电力信息网络安全防护系统设计方案

统一管理、集中监控：主要是由省公司进行集中监管，包括：由省公司根据各地市公司、调通中心、合肥地区公司的具体情况统一制定相应的防病毒策略和实施计划。省公司负责全网的病毒定义码、扫描引擎和软件修正的统一升级工作，并将升级文件自动逐级分发至各地市公司、调通中心、合肥地区公司的防病毒服务器。省公司负责各分公司、调通中心、合肥地区公司被隔离文件的提交和下发相应的病毒定义码和扫描引擎。省公司可以通过广域网对下级的病毒管理服务器进行集中监控和管理。省公司负责管理统计病毒报表生成等工作。分级实施、分级维护：主要根据公司现有的网络构架和管理体制，设立省公司、地市公司、调通中心、合肥地区公司二级管理中心，以及以后甚至到县公司三级管理中心。各级管理中心负责本地病毒防护系统的实施和维护工作，由省公司来进行集中监管，包括：各分公司负责自己局域网防病毒软件的安装。配置和实施各分公司制定的防病毒策略。监控自己局域网防病毒状态；各分公司分别负责自己局域网防病毒状态的监控和对病毒事件做出相应的响应。日志文件的维护。报警维护。7.4.2部署全面的防病毒系统采用“纵深”防御的措施，即考虑在整个网络中只要有可能感染和传播病毒的地方都采取相应的防病毒手段，安装相应的防病毒系统。利用网关级病毒防护产品将病毒尽最大可能地拦截在网络外部，同时在网络内部采用全方位的网络防病毒客户端进行全网的病毒防护，针对服务器采用服务器端的病毒防护，同时保证全网病毒防护系统做到统一管理和病毒防护策略的统一。针对公司系统的具体情况，主要考虑网关防病毒、邮件安全防护、服务器的病毒防护以及客户端病毒防护。部署网关防病毒XX电力信息网地域跨度大、子网多、结构相对复杂，一旦病毒侵入局域网内部则会给管理造成较大的困难。因此，在整个网络上不仅要建立一个统一的、多层次、全方位、集中化管理的安全防护系统，并且在网络边缘部署网关级病毒防护产品（如网关防病毒墙或集成安全网关等）以防止计算机病毒从网络边缘进入省公司和各地市公司内部网络。针对邮件的内容过滤、拦截垃圾邮件和防病毒考虑到当前计算机病毒多数通过电子邮件和垃圾邮件传播，在方案中设计了集邮件病毒和蠕虫防护、邮件内容过滤和反垃圾邮件为一体的邮件安全防护产品。部署服务器端防病毒在服务器系统的防病毒保护上，根据公司系统网络的具体情况，我们主要考虑针对WindowsNT/2000服务器的防病毒保护。安装防病毒客户端软件，保护系统、磁盘、可移动磁盘、光盘以及调制解调器连接所收发的文件等免受病毒的感染。部署客户端集成安全产品在客户端一级，根据公司系统的具体情况和客户端的操作系统类型，分别安装针对Windows9X/NT/ME/2000/XP的集成安全产品（包括客户端病毒防护、客户端防火墙、客户端入侵检测功能），实现对网络、操作系统、磁盘、可移动磁盘、光盘以及调制解调器连接所收发文件的病毒防护。7.4.3病毒定义码、扫描引擎的升级方式根据公司系统网络的结构，考虑到安全的需求，同时也是便于管理，我们在网络内采用二级服务器升级的结构，即：首先升级省公司防病毒服务器的病毒定义码、扫描引擎和软件修正。根据实际情况可以配置省公司防病毒服务器自动或手动通过Internet到防病毒软件厂商的病毒定义码发布网站升级最新的病毒定义码和扫描引擎。各地市公司、调通中心及合肥地区公司等网络的防病毒服务器到省公司的防病毒服务器进行病毒定义码、扫描引擎和软件修正的更新、升级。7.5网络防病毒方案如果继续延用现有模式，则公司系统信息网将同时存在多家防病毒产品，这些产品都需要有专人维护，需要部署各自的防病毒管理服务器，这样既加大管理人员的工作负担，又增加了整体投资。