070823_天珣内网安全风险管理与审计系统技术白皮书.doc

天珣内网安全风险管理与审计系统天珣内网安全风险管理与审计系统 技术白皮书技术白皮书 目目 录录 1 背景背景 1 2 系统介绍系统介绍 2 3 功能简介功能简介 3 3 1 天珣内网安全风险管理与审计系统基本功能 3 3 2 客户端软 硬件资产管理 3 3 3 客户端行为管理 4 3 4 客户端网络访问管理 4 3 5 客户端安全漏洞管理 5 3 6 客户端补丁分发管理 5 3 7 客户端审计和报表功能 6 3 8 客户端快速部属安装 认证功能 6 3 9 系统所需软硬件配置 6 4 系统架构系统架构 7 1 背景背景 常规安全防御理念局限在防火墙 IPS 防病毒网关等网络边界处的防御 安全设施 大都部属于网络入口处 在这些 铁将军 的严密把守之下 来自网络外部的安全威胁大大 减小 但是 根据多数网络管理人员所反映的问题是 繁杂而琐碎的安全问题 大都来自 网络内部 事实表明 解决了网络内部的安全问题 效果接近于排除了一半的安全忧患 因此 内部网络安全必须作为整体安全管理的一个重要组成部分来对待 北京启明星辰信息技术有限公司针对政府机关 保密机构 军队 金融 企业网络等 内部网络实际管理要求 在总结十多年对国家部委 集团 中小企业网络的安全管理 安 全现场保障基础上专门研制开发了天珣内网安全风险管理与审计系统 并经严格测试通过 公安部 国家保密局等相关主管部门的认证 震荡波 病毒爆发后 很多部委 企业单位所面临着 6 大突出问题 1 如何进行补丁自动分发部署和补丁控制 微软公司 SUS SMS 存在功能不足 2 如何进行外来笔记本电脑随意接入控制 3 如何防范网络物理隔离泄漏 4 如何对未安装防病毒软件的终端进行统计 5 如何对感染蠕虫病毒的计算机快速定位 并强制其断开网络连接 6 如何有效进行网络 IP 设备资源管理 7 如何对终端的安全策略进行统一配置管理 8 如何审计终端的各种违规行为 天珣内网安全风险管理与审计系统全面提供针对上述问题的解决方案 协助网络管理 人员全面实现网络资源 设备资源 客户端资源和应用资源等方面的管理控制 进行网络 隔离度检测 入网设备监控 系统软件 补丁 自动检测分发和违规事件发现 安全事件 源 病毒等 定位分析等操作 2 系统介绍系统介绍 天珣内网安全风险管理与审计系统协助网络管理人员进行网络和设备资源 客户端 软硬件资源 客户端行为和客户端病毒和补丁方面的管理控制 如网络隔离度检测 入 网设备监控 系统软件 补丁 检测和违规事件发现 安全事件源 网络病毒等 定位 分析等 应用构架支持局域网 广域网 使用效果最佳 真正意义上的解决 真正意义上的解决 1 移动设备 笔记本电脑等 和新增设备未经过安全检查和处理违规接入内部网络 未经允许擅自接入电脑设备会给网络带来病毒传播 黑客入侵等不安全因素 2 内部网络用户通过 model 红外设备 无线设备或蓝牙设备等进行在线违规拨号 上网 违规离线上网等行为 3 违反规定将专网专用的计算机带出网络进入到其他网络 4 网络出现病毒 蠕虫攻击等安全问题后 不能做到安全事件源的实时 快速 精 确定位 远程阻断隔离操作 安全事件发生后 网管一般通过交换机 路由器或 防火墙可以进行封堵 但设置复杂 操作风险大 而且绝大多数普通交换机并没 有被设置成 SNMP 可管理模式 因此不能够方便地进行隔离操作 5 大规模蠕虫或木马病毒事件发生后 网管无法确定病毒黑客事件源头 无法找到 网络中的薄弱环节 无法做到事后分析 加强安全预警 6 静态 IP 地址的网络由于用户原因造成使用管理混乱 网管人员无法知道 IP 地址 的使用 IP 同 MAC 地址的绑定情况以及网络中 IP 分配情况 7 自动检测网络计算机系统漏洞 弱口令等问题 并能够自动将系统所需要补丁分 发到网络每一台计算机 为计算机自动打补丁 8 各种软件自动分发功能 脚本定制开发 9 大型网络系统中区域结构复杂 不能明确划分管理责任范围 进行多用户管理 10 网络中计算机设备硬件设备繁多 不能做到精确统计 实现节点桌面控制 11 控制用户随意使用各种 USB 移动设备而导致的机密文件外漏 3 功能简介功能简介 3 1 天珣内网安全风险管理与审计系统基本功能天珣内网安全风险管理与审计系统基本功能 客户端分组管理功能客户端分组管理功能 可按客户端各种软 硬件特征 IP 范围 注册信息等进行 