恒信移动商务股份有限公司终端安全解决方案.doc

恒信移动商务股份有限公司终端安全解决方案2010-6-7目 录一、项目背景1二、项目建设目标22.1项目内容22.2项目目标2三、项目技术方案33.1系统架构33.1.1系统管理构架33.1.2系统模块组成33.2系统功能43.2.1系统管理功能43.2.2网络准入管理53.2.3移动存储介质使用管理73.2.4终端安全防护83.2.5系统报表管理213.2.6事件报警管理中心23四、产品优势28 一、项目背景恒信移动商务股份有限公司成立于2001年11月，主要从事移动信息产品的销售与服务。经过多年经营，目前是国内唯一一家同时拥有地面服务网络与运营商信息业务平台的公司，目前公司实现以信息交换为公司管理、领导决策提供先进的技术支持手段，但是当前网络中的各类恶意攻击、病毒、木马等日新月异、防不胜防，以及在系统中还有可能运行了各类非业务性软件的人为违规操作行为等，都是直接影响系统安全、稳定、高效工作的重要不良因素，使得加强系统内网的安全防护与企业网络系统运行稳定成为当前首要保障目标；另外，由于相关工作人员计算机使用水平、网络安全以及病毒防范的意识和能力不足，直接影响到信息系统和整体安全策略的制定与实施，因此，加强信息系统的安全防护势在必行。因此，为保障恒信移动商务股份有限公司内网的安全运行，确保企业网络系统的安全运行，亟待充分利用现有安全基础设施，采纳最新的终端安全管理的技术手段，最大程度地防范由于终端脆弱性而导致的网络信息安全隐患，力主完善安全运维管理制度，大力加强病毒防范和综合治理的力度，建立全网防御、整体作用的综合网络安全管理体系。1 二、项目建设目标2.1项目内容 在整个部署网以网络接入控制管理系统为核心的综合性内网终端安全管理系统，包括终端接入控制管理、移动存储介质使用管理、非法外联管理、终端安全监控及企业系统网络运维监控等，最大程度的保证恒信移动商务股份有限公司网络边界及内网终端安全，保障内网及企业网络系统的安全运行。2.2项目目标 对网络节点进行有效监控管理和安全加固，从而对网络进行切实有效的防护和管理。1 解决网络安全的根本问题：提供从非法接入、违规外联发现阻断、移动存储介质使用管理、补丁加固、密码监控以及进程、端口、访问区域、流量、注册表、安装软件的监控管理，全方位的监控终端使用的各个环节，最大程度上保证客户端系统的健壮性，保证网络终端的安全，从而保证网络的安全。2 解决网络运维安全管理问题：外部非授权用户不得拥有访问公司内部信息的权限，针对用户和系统应用资源的，必须确保合法用户对信息的合法存取，所有网络活动应该有记录，这种记录要针对用户来进行，可以实现统计、审计记录等功能；3 保障企业系统安全运维：此系统的使用可在增强网络统一管理和安全管理的同时，保证网络的边界安全，又保证了网络的内部安全，同时实现系统安全和数据安全。2 三、项目技术方案3.1系统架构3.1.1系统管理构架 系统管理采用B/S构架，管理员可在网络的任何客户端通过登录内网管理服务器的管理页面进行管理和各种信息查询；所有的网络客户端需要安装客户端程序以对其进行监控和管理。 系统通过内网安全管理服务器对全网进行网络客户端的各种策略的配置下发，入网设备监控、移动存储介质监控、流量监控、违规联网监控、客户端软硬件管理等工作，并对客户端进行各种行为和状态的监控。网络终端上的客户端程序可将各种网络终端的状态信息、日志信息和报警信息上报，可对异常计算机进行断网等处理，也可通过系统，对客户端进行远程故障诊断和维护。 3.1.2系统模块组成 终端安全管理系统采用C/S与B/S混合管理设计，前台使用Web浏览方式对用户进行管理和注册，后台通过SQL数据库对用户数据加以统计和存储。