科盾内网安全管理解决方案

内网安全管理解决方案北京峰盛博远科技有限公司2010-7-28目录第一章方案概况...................................................................................................................................................1...........1.1概述................................................................................................................................................................1.............1.2需求分析........................................................................................................................................................2............第二章方案原则、依据及目标.........................................................................................................................5..........2.1方案原则..........................................................................................................................................................5............2.2方案依据..........................................................................................................................................................6............2.3方案目标..........................................................................................................................................................7............3.1安全策略规划.................................................................................................................................................8............3.2内网安全系统的建设......................................................................................................................................9..........第四章内网安全管理系统解决方案设计4.1简述4.2内网安全管理系统设计思路4.3系统架构4.4安装部署4.5技术优势4.6系统性能指标4.7运行环境要求第五章技术支持服务............................................................................................................！未定义书签。5.1系统实施服务.......................................................................................................................！未定义书签。5.2系统售后服务.......................................................................................................................！未定义书签。5.3软件培训服务.......................................................................................................................！未定义书签。5.4技术支持服务.......................................................................................................................！未定义书签。第六章公司和团队介绍.............................................................................................................！未定义书签。6.1公司介绍..............................................................................................................................未定义书签。6.2技术力量及专业背景........................................................................................................！未定义书签。6.3技术咨询与服务优势........................................................................................................！未定义书签。第七章产品资质和案例...............................................................................................................！未定义书签。7.1产品资质................................................................................................................................未定义书签。7.2典型应用案例.......................................................................................................................！未定义书签。第八章项目预算.............................................................................................................................！未定义书签。8.1（略）.....................................................................................................................................未定义书签。附录一详细功能列表............................................................................................................！未定义书签。附录二防护情景分析............................................................................................................！未定义书签。第一章方案概况1.1概述从实际看内网管理的必要性随着信息网络的迅速发展,1生活和工作方式，也改变现行企事业单位的管理模式。作为信息的管理部门，必须考虑当前技术的发展给我们的工作所带来的利益和威胁.如何利用信息网络进行安全的通信，同时保护计算机自身信息的安全性，成为当前网络安全和信息安全迫在眉睫的问题。FBI对484家公司调查显示。面对信息安全威胁，85％的安全损失是由单位内部原因造成的。在损失金额上，由于内部人员泄密导致了6056.5万美元的损失，是黑客造成损失的16倍，是病毒造成损失的12倍。另据中国国家信息安全测评认证中心调查，信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪，而非病毒和外来黑客引起。这些安全威胁不是防火墙、入侵检测和防病毒等传统安全手段所能解决的。应该看到信息安全要立足于终端，从源头抓起，才能从根本上解决安全问题；同时信息安全也要和应用系统紧密结合，才能做到有的放矢，真正有效地满足我国各行业的迫切需求。,由于某一员工误操作造成公司服务器上重要文档丢失；由于没有定义每位员工在系统内的访问权限，对于这些来自单位内部的安全问题，不是靠单纯安装杀毒软件或防火墙就能解决的。1.2需求分析我公司信息化办公环境在网络化过程中面临的安全问题可包括网络系统安全、主机安全和数据安全。针对网络系统安全方面，机构需要防止网络系统遭到非授权访问及外来计算机接入内网接触涉密数据等；在主机安全方面需要及时打补丁防止病毒的入浸，控制数据传输端口，避免数据传输的无记录状态等；在数据安全方面机构则需要防止机要、敏感数据被窃取或非法使用等。各类计算机病毒、隐蔽访问通道、黑客攻击等造成敏感数据泄密、Web站点瘫痪等等问题，都是机构实现网络化面临的外部威胁。如何搭建安全的网络架构，如何将非法入侵者拒/机构在进行网络化过程中必须解决的问题。