考虑到各地市公司各套防病毒软件均需要升级更新，本方案建议全省采用同一厂家的防病毒软件，方便系统维护和管理。7.6防病毒系统部署1、省公司防病毒系统部署部署说明：1.集成安全网关与病毒防火墙功能相同，病毒防火墙系统部署情况见“省公司防火墙和集成安全网关的部署”章节。2.在客户机端安装集“个人防火墙、防病毒、入侵检测”功能为一体的客户端集成安全产品，防止病毒等混合式威胁。3．在所有服务器上安装服务器端防病毒软件，防止服务器遭受防病毒的威胁。4．在OA服务器、邮件服务器安装集“邮件病毒和蠕虫防护、邮件内容过滤和反垃圾邮件”为一体的邮件安全防护产品。阻止病毒和蠕虫通过正常邮件和垃圾邮件传播。2、地市公司防病毒部署部署说明：在客户机端安装集”个人防火墙、防病毒、入侵检测“功能为一体的客户端集成安全产品，防止病毒等混合式威胁。在所有服务器上安装服务器端防病毒软件，防止服务器遭受防病毒的威胁。在OA服务器安装集“邮件病毒和蠕虫防护、邮件内容过滤和反垃圾邮件”为一体的邮件安全防护产品。阻止病毒和蠕虫通过正常邮件和垃圾邮件传播。所有防病毒软件病毒定义码、扫描引擎通过本地二级服务器分发和升级。二级服务器受省公司一级服务器策略控制，并制定本地防病毒管理策略。3、合肥地区单位防病毒部署在客户机端安装集”个人防火墙、防病毒、入侵检测“功能为一体的客户端集成安全产品，防止病毒等混合式威胁。在所有服务器上安装服务器端防病毒软件，防止服务器遭受防病毒的威胁。在OA服务器安装集“邮件病毒和蠕虫防护、邮件内容过滤和反垃圾邮件”为一体的邮件安全防护产品。阻止病毒和蠕虫通过正常邮件和垃圾邮件传播。所有防病毒软件病毒定义码、扫描引擎通过本地二级服务器分发和升级。二级服务器受省公司一级服务器策略控制，并制定本地防病毒管理策略。合肥地区公司防病毒部署图4、调通中心防病毒部署在客户机端安装集”个人防火墙、防病毒、入侵检测“功能为一体的客户端集成安全产品，防止病毒等混合式威胁。在所有服务器上安装服务器端防病毒软件，防止服务器遭受防病毒的威胁。在OA服务器安装集“邮件病毒和蠕虫防护、邮件内容过滤和反垃圾邮件”为一体的邮件安全防护产品。阻止病毒和蠕虫通过正常邮件和垃圾邮件传播。所有防病毒软件病毒定义码、扫描引擎通过本地二级服务器分发和升级。二级服务器受省公司一级服务器策略控制，并制定本地防病毒管理策略。调通中心防病毒部署图（四区网络抽象图）8．入侵检测/入侵防护（IDS/IPS）方案8.1网络入侵检测/入侵防护（IDS/IPS）虽然XX电力信息网络已经部署了防火墙系统；但防火墙只能在网关检测和防范部分攻击；对应用层的攻击和来自内部的攻击却无能为力；另外一些攻击很容易欺骗绕过防火墙；在XX电力信息网络的网络安全管理中，管理人员面临着以下困惑：对于各种混合型攻击目前可以采取的方式是人工通过防火墙日志等方式发现有问题的计算机，通过手工修改cisco交换机或PIX防火墙阻断该计算机对网络的访问，不仅工作量大，防护也不全面。有没有一种自动的方式可以检测到这些攻击并阻断攻击会话？在网络中也曾使用过基于网络的入侵检测产品，但是感觉误报率高、对安全知识要求层次高，是否有更有效的方式让安全产品有更强大的攻击检测能力、更自动的响应方式，而只是将结果提交给管理人员，降低管理人员的安全知识门槛而提高安全保护能力？可否对不同功能的网络能够采取不同的工作模式。基于网络的入侵检测技术（IDS）产品大多是针对已知的安全攻击进行响应策略配置，实现自动响应，对于日益增多的突发事件和未知攻击，这些策略也就行同虚设，无法产生应有的效果。网络维护人员需要花费大量的人力物力来进行日常的报警事件分析，才能确认安全事件并具此采取措施。