内网安全解决方案.doc

内网安全解决方案内网安全解决方案 目录目录 第一章第一章 方案概况方案概况 4 1 1 概述 4 1 2 需求分析 4 1 2 1 客户需求 4 1 2 2 需求分析 5 第二章第二章 方案原则 依据及目标方案原则 依据及目标 10 2 1 方案原则 10 2 2 方案依据 11 2 3 方案目标 12 第三章第三章 系统架构系统架构 12 3 1 安全策略规划 12 3 2 内网安全系统的建设 13 3 2 1 智能安全网管 14 3 2 2 内网审计 15 3 2 3 内网监控 16 3 2 4 详细的审计 分析与报告 16 3 2 5 技术特色 17 3 2 6 网络拓扑自动生成 19 3 2 7 领先的安全监控和管理技术 20 第四章第四章 系统应用部署和安全策略系统应用部署和安全策略 21 4 1 系统部署 21 4 1 2 集中式部署 21 4 1 2 分布式管理部署 21 4 2 安全策略 22 4 2 1 安全技术 23 4 2 2 安全管理策略 24 第五章第五章 内网安全管理系统解决方案设计内网安全管理系统解决方案设计 25 5 1 简述 25 5 2 内网安全管理系统设计思路 25 5 3 内网安全管理系统工作模块功能分析 27 5 3 1 监控管理控制中心功能实现描述 27 5 3 2 客户端管理模块功能实现描述 29 5 3 3 客户端工作引擎的功能实现描述 30 第六章第六章 系统技术和选型原则系统技术和选型原则 34 6 1 系统性能参数 34 6 2 产品选型原则 36 第七章第七章 项目实施项目实施 37 7 1 项目实施组织机构 37 7 2 项目实施计划 39 7 2 1 项目实施前期 39 7 2 2 项目实施中期 42 7 2 3 项目实施后期 45 7 3 服务体系 45 7 3 1 培训体系 45 7 3 2 售后服务 46 第一章第一章 方案概况方案概况 1 11 1 概述概述 随着信息网络的迅速发展 在当今的信息时代 信息技术已经彻底改变我们 的生活和工作方式 也改变现行企事业单位的管理模式 作为信息的管理部门 必须考虑当前技术的发展给我们的工作所带来的利益和威胁 如何利用信息网络 进行安全的通信 同时保护计算机自身信息的安全性 成为当前网络安全和信息 安全迫在眉睫的问题 针对日益严重的内部信息泄漏问题 FBI对484 家公司调查显示 面对来自 于公司内部的安全威胁 85 的安全损失是由企业内部原因造成的 对于很多国 内企业来说 这可能有点耸人听闻 但是 他们肯定遇到过类似的事情 由于某 一员工误操作造成公司服务器上重要文档丢失 由于没有定义每位员工在系统内 的访问权限 使本该由一定级别的人员才能掌握的业务秘密泄露给竞争对手 对于这些来自公司内部的安全问题 不是靠单纯安装杀毒软件或防火墙就能解决 的 1 2 1 2 需求分析需求分析 1 2 11 2 1 客户需求客户需求 此处为真正的客户的需求 要描述出当前客户的具体的需求情况 XXX大型机构在网络化过程中面临的安全问题可包括网络系统安全和数据安 全 针对网络系统安全方面 机构需要防止网络系统遭到没有授权访问及非法入 侵 在数据安全方面机构则需要防止机要 敏感数据被窃取或非法复制 使用等 各类计算机病毒 系统陷阱 Trapdoors 隐蔽访问通道 黑客攻击等造成敏 感数据泄密 Web 站点瘫痪等等问题 都是机构实现网络化面临的外部威胁 如 何搭建安全的网络架构 如何将非法入侵者拒之门外 如何防止内部信息外泄 这些都是企业 机构在进行网络化过程中必须解决的问题 目前 机构仅仅利用Firewall 在网络的边缘设置了快速有效的网络防火墙 及IDS IPS系统 可以对网络入侵进行监控和防护 抵御低阶通讯层次的攻击 防止主机及个人电脑的入侵 检测恶意的可执行程序和阻绝网络的滥用 这种解决方案是针对外部入侵的防范 对于机构内部信息保密安全管理却无 任何作用 对于一个大型机构特别是政府机关 保密单位信息保密安全防范尤为 重要 以往人为控制的教育加监督 人工填写日志 的安全管理方式是无法阻止 内部工作人员运用现今的高科技信息载体主动或被动泄密 如利用EMAIL FTP 笔记本 光盘 可移动硬盘等 的 这是每一个安全管理人员必须认真对待的问 题 Internet 是一个开放的网络 同其高速发展相关的负面结果就是严重的网 络安全问题 特别是日益严重的内部信息泄漏问题 面对来自于公司内部的安全威胁 必要的安全措施对企业是如何重要 当前 国内的企业用重金购置防火墙 防病毒软件来防止外界威胁的同时 往往忽视了 对内部安全威胁的对策 1 2 21 2 2 需求分析需求分析 XXXXXX 单位的内部网络安全本质上是一种管理需求 目的是使 XXXXXXX 的各 项生产任务在信息化工作模式下能够安全的进行 管理是主要方式 信息化工作 模式建立在技术含量较高的计算机及网络技术之上 在管理过程中仅仅依靠人力 不能够满足网络安全管理的需要 也不能够面对今后随着技术发展带来的更多安 全需求 因此必须依靠各种技术手段来为网络安全管理提供有效的工具 降低管 理成本 提高管理效率 内网安全管理现状内网安全管理现状 在 XXXXXXX 的信息化工作模式中 涉密信息从产生到最终被处理 接受共经 历三层 终端层 传输层 服务器层 对每一层 