内网安全技术白皮书.doc

版权声明一、系统背景客户端桌面安全管理技术的兴起是伴随着网络管理事务密集度的增加，作为网络管理技术的边缘产物而衍生的，它同传统安全防御体系的缺陷相关联，是传统网络安全防范体系的补充，也是未来网络安全防范体系重要的组成部分。因此，客户端桌面安全管理技术无论在现在还是未来都应当归入基础体系网络安全产品之列。自2003年来，以SQL蠕虫、“冲击波”、“震荡波”等病毒的连续性爆发为起点，到计算机文件泄密、硬件资产丢失、服务器系统瘫痪等诸多客户端安全事件在各地网络中频繁发生，让政府机关和企业单位的网络管理人员头痛不已。总结起来，政府机关和企业单位的内部网络管理大致面临着以下一些常见问题：n 如何发现客户端设备的系统漏洞并自动分发补丁。n 如何防范移动电脑和存储设备随意接入内网。n 如何防范内网设备非法外联。n 如何管理客户端资产，保障网络设备正常运行。n 如何在全网制订统一的安全策略。n 如何及时发现网络中占用带宽最大的客户端。n 如何点对点控制异常客户端的运行。n 如何防范内部涉密重要信息的泄露。n 如何对原有客户端应用软件进行统一监控、管理。n 如何快速有效的定位网络中病毒、蠕虫、黑客的引入点，及时、准确的切断安全事件发生点和网络。n 如何构架功能强大的统一网络安全报警处置平台，进行安全事件响应和事件查询，全面管理网络资源。这些常见的客户端安全威胁随时随地都可能影响着用户网络的正常运行。在这些问题中，操作系统漏洞管理问题越来越突显，消除漏洞的根本办法就是安装软件补丁，每一次大规模蠕虫病毒的爆发，都提醒人们要居安思危，打好补丁，做好防范工作补丁越来越成为安全管理的一个重要环节。黑客技术的不断变化和发展，留给管理员的时间将会越来越少，在最短的时间内安装补丁将会极大地保护网络和其所承载的机密，同时也可以使更少的用户免受蠕虫的侵袭。对于机器众多的用户，繁杂的手工补丁安装已经远远不能适应大规模网络的管理，必须依靠新的技术手段来实现对操作系统的补丁自动修补。二、系统概述国内知名安全软件厂商北信源公司通过对国内和国外近几年来计算机客户端管理技术和发展趋势的研究，将政府和企业内部网络客户端安全管理概括的从客户端状态、行为、事件三个方面来进行防御，研制出北信源内网安全及补丁分发管理系统软件。图-1 内网管理核心功能北信源内网安全及补丁分发管理（VRVEDP）遵循网络防护和端点防护并重理念，对网络安全管理人员在网络管理、客户端管理过程中所面临的种种问题提供解决方案，实现内部网络客户端的可控管理，并能够支持多级级联广域网构架，达到最佳的管理效果。北信源内网安全及补丁分发管理（VRVEDP）系统强化了对网络计算机客户端状态、行为以及事件的管理，它提供了防火墙、IDS、防病毒系统、专业网管软件所不能提供的防护功能，对它们管理的盲区进行监控，扩展成为一个实时的可控内网管理平台，并能够同其它安全设备进行安全集成和报警联动。三、系统主要功能北信源内网安全及补丁分发管理系统采用C/S与B/S混合模式设计，支持分布式部署，并具有模块化软件定制、支持标准API、无缝功能扩展与升级等优点。产品针对政府、金融、电信、军队、教育、以及各大中型企业等网络专门研制，已通过国家保密局、公安部、国家信息安全评测中心、解放军信息安全评测中心等多项权威认证，目前是中国网络用户群最大的客户端管理软件。北信源内网安全及补丁分发管理系统可为网络用户提供以下安全管理功能：3.1、接入管理n 客户端注册管理：将客户端的硬件设备信息硬件属性（诸如硬盘、CPU、内存等）、地理位置信息（设备名称、使用人、房间号等）经过注册后存储到数据库中，管理员通过web控制台获取数据库中客户端信息。