对于一些真正的安全威胁，反而因为时间和精力的不足，无法及时发现。这就使得产品的使用和维护成本过高，没有体现出应用安全产品后，所应产生的效果和对维护人员生产维护工作带来的便利。目前：随着网络入侵事件的不断增加和黑客攻击技术水平的不断提高，使得传统的防火墙或入侵检测(IDS)技术已经无法满足现代网络安全的需要，而入侵防护（IntrusionPreventionSystem，IPS）技术的产生正是适应了这种要求。入侵防护（IPS）是一种主动的、积极的入侵防范及阻止系统，它部署在网络的进出口处，当它检测到攻击企图后，它会自动地将攻击包丢掉或采取措施将攻击源阻断。入侵防护（IPS）的检测功能类似于入侵检测（IDS），但入侵防护（IPS）检测到攻击后会采取行动阻止攻击，可以说入侵防护（IPS）建立在入侵检测（IDS）发展的基础上的新生网络安全产品。入侵防护（IPS）可以透明的串接进用户网络，不需要更改现有的网络结构，无缝地整合了现有的基础架构，在不影响系统或系统用户工作的情况下即可发挥作用，可以防止已知和未知漏洞被利用，从而有助于防止蠕虫和恶意入侵者破坏安全。因此方案中在省公司的外网出口、对外服务器区（DMZ）和17个地市公司部署入侵检测/入侵保护（IDS/IPS）产品。8.2网络入侵检测/入侵保护技术说明XX电力信息网内外网络的接入边界都可能感染蠕虫病毒、人为的恶意攻击（如PING风暴、大量的广播包）、网络中存在的垃圾包等，对核心网络设备和链路产生影响，因此保护核心网络设备和链路的最有效方式是在可能产生这种安全攻击的地方部署能够检测并自动阻断这些攻击会话的保护设备，这就是现在最先进的入侵保护（IPS）设备所能实现的功能。在方案中我们部署更为先进的主动安全防御产品入侵检测和入侵保护（IDS/IPS）产品。8.2.1入侵检测和入侵保护（IDS/IPS）产品的功能和特点1、网络入侵防护（IPS）产品应具备如下功能特点：适用于高速环境的多接口千兆检测入侵防护（IPS）必须能在千兆网络环境中，保持线速的检测功能，且不会丢弃数据包。主动拦截入侵防护（IPS）设备可以工作在透明模式下，在不改变网络结构的前提下，自动拦截非法的网络访问，实现主动防御。混合检测体系结构入侵防护（IPS）应采用多组检测方法来有效检测攻击和准确识别攻击。它组合使用协议异常检测、状态特征签名、漏洞攻击拦截、通信速率监控、入侵检测（IDS）逃避处理、数据流策略冲突、IP碎片拆分重组、TCP流重组以及自定义增强特征签名描述语言来收集恶意活动的证据。零时间攻击检测入侵防护（IPS）的协议异常检测有助于检测以前未知的攻击和新攻击（在它们发生时检测）。此功能称为“零时间”检测，可关闭基于特征签名的系统（这些系统可使网络保持公开状态，直到特征签名发布）中的固有漏洞的窗口。定期的内容更新入侵防护（IPS）产品背后有着来自厂商安全响应中心的定期、快速响应内容更新，可提供顶尖的安全保护和最新的安全上下文信息，包括利用和漏洞信息、事件说明以及用于防御不断增多的威胁的事件细化规则。实时事件关联和分析入侵防护（IPS）产品的事件关联和分析引擎可过滤掉冗余数据而只分析相关信息，从而使得提供的威胁通知不会出现数据超载。入侵防护（IPS）产品之间的相互通信可以在企业内收集信息，从而快速弄清楚趋势并在相关事件和事故发生时识别它们。完整的数据包捕获、会话回放和数据流查询功能入侵防护（IPS）产品应能在检测到攻击时捕获整个数据包，这样，就可以快速确定被感染的数据包是可以过滤掉的良性事件还是要标记下来以进行进一步调查的事件。自动化响应操作可以启动通信记录和数据流导出，并且可以查询现有的或已保存的数据流以及回放已保存的会话以进一步帮助对安全事件进行穿透型分析。