北信源内网安全及补丁分发系统解决方案建议书

北信源内网安全及补丁分发系统解决方案建议书北京北信源自动化技术有限公司2008年4月15目 录一、前言1二、系统需求分析22.1、客户网络现状22.2、客户端管理需求2三、北信源内网安全管理系统解决方案33.1、功能实现方式33.2、系统构架图43.2.1、系统管理结构建议43.3、产品基本功能53.4、安全监控强审计功能53.4.1、文件保护及访问审计53.4.2、桌面文件输出审计73.4.3、打印审计73.4.4、系统日志审计83.4.5、文件内容检查93.4.6、特殊行为审计9四、具体实施方案94.1、部署的主要组建94.3、实施建议104.4、系统部署时软硬件配置134.5、系统部署时网络环境准备14一、 前言 随着XXXX单位信息化工作建设的推进，目前XXXX单位的IT系统的建设已经具备了相当的规模，已经具有了自己的信息操作平台，业务系统也越来越依赖于IT系统。但由于网络终端分布非常广泛，计算机的操作者使用水平参差不齐，员工对系统的滥用、错误配置以及恶意访问导致业务面临很多现实的安全威胁。网络中大多数的系统是完全不受控的，底下用户随意访问互联网上的网站，随时可能感染病毒木马，甚至被黑客控制。这会导致单位容易遭受网络攻击，引起机密信息的泄露，以及其它的代价高昂的损失。再者，非合法办公软件及其他软件的使用，不但造成了生产效率的低下，也给单位的形象造成了极差的影响。北信源主机安全监控强审计系统作为北信源内网安全管理系统的分支，主要涉及上网访问审计及控制，邮件审计及控制，文件审计及控制等功能。可以有效防止客户端用户因乱访问互联网网站造成内部网络安全问题。同时掌握知道各分公司机构的员工在上班时间的访问记录。北信源内网安全管理及补丁分发系统采用C/S与B/S混合模式设计，支持分布式部署，并具有模块化软件定制、支持标准API、无缝功能扩展与升级等优点。产品针对政府、金融证券、电信以及各大中型企业等网络专门研制，已通过国家保密局、公安部、国家信息安全评测中心、解放军信息安全评测中心等多项权威认证，经业界权威机构统计北信源终端管理产品中国市场占有率第一。二、 系统需求分析2.1、客户网络现状XXXX单位拥有多个分公司机构，但分布在全国各地，而且各个分公司都使用ADSL方式上网，外网地址无法固定，无法进行统一规范的管理，迫切需要一种全面的解决方案来实现科学化、规范化的管理。2.2、客户端管理需求首先，结合各分公司采用ADSL方式上网的情况，要进行有效的管理，需要一个VPN系统，把所有分公司的都连接起来，类似于一个大型的局域网，方便管理。其次，不希望各分公司用户在上班时间访问公司网站外的其他网站，下班之后允许他们随意访问。三、 北信源内网安全管理系统解决方案3.1、功能实现方式本系统在网络中安装数据库，用于存储网络客户端设备信息。当上述系统数据库、网页管理平台、区域管理器安装完毕后，即可以对网络中客户端进行注册。用户在取得注册程序，执行后添加计算机使用信息，如使用人姓名、单位、联系方式等，注册程序自动采集系统的硬件设备信息，经过区域管理器处理后存入数据库，同时区域管理器将代理驻留程序发送到计算机终端，实时运行。通过探头、区域扫描器等对计算机的网络连接行为实施探测，根据需要发送本机缺少的相关系统补丁、安全策略、命令或文件等，在遇到数据库中定义的非法行为时实施阻断。系统正常运行后，主要通过网页WEB管理平台来对整个计算机设备信息系统进行配置管理，在网络内设置区域管理器、扫描器IP地址。对于一般网络(如1个C类地址或若干个C类地址的局域网范围)适用一套本系统，集中管理所属区域内的设备。对于大规模的多个局域网或者跨地域的广域网（例如将来也许可能的各行之间的互相联网和上下级联网），提供多区域集中管理模式，即一个或多个网段拥有独立设备管理系统的同时，将本级所有设备信息再传递给上级管理数据库，使得上一级管理人员对整个网络的设备状况能够完全掌握。