都有同样的总体要求 即信息 不非法外泄 不被篡改 不被恶意毁灭 终端层是最初产生信息和最终接受信息 的层面 是工作人员接对话的信息化系统的界面 传输层是信息流的通道 服务 器层是信息流的中心控制区域及存储区域 针对每层有其特点 采取的安全防护 措施也不同 服务器层所需要的机房环境能够基本满足国家对与机房的安全要求 机房防 护系统完善 有温 湿度监控 防火 防盗 电视监控 服务器层是信息数据 的存放中心 因此海量数据存在物理介质损坏 病毒攻击损坏等等损坏或丢失的 风险 并且威胁很大 传输层的设备如交换机 路由器在专用房间存放 传输层的电信号线路在工 作时会产生电磁泄漏 因此存在一定的电磁信号被窃听风险 传输层设备基本采 用交换机 使用 VLAN 以及路由访问控制技术进行数据交换 并且设备口令和设 置进行严格管理 对于网络欺骗 网络侦听等黑客行为有很强的阻挡行为 威胁 很小 符合保密要求 终端层包括 XXXXXXX 的近 XX 台个人计算机 所在的环境比较复杂 一部分 涉密程度较高的计算机处于远离 XXXXXXX 物理边界附近 终端层计算机因工作需 要安装软件时不慎带入计算机病毒产生很大的威胁 终端层计算机现在基本上使 用 WINDOWS 操作系统 WINDOWS 操作系统经常被发现有严重的漏洞存在 直接威 胁到计算机之间的非法访问 如直接在未授权的情况下从一台机器访问到另一台 机器的文件 内网安全的问题内网安全的问题 在终端层随着移动存储器技术的普及 从计算机中将数字信息带出 XXXXX 网 变得非常简易 移动存储介质体积轻巧 容易隐藏 安装方便 因此针对移动存 储行为的有效管理成为我们面临的重要课题 同时 随着打印机在各单位的普及 也产生了打印文件无序的部分局面 单位内部也要加强对普通工作人员的管理 安装单位内指定的防病毒软件 安装操作系统修补程序 对于一般企业来说 既缺乏专业的人才 又没有相应的软件 要做好企业信 息安全会有更多的困难 随着当前信息化建设的深入 企业内部网络节点不断增 加 各项业务数据库不断增长 如何确保网络及数据的安全 已经成为我们信息 化工作的一个重要任务 系统的安全是一个整体的问题 要在整体看的同时 我 们还要分解来看 多个方面不同角度分别考虑和实施 对于一些内部网与互联网有物理隔离 因而与互联网相比 其安全性较高 但在日常运行管理中我们仍然面临用户修改系统配置 IP地址管理 随意安装一 些软件 上班时间做自己私事 违规使用网络事件等问题出现 严重的影响了正 常的办公和业务来往 内部网络与外部网络相比而言 内部网络速度更快 防范疏漏 安全措施简 单 内网存在如下安全隐患 局域网速度快 信息容易快速被窃取 监控时机转瞬即失 局域网接入容易 通常只要选用通用的信息设备即可连入网络 一般局域网接入身份验证措施简单 绝大多数局域网上的信息都未被加密 采用明文传输 内网的用户往往有权直接对数据库 服务器进行操作 有对关键数据进行 误操作 有意窃取或者破坏的机会 计算机系统外部设备的使用不当会造成泄密 许多内网用户对口令不重视 采用弱口令 使得内网中黑客的口令破解程 序更易奏效 内网多采用基于 Client Server 方式 客户端直接对服务器操作 信息数 据在内网上传输非常不安全 另一方面 内部网络的数据管理本身通常不是很严谨 核心的机密数据一般 只是采用了简单的授权口令保护 产品研发过程中的各种核心技术资料和工作资 料就更没有任何的保护措施 至少对整个开发组而言 全部的开发成果和数据都 是透明的和共享的 对于防误操作 防失窃和防破坏的保护几乎没有采取任何措 施 这样就使得在内网中非法取得授权和获得资料变得非常的容易 没有内部网 络安全管理的信息系统 使得任何人都可能有意或无意造成安全隐患 导致灾难 具体的内网安全问题可以归结为具体的内网安全问题可以归结为 离线存储设备泄密管理离线存储设备泄密管理 离线存储设备防泄密管理主要集中各种移动存储设备 打印机等设备的防泄 密管理 我们通过对如下泄密途径的管理 来最终实现我们的离线存储设备防泄 密管理需求 包括 1 移动硬盘信息防泄密管理 2 移动 U 盘信息防泄密管理 3 IDE 硬盘信息防泄密管理 4 SCSI 硬盘信息防泄密管理 5 软盘信息防泄密管理 6 光盘信息防泄密管理 7 红外 1394 防泄 密管理 内部信息泄密内部信息泄密 在大量的安全事件中 最为严重的是企业内部员工直接造成或者参与的非 法信息外泄事件 并且由于内部员工对于内部的组织结构 人员部署 机构设置 相对于外部人员要熟悉的多 因此 内部员工造成致使的信息外泄事件往往情节 严重 并且损失巨大 信息外泄的途径包括 信息外泄的途径包括 8 对本地打印机 受控终端拨号访问情况进行审计 9 内部员工使用涉密计算机连接外部网络致使泄密 10 计算机工作人员由于对专业知识的不熟悉而泄密 对电子信息保密的意识 还不强 常常由于专业知识不熟悉而泄密 如有些人由于不知道计算机的电磁波 辐射会泄露秘密信息 计算机工作时未采取任何措施 因而给他人提供窃密的机 会 有些人由于不知道计算机软盘上的剩滋可以提取还原 将曾经存贮过秘密信 息的软盘交流出去 因而造成泄密 有些人因事离机时没有及时关机 或者采取 屏幕保护加密措施 使各种输入 输出信息暴露在界面上 11 规章制度不健全或者违反规章制度泄密 如有的单位没有配备专门的计算 