此系统主要由以下几个模块组成。具体如下：1. 管理信息库： 管理信息库用来存放和管理各种策略、参数配置、网络客户端设备软硬件属性和状态信息、补丁及相关信息、报警信息、日志信息等各种信息。2. 中央管理配置平台（Web方式管理）： 本系统的管理配置中心。可以进行系统应用策略制订，配置系统的各项功能参数，进行系统用户维护等配置操作、并显示状态信息、报警信息和各种日志记录等。所有操作的过程和结果均存储在管理信息库中。3. 区域管理器： 区域管理器是系统数据处理中心。从管理信息库获取来自控制台的各种策略和命令操作，发送到客户端程序和扫描器执行。区域管理器同时接收扫描器的信息和客户端程序提供的各类状态和报警信息，发送至管理信息库，以备管理人员通过中央管理配置平台查阅。 上级区域和下级区域之间的命令和数据均通过上下级区域管理器传达。4. 设备扫描模块： 扫描网络中设备及其状态，巡检网络设备状态变化信息，并将这些信息通过区域管理器上报至管理信息库；并将部分控制信息传递给客户端。5. 客户端程序：可按策略自动探测系统软硬件相关信息和状态并上报给区域管理器，然后入库；可通过区域管理器接收策略并执行对应动作。系统工作流程图3.2系统功能3.2.1系统管理功能1. 策略集中管理功能：系统把所有和客户端安全控制和运行维护有关的控制功能分类地集中在一个WEB管理中心完成，所有的配置均在此中心完成，以方便用户的使用。2. 级联管理功能：可进行多级级联管理，支持多级管理方式，上级管理区域可进行统一的状态和报警信息，各级子管理节点能够与根管理节点进行策略同步，各级管理员管理辖区内的有关事件。3. 策略级联和分发功能，可根据情况需要将策略下发至本区域、下一级区域和所有区域。4. 系统可以灵活的按照用户需要制定策略触发条件：可根据时间段和时间点定制策略使用或禁止使用的触发条件。并可根据创建区域、自定义组、操作系统、IP范围和按照条件搜索的设备进行策略分组分发管理。5. 系统可以精细的划分用户的权限，可以规定每个用户管理的区域、可以使用的策略种类和控制菜单种类；各项策略和功能可根据需求按不同登陆用户进行屏蔽或开放。6. 支持全网统一升级功能，客户端软件可从互联网自动下载到服务器（或手动下载到服务器升级），服务器端升级后全网客户端软件可自动统一升级。3.2.2网络准入管理系统将采用802.1X接入控制结合虚拟隔离技术对纵向网的接入终端进行准入控制。 802.1X接入管理通过对支持802.1X协议的交换机进行管理，配合以RADIUS服务器和客户端程序，可以实现设备的身份认证访问功能，从而实现对内网终端的接入管理。 802.1X接入管理模块包括以下几部分：1. 客户端。安装在用户的终端上（集成在EDP Agent里），当用户有网络访问需求时，EDP Agent自动激活客户端程序通过认证，或由用户手动输入必要的用户名和口令通过认证。 2. 认证系统。在以太网系统中指认证交换机，其主要作用是完成用户认证信息的上传、下达工作，并根据认证的结果打开或关闭端口。 3. 认证服务器。通过检验客户端发送来的身份标识（用户名和口令）来判别用户是否有权使用网络系统提供的网络服务，并根据认证结果向交换机发出打开或保持端口关闭的状态。 802.1x接入管理的设备接入效果图 具体功能如下：1）准入控制未注册终端会因认证不成功进入访客隔离区，在隔离区中终端只可以与服务器通信只有在终端注册成功后方可以通过认证。2）自定义终端安全接入必须的桌面运行安全环境；用户可结合自身的需求自定义终端安全策略，也可按照用户现实环境的需要个性化搭配各个安全检查策略组合，对没有安装杀毒软件或其他安全要求不符的终端进行限制。 