内网安全综合管理技术方案Word格式.docx
《内网安全综合管理技术方案Word格式.docx》由会员分享,可在线阅读,更多相关《内网安全综合管理技术方案Word格式.docx(22页珍藏版)》请在冰豆网上搜索。
面对如上问题,正杰网络安全管理平台提供了全面的解决方案。
第二章产品概述
一、产品简介
正杰内网综合安全管理系统是遵照国家信息安全与保密领域相关法规,集网管、监控、安全、加密等关键技术而构建的内网安全管控平台。
通过对IT资产的动态监管、用户行为及信息内容的综合审计、多策略立体化的网络安全防护、统一的漏洞检测与补丁加载,从根本上提升企事业单位内部网络的安全管理水平。
二、产品系列
我们从客户的内网安全需求点出发,结合国内外终端安全管理技术和发展趋势,对内网安全进行了深入的研究。
将政府机关和企事业单位内部网络终端安全从资产和资源、调控和服务、安全和保密、审计和控制等方面做了全方面的保护,在正杰内网综合安全管理系统中包含以下几个产品系列:
解决了客户在网络管理中可能会遇到的问题。
三、系统特点
(一)集成化的“一揽子”解决方案
依据网络/主机管理七层模型,针对网络中主机应用管理各层面存在的问题,进行深层次挖掘,制定相应解决方案,实现了网络层面与终端桌面管理层面的“映射”和“对应”,提供集成化的“一揽子”桌面解决方案。
(二)模块化设计、插拔式组件
针对基本桌面管理要素设计功能单元,根据不同的应用场景、网络环境和管理要求选择相应的功能并予以组合,系统支持功能模块化自动升级与无缝平滑整合,以适应变化的、动态扩展的桌面管理因素需求。
(三)专业化和标准化的设计
软件内部架构、关键技术均选择业界通用标准和规范,XML可扩展语言、基于SSL协议的WEB安全管理、模块化API接口等便于系统扩展,同时对外提供标准化的接口,可与现有防火墙等第三方安全管理系统良性化互动。
(四)组网架构灵活、部署便捷
系统组网架构支持集中式管理、级联分布式管理,对于大型国家部委、集团级企业用户等广域网架构,提供良好的统一综合部署管理和性能运行保障方案。
客户端部署支持共享式、自动分发式等多种快速安装模式。
(五)界面友好、操作方便
不论IT管理员的平台管理界面,还是终端代理的本地管理界面都是基于Web系统的界面设计。
确保系统访问安全性的同时,注重管理平台的易用性和美观性,以便于IT管理员轻松实现对企业网络终端桌面的高效管理。
(六)降低IT运维成本,提升企业管理效率
DeskMaster专注于协助维护人员脱离繁杂琐碎的管理事务,提高企业IT设施运维管理水平,提升企业生产效率,力求实现对终端桌面管理自动化维护。
系统部署、日常使用和维护管理的各个环节均提供了较为先进的管理策略,大大降低了企业网的日常管理成本和系统的使用成本。
(七)策略与对象的灵动管理
策略的灵活制定与应用对象动态自定义有机结合,确保“预置定”管理策略的执行。
基于对象的分组、分区域策略控制模式,使系统功能能够灵活的应用于有需求的对象,实现桌面控制管理“游刃有余”、“疏而不漏”。
(八)灵活的权限管理与“三权分立”
DeskMaster提供了灵活的系统管理权限,既提供了适用于中小网络的集权模式,又提供了适用于大型网络的“三权分立”模式。
(九)日志报警与信息检索
系统除提供桌面管理事件全面记录供事后审计取证功能外,还详细记录了系统管理过程中管理人员每一步的操作行为日志,通过信息检索引擎进行桌面事件与系统管理事件的检查和分析。
四、功能特点
正杰内网综合安全管理系统通过对终端计算机的进程、模块、插件、驱动、软件、URL访问等信息进行采集,由管理员对采集的信息进行分类和安全级别鉴定并形成一套对上述信息运维和管理的库,我们称之为“知识库”。
通过知识库的建立和管理,达到对用户管理的统一化、标准化、策略化。
本系统针对客户端程序进行了特别优化,CPU和内存等资源的占用低,达到了国家对内网安全软件的相关要求,在管理员对客户端进行审计和管理的过程中,这些操作都不会对客户端产生特别大的性能上的影响。
除上述特点之外,本套系统还支持异构复杂的网络环境,对不同类别、不同厂家、不同制式标准的IT设备均有很好的支持。
对终端设备上不同的操作系统和网络应用也均可统一管理。
