某内网终端安全管理系统解决方案.doc

北信源内网终端安全管理系统北信源内网终端安全管理系统 解决方案解决方案 北京北信源软件股份有限公司北京北信源软件股份有限公司 内网安全管理系统设计方案 2 目目 录录 1 1 前言前言 3 1 1 概述 3 1 2 应对策略 4 2 2 终端安全防护理念终端安全防护理念 5 2 1 安全理念 5 2 2 安全体系 6 3 3 终端安全管理解决方案终端安全管理解决方案 7 3 1 终端安全管理建设目标 7 3 2 终端安全管理方案设计原则 7 3 3 终端安全管理方案设计思路 8 3 4 终端安全管理解决方案实现 10 3 4 1 网络接入管理设计实现 10 3 4 1 1 网络接入管理概述 10 3 4 1 2 网络接入管理方案及思路 10 3 4 2 补丁及软件自动分发管理设计实现 17 3 4 2 1 补丁及软件自动分发管理概述 17 3 4 2 2 补丁及软件自动分发管理方案及思路 17 3 4 3 移动存储介质管理设计实现 22 3 4 3 1 移动存储介质管理概述 22 3 4 3 2 移动存储介质管理方案及思路 23 3 4 4 桌面终端管理设计实现 26 3 4 4 1 桌面终端管理概述 26 3 4 4 2 桌面终端管理方案及思路 27 3 4 5 终端安全审计设计实现 45 3 4 5 1 终端安全审计概述 45 3 4 5 2 终端安全审计方案及思路 45 4 4 方案总结方案总结 51 5 5 附录 系统硬件要求附录 系统硬件要求 51 6 6 预算预算 53 内网安全管理系统设计方案 3 1 1 前言前言 1 1 概述概述 随着信息化的飞速发展 业务和应用逐渐完全依赖于计算机网络和计算机 终端 为进一步提高单位内部的安全管理与技术控制水平 必须建立一套完整 的终端安全管理体系 提高终端的安全管理水平 由于单位内部缺乏管理手段 导致网络管理人员对终端管理的难度很大 难以发现有问题的电脑 从而计算机感染病毒 计算机被安装木马 部分员工 使用非法软件 非法连接互联网等情况时有发生 无法对这些电脑进行定位 这些问题一旦发生 往往故障排查的时间非常长 如果同时有多台计算机感染 网络病毒或者进行非法操作 容易导致网络拥塞 甚至业务无法正常开展 建立终端安全管理体系的意义在于 解决大批量的计算机安全管理问题 具体来说 这些问题包括 实现对单位内部所有的终端计算机信息进行汇总 包括基本信息 审计信 息 报警信息等 批量管理终端计算机并提高安全性 降低日常维护工作 量 实现对单位内部所有的终端计算机的准入控制 防止外来电脑或违规的电 脑接入单位内部网络中 实现对单位内部所有的终端计算机进行补丁的自动下载 安装与汇总 最 大程度减少病毒 木马攻击存在漏洞的计算机而导致的安全风险 实现对 单位内部所有的移动存储设备的统一管理 防止部分人员通过 USB 设备将单位大量的机密文件传播出去 同时也极大减少了病毒 木马通过 USB 设备在网络中传播等情况的发生 实现对单位内部所有的终端计算机进行终端安全管理与分析 包括第一时 内网安全管理系统设计方案 4 间禁止非法外联行为的发生 实时监控异常流量 检测非法软件 禁用部 分硬件设备等 将计算机与人结合起来管理 防止非法操作导致发生不必 要的安全事件 1 2 应对策略应对策略 从网络空间应用接入方式来来说 网络空间应用从传统的互联网应用接入 发展到以移动 无线通信应用接入乃至移动互联网接入等多种方式 而针对网络空间安全方面的问题 北信源公司基于多年的产品开发与超大 规模成功部署与应用经验基础 