电信终端安全保障解决方案建议书Word文档格式.docx
《电信终端安全保障解决方案建议书Word文档格式.docx》由会员分享,可在线阅读,更多相关《电信终端安全保障解决方案建议书Word文档格式.docx(40页珍藏版)》请在冰豆网上搜索。
5.6安全检查及加固19
5.7外联安全21
5.8外设安全23
5.9网络安全24
5.10系统功能模块-首页26
5.11系统功能模块-注册管理27
5.12系统功能模块-报警事件29
5.13系统功能模块-查询统计30
5.14系统功能模块-策略中心32
5.15系统功能模块-任务中心36
5.16系统功能模块-系统设置37
一、概述
根据最近客户经常反应业务系统运行很缓慢,业务部门反应网络速度时断时续,以及奥运后我国重要国家部门、重大基础设施的信息安全保障形势将日趋严峻的现状,信息产业部强调,把通信业信息科技风险纳入总体风险监管框架,切实加强制度建设和风险监控,确保运营商业务信息系统安全稳定运行,提供优质业务运维服务。
目前省公司下面营业网点分布广,终端设备数量多。
每个营业厅下属计算机都在100台左右,终端设备数量估计达到5000台左右,分布在长沙市区、各街道、乡镇、营业所机构内,遍布长沙各个角落。
虽然省公司在内网终端安全方面做了很多工作,部署了防火墙、安全VLAN的划分、病毒防护系统,但是经常有各营业所反应网络堵塞,业务系统很慢,不能从根源上解决相关的问题。
二、目前存在的信息安全隐患
1.营业厅的终端设备如果出现流量异常了怎么办?
营业厅的电脑由于经常变换使用人员,很有可能被中毒或者中了木马,导致终端流量出现异常,并且没有办法判断与控制,能够集中平台报警吗?
2.营业厅终端出现ARP欺骗现象,怎么快速定位并且隔离?
出现ARP病毒最头疼了,因为一台机器发生ARP欺骗很可能会影响一片终端。
怎么快速定位ARP病毒并且将带有ARP攻击的机器隔离呢?
3.怎么限制营业厅机器不能擅自安装或者运行不允许的程序呢?
普通营业员经常自己安装像连连看、俄罗斯方块等等小游戏程序,由于这些从外面带进来的程序没有被审查,授权,很容易是带病毒的程序。
十分容易带来安全隐患,并且影响电信公司的整体形象。
4.一些营业厅机器不能使用U盘,如何保证呢?
从安全或者保密角度考虑,一些营业厅机器不能使用U盘,但还是经常看到员工用U盘拷贝歌曲、游戏等等现象,如何保证U盘的安全使用?
5.怎么知道内部机器是安全的呢?
如何保证内部PC机的操作系统没有漏洞,补丁全部打齐呢?
如何保证所有的机器杀毒软件版本及病毒库都更新到最新呢?
如何来保证终端用户的账号密码是具有一定强度的呢?
6.内部人员把机器带进带出内网了怎么办?
如果工作人员把电脑带回家或者出差连接了互联网,进行了违规的外联操作,那么再次接回到我局办公信息网,很容易把木马、病毒带入。
怎么来检查并且杜绝这种行为发生呢?
7.如何及时了解机器状态呢?
,如何才能知道所有内网PC或者外网PC的分布情况以及目前状态呢?
现在全局有这么多的机器,怎么样才能知道是否有机器既连了内网又连了外网的呢?
8.内网机器存在很多漏洞补丁,需要修复怎么办?
如何保证接入内网中的终端是处于健康状态的呢?
同时如果存在安全隐患的终端又有什么样的机制或者平台来为他们修复安全隐患做保障呢?
甚至强制让内网机器修复其安全隐患!
9.如何将异常状态的终端快速隔离?
如何快速有效的定位网络中病毒、黑客的引入点,快速、安全的切断安全事件发生点和相关网络?
