终端安全解决方案Word文档格式.docx
《终端安全解决方案Word文档格式.docx》由会员分享,可在线阅读,更多相关《终端安全解决方案Word文档格式.docx(21页珍藏版)》请在冰豆网上搜索。
大部分单位都有管理制度来规范网络资源的使用,详细规定了某人或某机器在什么时间、什么地点做什么类型的事情。
也就是说,区分了授权和非授权操作。
但事实上实际情况往往不是这么简单。
众多内网用户,会探测、尝试进入非授权的领域。
例如某公司规定程序员在上班期间不许上网,但员工却能想出了很多办法,实现在上班期间也能上网;
还比如,某员工无权访问单位的业务数据库,他通过攻击、欺骗等等手段,获得了访问数据库的机会;
至于网络资源滥用的实例就不胜枚举了:
有权上网的员工,没有利用互联网去开展业务,而是在下载电影、玩游戏等等,非工作需要拷贝、修改公司的关键数据等等。
大部分单位都想通过相应的制度来控制这些情况,然而实际效果却并不理想。
非授权使用或授权滥用依旧是我们最头疼的。
2.2因安全管理不善,引发的IT资源不可用或者资源损失
这里的管理不善,主要是指没有一套科学的内部网络资源使用管理制度,或者制度执行不力。
比如,我们规定在某一些工作计算机上,不能安装运行某些软件,可是还是有人安装了;
对内部网络的IP/MAC地址,做了统一的部署,可是还是有人任意的修改;
任意的将非本网络的设备接入内部网络;
任意添加或删除各种硬件设备、修改网络属性等等,这些行为都应该得到彻底的规范。
财政局网络信息网络中计算机数量众多,型号多样,各种计算机造成配置的多样性,对统一管理造成很大负担。
靠手工方式无法对上万台计算机进行有效管理。
疏于管理可能造成:
用户自行修改硬件配置,包括更改CPU、内存、安装XX的硬件设备等;
用户自行修改软件配置,包括操作系统、应用系统、私自安装软件等;
用户自行修改网络配置,包括修改IP地址、掩码等
这些XX的改动轻则造成系统效率降低、挤占正常应用,严重的会造成教育应用系统的正常运行,更为甚者,修改IP地址可能对网内其他计算机造成威胁。
由此,分析出以下需求:
收集终端计算机资产信息,包括CPU、内存、网卡等硬件信息,以及操作系统、补丁版本、安装程序等软件信息
监控终端计算机资产变更情况,一旦与系统设置的基线不相符,即向网络管理员报警,并通过桌面管理系统其他模块对非法计算机进行网络阻断,阻止其接入网络,以免对网内其他计算机造成危害
监控包括IP地址在内网络设置,保证终端计算机的IP地址等网络配置符合既定的安全策略。
一旦用户自行修改立即阻止,将IP地址等网络配置恢复为原有配置,并及时向网络管理员报警。
2.3非法接入带来的网络安全威胁
财政局网络计算机众多,很多计算机没有及时及时安装系统关键补丁、防病毒系统等关键安全保障系统,存在极大安全隐患,更有一些用户私自进行一些非法的操作或设置,使计算机处于非常危险的状态,对这些计算机,应有一套自动的机制,在其准备接入网络的时候进行阻断,防止其接入网络、对网络内其他计算机造成损害。
阻断管理还可以帮助管理员对病毒暴发等事件的处理提供帮助,可以快速定位事故源头,及时解决问题。
完善的接入管理,可以对笔记本电脑这类移动办公用户进行很好的控制,防止笔记本电脑在不同网络环境中的使用,防止将外网等低安全区域内的危害带到内网。
2.4移动介质和外设端口的管理
财政局网络情况复杂,用户情况参差不齐,U盘等移动介质可以在不同计算机之间进行数据传递,而同时会将病毒、木马等安全隐患带入网络中,并可能造成数据失密等安全性缺失。
因此,需要对U盘等移动介质进行管理,使其按照既定的安全策略进行访问,从而避免通过U盘等移动介质进行非法操作。
另外,光驱等外设和网络端口同样存在访问控制的需求,否则,对外设和端口的滥用可能导致系统失密甚至崩溃。
因此,同样需要对外设和端口进行访问控制,按既定安全策略进行访问,防止越权的不安全情况发生。