设备管理信息系统的配置，要根据网络客户端规模、网络管理实际情况来选择。可以在网络中安装多个区域管理器，区域管理器只负责一定范围内的客户端，对于该范围以外的客户端，不予以处理；每个区域管理器下属多个扫描器，提供对本区域网络的分段扫描，及时检查该网络客户端注册情况。系统逻辑图3.2、系统构架图3.2.1、系统管理结构建议某单位是一个多网络连接方式的分散式网络，同时客户端用途具有多样性，所以我们建议采用单服务器/多分区的构架。此外，如果某单位网络因为业务的需要进行了改动或客户端数据增加，北信源内网安全系统可根据实际需要在客户端数量、管理层次和功能扩展上进行无缝平滑扩展。3.3、产品基本功能北信源内网安全及补丁分发系统具有强大的管理功能，通过北信源内网安全的解决方案可以很好的为某单位信息网络进行全方位的管理。北信源内网安全及补丁分发系统的基本产品功能主要包含终端基本管理、IT资产管理、终端桌面管理、终端安全管理、网络主机运维、非法外联行为监控、Intel vPro (AMT) 管理支持、事件报表及报警处置、第三方接口联动（可扩展）等功能。3.4、安全监控强审计功能北信源内网解决方案中提供全面的强审计功能，某单位可以通过此模块对网络中重要文件的访问情况、键盘行为、窗口情况、文件网络输出情况、终端访问行为和打印文件等等行为进程颗粒度的审计，网管人员可以时时跟踪审计结果。这样某单位能够很好的保护重要的文件不被未授权人员查看；不被恶意修改和删除能够很好的防止通过打印、邮件和网络共享拷贝等方式的文件信息泄密；能够全方位的对客户端用户的各项电脑操作进行审计，以便需要的时候有据可查等等。3.4.1、网站访问审计系统可限制用户访问特定的网站，可设置黑白名单，同时可以设置策略有效时间，下班时可设置成允许访问所有网站上网访问控制策略图例高级设置图例3.4.2、文件保护及访问审计系统可保护指定的文件或文件夹，根据需要禁止本地和远程对其进行读取、修改、删除等操作。系统也可对指定的目录或文件进行读取、修改、删除、拷贝、移动、重命名等行为的审计。系统会将详细的数据上报到服务器或者是记录到本地文件中。以拷贝为例：系统会纪录源文件目录和目的目录、还有操作的时、操作用户、用户所属单位和部门、设备IP、等等一些信息。实例图为了保护客户端的指定文件或文件夹的数据安全，可以把该文件夹设置为工作目录，并对其实施保护，给终端使用者分配相应的权限如：只读、读写、拷贝、修改等，指定部分进程允许或不允许执行工作目录下的文件，设置界面如下图所示：实例图3.4.3、桌面文件输出审计对网络重要服务器的文件输出行为进行审计和管理，可根据情况审计或禁止使用打印输出、邮件附件输出、网络文件拷贝等文件输出行为。可根据需要禁止指定用户（组）的上述行为，或对指定用户（组）的上述行为进行审计。实例图3.4.4、打印审计对网络重要服务器的文件输出行为进行审计和管理，可根据情况审计或禁止使用文件打印等输出行为。可根据需要禁止指定用户（组）的上述行为，或对指定用户（组）的上述行为进行审计。3.4.5、系统日志审计客户端日志审计主要包括两方面的审计：1、客户端用户在本操作系统中所有操作进行审计主要包括：设备信息审计、注册资产审计、安装软件审计、安装软件审计、共享目录审计、设备IP占用状况列表 、硬件变化审计、移动设备审计、上网访问审计、文件输出审计、文件保护审计 、违规软件及进程、安全策略违规、涉密检查审计、消息确认审计、软件分发审计 、软件分发统计等2、操作系统本身生成的系统日志、安全日志和应用日志进行审计，审计的结果都上报到数据库中，供管理人员任何时间进行审计。所有生成的审计结果，都可以页面的形式体现，并且根据管理人员实际需求生成excle表格。