10.如何解决在内外网数据交换的安全?
一些员工因为工作需要从外网向网传输资料,怎么保证在不影响工作的前提下可控可管?
三、我们建议的解决方案
通过内网终端安全防护管理解决方案,可以帮助电信公司建立全公司营业厅计算机终端集中管理和监督平台:
1.保障内网边界安全,确保生产网不被外网非法控制
通过对内网终端的安全状况实时评估和集中管理,将全公司生产内网建成真正的可集中管理的网络系统;
达到“分级部署、集中管理、实时掌控、保障边界”的效果;
2.解决客户端使用资源异常,保障日常运维管理
由于客户端经常出现CPU占用过高,内存高位使用,硬盘使用不合理,这些都会造成客户端操作很缓慢,所以需要提供出现超过警戒线的情况时,提供日常报警,保障日常业务运维管理。
办公生产网内的用户不允许连接互联网,但是移动设备(笔记本电脑等)和新增设备未经过安全过滤和检查,违规接入内部网络;
以及内部网络用户通过调制解调器、双网卡、无线网卡等网络设备进行在线违规拨号上网、违规离线上网等行为可能会有发生,这些都使得网络边界安全技术无法发挥自身的力量对边界进行保护;
因此作为一个安全的网络系统,必须杜绝这种现象的产生。
除了相应的管理制度以外,(边界完整性检查类产品)违规外联正是其技术保障,它可以发现本应该被隔离的内部主机建立其他的网络通道的情况,以技术手段保障办公生产网网络隔离度的有效性。
4.解决移动存储设备监控使用问题
通过外设安全管理可以对终端的外设进行统一控制,是否启用完全可以由管理员根据管理需要定义。
同时对移动存储介质写入保护标签的方法,首先对存在于U盘、移动硬盘等设备内的涉密信息进行保护。
然后通过策略,分配可以识别此标签的终端的权限,分配对象可以是一台计算机,也可以是一个区域、一个部门或自定义的计算机组。
可以做到只有经过授权的移动存储设备方可在管理网内使用。
5.解决网络安全的根本问题
提供从漏洞补丁自动分发、客户端网络流量监控、客户端点对点控制密码监控以及进程、端口、访问区域、流量异常、注册表、安装软件的监控管理,全方位的监控客户端使用的各个环节,最大程度上保证客户端系统的健壮性,保证网络客户端的安全,从而保证整个内网的安全;
6.解决终端行为可控的问题
通过程序管理策略,可以定义各个时间段员工只能运行规定的程序或者不能运行指定的程序,还可以规定桌面属性统一设置,定义统一的IE首页等等,从而净化办公环境,提高工作效率,维护公众形象;
7.采用远程维护可以降低较大管理成本
将很多需要手工处理的工作自动化,使管理人员在本地接管并解决远程终端的维护问题,大幅度降低管理成本,提高维护效率;
并且所有的远程维护操作都有记录,既方便管理又有日志审计。
8.解决终端各种行为操作审计问题
通过对文档的操作、网络协议的行为、终端运行的可疑进程、添加删除软件、系统安全事件日志等等员工操作行为,可以让您随时了解终端用户的行为操作情况,让管理者从多个角度来了解网络内每台计算机的全面的日志信息,为故障排除和网络管理提供有力支持,一旦发生事故也可以有记录可全面审查。
四、解决方案说明
4.1全网终端安全统一管理总体思路
终端安全管理平台系统对所有终端进行安全管理的总体思路是:
第一,通过融合的准入控制技术,确保接入网络的电脑终端符合如下要求:
1)必须安装LcAgent,如果是未安装Agent的电脑终端接入网络,其打开WEB浏览器访问任何Web网站时,将被重定向到管理员指定的一个页面,提醒其安装LcAgent。
不安装LcAgent的电脑将无法访问内部网络(特殊电脑和访客电脑可以例外);