目前，机构利用Firewall在网络的边缘设置了快速有效的网络防火墙及IDS2系统，可以对网络入侵进行监控和防护，抵御低阶通讯层次的攻击、防止主机及个人电脑的入侵、检测恶意的可执行程序和阻绝网络的滥用。这种解决方案是针对外部入侵的防范，对于机构内部信息保密安全管理却无任何作用。对于一个大型机构以往人为控制的教育加监督（人工填写日志）的安全管理方式是无法阻止内部工作人员运用现今的高科技信息载体主动或被动泄密的，这是每一个安全管理人员必须认真对待的问题。公司信息化办公环境的内部网络安全本质上是一种安全管理需求，目的是使公司信息化办公环境的各项生产任务在信息化工作模式下能够安全的进行。要能够针对没有经过授权的主机的接入涉密网进行控制，能够控制内网中涉密计算机的非法外联行为，对内网的机器的外接设备进行控制，避免由于随意的接入介质等设备，造成重要的涉密文件的外泄。在保证主机的非法接入和接出的同时，还要保证系统自身的安全性。接受共经历三个具体层面，终端层面、传输层面、服务器层面。对每一层，都有同样的总体要求，即信息不非法外泄、不被篡改、不被恶意毁灭。终端层是最初产生信息和最终接受信息的层面，传输层是信息流的通道，服务器层是信息流的中心控制区域及存储区域。针对每层有其特点，采取的安全防护措施也不同。服务器层是信息数据的存放中心，因此大量数据存在物理介质损坏、病毒攻击损坏等等的安全风险，同时，内部人员的非授权或越权访问导致主动、被动泄密的威胁更大。服务器层所需要的机房环境能够基本满足国家对与机房的安全要求，机房防护系统完善。但对于内部员工访问服务器却没有进行有效的保护和审计。VLAN以及路由访问控制技术进行数据交换，并且设备口令和设置进行严格管理，做了很好的物理保护，但对于内部人员不同区域或不同密级之间的互相访问缺少控制。终端层包括公司信息化办公环境的个人计算机及工作站。终端层计算机现在基本上使用WINDOWS操作系统，WINDOWS操作系统经常被发现有严重的漏洞存在，3终端违规程序的使用、外设端口的无管理状态、移动介质的随意使用、资产的非法变更等都有可能造成涉密信息的泄露，并没有很好的审计，处于信息泄露的无追查状态。同时，计算机的无认证授权措施，可能出现内部人员非法进入非授权计算机盗取机密信息等。信息安全取决于信息系统中最薄弱环节，因此只有对终端的安全管控才能有效避免信息泄露。个人计算机的使用缺乏安全目前内部网络中的主机访问一般都是基于普通用户名/口令的静态口令认证机制，具有一定的脆弱性，容易冒充和伪造。非法主机的接入对与一个内部涉密网络来说，非法主机的接入的防护是非常困难的，ip地址的使用混乱，不能有效的将ip地址进行管理控制。当有外来主机接入时，接入者只需要对内部网的ip地址进行探测，就可以轻松的连接到内部网络中，对内部办公网络造成严重的威胁。主机非法外联对于涉密网络来说，内部涉密主机是不允许接入到internet的，但是避免不了一些用户通过拨号的方式，或者其他的方式连接到外网，一旦此机器被攻击者控制，那么整个我们的内部网络将全部暴露。缺少对内部计算机的行为控制尤其是内部人员的不合理和违规行为，很容易导致内部敏感信息的外泄。如：内部工作人员私自拷贝、复制、删除计算机上存储的工作文件；打印、刻录计算机上存储的工作文件，打印后的文件丢失可能造成内部敏感信息的失泄密；缺少对内部计算机的资产监控内部计算机的使用缺乏统一的资产管理和监控，也无法对计算机的软、硬件资产变更情况进行监控，如增加第二块网卡，拔出计算机内存等，可能造成计算机信息和网络信息失泄密。个人计算机上的软件由用户自己维护，无法集中监控和管理个人计算机的软件安装，易被植入木马等黑客软件或其他不安全软件，造成计算机信息失泄密。4存储设备泄密U具，尤其是内部网络中常用的数据交换工具。但是，移动存储设备的使用也带来了的计算机信息媒体或载体（指计算机硬盘、移动硬盘、U盘、软盘、磁带及其它设相应的技术手段作为管理支撑，对移动存储设备的管理一直比较困难，很容易造成无意地将这些信息泄漏出去。整个内网没有较强的审计系统操作系统本身自带的审计系统较弱，不便于统一管理。没有审计系统，对终端计算机用户的违规行为和其他入侵行为缺乏监管手段，也无法进行责任认定。内部主机自身无防护由于内部主机与internet是完全隔离的，对于主机系统的补丁不能及时进行盗取系统中重要的资料文件。缺乏内网的安全解决方案大多数安全系统都只是来自于外部的入侵。针对于来自外部的入侵，已经大量成熟的安全系统来防范，但是内部的安全威胁和隐患，却很少被注意到，或者已经注意到，却没有完善的安全系统和安全来解决单位的内部安全问题。第二章方案原则、依据及目标2.1方案原则为保证方案的能够最终达到国家保密部门规定的相关保密要求,在设计方案时遵循如下的设计原则:方案先进原则：公司信息化办公环境的内网安全管理系统要求功能完善、技术先进、安全可靠、服务领先；5系统安全原则：管理系统自身安全包括物理安全、系统安全、数据安全和运行安全等；可扩展原则：统一规划，兼顾长远，既要满足现有的需求，又要兼顾系统的可扩展性，保证分布实施的延续性。系统在结构、规模、应用能力等各个方面都必须具备很强的扩展能力；可靠性原则。执行ISO9002质量认证体系要求，确保安全保密设备的高可靠性和稳定性；高效原则。