桌面安全需求解决方案Word格式文档下载.docx
《桌面安全需求解决方案Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《桌面安全需求解决方案Word格式文档下载.docx(42页珍藏版)》请在冰豆网上搜索。
1.2.4移动存储设备管理及安全审计管理问题
外来移动存储设备随意接入网络内终端同样可能会造成单位内部的涉密文件被窃取,引入病毒等严重后果。
对于具有防火墙、网关等硬件防范的网络,移动存储介质在网络内部造成病毒感染是病毒在内网传播的主要方式。
如何防止外来移动存储介质随意接入网内终端,如何保护终端的涉密信息,对涉密信息的访问、修改、复制、删除进行控制和审计,如何能够对涉密文件的打印、发邮件、网络共享进行控制,发现敏感字能及时过滤,并对以上所有行为进行审计记录是急需解决的问题。
1.2.5非法外联问题
对于企业单位来说,总有一些关系到企业发展的秘密是不愿意被外人知道的,因此保密工作便成为一项非常重要的工作。
内部人员非法连接外网会增大病毒渗入和黑客攻击的风险,更为严重的会导致内部资料的泄露,给单位造成无法逆转的严重损失。
为了防范这些隐患,必须通过技术手段严格防止内部人员未经允许非法连接外网。
1.2.6终端补丁管理和软件分发问题
对一个单位的内部网络维护来说,每台终端的操作系统及相关软件的补丁更新是用户及网管员最为烦琐的问题。
没有妥善的管理体系,轻则会因为流量问题,导致网速较慢或断开网络;
重则由于兼容问题造成机器蓝屏、死机等,影响单位的正常工作活动。
这就需要有相关系统能够完成客户端操作系统补丁检测、补丁下发、补丁安装、补丁安装信息回馈等功能,而且能够分发任何形式的软件,软件下发后能够获取软件下发整体情况,用以及时调整软件下发策略。
1.2.7资产管理问题
对网络的管理而言,软硬件资产的管理将是非常重要的一个组成部分。
如果不能全面的掌握终端计算机的软硬件资产,那么对于终端上非法安装的软件以及终端硬件的变化就无从知晓,这就可能造成单位硬件资产的流失,对网络的全面管理更无从谈起。
1.2.8缺乏统一的远程帮助平台问题
由于终端用户对计算机的熟悉程度,使用水平参差不齐,一个小小的软件使用问题都有可能要求助于网络管理员,一旦出现程序无法正常运行时往往束手无策。
部门的分布比较广泛,管理员往来奔波,致使处理问题的效率不高。
如果计算机用户能在远程发出求助请求,管理员在远程进行程序安装、调试程序,势必会节省时间,提高管理员的工作效率,统一的远程呼叫帮助平台就成为必要。
二、内网安全解决方案
2.1系统部署和管理构架
系统C/S,B/S结构图
根据实际情况需要可以将内网安全管理系统部署为N级级联,在全国范围建立起内网安全管理系统的管理架构,对所有终端进行统一监控和管理。
由于系统管理采用B/S构架,管理员可在网络的任何终端通过登录内网管理服务器的管理页面进行管理和各种信息查询;
所有的网络终端需要安装客户端程序以对其进行监控和管理。
具体的部署和管理构架如下:
网络通过内网安全管理服务器对全网进行网络客户端的各种策略和配置补丁以及文件的下发,流量监控、违规联网监控、入网设备联网状况监控、终端软硬件管理、系统文件分发、消息分发等工作,并对客户端进行各种行为和状态的监控。
网络终端上的客户端程序可将各种网络终端的状态信息、日志信息和报警信息上报,可通过管理节点对异常计算机进行断网等处理,也可通过系统远程对客户端进行故障诊断和维护。
系统支持无限制的多级级联部署,各级网络独立安装相应的管理软件。