n 客户端拓扑管理：系统具有终端网络拓扑扫描功能，其强大的设备认知能力实现对网络不同设备的全面搜索发现，自动发现整个网络中的终端系统的IP地址、机器名和MAC地址，允许管理者对终端系统按部门进行登记管理，形成网络基本情况数据库，自动生成网络结构拓扑图。提供了图形化管理界面，管理员在web控制台查看终端定位连接交换机的信息，详细列表终端连接交换机端口状况信息。n 客户端带入带出网络监控：系统对非法接入计算机的行为进行报警，并能够自动阻断，如便携式笔记本电脑和新增设备的接入（未经允许擅自接入的设备会给网络带来病毒传播、黑客入侵等不安全因素）；监测笔记本电脑带出网络后接入其它网络等行为（此类电脑如未通过安全检查程序的检测，系统将自动阻断这类笔记本入网）；系统对于重新接回内网的机器进行安全检测，当重新接入内网后会提示重新进行杀毒等信息。n 802.1X认证：基于端口在交换机端口对接入设备进行认证和控制，连接在该端口上的用户设备如果能通过认证就可以访问网络内的资源，否则无法访问网络内资源相当于物理上断开连接。n IP和MAC绑定管理：对固定IP网络的MAC和IP地址进行绑定管理，系统探测到IP变化将进行报警同时对该客户端进行恢复原有IP配置及关机断网等处置。3.2、IT资产管理n 硬件设备资产统计：自动发现识别客户端的硬件信息（CPU、内存、硬盘、键盘等），全面详细采集后将相关数据分类入库，供管理员在WEB控制台查询。n 软件资产统计：自动发现识别客户端安装的软件（名称、版本、安装时间），将相关数据入库，检测客户端运行软件信息，供管理员在Web控制台查询。n 设备变更信息报警：报警未注册设备以及注册程序卸载行为，实时检测硬件设备变化状态（如设备硬件变化、USB设备接入等）。3.3、补丁及文件分发管理北信源补丁分发管理通过北信源外网补丁下载服务器及时从补丁厂商网站获取最新补丁；补丁安全测试后，通过补丁分发管理中心服务器对网络用户进行分发、安装，补丁安装支持自动和手动两种方式。网络应用对象：连通互联网的网络：直接通过补丁下载服务器将补丁下载至补丁分发服务器；物理隔离网络：在互联网连通网络上安装补丁下载服务器模块，通过补丁下载增量分离工具，区分内网已导入和未导入的补丁，将最新补丁导入到内网补丁分发服务器。补丁分发管理功能包括：补丁下载、补丁分析、补丁策略制订、补丁文件分发、客户端补丁漏洞检测、补丁安全性测试、补丁分发控制等。n 客户端漏洞自动侦测：客户端补丁自检测，在内网中建立补丁检测网站，客户端用户访问网站后，Web网页自动检测显示客户段补丁安装信息，用户可进行补丁下载安装；管理员还可以在管理控制台上远程检测客户端补丁安装状况。n 补丁下载：增量式补丁自动分离技术在外网分离出已安装、未安装补丁，分类导入系统补丁库，仅对内网的补丁进行“增量式”升级，以减少拷贝工作量；互联网补丁自动实时探测，支持补丁导出前病毒过滤。n 补丁分析：自动建立补丁库，支持补丁库信息查询。针对下载的补丁进行归类存放，按照不同操作系统、补丁编号、补丁发布时间、补丁风险等级、补丁公告等进行归类，帮助管理人员快速识别补丁。n 补丁策略制订（分发）：支持用户自定义补丁策略并自由配置分发，基于客户端网络IP范围、操作系统种类、补丁类别（系统补丁、IE补丁、应用程序补丁以及网管自定义补丁类等）等制订策略，发送至客户端后统一按策略执行应用。n 补丁自动修复：在指定时间、指定网络范围内以不同方式（如推、拉）分发补丁，或者根据脚本策略统一控制客户端下载补丁，当系统监测到有客户端未打补丁时，可对漏打补丁客户端进行推送补丁。补丁分发支持流量和连接数控制，以免占用太大带宽，影响网络正常工作。n 补丁下载转发代理：系统提供补丁自动代理转发功能，提高补丁下发效率，减少网络带宽的占用率，节省网络资源。