内网安全管理系统的处理能力要求能满足现阶段的实际需求，保证系统的高效运行，并能根据系统的发展进行不断提升；2.2方案依据本设计方案的主要依据是国家保密局文件“涉及国家秘密的计算机信息系统安全保密方案设计指南”（BMZ2-2001国家标准GB2887-2000国家标准GB9254-1998国家标准GB9361-1998国家标准GB17859-1999国家标准GB50174-1993国家军用标准GJB3433-1998国家公共安全和保密标准GGBB1-1999国家保密标准BMB2-1998《使用现场的信息设备电磁泄漏发射检查测试国家保密标准BMB3-1999《处理涉密信息的电磁屏蔽室的技术要求和测试方法》国家保密标准BMB4-2000国家保密标准BMB5-2000《涉密信息设备使用现场的电磁泄漏发射防护要国家保密指南BMZ1-2000《涉及国家秘密的计算机信息系统保密技术要国家保密指南BMZ2-2001《涉及国家秘密的计算机信息系统安全保密方案6设计指南》国家保密指南BM23-2000《涉及国家秘密的计算机信息系统安全保密测评CISPR22信息技术设备—无线电干扰特征—极限值和测量方法；CISPR24信息技术设备—免疫性特征—极限值和测量方法；国务院令147国务院令195中华人民共和国公安部令32[1998]1中央保密委员会办公室、国家保密局文件《涉及国家秘密的通信、办公自[1998]6中共中央办公厅国务院办公厅关于转发《中共中央保密委员会办公室、国家保密局关于国家秘密载体保密管理的规定》的通知（厅字[2000]582.3方案目标公司信息化办公环境要求最大可能的保护其办公网络和系统资源与数据可以得到充分的信任，获得良好的管理。现对网络的全面安全加固.供包括整体安全策略、规划、设计、部署、管理、紧急响应以及配套服务组成的网络安全整体解决方案。最终实现：根据不同的安全策略要求，科学划分安全域；采用安全可靠的用户标识、用户授权、用户鉴别等安全预防措施，对涉密信息整个生命周期实施严格的访问控制，确保合法用户合理使用信息资源，防止涉密信息的泄漏；7监控信息处理服务器、涉密信息处理终端的安全，确保涉密信息人机处理边界、网络安全域边界安全，及时发现、审计、阻断信息系统中的各种攻击行为；及时发现、处理信息系统的安全漏洞，确保信息系统相关操作系统、数据库系统、网络操作系统、应用平台软件系统及时更新升级；建立全网统一、有效的防病毒体系，防止病毒在整个网络中的大规模传播，防止各种病毒等进入内网，阻止各类恶意代码攻击内部信息系统；建立有效的应急处理和灾难恢复机制，确保突发事件后能迅速恢复系统的各项应用服务；建立审计体系，对操作系统、数据库、涉密文件、系统配置文件访问操作、涉密网接入、涉密网访问、应用系统访问等建立审计制度，明确审计内容、审计范围、审计信息处理流程，确保审计信息的可靠性、可用性；建立有效的安全管理机制，确保相关信息系统的信息安全管理组织健全、管理措施到位、管理制度完善、管理职责明确。第三章系统规划3.1安全策略规划系统安全建设的指导原则、配置规则和检查依据。内网安全系统的建设主要依据单位网络信息系统统一的内部安全策略。内部安全策略可以分为：（1）主机资源审计与保护策略它指导如何准确、便捷的收集单位内网内所有主机的相关信息，同时指导我们根据不同主机的资源现状制定不同的保护手段和管理制度。（2）在线信息保护策略8在线信息保护策略是指根据单位的实际情况，并结合相关的法规政策、单位制度，对单位内部暴露在网络上面的重要信息进行保护的内部安全策略，它指导单位如何定义重要信息、区分不同的信息的重要程度、并根据不同信息的重要程度制定不同的保护方案和访问控制规则，同时也保证了我们单位的内部网络资源得到最大化的合理应用。（3）离线信息保护策略离线信息保护策略是指根据单位的实际情况，并结合相关的法规政策、单位制度，对单位内部可以通过可以离线方式（包括笔记本、移动存储设备、打印设备等等）传递的重要信息进行保护的内部安全策略，它指导单位如在定义了重要信息以及信息的密级后，同时可以有效的将各种离线的信息传递设备（方式）进行统一的规划和控制。3.2内网安全系统的建设一套统一的、安全的、可扩展的内部安全系统是我们构建整个安全目标的重要因素，内部安全系统是我们整个内部安全体系的基础框架，通过我们的内部安实现安全策略，把安全策略作为系统配置的形式下发到所有终端主机；科学的划分安全域，我们的管理工作趋于统一化、合理化、高效化。3.2.1终端安全用户登录安全USB令牌插入计算机，并输入正确PIN码后，才能进入计算机操作系统，从而可以对用户登录计算机的操作行为进行审计，并避免了计算机可能面临被第三者偷用的风险并保证了实名制。权限管理用户注册成功后，管理员必须为用户赋予相应权限，以使用户获得在内部网络中的使用权。权限管理的内容包括计算机登录权限、服务器访问权限操作权限等。安全保密磁盘9系统提供了安全保密磁盘，作为用户存储重要数据的空间。安全保密磁盘由USB令牌相关，只有建立该保密磁盘的用户令牌能够插入计算机后才能打开该保密磁盘。安全保密磁盘对笔记本计算机具有非常重要的意义，大大降低了因为笔记本外出及丢失造成的资料泄密损失。3.2.2主机监控实时监控比如关闭某个打开的进程、服务或者窗口等。外设监控外设监控策略运行管理员针对每台计算机进行外设端口使用的授权，比如允许或者禁止USBUSB并口（打印端口）等。在允许使用的情况下，可以选择记录日志或缓存副本。应用监控应用监控提供了管理员集中授权管理客户端应用的方法。管理员可以黑名单或者白名单的方式授权，并且可以基于进程名称、服务名称或者窗口名称进行管理。自动记录本地计算机和共享上的文件操作记录，包括创建、删除和复制等操作，并记录用户名、文件名和相应的时间等。