组建了面向网络空间的终端安全管理产品体系 该产品体系主要面向重要网络 信息系统及基础设施的失泄密检测与防范 实 现从终端 区域网到互联网的一体化检测 管理与防范 该体系从终端接入控 制 终端行为管控制 终端数据防泄密 以及终端安全审计等方面 实现了多 层次 全方位 立体化纵深失窃密检测与防范 形成了面向复杂网络空间的终 端安全管理一体化解决方案 有效地实现了网络空间下对终端计算机的安全管 理体系 内网安全管理系统设计方案 5 2 2 终端安全防护理念终端安全防护理念 2 1 安全理念安全理念 针对目前网络中终端计算机面临的各种安全问题 作为终端安全管理市场 的领导者 北信源公司特推出了面向网络空间的 VRV SpecSEC 终端安全管理 体系 VRV SpecSEC 终端安全管理体系以 APPDR 模型为依据 遵循国家和行业 等级保护 基于安全工程的思想 以独特的终端安全配置策略为核心 以终端 安全风险测试与评估为依据 实现组件化可动态组合配置的终端安全管理 其 核心理念如下图所示 VRV SpecSEC 终端安全管理体系核心理念终端安全管理体系核心理念 安全产品法规符合性开发 S Specification based Products Development 策略引导的终端安全配置 P Policy based Configure Management 评估驱动的终端安全管理 E Evaluation driven Security Management 内网安全管理系统设计方案 6 组件化终端安全管理体系 Component based Plug in out Security Architecture 2 2 安全体系安全体系 北信源 VRV SpecSEC 体系覆盖终端的资产安全管理 终端数据安全管理 终端行为安全管理 终端服务安全管理等多个方面 涉及管理计算机本身 计 算机应用 计算机操作者 计算机使用单位管理规范等多个方面 形成全方位 多层次 立体化终端安全管理 VRV SpecSEC 终端安全管理体系层次结构图如 下所示 VRV SpecSEC 终端安全管理体系层次结构图终端安全管理体系层次结构图 本解决方案正是基于上述核心理念和安全体系的基础上而组建的基于终端 各方面安全管理和控制的一体化解决方案 内网安全管理系统设计方案 7 3 3 终端安全管理解决方案终端安全管理解决方案 3 1 终端安全管理建设目标终端安全管理建设目标 1 当终端接入时要落实安全保护技术措施 保障内部网络的运行安全和 信息安全 2 对已接入内部网络的终端计算机 要做好用户权限设定工作 不能开 放 其规定以外的操作权限 3 发现有违规情形的 应当保留有关原始记录 并可直接了解到该违规 信息及违规方式等 4 网络管理人员能够利用该管理方式 便捷的管理内网终端计算机 并 能够利用该种方式对终端计算机现状一目了然 3 2 终端安全管理方案设计原则终端安全管理方案设计原则 方案设计遵循如下原则 1 安全性原则 对性能影响小 与其它业务系统无冲突 2 可靠性原则 在反复操作与长期实践之后依然能够保持高度的稳定性 3 可扩展性原则 能够符合 IT 发展方向 并随业务增长的同时保持高度 的可扩充性 4 易用性原则 提供简单 友好界面 能够进行直观的操作 形成丰富的 图形界面与报表 5 兼容性原则 能够与主流厂商的系统 软件 主机设备 安全设备 网 络设备保持高度的兼容性 内网安全管理系统设计方案 8 3 3 终端安全管理方案设计思路终端安全管理方案设计思路 1 1 遵循 遵循 ITIT 服务标准服务标准 