下级管理节点统一汇总本级的报警信息和统计信息,统一上报管理节点;
上级管理节点的管理策略、命令、各种补丁或病毒库升级文件统一下发下级管理节点。
系统将来可根据实际需要在客户端数量、管理层次和功能扩展上进行无缝平滑扩展。
在同一级管理节点,可根据实际网络拓扑情况,安装多块网卡,满足对同级不同网段的管理。
2.2系统功能结构图
北信源产品功能结构示意图
2.3终端节点加固
2.3.1补丁自动分发和管理
补丁监控和分发功能图
利用北信源主机监控审计与补丁分发系统可彻底解决补丁问题,其具体实现如下:
1.补丁策略制定
包括补丁应用策略制定、补丁文件分发任务制定。
可以根据要求按照不同的区域进行划分,可按照IP地址、部门、操作系统、用户自定义等方式进行区域划分。
具体的
补丁策略制定:
具体可支持定时、定周期、分类、分部门、分范围、客户机状态和用户自定义等策略。
补丁策略分发:
具备详尽的补丁分发策略,补丁可以定时、定周期、分类、分范围、分部门、分范围、客户机状态和用户自定义等进行分发。
补丁文件任务制定:
针对特定的一个补丁或多个补丁,对指定计算机或者计算机网络进行补丁自动分发安装。
补丁中心将网络客户端分类,设置测试类客户端,补丁在测试类机器上经过严格测试后,再正式对其他类网络机器进行分发。
此外,内网安全管理系统还提供补丁下载流量控制功能,补丁管理中心区域管理模块能够对网络不同网段、不同区域的终端补丁升级进行流量、数量控制,避免造成对网络的流量影响,合理控制网络带宽。
实例图
2.补丁下载检测和增量式导入
系统支持在物理隔离的内部网络进行补丁分发。
对物理隔离的网络来说,内部的补丁升级服务器中的补丁数据必须从外部导入,巨大的补丁数据库使得每次补丁导入相当烦琐。
为此,北信源使用增量式补丁分离技术,在外网导出补丁时,可分离出内网已经安装的补丁,只导入内网尚未安装的系统补丁,即仅对内网的补丁进行“增量式”的升级,以提高效率。
当有新的计算机补丁公布可以下载后,北信源公司由专门的人员在第一时间内获得,并进行相应的分析,更新补丁索引文件。
系统拥有专门的外网补丁下载服务器,能根据索引自动下载新增的计算机补丁,补丁校验功能对所下载的补丁进行校验,保证计算机补丁的可靠性、完整性、安全性。
补丁在导入时并具有病毒检测功能,保证导入到补丁库中的补丁不被病毒感染。
3.补丁安全自动测试
一般单位的环境中,可能会包含特殊的应用或特殊的软件版本,在这些环境中,有时会出现打补丁后系统或应用异常的情况,所以在大规模补丁分发前需要进行真实环境的补丁测试。
北信源系统独创了真实环境闭环测试技术,具体的流程是首先由网管选定某些计算机作为测试计算机作为测试组,每次补丁导入后内网后,首先自动分发至这些选定计算机进行新补丁的安装测试,从而自动地进行非模拟性自动测试。
如果补丁安装后对测试计算机未产生影响,被测试计算机能正常运行,网管员便可根据相应得策略对网络内的计算机进行大面积的推送。
此技术可以很好的减轻网管的测试工作量,并提高补丁安装的安全性。
补丁自动测试图
4.补丁库自动分类
系统对存放到服务器上的计算机系统补丁能进行相应的分析,自动得出补丁属性、类型和与之相关的补丁说明,并在网页中进行清晰明了的显示。
可以方便管理人员根据相应的需求,高效快捷定义补丁分发策略,及时的针对不同的系统和需要分发计算机补丁。
系统同时提供管理员自定义补丁类别的补丁管理方式,如果需要也可由相关的管理人员自行设定相应的自定义补丁类别以符合其管理的需要。
5.补丁库的级联和同步