主动响应策略实时包含和控制攻击并且启动事故响应所需的其他操作。自定义策略可基于网络内事件的类型和位置立即响应入侵或拒绝服务攻击。入侵防护（IPS）产品除了能在执行会话终止、通信记录和回放、数据流导出和查询及自定义响应以与电子邮件和SNMP通知共同来保护企业的最为重要的资产。经济高效的可缩放部署单个入侵防护（IPS）设备可以监控多个网络段、交换机端口或VLAN。这样就能有效降低用户购买成功，提高投资收益比。高可用性部署可以在高可用性(H/A)配置中部署入侵防护（IPS）设备，确保在对于任务非常关键的环境中持续地检测攻击，且不丢失任何通信或流数据。集中式群集管理：入侵防护（IPS）产品可以从中央管理控制台安全地对整个网络中的入侵防护（IPS）产品进行远程管理。基于角色的管理：入侵防护（IPS）产品应能提供定义管理用户并为他们分配角色以授予他们各种级别的访问权限的能力。始终可为管理用户分配角色，从完全超级用户权限一直到受限用户访问权限（该权限只允许监控事件而没有数据包检查功能）。从控制台所做的所有管理更改会被记录下来，以用于审核。企业报告功能：入侵防护（IPS）产品应能按需提供群集范围内、基于穿透型控制台的报告，这些报告可以使用文本、HTML和PDF格式生成，还可以通过电子邮件进行发送、保存和打印。2、入侵保护系统（IPS）产品功能详细要求1、支持透明、串联的自动防御模式（IPS）和旁路的被动检测模式（IDS），两种模式可并行工作。2、侵防护（IPS）模式下要有防止检测引擎故障造成网络不可用的机制。3、为防止正常网络通信受到影响，在入侵防护（IPS）模式下要能够方便的开启和关闭阻断功能。4、能够支持Cluster方式，实现HA、负载均衡等功能。5、支持多个网络接口，要求至少支持4个检测网卡，千兆网卡接口类型要包括铜口和光纤。6、持非对称路由网络结构，要求单台检测引擎即可对多条（>=4）链路的数据进行融合并完整分析。7、活的数据存储方式，提供内建数据存储以适应小规模部署，同时提供大型关系型数据库接口以适应大规模部署及二次开发。8、具备完善的入侵检测能力，除了传统的攻击签名库匹配技术外，必须具有先进的协议异常检测技术、流量速率监控等入侵检测技术以识别各种类型攻击。9、攻击特征签名数量应大于1000个。10、支持多种协议类型。11、漏洞攻击拦截(针对已公开但尚未被具体利用的漏洞,此时尚未发现攻击工具)。12、具有数据包碎片重组能力，能够识别各种IDS躲避技术。13、能够对MSN、Yahoo等即时消息工具和BT等点对点通信工具进行审计。14、支持事件过滤功能，可对特征签名进行调整使得检测引擎能够按照一定条件将特定范围内的事件过滤。15、具有事件归并能力，能将同类事件按照一定条件归并为一条事件记录以对抗事件淹没攻击。16、具有事件关联分析能力，支持对不同类型事件、不同探测器检测到的事件以及其他产品产生的安全事件综合关联分析，快速确定威胁所在以降低误报漏报和管理员负担。17、拥有灵活方便的用户自定义攻击特征能力，如特征描述语言、自定义特征向导、第三方语言转化工具等等。18、针对可疑网络活动和入侵行为，支持多种方式的报警，如EMAIL报警、记录日志、SNMPTrap、声音报警等。19、支持主动的、基于策略的响应措施：如会话终结、QoS过滤器、流量记录、执行用户定义程序等，以便保护企业最关键的资产。20、能够对网络中的会话连接进行监控，能够记录必要的会话内容并回放。如FTP、Telnet、Http等会话。21、能够与其他网络安全设备联动，要求至少支持主流路由器和防火墙。22、可通过分析检测引擎、交换机、路由设备中的流量统计数据等方式，在源地址伪造的情况下仍然能够跟踪和识别攻击的真正来源。