n 补丁安全性测试：补丁分发前闭环自动测试，对下载的补丁进行自动测试（建立测试网络组），测试完成后将其存入补丁库，以提高打补丁的成功性、安全性、可靠性。n 普通文件分发及文件自动执行：系统可以分发普通文件也可以分发可执行文件及MSI等形式的压缩文件并自动执行。对于分发完后需安装执行的文件可进行对其安装成功情况的检测。3.4、桌面管理及运维桌面管理：n 桌面流量管理：对网络客户端流量进行监控报警，客户端输入或输出流量超过管理员设定阈值时报警，对可疑发包、可以并发连接进行阻断，防止非法入侵、滥用网络资源。n 进程运行管理：远程查看客户端运行进程列表，支持进程强制中止，对需要控制的或异常的进程进行强制管理。n 客户端服务管理：远程查看系统服务管理列表，支持对各项服务的启用/禁用设置。n 软件安装管理：管理监控客户端软件的安装状况，定义软件安装黑白名单，对必须安装和禁止安装的软件进行控制。n 桌面消息通知：管理员通过发送消息的方式对客户端用户进行提醒、消息通知并确认回馈、发送消息要求客户端用户重新注册、同步客户端数据和对客户端的升级。n 桌面脚本控制：安全管理员在本系统新建脚本（如打开一个网页、下载一个文件、运行一个文件等操作），发送至客户端执行。n 远程协助：客户端用户在遇到客户端故障时通过呼叫平台联系网管人员，网管人员通过屏幕控制方式对该客户端进行远程控制，为其排除故障。n 外设及端口控制：管理员可以在Web控制台禁用或启用客户端用户的外部设备，禁用或启用客户端用户的某一端口。n 垃圾文件清理：支持管理员在Web控制台对客户端用户某一文件夹下或全盘某些后缀的垃圾文件或临时文件进行集中清理。n 点对点客户端控制：管理员在Web控制台对客户端用户进行点对点控制，包括设备和软件信息查询，客户端进程、服务和端口的管理，修改客户端用户网络配置，以及断开/恢复网络连接，升级和卸载客户端等。网络主机运维：n 运行资源监控：在Web控制台对客户端的CPU、内存、硬盘的资源占用率和剩余空间进行监控，设定危险等级报警阀门。n 流量异常监控：在Web控制台对客户端的网络流入、流出和总流量进行监控和管理。n 进程异常监控：在Web控制台对客户端未响应窗口进行监控并结束或重启该进程，对意外退出的进程进行监控和保护。n 网络拓扑扫描：强大的设备认知能力实现对网络不同设备的全面搜索发现，自动生成网络结构拓扑图。提供了图形化管理界面，管理员在web控制台查看客户端定位连接交换机的信息，详细列表客户端连接交换机端口状况信息。3.5、桌面安全及审计桌面安全：n 桌面密码权限管理：系统提供对客户端系统密码的安全性检测，包括开机和屏保密码的设置规则，提供弱口令的安全提示，使用户的密码符合安全管理要求。n 客户端统一防火墙：管理员在Web控制台对客户端进行统一的的防火墙设置，对网络IP及协议访问进行限制，在网络内建立虚拟的终端隔离区。n 客户端杀毒软件管理：管理员在Web控制台对客户端安装杀毒软件的情况进行监控和管理，对未启用的客户端杀毒软件实施远程操作（病毒查杀、升级、软件安装等）。n 客户端安全等级管理：依据客户端计算机的安全防范措施，如补丁修补、防毒安全、注册安全、系统口令等，系统自动评估客户端计算机的安全等级。n 客户端连线/离线策略管理：注册客户端自动侦测网络连接情况，根据连线/离线状况调用不同的安全策略，客户端自适应采用离线安全策略或者连线安全策略，满足网络中计算机接入带出的安全管理要求。n 工作目录管理：为了禁止将网络中的机密性文件拷贝出网络，管理员可通过设定此功能，使某些文件仅允许在此目录下操作。桌面审计：n 硬件控制审计：系统能够对客户端的硬件进行管理控制，对光/软驱、USB/并串口、打印机、红外设备、1394控制器等外设硬件使用控制的同时，详细记录其使用情况，并可以实时报警。