机维护管理人员 或者机房管理不严格 无关人员可以随意进出机房 当机器发 生故障时 随意叫自己的朋友或者外面的人进入机房维修 或者将发生故障的 计算机送修前既不做消磁处理 又不安排专人监修 造成秘密数据被窃 操作人 员对涉密信息与非涉密信息没有分开存储 甚至将所有的文件都放在一个公共目 录里 也没有进行加密处理或者保护处理 使涉密信息处于无密可保的状 12 故意泄密 由于电子信息文档不象传统文档那样直观 极易被复制 且不 会留下痕迹 所以窃取秘密也非常容易 电子计算机操作人员徇私枉法 受亲友 或朋友委托 通过计算机查询有关案情 就可以向有关人员泄露案情 计算机操 作人员被收买 泄露计算机系统软件保密措施 口令或密钥 就会使不法分子打 入计算机网络 窃取信息系统 数据库内的重要秘密 缺乏有效的管理机制缺乏有效的管理机制 企业内部往往都缺乏比较有效的管理机制 来对内部安全进行有效的管理 13 终端计算机操作人员没有及时安装防病毒软件造成病毒攻击损失或泄密 14 终端计算机操作人员没有及时安装系统补丁致使恶意代码入侵造成泄密 15 终端计算机有少部分仍然使用 win95 win98 等没有登录机制的操作系统 应该予以更换 性能不够的计算机应该被替换 16 不完善的内部安全管理机制 企业内部有一定数量的管理机制 但是这些 管理机制本身存在着一些问题和不足 也导致了内部安全管理没有得到 制度性 的保障 17 内部安全管理机制不能被有效执行 企业内部缺乏有效的管理制度执行机 制 使得管理制度不被执行 为数不少的管理制度仍然还只是停留着纸面上 缺乏内网的安全解决方案缺乏内网的安全解决方案 对内网安全系统和方案的缺乏 也对内网的安全管理带来了一定的阻碍 大多数安全系统都只是来自于外部的入侵 针对于来自外部的入侵 已经大 量成熟的安全系统来防范 但是内部的安全威胁和隐患 却很少被注意到 或者 已经注意到 却没有完善的安全系统和安全来解决企业的内部安全问题 内部安全系统还不够成熟 在少数的内部安全系统中 多数都只是关注某个 具体的访问 比如拨号连接控制 文件保护等 仅仅是一个技术意义上的产品 不能提出全面的内部安全管理方案 LanSecS内网安全管理系统集智能安全网管 内网审计 内网监控于一体 助有关企业信息安全 泄密问题排忧解难 相信会对您的工作有所帮助 为什么我们的企业长期以来都是打 兵来将挡 水来土掩 的被动防御战 究 其原因 是因为我们的企业看重的只是传统的基于网络层面的防护系统 而对于 未来安全防范的新兴力量 LanSecS 菜恩赛克 内网安全管理软件认识不够 第二章第二章 方案原则 依据及目标方案原则 依据及目标 2 12 1 方案原则方案原则 为保证方案的能够最终达到国家保密部门规定的相关保密要求 在设计方案 时遵循如下的设计原则 方案先进原则 XXXXX 网的内网安全管理系统要求功能完善 技术先进 安全可靠 服务领先 系统安全原则 管理系统自身安全包括物理安全 系统安全 数据安全和 运行安全等 可扩展原则 统一规划 兼顾长远 既要满足现有的需求 又要兼顾系统 的可扩展性 保证分布实施的延续性 系统在结构 规模 应用能力等各个方面 都必须具备很强的扩展能力 按照 GB17859 1999 计算机信息系统安全保护等级划分准则 的要求建 设 可靠性原则 执行 ISO9002 质量认证体系要求 确保安全保密设备的高可 靠性和稳定性 经济性原则 内网安全管理系统的建设 运行维护以及将来的扩展建设 必须符合经济性原则 易操作原则 内网安全管理系统的使用 维护 管理 发行等方面要易操 作 高效原则 内网安全管理系统的处理能力要求能满足现阶段的实际需求 保证系统的高效运行 并能根据系统的发展进行不断提升 功能完整原则 内网安全管理系统的功能完整 应用安全扩展系统功能完 整 灵活性原则 内网安全管理系统的系统扩展 应用安全建设方面都必须满 足灵活性要求 2 22 2 方案依据方案依据 本设计方案的主要依据是国家保密局文件 涉及国家秘密的计算机信息系 统安全保密方案设计指南 BMZ2 2001 同时 还参考了以下标准和法规 文件 国家标准 GB2887 2000 电子计算机场地通用规范 国家标准 GB9254 1998 信息技术设备的无线电骚扰限值和测量方法 国家标准 GB9361 1998 计算站场地安全要求 国家标准 GB17859 1999 计算机信息系统安全保护等级划分准则 国家标准 GB50174 1993 电子计算机机房设计规范 国家军用标准 GJB3433 1998 军用计算机网络安全体系结构 国家公共安全和保密标准 GGBB1 1999 信息设备电磁泄漏发射限值 国家保密标准 BMB2 1998 使用现场的信息设备电磁泄漏发射检查测 试 方法和安全判据 国家保密标准 BMB3 1999 处理涉密信息的电磁屏蔽室的技术要求和 测 试方法 国家保密标准 BMB4 2000 电磁干扰器技术要求和测试方法 国家保密标准 BMB5 2000 涉密信息设备使用现场的电磁泄漏发射防 护 要求 国家保密指南 BMZ1 2000 涉及国家秘密的计算机信息系统保密技术 要 求 国家保密指南 BMZ2 2001 涉及国家秘密的计算机信息系统安全保密方案 设计指南 国家保密指南 BM23 2000 涉及国家秘密的计算机信息系统安全保密测评 指南 