23、支持集中管理，系统管理员可以在集中控制台上对网络中的入侵检测引擎进行统一的管理。24、可定制管理用户权限，要求支持多种用户角色，限制对系统功能的访问权限。25、策略编辑器支持灵活的过滤规则，方便批量选取特征签名和定制特征签名的响应方式。26、能够与其他厂商的网管软件或安全管理软件进行无缝集成。27、具有良好的报告功能，支持报告的多种显示方式，导出报告方式应至少包括文本、PDF、HTML格式。报表可定时生成。28、报告内容应包括摘要性质的图表和详细的事件描述。29、特征库和检测引擎可集中在线自动更新，更新支持手动、自动。30、更新的攻击特征可按照一定规则自动应用，无需管理员手动在检测策略中添加或调整。8.3入侵检测/入侵防护（IDS/IPS）在公司系统网络中的部署省公司入侵检测/入侵防护（IDS/IPS）部署部署说明：1、在服务器区2台三层交换机上分别部署1台IDS模块，用于检测、审计和监视用户对服务器的访问，并与防火墙模块形成联动，阻止非法访问。2、在省公司与“INTERNET、华东公司、国网公司、各地市公司信息网”相连的网络边界防火墙系统之后部署入侵防护产品（IPS），用于检测、审计、监视来自互联网、华东公司和国网公司各地市公司等网络的入侵攻击，并实时阻断。3、在“综合数据网络”之前部署入侵防护产品（IPS），用于检测、审计、监视来自互联网、华东公司、国网公司等网络的入侵攻击，并实时阻断，以保护各地市公司的网络免遭入侵攻击。4、在“合肥城域网”之前部署入侵防护产品（IPS），用于检测、审计、监视来自合肥地区各单位的网络的入侵攻击，并实时阻断，以保护省公司的网络免遭入侵攻击。XX电力信息网省公司入侵检测/防护产品部署市公司IDS/IPS部署部署说明：在地市公司2台核心交换机上连接IDS设备，通过交换机和IDS配置，用于监视、检测和审计用户对服务器区的数据访问。部署数量：每个地市公司部署1台入侵防护（IDS/IPS）设备。9．内网客户端管理系统9.1问题分析与解决思路9.1.1IP地址管理问题采用计算机管理IP地址和用户信息，如管理项目不统一，不便于统一管理范围的扩大化和信息共享。经调查，内部网络存在IP地址、计算机名乱用、冒用的危险。一些用户自行购置的计算机和网络设备，不登记即自行安装上网，信息中心缺乏有效的监控手段，使得上网设备的IP地址冲突现象时有发生，合法设备无法正常工作，影响业务工作的开展。对违反规定或禁止上网的计算机及网络设备，希望能从技术手段上限制其上网，并通过管理制度做出相应的处罚措施。在上面的这些问题中，核心问题是IP地址的改动和盗用，主要表现为：（1）IP地址非正常改动：恶意的改动可能基于不可告人的目的，如：逃避服务器的记录、让服务器或某些重要任务的机器无法上网；而非恶意的改动也会造成同样的后果。（2）IP地址盗用：将非法节点接入网络，盗窃网上的资源，甚至对主机发动攻击。本方案将对计算机及网络设备IP地址进行有效的管理，可以对计算机和网络设备的IP地址、MAC地址以及主机名进行绑定，通过被动侦听、主动扫描相结合的方式发现非法节点，并且可以阻断非法节点的网络通讯，对非法节点信息进行报警和日志记录等。9.1.2用户资产信息管理问题目前在内网管理中，管理人员对所管辖网络的资源占用和用户情况难以准确掌握，实际接入的计算机数量难以进行精确的统计，对面临的危害难以做出动态的评估和有效的防范。作为用户与设备基础管理功能，希望建立起台帐信息，对所有接入计算机和网络设备的用户信息进行登记注册，这些登记的信息主要包括：用户姓名、单位名称、工作岗位、用户工号、联系电话、使用地点、主要用途、资产编号、设备品牌、设备类型、设备序列号等信息，在发生安全事件时能够以最快速度定位到具体的用户。