与目前主流防火墙、杀毒软件均有良好的兼容性。
系统选用集成式框架结构和模块化设计理念也为后期的升级改造和系统维护提供了支持。
第三章产品架构
一、产品部署
本系统采用C/S和B/S混合模式架构,支持分布式部署,配置了中心服务器之后,客户端只要通过浏览器访问中心服务器即可完成系统部署。
通过文件分发系统(第三方提供)更可方便的实现静默注册。
二、产品模块
本系统对各个功能采用模块化方式设计,支持模块化软件定制,在保持了较高通用性的前提下,又实现了产品配置的多样化。
模块化的设计降低了功能之间的耦合性,各个模块之间支持无缝功能扩展,又通过统一的策略管理平台,对各个模块进行管理,方便管理者操作。
在满足用户需求的同时,又最大限度的对用户日后升级做了充足的准备。
下图为统一策略管理平台界面图:
三、产品管理架构
本系统支持局域网架构和广域网架构两种架构模式。
局域网架构模式下,使用一套本系统即可满足管理上的需求。
例如对于一个C类地址或者多个C类地址的局域网来说,通过配置一套系统即可实现集中式的管理模式。
广域网架构模式应用于大规模的多个局域网或者跨地域广域网。
例如基于国家、省市、区县的网络结构。
本系统提供了多级级联模式的管理架构,用来满足上级对非本地局域网内的下级的管理。
使用广域网架构模式需部署多级系统,在广域网架构模式下,上级可直接对下级终端进行管理,同时下级会将本级的统计和报警信息转发给上级管理系统,从而上级管理人员能对下级的网络状况完全掌握。
四、分权管理
通过对管理用户权限的分立,使得管理用户在管理上进行了本质性的区分,实现了用户管理权限、策略权限、审计权限的分离,达到了用户权限“最小化”的目的,尽最大可能减小企业在管理中要承担的风险。
通过对上述三权的分立,也使管理员的任务得到了分解,减少了管理员的任务量。
五、软硬件环境
中级:
硬件需求:
CPU双核双至强3.2或以上,4G内存或以上;
硬盘2*143GSCSI或以上;
软件需求:
操作系统Win2000ServerSP4或Win2003ServerSP2;
数据库系统SQLServer2005;
应用环境:
Office2003以上;
IIS6.0;
.NET2.0;
低级:
硬件需求:
CPU双至强2.8或以上,2G内存或以上;
硬盘2*72GSCSI或以上;
第四章解决方案介绍
一、接入管理
(一)内网终端接入管理的必要性
网络接入控制管理系统可以对XXX内网中的可管理的以及不可管理的终端进行保护。
强制提升内网安全,保证了内网的保护机制不被破坏。
通过内网接入管理系统实现了企业对内部人员随意接入内网的行为的控制,该方案可以方便快捷的部署至全网。
对于网络硬件设备没有终端接入控制功能的单位来说,可以采用软接入控制的方式实现对内网随意接入的管理,而不需再投入大量的财力物力对原有的设备进行更换。
对于网络硬件设备本身就支持接入控制功能的单位来说,结合本接入管理系统,对原有的接入进行方便的管控,大大提高工作效率,亦可实现高强度的接入认证体系。
(二)系统功能概述
接入管理系统实现了对要接入内网计算机(笔记本和台式机)的管理和控制,通过内网接入认证系统达到了对非正式和非合法用户的限制。
从第一步就对内网中的计算机进行彻底保护,只有通过内网接入认证系统的认证之后,才能作为合法用户和内网中的设备进行相应的通讯。
首先,通过配置可以对非本单位的计算机进行网络访问的限制,即便单位中的非法用户接入了内网,如果限制了计算机的网络访问权限的话,那么非法用户所具有的潜在危害也将被限制。
同时可以通过支持802.1x认证的网络硬件设备,从物理硬件上对网络访问接口进行访问限制。
在内网接入的配置界面可以选择性的启动内网用户身份验证口令,这样就可以做到对内网计算机的确认,保证每一台内网用户都是通过管理者进行登记造册的。
(三)系统功能描述
1)辅助802.1x系统接入认证
2)未注册终端接入内网控制
通过“一体化”的终端安全防护技术,综合接入认证、终端信息注册、系统身份验证等策略,确保用户合法接入。
系统对非法接入网络的外来计算机,自动对其进行阻断处理,并对设备提出警告信息。
3)健康安全检查
系统对新接入注册的计算机,主动提供环境安全检查,包括是否安装杀毒软件,是否打全系统补丁,是否存在风险进行及插件等。
