eCop3000T内网安全解决方案模板1

××××内网安全解决方案上海宝信软件股份有限公司DATE\@"yyyy'年'M'月'd'日'"2005年5月21日目录第1章背景与现状 51.1 项目背景 51.2 建设内网安全管理系统的必要性 6第2章建设目标和原则 82.1 设计目标 82.2 设计原则 82.3 设计依据 10第3章问题分析与解决思路 113.1 外来用户的接入控制 113.2 IP地址管理问题 113.3 用户资产信息管理问题 113.4 软硬件违规行为监控 133.5 非法外联问题 133.6 网络拓扑查看与安全事件定位困难 143.7 服务器与端口监控困难 153.8 缺乏完整的用户授权认证系统 15第4章系统架构与内网安全解决方案 174.1 eCop系统架构 174.2 eCop系统功能模块 184.3 内网安全解决方案 19第5章系统功能实现 205.1 IP地址管理子系统 205.2 客户端管理子系统 205.2.1 客户端的安装、卸载和升级 205.2.2 客户端资产信息管理模块 215.2.3 客户端软硬件监控模块 225.2.4 非法外联监控模块 225.3 网络拓扑管理子系统 235.3.1 扫描子网/路由器层网络拓扑 235.3.2 扫描子网逻辑拓扑 245.3.3 扫描子网物理拓扑 255.3.4 交换机端口控制 255.3.5 展现网络设备重要MIB信息 255.4 服务监视与端口扫描子系统 265.5 系统管理子系统 265.5.1 身份认证与授权模块 265.5.2 报警与日志管理模块 275.5.3 系统备份模块 28第6章eCop系统主要优势 296.1 技术优势 296.2 质量优势 316.3 资质认证 316.4 客户名单 32第7章人员培训 347.1 试运行期间的常规培训和练习 347.2 其他培训 34第8章售后服务和具体的保证措施 358.1 宝信的系统服务队伍 358.2 售后服务模式 35第1章背景与现状项目背景近年来，随着计算机及通信技术的迅猛发展，全球信息化步伐日益加快，现代计算机网络已成为信息社会的基础设施，渗透到社会的各个方面。××××（下简称×××）的网络建设速度也在不断加快，正逐渐步入一个高效运转、快速服务的全新轨道。经过初步调查，×××的网络现况如下：整个网络分为两个层次：××总××网和各地市级分××网，均为以太网络，以总××网为中心，通过路由器连接各地分××，如下图示。总××内网安全的防护是此次方案的重点。（网络拓扑图中的网络设备图标需统一）2）××总××大楼里有一个内网，与内网逻辑隔离，内网不对外公开，××内人士可以访问内网和内网。大楼内划分约14个网段，VLAN划分比较活跃，约25个。3）总××大楼共一个机房，使用北电8612型交换机，下部的以太端口直接接有20多台服务器，上部的光纤端口接有27个楼层的所有网段，每个楼层有2个小型交换机（1楼有3台）。4）总××大楼共20台服务器，全部接在中心机房；约有400～500台办公电脑，其中使用Windows98第二版本约30％，使用Windows2000的约60％；内网使用趋势防火墙。网络信息安全是一项系统工程，局域网络极大地提高了工作效率，降低了行政管理成本。但与此同时，黑客、病毒以及网上作案日益猖獗，信息安全问题越来越显得突出。调查显示，信息安全问题在很多情况下不是由外来的黑客所引起，而是来自于那些“内部人士”或曾经是“内部人士”的威胁。因此，信息安全问题首先应该从内部的安全着手。建设内网安全管理系统的必要性目前，××××的网络建设有了很大的发展，但还比较脆弱，自身安全性不高，在日常管理中还存在着不少问题：（一）、缺乏完整的内部安全防护体系。一个大型计算机网络的整体安全体系包括网络边界安全、网络内部安全和人为因素等多个方面，通过在网络边界部署防火墙、入侵检测等系统可以有效地将内部网络与外部网络进行隔绝。但是对内而言还处于基本不设防的状况，内部安全管理工作缺乏有效的技术手段。（二）、网络安全管理的基础工作较薄弱，各类网络基础信息采集不全。大型计算机网络的管理应该以基础信息的管理为核心，信息管理中心如果对所管辖网络的用户和资源状况难以掌握的话，对整个网络的管理工作也就无从谈起，在发生违规事件时也很难及时将问题定位到具体的用户。（三）、IP地址使用存在一定混乱。IP地址是网络连接协议TCP/IP的基础，IP地址就是每一台计算机在网络上的身份标识，因此在网络上要求IP地址是唯一的。如果两台计算机设置了相同的IP地址，则会发生IP地址冲突的现象，造成两台计算机均无法正常使用网络连接，从而影响正常业务工作的开展。（四）、外围设备的接入控制困难。