对网络端口的管理还可以对网络异常流量进行管理和控制,对一些异常的大网络流量的计算机,可以向管理中心报警,并根据安全策略通过阻断其接入网络的方法防止其对网络产生危害。
2.5终端行为控制与上网行为监控
互联网的快速发展极大地方便了人们对信息的访问需要,但同时互联网上存在有大量不良信息。
而且,滥用外网可能挤占网络带宽,降低内网正常应用对网络带宽的需要,极大影响教育网络的工作效率。
为此,有必要对财政局网络内用户的上网访问行为进行有效控制,对其访问外网的访问请示进行甄别,对正常的应用访问予以放行,而对不良信息的访问则予以拒绝,并进行记录。
这些记录可做安全审计的数据源。
另外,用户私自在计算机中运行一些与业务无关的程序,也会对正常应用造成挤占、降低效率,应该通过桌面安全管理系统对终端计算机运行的所的程序进行检测,并根据既定安全策略判断所运行的程序是正常程序还是非法程序,正常程序可予以放行,而拒绝非法程序的运行,从而最大程序保障业务系统的效率。
2.6客户机自身存在安全缺陷,导致网络内部安全隐患
财政局网络中大部分计算机采用微软操作系统。
随着微软漏洞的不断被发现,可能会引发蠕虫病毒等威胁,病毒和攻击者可能利用这些漏洞对计算机和网络造成攻击,严重者可获得网络内较高权限,造成系统的信息失窃、被破坏、可用性降低等危害,具有极大的威胁性。
漏洞的及时修补是提高系统安全性必须要保证的。
为此,需要在系统中建设一套有效的补丁分发机制:
发现终端计算机系统中未打补丁情况,及时上报管理中心,可形成统计报表供管理员整体管理
建立补丁自动更新机制,自动从包括微软在内的系统厂商获得补丁信息和补丁文件,在终端计算机需要进行补丁分发时及时提供下载安装
根据补丁分发管理的策略,自动安装系统中缺失的补丁,并根据补丁分发情况自动或手动重启计算机
向管理中心报告补丁分发过程和记录,并形成报表
为了有效保证补丁分发,系统还应考虑:
补丁安装失败后,应有回退机制,将指定的补丁卸载,使系统回复到未安装补丁时的状态,以保证系统正常运行
进行大规模补丁分发时,考虑到补丁分发的网络流量对系统的冲击,应采用有效的流量控制机制减少对网络的负荷
补丁分发应支持断点续传
3终端安全管理需求
本方案将财政局网络中存在的内网安全管理需求归结为六大类:
保护机密文档资料
详细记录文件操作(打开、修改、删除等),提供给网络管理员进行审计监控,必要时制定安全策略阻止用户对文件的访问
记录文件操作时的屏幕,提供给网络管理员进行审计监控
限制使用移动存储设备,防止通过移动存贮设备进行信息泄密
限制网络接口的使用
防止滥用局方电脑
限制与工作无关应用程序的使用
禁止对特定资源的访问
禁止浏览工作无关网站
客观评估员工工作态度
详细记录员工使用应用程序
详细记录员工浏览网页
员工使用电脑情况图表分析
方便的电脑资产管理
自动获取电脑硬件设备清单
自动获取电脑安装的应用程序
协助管理者管理员工
完善丰富的报表功能
自动生成、发送邮件报告
远程协助
定时记录电脑屏幕,直观察看员工的电脑操作记录,解决问题
导出重要屏幕画面到文件中
远程桌面连接,直接由管理员解决员工计算机上的问题
以上功能同时可提供客户机监控管理的功能
软件分发
维护客户机自身的安全性
自动对客户机上存在的安全漏洞进行检测,根据安全策略上报安全状态
4终端安全管理发展趋势
本方案以业界较为流行的终端(桌面)五步安全法(PTRRM)为代表,简述如下:
定义安全策略
终端五步安全法的第一步是制定安全策略,安全策略反映了一个组织管理层对信息安全的认识,是组织安全建设的最高纲领,是一切信息安全保障活动的基础和出发点,一个组织的安全策略可能包括很多层次,覆盖组织安全体系建设的方方面面,如标识与鉴别策略、访问控制策略等等,终端安全策略在其中占有重要的位置,是组织终端安全建设的基础,终端安全策略包括:
终端资产命名与统计策略、终端系统补丁管理策略、终端用户访问控制及行为监控策略、终端入侵防护策略、终端用户完整性检查策略、移动用户及第三方远程接入安全检查策略、终端用户安全状态强制认证及网络准入控制策略等等;
选择使用工具
