070823-天珣内网安全风险管理与审计系统-技术白皮书

天珣内网平安风险管理与审计系统技术白皮书北京启明星辰信息技术有限公司版权声明北京启明星辰信息技术有限公司版权全部，并保留对本手册及本声明的最终说明权和修改权。本手册中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特殊注明外,其著作权或其他相关权利均属于北京启明星辰信息技术有限公司。未经北京启明星辰信息技术有限公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。本文档中的信息归北京启明星辰信息技术有限公司全部并受著作权法爱护。“天珣”为北京启明星辰信息技术有限公司的注册商标，不得仿冒。信息更新

本文档及其相关计算机软件程序（以下文中称为“文档”）仅用于为最终用户供应信息，并且随时可由北京启明星辰信息技术有限公司（下称“启明星辰”）更改或撤回。免责声明本手册依据现有信息制作，其内容如有更改，恕不另行通知。北京启明星辰信息技术有限公司可能已经拥有或正在申请与本文档主题相关的各项专利。供应本文档并不表示授权您运用这些专利。您可将许可权查询资料用书面方式寄往北京启明星辰信息技术有限公司。北京启明星辰信息技术有限公司在编写该手册的时候已尽最大努力保证其内容精确牢靠，但北京启明星辰信息技术有限公司不对本手册中的遗漏、不精确、或错误导致的损失和损害担当责任。目录1.背景 12.系统介绍 23.功能简介 33.1天珣内网平安风险管理与审计系统基本功能 33.2客户端软、硬件资产管理 33.3客户端行为管理 43.4客户端网络访问管理 43.5客户端平安漏洞管理 53.6客户端补丁分发管理 53.7客户端审计和报表功能 63.8客户端快速部属安装、认证功能 63.9系统所需软硬件配置 64.系统架构 7背景常规平安防卫理念局限在防火墙、IPS、防病毒网关等网络边界处的防卫，平安设施大都部属于网络入口处，在这些“铁将军”的严密把守之下，来自网络外部的平安威逼大大减小。但是，依据多数网络管理人员所反映的问题是，繁杂而琐碎的平安问题，大都来自网络内部。事实表明，解决了网络内部的平安问题，效果接近于解除了一半的平安忧患，因此，内部网络平安必需作为整体平安管理的一个重要组成部分来对待。北京启明星辰信息技术有限公司针对政府机关、保密机构、军队、金融、企业网络等内部网络实际管理要求，在总结十多年对国家部委、集团、中小企业网络的平安管理、平安现场保障基础上特地研制开发了天珣内网平安风险管理与审计系统，并经严格测试通过公安部、国家保密局等相关主管部门的认证。“震荡波”病毒爆发后，许多部委、企业单位所面临着6大突出问题：1.如何进行补丁自动分发部署和补丁限制(微软公司SUS/SMS存在功能不足)；2.如何进行外来笔记本电脑随意接入限制；3.如何防范网络物理隔离泄漏；4.如何对未安装防病毒软件的终端进行统计；5.如何对感染蠕虫病毒的计算机快速定位，并强制其断开网络连接；6.如何有效进行网络IP设备资源管理；7.如何对终端的平安策略进行统一配置管理；8.如何审计终端的各种违规行为。天珣内网平安风险管理与审计系统全面供应针对上述问题的解决方案，帮助网络管理人员全面实现网络资源、设备资源、客户端资源和应用资源等方面的管理限制，进行网络隔离度检测、入网设备监控、系统软件（补丁）自动检测分发和违规事务发觉、平安事务源（病毒等）定位分析等操作。系统介绍天珣内网平安风险管理与审计系统帮助网络管理人员进行网络和设备资源、客户端软硬件资源、客户端行为和客户端病毒和补丁方面的管理限制，如网络隔离度检测、入网设备监控、系统软件（补丁）检测和违规事务发觉、平安事务源（网络病毒等）定位分析等，应用构架支持局域网、广域网，运用效果最佳。