n 客户端密码强度审计：系统支持对客户端的密码使用状况包括密码长度、安全性、弱口令等方面进行审计检查及报警，同时对不符合要求的客户端进行提示或强制修改等处置。n 客户端权限变化审计：系统支持对客户端的管理权限变化的审计报警，保证其管理权限不被私自修改或添加，达到防止病毒及黑客入侵的目的。n 文件保护及审计：系统提供对客户端的系统、软件和共享等目录中的文件的保护功能，设定访问、删除、修改权限；支持对设定目录文件的操作审计，包括文件创建、打印、访问、复制、改名、恢复、删除、移动等的记录，同时将信息上报管理信息库供查询。n 文件输出审计：对客户端文件的打印输出、网络共享输出、邮件输出等行为操作进行管理控制，并详细记录其行为信息。并且对打印过的文件进行备份。n 注册表保护与审计：管理员可以在Web控制台对客户端注册表的特定进程进行保护，防止被修改、删除；针对不同的操作系统，提供注册表项、键名、值类型和键值的安全检测，报警不安全注册表信息。n 网络共享审计：支持管理员在Web控制台审计列表客户端开放的网络共享文件，进行远程通知告警。n 上网访问行为审计：管理员在Web控制台对客户端用户的上网访问的http网页进行审计和记录。n 系统日志审计：管理员在Web控制台对客户端用户的日志（系统日志、应用日志、安全日志等）进行远程读取查看。3.6、移动存储管理 n 移动存储设备接入管理：监控移动存储设备的接入，及时发现，确认是否符合设定安全策略。n 移动存储设备认证：通过标签方式对移动存储设备硬件进行鉴证，确保接入设备的应用权限（如读/写操作、识别操作等）n 移动存储数据读写控制：根据设定的安全认证级别，对移动存储设备进行数据读、写操作控制。3.7、非法外联行为监控n 客户端非法外联互联网行为监控：对于已注册的设备，通过同外网（如,）的通讯连接，如果连通互联网,则认为其非法联网。n 客户端非法接入其它网络行为监控：对于已注册的设备，监控其网络连接行为，如改变网络地址接入其它网络，根据接入网络环境因素判定其是否非法接入其它网络。n 非法外联行为告警：如果客户端非法入网，可以在报警平台和报警查询处获知信息，并且可以对客户端提示信息，自动关机，阻断联网等处理。3.8、事件报表查询分析n 设备信息查询：通过系统可以对已注册客户短的相关信息进行统一查询，查询信息包括计算机所属区域、部门、使用人、设备IP、MAC、注册、重新注册、信任、保护、阻断、开机、杀毒软件、杀毒厂商、系统等信息。n 注册设备资产查询：系统可以对已经注册的设备进行设备资产查询，提供多个复合条件查询。n 设备安装软件查询：系统可以对计算机安装的软件进行查询，根据软件类别，如必须安装的软件、禁止安装的软件。n 设备首次运行进程查询：系统可以依照进程名称、文件大小、版本、进程所在路径、进程所打开的端口、进程运行次数等进行查询。n 硬件变化设备查询：客户端注册后，已经把其硬件信息注册入库，如果客户端硬件有变化（增添或卸载），则可通过该查询条件查到。n 设备首次运行进程查询：依照进程名称、文件大小、版本、进程所在路径、进程所打开的端口、进程运行次数等进行查询。可以用于对病毒、木马、黑客程序等进程的查询。n 违规软件以及进程查询：查询事件内容包括软件违规方式（安装禁止安装软件、未安装必须安装软件）、进程违规方式（运行禁止运行进程、停止必须运行进程）、进程类别（检索禁止执行的进程、非信任进程、信任进程、可疑进程、非可疑进程、所有进程）。在策略中心中制定违规软件以及进程查询的定义项，根据定义项进行禁止、允许等，在本界面中查询数据结果。用于对病毒、木马、黑客程序等进程的查询。n 移动设备审计查询:系统可以对移动设备审计查询，查询事件内容包括设备接入，从移动设备拷入，拷出到移动设备等方面。