随着信息技术的发展以及对信息技术依赖程度的提高 IT 已成为许多业务 流程必不可少的部分 甚至是某些业务流程赖以运作的基础 IT 部门要承担更 大的责任 即提高业务运作效率 降低业务流程的运作成本 遵循 ITIL 标准 协调 IT 服务部门内部运作 改善 IT 部门与业务部门之间的沟通 帮助单位对 信息化系统的规划 研发 实施和运营进行有效管理的方法 IT 服务管理将流 程 人和技术三方面整合在一起来解决 IT 服务管理问题 并结合单位内部组织 结构 IT 资源与管理流程等 对业务需求进行整体管理与服务 解决方案设计 要采用 IT 服务管理的理念 按照 ITIL 最佳实践标准来设计 2 2 遵循 遵循 ISOISO 2700127001 标准标准 ISO27001 作为信息系统安全管理标准 已经成为全球公认的安全管理最佳 实践 成为全国大型机构在设计 管理信息系统安全时的实践指南 其中除了 安全思路之外 给出了许多非常细致的安全管理指导规范 在 ISO27001 中有一 个非常有名的安全模型 称为 PDCA 安全模型 PDCA 安全模型的核心思想是 信息系统的安全需求是不断变化的 要使得信息系统的安全能够满足业务需要 必须建立动态的 计划 设计和部署 监控评估 改进提高 管理方法 持续 不断地改进信息系统的安全性 北信源认为 终端安全管理 也将是一个持续 动态 不断改进的过程 北信源将提供统一的 集成化的平台和工具 帮助对其终端进行统一的安全控 制 安全评估 安全审计及安全改进策略部署 3 3 遵循 遵循 VRVVRV SpecSECSpecSEC 安全理念安全理念 依据业界最佳安全实践和行业信息安全管理体系的建设流程 结合北信源 VRV SpecSEC 核心安全理念 本方案的总体架构共分为 网络接入管理 补丁 及软件分发管理 移动存储介质管理 桌面终端管理 终端安全审计 等安全 内网安全管理系统设计方案 9 管理组件 并通过统一 联动的安全管控与审计平台实现对不同层次架构的集 中策略配置与管理 完成对网络终端的分级部署 统一管控 最终实现对内网 终端全方位的控制管理 形成完整的终端安全管理体系 方案设计思路方案设计思路 内网安全管理系统设计方案 10 3 4 终端安全管理解决方案实现终端安全管理解决方案实现 本方案通过网络接入控制管理 补丁及软件分发管理 移动存储介质管理 桌面终端安全管理 以及终端安全审计管理等五大部分 并由集中统一的管控 和策略平台 完成对上述安全管理组件的统一策略配置与下发 集中管理与审 计 最终形成联动化的 集成化的 完整的终端安全体系建设 3 4 1 补丁及软件自动分发管理设计实现补丁及软件自动分发管理设计实现 3 4 1 1 补丁及软件自动分发管理概述补丁及软件自动分发管理概述 补丁及软件自动分发管理能够自动识别终端计算机操作系统类型 并根据 需求自动下载所需补丁 自动安装并提示 系统向指定终端计算机 用户组 分发文件或安装软件 分发时可提供软件的运行参数和必要的运行控制 该管 理体系可减轻网络管理人员的工作负担 软件分发时可报告软件安装的状态 无论软件正确安装与否 管理员均可及时了解情况 3 4 1 2 补丁及软件自动分发管理方案及思路补丁及软件自动分发管理方案及思路 补丁及软件自动分发管理支持推 拉两种方式自动下载补丁 整个补丁管 理运行平台构架是 通过北信源外网补丁下载服务器及时从补丁厂商网站获取 最新补丁 补丁安全测试后 通过补丁分发管理中心服务器对网络用户进行分 发安装 补丁安装支持自动和手动两种方式 内网安全管理系统设计方案 11 