3.4.6、文件内容检查系统可检查终端是否存在违规文件（如涉密、色情、反动文件等），并检查某一文件夹或某一类型文件内是否有违规的信息。检查可针对指定盘符或指定文件进行。3.4.7、特殊行为审计如果用户有特殊需要，系统可对指定的终端（组）进行特殊的行为的审计和监控功能，具体如下：终端上网访问：审计用户的网络访问行为；终端进程加载：审计用户的进程加载情况；终端操作审计：审计用户的键盘操作；终端打开窗口：审计用户打开的窗口。四、 具体实施方案4.1、部署的主要组建区域管理器：VRVEDP系统的核心服务器端，接收客户端上报的数据、下发策略、下发指令等；Web管理平台：管理员对VRVEDP系统的操作界面，通过浏览器访问Web管理平台就可以完成VRVEDP系统的所有操作，如资产查询、报表导出等；补丁下载服务器：专门用来关注微软新补丁发布、新补丁下载、新补丁导入、新补丁分类等，省去人工对内网补丁库的干预。客户端：在每一台被管理的桌面计算机上安装的代理程序，通过安装客户端自动获取当前计算机的硬/软件信息，接收来自服务器端下发的策略和指令；VRVEDP数据库：VRVEDP系统的配置信息、客户端上报的桌面计算机信息、策略等都保存在后台VRVEDP数据库中，供前台的Web管理平台调用和查询；报警中心（可选装）：对管理器接收到的报警信息进行实时的报警，可以是声音、邮件等，如违规联网、IP绑定变化、流量异常、（客户端）非法卸载等。4.3、实施建议某单位网络环境复杂而且用户群种类比较多，所以我们建议本着分步实施、积累经验的原则，先在某单位和一个区县分区各挑选出几十台设备进行实施。实施过程中，总结经验、统一流程，之后在全网其他管理分区推广实施。因某单位网络终端分散性比较大，而为提高工作效率我们建议在进行全部系统在部署时采用先进的网页自动分发注册技术，网络中的客户端访问本地的WEB网站进行自动注册安装。（此相技术在全国性广域网络实施中使用，并取得极好效果，如在公安部项目实施中，大约在两个月的时间内完成约数十万台计算机的注册）。在未注册的客户端访问本地的WEB网站时，将自动弹出相应的提示信息，提醒用户进行注册，用户可以点击相应的信息自动填写相关的信息进行注册，客户端进行注册以后再访问将不再出现注册提示。客户端下载内网安全系统及注册完成后运行该系统所占用的客户端资源均极小，客户端注册操作十分简单，充分考虑了用户的使用习惯。客户机注册时即会安装客户机端软件，安装客户机端必须通过管理服务器的认证才可安装，用户必须输入使用人信息（姓名、固定电话、手机等）、机器环境信息（房间号、间隔号等）、机器类型（服务器、台式机、笔记本、其它）、管理员发放给用户的许可号码（许可号码认证不通过则中断安装及注册，这块功能管理员可以启用或取消，许可号码为汉字、字母、数字组成的字符串，可由管理服务器自动批量生成或由管理员输入管理服务器的资料库，每个许可号码注册一次即作废。可以同时存在多个相同的许可号码。对许可号码与MAC地址既能绑定也能不绑定。能将每个许可号码预先指定属于一个或几个“组”，客户机注册后自动归属到这些“组”中）。注册成功后客户机档案可记录下这些信息以及注册时间。客户机在注册时输入上述的信息，以后则不用再输入此信息，以后任何改变客户机管理参数、升级客户机端软件等均由管理员通过管理服务器实现；注册后客户端程序将在系统中实时运行，不会对系统产生任何影响。如需要，系统可提供专门的实施进度网站系统和运行管理系统，实施过程中能实时的了解全部（各地）工程进度情况。网管设置管理器标识实例图客户端注册实例图远程联机卸载实例图脱机后转为脱缰组网页弹出注册菜单实例图4.4、系统部署时软硬件配置一级管理服务器1台:硬件需求：CPU至强 2.8或以上, 2G内存硬盘80G SCSI或以上软