真正意义上的解决：移动设备（笔记本电脑等）和新增设备未经过平安检查和处理违规接入内部网络，未经允许擅自接入电脑设备会给网络带来病毒传播、黑客入侵等担心全因素；内部网络用户通过model、红外设备、无线设备或蓝牙设备等进行在线违规拨号上网、违规离线上网等行为；违反规定将专网专用的计算机带出网络进入到其他网络；网络出现病毒、蠕虫攻击等平安问题后，不能做到平安事务源的实时、快速、精确定位、远程阻断隔离操作。平安事务发生后，网管一般通过交换机、路由器或防火墙可以进行封堵，但设置困难，操作风险大，而且绝大多数一般交换机并没有被设置成SNMP可管理模式，因此不能够便利地进行隔离操作；大规模蠕虫或木马病毒事务发生后，网管无法确定病毒黑客事务源头、无法找到网络中的薄弱环节，无法做到事后分析、加强平安预警；静态IP地址的网络由于用户缘由造成运用管理混乱、网管人员无法知道IP地址的运用、IP同MAC地址的绑定状况以及网络中IP安排状况；自动检测网络计算机系统漏洞，弱口令等问题，并能够自动将系统所须要补丁分发到网络每一台计算机，为计算机自动打补丁。各种软件自动分发功能，脚本定制开发；大型网络系统中区域结构困难，不能明确划分管理责任范围，进行多用户管理；网络中计算机设备硬件设备繁多，不能做到精确统计，实现节点桌面限制；限制用户随意运用各种USB移动设备而导致的机密文件外漏。功能简介天珣内网平安风险管理与审计系统基本功能客户端分组管理功能：可按客户端各种软、硬件特征、IP范围、注册信息等进行进行分组管理。策略管理功能：可依据时间段和时间点定制策略运用或禁止运用的触发条件。并可依据创建区域、自定义组、操作系统、IP范围、和依据条件搜寻的设备进行策略分组分发管理。日志功能：记录系统登陆、操作及客户端违规日志，可进行模糊查询，并支持按管理员自定义字段进行报表导出。全网统一升级：管理中心升级后，全网客户端程序即自动升级。转发代理功能：为在软件分发（或补丁分发）的过程，尽量削减消耗网络资源，保证客户端可从其他客户端下载分发软件。终端代理扫描功能：各个VLAN中的注册客户端可触发扫描功能发觉网络中的设备信息，并上报到服务器，减小了网络困难性带来的部署难度，并可发觉安装个人防火墙的非法接入设备。多级部署：管理中心可多级部署，由上级管理中心统一配置管理策略，由下级管理中心将违规报警信息的级联上报。客户端软、硬件资产管理硬件资产管理功能：自动收集网络中各种硬件设备的精确配置信息，包括CPU型号及主频、内存型号及大小、硬盘型号及大小、设备标识、主板信息等硬件信息，并可手工添加硬件设备的描述信息。硬件设备限制功能：限制外设的运用，如对软驱、光驱、USB移动存储、USB全部接口、打印机、Model、串口、并口、1394限制器和红外设备进行启用或禁用等操作。软件清单管理：自动收集安装在每台计算机上的每种应用程序信息，包括安装的操作系统和应用软件种类、版本号以及安装时间等信息。软件安装黑白名单限制：可制定软件安装和进程的黑白名单，并对安装未经许可的应用软件的问题计算机进行告警、断网等处理，对运行未经许可的进程进行查杀，同时将违规日志上报服务器，并支持按条件查询。软件分发安装：向指定客户端（用户组）分发文件，可进行后台安装（或依据软件的运行参数执行），同时将文件分发和安装的状态上报服务器，并支持按条件查询。客户端行为管理移动设备行为审计：可限制移动设备（USB存储、USB光驱或USB软驱）的读、写操作，并对拷进、拷出的文件进行审计处理，同时支持违规日志的条件查询。IE访问检查：审计用户访问的URL地址，同时将违规日志上报服务器，并支持违规日志的条件查询。终端平安策略检查：检查终端设备的开机密码是否为弱口令、口令强度、屏保状态、密码保留周期等平安要求，并可实时监控用户或用户组权限的变更及注册表的变更，对于不符合平安要求的行为进行警告或上报服务器，并支持违规日志的条件查询。打印输出审计：设置不允许打印的文件扩展名网络共享输出：可禁止将指定扩展名的文件拷贝到网络盘。文件内容检查：审计终端设备上的文件内容，对于包含管理员制定的黑名单上关键字的文件可进行警告或上报服务器，并支持违规日志的条件查询。