CISPR22 信息技术设备 无线电干扰特征 极限值和测量方法 CISPR24 信息技术设备 免疫性特征 极限值和测量方法 国务院令 147 号 中华人民共和国计算机信息系统安全保护条例 国务院令 195 号 中华人民共和国计算机信息网络国际联网管理暂行规定 中华人民共和国公安部令 32 号 计算机信息系统安全专用产品检测和销 售许可证管理办法 国家保密局文件 计算机信息系统保密管理暂行规定 国保发 1998 1 号 中央保密委员会办公室 国家保密局文件 涉及国家秘密的通信 办公自 动化和计算机信息系统审批暂行办法 中保办发 1998 6 号 中共中央办公厅国务院办公厅关于转发 中共中央保密委员会办公室 国 家保密局关于国家秘密载体保密管理的规定 的通知 厅字 2000 58 号 2 32 3 方案目标方案目标 XXXXX 要求最大可能的保护其办公网络和系统资源与数据可以得到充分的信任 获得良好的管理 本项目的总体目标是在不影响 XXXXX 网络正常工作的前提下 实现对网络的全面 安全加固 最终达到国家保密部门规定的相关保密要求 北京圣博润高新技术有限公司 以下简称圣博润 根据 XXXXXX 的需求和国家涉 密计算机系统安全要求 提供包括整体安全策略 规划 设计 部署 管理 紧急响 应以及配套服务组成的网络安全整体解决方案 安全管理的安全目标 安全管理是整个内部安全管理体系的核心 使得安全策略 和安全系统最终形成一个统一的安全整体 为企业创造真正的价值 根据实际情况 规划不同密级的安全 为不同用户制定相应的安全策略 并统一的管理所有设备 第三章第三章 系统架构系统架构 3 13 1 安全策略规划安全策略规划 内网安全策略是企业实现内网安全管理的基础 内网安全策略是企业网络信 息系统安全建设的指导原则 配置规则和检查依据 内网安全系统的建设主要依 据企业网络信息系统统一的内部安全策略 内部安全策略是一种指导方法 通常都以一种规范 制度 流程等体现出来 用以指导我们快速 合理 全面的建设内部安全系统 同时我们所规划和实现的 内部安全策略本身又是可扩展的 随着时间的不断推移和内部安全需求的进一步 变化 我们都是根据调整企业的内部安全策略来更好的指导我们建设内部安全系 统 我们认为 内部安全策略分为 1 1 主机资源审计与保护策略 主机资源审计策略是对主机资源进行收集 并现在统一管理的内部安全策略 它指导如何准确 便捷的收集企业内网内所有主机的相关信息 同时指导我们根 据不同主机的资源现状制定不同的保护手段和管理制度 2 2 在线信息保护策略 在线信息保护策略是指根据企业的实际情况 并结合相关的法规政策 企业 制度 对企业内部暴露在网络上面的重要信息进行保护的内部安全策略 它指导 企业如何定义重要信息 区分不同的信息的重要程度 并根据不同信息的重要程 度制定不同的保护方案和访问控制规则 同时也保证了我们企业的内部网络资源 得到最大化的合理应用 3 3 离线信息保护策略 离线信息保护策略是指根据企业的实际情况 并结合相关的法规政策 企业 制度 对企业内部可以通过可以离线方式 包括移动存储设备 打印设备等等 传递的重要信息进行保护的内部安全策略 它指导企业如在学会了定义重要信息 以及信息的密级后 同时可以有效的将各种离线的信息传递设备 方式 进行统 一的规划和控制 3 23 2 内网安全系统的建设内网安全系统的建设 一套统一的 安全的 可扩展的内部安全系统是我们构建整个安全目标的重 要因素 内部安全系统是我们整个内部安全体系的基础框架 通过我们的内部安 全系统 我们可以 具体完成我们的安全管理工作 使我们的管理电子化 自动化 实现安全策略 把安全策略作为系统配置的形式下发到所有终端主机 科学的划分安全域 我们的管理工作趋于统一化 合理化 高效化 3 2 13 2 1 智能安全网管智能安全网管 智能安全网管模块提供强大的内网网络管理和维护功能 是系统管理员理 想的安全故障管理系统 主要功能包括 自动发现网络内所有网络设备 包括三层和二层设备 通过系统提供的 智能学习功能 自动识别网络的物理拓扑结构 生成网络物理连接拓扑图 可以方便地查看可管理设备的配置信息 如 System Interface IP Address Routing ARP MAC Address Flow 等 动态显示交换机端口状态 流量等信息 可以设置端口流量阀值 当端口 流量超过阀值时自动报警 帮助系统管理员监视 分析网络性能 提供未知 未登记 IP 地址 MAC 地址列表 自动发现有未知受控终端接 入的交换机端口 方便系统管理员发现非法入侵者 实现交换机端口的打开和阻断控制 自动识别网络中所有设备的 IP 地址 MAC 地址 设备名称等基本设备信 息 动态显示受控终端的当前状态 对各种不正常状态 如 IP 和 MAC 地址随意 更改 关机 受控终端 Ping 不通 未知设备接入等 均提供声音报警和屏幕显示 报警 可以按设备类型 如服务器 主机 打印机 交换机 路由器 网关 vlan 子网 部门等方法对设备进行分类管理 列表显示出设备的名称 所属部 门 IP 地址 MAC 地址 发现时间等信息 可以根据交换机端口连接的工位对计算机进行管理 方便网络管理员迅速 定位出现故障的计算机连接的交换机端口 可以方便地查看受控终端的配置信息 审计日志信息 对受控终端进行屏 