内网安全需求解决方案.doc

1 XXXX 单位单位 内网安全管理解决方案内网安全管理解决方案 北京北信源软件股份有限公司北京北信源软件股份有限公司 20XX20XX 年年 XXXX 月月 2 目目 录录 目目 录录 2 一 系统需求分析一 系统需求分析 4 1 1 当前网络环境 4 1 2 网络管理中面临的问题 4 1 2 1 非法接入问题 4 1 2 2 终端安全管理问题 5 1 2 3 IP 地址管理问题 5 1 2 4 移动存储设备管理及安全审计管理问题 5 1 2 5 非法外联问题 6 1 2 6 终端补丁管理和软件分发问题 6 1 2 7 资产管理问题 6 1 2 8 缺乏统一的远程帮助平台问题 6 二 内网安全解决方案二 内网安全解决方案 8 2 1 系统部署和管理构架 8 2 2 系统部署时的硬件配置 8 2 3 终端节点加固 9 2 3 1 补丁自动分发和管理 9 2 3 2 网管可统一配置的主机防火墙 网管控制包过滤 13 2 3 3 弱口令监控 15 2 3 4 用户权限变化监控 15 2 3 5 关键进程加固 15 2 3 6 注册表加固 16 2 4 终端全面管理 17 2 4 1 IP 地址管理 17 2 4 2 IP MAC 地址绑定 18 2 4 3 禁止修改网关 禁用冗余网卡 18 2 4 4 资产管理 19 2 4 5 终端桌面管理 20 2 4 5 1 流量管理和控制 20 2 4 5 2 软件及进程监控 21 2 4 5 3 硬件及端口控制 23 2 4 5 4 点对点审计和维护 24 2 4 5 5 上网访问控制 25 2 4 5 6 垃圾文件清理 26 2 4 5 7 其他管理 26 2 4 5 8 终端消息通知 27 2 4 6 终端安全管理 27 2 4 6 1 桌面密码权限管理 27 2 4 6 2 终端统一防火墙和杀毒软件管理 27 3 2 4 6 3 注册表监控 保护 28 2 4 6 4 终端连线 离线策略管理 29 2 4 7 网络主机运维监控 29 2 4 8 非法外联行为监控 30 2 4 9 普通文件分发 30 2 5 网络接入控制管理 31 2 5 1 VRV 设备接入控制概述 31 2 5 2 设备接入控制实现模式 31 2 5 2 1 基于 802 1x 协议的交换机端口接入认证 31 2 5 2 2 基于设备接入网关的互联网接入认证 33 2 5 2 3 基于设备接入网关的业务服务器接入认证 34 2 5 2 4 基于 VPN 的访问控制 35 2 5 3 身份认证系统与 EDP Agent 双重认证 36 2 5 3 1 双重认证功能描述 36 2 5 3 2 双重认证功能实现方法 37 2 6 移动存储管理及安全监控强审计管理 38 2 6 1 移动存储管理 38 2 6 2 文件保护和访问审计 39 2 6 3 文件输出审计 40 2 6 4 注册表审计 41 2 6 5 上网访问行为审计 41 2 6 6 聊天行为审计 42 2 6 7 其他行为审计 43 2 7 档案 报警和日志管理 43 2 7 1 档案管理 43 2 7 2 日志管理 46 2 8 实名化管理 46 2 9 远程呼叫帮助平台 47 2 10 远程数据包和流量分析工具 48 三 预计可达到的成效三 预计可达到的成效 50 4 一 系统需求分析系统需求分析 1 11 1 当前网络环境当前网络环境 标红部分按具体实际情况写 XX 单位 简单介绍 XX 单位 随着单位信息化建设的不断加强 XX 单位 的终端计算机数量还在不断增加 网络中的应用日益复杂 XX 单位的网络保障 着各种日常工作的正常运行 保证其安全 正常的运行十分重要 目前 XX 单位为了维护网络内部的安全及提高系统的管理控制 需要对单位 内部 XX 台终端统一部署配置网络 并实施安装统一的网络安全产品进行管理 其网络是物理隔离网络 允许连接到 INTERNET 广域网 许多终端并没有完全通 过 IT 设备连接入网 虽然使用了多种安全监控手段 但是在当前的使用中还会 存在很多的问题 网络安全员和网络管理人员疲于应付各种安全和日常维护事 件 网络也经常收到各种安全事件的威胁 其网络可能面临着如下的桌面节点 安全和管理问题 1 21 2 网络管理中面临的问题网络管理中面临的问题 XX 单位已经建立了比较完善的网络管理行政制度 但是以往在网络管理工 作因为缺少相对应的技术手段 网络管理制度无法得以落实 致使管理员的日 常维护工作繁琐 同时还有信息泄密的风险 一个成熟的网络安全管理理念应 该全方面的主动防御 而不是事后责任追查 网管人员在多年的管理中总结出 部分有待解决的需求 1 2 1 非法接入非法接入问题问题 在 XX 单位单位内部可能会出现外来笔记本接入的问题 可能会造成单位内 部的涉密文件被窃取 引入病毒等严重后果 需要禁止非法 PC 机接入内网及和 内部主机相互连接 防止重要资料的泄漏 防止内网用户通过拨号等外联方式 连接互联网 需要对外来终端设备进行详细的安全认证及身份认证 5 1 2 2 终端安全管理问题终端安全管理问题 计算机病毒是目前对网络及计算机安全最大的威胁 目前 XX 单位内部虽 然已经统一配置安装了 XX 杀毒软件 能够对病毒进行一定效果的防范 但是 仍存在终端升级不及时 版本不统一 管理不规则等问题 