IP-MAC绑定：对被控终端设备和非被控终端设备进行IP-MAC绑定，并实时阻断非法篡改IP或MAC地址的非法主机，或对被控终端进行IP、MAC及网关地址的复原，同时将违规日志上报服务器，并支持违规日志的条件查询。客户端网络访问管理违规入网管理：对未经允许、擅自接入网络的设备进行实时的警告和阻断，防止病毒传播、黑客入侵等担心全因素。违规外联管理：实时监测终端设备通过model、红外设备、无线设备或蓝牙设备等进行非法外联的行为，可对其进行实时阻断、警告等处理，同时将违规日志上报服务器，并支持按条件查询。内建个人防火墙：系统内建个人防火墙，可对终端设备的本地端口、远程端口、TCP、UDP、ICMP等网络应用进行全网的统一管理，并可进行IP区域的访问限制。客户端平安漏洞管理终端流量管理：实时监测终端流量阈值和并发数，对超过设定阈值和并发数的终端进行实时阻断、警告等处理，同时将违规日志上报服务器，并支持按条件查询。客户端防病毒软件监控：可监控主流防病毒厂商的防病毒软件在客户端的安装状况并以图表的形式直观表示，报警未安装杀毒软件客户端。客户端运维状况监控：检测终端设备的ＣＰＵ、硬盘(含每个硬盘分区)、内存等的资源占用状况，可自主设定阈值，以确定终端系统资源占用是否达到上限，是否应当升级。进程异样：对未响应进程和意外退出进程进行（如退出、退出并重起等）处理。客户端脚本分发：可自定义xml脚本操作并进行分发，修改客户端如注册表等配置，以便实现特定管理操作。3.6客户端补丁分发管理集成补丁下载服务器：可对补丁集中下载，并针对物理隔离的内网，运用增量式补丁自动分别技术，在外网分别出已安装、未安装补丁，分类导入，即仅对内网的补丁进行“增量式”的升级，削减拷贝工作量。内建补丁分析器：自动建立补丁库，支持补丁库信息查询。针对下载的补丁进行归类存放，依据不同操作系统、补丁编号、补丁发布时间、补丁风险等级、补丁公告等进行归类，帮助管理人员快速识别补丁。补丁自动/手动分发：支持用户自定义补丁策略自由配置分发，基于补丁级别、补丁类型（系统补丁、IE补丁、应用程序补丁）以及网管自定义补丁等制订策略，自动或手动发送至客户端后统一执行。补丁下载代理转发：系统供应补丁自动代理转发功能，提高补丁下发效率，削减网络带宽的占用率，节约网络资源。补丁平安性测试：补丁分发前测试，支持网管测试组定义进行补丁平安性测试，提高打补丁的胜利性、平安性、牢靠性。客户端审计和报表功能能够自动生成操作系统软件安装、补丁管理、硬件资产管理等日通报：通报汇总操作系统软件、补丁安装及报警状况。用户可通过固定表格和定制模版（组态报表）两种方式得到报表。固定报表供应基础的、重要的报表，而定制模版可以由用户自定义，产生用户所须要的统计报表。系统报警统计报表功能：网管可以依据报警种类选择性接收系统报警信息，并供应多种报警方式通知网管。级联管理报表报警：支持设备信息级联管理、违规报警信息级联上报，为实现多级管理供应扩展。报表打印、输出：能够将全部信息依据各种组合查询敏捷生成报表、供应多种形式的输出、打印功能。客户端快速部属安装、认证功能采纳级联式网页分发注册，网络中的客户端访问本地的WEB网站进行在线或离线透亮注册安装。客户端程序占用资源均微小，CPU占用率小于5%、内存占实际内存约18M、虚拟内存2M。系统本身具备认证功能，客户端通过服务器认证后才可正常运用。管理员可以远程批量卸载客户端程序。系统所需软硬件配置系统管理主机：专用服务器或高档PC服务器，Windows2000Server（SP4）以上操作系统（安装IIS），SQLSERVER数据库。基本配置：P42.0G以上CPU，512M以上内存，硬盘40G。建议配置：P42.8G以上CPU，1G以上内存，硬盘40G以上。用户管理限制台：安装在系统管理主机上，IE6.0(SP1)以上版本。终端用户：P2300MHZ以上CPU，128M以上内存，4G硬盘以上；WIN98以上操作系统。系统架构天珣内网平安风险管理与审