北北信信 源源补补 丁丁中中 心心 一一级级 补补丁丁库库分分类类 北北信信 源源补补 丁丁管管 理理中中 心心 二二级级 补补丁丁增增量量导导入入 补补丁丁测测试试 策策略略控控制制 推推拉拉分分发发控控制制 流流量量控控制制 多多级级级级联联控控制制 补补丁丁分分发发检检索索 补补丁丁自自动动识识别别 客客户户端端策策略略 客客户户补补丁丁查查询询 动动态态下下载载 转转发发代代理理 报报表表中中心心 北北信信 源源补补 丁丁管管 理理中中 心心 二二级级 客客户户端端 自自动动测测试试组组 真真实实环环境境 级级联联 同同步步 级级联联 同同步步 补丁分发管理体系补丁分发管理体系 网络应用对象 连通互联网的网络 直接通过补丁下载服务器将补丁下 1 载至补丁分发服务器 物理隔离网络 在互联网连通网络上安装补丁下载服 2 务器模块 通过补丁下载增量分离工具 区分内网已导入和未导入的补丁 将 最新补丁导入到内网补丁分发服务器 补丁及软件自动分发管理包括 补丁下载 补丁分析 补丁策略制订 补 丁文件分发 终端计算机补丁漏洞检测 补丁安全性测试 补丁分发控制 普 通文件自动分发等 包括功能如下 1 1 终端计算机漏洞自动侦测终端计算机漏洞自动侦测 终端计算机补丁自检测 在内网中建立补丁检测网站 终端计算机用户 访问网站后 Web 网页自动检测显示客户段补丁安装信息 用户可进行补丁 下载安装 管理员还可以在管理控制台上远程检测终端计算机补丁安装状 况 内网安全管理系统设计方案 12 补丁自动检测补丁自动检测 2 2 补丁下载补丁下载 增量式补丁自动分离技术在外网分离出已安装 未安装补丁 分类导入 系统补丁库 仅对内网的补丁进行 增量式 升级 以减少拷贝工作量 互联网补丁自动实时探测 支持补丁导出前病毒过滤 3 3 补丁分析补丁分析 自动建立补丁库 支持补丁库信息查询 针对下载的补丁进行归类存放 按照不同操作系统 补丁编号 补丁发布时间 补丁风险等级 补丁公告 等进行归类 帮助管理人员快速识别补丁 4 4 补丁策略制订 分发 补丁策略制订 分发 支持用户自定义补丁策略并自由配置分发 基于终端计算机网络 IP 范 围 操作系统种类 补丁类别 系统补丁 IE 补丁 应用程序补丁以及网 管自定义补丁类等 等制订策略 发送至终端计算机后统一按策略执行应 用 内网安全管理系统设计方案 13 补丁分发策略补丁分发策略 5 5 补丁自动修复补丁自动修复 在指定时间 指定网络范围内以不同方式 如推 拉 分发补丁 或者 根据脚本策略统一控制终端计算机下载补丁 当监测到有终端计算机未打 补丁时 可对漏打补丁终端计算机进行推送补丁 补丁分发支持流量和连 接数控制 以免占用太大带宽 影响网络正常工作 6 6 补丁下载转发代理补丁下载转发代理 提供补丁自动代理转发功能 提高补丁下发效率 减少网络带宽的占用 率 节省网络资源 7 7 补丁安全性测试补丁安全性测试 补丁分发前闭环自动测试 对下载的补丁进行自动测试 建立测试网络 组 测试完成后将其存入补丁库 以提高打补丁的成功性 安全性 可靠 性 8 8 普通文件分发及文件自动执行普通文件分发及文件自动执行 内网安全管理系统设计方案 14 可以提供分发普通文件也可以分发可执行文件及 MSI 等形式的压缩文件并 自动执行 软件分发策略制定 下发成功示意图 软件下发完成后 管理员可以在管理平台里查看软件下发 安装情况 根据 查看的结果即使调整软件下发策略 内网安全管理系统设计方案 15 软件下发回馈信息查询 3 4 2 移动存储介质管理设计实现移动存储介质管理设计实现 