n 安全策略违规查询：系统可以对安全策略违规现象进行查询，查询事件内容包括注册表键值检测、系统弱口令、用户权限变化。n 涉密检查查询：根据策略中心中配置的策略，进行包括IE访问涉密检查（IE缓存、IE清单、cookie信息、收藏夹），文件内容涉密等方面的查询。n 消息确认查询：用户可以通过消息确认查询察看客户端接收到消息通知后的反馈信息。n 设备IP占用状况列表：查询区域管理器所管辖的范围内的注册IP、未注册IP、空闲IP。n 软件分发查询：查询软件分发是否成功及软件运行安装情况，并查询记录的分发时间及运行时间。n 软件分发统计：对软件全网分发情况进行统计，并可以通过查询界面察看成功分发或失败分发的计算机信息，统计成功率。n 图形化信息数据输出：系统可以对客户端的相关信息进行统计，并以图形化的形式进行统计数据的输出。n 客户端流量排名：监测网络中客户端流量信息并进行排名，报警异常网络流量，能够对客户端进行流量报警。n 客户端流量统计：根据流量统计满足各种条件（如：30分钟内最大值、当天最大值、本周最大值等）的计算机的IP、名称以及所属的区域名称等信息。n 设备信息组态查询：通过此项功能，系统可以依照下列属性自动组合进行计算机查询，包括使用人、联系电话、设备所在地、所属区域、设备名称、设备IP地址、设备MAC地址、操作系统、Service pack号、IE版本、语言、使用人、是否注册、是否信任、是否为受保护、是否被阻断、开机状态、防范等级、运行状态等。n 根据选择的状态组进行查询：通过选择设备IP地址、是否注册、操作系统、杀毒软件厂商等属性进行组态查询，最终显示同时具备上述条件的计算机，并可以针对管理员的要求的项目或字段进行报表的输出。3.9、报警结果处置管理n 客户端非法外联报警处理：监视违规网络连接（modem拨号、双网卡、代理等），并对违规行为做出相应的处理。n 如果客户端违规上网，可以对客户端进行自动重启、断开网络、仅提示等处理方式。n IP与MAC绑定变化报警：实现对接收该策略的计算机实行IP与MAC绑定，当IP与MAC绑定发生变化时，可对其自动恢复、弹出提示框、或断开网络并持续阻断该计算机等。选中“主机IP保护”可防止其它设备使用与本机相同IP地址而造成的地址冲突。n 流量异常报警及处理：实现对流量可疑、发包数可疑、并发连接数可疑的客户端进行阻断、提示、上报给上级区域管理器操作。n 阻断报警处理：扫描报警,计算机曾经安装过探头,但探头被卸载,阻断其联网。扫描报警,设备没有注册, 阻断联网。n 安全事件源远程阻断：当扫描器发现有外来设备接入内网时，该功能可以有效地控制外来设备接入内网而带来的安全威胁，通过选中“没有注册则阻断联网”；对于已注册的设备进行阻断，已注册设备如果有违规行为（如非法外联、设备变化、IP绑定变化、探头被卸载、流量异常、主机运维异常、网络异常、病毒行为）进行阻断。3.10、第三方接口联动同第三方安全管理软件进行联动安全管理，如PKI/CA认证联动、防火墙联动、网管软件联动、安全管理平台等实施其它第三方接口。3.11、系统安全1、分级管理北信源内网管理安全及补丁分发系统支持对管理员分级管理，实现不同管理员管理不同内容,可分为授权、管理和审计等多种角色划分。北信源内网管理安全及补丁分发系统的“用户管理”操作功能为不同级别管理员提供权限设定，具有安全性高、可靠性强，适合集中授权、多角色参与监控的管理模式。用户分为超级用户、普通用户和审计用户：由超级用户开设并分配用户及权限。设定权限时根据工作需要，规定该用户所能操作的策略、管理的区域及查看的信息。设定权限时还可以根据工作需要设定用户是否是只读用户（只能看数据，不能改数据）还是有读写权限。超级用户权限：添加用户、删除用户、修改密码、给普通用户分配权限、进行控制管理等。普通用户权限：由超级用户开设并分配用户及权限。