对于未进行登记注册的微机，自动将其隔离在系统之外。同时，应该能够做到动态地搜索各专用微机的硬件信息和安装软件信息，并能够对这些信息进行统计和分析，生成相应的基础信息报告。需要搜索的硬件信息主要包括：计算机类型、CPU型号、CPU主频、内存大小、磁盘序列号、磁盘容量、磁盘剩余空间、网卡型号、网卡物理地址、鼠标型号、键盘型号、显卡型号、声卡型号以及各外围设备的情况；同时应该对各计算机所安装的软件自动进行搜索，并与预先指定的软件进行比较，警示那些未按要求安装软件的用户，并及时报警，利用短消息手段，通知信息安全管理部门和相关的系统管理员。另外，系统还应该与安全策略紧密结合，自动收集与安全相关的一些系统信息，包括：操作系统版本信息、操作系统补丁信息等，同时针对这些收集的信息进行统计和分析，给出安全状况报告。例如，要求全网安装最新的操作系统安全补丁，如有计算机未按照要求安装安全补丁，可能会影响到整个系统的安全状况。在对这些系统安全信息进行收集后，可迅速统计分析出那些不符合安全管理策略的微机，对其进行更新，从而保证各微机的安全性。目前，大多的IP地址是按网段分配的，信息中心对所管辖网络的IP地址等资源占用难以掌握，网上的计算机设备、网络设备的数量难以准确统计，具体设备的基础软硬件信息也难于收集和进行有效的管理，一些实时运行的网络设备和重要服务器的运行状况不能集中监控，日常管理难度和工作量都很大。本方案实施后，客户端管理功能将自动扫瞄计算机的硬件信息和软件信息，登记管理计算机的基本信息，并支持统计查询。硬件信息包括计算机类型、CPU型号、主频、内存大小、磁盘容量、剩余空间、网卡型号等；对Win32系统，可收集的软件信息包括计算机安装的操作系统，计算机安装的软件清单等；基本信息包括IP地址、MAC地址、计算机所在位置、使用人、所属单位等。在软硬件信息发生变化后，提醒管理部门作出相应的管理措施。9.1.3软硬件违规行为监控计算机的外围设备（包括软驱、光驱、USB盘、并行、串行口、红外口、1394端口、Modem等）为各种信息在不同的计算机设备之间交流提供了一个方便的途径，通过它们可以将各种信息（包括病毒、木马等）复制到不同的计算机中。但是内网中的主机上保存着一些涉密的内部信息，这些信息不能够随意地传播，因此有必要对外围设备的使用进行控制，不允许随意地使用外围设备拷贝机密数据。安全管理及监控系统应该实现对各客户机外围设备的集中监视和控制，通过在管理端进行设置，可禁止和启用各客户机的外围设备，有效地保护计算机上的信息。另外，内部存在违规使用软件的行为。有些人员在计算机上安装使用盗版软件，不但引入了潜在的安全漏洞，降低了计算机系统的安全系数，还有可能惹来版权诉讼的麻烦；而一些内部人员出于好奇心或者恶意破坏的目的，在计算机上安装使用一些黑客软件，从内部发起攻击；还有一些内部人员安全意识淡薄，不安装指定的防毒软件等等。这些行为都对内网构成了重大的安全威胁。要解决这个问题，可以通过安装在各计算机上的代理终端自动搜集各计算机所有的软件信息，并汇总到控制台，形成内网计算机的软件资产报表，管理员可以全面了解各计算机所安装软件的版本信息，及时发现安全隐患并升级系统。同时，管理员可以在管理控制台上配置软件预案，指定内网计算机必须运行的软件或禁止运行的软件，由代理终端对计算机上的软件运行情况进行比对检查，对未运行必备软件的情况发出报警，终止已运行的禁用软件的进程。9.1.4网络拓扑查看与安全事件定位困难在安全事件发生时，往往管理人员最初仅能获取到事故计算机的IP地址和MAC地址等基本信息，无法迅速定位到其实际物理位置和用户，从而延误对重要安全事件的处理。