安全专家内网安全管理系统教案.doc

安全专家内网安全管理系统功能简介目 录第一章 概述3第二章 设计思想和依据42.1 设计思想42.2 设计依据4第三章 系统结构及部署53.1 系统结构6第四章 产品功能6第五章 关键技术9第六章 产品特性11第七章 技术参数及环境要求127.1技术参数127.2环境要求12第一章 概述随着信息化的快速发展，信息技术的应用也越来越广，已经成为现代企业不可缺少的重要支撑平台，但是随之产生的信息安全问题也越来越突出。系统漏洞、蠕虫感染、黑客攻击、非法接入等网络终端安全问题无时无刻不在威胁企业的信息安全，信息安全造成的损失也日益加大。漏洞的不断被发现，蠕虫的大规模爆发，黑客技术的不断提高，WLAN，PDA等新技术的广泛使用也增加了企业的网络安全风险。然而，传统的信息安全模型都是侧重于边界安全，却忽视了内网的安全，但根据权威机构统计85%以上的信息安全事件是由内部网络中终端的安全问题引起。本系统提出了一个解决内网安全的全新概念：终端是组成网络的重要要素，是网络安全防护的源头，也是防护的难点和重点，它既是安全防护的对象，又是需要防范的对象，只有接入内网的终端安全和行为是可控的，才能保证整个网络的安全。基于这一思想开发的“安全专家”内网安全系统要求通过自动修复系统安全漏洞，安全策略和安全设置自动优化等方式进行安全的主动防御。对不符合安全要求的设备，通过网络隔离，锁定设备，和后台强制执行等网络手段来确保所制定的安全策略有效地被执行。为防止信息泄露，对所有可能的信息泄露途径进行功能上的限制和审计，以便于日后的跟踪和取证。本系统从酝酿到正式发布，经过了几十次反复设计、改进、试验。目前，已经在多个行业和领域得到广泛应用。我们的用户一致认为本系统真正地为他们的企业建立了一个主动自我防御、自我安全加固的自免疫安全系统，提高了企业的整体安全水平，为企业的长期稳定发展提供了有力保障。第二章 设计思想和依据2.1 设计思想针对现在的内网安全威胁和传统安全产品的安全缺陷，我们提出了一个解决内网安全的全新概念：终端是组成网络的重要要素，是网络安全防护的源头，也是防护的难点和重点，它既是安全防护的对象，又是需要防范的对象，只有接入内网的终端安全和行为是可控的，才能保证整个网络的安全。基于这一思想开发的“安全专家”内网安全管理系统要求通过自动修复系统安全漏洞，安全策略和安全设置自动优化等方式进行安全的主动防御。对不符合安全要求的设备，通过网络隔离，锁定设备和后台强制执行等网络手段来确保所制定的安全策略有效地被执行。为防止信息泄露，对所有可能的信息泄露途径进行功能上的限制和审计，以便于日后的跟踪和取证。2.2 设计依据“安全专家”内网安全管理系统主要是通过安全防护、网络接入控制和安全审计三大功能模块来保证整个内网的安全。1.安全防护模块主要突出主动防护的特点，强调系统自身的安全免疫力；整体思路是通过三层防护来保障终端的安全：一级防护主要通过对发现的系统安全漏洞进行自动修复，增强系统自身安全免疫能力；二级防护是在一级防护不到位的情况下，通过服务器对各终端强制安全检测，及时发现安全漏洞和隐患，对终端进行加固处理，提高终端的安全防护能力；三级防护是针对突发的安全事件，如突发的蠕虫等病毒，采取隔离、屏蔽端口等技术措施，防止安全事件的扩大。2.网络接入控制主要是通过身份认证和安全策略检查的方式，对未通过身份认证或不符合安全策略（终端防护策略、安全监控策略）的用户终端进行网络隔离，并帮助终端进行安全修复。3.安全审计（防信息泄露）主要是通过从系统的底层WMI(Windows 2K/XP管理系统的核心)，对Windows的所有事件（如文件拷贝、外设使用、打开窗口等）进行监控和记录，并且可以综合利用密码、访问控制和审计跟踪等技术手段，对涉密信息、重要业务数据和技术专利等敏感信息的存储、传播和处理过程实施安全保护。以达到防范不安全网络用户终端给安全网络带来安全威胁的目的。第三章 系统结构及部署3.1 系统结构“安全专家”内网安全管理系统的系统架构采用控制台服务器客户端代理三层结构。该结构除了能实现集中式的管理、分布式的防护外，而且使得控制台和客户端之间无需再实时地直接建立连接。