北信源终端安全管理解决方案

1、北信源终端安全管理解决方案 1北信源终端安全管理解决方案客户端安全管理概述客户端桌面安全管理技术的兴起是伴随着网络管理事务密集度的增加，作 为网络管理技术的边缘产物而衍生的，它同传统安全防御体系的缺陷相关联， 是传统网络安全防范体系的补充，也是未来网络安全防范体系重要的组成部 分。因此，客户端桌面安全管理技术无论在现在还是未来都应当归入网络安全 产品体系之列。客户端桌面安全管理强化了对网络计算机终端的控制，对计算机终端的管 理包括：资源资产、终端安全策略、桌面风险控制、补丁分发、终端运行状态 监控以及终端涉密审计等。客户端桌面安全管理系统提供了防火墙、IDS 、防病毒系统、专业网管软件所不能提

2、供的防护功能，对它们管理的盲区进行监 控，扩展成为一个实时的安全监控系统，并能够同其它网络安全设备进行安全 集成和报警联动。客户端桌面安全管理技术近几年来逐渐被网络管理者和机构管理决策者们 所重视。对于那些机器数量庞大，几百台甚至几千、几万台设备终端的网络， 网络管理人员面临的不仅仅是处理繁杂的终端安全管理事务，还要从事基础的 网络运行维护。 20032004 年，“冲击波”、“震荡波”在互联网、企事业网 络猖獗传播的时候，也正是网络管理人员忙于对众多计算机进行病毒查杀、升 级操作系统补丁的时候，同时爱情后门变种病毒在网络中此起彼伏的传播，可 谓让网络管理人员费尽脑力。国家安检、军机、政务等涉

3、密机构部门也面临着 内务专网中的客户端用户进行不规范或违规操作所带来的危害威胁，如黑客入 侵、病毒入侵、资料泄密等危险性行为。总体上，对于客户端桌面安全管理的要求要根据用户自身的需求出发，不 同的用户具有不同的侧重点。本文对该类产品的用户进行细化： 行业应用按照网络应用存在的行业进行划分，如电信、金融、政府、能源、院校、 媒体、交通、以及大型企业等集团级企业，这些用户存在着自上而下行业应用 广域网络，特点在于网络终端数量大、操作人员水平层次不齐、管理难度高。 规模层次按照对计算机数量的密集程度、信息化应用程度高低进行划分，如经济发 达地区企、事业用户（大、中城市），信息化应用水平要求高的行业（

4、金融、 电信、税务、电力）等，这些用户的计算机数量大、应用程度高。 涉密隔离机构特定的用户，如政府（政法、政务）、军机、金融、研究机构等用户，规 模实体中的财务、决策层次的网络，都面临信息保密的要求。 近期/远期管理需要企事业在发展的不同阶段，所面临的管理要求也不同，对于网络管理的严 格化在近期可能不需要，但在长远的阶段，可能存在强制管理的要求。用户客户群范围只要终端数量在 100 个以上的网络都有可能成为该类产品的用户，不止国 内是这样，国外也是这样。国内客户端桌面安全管理产品大致是最近一至二年在市场上开始初露端倪。在此之前，市场上出现的是国外的少数几种产品，由于国外产品不能够根据国内用户的

5、实际需求进行应用，因此在国内的推广效果并不是十分显著，国 内厂商由于在技术和经验上的局限，只是隐隐约约的吆喝，并没有几家能够真 正进行大规模推广使用。2003 年下半年，随着对病毒、边界、网关的安全管理体系的完善，在国内 外网络安全厂商、行业用户的酝酿和推动下，客户端桌面安全管理产品作为整 体网络安全解决方案中的重要组成部分在国内开始大规模应用。应当看到，在 国内各方的推动下，经过近 1 年半时间的发展，国内客户端桌面安全管理产品 已经成熟，而且能够全面满足用户的各种管理要求。目前国内市场存在着极大的用户群体，无论从行业、应用规模还是长期、 短期发展需要来看，网络用户都存在着对客户端桌面安全管

6、理产品的亟切需 要。尤其是一些特殊的用户，如政务、金融等网络对客户端的管理存在着极其 强烈的需求，并且要求厂家能够根据其自身实际情况要求追加特殊功能模块。 相对于普通用户来说，客户端桌面安全管理产品将是同防病毒、防黑客产品一 样不可或缺的安全保障设施，在保护网络客户端资源资产的同时，进行客户端 安全运行保障。客户端网络管理过程中会遇到的安全问题问题一：客户端防病毒软件及应用软件管理问题问题二：病毒引入点确定问题问题三：非正常终端阻止入网问题问题四：网络隔离度保障问题问题五：网络资源有效管理问题问题六：网络客户端任务分发问题问题七：硬件资源管理问题问题八：客户端补丁安全管理控制问题北信源安全产品

7、支持完善客户端防护体系建立北信源根据多年为国家机关、大型企业网络安全服务的实践经验，研发的 补丁管理系统可以为用户网络系统建设一个完整的客户端防护体系，从外部对 用户的网络边界的完整性进行有效监控（即网络隔离度监控），从内部通过补 丁管理，防病毒软件管理，入网设备联网状况管理，软件安装状况管理，客户 硬件状况管理等手段，完成对网络客户端的全面监控和管理，为用户网络建设 一个完善的客户端防护体系，解决网络客户端安全管理的问题。系统功能主要功能可以综合为：九大子功能模块、一个策略中心模块、一个终端控 制模块。九大子功能系统策略中心、数据查询、终端控制、补丁分发、运维信息、报警事件、 级联总控、统计