幕监控 自动生成网络拓扑图 该网络的真实物理连接结构图 并能动态显示当 前的网络状态 可以对自动生成的网络拓扑图进行简单编辑 既可以在网络拓扑图中显示所有设备 交换机 路由器 受控终端 打印 机等 及其连接关系 也可以只显示所有交换机及其连接关系 3 2 23 2 2 内网审计内网审计 在拥有了有效的防止内部信息泄漏的方式后 对计算机资源的审计和管理也 变的同样重要 如何有效的 最大化的掌握每一个主机的资源状态 对统一的安 全管理尤为重要 通过实时审计网络数据流 根据用户设定的安全控制策略 对受控对象的活 动进行审计 采用基于主机和基于网络相结合的控制机制和技术手段 可以多层 次 多手段地实现对网络的控制管理 通过集中管理 自我防护机制 全面体现 了管理层对内网关键资源的全局控制 把握和调度能力 为网络管理人员提供了 一种审计 检查当前系统运行状态的有效手段 对受控终端进行审计是通过规则进行的 审计规则设置的是对服务器规则控 制下的行为的记录和统计 在服务器设置相应的审计规则后 如果客户端所在的 设备有符合规则的行为发生 则在服务器的日志中会有相应记录 可以根据需要 配置受控终端的文件操作 进程 网络访问等事件的规则 系统根据规则自动记 录安全审计日志并存入系统日志信息库 这些信息是事后了解和判断网络安全事 故的宝贵资料 审计功能包括 自动登记受控终端的硬件配置 包括 CPU 内存 硬盘 显示卡 网卡等 等 当受控终端的硬件发生变动时能自动向安全管理核心系统发出报警信息 自动记录受控终端操作系统配置的用户 工作组 逻辑驱动器 当其发生 变化时 自动向安全管理核心系统发出报警信息 对受控终端安装的系统服务进行审计 自动记录系统服务的启动和停止 自动记录受控终端上应用程序的安装与卸载情况 对受控终端上运行的进程进行审计 自动记录进程的启动和停止 对文件操作进行审计 记录用户对规则指定文件进行的各种操作 对网络访问进行审计 记录用户对规则指定网址进行的访问操作 对本地打印机使用情况进行审计 对受控终端的可移动存储设备的使用情况进行审计 对拨号访问情况进行审计 3 2 33 2 3 内网监控内网监控 对受控终端进行监控是通过监控规则进行的 安全管理核心系统负责集中配 置监控规则 下发到受控节点 可以根据需要设置规则 系统根据规则自动阻止 非法操作 并且向控制台发出报警信息 内网监控模块功能包括 对受控终端进行屏幕监视或控制 可选 允许或阻断用户对受控终端的各种输出设备进行访问 包括 USB 可移动存 储设备 打印机 DVD CD ROM 软盘 磁带机 PCMCIA 设备 COM LPT 端口 1394 设备 红外设备等 对受控终端进行 IP 地址和 MAC 地址的绑定 防止用户随意更改网络配置 对受控终端上运行的进程进行控制 允许或禁止某些进程的启动 对网络访问进行控制 允许或阻断对某些网络地址的访问 允许或阻断用户通过拨号访问 Internet 允许或阻断用户对本地打印机进行访问 3 2 43 2 4 详细的审计 分析与报告详细的审计 分析与报告 审计统计报表为系统管理员分析诊断网络故障提供了数据分析的基础 可以 根据部门 设备 事件类别等多种条件进行查询统计 生成各种审计统计报表 包括 安全事件分析报告 计算机配置报告 计算机运行状况报告 系统进程审计监控报告 系统服务审计监控报告 系统日志审计监控报告 打印输出审计报告 文件存储 传输审计监控报告 网络访问监控报告 对生成的审计统计报表 或审计日志报表 系统事件报表 可以通过系统 提供的 报表查看器 进行浏览 同时提供打印预览功能 支持报表打印 3 2 53 2 5 技术特色技术特色 LanSecS 内网安全管理系统凝聚了先进的网络安全管理思想 把安全管理的 流程和技术手段加以总结提高 既能保证计算机网络安全运行 也能提供对内网 计算机信息安全的监控和审计 可以解决企业和政府内部专用网络的安全管理 安全控制和行为监视 通过主动的安全管理和安全控制的方式 将内部网络的安 全隐患以技术的手段进行有效的控制 符合当前网络安全管理的国际 国内标准 符合国际信息安全管理体系标准和技术工程标准 BS 7799 ISO 17799 SSE CMM 等 符合中华人民共和国国家标准 GB17895 1999 计算机信息 系统安全保护等级划分准则 独特的安全管理思想和技术手段 结合信息安全行为模式理论以及多年从事网络安全和风险评估领域的经 验积累 形成了独特的安全管理的方法论 以此方法论为基础设计了专业的 智能的 LanSecS 内网安全管理系统 实现了严密的集中管理 自我安全保护 并建立了信息安全管理体系 产品设计思想先进 拥有完全自主的知识产权 基于主机和网络相结合的控制机制 基于主机控制机制可以监控指定的主机系统 其控制力度细 基于网络 的控制机制可以实时监控内网的安全隐患 实现了周密的内网资源保护 集成的系统管理 端到端 全面的集成监控 优秀的 IT 系统管理软件 帮助用户稳定 可靠 方便 有效地管理企业级 IT 基 础设施 真正实现了端到端的系统管理 智能化的网络拓扑管理和可视化操控系统 LanSecS 能够自动 动态地发现内网的所有节点 包括路由器 交换机 服务器 PC 机等 能够对实际网络自动 动态地学习 并映射成物理的网络 拓扑图 同时能动态显示当前的网络状态 通过对可视化的网络拓扑图的操 