有了安全策略后,如何有效的贯彻执行,而不使策略成为一纸空文,这就需要选择和使用适当的工具,作为信息策略的载体和强制执行的手段;
工具应该能够进行集中管理,从一个点集中管理全网所有终端用户,并采用强制的手段来贯彻执行安全策略。
生成访问控制策略并强制执行
有了安全策略和安全工具以后,还要根据安全策略的内容,生成具体的、符合特定终端用户群体实际安全保护和管理需要的访问控制策略,比如允许终端用户进行那些网络访问操作,限制对特定网络和主机的访问等等,然后通过安全工具载体下发到所有客户端并强制执行,确保策略是适合终端安全管理需要的并得到了完整的执行。
建立自动修复流程
由于终端环境的复杂性,总会有一些终端会出现问题,例如一台新入网的终端,可能因为疏于防范而被蠕虫感染或被黑客安装了后门,当这样的终端接入网络后会给网络带来安全风险,对这样的用户可以简单的拒之于门外,但也带来访问的不便利性,不符合互联网络设计的初衷;
更好的方式是根据组织的安全策略,对接入网络的终端进行完整性检查,也就是检查终端的安全配置和安全级别与本组织安全策略的符合性程度,是否存在差距,如果有,可以采用隔离或自动修复机制,比如首先强制终端打最新的补丁,强制终端将防病毒系统的特征库升级到最新版本,安装并运行特定的安全防护程序,以及检查帐户和口令配置,从而提高终端的安全级别并达到组织的安全策略要求,这样就保证安全策略在所有位置都得到了执行,不至于因为一台终端出现问题而扩散到整个网络。
监控策略符合性
安全是一个动态的持续的过程,而防护和策略则是静态的,为了保证对安全策略的遵守,需要对策略的执行情况进行持续的监控,对违反安全策略的行为进行阻断或报警,以及记录后台数据库进行保存以备安全审计之用,并及时通知系统管理人员。
5终端安全产品选型
5.1选型原则
本方案着重在以下功能中进行产品选型。
功能分类
功能点
功能详细描述
桌面安全管理
桌面保护
终端用户和权限查看
终端用户密码修改
终端禁止访问的外部端口配置
终端禁止被访问的内部端口配置
防病毒软件检测
桌面审计
终端用户变化审计
文件访问审计与管理
上网行为审计与管理
程序使用审计与管理
即时通讯程序(MSN,QQ)审计与管理
网络端口通信审计
网络共享审计与管理
终端用户屏幕抓取与审计
打印行为审计与管理
桌面管理
终端运行进程管理
终端软件和自启动组管理
桌面消息通知
远程锁定计算机
远程注销登录计算机的用户
远程重新启动计算机
远程关闭计算机
远程协助
远程控制
遵循CSC关联安全标准,通过防火墙/网闸/UTM联动阻止终端计算机的网络通信
禁止用户使用设备管理器
禁止用户打开网络属性
禁止快速用户切换
禁止打开IE属性
关闭系统默认共享和用户共享
主机运维
流量异常监控
进程异常监控
终端上线离线时间统计
外设和接口
管理
存储设备管理
禁用软驱
禁用光驱
禁用磁带机
禁用移动存储设备
设置移动存储设备只读
对移动存储设备进行认证
外设接口管理
禁用串口和并口
禁用SCSI接口
禁用蓝牙设备
禁用红外设备
禁用调制解调器
禁用USB接口
禁用1394接口
禁用PCMCIA插槽
在线/离线策略
对在线/离线状态配置不同的安全策略
安全准入管理
准入控制
在线主机检测
主机授权认证
对非法主机阻断网络连接
IP/MAC地址绑定
准入管理
设置信任主机
设置超级主机
遵循CSC关联安全标准,通过防火墙/网闸/UTM联动阻止非法主机的网络通信
外联监控
非法外联监控
非法拨号监控
连接非法主机监控
非法外联管理
禁止拨号网络
禁止连接非法主机
安全性
系统安全性
服务器与客户机进行认证,防止非授权使用
服务器与客户机之间采用加密通信
控制台支持分级、分组、分权限管理
对系统发送的报警邮件内容进行加密
对备份数据进行加密
数据安全性
提供自动备份功能
支持多种备份装置(如磁带机、CDRW、DVDRW、网络驱动器)
系统性能优化
数据库性能
采用高性能后台数据库
网络性能
支持高性能数据压缩和数据传输,降低数据大小及传输时间