目前 XX 单位的终端的密码经常被改动 其安全性 包括密码长度 弱口 令等方面 得不到有效的保障 而且终端的注册表也经常被改动 不能够对其 进行及时有效的发现与控制 这些都对内网的安全造成了威胁 XX 单位的许多终端的 IE 的安全性令人担忧 而且有些终端已经安装了不 安全的插件和恶意软件 这是一个急需解决的问题 XX 单位的内部网络经常会出现流量过大的问题 造成网络的不畅甚至拥塞 急需对网络流量进行监控 而且 XX 单位员工上网行为往往不规范对终端的上网 访问行为进行审计 对其违规操作进行阻断 办公环境的计算机不允许安装及使用与办公无关的软件 当发现有非法使 用违规软件是应该立即禁止 需要对软件的安装过程及软件执行所启动的进程 进行控制 对于其他不安全的进程以及服务也需要加以监控 1 2 3 IP 地址管理地址管理问题问题 以往对网络内 IP 地址分配和管理都需要人工来进行操作 并且在 IP MAC 绑定上需要网管型交换机来完成 前期网络管理员的工作量太大 在有新的设 备入网时网络管理员需要再次对交换机进行操作 如果操作不当可能造成一个 资源子网不能正常工作 影响业务系统正常高效工作 当没有进行 IP MAC 绑 定时会出现私自盗用他人 IP 地址的行为 造成合法的 IP 使用人不能正常入网 工作 IP 盗用成功后 如果有违规的网络行为时也不便于进行事件责任定位 1 2 4 移动存储设备管理及安全审计管理问题移动存储设备管理及安全审计管理问题 外来移动存储设备随意接入网络内终端同样可能会造成单位内部的涉密文 件被窃取 引入病毒等严重后果 对于具有防火墙 网关等硬件防范的网络 移动存储介质在网络内部造成病毒感染是病毒在内网传播的主要方式 如何防 止外来移动存储介质随意接入网内终端 如何保护终端的涉密信息 对涉密信 6 息的访问 修改 复制 删除进行控制和审计 如何能够对涉密文件的打印 发邮件 网络共享进行控制 发现敏感字能及时过滤 并对以上所有行为进行 审计记录是急需解决的问题 1 2 5 非法外联问题非法外联问题 对于 XX 单位来说 保密工作是一项非常重要的工作 内部人员非法连接外 网会增大病毒渗入和黑客攻击的风险 更为严重的会导致内部资料的泄露 给 XX 单位造成无法逆转的严重损失 为了防范这些隐患 必须防止内部人员未经允许非法连接外网 1 2 6 终端补丁管理和软件分发终端补丁管理和软件分发问题问题 对于 XX 单位的内部网络 每台终端的操作系统及相关软件的补丁更新是用 户及网管员最为烦琐的问题 没有妥善的管理体系 轻则会因为流量问题 导 致网速较慢或断开网络 重则由于兼容问题造成机器蓝屏 死机等 影响单位 的正常工作活动 这就需要有相关系统能够完成客户端操作系统补丁检测 补 丁下发 补丁安装 补丁安装信息回馈等功能 而且能够分发任何形式的软件 软件下发后能够获取软件下发整体情况 用以及时调整软件下发策略 1 2 7 资产管理资产管理问题问题 对 XX 单位网络的管理而言 软硬件资产的管理将是非常重要的一个组成部 分 如果不能全面的掌握终端计算机的软硬件资产 那么对于终端上非法安装 的软件以及终端硬件的变化就无从知晓 这就可能造成单位硬件资产的流失 对网络的全面管理更无从谈起 1 2 8 缺乏统一的远程帮助平台缺乏统一的远程帮助平台问题问题 XX 单位的终端用户对计算机的熟悉程度参差不齐 对于一些对计算机认识 不够用户来说 一个小小的软件使用问题都有可能要求助于网络管理员 一旦 出现程序无法正常运行时往往束手无策 部门的分布比较广泛 管理员往来奔 波 致使处理问题的效率不高 如果计算机用户能在远程发出求助请求 管理 7 员在远程进行程序安装 调试程序 势必会节省时间 提高管理员的工作效率 统一的远程呼叫帮助平台就成为必要 8 二 内网安全解决方案二 内网安全解决方案 2 12 1 系统部署和管理构架系统部署和管理构架 XX 单位网络为内部隔离网络 网内有 XX 台终端 根据实际情况需要可以 部署 X 级内网安全管理系统对终端进行统一监控和管理 一级管理节点部署 在 二级管理节点部署在 三级管理节点部署在 根据实际情况填写 由于系统管理采用 B S 构架 管理员可在网络的任何终端通过登录内网管理服 务器的管理页面进行管理和各种信息查询 所有的网络终端需要安装客户端程 序以对其进行监控和管理 具体的部署和管理构架如下 网络通过内网安全管理服务器对全网进行网络客户端的各种策略和配置补 丁以及文件的下发 流量监控 违规联网监控 入网设备联网状况监控 终端 软硬件管理 系统文件分发 消息分发等工作 并对客户端进行各种行为和状 态的监控 网络终端上的客户端程序可将各种网络终端的状态信息 日志信息 和报警信息上报 可通过管理节点对异常计算机进行断网等处理 也可通过系 统远程对客户端进行故障诊断和维护 如果实际情况需要 系统可以进行无限制的多级级联部署 各级网络独 立安装相应的管理软件 下级管理节点统一汇总本级的报警信息和统计信息 统一上报管理节点 上级管理节点的管理策略 命令 各种补丁或病毒库升级 文件统一下发下级管理节点 系统将来可根据实际需要在客户端数量 管理层 次和功能扩展上进行无缝平滑扩展 在同一级管理节点 可根据实际网络拓扑情况 安装多块网卡 满足对同 级不同网段的管理 拓扑图 2 22 2 