虚拟隔离接入管理系统通过虚拟隔离技术，可以在纵向网络系统划分一个只能与服务器通讯的VLAN访客隔离区。已注册的终端发送数据包中会被加入注册标识，没有注册标识的终端会被强制划入访客隔离区。被隔离的未注册终端只能与注册服务器通信，而无法访问纵向网的其他任何资源，如Web服务器、邮件服务器、FTP服务器和打印机服务器等。对于不支持802.1X的交换机，系统虚拟隔离技术对纵向内网终端进行准入控制。 强制重定向接入纵向网的未注册终端如果试图访问纵向内网资源将会被强制重定向到注册页面，方便新入网计算机的注册。强制重定向的方式主要有以下两种： 1、选择系统内经常需要访问的内部web网络应用服务。例如：门户站点、mail、OA 应用程序。对于其web首页进行修改，嵌入北信源提供的注册程序是否存在的判别代码，当用户访问这些页面时，如果计算机已经安装客户端程序，则可以正常使用服务，否则会强制重定向的注册页面。2、 在DNS（域名解析）服务器上使用特定的重定向软件或接入网关，在未注册客户端进行DNS服务器访问时强制重定向到注册页面。重定向注册页面上会提示用户被重定向的原因等消息，并提供注册客户端下载。注册程序加密 为防止未授权用户非法注册，系统提供注册程序加密功能，密码由系统管理员授权。只有经过管理员授权的终端用户才能成功运行注册程序完成注册入网。3.2.3移动存储介质使用管理北信源移动存储介质使用安全管理功能无缝集成在内网策略服务器内，采用相同的管理构架，由服务端制订统一的策略，分发给客户端执行。能够对用户通过移动存储介质在内网进行数据交互提供全过程的安全保护，可对移动存储设备接入管理，确保接入内网客户端使用前必须经过授权中心统一注册与授权，系统能对登记的介质分配读、写权限，能发现未登记的介质接入并能报警和阻断，对登记介质的数据提供保护机制，提供介质使用日志，可生成审计报告。系统专用USB移动存储设备注册工具提供给内网管理人员，对移动存储介质进行管理注册（包括打标签、设置访问密码），只用注册成功的介质在授权的主机上才能够在内网络中正常使用，同时具有软件加密功能，要求使用者在使用时必须输入密码。 3.2.4终端安全防护终端基本管理1. 终端注册管理系统采用C/S和B/S模式相结合的管理方式，在被管理的桌面计算机上安装VRVEDP客户端程序。在安装客户端程序需要填写当前计算机使用人的个人相关信息，如使用人、单位、部门、联系电话、邮件、所在地、计算机类型等，进行实名化的管理便于快速定位，无论是违规，还是网络安全事件发生时都可以快速定位到事件源。个人信息填写填写的个人相关信息会上报到服务器，保存在后台数据库里，供前台管理平台查询。系统注册信息填写页可以由用户自己自由选择设定，可以设定显示的注册内容项、标题项、是否启用、是否必填、是否为选择性填充等，并可以设定扩充选项，提供给不用需求的用户进行选择性注册管理。用户填写项自由设定页面2. IP和MAC绑定管理对固定IP网络的MAC和IP地址进行绑定管理，系统探测到IP变化后根据策略设置恢复其原有IP地址，或者阻断其联网。主机安全管理1、桌面密码权限管理对终端的密码管理权限变化及使用状况（包括密码长度、安全性、弱口令等方面）进行审计检查及报警，同时对不符合要求的终端进行提示或强制修改等处置。达到防止病毒及黑客入侵的目的。2、终端统一防火墙管理员在Web控制台对终端进行统一的防火墙设置，对网络IP及协议访问进行限制，在网络内建立虚拟的终端隔离区。另外对于大型网络，网络客户端由于用户使用水平的差别，会出现用户卸载甚至退出统一安装的防病毒软件的情况，也会出现有个别用户被遗漏，未安装防病毒软件的情况。