为了保证内部安全，要求对网内各计算机设备的外围设备使用情况进行控制，禁止或限制使用软驱、光驱、USB盘、并行、串行口、红外口、1394口、Modem等外围设备，防止利用移动存储设备进行数据文件的拷贝。（五）、难以监控外来用户的计算机接入内网。内网的计算机，应该是专门用于完成业务工作且经过认可的计算机。但是存在着用户利用这些计算机设备进行其他活动，或使用未经确认许可的计算机接入内网的可能性，管理人员对这些情况难以进行监视和控制。（六）、网络复杂庞大，安全问题难以定位。当出现网络不通情况时，究竟是网络发生故障还是本身主机系统的问题，难以在较快时间内判断并做出响应。对违规操作或感染病毒的计算机，不能快速、准确定位，不能及时阻断有害侵袭并快速查出侵袭的设备和人员。（七）、服务器众多，状态监控的工作量大，端口开放信息不明确。上述问题的存在，可能会造成机密信息外泄、影响正常业务进行等多种严重的后果。究其根本原因，是缺乏信息网络安全管理完整体系和有效管理手段。因此，建立一整套内网安全管理及监控系统，对于提高内网的安全性和稳定可靠性具有重要意义。

第2章建设目标和原则设计目标×××内网安全系统设计应从实际需求出发，实现内网信息严格保密的需要，同时系统应是一个具有灵活性，开放性，便于扩充升级的综合系统。网络安全管理平台方案应具有以下特点：采用最新的高科技成果，使其在网络信息管理领域具有较高的水平。扩充方便，修改灵活，操作维护简单，系统重启时间短，能适应业务的快速变化。充分利用现有各种系统的资源，以节省运行成本。规范系统，从整体的角度来考虑系统的结构设计，基本包括计算机管理系统、相关数据库系统间的直接或间接互连。设计原则依照本系统的基本需求及今后的发展规划，我们的设计遵循以下原则：开放性开放系统结构在国际上广为流行，它能有效地保护用户已有的投资和资源，便于系统间的联接。无论是硬件或软件的升级或移植，开放系统有它不可比拟的优越性，主要体现在:主机系统开放性环境：主机系统开放性环境是一个不可缺少的因素，它基于Windows2000或Linux等技术的操作系统，便于系统扩充并保持应用软件的可移植性。应用软件的独立性：建立一套基于通用的Windows

2000或Linux操作系统和开放关系数据库管理系统的应用软件。应用软件应独立于具体的硬件平台,具有很强的适用性和先进性，并且可以进一步推广和使用。可互联的网络系统：网络的互联能力体现在网络的开放性和与异种网互联的支持能力二方面。一个开放的网络，通常指符合国际标准或事实工业标准的网络，此种网络能被经过其它授权的各类计算机访问，而不需要增加额外的软硬件。基于TCP/IP网络协议在多种主机互联的实用性、用户接口方面的标准化、可用性，我们建议采用TCP/IP协议，以保证用户接口的一致性，为应用软件独立于网络系统提供保证。实用性在设计中首先要考虑实用性和易操作性，需选择技术成熟的设备及应用软件，同时考虑到对现有设备和资源的利用。为使系统具备长时期技术领先的竞争能力，除保证系统的高稳定性之外，还必须使其具有高效的故障诊断能力、简便的数据库更新功能、系统维护功能、灵活高效的业务变更对应能力等，使无用功减至最少。实用性还体现在信息系统业务界面的友好性上，因为灵活简洁的操作会直接提升管理的效率。以上均是系统设计时必须考虑的问题。先进性选择符合国家安全保密规定的、业界最先进的产品，同时提供业界最前沿的管理理念，使得用户始终能与世界领先技术和管理理念同步。在设计时，应充分考虑到各地千差万别的实际业务需求及现代计算机和通讯技术发展的先进成果。为能保证本系统在一个较长的时期内处于同行业技术领先水平，必须从较高的起点出发，实现一个展现网络新面貌的信息系统。服务的持续性安全产品对网络和主机的带宽占用很小，不会影响正常的网络通讯和主机系统资源的使用。可扩充性系统的设计应能最大限度保护用户现有投资。主机、网络及应用系统除能满足目前及未来若干年业务发展规模之外，还应能随业务的发展而进一步扩充，这要求目标系统具有很强的扩充能力，相应的主机系统、应用软件、网络都能够平滑升级和扩充。即：要求系统随着企业业务的发展在功能上可扩充，且不影响现有功能为前提；要求系统能随企业服务水平和技术要求的整体提高适应国内安全系统联网的需求。在用户网络发生改变的时候，安全系统的改变最小，只是简单通过添加授权KEY和监控点，就可以完成整个安全系统的改造。安全性与可靠性×××网络安全平台对维持网络的顺利运行有非常重要的作用，其安全性与可靠性是非常重要的。这个特性体现在主机、网络硬件设备、数据库及应用系统等各个方面，并希望实现集中式的管理与控制。因而要求整个系统有完整的故障对策，以保证主机系统、网络系统的工作的连续性，以及数据的完整性和安全性。对策具体可分为：网络传输的完整性与安全性：鉴于系统具有多个后台系统的集成联网的特点，整体网络系统应从网络软、硬件技术及网络运行组织和管理上采取必要的措施。数据的完整性与安全性：应保证机器中的数据是可靠的。当因系统故障或事故造成中断时，要求系统对数据的完整性具有检测、保护和恢复的功能。设计依据系统的开发和建设在严格遵循国家和部、省有关信息系统建设的相关规范标准。采用和参考的部颁发标准有：公安部《公安计算机信息系统“九五”规划》公安部《中间件传输技术标准规范》《公共数据交换系统标准》《请求服务系统标准》《信息授权策略标准》《数字证书格式标准》