内网安全系统应能提供根据计算机的基本信息，迅速定位物理位置和用户的手段。当网络不通时，可以查看网络拓扑中的交换机该端口的状态，端口工作正常，则说明是网络完好，是主机自身系统或网卡驱动问题；若端口工作异常或不工作，则说明网络存在问题，可以继续排查。目前，绝大多数的网络设备都能够支持简单网络管理协议（SNMP），所以可以通过SNMP协议，达到自动网络拓扑功能，实现网络拓扑结构的自动发现，从而实现对实际物理位置的迅速定位，同时辅以设备信息管理功能，实现具体用户的定位。自动网络拓扑是系统依据网络的路由信息，自动查找整个网络的路由设备、网络交换机以及主机，根据这些网络设备信息生成并以直观的图形方式显示网络的拓扑结构。当网络管理员已经知道了某台或多台设备的IP地址，可以用单个网络拓扑或多个网络拓扑功能，直接拓扑发现设备。网络拓扑结构的显示方式可以按照用户的爱好自行拖拽编排，从而以最方便直观的方式展示网络结构。9.1.5缺乏完整的用户授权认证系统身份认证服务是帮助系统识别用户的身份，决定并控制他们在网络上能干什么工作，即所谓的授权管理。本内网安全管理系统在信息系统中实现对用户的身份鉴别、实现信息的保密性、完整性、真实性和抗抵赖性等保护，采用当今流行的高强度安全策略——我国自主知识产权的PKI技术为基础的数字证书技术。应用系统可以基于数字证书以及相关的经国家有关部门认可的密码算法认证登录系统的用户的真实身份，进行数字签名和验证签名，采用数字签名技术解决抗抵赖性和数据完整性的问题，利用安全系统提供的加密算法，解决信息的保密性问题。9.2系统主要功能模块内网安全管理系统的主要功能模块如下：IP地址管理子系统完成对网内计算机IP地址信息的实时扫描和比对，发现非法接入的计算机，并采取手段将其隔离在网络之外；客户端管理子系统完成对网内各专用微机的信息收集、管理、监视和控制功能，该子系统划分为资产信息管理、客户端监控二个功能模块。其中，资产信息管理模块负责登记专用计算机用户信息，自动收集各计算机设备的硬件信息、软件信息和系统信息，将这些信息保存到数据库中，提供友好的查询、统计和分析界面。系统管理子系统完成对安全管理及监控系统自身的管理和配置功能，该子系统划分为身份认证与授权模块、报警与日志管理和系统备份三个模块。身份认证与授权模块完成对登录用户的身份确认，对不同用户授予相应的系统操作权限，管理和控制用户在系统中的行为；报警与日志管理模块完成对系统报警条件、报警方式的配置，在报警条件触发时按照指定的方式进行报警，并记录报警信息，提供方便的查询和归档功能；对系统运行日志和用户操作日志的记录、查询和归档功能；系统备份模块完成对系统自身的配置信息和用户数据的备份和恢复功能。9.3内网管理解决方案通过对省公司和各地市公司内网现状以及需求进行认真的分析和研究后，提出如下解决方案：对于省公司和各地市公司内网安全，在省公司和各地市公司中心机房分别设立控制中心。9.4方案实现功能9.4.1IP地址管理实时扫描获取与分析在线计算机的IP、MAC地址信息IP地址、MAC地址的合法性判定,支持IP-MAC绑定、特权MAC地址合法性管理方式警告和阻断不满足合法性判定的计算机统计分析非法IP地址使用的历史情况支持主动探测和被动侦听等多种扫描方式，采用特定算法对扫描过程进行控制，避免对网络流量造成明显负荷灵活的部署方式，可以适应不同网络环境的需要，通过在各网段部署IP地址管理代理，使IP管理目标和部署成本达到最优比例灵活的配置，可以以图形化方式配置每一台代理的监控参数，并查询各个网络接口的扫描结果对于监视到的违规信息，调用报警模块向管理员进行报警9.4.2客户端管理客户端的安装、卸载和升级客户端程序的安装可以通过以下多种方式实现：通过客户机浏览器连接控制中心下载安装；在采用域管理策略的网络中，通过域登录脚本安装；采用软件分发服务进行分发安装。