控 可以对图上的设备进行操作 管理网络或进行网络故障的检测 加强了 对网络的设备 主机进行管理控制的力度 大大地提高了网络的管理效率 强制的审计监控进程 在客户端隐藏审计 监控进程 使得受控客户端不能停止和删除进程 确 保安全审计和监控 同时不影响客户端的正常使用 IPIP 和 MACMAC 地址绑定 可以防止受控客户端改变 IP 地址 确保访问控制 周全的内网系统信息防泄露体系 系统管理和监控的范围广 策略周全 不会遗漏任何一个可能泄密的途径 集中管理和监控 对大量目标资源进行集中管理 可以监督的对象众多 系统对内网中设 备 网络 文件集中管理安全策略 系统配置 安全事件等 安全日志信息库 所有网络 系统数据及安全事件 可以通过 SQLSever2000 数据库进行 存储 便于网络安全管理审计 分析 操作系统自身的安全性审计 可以发现当前系统的补丁安装情况 同时针对不同单位的防病毒的需求 可以提示用户安装本单位要求的防病毒软件 网络故障 审计 监控管理 及时发现网络的故障 按照故障的轻重缓急产生不同的报警信息 LanSecS 系统图形化的网络 IP 拓扑结构 使网络管理员可以迅速方便地发现 局域网上出现故障的 IP 资源并帮助管理员分析故障原因 当网络中的设备 出现故障 网络链路中断 非法使用受保护的资源时 LanSecS 系统会及时 发出报警信息 模块化设计 简单易用 系统开发了独立模块以提供对目标主机多层次 多视角的审计 并提供 了友好的安全审计中心图形界面 操作简单直接 大大降低了用户后期维护 的投入以及网络系统 安全管理员的工作难度和工作量 3 2 63 2 6 网络拓扑自动生成网络拓扑自动生成 LanSecS 内网安全管理系统通过控制台对核心数据服务进行一系列参数配置 如扫描 IP 范围 部门信息 支持 SNMP 协议网络设备的读写团体名称等 后 运 行网络拓扑自动学习功能 自动对实际的网络结构进行学习 并映射成与真实网 络拓扑结构相同的网络物理结构图 网络管理员可以对图上的设备进行操作 管 理网络或进行网络故障的检测 在学习状态下 系统将按照人工智能的方法 自 动学习网络拓扑结构 并且在网络拓扑图中动态显示当前的学习成果 3 2 73 2 7 领先的安全监控和管理技术领先的安全监控和管理技术 LanSecS 内网安全管理系统是一套集成了多项核心技术的实用安全系统 研 究了下列关键技术基础上 自主研发了该项管理系统 监控内网网络设备 计算机系统的稳定性和可靠性 内网系统资源安全管理和监控 阻止内网的信息通过网络向外泄漏 防止内网中信息通过系统外设向外泄漏 审计客户端安装后不能删除或中止 确保内网所有用户都受到安全策略控 制 第四章第四章 系统应用部署系统应用部署和安全策略和安全策略 4 14 1 系统部署系统部署 通过管理角色特别是管理端管理角色的变化 结合LanSecS内网安全管理系 统应用数据服务器支持多级别 分布式部署的特性 在实际中 LanSecS内网安全管 理系统采用以下两种部署方式 集中式部署和分布式管理部署 4 1 24 1 2 集中式部署集中式部署 集中式部署面向小型网络 LanSecS内网安全管理系统按照企业网络结构 将网络划分为一个安全域 通过对每一个网络用户行为的监视和记录 并形成完 整的日志 集中部署集中部署 4 1 24 1 2 分布式管理部署分布式管理部署 分布式部署面向复杂结构下的企业网络 在这种部署应用模式下 LanSecS 内网安全管理系统按照企业网络结构 可 以将整个企业网络划分为一个以上的安全域 在某个安全域内 按照该安全域的 类型 LanSecS 内网安全管理系统可以将所有下级的安全数据信息集中到 LanSecS 安全管理核心系统 分布式部署分布式部署 1 对于经常出差 策略是统一策略已下发到本机 所以还是可以保证数 据的安全的 同时操作日志会在联通网之后将日志上传这到服务 统一管理 2 根据 XXX 的实际情况 规划不同策略 为为同安全级别制定相应的安 全策略 并统一的来之不易所有网络网络 4 24 2 安全策略安全策略 网络与信息安全网络与信息安全 信息安全技术信息安全技术 信息安全管理体系信息安全管理体系 技术层面和管理层面的良好配合 是组织实现网络与信息安全系统的有效途 径 其中 信息安全技术通过采用包括建设安全的主机系统和安全的网络系统 并配备适当的安全产品的方法来实现 在管理层面 则通过构架信息安全管理体 系来实现 应用开发提供功能 系统管理确保性能 离开了对于性能和可用性的保障 系统应用无从谈起 保证网络自身安全和业务安全 首先要有一个可靠的网络 其次就是要有强有力的网络管理和网络安全管理策略和手段 随着网络应用日趋 复杂 单凭网络管理员的学识和经验进行网络管理和安全管理 已经不能适应了 因此 我们必须借助一些工具和软件来管理网络 并构建信息安全管理体系 4 2 14 2 1 安全技术安全技术 全网安全策略考虑如下 XXXXXXXX 虽说是一个独立的局域网 内部办公都是依靠此网进行完成 所以必须 考虑该监控系统安装后对原有系统的影响 包括对原有系统稳定性 网络带宽资源 系统安全性的影响 需要安装在原有系统上的模块是客户机端驻留引擎 该引擎我们做了测试 不会 引起操作系统的不稳定 占用的系统 CPU 资源量很小 约 2 5 以下 内存占用量也很 