第3章问题分析与解决思路外来用户的接入控制接入内网的计算机应该是专用于办公的计算机，其他外来用户随意接入内网网络，可能会造成重要机密数据泄露等危险。从传统的网络管理手段来说，可以通过在交换机上进行MAC地址与端口的绑定来达到防止外来用户随意接入的目的。但是这种方法会给管理人员带来比较大的工作量，特别是大型网络，且这种方式的灵活性也不够，对于任何一台新接入的设备都必须要在相应的交换机上进行配置，管理非常不便。内网安全系统应该能够及时发现外来用户的接入，通知管理人员，并提供将其从网络上断开的手段。IP地址管理问题采用计算机管理IP地址和用户信息，若管理项目不统一，不便于统一管理范围的扩大化和信息共享。经调查，内部网络存在IP地址、计算机名乱用、冒用的危险。一些用户自行购置的计算机和网络设备，不登记即自行安装上网，信息中心缺乏有效的监控手段，使得上网设备的IP地址冲突现象时有发生，合法设备无法正常工作，影响业务工作的开展。对违反规定或禁止上网的计算机及网络设备，希望能从技术手段上限制其上网。在上面的这些问题中，核心问题是IP地址的改动和盗用，主要表现为：（1）IP地址非正常改动。恶意的改动可能基于不可告人的目的，如：逃避服务器的记录、让服务器或某些重要任务的机器无法上网；而非恶意的改动也会造成同样的后果。（2）IP地址盗用。将非法节点接入网络，盗窃网上的资源，甚至对主机发动攻击。本方案将对计算机及网络设备IP地址进行有效的管理，可以对计算机和网络设备的IP地址、MAC地址以及主机名进行绑定，通过被动侦听、主动扫查相结合的方式发现非法节点，并且可以阻断非法节点的网络通讯，对非法节点信息进行报警和日志记录等。用户资产信息管理问题目前内网中，管理人员对所管辖网络的资源占用和用户情况难以准确掌握，实际接入的计算机数量难以进行精确的统计，对面临的危害难以做出动态的评估和有效的防范。作为用户与设备基础管理功能，希望建立起台帐信息，对所有接入计算机和网络设备的用户信息进行登记注册，这些登记的信息主要包括：用户姓名、单位名称、工作岗位、用户工号、联系电话、使用地点、主要用途、资产编号、设备品牌、设备类型、设备序列号等信息，在发生安全事件时能够以最快速度定位到具体的用户。对于未进行登记注册的微机，自动将其隔离在系统之外。同时，应该能够做到动态地搜索各专用微机的硬件信息和安装软件信息，并能够对这些信息进行统计和分析，生成相应的基础信息报告。需要搜索的硬件信息主要包括：计算机类型、CPU型号、CPU主频、内存大小、磁盘序列号、磁盘容量、磁盘剩余空间、网卡型号、网卡物理地址、鼠标型号、键盘型号、显卡型号、声卡型号以及各外围设备的情况；同时应该对各计算机所安装的软件自动进行搜索，并与预先指定的软件进行比较，警示那些未按要求安装软件的用户，并及时报警，利用短消息手段，通知信息安全管理部门和相关的系统管理员。另外，系统还应该与安全策略紧密结合，自动收集与安全相关的一些系统信息，包括：操作系统版本信息、操作系统补丁信息等，同时针对这些收集的信息进行统计和分析，给出安全状况报告。例如，要求全网安装最新的操作系统安全补丁，如有计算机未按照要求安装安全补丁，可能会影响到整个系统的安全状况。在对这些系统安全信息进行收集后，可迅速统计分析出那些不符合安全管理策略的微机，对其进行更新，从而保证各微机的安全性。目前，大多的IP地址是按网段分配的，信息中心对所管辖网络的IP地址等资源占用和用户情况难以掌握，网上的计算机设备、网络设备的数量难以准确统计，具体设备的基础软硬件信息也难于收集和进行有效的管理，一些实时运行的网络设备和重要服务器的运行状况不能集中监控，日常管理难度和工作量都很大。本方案实施后，客户端管理功能将自动扫查计算机的硬件信息和软件信息，登记管理计算机的基本信息，并支持统计查询。硬件信息包括计算机类型、CPU型号、主频、内存大小、磁盘容量、剩余空间、网卡型号等；对Win32系统，可收集的软件信息包括计算机安装的操作系统，计算机安装的软件清单等；基本信息包括IP地址、MAC地址、计算机所在位置、使用人、所属单位等。