2)必须符合网络接入安全管理规定,例如:
拥有合法的访问帐号、安装了指定的防病毒软件、安装了指定的操作系统补丁等。
如果不符合管理规定,将拒绝其接入,或者通过网络对该电脑进行自动隔离,并且指引其进行安全修复。
第二,对安装了LcAgent的电脑终端,进行进一步的管理控制,包括:
1)安全检查、评估、加固,非法操作的管理、限制;
2)U盘使用的可信授权管理,防止文件非法外传,终端行为安全审计等等;
3)终端的集中式管理,例如,资产管理、软件分发、远程维护控制、补丁管理、应用程序安全管理、非法外联管理。
第三,要防止电脑终端私自、非法卸载LcAgent或者停止LcAgent的运行,确保管理策略的执行。
1)LcAgent自带反卸载、反非法中止、非法删除功能;
2)如果电脑终端私自卸载LcAgent(如重新安装操作系统)或者中止Agent的运行,全网统一管理平台可以及时发现这种行为。
可以依据有关安全管理规范对其进行警告或者处罚,防范这种行为的再次发生。
甚至在下面私自接入的NAT网络也可以支持管理。
4.2解决方案系统架构
某省电信公司的网络属于大型网络环境复杂,而且终端数多,分布在全省各地市,考虑普通PC的维护管理由各地市自主负责,以及对网络负载的有效利用,我们建议采用“分布级联式部署,统一集中式管理”的全网终端安全统一管理解决方案。
严格做到管理由省中心统一,维护由各地市自主完成,报警信息统一上报到省中心,系统的网络拓扑结构图如下:
图2:
分布级联部署拓扑图
平台需要在省中心部署一台全网终端安全统一管理中心服务器,下面各地市分别部署一台中心服务器,通过级联服务器到省中心服务器,管理员的权限也统一由省中心分配管理。
由于系统管理采用B/S构架,管理员可在网络中的任何客户端端通过登录内网管理服务器的管理页面进行管理和各种信息查询;
所有网络中终端需要安装客户端程序以对其进行监控和管理;
系统同时需要部署一台补丁下载服务器(和互联网相连,可独立部署),用来更新补丁信息(此服务器也可用来下载病毒库升级文件),下面各地市可直接连接到此补丁下载服务器,不需要独立连接互联网。
平台通过中心管理服务器对全网进行客户端的各种策略和配置、补丁以及文件的下发、流量监控、违规联网监控、入网设备联网状况监控、终端软硬件管理、应用程序安全、U盘使用信息监控、禁止安装不允许的软件、只能运行允许的程序等工作,并对客户端进行各种行为和状态的审计与监控。
网络终端上的客户端程序可将各种网络终端的状态信息、日志信息和报警信息上报,可通过管理节点对异常计算机进行断网等处理,也可通过系统远程对客户端进行故障诊断和维护。
平台可以进行无限制的多级级联部署,各级网络独立安装相应的管理软件。
下级管理节点统一汇总本级的报警信息和统计信息,统一上报管理节点;
上级管理节点的管理策略、命令、各种补丁或病毒库升级文件统一下发下级管理节点。
平台将来可根据实际需要在客户端数量、管理层次和功能扩展上进行无缝平滑扩展。
五、功能模块说明
5.1资产安全
资产安全模块展现了全网计算机的资产情况,【计算机设备】包含了全网的计算机,并详细的记录了各个计算机的软硬件资产、软硬件资产变动、软硬件资产清单的对比(初始|当前)以及维护记录。
【硬件资产】、【软件资产】对全网的软硬件进行了统一集中管理,【资产变动】对全网软硬件的变动情况进行了跟踪记录,【资产策略】方便您定制有针对性的策略对全网资产进行监控。
(资产安全实例图)
资产安全功能清单
模块
功能
说明