采用快速客户机并发轮询技术
对客户机网络流量进行控制
管理配置
客户端程序功能
客户端程序兼容Windows系列操作系统
客户端程序卸载必须通过控制台
客户端程序具有反安装保护功能
客户端安装方式
单独安装
域安装
WEB安装
通过内部邮件发送客户端程序的下载链接
系统管理
终端计算机管理
用户及权限管理
安全策略配置
告警设置与管理
日志查询
报表统计
5.2系统功能介绍
5.2.1桌面安全管理
桌面安全管理主要完成对终端计算机的桌面行为监控、审计和管理。
系统可以对终端计算机上的文件访问、上网行为、程序使用、端口通信、网络共享、打印等行为进行审计和管理,还可以对终端计算机进行桌面消息通知、远程计算机操作、远程协助、远程控制、流量管理等管理操作。
桌面安全管理包括桌面安全及审计和桌面管理与运维两个部分。
5.2.1.1桌面安全及审计
桌面用户、权限和密码管理
系统可以查看终端计算机上所有的用户及其权限,并可以远程修改用户密码以增强其密码安全性。
终端计算机端口管理
系统为终端计算机提供了主机防火墙功能,可以统一设置终端计算机的本地/远程端口访问策略,屏蔽不必要的网络端口,提高终端计算机安全性。
防病毒软件管理
系统可以检测终端计算机上是否安装有防病毒软件,对于未安装防病毒软件的终端计算机可以进行访问限制,以确保其安全性。
终端用户变化审计
系统可以发现终端计算机上用户的变化情况(如添加/删除用户),记录日志并根据安全策略产生报警信息。
文件访问审计与管理
系统可以记录用户对终端计算机上各种文件和文件夹的访问和操作情况,并可以根据安全策略禁止对指定文件的操作。
上网行为审计与管理
系统可以记录终端计算机访问网站的情况,产生统计图表供管理员查看,并可以阻止终端计算机访问指定的网站。
程序使用审计与管理
系统可以记录终端计算机上各种程序的运行和操作情况,并可以根据安全策略禁止运行指定程序。
即时通讯程序审计与管理
系统可以记录终端计算机上MSN、QQ等即时通讯程序的运行情况,详细记录其会话内容,并可以根据安全策略禁止用户使用MSN和QQ程序。
网络端口通信审计
系统可以对终端计算机的网络端口与协议使用情况进行监测和审计。
网络共享审计与管理
系统可以记录终端计算机上所有的共享文件夹,并可以远程关闭共享文件夹。
终端用户屏幕审计
系统可以定时抓取终端计算机的屏幕信息,并按照时间顺序进行记录,供管理员查阅。
打印行为审计与管理
系统可以监测终端计算机的打印事件,记录日志并根据策略产生报警信息。
系统可以禁止终端计算机的打印操作。
5.2.1.2桌面管理及运维
进程运行管理
系统可以实时报告终端计算机上运行的进程,并可以远程关闭指定进程。
软件和启动组管理
系统可以记录终端计算机上安装的软件和随操作系统启动自动运行的软件,并可以远程管理自动运行软件。
桌面消息通知
系统可以根据管理员的设置,在指定的一台或者多台终端计算机上产生桌面消息通知,该消息会立即弹出在用户桌面上,对用户进行提醒。
远程计算机管理
系统可以远程对终端计算机执行锁定、注销、重启、关机等操作。
管理员可以向终端计算机发送一个远程协助请求,通过用户许可后,可以接管远程用户的桌面操作,帮助用户解决问题。
远程控制
管理员可以远程直接控制终端计算机,接管远程终端的桌面操作,进行桌面管理或者帮助用户解决问题。
网关设备联动
系统遵循CSC关联安全标准,可以同防火墙/网闸/UTM等网关设备联动。
当终端计算机发生违反安全策略的行为时,例如未安装防病毒软件,使用不被许可的程序,访问不合法网站等,系统可以和防火墙/网闸/UTM等进行联动,阻止终端计算机用户的网络访问。
系统设置管理
系统可以禁止终端计算机用户自行修改网络属性,IE属性等设置,防止用户的更改操作对计算机安全造成影响或引入安全风险。
网络连接与流量管理
系统可以监控终端计算机网络接口的连接状态和终端计算机的网络流量情况,对于在单位时间内超出流量阈值的终端计算机,系统可以自动对其采取网络阻断等限制措施,防止其过度占用网络带宽。