软硬件违规行为监控计算机的外围设备（包括软驱、光驱、USB盘、并行、串行口、红外口、1394端口、Modem等）为各种信息在不同的计算机设备之间交流提供了一个方便的途径，通过它们可以将各种信息（包括病毒、木马等）复制到不同的计算机中。但是内网中的主机上保存着一些涉密的内部信息，这些信息不能够随意地传播，因此有必要对外围设备的使用进行控制，不允许随意地使用外围设备拷贝机密数据。安全管理及监控系统应该实现对各客户机外围设备的集中监视和控制，通过在管理端进行设置，可禁止和启用各客户机的外围设备，有效地保护计算机上的信息。另外，内部存在违规使用软件的行为。有些人员在计算机上安装使用盗版软件，不但引入了潜在的安全漏洞，降低了计算机系统的安全系数，还有可能惹来版权诉讼的麻烦；而一些内部人员出于好奇心或者恶意破坏的目的，在计算机上安装使用一些黑客软件，从内部发起攻击；还有一些内部人员安全意识淡薄，不安装指定的防毒软件等等。这些行为都对内网构成了重大的安全威胁。要解决这个问题，可以通过安装在各计算机上的代理终端自动搜集各计算机所有的软件信息，并汇总到控制器，形成内网计算机的软件资产报表，管理员可以全面了解各计算机所安装软件的版本信息，及时发现安全隐患并升级系统。同时，管理员可以在管理控制器上配置软件预案，指定内网计算机必须运行的软件或禁止运行的软件，由代理终端对计算机上的软件运行情况进行比对检查，对未运行必备软件的情况发出报警，终止已运行的禁用软件的进程。非法外联问题作为内网中的计算机，应该是专机专用，因此接入系统的计算机应该禁止与内网或互联网等其他外部网络发生直接或间接的连接。但是可能有个别的工作人员，将专用计算机挪作他用，或是为了上网浏览信息、玩游戏、发私人邮件等目的与Internet连接，从而造成外网与政务内网或互联网等其他外部网络发生直接或间接的连接，可能造成以下后果：(一)破坏整体安全防护体系。网络的安全是靠整体的安全防护体系来保证的，在这个防护体系里除了必要的安全防护措施以外，还需要建立一系列的管理规章制度，通过这些制度限定人们的网络行为。非法外联行为看似小事，但却是对整体安全防护体系的严重破坏。它在内网与其他外部网络之间，开辟了一个不经过安全防护机制检查的“后门”，这个“后门”使整个网络的安全性大大降低。（二）引入恶意的入侵。非法外联具有一定的隐蔽性，管理人员不易发现，没有一定的手段，很难对此进行必要的防护，容易遭受恶意的入侵。安装着桌面操作系统的客户机的安全性明显低于网络操作系统的安全性，存在着许多安全方面的隐患，在缺少安全防护措施（如防火墙等）的条件下，很容易被攻破。来自互联网的恶意入侵者可以轻而易举地入侵和控制这台计算机，使入侵者获得网络内的合法身份，它可以访问网络中的信息资源，可以对重要服务器进行漏洞扫描、入侵尝试。如果这些服务器没有采取入侵检测等进一步的防护措施，恶意入侵者就可以比较容易地获取这些服务器的访问、控制权限，随意地窃取、篡改和删除重要敏感的数据，安装木马程序、病毒程序，中断其正常的服务，使单位蒙受巨大损失。（三）、引起病毒的感染和传播。目前计算机病毒越来越泛滥，危害越来越大，一个普通的病毒可能会造成整个计算机网络的瘫痪，而各种计算机病毒都汇集在互联网上，不采取任何防护措施而随意地访问互联网，很容易造成这些病毒传播到系统内部，影响正常业务工作的开展。非法外联行为存在着将外部网络病毒入侵的隐患。（四）、为不良信息（例如反动、色情信息）的访问和传播提供了途径。从上边的分析可以看出，非法外联具有很大的危害性，因此作为安全管理及监控系统，应该对非法外联的行为进行监视，一旦发现这种现象及时通知各级管理人员，在必要的情况下可自行将这些连接断开，保护内部网络的整体安全。网络拓扑查看与安全事件定位困难在安全事件发生时，往往管理人员最初仅能获取到事故计算机的IP地址和MAC地址等基本信息，无法迅速定位到其实际物理位置和用户，从而延误对重要安全事件的处理。内网安全系统应能提供根据计算机的基本信息，迅速定位物理位置和用户的手段。当网络不通时，可以查看网络拓扑中的交换机该端口的状态，端口工作正常，则说明是网络完好，是主机自身系统或网卡驱动问题；若端口工作异常或不工作，则说明网络存在问题，可以继续排查。目前，绝大多数的网络设备都能够支持简单网络管理协议（SNMP），所以可以通过SNMP协议，达到自动网络拓扑功能，实现网络拓扑结构的自动发现，从而实现对实际物理位置的迅速定位，同时辅以设备信息管理功能，实现具体用户的定位。自动网络拓扑是系统依据网络的路由信息，自动查找整个网络的路由设备、网络交换机以及主机，根据这些网络设备信息生成并以直观的图形方式显示网络的拓扑结构。当网络管理员已经知道了某台或多台设备的IP地址，可以用单个网络拓扑或多个网络拓扑功能，直接拓扑发现设备。