3 4 2 1 移动存储介质管理概述移动存储介质管理概述 该设计针对内网移动存储介质管理的特点进行 以移动数据生命周期为主 导 紧扣其存储和交换的安全需求 针对移动数据全生命周期各个环节潜在的 安全隐患 综合运用各种安全技术和手段 进行有效全程防护的安全产品 设 计时考虑到了区域访问控制 信息保密 文件走查审计等方面 确保单位内网 的信息不因使用移动存储而造成威胁 做到事前有保护 事后可追查 提供安 全 简单易用的数据交换安全解决方案 该设计以数据为中心 用户作为数据的使用者 主机作为数据的存储者 移动存储介质作为数据的迁移者 在管理范围内均赋予唯一的标识 三者进行 相互认证 只有经认证和授权成功后 才保证合法的用户在合法的机器上访问 合法存储介质上的数据 并形成详尽的日志供审计 移动数据安全访问模型移动数据安全访问模型 内网安全管理系统设计方案 16 3 4 2 2 移动存储介质管理方案及思路移动存储介质管理方案及思路 体系设计对移动存储介质安全管理范围应该包括 U 盘 移动硬盘 MP3 手 机 智能卡设备等移动存储介质 以及打印机等外设 体系设计与利用移动存 储设备或其他方式进行数据交换的相关终端计算机接口管理 包括光驱 软驱 USB 移动存储接口 USB 全部接口 打印机接口 红外设及蓝牙设备等 因此 体系技术设计主要包括 5 类的 USB 设备控制问题 包括存储类 Mass Storage 打印机类 Printer Class 智能卡类 Smart Card Class 图像类 Imaging Class HID 设备类等 并通过相关的技术手段提 供统一的管理平台及适用于各类存储介质的应用管理策略 确保提供完整有效 的移动存储环境和移动存储设备的安全使用方案 移动存储设备接入管理具体 功能如下 1 移动存储设备 分设备 网段等的 接入认证管理 保障指定设备读写指 定移动存储设备的访问控制管理 2 移动存储数据读写控制管理 3 移动存储设备标签认证管理 4 移动存储设备分区 普通区和加密区 管理 内网安全管理系统设计方案 17 分区格式化分区格式化 5 移动存储设备的加密管理 防止加密区的敏感信息外泄 6 移动存储设备接入行为审计 7 移动存储设备数据交换行为审计管理 比如设定文件后缀名等条件 8 设计对文件操作详细审计记录 包括文件的创建 复制 删除 修改和重 命名等操作 包括文件名 审计描述 时间 用户名 计算机 IP 地址和 其他必要的信息 9 设计对移动存储介质的插入和拔出动作的详细记录 具体包括事件类型 移动存储介质的名称 用户 计算机 IP 地址 事件时间 内网安全管理系统设计方案 18 移动存储审计移动存储审计 设计对终端计算机大量的文件拷贝行为可自主设定阈值 超过阈值的不进 行审计 如拷贝超过 1000 个文件不进行审计 这主要是因为这样的大量拷贝行 为一般不会是违规的行为 移动存储标签制作记录 对于在网络内使用的移动 存储设备 如 U 盘等 设置一个标签 不同管理员可以获得不同的标签类型分 配 当 U 盘接入到网络终端时 能够自动识别标签 如果识别通过 则该 U 盘 可以使用 否则不可使用 该设计运用商用密码技术 实现商用密码算法的加密 解密和认证等功能 的技术 通过密码算法编程技术 密码算法芯片或加密卡等以实现移动信息保 护 访问控制 审计监控等 以满足移动介质标记认证管理的功能需求 内网安全管理系统设计方案 19 移动存储管理策略移动存储管理策略 3 4 3 桌面终端管理设计实现桌面终端管理设计实现 3 4 3 1 桌面终端管理概述桌面终端管理概述 