对用户打印行为进行监控，记录打印文件名、打印人、计算机以及打印的时间等。对是否允许客户端安装Windows程序进行授权网络监控服务器实时监控客户端的非法外联行为，包括拔号、使用代理等上连接外网行为，并做出相应的响应与预警。3.2.3非法主机接入阻断10漏。及手动设置在内网边界以内的计算机。3.2.4终端资产管理一步生成报表，对于重要的设备，如果丢失，可以及时发现。3.2.5移动存储设备的管理意从存储设备（尤其是移动存储设备）泄漏出去。该技术支持灵活的策略管理模式，使得用户能够根据需要设定移动存储设备的使用权限（比如禁止使用策略、正常读写储设备可能带来的安全隐患。3.2.6内网审计进行审计。为网络管理人员提供了一种审计、检查当前系统运行状态的有效手段。审计功能包括：自动登记受控终端的硬件配置（包括CPU、内存、硬盘、显示卡、网卡等自动记录受控终端操作系统配置的用户、工作组、逻辑驱动器，当其发生变化时，自动向安全管理核心系统发出报警信息；对受控终端安装的系统服务进行审计，自动记录系统服务的启动和停止；自动记录受控终端上应用程序的安装与卸载情况；对受控终端上运行的进程进行审计，自动记录进程的启动和停止；11对文件操作进行审计，记录用户对规则指定文件进行的各种操作；对本地打印机使用情况进行审计；对受控终端的可移动存储设备的使用情况进行审计；对拨号访问情况进行审计。3.2.7详细的审计、分析与报告安全事件分析报告计算机配置报告计算机运行状况报告系统进程审计监控报告系统服务审计监控报告系统日志审计监控报告打印输出审计报告文件存储、传输审计监控报告供的“报表查看器”进行浏览，同时提供打印预览功能，支持报表打印。3.2.8局域网病毒防御（1IP地址和MAC绑定。终端主机安装科盾内网安全平台时，自动将终端主机的IP地址和MACIP地址或MAC地址。（2）ARP病毒免疫。该功能能够有效地杜绝ARP病毒攻击，一旦内部网络中出现了ARPARP攻击所导致的MAC地址混乱的现象进行清理，从而避免了ARP攻击所带来的影响。3.2.9服务器保护服务器的所有操作都会被记录。服务器保护的流程如下所示：12序3.2.10软件分发客户端程序需要安装得情况，可以通过软件分发得形式帮助管理员完成工作。软件分发可以将被分发的软件，通过在线的方式传递给被管理的客户端主机，被管理的主机只需要选择安装即可。这样大大的降低的管理的工作强度。第四章内网安全管理系统解决方案设计4.1简述本方案的目的是对公司单位的涉案计算机进行有效的控制和管理，对主要信息进行控制、审计和监控，以达到对重要信息高效安全地保护，防止关键数据的外传和泄密以及对整体内部网络的安全有效的管理。保证信息化公司系统高效安全可靠地运行。本方案钍对公司的内网安全管理的需求进行了需求分析，分绍了当前的主要13给出具体的产品部署和系统实施建议。科盾内网安全管理系统将重点放在主动地（Actively）控制风险而不是被动地(Passively)响应事件，提高整个信息安全系统的有效性和可管理性。通过对每一个网络用户行为的监视和记录，将网络的安全隐患可视化，提供实时监控，并形成完整的日志，为审计提供依据，从而大大提高内部专用网络的安全性，真正保障每一个网络用户都在授权的范围内合法地使用网络和数据。4.2内网安全管理系统设计思路针对我部对内网安全提出的功能和性能要求，峰盛公司为了有效的满足我部在涉密网络环境下实现安全保护的要求，故提出内网安全产品《科盾内网安全管理平台系统》软件作为基础建设安全管理系统的构想。峰盛公司利用公司自有产品《科盾内网安全管理平台系统》建立起的内网安全管理系统的基本组成部分包括：科盾内网安全平台是一个完善的内网安全防御体系，与常规的网络监控或行为控制软件不同，它综合考虑了内网数据安全和内网有序管理两个方面，结合操作系统内核数据加密、网络智能控制和行为分析等先进技术，对组织的内部网络进行综合、高强度的保护。在系统架构上，科盾内网安全平台由一个基础平台和六个子系统组成，其中基础平台对整个内网安全系统提供基础设施支撑，如预警、日志、管理员管理、报表系统等；另外六个子系统分别从网络认证授权、桌面管理、网络监控、移动存储介质管理、网络分域管理以及文档安全管理六个方面，有效保护我部涉密网14信息安全。4.3系统架构科盾内网安全平台支持多级管理、广域网部署。在系统平台实际应用中，一般有以下两种应用部署方式：局域网部署和广域网部署，每种方式均支持分级管理，下图为通常情况下的应用部署示意图。1）客户端模块。实现及时接收控制台策2）服务器模块。存储控制台设3）控制台模块。是系统的管理中心，对客户端设置监控策略；定时监控客户端和服务器的运行状况等。4.4安装部署考虑到内网终端规模庞大的情况，系统的安装需要支持多种安装部署方法，15WEB提供多种安装方法远程推送Windows域安装WEB安装4.5技术优势科盾内网安全平台紧密跟踪当前的安全技术发展趋势，在多项技术上取得了创新和突破，具体包括：（1）基于分布式透明代理的服务器保护技术分布式认证，避免发生认证服务单点故障。透明接管对指定服务器的认证与访问操作，完全兼容原有业务系统。对多种服务器（如、HTTP和多种主流DB）的协议进行解析，实时掌握终端对服务器的操作情况。对数据库服务器的保护审计粒度细化到数据表操作。（2）基于操作系统内核过滤驱动，对数据进行高强度加密。惯。在系统内核层进行数据加密处理，难以破解。（3）