3.2 系统部署第四章 产品功能分类小类软件界面功能体现对客户的价值在线安全策略个人防火墙策略 基于灵活的协议和端口访问控制 基于 Netbios 的文件共享控制 客户端之间通信保证 入侵防御与检测 防止网络黑客的攻击 防止未授权的访问 保护终端主机的安全 网络应用程序策略 IE、Outlook 等应用软件版本控制、完整性校验 自定义特定网络程序文件版本控制、完整性校验 限制用户安装和执行非法或禁止的网络应用程序 本机应用程序策略 限制腾讯 QQ 、单机游戏、媒体播放器等本机程序 灵活的自定义本机应用程序 限制间谍软件的运行 限制非法软件的使用 设备控制策略 控制存储设备、打印设备使用 控制上网设备使用 控制 1394 、红外设备等使用 防止用户滥用硬件设备 防止保密信息通过外部存储设备散播出去 移动存储设备审计对通过 USB 、软盘、光盘拷贝的文件进行内容记录和审计 防止敏感文件的泄漏 防病毒策略内嵌强大的防病毒软件 统一管理防病毒软件，形成自防御的安全网络体系 软件联动策略 系统补丁的强制升级 应用软件的强制升级 保证整个网络内主机安全的及时性和同步性 高级策略 客户端自动升级 群发信息通知 保证整体内网主机的客户端软件的最新版本 信息过滤 基于权值的智能化内容过滤 提供网站黑白名单和基于地址对象的网站过滤 限制访问非法网站 限制发布非法帖子 离线保护策略在线安全策略中的全部内容 防止用户在离线时进行非法操作和泄密 其他安全功能非法用户发现 及时发现网络中的非法用户，同时支持跨广域网检测 控制非法用户对合法用户的访问 防止非法用户联入内网 用户行为管理 禁止客户端修改 IP IP 、 MAC 和主机信息与用户名绑定 防止用户任意篡改网络配置导致管理混乱 开机时长限制基于系统时间控制 限制用户非工作时间使用电脑文件保护 客户可自定义的文件保护功能 指定文件或目录的定义读、写、删除操作权限 防止保密文件被别人窃取和修改 资产管理 自动收集客户端软、硬件配置信息 动态检测各主机硬件配置的变化， 保证硬件资产不被更换和丢失； 动态监测各主机软件的变化保证客户 IT 资产不被滥用，防止终端用户非法安装程序 个人主机系统和数据备份与恢复 动态、快速备份和恢复某个分区的系统和数据 动态、快速备份和恢复整个硬盘的系统和数据 智能化的数据备份，在操作系统补丁安装后自动对客户端主机进行数据备份 避免对客户端主机频繁重装系统，降低管理员的维护工作量，防止未知病毒对系统的破坏。 自防御体系 客户端防卸载，避免客户端试图逃避检查 内嵌防病毒软件 将未安装系统补丁或未达到安全级别的用户进行隔离 和 802.1X 网络设备联动，实现网络准入 和其他安全产品形成立体、纵深的安全防御体系 网络监控用户行为监控 监控客户端主机基本信息和系统资源利用率情况 监控客户端主机当前的进程、服务情况 监控客户主机网卡状态以及动态网络流量 监控客户端的硬件设备和软件安装使用情况 及时发现潜在问题，及时发现并协助用户弥补安全漏洞，远程协助用户进行安全检测 屏幕监控授权情况下，可监控并控制客户端主机的屏幕、键盘和鼠标（该功能可选） 监控违法行为 远程维护客户端用户许可情况下的远程维护 降低维护成本 辅助功能管理功能 针对用户群的消息广播 针对单一用户的消息发送 端到端远程对话和互传文件 便于管理员远程维护和管理 审计管理权限分配系统管理员、日志管理员、特权管理员三权分立，互相制约。 互相制约，保证安全 终端审计 终端文件操作审计 终端USB设备操作审计 终端文件打印审计 终端软件运行审计 终端屏幕审计 网络访问行为审计 QQ、MSN聊天内容审计 邮件收发记录审计为安全事件的事后取证提供线索，定位相关的责任人日志类别 提供多种日志类别和告警方式，利于分析和查询。 提供标准可信时间源，保证所有日志时间一致 提供多种日志报表和审计工具，方便管理员管理 标准、可信的日志 方便的审计管理 性能特性整体性能 一个管理员即可管理全网内所有的主机安全 支持远程跨广域网管理 支持分布式部署、负载均衡 简化网络管理 避免网关设备造成的性能瓶颈 客户端性能CPU平均占用率1% 、 物理内存占用12M 网络性能网络平均带宽占用率 高检测速率的病毒扫描本软件客户端内置防病毒模块，该模块的结构和“词汇”是为满足病毒检测和清除病毒的特定要求而优化过的。这样，扫描程序将避免检查整个文件是否有病毒代码，而改为在该文件中严格定义的位置进行取样，以查找表明病毒感染的病毒代码识别标志。2 有效查杀未知病毒未知病毒行为检测引擎，根据病毒特征智能识别并清除电脑中的各种未知有害程序。包括引导型、文件型、复合型和变型病毒，以及各类宏病毒和各种新型病毒。3 内置功能强大的木马防火墙内置功能强大的木马防火墙，不但能够监控内存，防止外来木马程序的入侵，还能查封指定 IP 地址和端口。实时监控系统内存，对系统进行底层保护，防止各种木马程序的入侵。4 入侵和非法扫描自动智能阻断黑客在进行任何攻击之前，总要事先通过扫描来刺探企图攻击对象的安全情况。