3、杀毒软件管理可统一审计网络内终端的防病毒软件（主流厂商的均可）安装和使用情况，必要时可强制为客户端安装防病毒程序。如果需要，也可监控终端防病毒软件的安装情况，并进行相应的管理（如安装杀毒软件软件，强行升级病毒库、自动分发并自动执行病毒专杀工具等）。4、防网络攻击能够有效防止网络内部可能出现的ARP欺骗攻击、半连接攻击和洪水攻击，并对出现的攻击行为进行进行处理。网络防攻击策略5、终端流量管理l 流量采样阈值设定：用户自主设定采样阈值，当流量（含出、入或总流量）超过一定限度并持续一定时间后，进行有关信息上报，防止上报数据过多给网络带来负担；l 对上报当前流量进行汇总，并对当前的流量进行即时排序；l 系统展示最大流量的同时显示该终端的流量排名前三名的进程；l 可对网络客户端的历史流量进行统计和排序，并可生成报表；l 对并发连接数设定阈值并进行采样；l 对网络扫描的可疑行为进行阈值设定和报警；l 对客户端大量发包的可疑行为进行阈值设定和报警；l 对具备可疑行为的客户端进行报警上报、自动阻断、客户端提示等处理；l 设定网络客户端流量上限阈值，对超过上限的进行报警上报、自动阻断、客户端提示等管理。6、进程运行黑白名单控制对进程执行进行黑白名单控制，即根据策略设定禁止执行的进程和必须执行的进程。对违规的客户端进行客户端提示和断网处理等相应措施。7、进程保护管理对重要的进程进行守护，防止由于意外或认为原因造成重要进程中断。8、进程执行汇总统一汇总和监视网络各终端的进程，可以增量式的显示网络中新出现的进程，也可统计网络中最常运行的进程，从而统计出网络客户端软件的使用情况。此系统可对网络中出现的异常进程（很可能病毒进程）进行定位和报警，在必要时可直接阻断。9、软件黑白名单控制对软件安装进行黑白名单控制，即根据策略设定禁止安装的软件和必须安装的软件。违规软件禁止安装功能，禁止在注册表Run项里添加自启动项，禁止在注册表Services项里添加自启动项，禁止在程序启动项中添加项，禁止在程序项中添加快捷方式限制违规软件的安装，所有安装软件均可进行审计。10、终端消息推送可精确地对选定的对象或个人进行消息传送，而不依赖于Windows自身的信使服务功能，系统还提供多种策略模式传送消息。11、远程协助当客户端用户以及服务器用户在使用计算机时遇到难以解决的问题，可以通过访问特定网页式，主动向多个网管工作台（可自主选择的）进行并发协助请求呼叫，呼叫网管对其进行远程协助。当管理员接收到客户端的请求可以后，调用远程客户端的桌面，帮助客户端用户解决相应的问题。呼叫中心示意图管理员是否接受请求示意图 管理员接收请求后，系统将自动调用远程计算机的桌面，就如同管理员亲自到现场，进行软件安装、软件调试、系统维护、打印机安装等工作，省去管理员 来回现场和办公室之间的时间，提高了系统维护的效率和管理员的工作效率。12、终端点对点管理系统管理员可通过系统以点对点的方式对客户端进行详细的监控审计，具体包括以下内容：（1）硬件资产清单：自动搜集包括CPU、内存、硬盘分区总和、设备标识的大小和其他详细信息以及其他如主板、光驱、软驱、显卡、键盘、鼠标、监视器、红外设备、键盘等所有的硬件信息；网管可自主添加相关的附加信息。（2）安装软件查询：查询设备所有安装的软件。（3）终端进程管理：查询当前终端所有运行的进程，并可通过系统关闭非系统进程。（4）终端服务管理：查询当前终端运行的服务，可以远程关闭或开启服务。（5）终端流量查询：包括当前与网络连接的进程及其流量的统计。（6）系统运行资源查看：具体包括：CPU频率和使用率、内存大小和使用率、系统各硬盘分区大小和使用情况。（7）补丁查询：查看系统漏打的补丁。（8）日志查询：查看终端的系统日志、安全日志和应用程序日志。