网络终端安全是一个综合的系统问题 涉及管理计算机本身 计算机应用 计算机操作 计算机使用单位管理规范等多个方面 因此体系设计需采用 C S 与 B S 混合设计模式 并支持分布式部署 具有模块化定制 支持标准 API 无缝功能扩展与升级等优点 设计应遵循网络防护与断点防护并重理念 对网 络安全管理人员在网络管理 终端管理过程中所面临的种种问题提供解决方案 实现内部网络终端的可控管理 北信源桌面终端管理体系强化了对网络计算机终端状态 行为以及事件的 管理 并针对基本管理 资产管理 安全管理 运维管理 桌面管理 审计管 理等提供的模块化的防护功能 并能够同其它安全设备进行安全集成和报警联 动 内网安全管理系统设计方案 20 终端安全模型图终端安全模型图 3 4 3 2 桌面终端管理方案及思路桌面终端管理方案及思路 桌面终端管理需从使用人的基本信息开始记录 同时包括 IP 地址 MAC 地址 软硬件资产 进程信息 软件信息 密码信息 杀毒软件 计算机资源 流量信息等方面进行统计 形成立体式数据库 当发生信息改变或资源报警时 能够第一时间通知管理人员 便于排查错误 并能够提供给管理人员相应的应 急措施与手段 帮助管理人员迅速解决问题 桌面终端管理具体功能还应包括 以下功能 内网安全管理系统设计方案 21 应用界面应用界面 1 1 终端注册管理终端注册管理 该设计采用 C S 和 B S 模式混合管理方式 在被管理的桌面计算机上安装 VRVEDP 客户端程序 在安装客户端程序需要填写当前计算机使用人的个人相关 信息 如使用人 单位 部门 联系电话 邮件 所在地 计算机类型等 进 行实名化的管理便于快速定位 无论是违规 还是网络安全事件发生时都可以 快速定位到事件源 个人信息填写个人信息填写 填写的个人相关信息会上报到服务器 保存在后台数据库里 供前台管理 内网安全管理系统设计方案 22 平台查询 实现实名化管理 实名化管理示意图 2 2 非法外联监控管理功能非法外联监控管理功能 1 1 网络内部终端非法外联互联网行为监控网络内部终端非法外联互联网行为监控 终端非法外联互联网行为监控 对于已注册的设备 通过不同方式 如双 网卡 代理 无线 手机 手机蓝牙等 连接互联网进行的通讯 能够自动阻 断其连接行为并报警 北信源产品不关心违规计算机当前采用何种方式违规外 联 只关心违规计算机是否具备违规外联 连接互联网 的能力 一旦具备连 接互联网的能力即认为违规外联时间发生 立即采用事先设置的处理手段处理 如断网 重启电脑等处理手段 同时记录违规事件上报服务器端 2 2 网络内部终端非法接入其它网络行为监控网络内部终端非法接入其它网络行为监控 对于已注册的设备 监控其网络连接行为 根据接入网络环境因素判定其 是否非法接入其它网络 3 3 离网 带外 终端非法外联互联网行为监控离网 带外 终端非法外联互联网行为监控 对于已经注册的计算机 非法带出到另外一个网络的行为进行监控 发现 有外联互联网行为时可以采取警告 阻断 自动关机等操作 同时记录违规事 件 在计算机重新接回网络时立即上报到服务器端 如果对带外终端非法外联行为要求报警时效性高 北信源提供外网报警服 务器组件 带外计算机一旦连接互联网 外网报警服务器即能收到违规外联报 警信息 内网安全管理系统设计方案 23 4 4 非法外联行为告警和网络锁定非法外联行为告警和网络锁定 如果终端非法入网 可以在报警平台和报警查询处获知信息 并且可以对 终端提示信息 自动关机 阻断联网等处理 5 5 非法外联行为取证非法外联行为取证 对于非法外联行为进行实时告警功能 