系统部署时的硬件配置系统部署时的硬件配置 管理控制台 管理控制台 管理服务器 1 台 硬件需求 硬件需求 CPU 至强 2 8 或以上 2 1G 内存 9 硬盘 146G SCSI 或以上 软件需求 软件需求 操作系统 Win 2000 Server 或 Win 2003 Server 数据库系统 SQL Server 2000 2 32 3 终端节点加固终端节点加固 2 3 12 3 1 补丁自动分发和管理补丁自动分发和管理 北北信信 源源补补 丁丁中中 心心 一一级级 补补丁丁库库分分类类 北北信信 源源补补 丁丁管管 理理中中 心心 二二级级 补补丁丁增增量量导导入入 补补丁丁测测试试 策策略略控控制制 推推拉拉分分发发控控制制 流流量量控控制制 多多级级级级联联控控制制 补补丁丁分分发发检检索索 补补丁丁自自动动识识别别 客客户户端端策策略略 客客户户补补丁丁查查询询 动动态态下下载载 转转发发代代理理 报报表表中中心心 北北信信 源源补补 丁丁管管 理理中中 心心 二二级级 客客户户端端 自自动动测测试试组组 真真实实环环境境 级级联联 同同步步 级级联联 同同步步 补丁监控和分发功能图 利用北信源主机监控审计与补丁分发系统可彻底解决补丁问题 其具体实 现如下 1 1 补丁策略制定 补丁策略制定 包括补丁应用策略制定 补丁文件分发任务制定 可以根据要求按照不同的区域进行划分 可按照 IP 地址 部门 操作系统 用户自定义等方式进行区域划分 具体的 补丁策略制定 具体可支持定时 定周期 分类 分部门 分范围 客户 机状态和用户自定义等策略 补丁策略分发 具备详尽的补丁分发策略 补丁可以定时 定周期 分类 分范围 分部门 分范围 客户机状态和用户自定义等进行分发 补丁文件任务制定 针对特定的一个补丁或多个补丁 对指定计算机或者 计算机网络进行补丁自动分发安装 补丁中心将网络客户端分类 设置测试类客户端 补丁在测试类机器上经 过严格测试后 再正式对其他类网络机器进行分发 10 此外 内网安全管理系统还提供补丁下载流量控制功能 补丁管理中心区 域管理模块能够对网络不同网段 不同区域的终端补丁升级进行流量 数量控 制 避免造成对网络的流量影响 合理控制网络带宽 实例图 2 2 补丁下载检测和增量式导入补丁下载检测和增量式导入 对于物理隔离的内部网络 其内部的补丁升级服务器中的补丁数据必须从 外部导入 巨大的补丁数据库使得每次补丁导入相当烦琐 为此 北信源使用 增量式补丁分离技术 在外网导出补丁时 可分离出内网已经安装的补丁 只 导入内网尚未安装的系统补丁 即仅对内网的补丁进行 增量式 的升级 以 提高效率 当有新的计算机补丁公布可以下载后 北信源公司由专门的人员在第一时 间内获得 并进行相应的分析 更新补丁索引文件 系统拥有专门的外网补丁下载服务器 能根据索引自动下载新增的计算机 补丁 补丁校验功能对所下载的补丁进行校验 保证计算机补丁的可靠性 完 整性 安全性 补丁在导入时并具有病毒检测功能 保证导入到补丁库中的补丁不被病毒 感染 3 3 补丁安全自动测试 补丁安全自动测试 11 XX 单位的环境中 可能会包含特殊的应用或特殊的软件版本 在这些环境 中 有时会出现打补丁后系统或应用异常的情况 所以在大规模补丁分发前需 要进行真实环境的补丁测试 北信源系统独创了真实环境闭环测试技术 具体 的流程是首先由网管选定某些计算机作为测试计算机作为测试组 每次补丁导 入后内网后 首先自动分发至这些选定计算机进行新补丁的安装测试 从而自 动地进行非模拟性自动测试 如果补丁安装后对测试计算机未产生影响 被测 试计算机能正常运行 网管员便可根据相应得策略对网络内的计算机进行大面 积的推送 此技术可以很好的减轻网管的测试工作量 并提高补丁安装的安全 性 补丁自动测试图 4 4 补丁库自动分类 补丁库自动分类 系统对存放到服务器上的计算机系统补丁能进行相应的分析 自动得出补 丁属性 类型和与之相关的补丁说明 并在网页中进行清晰明了的显示 可以 方便管理人员根据相应的需求 高效快捷定义补丁分发策略 及时的针对不同 的系统和需要分发计算机补丁 系统同时提供管理员自定义补丁类别的补丁管理方式 如果需要也可由相 关的管理人员自行设定相应的自定义补丁类别以符合其管理的需要 5 5 补丁库的级联和同步补丁库的级联和同步 系统可以针对补丁进行级联式的分发和管理 在级联级数没有任何限制并 在三级的基础上进行无缝平滑扩展 可定期进行同步校验 也可自主设定同步校验周期和时间 在有新补丁导 入时 也可以自动触发与下级服务器间的同步操作 所有的同步过程均可自动完成 上级服务器可以了解下级服务器补丁库是 否同步成功 12 6 6 补丁安装检测 自动分发补丁 补丁安装检测 自动分发补丁 XX 单位的网络管理人员通过本模块全面检测网络系统终端补丁的安装状况 并通过此模块 对没有安装补丁的设备进行远程补丁安装 将最新补丁升级包及 时分发到终端计算机 并提示安装修补 在客户端有明显提示 通知用户打补 丁 系统可以对客户端安装的系统的版本 IE 版本的补丁安装情况进行自动探 测和维护 客户端计算机的补丁安装情况包括 Windows Office IE 微软媒 体播放器等 自动搜集客户端系统资料和安装补丁资料 以根据客户端系统的 实际状况自动分发所需的补丁 7 7 补丁推送安装 补丁推送安装 