对发现的问题,系统提供智能修复方式,确保系统安全性。
4)非法外联等接入方式监控
非法外联问题,目前是存在敏感信息单位头等关心的技术难题,借助DeskMaster非法外联控制技术,可对内网(此“内网”特指涉密网、政府专网和企业生产网等与国际互联网物理隔离的网络)的终端设备予以控制,监控内网终端是否与国际互联网进行通讯,结合以下防护措施可有效解决通过互联网等非可信任网络的泄密问题:
◆防止内网计算机通过ADSL拨号、无线、代理等任何方式与互联网发生信息交换;
◆防止受管计算机脱离内网后通过ADSL拨号、无线、代理等任何方式与互联网发生信息交换;
◆针对违规外联终端采用“提示”、“断网”或“关机”等措施,并向管理端上报外联行为。
◆支持外网报警,详细显示上网方式。
5)可根据自定义终端策略对终端进行接入限制
软接入控制流程图
802.1x认证接入控制流程图
二、内网安全管理系统
(一)当前内网安全管理所面临的问题
随着计算机在日常工作中的广泛应用,在越来越多的单位、企业等机构中所暴露出来的问题也越来越多。
在用户的日常工作中对计算机的使用上出现了以下几个方面的问题需要解决:
1)对计算机运行的程序进行审查和控制
2)确保计算机的系统安全:
对恶意程序的运行进行管理和控制
3)对计算机外设等产品的管理和控制
4)对管理员用户提供一种高效的管理和协助一般用户的方法
5)保证内网中计算机的管理流畅,对相关网络设置进行控制
6)对网络攻击进行防护
7)提倡计算机高安全度的设置
8)对内网用户的共享文件进行管理
内网安全管理系统提供了完整的一套解决方案,从桌面管理和安全防护等领域对网内的计算机进行安全管理。
通过对终端桌面进行管理使得终端计算机从内部规范了计算机的使用安全,提高计算机的安全防护等级,又杜绝了来自于外部的非法攻击等。
通过定义知识库,让系统管理员在管理和配置管理策略的时候变的异常简单。
通过对内网中计算机上所运行的进程、服务、模块、插件、软件等信息的采集,IT管理者可以建立属于本企业的系统知识库,可对知识库进行级别划分,从而建立起一套适合本单位具体情况的配置策略。
通过安全控制等配置,可以对终端系统中运行的进程、服务、模块、插件等进行详细鉴别,即便是同样的进程,如果感染了病毒、木马等也可以进行区分,别对受到感染的文件进行限制。
1)进程运行控制
2)系统服务控制
3)外设端口控制
4)系统文件分发管理(文件分发、软件部署)
5)终端点对点控制,自动抓屏。
6)远程协助:
实现终端监控和终端协助
7)网络接口管理:
IP、Mac、Dns绑定、网卡绑定
8)异常进程、模块、驱动、插件监控
9)网络防火墙:
访问网络控制和Arp攻击防护
10)系统帐户安全控制
(四)内网安全管理系统的特点
1)管理员通过建立属于本单位的系统知识库对终端设备进行管理。
知识库变更灵活,由中心服务器进行统一分发,不需要管理者一一对终端机器进行部署,节约管理者的时间
2)管理策略可灵活定制,从基本策略、时间和分配对象三个维度对内网用户进行管理。
可以满足单位中对不同级别用户进行不同管理的需求,做到定制化管理
3)对单位内部恶意的对设备的盗取行为等进行监控
4)终端设备的实时监控,终端设备远程操控,实时对终端用户提供技术帮助
5)与DeskMaster系统其它平台进行无缝整合,轻松实现资产管理、补丁管理、主机行为审计等功能。
三、主机行为审计
(一)产品背景
随着计算机技术的发展,它所展现出来的重要性也越来越多的在政府机关和企事业单位中得到体现。
随之而来的问题是,如何能够有效的掌握内部人员工作期间在计算机上进行的操作、如何确定这些操作不违反内部规定。
除此之外,不能对内部人员使用计算机造成影响也成为了IT管理者必须要解决的问题之一。
主机行为审计系统就是因此而生的一套专门的针对用户使用计算机的行为进行审计和控制的系统。
它解决了作为管理者无法有效对内部人员网络行为进行监管的问题。
该系统设计依据了国家当前出台的相关法律法规,即保证了用户的隐私,也实现了对用户主机行为监管的目的。
主机行为审计系统提供了完整的一套解决方案对内网中的计算机用户进行全方位的行为审计和管控,让管理员能在第一时间采集到所需要的信息,并对内网计算机用户的违规行为进行控制和管理。