终端运行统计
系统可以记录终端计算机的运行状况,上线和离线时间等信息,以便对计算机的使用情况进行统计分析。
5.2.2存储、外设管理
外设与接口管理主要对终端计算机上各种外设和接口的使用进行管理。
系统可以禁用终端计算机的各种外设和接口,防止用户非法使用。
对于移动存储设备的禁用,可以在禁止使用通用移动存储设备的同时,允许使用经过认证的移动存储设备。
存储设备禁用
系统可以禁止终端计算机使用以下存储设备:
软驱、光驱(CD/DVD/HD-DVD/BlueRay)、磁带机、Flash存储设备(优盘及MP3播放器等)、移动硬盘(USB/1394接口)等。
设置移动存储设备只读
可以设置将终端计算机上的所有移动存储设备置于只读状态,不允许用户修改或写入。
移动存储设备认证
管理员可以通过系统对指定的移动存储设备进行认证,将认证信息存储在系统中,同时将认证信息下发到指定的终端计算机上,经过认证的移动存储设备可以在指定的终端计算机上进行使用。
外设和接口禁用
系统可以禁止终端计算机上使用以下外设和接口:
串口和并口、SCSI接口、蓝牙设备、红外设备、调制解调器、USB接口、1394接口、PCMCIA插槽等。
在线/离线策略管理
管理员可以分别设置在线和离线两种安全策略对终端计算机的外设和接口进行管理。
在线策略在客户端和服务器能够通信时生效,离线策略在客户端无法和服务器通信时生效。
通过对在线/离线两种状态设置不同的安全策略,系统可以对笔记本等移动办公设备提供更加灵活实用的管理。
5.2.3安全准入管理
在线主机监测
系统可以通过监听和主动探测等方式检测网络中所有在线的主机,并判别在线主机是否为经过系统授权认证的信任主机。
主机授权认证
系统可以通过在线主机是否安装客户端程序,并结合客户端报告的主机补丁安装情况,防病毒软件安装和运行情况等信息,进行网络授权认证,只允许通过授权认证的主机使用网络资源。
非法主机网络阻断
对于探测到的非法主机,系统可以主动阻止其访问任何网络资源,从而保证非法主机不对网络产生影响,无法对网络进行攻击或试图窃密。
IP和MAC绑定管理
系统可以将终端计算机的IP地址和MAC地址进行绑定,禁止用户修改自身的IP地址,并在用户试图更改IP地址时,产生相应的报警信息。
信任主机和超级主机管理
管理员可以根据内网用户的实际情况,指定信任主机和超级主机。
信任主机无需安装客户端,但被系统视作合作主机,并可以同内网中的合法主机通信。
超级主机也不需要安装客户端,并可以不受限制地同内网中的任意主机进行通信。
系统遵循CSC关联安全标准,可以同防火墙/网闸/UTM等网关设备联动,共同防止非法计算机接入到内部网络中。
对于非法接入的计算机,系统可以通知防火墙/网闸/UTM等阻断其网络访问行为。
5.2.4非法外联监控
非法外联监控主要用于发现和管理内网用户非法建立通路连接互联网或非授权网络的行为。
通过对非法外联的监控管理,可以防止用户非法访问互联网或非信任网络资源,并防止引入安全风险或导致信息泄密。
终端非法外联行为监控
系统可以发现终端计算机试图访问非授权网络资源的行为,如试图与未通过系统授权许可的终端计算机进行通信,试图通过电话、ADSL拨号等方式连接互联网等。
对于发现的非法外联行为,系统可以记录日志并产生报警信息。
终端非法外联行为阻止
系统可以禁止终端计算机与未通过系统授权许可的终端计算机进行通信,可以禁止终端计算机的拨号上网行为。
5.2.5补丁分发管理
补丁分发管理主要完成对终端计算机的系统补丁检测和补丁分发安装,增强终端计算机的健壮性。
管理员也可以自定义软件分发,完成用户应用系统的软件和补丁管理。
终端计算机漏洞自动分析
系统可以自动对终端计算机上存在的安全漏洞进行检测,将检测结果上报到服务器。
补丁分发
系统可以根据终端计算机上存在的安全漏洞分析出缺少的系统补丁,也可以由用户自己选择补丁,将补丁下发到终端计算机进行安装。
补丁分发方式可支持强制安装和通知
升级会员 