当系统检测到有客户端未打补丁时 可对漏打的补丁进行推送式的安装 同时 通过推送安装 也可以为客户端安装应用软件 补丁推送分发可以跨网段 跨 VLAN 补丁分发支持断点续传功能 补丁下 发过程中 如遇到特殊事件造成网络中断 则在下次网络连通时通过校验得出 已传输的数据和断点位置 进行续传 8 8 系统补丁报表 系统补丁报表 监控程序将网络客户端补丁信息上报管理中心后写入数据库 在 WEB 管理 平台可进行补丁报表察看 统计网络客户端补丁安装状况 9 9 补丁下载流量控制 补丁下载流量控制 系统可以利用多种方式进行下载流量控制 1 系统能够根据网络的负载情况自动调整分发补丁时所占的网络带宽和并 发连接数 2 根据手动设置允许的带宽或服务器并发连接数及每个连接所允许使用的 带宽 3 系统同时支持客户端转发代理补丁下载 以减少网络带宽流量 提高效 率 1010 服务器端补丁查询 服务器端补丁查询 客户端软件实时监控客户端系统漏洞及补丁安装情况 服务器端补丁查询 补丁可根据补丁名称 待查询 IP 范围 操作系统 待查区域 查询时间或其它 条件对区域网络范围内的计算机终端进行补丁安装状况查询 通过网管设定的 13 查询条件 能快速的获知所查询补丁的安装情况 如补丁发送是否成功 补丁 安装是否成功 补丁是否已被安装等 以保证补丁及时的安装 1111 客户端网页查询补丁安装信息 客户端网页查询补丁安装信息 因为很多用户习惯通过访问微软的 Update 网页 检查自己漏打的补丁 并 进行下载安装 作为物理隔离的网络 内网中的用户无法访问此网页 因此从 用户的习惯角度出发 内网中也应该有类似的网页 以便用户访问和获知本机 补丁安装情况 进行补丁下载安装 安装了系统客户端的计算机可以通过访问 内网的特定网页 对本机所缺少的计算机补丁进行查询 查询结果在网页上进 行显示 计算机用户根据需要进行安装 1212 新 长时间关机 客户端入网先打补丁新 长时间关机 客户端入网先打补丁 对于 XX 单位网络 网络中可能会有网络攻击型病毒 在扫描终端漏洞 当 未安装补丁的终端接入网内时 可能会立即感染病毒 并成为新的病毒攻击源 因此新接入内网的终端 应只能和补丁管理服务器通讯 不能和其它设备进行 通讯 以免感染病毒 系统具备先进的判别技术 对于新机器或长时间关机的计算机 在其进入 网络时 能快速的发现并识别此类计算机 对这类计算机发送相应的提示 如 提醒用户下载并安装计算机补丁 提醒补丁下载的位置和计算机用户下载并安 装所需的计算机补丁 也可对这些计算机进行补丁强制推送 安装计算机所缺 少的补丁 系统可保证此新 长时间关机 的客户端刚接入网络时 不与网络 中除补丁服务器外其它计算机的通讯 只在上网后首先进行补丁安装工作 只 在补丁安装完成后 才开放其与网内其它计算机的通讯 2 3 22 3 2 网管可统一配置的主机防火墙 网管控制包过滤 网管可统一配置的主机防火墙 网管控制包过滤 蠕虫病毒均是通过一定的端口进行传播和发包 如果网管可以统一控制网 络中计算机的端口 关闭病毒使用的端口 进行端口加固 就可以有效阻止这 些病毒的传播和破坏 系统具备可由网管根据需要统一配置的客户端主机防火墙 可按照策略控 制客户端的特定端口的连接 包括禁用 开启 指定的端口 禁止 Ping 入 出 设定 IP 区域访问控制 进行包过滤控制等 也可禁止使用代理服务器 系统 不管如何设置包过滤规则 均不会造成维系管理服务器对客户机管理的通信无 法进行 14 当某些客户端临时离开内部网络安装到其它网络时 客户端软件的包过滤 功能和禁止使用代理服务器功能可根据管理员的预设置策略自动关闭或继续工 作 利用此功能可实现 1 端口控制 禁用填充项中指定端口 开放其它端口 开放填充项中指定端口 禁用其它端口 禁用填充项中指定端口 开放填充项中指定端口 端口可按照范围进行填写 2 ICMP 协议控制 禁止 ping 入 禁止 ping 出 协议双向禁止 3 IP 地址访问控制 只允许填充项中 IP 地址访问自己 禁止其余 IP 地址访问 只允许自己访问填充项中 IP 地址 禁止访问其余 IP 地址 15 2 3 32 3 3 弱口令监控弱口令监控 目前很多病毒已经可以 猜 出用户机的口令 如果计算机使用弱口令 病毒将会通过这些弱口令获得计算机的控制权 并进行传播 这类病毒的传播 行为靠杀毒软件或者补丁加固均无法进行控制 系统可以检查开机密码是否是弱口令 以保障系统不因为弱口令被病毒和 黑客攻击 2 3 42 3 4 用户权限变化监控用户权限变化监控 网络终端的权限一般不会被用户检查 正常的客户端用户权限极少改变 但是很多病毒和黑客的攻击很多是利用计算机上权限的变化实现的 计算机上 权限的变化造成的危害往往是致命的 因此十分有必要对终端权限的变化进行 监控 以告知终端用户和网络管理人员 利用此项功能可实现 利用此项功能可实现 1 当系统用户系统权限发生改变时 进行上报和客户端提示 2 当系统用户系统组权限发生改变时 进行上报和客户端提示 3 当系统用户增加时 进行上报和客户端提示 4 当系统用户减少时 进行上报和客户端提示 5 当系统用户组增加时 进行上报和客户端提示 6 当系统用户组减少时 进行上报和客户端提示 2 3 52 3 5 关键进程加固关键进程加固 设定关键进程 对关键进程进行保护 