网络拓扑结构的显示方式可以按照用户的爱好自行拖拽编排，从而以最方便直观的方式展示网络结构。服务器与端口监控困难随着计算机越来越渗入工作，计算机使用领域日益拓展，计算机相应提供服务逐渐增多，服务器也逐渐增多，服务器群越来越庞大。这些计算机、服务器上的服务对单位公务员的工作日益重要，与此同时，对这些服务运行状况的监控变得日益困难。靠工作人员每周、每日的巡检已经越来越不能满足工作的需要。因为现在单位机构日益精练，公务员工作效率大大提高，一专多能是主要的特点，计算机网络管理人员身兼数职，工作负荷很重，繁琐地巡检会消耗大量的工作人员的精力和时间。同时，因巡检方法本身的局限性，巡检的效率和效果总是不能令人满意，但人工巡检的频度和时间的消耗总是相矛盾的。缺乏完整的用户授权认证系统身份认证服务是帮助系统识别用户的身份，决定并控制他们在网络上能干什么工作，即所谓的授权管理。本内网安全管理系统在信息系统中实现对用户的身份鉴别、实现信息的保密性、完整性、真实性和抗抵赖性等保护，采用当今流行的高强度安全策略——我国自主知识产权的PKI技术为基础的数字证书技术。应用系统可以基于数字证书以及相关的经国家有关部门认可的密码算法认证登录系统的用户的真实身份，进行数字签名和验证签名，采用数字签名技术解决抗抵赖性和数据完整性的的问题，利用安全系统提供的加密算法，解决信息的保密性问题。

第4章系统架构与内网安全解决方案eCop系统架构eCop的体系结构如上图所示，在内部网络部署一台eCop中央控制器，它基于浏览器/客户端模式设计，采用软硬件一体化的功能服务器设计方式。同时，在内部网络中各被管理计算机上安装相应的客户端程序，对各客户机进行管理、监视和控制。每一台接入内部网络中的计算机设备必须下载安装客户端程序，或者在eCop中央控制器上保存其IP及MAC地址配置信息，否则将会被管理系统认为是非法接入内部网络，客户端程序的下载安装由各客户机通过浏览器连接到控制器后自动完成。整个系统支持在线升级，控制器系统进行升级后，客户端程序可以按照控制器端的配置在启动时自动升级。eCop以Java、Web技术为架构，采用面向对象和MessageQueue技术构建信息交换平台，使系统的各项功能构建于该平台之上，使整个系统具备灵活的扩展性。eCop使用jsp/javabean技术向用户提供Web方式的操作界面，系统内置预写日志式数据库，大大提高了系统在突然宕机事件发生时的可靠性。eCop系统功能模块上图中各子系统的功能如下：IP地址管理子系统完成对网内计算机IP地址信息的实时扫描和比对，发现非法接入的计算机，并采取手段将其隔离在网络之外；客户端管理子系统完成对网内各专用微机的信息收集、管理、监视和控制功能，该子系统划分为资产信息管理、客户端监控、非法外联监控三个功能模块。其中，资产信息管理模块负责登记专用计算机用户信息，自动收集各计算机设备的硬件信息、软件信息和系统信息，将这些信息保存到数据库中，提供友好的查询、统计和分析界面；客户端监控模块完成对客户端软件使用的控制和远程截屏功能；非法外联监控模块完成对客户端非法连接其他外部网络的行为进行监控、报警和记录，并提供查询功能。网络拓扑管理子系统完成对全网的网络拓扑结构、网络设备状态、网络设备性能等信息的扫描收集，并保存到数据库中，同时提供友好的查询界面和归档功能；还提供远程查看、修改网络设备参数的功能；服务监视与端口扫描子系统完成对内网内重要控制器服务运行状况的监视和对指定网段或计算机端口开放状况的扫描，发现异常及时报警；系统管理子系统完成对安全管理及监控系统自身的管理和配置功能，该子系统划分为身份认证与授权模、报警与日志管理和系统备份三个模块。身份认证与授权模块完成对登录用户的身份确认，对不同用户授予相应的系统操作权限，管理和控制用户在系统中的行为；报警与日志管理模块完成对系统报警条件、报警方式的配置，在报警条件触发时按照指定的方式进行报警，并记录报警信息，提供方便的查询和归档功能；对系统运行日志和用户操作日志的记录、查询和归档功能；系统备份模块完成对系统自身的配置信心和用户数据的备份和恢复功能。内网安全解决方案通过对×××内网现状以及需求进行认真的分析和研究后，提出如下解决方案：1）各地市区分××可根据需要选配或不配ecop的IP地址管理功能，即选配或不配IPA硬件。在网络畅通的情况下，安装客户端，实现客户端管理和网络拓扑管理的功能。2）对于××总××大楼的内网安全，提出：中心机房配备ecop3000CM3型中央控制器，加IPC2，根据VLAN的确定个数决定IPA3的个数。功能模块选配IP地址管理，客户端中的资产信息、软硬件禁用、远程桌面监控，网络拓扑发现，服务监视可以试用。大楼内部署客户端个数400～500。