同时记录该行为发生的事件 IP 地 址 MAC 地址 使用人等相关信息上报到服务器进行记录取证 终端非法外联管理终端非法外联管理 3 3 IPIP 和和 MACMAC 绑定管理绑定管理 对固定 IP 网络的 MAC 和 IP 地址进行绑定管理 当探测到 IP 变化后根据策 略设置恢复其原有 IP 地址 或者阻断其联网 同时禁止修改网关 禁用冗余网 卡 内网安全管理系统设计方案 24 IP MAC 绑定策略绑定策略 4 4 外设接口使用管理外设接口使用管理 在实际办公应用中 部分计算机的外设接口不允许使用 北信源产品通过 对接口的驱动程序进行操作控制以达到禁止外设接口的目的 可以对常见的外 设接口进行控制 如光驱 软驱 USB 接口 打印机 调制解调器 串 并口 冗余硬盘等 内网安全管理系统设计方案 25 外设接口策略配置 接口禁用效果示意图 5 5 杀毒软件管理杀毒软件管理 北信源产品能够识别市场上常见的 10 余种杀毒软件品牌 如 VRV 杀毒 金 山 瑞星 诺顿 卡巴斯基 趋势 KILL NOD32 等 能够监控各种杀毒软件 的运行状态 病毒库升级状态 并能够通过远程调用杀毒软件进行杀毒 杀毒软件运行状态监控 内网安全管理系统设计方案 26 杀毒软件识别 杀毒软件安装情况 通过杀毒软件管理可以帮助武汉船用机械有限责任公司管理员清楚知道网 络内计算机杀毒软件的安装情况 运行情况 以及病毒库升级情况 6 6 禁止修改网关 禁用冗余网卡管理禁止修改网关 禁用冗余网卡管理 支持禁止修改网关 禁用冗余网卡等功能 7 7 硬件资产管理硬件资产管理 自动搜集包括 CPU 内存 硬盘分区总和 设备标识的大小和其他详细信 息以及其他如主板 光驱 软驱 显卡 键盘 鼠标 监视器 红外设备 键 盘等所有的硬件信息 内网安全管理系统设计方案 27 硬件资产管理硬件资产管理 当内存 硬盘 CPU 主机名发生变化时 接入非法 U 盘时 北信源系统 会提供报警信息 报警信息可采用声音 邮件 短信等方式发送到管理员计算 机上 8 8 软件资产管理软件资产管理 自动发现识别客户端安装的所有软件信息 名称 版本 安装时间 发现 时间等 将相关数据入库 检测客户端运行软件信息 供管理员在 Web 控制台 查询 内网安全管理系统设计方案 28 软件资产管理软件资产管理 9 9 软 硬件设备信息变更管理软 硬件设备信息变更管理 报警未注册设备 注册程序卸载行为 实时检测硬件设备变化情况 如设 备硬件变化 网络地址更改 USB 设备接入等 10 10 进程保护管理进程保护管理 对重要的进程进行守护 防止由于意外或人为原因造成重要进程中断 内网安全管理系统设计方案 29 进程保护管理进程保护管理 11 11 桌面密码权限管理桌面密码权限管理 对终端的密码管理权限变化及使用状况 包括密码长度 安全性 弱口令 等方面 进行审计检查及报警 同时对不符合要求的终端进行提示或强制修改 等处置 达到防止病毒及黑客入侵的目的 终端密码管理终端密码管理 内网安全管理系统设计方案 30 终端权限管理终端权限管理 12 12 终端统一防火墙终端统一防火墙 管理员在 Web 控制台对终端进行统一的防火墙设置 对网络 IP 及协议访问 进行限制 在网络内建立虚拟的终端隔离区 另外对于大型网络 网络客户端由于用户使用水平的差别 会出现用户卸 载甚至退出统一安装的防病毒软件的情况 也会出现有个别用户被遗漏 未安 装防病毒软件的情况 管理员可利用 Web 控制台对终端所安装的杀毒软件情况进行监控和管理 并能够对终端杀毒软件实施远程操作 