如果出现未响应进程和意外退出等 现象 被加固的进程将自动进行 如退出 退出并重起等 处理 可以保证查 询系统的正常运行 16 关键进程加固 2 3 62 3 6 注册表加固注册表加固 系统可屏蔽选定用户计算机的一些程序进程对注册表的使用 通过该策 略可以有效的防止违规进程对用户注册表的破坏 注册表保护策略 17 2 42 4 终端全面管理终端全面管理 对于成熟的网络管理来说 静态的 IP 地址管理以及成为一种趋势 IP 地 址的实名化管理和绑定成为必要 实名化的管理在网络事件发生时便于进行快 速的事件定位 缩短故障排除时间 进行 IP 地址绑定是为了防止他人非法盗用 他人 IP 地址以达到个人目的 并逃避责任 2 4 12 4 1 IPIP 地址管理地址管理 针对已经分配的 IP 地址采用实名化管理 便于快速事件定位 计算机用户列表 IP 地址占用列表 18 针对没有分配的 IP 地址能够自动发现非法占用 并进行处理 阻断未分配的 IP 地址 2 4 22 4 2 IPIP MACMAC 地址绑定地址绑定 通过策略配置快速的实现 IP MAC 绑定 绑定后 对私自修改 IP 计算机进 行地址恢复 或断网 同时上报服务器保存 IP MAC 绑定示意图 私自修改 IP 的违规查询 2 4 32 4 3 禁止修改网关 禁用冗余网卡禁止修改网关 禁用冗余网卡 如果终端装有双网卡 可使用 IP 与 Mac 绑定策略 中的 禁用冗余 网卡 功能来实现对冗余网卡的禁用 选中此项功能 则只保留与区域管 理器通信的网卡 禁用其他的网卡 19 2 4 42 4 4 资产管理资产管理 实际使用中 可能会出现客户端用户随意拆卸网络终端硬件的现象 这会 给网络终端的管理带来混乱 甚至可能造成内网网络信息网硬件设备资产的流 失 桌面计算机安装客户端程序后 客户端程序会自动收集当前计算机的各种 硬件信息 包括 CPU 内存 硬盘 网卡 MAC 地址 主板芯片 主板上的板卡 等主要硬件信息 信息收集完成后自动上报给 VRVEDP 服务器 保存在后台数据 库中 管理员有需要的时候只需要登陆管理平台 选择查询条件就会生成管理 员需要的硬件资产报表 同时还可以导出 Excel 报表 并可对其变化报警 20 终端资产示意图 报表生成示意图 2 4 52 4 5 终端桌面管理终端桌面管理 2 4 5 12 4 5 1 流量管理和控制流量管理和控制 蠕虫病毒和 BT 下载等行为在很多情况下会严重占用网络带宽 造成网络的 拥塞甚至瘫痪 对此可利用本系统进行流量的管理与监控 主要功能 主要功能 1 流量采样阈值设定 用户自主设定采样阈值 当流量 含出 入或总 流量 超过一定限度并持续一定时间后 进行有关信息上报 防止上 报数据过多给网络带来负担 2 上报的当前流量进行汇总 对当前的流量进行时实排序 以便网络管 理人员进行快速分析是否是网络安全事故 21 3 对网络客户端的历史流量进行统计和排序 并可生成报表 4 对并发连接数设定阈值并进行采样 5 对网络扫描的可疑行为进行阈值设定和报警 6 对客户端大量发包的可疑行为进行阈值设定和报警 7 对具备可疑行为的客户端进行报警上报 自动阻断 客户端提示等管 理 8 设定网络客户端流量上限阈值 对超过的进行报警上报 自动阻断 客户端提示等管理 流量策略实例图 2 4 5 22 4 5 2 软件及进程监控软件及进程监控 1 1 软件资源统一监控软件资源统一监控 1 软件资源统一监控 自动收集安装在每台计算机上的每种应用程序信 息 包括安装的操作系统种类 版本号以及当前补丁情况 客户机安装 的软件等信息和驱动程序情况 并进行汇总管理 2 系统能够及时检测主机软件信息变化情况 3 根据条件查询客户机安装的软件或指定软件被哪些客户端安装等信息 22 4 对软件安装进行黑白名单控制 即根据策略设定禁止安装的软件和必 须安装的软件 5 违规软件禁止安装功能 禁止在注册表 Run 项里添加自启动项 禁止 在注册表 Services 项里添加自启动项 禁止在程序启动项中添加项 禁止在程序项中添加快捷方式限制违规软件的安装 所有安装软件均可 进行审计 实例图 6 对重要的进程进行守护 防止由于意外或认为原因造成重要进程中断 7 对违规的客户端进行客户端提示和断网处理等相应措施 2 2 网络进程监视功能网络进程监视功能 统一汇总和监视网络各终端的进程 可以增量式的显示网络中新出现的进 程 也可统计网络中最常运行的进程 从而统计出网络客户端软件的使用情况 此系统可对网络中出现的异常进程 很可能病毒进程 进行定位和报警 在必 要时可直接阻断 23 实例图 2 4 5 32 4 5 3 硬件及端口控制硬件及端口控制 管理员在 Web 控制台禁用或启用终端用户的外部设备 禁用或启用终端用 户的某一端口 如启用或禁用软驱 光驱 U 口 打印机 Model 串口 并口 1394 火线口 红外接口等 其中 USB 存储设备 软驱 刻录光驱提供禁用 只 读 读写三种控制状态 其他类型外设提供禁用 可用两种状态 系统能够对 所有外设访问行为进行细粒度审计 实例图 24 2 4 5 42 4 5 4 点对点审计和维护点对点审计和维护 系统管理员通过系统以点对点的方式对客户端进行详细的监控审计 具体 包括以下内容 1 硬件资产清单 自动搜集包括 CPU 内存 硬盘分区总和 