第5章系统功能实现IP地址管理子系统实时扫描获取与分析在线计算机的IP、MAC地址信息IP地址、MAC地址的合法性判定,支持IP-MAC绑定、特权MAC地址和DHCPMAC地址三种合法性管理方式警告和阻断不满足合法性判定的计算机统计分析非法IP地址使用的历史情况支持主动探测和被动侦听等多种扫描方式，采用特定算法对扫描过程进行控制，避免对网络流量造成明显负荷灵活的部署方式，可以适应不同网络环境的需要，通过在各网段部署的IP地址管理代理装置，使IP管理目标和部署成本达到最优比例灵活的配置，可以以图形化方式配置每一台代理装置的监控参数，并查询各个网络接口的扫描结果对于监视到的违规信息，调用报警模块向管理员进行报警客户端管理子系统客户端的安装、卸载和升级客户端程序的安装可以通过以下几种方式实现：通过客户机浏览器连接控制器下载安装；在采用域管理策略的网络中，通过域登录脚本安装；采用软件分发服务进行分发安装。使用安装光盘安装系统可自动发现接入内网但未安装客户端程序的计算机，并提示管理人员，由管理人员对其进行警告或者阻断其接入网络。客户端程序使用进程保护和文件保护技术，使用户无法在其计算机上停止或者卸载客户端程序，只能通过专用的卸载工具来完成客户端程序的卸载。客户端程序的升级完全自动完成，各微机上安装的客户端程序将在每次微机启动时自动检测其版本是否与控制器端版本一致，发现控制器端版本更新时，自动连接控制器下载最新的客户端程序，并自动完成客户端程序的更新。客户端资产信息管理模块用户信息登记注册管理接入到内网中的计算机，要求必须安装客户端程序，安装完成后在客户机填写用户登记注册信息客户机用户填写完这些信息之后，将其提交到控制器端，等待管理人员进行审批确认。客户机一旦提交这些信息后，系统将锁定这些信息，不允许再次填写，仅当管理人员通过在控制器端进行解锁后，才能再次填写并提交。控制器端接收从客户机提交的这些信息，将其保存在数据库中，等待管理人员进行审批确认。在管理人员对信息确认之后，该客户机即被认为是合法接入内网的计算机。在用户的登记注册过程完成之后，系统将自动把该计算机设备分类到用户填写的单位下，系统采用组织机构层次结构图的方式作为向导，使管理人员能够方便快速地查找到某台计算机。计算机硬件信息管理客户端程序自动完成对计算机硬件设备信息的收集，并将这些信息汇报到控制器端，控制器端将它们保存在数据库中。同时客户端程序会自动将硬件设备信息与该计算机的历史硬件信息情况进行比对，发现信息变更时，向控制器端发送变更通知消息。客户端程序收集的硬件信息包括：CPU型号、CPU主频、内存大小、硬盘序列号、磁盘容量、磁盘剩余空间、网卡型号、网卡物理地址、显卡型号、声卡型号、键盘型号、鼠标型号。计算机系统信息管理客户端程序自动完成对计算机系统信息的收集，并将这些信息汇报到控制器端，控制器端将它们保存在数据库中。同时客户端程序会自动将部分系统信息与该计算机的历史系统信息进行比对，发现信息变更时，向控制器端发送变更通知消息。客户端程序收集的系统信息包括：操作系统类型、操作系统版本号、IE浏览器代理控制器设置情况、当前登录用户、当前登录域、客户端程序的版本号、操作系统补丁信息等。计算机软件信息管理客户端程序自动完成对计算机安装的所有软件信息的收集，并将这些信息汇报到控制器端，控制器端将它们保存在数据库中。同时客户端程序会自动将软件信息与该计算机的历史软件信息进行比对，发现信息变更时，向控制器端发送变更通知消息。查询及报表统计可根据上述收集的各种信息，包括用户信息、硬件设备信息、系统信息和软件信息进行组合查询搜索，以查找出满足条件的计算机，并生成相应的统计报表。客户端软硬件监控模块外围设备控制管理人员可在控制器端设定启用或禁用各计算机的外围设备，客户端将根据控制器端的配置自动禁用或启用软驱、光驱、U盘、MODEM、串口、并口、红外口和1394口等外围设备和接口。进程监控管理人员可在控制器端指定各计算机必须运行和禁止运行的软件，客户端程序将定期检查运行的进程情况，发现正常的进程停止或禁止的进程运行时，将向控制器端发送违规情况，并向管理人员发送报警通知消息。远程计算机屏幕截取管理人员可在控制器端远程获取某客户端计算机的屏幕图像，获取方式分为实时获取和定期获取两种。此功能可有助于管理人员进行远程的故障诊断和排除。非法外联监控模块非法外联行为的监控客户端程序定周期检测该计算机的网络连接情况，能够及时发现连接其他外部网络的行为，记录下其违规外联的信息并向控制器端发送违规记录和报警通知。非法外联监控对于连接在内网发生外联和脱离内网的发生外联均能够进行检测，管理人员可在控制器端进行监控策略的配置，选择上述某一种监控方式。非法外联行为的控制对于发生非法外联行为的计算机，客户端可自动断开其各种网络连接，包括网卡连接、拨号连接、无线连接等。