使用安装光盘安装系统可自动发现接入内网但未安装客户端程序的计算机，并提示管理人员，由管理人员对其进行警告或者阻断其接入网络。客户端程序使用进程保护和文件保护技术，使用户无法在其计算机上停止或者卸载客户端程序，只能通过专用的卸载工具来完成客户端程序的卸载。客户端程序的升级完全自动完成，各微机上安装的客户端程序将在每次微机启动时自动检测其版本是否与控制中心版本一致，发现控制中心版本更新时，自动连接控制中心下载最新的客户端程序，并自动完成客户端程序的更新。客户端资产信息管理用户信息登记注册管理接入到内网中的计算机，要求必须安装客户端程序，安装完成后在客户机填写用户登记注册信息。客户机用户填写完这些信息之后，将其提交到控制中心，等待管理人员进行审批确认。客户机一旦提交这些信息后，系统将锁定这些信息，不允许再次填写，仅当管理人员通过在控制中心进行解锁后，才能再次填写并提交。控制中心接收从客户机提交的这些信息，将其保存在数据库中，等待管理人员进行审批确认。在管理人员对信息确认之后，该客户机即被认为是合法接入内网的计算机。在用户的登记注册过程完成之后，系统将自动把该计算机设备分类到用户填写的单位下，系统采用组织机构层次结构图的方式作为向导，使管理人员能够方便快速地查找到某台计算机。计算机硬件信息管理客户端程序自动完成对计算机硬件设备信息的收集，并将这些信息汇报到控制中心，控制中心将它们保存在数据库中。同时客户端程序会自动将硬件设备信息与该计算机的历史硬件信息情况进行比对，发现信息变更时，向控制中心发送变更通知消息。客户端程序收集的硬件信息包括：CPU型号、CPU主频、内存大小、硬盘序列号、磁盘容量、磁盘剩余空间、网卡型号、网卡物理地址、显卡型号、声卡型号、键盘型号、鼠标型号。计算机系统信息管理客户端程序自动完成对计算机系统信息的收集，并将这些信息汇报到控制中心，控制中心将它们保存在数据库中。同时客户端程序会自动将部分系统信息与该计算机的历史信息进行比对，发现信息变更时，向控制中心发送变更通知消息。客户端程序收集的系统信息包括：操作系统类型、操作系统版本号、当前登录用户、当前登录域、客户端程序的版本号、操作系统补丁信息等。计算机软件信息管理客户端程序自动完成对计算机安装的所有软件信息的收集，并将这些信息汇报到控制中心，控制中心将它们保存在数据库中。同时客户端程序会自动将软件信息与该计算机的历史软件信息进行比对，发现信息变更时，向控制中心发送变更通知消息。查询及报表统计可根据上述收集的各种信息，包括用户信息、硬件设备信息、系统信息和软件信息进行组合查询搜索，以查找出满足条件的计算机，并生成相应的统计报表。客户端软硬件监控外围设备控制管理人员可在控制中心设定启用或禁用各计算机的外围设备，客户端将根据控制中心的配置自动禁用或启用软驱、光驱、U盘、MODEM、串口、并口、红外口和1394口等外围设备和接口。进程监控管理人员可在控制中心指定各计算机必须运行和禁止运行的软件，客户端程序将定期检查运行的进程情况，发现正常的进程停止或禁止的进程运行时，将向控制中心发送违规情况，并向管理人员发送报警通知消息。9.4.3系统管理身份认证与授权系统主要提供如下功能：用户的创建和删除系统管理员可进行创建、删除用户的操作，可指定每一个用户的有效期，并可以为用户重置密码。用户个人信息管理系统的每个用户可对自己的用户信息进行管理，信息包括用户的姓名、电子邮件、办公电话、移动电话和口令信息。组织机构管理系统管理员可在系统中维