设备标识的大小和其他 详细信息以及其他如主板 光驱 软驱 显卡 键盘 鼠标 监视 器 红外设备 键盘等所有的硬件信息 网管可自主添加相关的附加信息 2 安装软件查询 查询设备所有安装的软件 3 终端进程管理 查询当前终端所有运行的进程 并可通过系统关闭非 系统进程 4 终端服务管理 查询当前终端运行的服务 可以远程关闭或开启服务 5 系统运行资源查看 具体包括 客户机流量 包括当前流入流量 流出流量 总流量 CPU 频率和使用率 内存大小和使用率 系统各硬盘分区大小和使用情况 6 补丁查询 查看系统漏打的补丁 7 日志查询 查看终端的系统日志 安全日志和应用程序日志 8 终端安全审计 查看用户的登录信息 历史记录信息 下载信息等各 种信息 9 消息通知 向用户发送消息 并可要求用户进行消息回馈 10 远程运行进程 可远程加载进程 11 共享目录检查 检查当终端的共享目录 12 修改网络配置 可查看网络终端的 IP MAC 子网掩码和网关信息 并 可远程修改用户的 IP 地址 13 远程卸载客户端程序 14 远程断开 恢复网络终端的网络 25 15 远程重新启动计算机 16 进行远程屏幕监控或接管 实例图 2 4 5 52 4 5 5 上网访问控制上网访问控制 对终端的上网访问行为进行审计 对其违规操作进行阻断 控制用户能访问 某些网站 或仅禁止访问某些网站 从而保证终端安全 26 2 4 5 62 4 5 6 垃圾文件清理垃圾文件清理 管理员可在 Web 控制台对终端用户某一文件夹下或全盘某些后缀的垃圾文件 或临时文件进行集中清理 目前的系统临时文件众多 而绝大部分业务用户均不会手动清除大量的临 时文件 这样会占用大量的硬盘资源 因此需要靠第三方系统主动的对其加以 清理 系统可协助用户维护 指定目录下的 临时文件 备份文件 帮助的历史 文件 IE 临时文件 安装临时文件 异常临时文件等各种应删除的文件 27 实例图 2 4 5 72 4 5 7 其他管理其他管理 1 系统自动关机管理 当终端鼠标 键盘在规定时间内无动作时对系统进行关机 2 终端时间同步管理 可对所有终端使用时间进行同步管理 3 终端服务管理 远程查看系统服务管理列表 支持对各项服务的启用 禁用设置 2 4 5 82 4 5 8 终端消息通知终端消息通知 管理员通过发送消息的方式对终端用户进行提醒 消息通知并确认回馈 发 送消息要求终端用户重新注册 同步终端数据和对终端的升级 28 实例图 2 4 62 4 6 终端安全管理终端安全管理 2 4 6 12 4 6 1 桌面密码权限管理桌面密码权限管理 对终端的密码管理权限变化及使用状况 包括密码长度 安全性 弱口令 等方面 进行审计检查及报警 同时对不符合要求的终端进行提示或强制修改 等处置 达到防止病毒及黑客入侵的目的 2 4 6 22 4 6 2 终端统一防火墙和杀毒软件管理终端统一防火墙和杀毒软件管理 管理员在 Web 控制台对终端进行统一的防火墙设置 对网络 IP 及协议访问 进行限制 在网络内建立虚拟的终端隔离区 另外对于大型网络 网络客户端由于用户使用水平的差别 会出现用户卸 载甚至退出统一安装的防病毒软件的情况 也会出现有个别用户被遗漏 未安 装防病毒软件的情况 管理员可利用 Web 控制台对终端所安装的杀毒软件情况进行监控和管理 并能够对终端杀毒软件实施远程操作 病毒查杀 升级 软件安装等 还可统 一监控网络内的防病毒软件 国内主流厂商的均可 安装情况和使用状态 了 解网络中的病毒软件安装状况 必要时可通过此系统强制为客户端安装防病毒 29 程序 如果需要 此系统也可监控终端软件的安装情况 并进行相应的管理 如安装杀毒软件软件 强行升级病毒库 自动分发并自动执行病毒专杀工具 等 2 4 6 32 4 6 3 注册表监控注册表监控 保护保护 Windows 的所有安全策略都是基于注册表的 通过改变注册表的有关配置 可以在指定方面很大程度上增强客户端的安全性 同时 木马和病毒的开机自 动启动一般也是通过改变注册表项 启动时自动加载实现的 因此有必要对注 册表进行检查和审计 主要包括 1 注册表保护与访问行为审计 防止未授权用户添加 更改 删除注册表相关内容 对用户访问注册表的操作进行审计 实例图 2 对注册表项 键名 键值进行检查 检查具备包括 键值必须符合 键值必须不符合 键值必须存在 键值必须不存在 30 3 出现违规注册表项时进行客户端提示或上报 注册表检查 2 4 6 42 4 6 4 终端连线终端连线 离线策略管理离线策略管理 注册终端自动侦测网络连接情况 根据连线 离线状况调用不同的安全策略 终端自适应采用离线安全策略或者连线安全策略 满足网络中计算机接入带出 的安全管理要求 2 4 72 4 7 网络主机运维监控网络主机运维监控 1 运行资源监控 在 Web 控制台对终端的 CPU 内存 硬盘的资源占用 率和剩余空间进行监控 设定危险等级报警阀门 2 流量异常监控 在 Web 控制台对终端的网络流入 流出和总流量进 行监控和管理 3 进程异常监控 在 Web 控制台对终端未响应窗口进行监控并结束或 重启该进程 对意外退出的进程进行监控和保护 4 客户端文件备份 针对终端计算机进行数据实时备份 将本机计算 机目录文件数据实时或定时备份到数据服务器或其它计算机上存储 