设定权限时根据工作需要，规定该用户所能操作的策略、管理的区域及查看的信息。设定权限时还可以根据工作需要设定用户是否是只读用户（只能看数据，不能改数据），还是有读写权限。审计用户：提供对系统管理用户的操作行为记录，记录管理员操作执行的策略详细内容。2、通信保护北信源内网管理安全及补丁分发系统的组件间通信时，数据传输是经过加密的。服务器端使用TCP协议80、88端口，客户端使用TCP协议22105端口，同时客户端数据上报和服务器端指令、策略下发采用加密算法，防止他人旁路嗅探信息。客户端和服务器端相互通信使用双向认证机制，防止已安装同类客户端的非本网络计算机非法进入网络，同时也防止模拟的假客户端和服务器进行通信。3、客户端保护机制北信源内网管理安全及补丁分发系统的客户端系统具有自我防护机制，防止用户随意停止、卸载。系统具备很强的自我保护功能，在正常模式和安全模式下均提供主机安全代理自身防护功能。并可防止用户停止代理进程、破坏代理运行目录和相关文件、停止代理相关服务。如需要，主机安全代理的程序和进程可做到用户不可见。客户机端软件基本部分在客户机上强制运行，运行时在客户机上没有界面，系统有专门的保护程序，通过系统的任务管理器不能删除该软件进程。客户端注册程序进程具有自我保护程序，在被用户停止时可自动启动。若网管要求强制卸载客端时，系统对主机安全代理提供特定的卸载程序，用户只能通过运行卸载程序停用删除主机安全代理或通过管理平台远程卸载。4、系统日志北信源内网管理安全及补丁分发系统提供局域网桌面安全防护产品运行审计和操作审计机制，保证系统的稳定运行。用户登录日志：详细记录登录用户登录时间、IP地址、登录用户名称等，以备进行事后审计。策略操作日志：针对管理员对系统策略的修改、增删等各种操作进行详细记录。5、 系统安全性设计保证管理系统服务器端使用的安全性，保证其受到恶意修改IP地址的方式攻击时的仍可正常工作，保证其在遭受DDOS攻击时仍可正常工作。管理系统客户端不会被用户手动卸载或意外停止，仅能通过特殊工具卸载。要求客户端出现异常（如停止工作）时管理端可自动获知情况并可进行相应的处理。6、服务器安全设计服务器系统具备保护服务器的主机数据包过滤功能。网络中出现恶意修改成与管理服务器相同信息（如相同的IP地址、相同的MAC地址等）的机器时，出现IP地址或MAC地址冲突等现象时，管理服务器将不会被阻断出网（即不会出现地址冲突的现象），只有发起恶意攻击的设备会被自动阻断，不会影响管理服务器的正常管理。四、系统所需软硬件配置系统管理主机： 专用服务器或高档PC服务器，Windows2000 Server（SP4）以上操作系统（安装IIS），MS SQL SERVER（SP3） 数据库。基本配置：P4 2.0G 以上CPU，512 M以上内存，硬盘40G。 建议配置：P4 2.8G 以上CPU，1G以上内存，硬盘80G以上。用户管理控制台：建议安装在系统管理主机上，IE6.0(SP1)以上版本。北信源内网管理安全及补丁分发系统安全管理中心具有较强的负载能力，在管理数量较大的客户端时（最大支持30000台终端），系统仍保持较高的效率（计算机硬件系统内存要求到2G）。五、北信源产品技术优势优势1：北信源公司内网安全产品目前市场占有量第1名目前客户端的用户数量已超过百万，被管理的网络达数千个。典型的国家部委和大型企业客户有：公安部、国家税务总局、全国人大、全国政协、中共中央宣传部、国家发改委、国家统计局、中国科学院、胜利油田、银河证券、住房公积金管理中心、长安集团、欧莱雅中国等。北信源内网安全管理产品技术十分成熟，运行稳定，质量可靠，在各种大型国家级复杂网络环境的各种操作系统上长期使用。优势2：北信源公司拥有10年为国家大部委系统提供