绑定策略 3.3. 禁止修改网关、禁用冗余网卡管理禁止修改网关、禁用冗余网卡管理 支持禁止修改网关、禁用冗余网卡等功能。 4.4. 硬件资产管理硬件资产管理 自动搜集包括 CPU、内存、硬盘分区总和、设备标识的大小和其他详细信 息以及其他如主板、光驱、软驱、显卡、键盘、鼠标、监视器、红外设备、键 盘等所有的硬件信息。 内网安全管理系统设计方案 27 硬件资产管理硬件资产管理 5.5. 软件资产管理软件资产管理 自动发现识别客户端安装的所有软件信息（名称、版本、安装时间、发现 时间等） ，将相关数据入库，检测客户端运行软件信息，供管理员在 Web 控制台 查询。 28 软件资产管理软件资产管理 6.6. 软、硬件设备信息变更管理软、硬件设备信息变更管理 报警未注册设备、注册程序卸载行为，实时检测硬件设备变化情况（如设 备硬件变化、网络地址更改、USB 设备接入等） 。 7.7. 进程保护管理进程保护管理 对重要的进程进行守护，防止由于意外或人为原因造成重要进程中断。 内网安全管理系统设计方案 29 进程保护管理进程保护管理 8.8. 桌面密码权限管理桌面密码权限管理 对终端的密码管理权限变化及使用状况（包括密码长度、安全性、弱口令 等方面）进行审计检查及报警，同时对不符合要求的终端进行提示或强制修改 等处置，达到防止病毒及黑客入侵的目的。 终端密码管理终端密码管理 30 终端权限管理终端权限管理 9.9. 终端统一防火墙终端统一防火墙 管理员在 Web 控制台对终端进行统一的防火墙设置，对网络 IP 及协议访问 进行限制，在网络内建立虚拟的终端隔离区。 另外对于大型网络，网络客户端由于用户使用水平的差别，会出现用户卸 载甚至退出统一安装的防病毒软件的情况，也会出现有个别用户被遗漏，未安 装防病毒软件的情况。 管理员可利用 Web 控制台对终端所安装的杀毒软件情况进行监控和管理， 并能够对终端杀毒软件实施远程操作（病毒查杀、升级、软件安装等） 。还可统 一监控网络内的防病毒软件（国内主流厂商的均可）安装情况和使用状态，了 解网络中的病毒软件安装状况，必要时可通过此设计强制为客户端安装防病毒 程序，如果需要，也可监控终端软件的安装情况，并进行相应的管理（如安装 杀毒软件软件，强行升级病毒库、自动分发并自动执行病毒专杀工具等） 。 内网安全管理系统设计方案 31 终端防火墙管理终端防火墙管理 10.10. 终端杀毒软件管理终端杀毒软件管理 可统一审计网络内终端的防病毒软件（主流厂商的均可）安装和使用情况， 必要时可强制为客户端安装防病毒程序。如果需要，也可监控终端防病毒软件 的安装情况，并进行相应的管理（如安装杀毒软件软件，强行升级病毒库、自 动分发并自动执行病毒专杀工具等） 。 终端杀毒软件管理终端杀毒软件管理 32 11.11. 终端在线终端在线/ /离线策略管理离线策略管理 提供针对不同的网络接入情况，设定终端的在线、离线策略。当终端处于 不同的网络中，可以实现不同的执行策略。 12.12. 运行资源监控运行资源监控 在 Web 控制台对终端的 CPU、内存、硬盘的资源占用率和剩余空间进行监 控，设定危险等级报警阀门。 终端运行资源管理终端运行资源管理 13.13. 流量管理和控制流量管理和控制 蠕虫病毒和 BT 下载等行为在很多情况下会严重占用网络带宽，造成网络的 拥塞甚至瘫痪，对此可利用流量进行管理与监控。 主要功能：主要功能： 流量采样阈值设定：用户自主设定采样阈值，当流量（含出、入或总 流量）超过一定限度并持续一定时间后，进行有关信息上报，防止上 报数据过多给网络带来负担。 内网安全管理系统设计方案 33 上报的当前流量进行汇总，对当前的流量进行时实排序，以便网络管 理人员进行快速分析是否是网络安全事故。 对网络客户端的历史流量进行统计和排序，并可生成报表。 对并发连接数设定阈值并进行采样。 对网络扫描的可疑行为进行阈值设定和报警。 对客户端大量发包的可疑行为进行阈值设定和报警。 对具备可疑行为的客户端进行报警上报、自动阻断、客户端提示等管 理。 设定网络客户端流量上限阈值，对超过的进行报警上报、自动阻断、 客户端提示等管理。 终端流量采样管理终端流量采样管理 14.14. 流量异常监控流量异常监控 在 Web 控制台对终端的网络流入、流出和总流量进行监控和管理。并能够 对产生总流量过大、分时段瞬时流量过大的进程进行统计，辅助分析产生流量 过大的原因。 34 终端流量异常管理终端流量异常管理 15.15. 进程异常监控进程异常监控 在 Web 控制台对终端未响应窗口进行监控并结束或重启该进程，对意外退 出的进程进行监控和保护。 进程异常管理进程异常管理 16.16. 客户端文件备份客户端文件备份 针对终端计算机进行数据实时备份，将本机计算机目录文件数据实时或定 内网安全管理系统设计方案 35 时备份到数据服务器或其它计算机上存储。针对局域网服务器数据存储等提供 安全数据同步备份解决方案。 17.17. 非法外联管理功能非法外联管理功能 1.1. 网络内部终端非法外联互联网行为监控网络内部终端非法外联互联网行为监控 终端非法外联互联网行为监控：对于已注册的设备，通过不同方式（如双 网卡、代理等）连接互联网进行的通讯，能够自动阻断其连接行为并报警。 2.2. 网络内部终端非法接入其它网络行为监控网络内部终端非法接入其它网络行为监控 对于已注册的设备，监控其网络连接行为，根据接入网络环境因素判定其 是否非法接入其它网络。 3.3. 离网终端非法外联互联网行为监控离网终端非法外联互联网行为监控 对于已经注册的计算机，非法带出到另外一个网络的行为进行监控，发现 有外联互联网行为时可以采取警告、阻断、自动关机等操作。 4.4. 非法外联行为告警和网络锁定非法外联行为告警和网络锁定 如果终端非法入网，可以在报警平台和报警查询处获知信息，并且可以对 终端提示信息，自动关机，阻断联网等处理。 5.5. 非法外联行为取证非法外联行为取证 对于非法外联行为进行实时告警功能，同时记录该行为发生的事件、IP 地址、 MAC 地址、使用人等相关信息上报到服务器进行记录取证。 36 终端非法外联管理终端非法外联管理 3.4.5. 终端安全审计设计实现终端安全审计设计实现 3.4.5.1.终端安全审计概述终端安全审计概述 随着信息安全技术和理念的发展，安全监控的关注点已经从设备转向对于 设备使用者的行为，用户对于