管理人员可在控制器端配置恢复该计算机网络连接的策略，可选择自动恢复网络连接和确认恢复网络连接两种方式。免检范围配置在控制器端可配置无须进行外联监控的计算机，这些计算机将允许连接其他外部网络，在连接外部网络时不会断开其网络连接，但是此次连接的信息仍然会被记录，并发送到控制器端保存。网络拓扑管理子系统该子系统进行网络拓扑的发现，展示全网拓扑结构以及子网详细拓扑，并对网络节点的连通状态进行实时监视。获取网络节点的MIB库中的信息并进行统计，以图表的形式展现给用户。该子系统在内网安全系统中主要有两个用处：利用该子系统的交换机端口控制功能，关闭未安装管理客户端程序的计算机，以及发生违规事件的计算机所连接的交换机端口，从而达到阻断该计算机的目的；在发生安全事件时，利用网络拓扑结构图，可以大大提高定位的速度，有利于在最短时间内处理安全事件。扫描子网/路由器层网络拓扑用户输入拓扑发现的种子路由器的IP地址，由该种子所在网络开始向外发现与之相连的网络与路由器，直至超过指定路由器跳数时停止。该模块具有良好的响应性能，能够在60秒内发现一个有10个路由器的中等规模的网络结构。该层拓扑图显示路由器与子网的连接状况，路由器旁显示路由器本身的所有IP地址和名字，子网旁显示该子网的网络地址和子网掩码。如下图所示：扫描子网逻辑拓扑系统依次扫描全网拓扑中的各子网，发现其逻辑拓扑：判断该子网的逻辑结构，如总线型，令牌环等；扫描该子网内所有网络节点，判断节点类型，如路由器、交换机、主机、打印机等，并获取其相应信息（IP地址、MAC地址、名字等）。用户可以从图上直观的看出该子网内各节点的节点类型以及连通状态等信息。扫描子网物理拓扑在子网逻辑拓扑的基础上，扫描该子网的物理拓扑：以交换机为中心，分析该子网内所有节点的连接关系，包括主机与交换机之间、交换机与交换机之间的连接关系，在此表明它们分别连接到交换机的哪个端口上。用户可以从子网物理拓扑图上直观地察看交换机端口状态以及与该端口相连的设备信息，用户还可以通过设置交换机端口状态来控制与其相连的设备。交换机上显示该交换机信息，如名字和IP地址等；交换机端口使用不同颜色表示是否和其它设备相连；主机和路由器节点，显示其详细信息。交换机端口控制在扫描获得的网络拓扑结构图上，可以对各交换机的端口进行打开/关闭的控制。展现网络设备重要MIB信息对于开启SNMP（SimplyNetworkManagementProtocol，简单网管协议）服务的网络设备，可以查看MIB库中的信息，包括系统信息、网络接口信息、ARP交换表、路由表、服务信息、帐户信息、共享信息、端口对应表、进程信息、IP统计信息、ICMP统计信息、UDP统计信息、TCP统计信息等。服务监视与端口扫描子系统服务监视子系统有以下功能：（1）监视Apache服务的运行状况；（2）监视Tomcat服务的运行状况；（3）监视IIS服务的运行状况；（4）监视MySQL服务的运行状况；（5）监视Oracle服务的运行状况；（6）监视SQLServer2000服务的运行状况；（7）监视FTP服务的运行状况；（8）扫描指定网段内所有计算机某一端口的开放状况；（9）扫描指定计算机某个端口范围内的开放状况；（10）通过报警模块向管理员报警；（11）强大的可扩展功能，可以以模块方式加载新的服务监视功能。系统管理子系统身份认证与授权模块在用户管理方面，我们需要解决“你是谁？”和“你能干什么？”两个问题，在对实际需求进行研究和分析后，决定采用上海宝信软件股份有限公司的授权验证和授权管理中间件：ePass。ePass授权管理系统（以下简称ePass）是一个管理应用系统中的资源使用权限的标准软件系统。它针对应用系统开发人员和应用人员，旨在提供标准统一的应用资源授权管理。它可以对应用系统中的资源，如应用系统菜单，画面，报表和文档等资源的使用权进行集中管理。同时，对应用系统使用者的账号进行集中管理。提供统一的标准登录画面和应用画面模版，提供对指定账号、指定资源权限检查接口。应用系统开发人员通过ePass系统可在应用系统中对资源的使用者权限进行跟踪和控制，应用系统的最终用户可对所有的资源和资源使用者通过ePass系统进行集中的授权管理。ePass授权管理系统参考并应用了Kerberos安全协议。不仅ePass系统本身得到了安全保护，而且ePass向搭建在其之上的应用系统提供安全服务，保证应用系统的安全。利用ePass中间件所提供的应用接口，该系统提供如下一些功能：用户的创建和删除系统管理员可进行创建、删除用户的操作，可指定每一个用户的有效期，并可以为用户重置密码。用户个人信息管理系统的每个用户可对自己的用户信息进行管理，信息包括用户的姓名、电子邮件、商务电话、住宅电话、移动电话和口令信息。