小 1M 以内 监控系统其它模块不再和原有的系统直接联系 都是独立的 包括扫描发现引擎 设备智能探测发引擎 客户端引擎安全策略客户端引擎安全策略 客户端驻留引擎所完成的功能是整个监控系统要完成的核心功能 实现客户端监 控审计的功能 如果该系统出现安全问题 主要的数据信息将失去意义 客户引擎完成的主要功能是控制本机用户的使用权限 记录 上报本机用户的敏 感操作和状态信息 这使用户产生抵触心理 即使加强管理工作 用户仍可能想方设 法破坏引擎的正常工作 包括将其卸载 停止工作 删改记录 不正常运行等 所以 引擎必须保证自身安全可靠性 包括 1 驻留模块在本操作系统下具有不可发现 不可删除 不可停止 不可 篡改等特点 实现多层保护 第一层保护是不可发现 如果可以发现 就会给人以破坏的机会 第二层保护是不可删除 万一发现后 也是删除不掉的 我们通过底层技 术加以保护 第三层保护是不可停止 万一发现了该进程 通过一般的技术手段 包括 系统提供的工具都停止不了它 第四层保护是不可篡改 主要是针对该系统文件和日志记录 在非在线情 况下 对用户的行为做日志非常重要 一旦连接在线 会将记录传送到数据库 中 2 保证系统不可被病毒软件发现 有一些同类软件尽管采用了一些隐藏 技术 但是避免不了被防病毒软件发现 防病毒软件会将监控系统驻留引擎当 成病毒处理 并对引擎隔离或删除 3 自动启动客户机驻留引擎 试图通过启动配置 注册分区表发现 修 改或禁止引擎启动都不可能 4 安全模式下引擎仍然正常发挥作用 4 2 24 2 2 安全管理策略安全管理策略 对于 XXXXXXXX 除安全外 采用监控系统后还必须考虑对部门局域网和广域网 指专网广域网 的其它影响影响 带宽的问题带宽的问题 在局域网内部 扫描引擎搜集大量的数据信息 上传审计信息 对违法客户端发 起的阻断功能都有可能引起局域网带宽的瓶颈 实际上 扫描引擎搜集网络信息采用 定时方式 除开机注册时需要上传单机多项信息外 定时扫描时传送很少量信息 而 违法行为也不是大量出现 所以不会引起网络瓶颈 管理控制台提供查询 配置 报警等功能 平时数据量都很小 只在数据查询时 稍大 显然不会对网络带宽造成大的影响 当然 随着逐步往中央集中 各地研究所数据传输量逐步增大 但是目前的带宽 保证 总体都不会出现网络瓶颈 第五章第五章 内网安全管理系统解决方案设计内网安全管理系统解决方案设计 5 15 1 简述简述 运行本方案的目的是对 XXX 的主要信息进行审计和监控 以达到地对重要信 息高效安全地保护 防止关键信息和数据的外传和泄密 从而保证内部网络能够 高效 安全地运作 保证信息化 XXX 系统高效安全可靠地运行 本方案钍对 XXX 的内网安全管理的需求进行了需求分析 分绍了当前的主要 的技术 提出了内网安全管理系统以及 LanSecS 内网安全管理系统的基本要求 给出具体的产品部署和系统实施建议 LanSecS 内网安全管理系统将重点放在主动地 Actively 控制风险而不是 被动地 Passively 响应事件 提高整个信息安全系统的有效性和可管理性 LanSecS 就是要让更多的企业理解一点 在保护企业安全的战役中 与被动的防 御方式相比 以 LanSecs 解决方案为代表的内网安全与管理软件 可超越传统的 堵漏洞 方式来帮助企业实现基于角色的安全管理 从打被动的防御战变为主动 出击 以主动的安全管理和安全控制的方式 将内部网络的安全隐患以技术的手 段进行有效的控制 全面保护网络 系统 应用和数据 通过对每一个网络用户 行为的监视和记录 将网络的安全隐患可视化 提供实时监控 并形成完整的日 志 为审计提供依据 从而大大提高内部专用网络的安全性 真正保障每一个网 络用户都在授权的范围内合法地使用网络和数据 5 25 2 内网安全管理系统设计思路内网安全管理系统设计思路 针对 XXXXXXXX 客户对内网安全提出的功能和性能要求 圣博润公司为了有效的 满足局域网环境下实现 具体的客户的需求说明 的要求 故提出以圣博润产品 莱恩 赛克内网安全管理系统 软件作为基础建设安全管理系统的构想 圣博润公司利用公司自有产品 莱恩赛克内网安全管理系统 建立起的内网安全 管理系统的基本组成部分包括 如上图所示 LanSecS内网安全管理系统着重于内网的安全管理和监控 以系统 网络运营管理为基础 以防内网泄密为目标 其核心功能由设备智能探测器 审计监 控客户端 安全管理核心平台 包括内网管理 安全审计 协同完成 设备智能探测器设备智能探测器 设备智能探测器能自动搜索内网中所有网络设备 包括三层和二层设备 识别网 络中的SNMP设备 并阻止非法内联 审计监控客户端审计监控客户端 审计监控客户端负责采集受控终端的软 硬件配置信息 当受控终端的软件 硬 件配置发生变动时能自动向安全管理核心平台发出报警信息 同时 审计监控客户端 能够对用户在受控终端上进行的文件 网络操作进行审计 自动安装系统补丁 控制 用户对网络和各种外设的操作 当发生非法操作时 能够及时向安全管理核心平台发 出报警信息 安全管理平台安全管理平台 安全管理核心平台是整个系统的控制中心 其主要功能是通过搜索网络中的交换 机 路由器 PC 服务器等各种设备后 收集交换机基本配置信息和各种动态信息 动态生成网络物理连接拓扑图 对各种事件通过声音报警和屏幕提示报警进行响应 