资产视图
计算机设备
查看全网计算机设备信息,包括计设备名称、设备状态、使用者、设备IP地址、通讯MAC地址、所属部门、操作系统信息、软件信息等多种信息,用户可手动编辑设备信息。
提供按部门、区域、IP地址等多种条件快速查询或用户自定义条件查询。
硬件资产
查看全网硬件资产信息,包括硬件类型、厂商、硬件名称、硬件个数,可按区域或部门查询或用户自定义条件查询。
软件资产
查看全网软件资产信息,包括软件名称、厂商、软件类型、版本以及软件许可信息。
提供软件归类管理、修改许可和涉及进程管理。
用户可按部门、区域、软件类别和许可状态查询或用户自定义条件查询。
资产变动
查看全网软硬件资产变动信息,包括资产类型、资产名称、设备名称、ip地址、变动类型、变动时间。
用户可按部门、区域、硬件类型、软件类型查询或自定义条件查询。
资产维护
资产维护记录
添加或查询资产维护记录,记录信息包括设备名称、所属区域、所属部门、故障类别、修复日期、修复结果等。
用户可按部门和区域查询或自定义条件查询。
待处理资产维护记录
添加或查询待处理资产维护记录,记录信息包括设备名称、所属区域、所属部门、故障类别、修复日期、修复结果等。
资产状态变更
添加或查询资产状态变更记录,记录信息包括设备名称、所属区域、所属部门、故障类别、修复日期、修复结果等。
资产策略
硬件变动报警策略
创建策略,对终端硬件变动进行监控,硬件的类型包括CPU、内存、硬盘、声卡、显卡、键盘、鼠标等所有常见的硬件。
软件变动报警策略
创建策略,对终端软件变动进行监控,可按软件类型、软件名称、进程名称导入策略对象列表。
软件安装监控策略
创建策略,对终端软件安装进行监控,可按软件类型、软件名称、进程名称导入策略对象列表。
控制状态包括必须安装和禁止安装,对违规的操作处理包括提示用户、产生报警、断开网络和立即安装。
资产报表
本地设备注册信息统计
图表显示本地设备注册信息统计,包括设备总数、已注册计算机、未注册计算机、开机计算机、关机计算机、已转杀毒软件计算机。
操作系统报表统计
图表显示操作系统报表,并提供统计百分比数据。
资产维护记录报表统计
图表显示资产维护记录报表,并提供统计百分比数据。
CPU报表统计
图表显示CPU统计报表,支持按型号、厂商和频率统计。
内存报表统计
图表显示内存统计报表,并提供统计百分比数据。
硬盘报表统计
图表显示硬盘统计报表,并提供统计百分比数据。
硬件资产类型报表统计
显示硬件资产类型统计报表。
软件厂商报表统计
显示软件厂商统计报表。
软件资产报表统计
显示软件资产统计报表
软件许可证报表统计
显示软件许可证统计报表,并根据统计信息判断是否过期。
5.2客户端运维管理
硬件运行资源管理功能:
检测终端设备的CPU、硬盘(含每个硬盘分区)、内存等的资源占用情况,可自主设定阈值,以确定终端系统资源占用是否达到上限,是否应该升级;
并且会结合重要进程异常监控以及异常流量监控等来统一监视客户端运维信息。
像重要进程异常报警和自动恢复:
对未响应进程和意外退出进程进行(如退出、退出并重起等)处理;
以及异常流量监控:
基于主机方式对网络中客户端流量、分支网络带宽流量进行分析,防止非法入侵、滥用网络资源。
当流量(含出、入或总流量)超过一定限度并持续一定时间后,进行有关信息上报,以便网管了解客户端流量异常,从而快速分析是否是网络安全事故。
5.3补丁安全
补丁安全模块展现了全网计算机的补丁安装情况,【补丁列表】展现了微软提供的所有补丁,各个补丁均有详细介绍以及该补丁在网内的安装情况。