规范了以下几方面的行为:
URL审计和控制、Email审计和控制、IM即时通讯审计、用户打印审计和控制、本地文件操作审计等方面。
通过对内网中用户所访问的URL进行记录,生成本单位的URL知识库资源,管理者对URL库中的URL地址进行分级与分类,并以模板的形式分发给终端用户,结合灵活的配置选项,对内网中的URL资源进行管理。
对邮件收取进行详尽的配置,非信任邮箱不允许使用。
1)对上网访问URL行为审计和控制:
可配置自定义的URL黑白名单
2)剪切板中复制内容的审计
3)对访问FTP行为审计和控制:
可自定义审计和控制的文件类型
4)用户收取Email行为审计和控制:
可自定义邮箱
5)打印文件行为审计和控制:
可自定义文件后缀名进行审计和控制
6)访问共享文件审计及控制
7)使用及时通讯工具审计
(四)主机行为审计系统的特点
1)用户行为审计策略化
2)用户行为控制定制化
3)管理灵活化:
管理者可以对不同的人进行不同的行为管理
4)用户行为日志及时上报,客户端报警
四、移动存储介质管理
(一)使用移动存储介质所引发的问题
移动存储介质,特别是U盘,因其携带方便,存储量大、价钱便宜等优点,作为数据交换的主要手段之一,已得到广泛的应用。
但是随着移动存储介质的广泛使用,也暴露出来了很多的问题,例如,单位内部机密信息的泄露,可能由移动存储介质使用不当造成的。
因此急需一套有效的移动存储介质管理系统来解决下述存在的问题:
1)涉密网(需要保密的网络)中的计算机使用普通移动存储介质
2)安全移动存储介质在普通计算机上使用
3)移动存储介质文件交换审计:
包括普通和安全移动存储介质
4)对非本单位移动存储介质的控制
5)移动存储介质丢失后导致信息泄露
6)移动介质的使用信息无法追踪审计的问题
7)移动存储介质接入区域限制和控制问题
8)移动存储介质中携带病毒、木马等,并通过其传播,造成数据丢失的问题
移动存储介质管理提供给用户一套完整的对移动存储介质的管理方案,用来解决由于移动存储介质的滥用和丢失以及移动存储介质携带病毒、木马所造成的机构内部数据泄露的问题。
管理系统从移动存储介质的接入抓起,会自动对要接入的移动介质进行区分,可对不属于其内部的移动存储介质进行读写控制,而对属于该企业的移动介质进行相应的管理。
除此之外详细的日志上报机制,可以保证移动介质的所有使用记录得到及时的上报,方便管理员的使用。
通过移动存储介质管理系统,可以将最普通的移动存储介质转变给成可自动加密的安全移动存储介质,且强认证、多手段的管理方式,即可以保证移动存储介质转移信息的安全,又可以让企事业在安全移动存储介质费用上省下不少开支。
1)按照设备、IP范围、组织结构等方式对移动存储介质进行接入管理
2)移动存储介质数据读写控制
3)移动存储介质标签认证管理
4)移动存储介质分区管理
5)文件存储透明加密,防止信息外泄
6)移动存储介质使用变更管理
7)移动存储介质数据读写审计:
文件的创建、复制、删除、修改和重命名等操作
8)移动存储介质使用审计:
对移动介质的挂载、注销进行记录
9)数据交换中间机,严格对内网中数据交换进行管理(内网信息交换须经过中间机进行,可对中间机进行严格的审计策略)
10)针对外来普通移动介质进行管理,对外来普通介质的使用进行控制
(四)移动存储介质管理系统的特点
1)灵活性的配置,便捷的安全移动存储制作流程
2)可进行“机盘绑定”,实现单位内部“专盘专机专用”
3)透明加密技术防止意外情况导致的数据泄密
4)对移动存储介质的访问进行严格控制,防止病毒对移动存储介质的危害
5)完善的日志上报机制,不论移动存储介质在单位内网使用,还是在单位外部使用,都可以将对移动存储介质的操作记录进行记录
(五)移动介质管理流程
移动介质管理的流程,如下图所示:
(六)安全移动介质的种类
安全移动介质按照标签进行制作。
标签分为三个等级,可满足不同安全等级要求。
可分别制作不同部门的不同等级的标签,按照策略对标签进行管理。
(七)中间机的好处
通过在内网中设置中间机,可以将所有的外部信息的来源都限制在中间机上,这样一来就保证了流入流出的数据的安全性和保密性要求。
中间机机器会在内网和外网信息的交换中起到很大的作用。