8、报表、系统维护等模块。 系统策略中心区域划分与配置：对网络中的客户端进行区域划分管理，配置系统组件运 行参数。临时组定义与管理：根据管理需要建立临时管理组对网络客户端进行 管理。策略中心：定义补丁管理系统各种安全策略。 数据查询：提供对网络设备信息、网络划分信息、网络中相关的设备安 全状态信息的综合查询。设备信息查询：查询信息包括计算机所属区域、部门、使用人、设备IP、MAC 、注册、重新注册、信任、保护、阻断、开机、杀毒软件、杀毒厂商、系统等信息。设备信息组态查询：依照下列属性进行计算机查询，包括使用人、联系电 话、设备所在地、所属区域、设备名称、设备 IP 地址、设备 MAC 地址、操作

9、系统、 Servicepack 号、 IE 版本、语言、使用人、是否注册、是否信任、是否 为受保护、是否被阻断、开机状态、防范等级、运行状态等。设备安装软件查询：对计算机安装的软件进行查询，如必须安装软件、禁 止安装的软件。设备运行进程查询：依照进程名称、文件大小、版本、进程所在路径、进 程所打开的端口、进程运行次数等进行查询。违规软件以及进程查询：查询事件内容包括软件违规方式（安装未禁止安 装软件、未安装必须安装软件）、进程违规方式（运行禁止运行进程、停止必 须运行进程）、进程类别（检索禁止执行的进程、非信任进程、信任进程、可 疑进程、非可疑进程、所有进程）。移动设备审计：查询事件内容包括设

10、备接入，从移动设备拷入，拷出到移 动设备。安全策略违规查询：查询事件内容包括注册表键值检测、系统弱口令用户权限变化。涉密检查：包括 IE 访问涉密检查（ IE 缓存、 IE 清单、 cookie 信息、收藏 夹），文件内容涉密检查。IP使用查询：注册IP、未注册IP、空闲IP等。 终端控制：补丁管理系统能够对网络中客户端终端信息进行点对点式的 控制管理，这些管理的方式包括：客户端控制和连接阻断、消息通知、客户端 注册以及升级管理、客户端安全属性管理。具体功能模块包括终端点对点控制、消息通知、重新注册、终端升级、终 端阻断、终端保护、终端信任。 补丁分发：对补丁进行分类显示，设置补丁检测页面的运

11、行参数；支持 多种方式对补丁分发结果信息进行查询。 运维信息：监测网络中客户端流量信息并进行排名，报警异常网络流 量，能够对客户端进行流量报警。 报警事件：提供网络设备信息非法外联、 IP 绑定等事件性安全信息进行 报警统计，并支持级联方式下的报警数据查询。 级联总控：支持多级补丁管理级联，上级管理系统能够查询下级补丁管 理信息。 统计报表：统计网络中设备硬件信息、系统信息、注册状态，以及级联 系统数据信息。具体包括：本地设备注册情况统计、本地设备系统信息统计、 本地设备硬件信息统计、级联设备注册情况统计、级联设备系统信息统计、级 联设备硬件信息统计。 系统维护：包括补丁管理系统数据库整理、用

12、户权限管理、管理员登陆 和操作管理。策略中心 硬件资源管理 : 控制硬件外设的使用，启用或禁用光驱、软驱、 USB 移 动设备、打印机、调制解调器、串、并行口。 进程及软件监控：包括软件安装监控、进程执行监控。 客户端违规联网策略：监视违规网络连接，并对其它做出相应的处理。 行为管理及审：移动设备审计：对移动设备的接入，接出，审计处理， 记录其操作时间。文件审计：审计打印文件，电子邮件，以及对系统文件提供 保护。进程审计 （进程黑名单，白名单 ） ：对违规启动或停止的进程报警或停止 已启动进程，启动已停止进程等。对进程全路径审计，审计非特定目录的程序 运行。 软件分发执行策略：补丁文件分发：向

13、客户端分发指定的补丁，提供补 丁的运行参数和提供必要的运行控制。普通文件分发：向客户端分发指定的文 件或安装软件，提供软件的运行参数和必要的运行控制。 自动补丁分发策略：提供客户端补丁的自动下载及安装，可设置补丁探 测时间，运行参数及运行形式。 客户端涉密安全检查： IE 访问检查：检查访问某一特定网络的历史信 息，如 IE 缓存， Cookie 信息，收藏夹等。文件内容检查：对指定的某一文件 夹或某一类型文件，检查是否有违规的信息。 安全策略：注册表检查：检查系统注册表键或者键值是否符合某一条件。用户密码策略：检测系统用户，网络共享，屏幕保护等密码是否符合规 范。用户权限策略：监控系统用户及用户组的变化。 流量管理策略：提供对系统网络流量的控制，并给出相应的处理方式， 包括流量采样策略、流量控制策略。 运行维护策略：运行资源监控策略（ CPU 信息、内存信息、硬盘信息 等监控）、客户端流量异常监控、进程异常监控（未响应窗口监控、意外退出 进程监控）。? 消息推送策略：向客户端发送消息通知，请求重注册信息以及要求升级 等消息。? 脚本策略：向客户端分发用户脚本 （ 该脚本通过脚本编辑