（9）终端安全审计：查看用户的登录、历史记录、下载信息等各种信息。（10）消息通知：向用户发送消息，并可要求用户进行消息回馈。（11）远程运行进程：可远程加载进程。（12）共享目录检查：检查当前终端的共享目录。（13）修改网络配置：可查看网络终端的IP、MAC、子网掩码和网关信息，并可远程修改用户的IP地址。（14）远程卸载客户端程序。（15）远程断开/恢复网络终端的网络。（16）远程重新启动计算机。主机监控审计 1、上网访问行为审计和控制：系统以黑白名单的方式对用户的网页访问行为进行控制；可对用户上网访问的网页等进行审计和记录。2、文件保护及审计：系统提供对终端的系统、软件和共享等目录中的文件的保护功能，设定访问、删除、修改权限；支持对设定目录文件的操作审计，包括文件创建、打印、读写、复制、改名、删除、移动等的记录，同时将信息上报管理信息库供查询。3、网络文件输出审计：对主机通过共享文件等方式进行的网络文件输出行为进行审计和记录（同下图）。4、邮件审计：根据策略对主机发送的邮件及其附件进行控制审计和记录（同下图）。5、打印审计：根据策略对主机打印行为进行监控审计，从而防止打印输出结果被非授权查看和获取。6、文件涉密信息检查：根据用户自主设定的涉密信息查询条件，设定对指定目录或盘符下的指定类型文件进行内容检查，检查其是否包含涉密内容，系统支持进行包含“或”、“与”等多种逻辑的组合监测和模糊监测。7、用户权限审计：审计用户权限更改及操作系统内用户增加和删除。8、系统日志审计：不同权限管理员在Web控制台对终端用户的日志（系统日志、应用日志、安全日志等）进行远程读取查看。违规外联管理 1、违规连接外网管理：发现内网终端通过双网卡、代理等方式连接外网的违规行为，并根据策略进行阻断或警告处置。2、违规访问未授权VLAN管理：发现内网终端通过双网卡、代理等方式访问其他VLAN的违规行为，并根据策略进行阻断或警告处置。 3、笔记本带出管理：发现内网注册的计算机带出内网接入其他网络，并可以根据策略采取警告、阻断、自动关机等操作。4、违规外联行为取证：对于非法外联行为进行实时告警功能，同时记录该行为发生的事件、IP地址、MAC地址、使用人等相关信息上报到服务器进行记录取证。3.2.5系统报表管理1. 系统提供完善的报表功能，能够根据按不同部门、不同操作系统提供软硬件资产、审计信息、报警、状态及其他情况汇总报表，提供多种报表功能。2. 具备独有的“组态报表”查询功能，对于有关报表，能根据不同的需要进行多种不同条件组合（组合查询条件包括所属区域、单位名称、设备所在部门、设备名称、设备IP、操作系统及版本、IE版本、防范等级、运行状态、安装杀毒软件版本及厂商、CPU情况、内存情况、硬盘情况、设备使用人、设备最后使用时间等等），还可以生成多种不同的报表格式。组态查询实例图 3.报表以网页的方式呈现，提供链接可在各项查询功能中跳转。报表可以方便的调整格式，并可以以Excel格式输出，以便打印。导出报表实例图4.可以根据需要输出成柱形图、饼图等。输出柱状图实例输出饼图实例3.2.6事件报警管理中心1. 事件集中报警处理中心汇总所有内外安全管理事件的报警信息，并将报警按种类、级别分类，同时支持短信、声音、邮件、图形等报警方式。同时，报警中心自动把各种报警信息汇总成为高、中、低三个等级，显示各类发生事件的名称和发生事件设备名称、IP、MAC等信息，以便第一时间发现报警源头和类型，发现对网络危害最大的报警信息，以最快速度妥善处理事件，从而在最大程度上提高系统管理员对网络突发事件的快速反应能力。2. 客户机发给管理服务器相关的报警信息可预设置级别，管理服务器把已注册客户机的报警信息