五、补丁管理功能
(一)系统补丁升级会遇到的问题
在电脑技术高速发展的今天,病毒和木马频繁爆发,操作系统的安全问题时刻困扰着每一位电脑终端用户,安装补丁已经成为计算机用户的“家常便饭”。
而对于各个单位、公司、政府等机构的管理员而言,在补丁安装的时候普遍都会遇到以下几个问题:
1)计算机是否能够统一及时的安装系统补丁,特别针对普通电脑用户和电脑知识水平不太高的用户的计算机如何能够及时正确的安装上系统补丁
2)如何确认计算机所应该安装的补丁
3)安装补丁后系统或应用程序不兼容而导致系统瘫痪
4)网络维护人员对计算机安装补丁,此工作量大时长且容易出错
5)网络物理隔离的用户必须通过其它方式将补丁从外网拷入,增加了信息泄露和病毒传入的可能,且在安装的时候要根据不同系统核对相应补丁版本
6)计算机通过都通过外网下载补丁造成网络资源消耗过大
补丁管理系统提供了Windows全系列的安全补丁,特别针对于没有外网环境的企事业单位做了升级优化。
减少了终端用户使用Windows自带的Update功能占用带宽的问题,同时对Windows补丁进行过滤,对不利于企业使用的补丁进行剔除。
除此之外,提供了对终端补丁安装情况的补丁统计和安全分析,以图表的形式直接展现了当前内网中终端补丁的安全情况,方便管理员对终端进行维护,做到及时发现问题及时解决问题。
1)通过互联网自动获取最新补丁
2)补丁库增量更新,补丁文件增量导入
3)终端计算机所需补丁自动探测和自动安装
4)指定特殊补丁进行专门探测和安装:
针对于特殊的补丁,可以配置区别于其它补丁的执行策略
5)灵活的对象分配方式:
可按照计算机分配、IP范围分配、组织结构分配等。
6)计算机补丁安装情况汇总统计
7)动态评估全网终端安全指数:
通过对整体终端补丁安装情况的统计,确定当前内网终端的安全级别
补丁管理系统设计理念
补丁探测逻辑实现流程图
(四)补丁管理系统的特点
1)支持基于策略和目标的补丁分发:
可以将补丁只发给指定的用户群
2)补丁可用性测试减少了对系统中应用程序的影响。
一些不稳定的补丁程序会在大范围安装前进行测试,好做到及时屏蔽
3)自动智能检测、下载和安装补丁
4)提供补丁导入功能,给没有外网环境的企事业单位提供可靠的系统升级方式
5)提供了终端补丁更新状态的详细报表,并对内网中的计算机的补丁安装情况进行详细统计和分析
六、资产管理功能
目前政府机关、教育、军队、公安、保密部门、科研机构、金融及证券和企事业等单位中的网络已有了一定的规模,网络中存在着大量的计算机,如何进行终端设备的资产管理,是管理者首先面临的问题。
管理者希望准确了解所有终端设备的硬件配置以及软件信息,及时掌握资产的变化。
当管理者需要统一升级和部署操作系统或应用系统时,希望能够提供资产状况报告,为升级和部署费用提供科学的依据,如哪些设备需要增加硬盘,哪些设备需要增加内存,哪些不需要变化,哪些需要淘汰等等。
本套资产管理系统提供了一套对企业资产采购、入库、维修、报废等资产全生命周期的管理。
管理员可以通过灵活的配置对资产管理系统中所涉及到的库管员、采购员、维修员等角色进行配置。
除此之外,对软资产(如IP资源)进行统计整理分析,使得管理员对这些无形资产同样做到心中有数。
1)实时监视资产分布及使用:
对用户终端、服务器、交换机、路由器等各类在网设备的硬件资产(CPU、内存、硬盘、外设等)、软件资产以及IP地址等虚拟资产的分布和使用情况进行动态监视和综合分析
2)支持差异化的管理策略:
根据管理需要,可按组织机构、管理层级、设备类型、所处位置、地址段落等维度对IT资产进行分组,区分制定和实施差异化管理策略
3)全生命周期跟踪管理:
通过“前台”IT设备中资产、资源的在线监视与“后台”库存、维修、调拨、报废等维修环节的有效衔接,实现资产的全生命周期跟踪管理
4)组合分析与决策支持:
提供强大灵活的统计分析工具,对IT设备的资产配置、所处位置、使用状态等信息进行组合展示,进而实现全网资产多维度综合分析
(四)资产管理系统的特点
1)对计算机的系统信息的自动收集,包括硬件信息、软件信息、操作系统等。
2)资产变更识别和报警
3)资产信息的多种方式的查询和导出,便于审计核查
4)对多种设备
升级会员 