对客户端设备实行屏幕监控 定制客户端的审计 监控 补丁分发 软件分发等规则 采集受控终端的各种配置信息和审计日志 生成丰富实用的统计报表和图表 为系统 管理员维护监控网络及其设备的正常运行提供了方便实用的工具 5 35 3 内网安全管理系统工作模块功能分析内网安全管理系统工作模块功能分析 本章将针对内网安全管理系统的监控管理控制中心模块 客户端管理模块 客监控管理控制中心模块 客户端管理模块 客 户端工作引擎模块户端工作引擎模块进行具体的功能分析 5 3 15 3 1 监控管理控制中心功能实现描述监控管理控制中心功能实现描述 监控管理控制中心是内网安全管理系统的核心管理组件 他负责协调下属各工 作模块 为其定制工作状态和工作策略 监控管理控制中心从功能上讲可以分为用户界面接口模块 引擎管理模块 监 控信息管理模块 监控管理控制中心组件用户界面接口模块监控管理控制中心组件用户界面接口模块 监控管理控制中心本身在设计上就是为用户提供一个 C S 的接口模式 用户通 过专用的管理接口登陆到管理界面 对服务器和监控客户端进行配置管理 用户界面接口模块提供给用户客户端工作引擎等的工作模式和策略的定制接口 用户通过图形界面对客户端机器进行管理 用户界面接口模块安全考虑用户界面接口模块安全考虑 IPIP 地址限制地址限制 用户名用户名 口令认证机制口令认证机制 圣博润公司设计的用户界面接口 模块提供的一个安全认证机制是 初始管理用户对监控管理控制中心的访问 列表进行定制 指定的 IP 地址 但是 如果只有 IP 地址符合要求 仍然不能 实现正常的管理 圣博润公司设计的用户界面接口模块还要求提供用户名 口 令 只有当用户名和口令都满足时 管理人员才能实现正常的登陆管理 所 以 当 IP 地址 用户名 口令都同时满足 管理人员才能实现正常的登陆管理 监控管理控制中心组件引擎管理子模块监控管理控制中心组件引擎管理子模块 该模块的作用主要是对系统中的工作引擎进行监控和管理 它包含 策略和状 态定制等工作 引擎的安装 引擎的安装 域安装方式 域安装方式 通过域的安装方式 登陆到域进行自动安装 网页安装方式 网页安装方式 通过网页下载客户端程序进行安装 本机安装方式 本机安装方式 该引擎也可以由工作人员到客户端直接安装 策略和状态定制策略和状态定制 监控引擎工作策略 行为监控和报警策略 的唯一定制途径 工作引擎的策 略执行和工作状态不受目标计算机管理员的干扰 它所执行的策略来源就是监控 管理控制中心的引擎管理模块 安全监控管理员可以通过引擎管理子模块将被监控的计算机进行逻辑分组管 理 即相同监控内容的注册计算机分为一个组 然后统一的为该组制定监控策略 统一下发和执行 同样 针对这个逻辑组 引擎管理子模块也可以批量改变组内 工作引擎的工作状态 停止 生效 监控管理控制中心组件监控信息管理子模块监控管理控制中心组件监控信息管理子模块 监控信息包含设备管理信息和报警信息等 由客户端管理模块和客户端工作引 擎产生的监控信息存储在数据库中 监控信息管理模块主要职能 按管理员提交的要求整理分析监控信息数据 并 返回给管理员分析查询结果 整理分析监控信息数据 整理分析监控信息数据 针对监控信息的分类分析 然后将分析结果提交给查询的安全监控管理员用户 定义监控信息的分类定义监控信息的分类 由监控信息管理子模块负责对监控信息进行分类定 义 简单的可以分为设备信息类和报警信息类 报警信息类则是由监控审计 工作引擎产生 主要是当前网络中用户计算机的操作信息 产生报警信息文件 产生报警信息文件 该子模块提供给用户多种报警信息文件存储格式 方便用户进行使用 管理 监控管理控制中心的部署实施监控管理控制中心的部署实施 监控管理控制中心部署在单位的内部网络中 如下图所示 客户的实际环境然后部署上监控管理中心图 内网安全管理系统组件中的安全监控管理控制中心分别部署在专用安全监控管理 服务器上 圣博润可以在跨广域网的通信连接上进行了特别的设计 通信可以不受防 火墙的限制 5 3 25 3 2 客户端管理模块功能实现描述客户端管理模块功能实现描述 安全监控管理系统中的客户端管理模块主要功能是管理每个区域中的合法计算 机设备 它包含主机扫描发现子模块和主机维护管理子模块两个部分的功能 主机扫描发现子模块功能实现主机扫描发现子模块功能实现 实际意义上的一个扫描引擎 它的主要工作是发现当前内部辖区网络内的所有计 算机 扫描引擎工作出于两种模式 一种是 icmp 报文发现模式 个人防火墙可屏蔽 一种是 ARP 数据包发现模式 个人防火墙放行 两种方式有效的结合 就能发现网 络内部所有的计算机 然后加以甄别 1 1 当发现某台机器没有安装代理 将扫描得到的 当发现某台机器没有安装代理 将扫描得到的 MACMAC 地址同库表中比较 地址同库表中比较 a 如果 MAC 地址相同 而标识显示还没有安装代理 则说明该机器是合法的 还没有安装代理的机器 b 如果 MAC 地址相同 而标识显示已经安装了代理 则说明该机器代理已经 不正常工作了 c 如果 MAC 地址找不到 则说明该机器非法接入 2 当发现某台机器安装了代理 将扫描得到的当发现某台机器安装了代理 将扫描得到的 MACMAC 地址同库表中比较 地址同库表中比较 a 如果 MAC 地址相同 则说明该机器是合法的机器 b 如果 MAC 地