【计算机列表】展现了所有计算机的补丁安装情况,系包含补丁安装历史,【选项设置】为您定制所需下载的补丁以及补丁的下载通道,【补丁策略】方便您定制有针对性的策略对全网计算机进行补丁部署。
(补丁安全实例图)
补丁安全功能清单
补丁视图
补丁列表
图表显示所有补丁,并提供每个补丁的安装情况。
关键更新程序补丁列表
图表显示关键更新程序补丁,并提供每个补丁的安装情况。
微软最新发布补丁
图表显示微软最新发布补丁,并提供每个补丁的安装情况。
计算机列表
展示所有计算机补丁安装总体情况,并提供每台计算机补丁安装详细情况。
有补丁未装的计算机
展示所有有补丁未装的计算机列表,并提供每台计算机补丁安装详细情况。
选项设置
更新源设置
设置补丁服务器的更新源,支持从MicrosoftUpdate进行同步、从指定路径同步、从WSUS服务器同步。
产品和分类设置
可根据软件产品和补丁分类选择需要更新的补丁类型。
同步计划
支持手动同步和自动同步。
补丁策略
补丁审核策略
创建补丁审核策略,只有经过策略审核的补丁,才会自动安装到客户端。
补丁安装策略
创建策略,作为补丁安装执行策,定义补丁检测扫描方式、安装时间和安装方式,系统提供默认补丁安装策略略。
补丁报警策略
创建策略,对没有安装指定补丁的客户端提供报警。
补丁任务
补丁安装
创建任务,以任务的形式对客户端手动推送补丁。
补丁安装日志
提供补丁安装日志信息,需要审计员权限。
补丁报表
计算机补丁安装情况报表
展示每台计算机的补丁安装情况,包括已装数、未装数和具体未装的补丁列表。
各个补丁安装情况报表
展示每个补丁的安装情况报表,包括已装台数、未装台数和具体未装计算机列表。
补丁下载服务器
对于物理隔离的内部网络,其补丁升级服务器中的补丁数据必须从外部获得,因此,要求在Internet上进行补丁下载,巨大的补丁库使得每次补丁导入工作非常烦琐。
针对此类物理隔离的内网,使用增量式补丁分离技术,在外网补丁下载服务器分离出内网已安装、未安装补丁,分类导入系统补丁,即仅对内网的补丁进行“增量式”的升级,以提高效率。
通过增量补丁分离器,在每次导入导出补丁时,可减少拷贝工作量。
5.4应用安全
应用安全模块提供了全网内应用运行和准许的安全保证,通过应用安全模块你可用实时的了解全网内可疑和异常的应用,了解目前全网内应用的风险,并通过您的控制来降低应用的风险。
另外您还可以通过该模块来对您全网内的一些重要应用进行跟踪了解这些应用的实际运行情况。
(应用安全实例图)
应用安全功能清单
进程监控
运行进程总揽
显示全网运行进程总揽,包括所属软件、首次运行机器及时间、末次运行机器及时间、运行总次数。
可疑进程监控
显示全网可疑进程信息,包括进程名和可疑原因,可设置可疑条件来判断进程是否可疑,可疑条件包括进程名称长度、进程包含的特殊字符、进程频繁运行次数等。
重点进程跟踪
显示根据“重点进程跟踪策略”指定的进程运行情况。
计算机重点进程概括
显示在每台计算机上,根据“重点进程跟踪策略”指定的进程运行情况。
应用策略
黑白应用策略
创建策略,定义全网哪些程序能够运行,哪些程序不能运行。
独特的MD5检验技术可保证程序进程的唯一性。
重点进程跟踪策略
创建策略,定义重点进程,跟踪进程的运行情况。
异常进程监控策略
创建策略,监控异常进程,异常进程的定义选项包括:
CPU使用率、内存占用、I/O读写字节数、建立TCP连接个数、UDP监听端口数目等。
重要应用保护策略