针对局域网服务器数据存储等提供安全数据同步备份解决方案 31 2 4 82 4 8 非法外联行为监控非法外联行为监控 1 终端非法外联互联网行为监控 对于已注册的设备 通过不同方式 如双网卡 代理等 连接互联网进行的通讯 系统能够自动阻断 其连接行为并报警 2 终端非法接入其它网络行为监控 对于已注册的设备 监控其网络 连接行为 根据接入网络环境因素判定其是否非法接入其它网络 3 非法外联行为告警和网络锁定 如果终端非法入网 可以在报警平 台和报警查询处获知信息 并且可以对终端提示信息 自动关机 阻断联网等处理 2 4 92 4 9 普通文件分发普通文件分发 系统可提供服务器向客户端分发各种文件 如可执行文件并可以自动运行 服务器端可以选择分发的目标路径 设定运行参数 是否后台运行 同时向客 户端发送提示信息 分发完后可根据条件进行安装文件检测 确定文件安装成 功 普通文件分发策略 32 2 52 5 网络接入控制管理网络接入控制管理 2 5 12 5 1 VRVVRV 设备接入控制概述设备接入控制概述 VRV内网安全及补丁自动分发系统中设备接入控制功能可以保护XX单位内部 整个网络 包括可管理的 台式机 手提电脑 服务器 以及不可管理的 外 部访客 合作伙伴 客户 终端 利用VRV设备接入控制功能 XX单位能够强制 提升他们终端安全的能力 保证XX单位网络保护机制不被间断 配置正确无误 以及补丁拥有最新的时效性 以防御网络安全威胁 与此同时基于设备接入控 制网关 还可以对于远程接入XX单位内部网络的计算机进行身份 唯一性及安 全认证 同时可以选用专用的接入认证网关此硬件设备与系统管理中心联动 并实 现防火墙 VPN 接入流量控制管理 交换机网关接入控制等四大功能 其详细 功能如下 1 与内网管理软件联动 2 控制未注册终端接入网络 3 终端访问认证 4 终端网络资源接入访问控制 5 未授权设备访问重定向 6 支持关键区域接入控制模式 7 支持两个网络间以及办公网访问互联网接入控制模式 8 支持网络外终端接入内网的认证控制 通过VRV设备接入控制可以满足XX单位要求 将设备接入控制扩展到超出简 单远程访问及路由器 专有协议和已管理设备的限定之外 能够覆盖到XX单位 网络的每一个角落 甚至是当使用者拿着他们的移动设备离开XX单位网络时 仍能有效的提供VRV设备接入控制的执行 VRV内网安全管理系统针对所有的网 络架构工作 并且不必进行昂贵的网络架构改造 33 2 5 22 5 2 设备接入控制实现模式设备接入控制实现模式 2 5 2 12 5 2 1 基于基于 802 1x802 1x 协议的交换机端口接入认证协议的交换机端口接入认证 XX单位需要首先进行802 1x认证 在认证过程中通过EAP FAST进行状态确 认 RADIUS根据检查后的结果为用户分配不同的VLAN 通过EAPo802 1x控制 基于 802 1x 协议的交换机端口接入认证 802 1x协议与LAN是无缝融合的 802 1x利用了交换LAN架构的物理特性 实现了LAN端口上的设备认证 在认证过程中 LAN端口作为请求者 LAN端口则 负责向认证服务器提交接入服务申请 基于端口的MACW锁定只允许信任的MAC地 址向网络中发送数据 来自任何 不信任 的设备的数据流会被自动丢弃 从 而确保最大限度的安全性 在802 1x协议中 只有具备了以下三个元素才能够完成基于端口的访问控 制的用户认证和授权 1 客户端 安装在用户的终端上 集成在EDP Agent里 当用户有网络访 问需求时 EDP Agent自动激活客户端程序通过认证 或由用户手动输入必要的 用户名和口令通过认证 2 认证系统 在以太网系统中指认证交换机 其主要作用是完成用户认证 34 信息的上传 下达工作 并根据认证的结果打开或关闭端口 3 认证服务器 通过检验客户端发送来的身份标识 用户名和口令 来判 别用户是否有权使用网络系统提供的网络服务 并根据认证结果向交换机发出 打开或保持端口关闭的状态 2 5 2 22 5 2 2 基于设备接入网关的互联网接入认证基于设备接入网关的互联网接入认证 基于设备接入网关的互联网接入认证 第一步 注册管理 如果计算机没有安装客户端程序则由 VRV 接入网关控制终端访问范围 终 端计算机无法获取 INTERNET 资源 如果试图访问 HTTP 资源时 VRV 接入网关 会强制终端注册 第二步 安全检查 35 终端接入网络注册后 客户端程序将对终端进行安全检查 可以设置策略 对检查未通过的终端进行分发补丁 安装杀毒软件 执行必要修复等操作 安 全检查通过的终端根据自己权限获取可以访问的网络资源 2 5 2 32 5 2 3 基于设备接入网关的业务服务器接入认证基于设备接入网关的业务服务器接入认证 基于设备接入网关的互联网接入认证 第一步 注册管理 如果计算机没有安装客户端程序则由 VRV 接入网关控制终端访问范围 终 端计算机无法获取应用服务器资源 如果试图访问应用服务器 HTTP 资源时 VRV 接入网关会强制终端注册 第二步 安全检查 终端接入网络注册后 客户端程序将对终端进行安全检查 可以设置策略 对检查未通过的终端进行分发补丁 安装杀毒软件 执行必要修复等操作 安 全检查通过的终端根据自己权限获取可以访问的网络资源 36 2 5 2 42 5 2 4 基于基于 VPNVPN 