本系统能智能识别黑客的恶意扫描，并有效地阻断或欺骗恶意扫描者。对目前已知的扫描工具如ISS、SSS、NMAP等扫描工具，可以防止被扫描。并可有效地解决恶意代码的恶意扫描攻击。对外来非法扫描，自动阻断、告警，并写入日志，便于日后分析。对诸如“冲击波”、“震荡波”等恶意程序的攻击，通过异常分析程序自动阻断，并查封指定 IP 地址和端口，提供多层保护。5 主动防御，安全策略自动优化在实际网络安全项目中，系统的安全策略优化是一项极其重要、有效的安全防御手段。它弥补了传统安全产品被动防御的不足，但是系统安全策略的优化对于普通用户来说就显得过于专业化了。在本系统中，常用的有效安全策略已全部列出，管理员可根据自己网络的实际环境制定几个缺省的模板，供普通用户自己选择或指定强制选择。在普通用户的客户端程序中，用户只要按下“执行”按键即可自动完成。6 安全漏洞自动检测对于有效防止黑客攻击和病毒感染来说，给系统和应用程序漏洞打上补丁是一道必须的流程。本系统可自动轮循检测所有终端漏洞修复情况，对仍旧存在安全漏洞的主机可集中在后台强制安装补丁文件。7 网络接入控制的身份认证更加可靠常见的网络接入控制软件仅仅是通过网卡MAC地址进行身份认证的。但是本系统的网络接入认证依据为网卡MAC地址和硬盘信息，这样的话，即使企图非法接入恶意用户可以通过专门的软件非法伪造网卡MAC地址，也无法伪造出以通过验证的硬盘信息。8 周密的涉密外设和文件监控综合利用密码、访问控制和审计跟踪等技术手段，对涉密信息、重要业务数据等敏感信息的存储、传播和处理过程实施最完善地安全保护。它能最大限度地防止敏感信息的泄漏、被破坏和违规外传，并完整记录涉及敏感信息的操作日志以便事后审计和追究泄密责任。国内现有的各种同类系统中，只能注重了防止信息泄漏部分途径，没有建立全面的防止信息泄漏的体系9 网络系统整体安全状况监控在客户端主动或被动（可由控制台强制执行）完成本地安全评估之后，所有安全评估结果将会自动上传给服务器数据库。根据目标主机的情况，扫描时间长短不同，一般情况下十分钟内可以看到结果。系统将自动生成报表。管理员可通过控制台查看到所有用户或指定用户的安全评估结果。并且系统能够根据评估结果和智能算法，对每台机器的整体安全状况按照安全等级进行划分，以便于分类和管理。10 安全通告/指令传送对网络资源占用的不可见当出现新的安全问题，或网络管理员需要向客户端发送一些其他通告时，可以非常方便地在控制台将自己编辑后的通告发送所有客户端或指定客户端。并且考虑到大型网络机构如果需要提供对众多Agent用户的支持，所以客户端和服务器之间的通讯用的都是udp协议，且客户端和服务器之间的心跳连接间隔可自定义，以保证不会同时占用过多网络资源，但这样一来由控制台通过服务器向客户端发送消息、指令，或客户端向服务器上传扫描报告和病毒信息都不会对网络带宽造成任何影响。11 客户端防卸载终端用户没有权限对客户端程序进行卸载，客户端具有防卸载功能。如果要对客户端进行卸载的话，只有通过管理员在控制台发布“关闭客户端”或“卸载客户端”策略后才能卸载客户端。第六章 产品特性1、网络安全模型的创新安全专家终端防护监控管理系统是建立在假定内网终端是不可信任的，同时也不安全的前提上，既需要防护也需要防范。这一模型突破了网络安全模型建立在假定内网终端都是可信的，其安全隐患来自外部的传统思路，弥补了传统安全产品在防护上的不足，可以达到预先防护，主动防范的目的。而在终端的防护监控上又考虑到了计算机系统和数据的安全性，是一个以“点”的防护入手，达到整体安全的解决方案。2、安全体系架构具有开放性、标准性和可拓展性本系统构建的是一个完整网络安全的体系架构，它可以提供标准接口接收来自于企业网络中其它经过授权认证的安全设备所发来的安全警报，例如防病毒软件发现网络病毒、IDS发现异常流量、外来攻击等等，当安全警报通过验证后，终端安全集中管理系统可以进行网络隔离。因此，它具有开放性、标准性和可拓展性。3、集中管理，分布控制与防护系统架构采用控制台服务器客户端代理三层结构，实现集中式的管理、分布式的防护，控制台和客户端之间不再有直接的网络连接。适合有不同网段的中大型内网。管理控制层次符合中国现有行政、企事业单位的组织和管理体系。系统占用资源少、效率高、实时性强。4、周密的内部系统信息泄漏保护体系系统采用了周密的内部系统信息泄漏保护体系，能防止信息从网络、计算机各种端口、移动存储设备等各种可能途径泄漏出去，不会遗漏任何一个可能泄漏的途径。国内现有的各种同类系统中