病毒查杀 升级 软件安装等 还可统 一监控网络内的防病毒软件 国内主流厂商的均可 安装情况和使用状态 了 解网络中的病毒软件安装状况 必要时可通过此设计强制为客户端安装防病毒 程序 如果需要 也可监控终端软件的安装情况 并进行相应的管理 如安装 杀毒软件软件 强行升级病毒库 自动分发并自动执行病毒专杀工具等 内网安全管理系统设计方案 31 终端防火墙管理终端防火墙管理 13 13 终端实时管理终端实时管理 通过点对点控制 实现对计算机的实时管理 可查看被控计算机当前运行 进程 选定进程远程结束 运行服务 修改服务启动方式 网络进程及端口 软件安装 漏打系统补丁 运行资源占用 系统账户组 账户 系统日志 共享 目录查看 远程关闭共享 策略执行状态 终端访问审计 修改网络配置 修 改个人信息 重启计算机 在线卸载客户端 远程控制 屏幕监控 等 进程查看 内网安全管理系统设计方案 32 网络进程及端口 共享目录查看 终端访问审计 内网安全管理系统设计方案 33 修改网络配置 远程系统维护 屏幕监控 在远程系统维护下还能实现对计算机截屏 文件传输 系统维护时直接发 送驱动 更新文件到受控计算机上 即时文字聊天等 内网安全管理系统设计方案 34 双向文件传输 内网安全管理系统设计方案 35 即时文字聊天 14 14 终端在线终端在线 离线策略管理离线策略管理 提供针对不同的网络接入情况 设定终端的在线 离线策略 当终端处于 不同的网络中 可以实现不同的执行策略 15 15 运行资源监控运行资源监控 在 Web 控制台对终端的 CPU 内存 硬盘的资源占用率和剩余空间进行监 控 设定危险等级报警阀门 终端运行资源管理终端运行资源管理 16 16 流量管理和控制流量管理和控制 蠕虫病毒和 BT 下载等行为在很多情况下会严重占用网络带宽 造成网络的 拥塞甚至瘫痪 对此可利用流量进行管理与监控 主要功能 主要功能 内网安全管理系统设计方案 36 流量采样阈值设定 用户自主设定采样阈值 当流量 含出 入或总 流量 超过一定限度并持续一定时间后 进行有关信息上报 防止上 报数据过多给网络带来负担 上报的当前流量进行汇总 对当前的流量进行时实排序 以便网络管 理人员进行快速分析是否是网络安全事故 对网络客户端的历史流量进行统计和排序 并可生成报表 对并发连接数设定阈值并进行采样 对网络扫描的可疑行为进行阈值设定和报警 对客户端大量发包的可疑行为进行阈值设定和报警 对具备可疑行为的客户端进行报警上报 自动阻断 客户端提示等管 理 设定网络客户端流量上限阈值 对超过的进行报警上报 自动阻断 客户端提示等管理 终端流量采样管理终端流量采样管理 17 17 流量异常监控流量异常监控 在 Web 控制台对终端的网络流入 流出和总流量进行监控和管理 并能够 对产生总流量过大 分时段瞬时流量过大的进程进行统计 辅助分析产生流量 内网安全管理系统设计方案 37 过大的原因 终端流量异常管理终端流量异常管理 18 18 进程异常监控进程异常监控 在 Web 控制台对终端未响应窗口进行监控并结束或重启该进程 对意外退 出的进程进行监控和保护 进程异常管理进程异常管理 内网安全管理系统设计方案 38 19 19 客户端文件备份客户端文件备份 针对终端计算机进行数据实时备份 将本机计算机目录文件数据实时或定 时备份到数据服务器或其它计算机上存储 针对局域网服务器数据存储等提供 安全数据同步备份解决方案 系统日志审计系统日志审计 内网安全管理系统设计方案 39 4 4 方案总结方案总结 本方案基于北信源 VRV SpecSEC