组织机构管理系统管理员可在系统中维护该组织的机构层次结构图，在管理中可按照组织机构层次进行导航，方便查找和管理。用户群组管理系统内置IP地址管理、客户端管理群组、网络拓扑管理群组、报警管理群组、日志管理群组和系统配置群组等多个群组，将用户加入到某个群组中，即可获得该群组所拥有的操作权限，从而达到对用户进行授权的目的。组织机构授权管理在客户端管理子系统中，可分别为每一个组织机构指定相应的管理用户，该用户登录系统后即可拥有该组织及其下级组织客户端管理的操作权限。通过该功能，可以达到按照组织机构进行分级管理的目的。报警与日志管理模块报警方案和策略配置系统预先定义了系统内各种可能发生的报警事件，管理人员可为每一类报警事件指定相应的报警接收人员，以此形成报警的方案和策略。多种报警方式系统支持控制器端声音报警、手机短信报警（此方式需要手机短信专用模块支持）和桌面精灵报警等多种报警通知方式。报警日志的记录与查询系统在每次发送报警通知的同时，将在控制器端记录下该次报警的相关信息，方便日后进行查询。日志浏览可以列出所有当前相应或历史的日志记录，统计了所选日志表的总记录数和总页数。在显示日志记录时，采用了分页显示，可以对具体的某一页进行浏览。日志分为系统日志和操作日志两种类型，系统日志主要记录该系统工作的情况，操作日志则记录用户所进行的各种操作。日志查询可以对某一特定的日志表进行查询。可以对日志记录的各个字段进行分类查询，如系统日志可按日期、功能模块、日志信息等级、日志标题、具体描述等查询，操作日志可按日期、用户等查询。日志归档为了防止日志记录在一张表中无限制膨胀，系统会定期对当前日志进行归档，系统自动生成一张新表。这样既能有效地管理日志，又能达到保护日志记录的目的。系统备份模块系统定期备份所有的配置信息和用户数据，生成备份文件；提供界面供用户下载各时间段的系统备份文件，用于发生系统灾难事件时进行恢复。

第6章eCop系统主要优势技术优势属性（Feature）用处(Advantage)利益(Benefit)软硬件一体化eCop采用先进的软硬件一体化的功能控制器设计理念，软件运行在专用的硬件设备平台上。产品不受其他应用系统的影响。无需提供专用的控制器。能够保障长时间稳定、高效运行。节省投资。eCop的操作系统基于RedhatLinux。不易被病毒感染。安全性高。功能一体化eCop集成了网络接入安全、客户端安全、服务器安全等多种功能。国内其他厂家的同类产品，大多功能单一，仅能解决内网安全中某一方面的问题。相比较于这些产品，eCop能够在统一平台上解决内网安全中多方面的问题。降低投资成本，性价比高。能够对内网安全事件作出彻底的处理。eCop的功能模块可以灵活拆装可根据实际需求购买相应的功能模块灵活性高，可扩展性强。先进的技术架构eCop经过精心设计和优化，采用平缓发包的算法，并可以根据响应速度的不同要求，灵活调整参数降低网络带宽占用量。不会影响网络正常运行。eCop采用B/S结构，基于WEB方式设计在网络上的任一计算机，使用浏览器即可进行管理。易用性强，管理简便，快捷。IP地址管理适应性强eCop的IP地址管理基于TCP/IP协议标准设计。与网络设备的厂家、型号无关，即使是不可网管交换机或者集线器等透明设备，也能够实现IP地址管理无需为eCop的部署更换或增加网络设备。eCop提供了多种IP地址管理策略无论网络中的计算机使用静态分配，还是动态分配IP地址的方式，eCop都能管理。无需改变现有的IP地址管理方式。eCopIP地址管理支持独立工作模式和协同工作模式。能适应不同规模的网络。对于小型的局域网，仅使用一台或几台eCop即可进行管理；而对于大中型的网络，可以使用分级管理，集中汇总的协同工作模式实现对全网的管理。可对大型网络进行统一管理，达到信息和资源共享的目的。强大的客户端管理功能eCop客户端管理完全基于组织机构。与用户单位组织结构的实际情况相吻合。可以清晰地展现所有部门的IT设备使用情况。eCop客户端能够管理多种外围设备。对于所有可能与外界发生数据交换的外围设备均可以灵活控制有效地防止信息泄漏事件的发生。eCop客户端能够自动比对软件、硬件的变更情况并报警。能够快速地对IT资产的变动做出反应。防止IT资产流失的情况发生。eCop能够自动检测主机的外联行为，一旦发现可根据配置策略采取阻断措施，并能够汇报给管理员。使用灵活的配置策略可以支持对跨接外连和断开内网的外联的管理。本地路由检查机制，在本地路由不发生变化的情况下，不发起外联尝试。有效防止信息泄漏，降低病毒感染的可能。无外联行为产生的情况下，对网络带宽无任何影响。灵活的授权管理eCop采用ePass授权中间件，能够实现对页面访问、组织机构、网段范围等的分别授权。可以适应大型网络管理分