进行分组管理 策略管理功能 策略管理功能 可根据时间段和时间点定制策略使用或禁止使用的触发条件 并 可根据创建区域 自定义组 操作系统 IP 范围 和按照条件搜索的设备进行策 略分组分发管理 日志功能 日志功能 记录系统登陆 操作及客户端违规日志 可进行模糊查询 并支持按 管理员自定义字段进行报表导出 全网统一升级 全网统一升级 管理中心升级后 全网客户端程序即自动升级 转发代理功能 转发代理功能 为在软件分发 或补丁分发 的过程 尽量减少消耗网络资源 保证客户端可从其他客户端下载分发软件 终端代理扫描功能 终端代理扫描功能 各个 VLAN 中的注册客户端可触发扫描功能发现网络中的设 备信息 并上报到服务器 减小了网络复杂性带来的部署难度 并可发现安装个 人防火墙的非法接入设备 多级部署 多级部署 管理中心可多级部署 由上级管理中心统一配置管理策略 由下级管 理中心将违规报警信息的级联上报 3 2 客户端软 硬件资产管理客户端软 硬件资产管理 硬件资产管理功能 硬件资产管理功能 自动收集网络中各种硬件设备的精确配置信息 包括 CPU 型号及主频 内存型号及大小 硬盘型号及大小 设备标识 主板信息等硬件信 息 并可手工添加硬件设备的描述信息 硬件设备控制功能 硬件设备控制功能 控制外设的使用 如对软驱 光驱 USB 移动存储 USB 全部接口 打印机 Model 串口 并口 1394 控制器和红外设备进行启用或禁 用等操作 软件清单管理 软件清单管理 自动收集安装在每台计算机上的每种应用程序信息 包括安装的 操作系统和应用软件种类 版本号以及安装时间等信息 软件安装黑白名单控制 软件安装黑白名单控制 可制定软件安装和进程的黑白名单 并对安装未经许可 的应用软件的问题计算机进行告警 断网等处理 对运行未经许可的进程进行查 杀 同时将违规日志上报服务器 并支持按条件查询 软件分发安装 软件分发安装 向指定客户端 用户组 分发文件 可进行后台安装 或根据软 件的运行参数执行 同时将文件分发和安装的状态上报服务器 并支持按条件 查询 3 3 客户端行为管理客户端行为管理 移动设备行为审计 移动设备行为审计 可控制移动设备 USB 存储 USB 光驱或 USB 软驱 的读 写操作 并对拷进 拷出的文件进行审计处理 同时支持违规日志的条件查询 IEIE 访问检查 访问检查 审计用户访问的 URL 地址 同时将违规日志上报服务器 并支持违 规日志的条件查询 终端安全策略检查 终端安全策略检查 检查终端设备的开机密码是否为弱口令 口令强度 屏保状 态 密码保留周期等安全要求 并可实时监控用户或用户组权限的变化及注册表 的变化 对于不符合安全要求的行为进行警告或上报服务器 并支持违规日志的 条件查询 打印输出审计打印输出审计 设置不允许打印的文件扩展名 网络共享输出 网络共享输出 可禁止将指定扩展名的文件拷贝到网络盘 文件内容检查 文件内容检查 审计终端设备上的文件内容 对于包含管理员制定的黑名单上关 键字的文件可进行警告或上报服务器 并支持违规日志的条件查询 IP MACIP MAC 绑定 绑定 对被控终端设备和非被控终端设备进行 IP MAC 绑定 并实时阻断 非法篡改 IP 或 MAC 地址的非法主机 或对被控终端进行 IP MAC 及网关地址 的恢复 同时将违规日志上报服务器 并支持违规日志的条件查询 3 4 客户端网络访问管理客户端网络访问管理 违规入网管理 违规入网管理 对未经允许 擅自接入网络的设备进行实时的警告和阻断 防止 病毒传播 黑客入侵等不安全因素 违规外联管理 违规外联管理 实时监测终端设备通过 model 红外设备 无线设备或蓝牙设备 等进行非法外联的行为 可对其进行实时阻断 警告等处理 同时将违规日志上 报服务器 并支持按条件查询 内建个人防火墙 内建个人防火墙 系统内建个人防火墙 可对终端设备的本地端口 远程端口 TCP UDP ICMP 等网络应用进行全网的统一管理 并可进行 IP 区域的访问 控制 3 5 客户端安全漏洞客户端安全漏洞管理管理 终端流量管理 终端流量管理 实时监测终端流量阈值和并发数 对超过设定阈值和并发数的终 端进行实时阻断 警告等处理 同时将违规日志上报服务器 并支持按条件查询 客户端防病毒软件监控 客户端防病毒软件监控 可监控主流防病毒厂商的防病毒软件在客户端的安装情 况并以图表的形式直观表示 报警未安装杀毒软件客户端 