创建策略,保护定义的重要应用程序,当程序被关闭时可产生报警或断网处理。
应用任务分发
软件分发任务
创建软件分发任务。
软件分发日志
提供软件分发日志,需要审计员权限。
应用报表
新增可疑进程统计
图表显示全网一定时间内的新增可疑进程统计报表。
新增进程概括统计
图表显示全网一定时间内的全部新增进程统计报表。
5.5远程维护
远程维护模块展示了远程设备的当前运行情况,并提供了【远程协助】方便您对全网设备进行管理控制,【远程协助】的功能将大大提高全网内设备维护效率。
(远程维护实例图)
远程维护功能清单
终端控制
基本信息
提供终端基本信息,包括软硬件信息、使用者、物理位置、配置信息等。
进程管理
展示终端所有进程详细信息,并进行管理,可远程结束进程。
服务管理
展示终端所有服务详细信息,并进行管理,可远程启动或停止服务。
共享管理
展示终端所有共享,可远程关闭共享。
端口管理
展示终端所有开启端口的详细信息,并进行管理。
网络连接
显示终端网络连接信息,可进行修改配置。
系统用户
显示终端的所有用户信息,并进行管理。
事件日志
显示终端的所有日志信息,包括应用程序日志、安全日志和系统日志,为管理员提供远程诊断的依据。
自启动项
显示终端的开机自启动项,可远程启用或禁用某项。
其它
发送消息
向终端发送屏幕消息。
运行程序
在远程终端上启动某个程序。
终端操作
对远程终端进行操作动作执行,包括锁定、解锁、注销、关闭、重启。
远程协助
查看远程终端桌面或控制远程终端桌面,查看需要第三方审计员批准,控制需要终端用户确认。
软件安装信息
显示远程终端的所有软件安装信息,可远程卸载软件。
5.6安全检查及加固
安全检查及加固提供了对网内设备的安全状况量化的描述,通过量化的数据可以了解到网内设备的危险情况,便于对危险设备进行跟踪和关注,同时可以对危险的设备进行各种强制的安全策略控制,确保终端的安全,降低终端的风险。
(安全检查及加固实例图)
安全检查及加固功能清单
安全评估
评估任务一览
创建任务,对终端进行安全性评估打分,评估项参数包括:
账号密码安全、屏幕保护安全、杀毒软件安全、文件共享安全、分区类型及空间、指定服务安全、指定进程安全,用户可对每个评估项只有设定权重。
评估结果一览
针对评估任务提供每台机器的评估结果,包括评估任务的完成率。
评估任务日志
显示评估任务日志,需要审计员权限。
安全检查及加固策略
用户密码策略
创建策略,对终端密码安全性进行检查,检查条件包括密码长度,使用期限等。
注册表设置策略
创建策略,对终端注册表项进行安全检查,检查信息包括项路径、键名、键类型、键值等。
杀毒软件设置策略
创建策略,对终端杀毒软件运行情况进行检查,包括杀毒软件是否安装,是否运行,一定时间内是否更新等,支持目前市面上所有主流杀毒软件。
WSUS更新设置策略
创建策略,强制终端WSUS更新策略,自动更新选项包括:
关闭自动更新、自动(建议)、下载更新,但是由我决定什么时候安装、有可用下载时通知我,但是不要自动下载或安装更新。
文件共享策略
创建策略,强制删除终端不符合要求的共享,包括删除默认共享、删除所有共享(不包括默认共享)、删除可写的共享、删除指定名字的共享、删除指定路径下的共享、删除包含指定文件的共享目录。
桌面属性设置策略
创建策略,禁止终端的一些桌面属性设置,包括设备管理器、磁盘管理器、本地用户与组、服务管理器、磁盘碎片整理、事件查看器、注册表编辑器、命令提示符、任务管理器、桌面属性设置、光盘自动运行、控制面板、快速用户切换、添加
升级会员 