的访问控制的访问控制 基于 VPN 的访问控制 第一步 注册管理 通过 VPN 方式接入 XX 单位内网的终端如果没有安装客户端程序则由 VRV 接入网关控制终端对内网的访问范围 终端计算机无法获取应用服务器资源 如果试图访问应用服务器 HTTP 资源时 VRV 接入网关会强制终端注册 第二步 安全检查 终端接入网络注册后 客户端程序将对终端进行安全检查 可以设置策略 对检查未通过的终端进行分发补丁 安装杀毒软件 执行必要修复等操作 安 全检查通过的终端根据自己权限获取可以访问的网络资源 37 2 5 32 5 3 身份认证系统与身份认证系统与 EDPEDP AgentAgent 双重认证双重认证 2 5 3 12 5 3 1 双重认证功能描述双重认证功能描述 1 EDP Agent 与身份认证系统的 key 绑定同时保证合法性 利用 EDP Agent 安全代理程序保障设备的唯一性 利用身份认证系统的 key 保障使用人的 唯一性 2 利用身份认证系统限定使用人的访问权限 利用 EDP Agent 扩展限定使用 人的访问地址范围 3 利用 EDP Agent 实现可控制策略的终端安全 审计及访问控制 限定包括 允许访问的地址和网站等 4 利用 EDP Agent 限制用户违规使用计算机 5 将 EDP Agent 的用户信息和安全策略绑定在 key 中 未使用 key 的用户无 法登陆计算机 6 EDP Agent 可以阻止其它用户通过信任终端作为代理服务器访问网络资源 38 2 5 3 22 5 3 2 双重认证功能实现方法双重认证功能实现方法 双重认证功能实现 VRVEDPVRVEDP 系统管理构架系统管理构架 基本构架 对于一般网络 例如 1 个 C 类地址或若干个 C 类地址的局域网 可使用一套本系统软件 集中管理所属区域内的所有设备 系统最大支持计算 机管理数量 15 000 台 此数量之外建议采用扩展构架 扩展构架 对于大规模的多个局域网或者跨地域广域网 包括基于国家 省 市 县等多级管理模式的网络结构 可使用本系统提供的多区域级联集中 管理功能 即在一个或多个网段各使用一套北信源内网安全管理及补丁分发系 统的同时 将本级所有安全信息转发至上级管理系统 上一级管理人员对整个 网络的安全状况能够完全掌握 上级管理系统可将安全策略分发至下级系统执 行 39 2 62 6 移动存储管理及安全监控强审计管理移动存储管理及安全监控强审计管理 2 6 12 6 1 移动存储管理移动存储管理 对于以 USB 存储设备 移动硬盘非法接入内网的情况 我们通过对外设及 端口进行启用 禁用控制 必要时候还能够控制只读入 可写出等细致操作行 为 管理控制中心可以启用 禁用除了人体工程学设备外的一切 USB 端口 可以 从驱动级禁用 USB 端口 光驱 软驱 串口 并口 打印机 红外 蓝牙 磁 带机 多网卡 1394 口 调制解调器 PCIMCIA 卡等 硬件设备控制 当涉密信息保存在流通于本地的移动存储设备中时 如果移动存储设备不 经过加密或保护 那么一旦移动存储介质遗失 在其他计算机能够直接访问 修改 将直接导致涉密信息外泄 北信源采取对移动存储介质写入保护标签的方法 首先对存在于 USB 移动 硬盘等设备内的涉密信息进行保护 然后通过策略 分配可以识别此标签的终 端的权限 分配对象可以是一台计算机 也可以是一个区域 一个部门或自定 义的计算机组 如何加为移动存储设备制作保护标签 详见第三章 移动存储介质被分配标签后可以实现以下功能 40 1 以分配标签的移动存储介质接入除本单位外的计算机或网络 不能够访问 2 以分配标签的移动存储介质可以在本网络内对部分 IP 终端可读写 其他未 分配的对象不可以访问 另外对移动存储设备按照标签密级度 进行分组管理 还要对移动设备审 计查询 查询事件内容包括设备接入 从移动设备拷入 拷出到移动设备等方 面 移动存储管理策略 2 6 22 6 2 文件保护和访问审计文件保护和访问审计 此项功能用于限制进程对指定文件访问 并对访问行为予以记录 利用此 项功能 可限制对于敏感文件的访问 保证敏感文件的安全 1 通过系统保护和审计选定用户 在本策略中的对象中设定的 计算机的 指定目录和网络共享文件的读取 修改 删除权限 2 通过系统设置当哪些进程操作指定文件时进行保护 哪些进程操作指定 文件时不实施保护 41 文件保护及访问审计 通过系统设置指定目录为工作目录 并指定进程对其进行操作 并对进程 操作进行控制 达到对工作目录的管理 2 6 32 6 3 文件输出审计文件输出审计 为了防止敏感文件的非法输出 如敏感文件的非法打印 邮件的非法发送 等 通过文件输出审计模块屏蔽和设置选定用户计算机的文件输出和监控 其 中包括设置打印机拒绝打印的文件类型 将固定扩展名的文件拷贝到网络盘 禁止发送邮件和对审记结果的上报 此功能可对终端文件的打印输出 网络共 享输出 邮件输出等行为操作进行管理控制 并详细记录其行为信息 进行上 报 如客户端违反相关的安全策略 进行非法的文件输出 系统可方便的进行 查询 42 文件输出审计 2 6 42 6 4 注册表审计注册表审计 通过本系统管理员在 Web 控制台对终端注册表的特定进程进行保护 针对不 同的操作系统 提供注册表项 键名 值类型和键值的安全检测 报警不安全 注册