客户端运维情况监控 客户端运维情况监控 检测终端设备的 硬盘 含每个硬盘分区 内存等 的资源占用情况 可自主设定阈值 以确定终端系统资源占用是否达到上限 是 否应该升级 进程异常 进程异常 对未响应进程和意外退出进程进行 如退出 退出并重起等 处理 客户端脚本分发 客户端脚本分发 可自定义 xml 脚本操作并进行分发 修改客户端如注册表等配 置 以便实现特定管理操作 3 6 客户端补丁分发管理客户端补丁分发管理 集成补丁下载服务器 集成补丁下载服务器 可对补丁集中下载 并针对物理隔离的内网 使用增量式 补丁自动分离技术 在外网分离出已安装 未安装补丁 分类导入 即仅对内网 的补丁进行 增量式 的升级 减少拷贝工作量 内建补丁分析器 内建补丁分析器 自动建立补丁库 支持补丁库信息查询 针对下载的补丁进行 归类存放 按照不同操作系统 补丁编号 补丁发布时间 补丁风险等级 补丁 公告等进行归类 帮助管理人员快速识别补丁 补丁自动补丁自动 手动分发 手动分发 支持用户自定义补丁策略自由配置分发 基于补丁级别 补丁类型 系统补丁 IE 补丁 应用程序补丁 以及网管自定义补丁等制订策略 自动或手动发送至客户端后统一执行 补丁下载代理转发 补丁下载代理转发 系统提供补丁自动代理转发功能 提高补丁下发效率 减少 网络带宽的占用率 节省网络资源 补丁安全性测试 补丁安全性测试 补丁分发前测试 支持网管测试组定义进行补丁安全性测试 提高打补丁的成功性 安全性 可靠性 3 7 客户端审计和报表功能客户端审计和报表功能 能够自动生成操作系统软件安装 补丁管理 硬件资产管理等日通报能够自动生成操作系统软件安装 补丁管理 硬件资产管理等日通报 通报汇总 操作系统软件 补丁安装及报警情况 用户可通过固定表格和定制模版 组态报 表 两种方式得到报表 固定报表提供基础的 重要的报表 而定制模版可以由 用户自定义 产生用户所需要的统计报表 系统报警统计报表功能系统报警统计报表功能 网管可以按照报警种类选择性接收系统报警信息 并提 供多种报警方式通知网管 级联管理报表报警 级联管理报表报警 支持设备信息级联管理 违规报警信息级联上报 为实现多 级管理提供扩展 报表打印 输出 报表打印 输出 能够将所有信息按照各种组合查询灵活生成报表 提供多种形 式的输出 打印功能 3 8 客户端快速部属安装 认证功能客户端快速部属安装 认证功能 采用级联式网页分发注册 网络中的客户端访问本地的 WEB 网站进行在线或离线 透明注册安装 客户端程序占用资源均极小 CPU 占用率小于 5 内存占实际内存约 18M 虚拟 内存 2M 系统本身具备认证功能 客户端通过服务器认证后才可正常使用 管理员可以远程批量卸载客户端程序 3 9 系统所需软硬件配置系统所需软硬件配置 系统管理主机 系统管理主机 专用服务器或高档 PC 服务器 Windows2000 Server SP4 以上操作系统 安装 IIS SQL SERVER 数据库 基本配置 P4 2 0G 以上 CPU 512 M 以上内存 硬盘 40G 建议配置 P4 2 8G 以上 CPU 1G 以上内存 硬盘 40G 以上 用户管理控制台 用户管理控制台 安装在系统管理主机上 IE6 0 SP1 以上版本 终端用户 终端用户 P2 300MHZ 以上 CPU 128M 以上内存 4G 硬盘以上 WIN98 以 上操作系统 4 系统架构系统架构 天珣内网安全风险管理与审计系统组成 SQLserver 数据库模块 web 网页管理平台 管理配置 报警界面 区域管理器 RegionManage 等 图 2 SQLserver 数据库模块数据库模块 建立内网安全管理系统的初始化数据库和表 表中字段包括 网络客户端设备属性信息 如 IP MAC 所属部门 使用人姓名 联系方式 计算机硬件 信息等 区域管理器 IP 管理范围 区域设备扫描器配置字段 将网络中所有注册的机器 信息全部列出 对于非法入网 随意改变 IP MAC 更换硬盘 内存等硬件设备的计算机 区域管理器将会从数据库中进行遍历搜索对比 将扫描获得最新设备信息实时上报 WEB 网页管理平台网页管理平台 本系统的网络管理配置界面 其中包括了应用系统整体策略 管理区域管理器 注册客户端 察看全网络设备信息等情况 区域管理器 区域管理器 为系统策略控制及数据接收处理中心 具有控制完成系统相关的动作行 为处理