系统可以针对补丁进行级联式的分发和管理,在级联级数没有任何限制并在三级的基础上进行无缝平滑扩展。
可定期进行同步校验,也可自主设定同步校验周期和时间。
在有新补丁导入时,也可以自动触发与下级服务器间的同步操作。
所有的同步过程均可自动完成,上级服务器可以了解下级服务器补丁库是否同步成功。
6.补丁安装检测、自动分发补丁
网络管理员可通过本模块全面检测网络系统终端补丁的安装状况,并对没有安装补丁的设备进行远程补丁安装,将最新补丁升级包及时分发到终端计算机,并提示安装修补,在客户端有明显提示,通知用户打补丁。
系统可以对客户端安装的系统的版本,IE版本的补丁安装情况进行自动探测和维护(客户端计算机的补丁安装情况包括Windows、Office、IE、微软媒体播放器等),自动搜集客户端系统资料和安装补丁资料,以根据客户端系统的实际状况自动分发所需的补丁。
7.补丁推送安装
当系统检测到有客户端未打补丁时,可对漏打的补丁进行推送式的安装。
同时,通过推送安装,也可以为客户端安装应用软件。
补丁推送分发可以跨网段,跨VLAN,补丁分发支持断点续传功能。
补丁下发过程中,如遇到特殊事件造成网络中断,则在下次网络连通时通过校验得出已传输的数据和断点位置,进行续传。
8.系统补丁报表
监控程序将网络客户端补丁信息上报管理中心后写入数据库,在WEB管理平台可进行补丁报表察看,统计网络客户端补丁安装状况。
9.补丁下载流量控制
系统可以利用多种方式进行下载流量控制:
1、系统能够根据网络的负载情况自动调整分发补丁时所占的网络带宽和并发连接数;
2、根据手动设置允许的带宽或服务器并发连接数及每个连接所允许使用的带宽;
3、系统同时支持客户端转发代理补丁下载,以减少网络带宽流量,提高效率。
10.服务器端补丁查询
客户端软件实时监控客户端系统漏洞及补丁安装情况,服务器端补丁查询补丁可根据补丁名称、待查询IP范围、操作系统、待查区域,查询时间或其它条件对区域网络范围内的计算机终端进行补丁安装状况查询,通过网管设定的查询条件,能快速的获知所查询补丁的安装情况(如补丁发送是否成功,补丁安装是否成功,补丁是否已被安装等),以保证补丁及时的安装。
11.客户端网页查询补丁安装信息
因为很多用户习惯通过访问微软的Update网页,检查自己漏打的补丁,并进行下载安装。
作为物理隔离的网络,内网中的用户无法访问此网页,因此从用户的习惯角度出发,内网中也应该有类似的网页,以便用户访问和获知本机补丁安装情况,进行补丁下载安装。
安装了系统客户端的计算机可以通过访问内网的特定网页,对本机所缺少的计算机补丁进行查询,查询结果在网页上进行显示,计算机用户根据需要进行安装。
12.新(长时间关机)客户端入网先打补丁
对于一个内部网络而言,网络中可能会有网络攻击型病毒,在扫描终端漏洞,当未安装补丁的终端接入网内时,可能会立即感染病毒,并成为新的病毒攻击源。
因此新接入内网的终端,应只能和补丁管理服务器通讯,不能和其它设备进行通讯,以免感染病毒。
系统具备先进的判别技术,对于新机器或长时间关机的计算机,在其进入网络时,能快速的发现并识别此类计算机,对这类计算机发送相应的提示,如提醒用户下载并安装计算机补丁,提醒补丁下载的位置和计算机用户下载并安装所需的计算机补丁。
也可对这些计算机进行补丁强制推送,安装计算机所缺少的补丁。
系统可保证此新(长时间关机)的客户端刚接入网络时,不与网络中除补丁服务器外其它计算机的通讯,只在上网后首先进行补丁安装工作,只在补丁安装完成后,才开放其与网内其它计算机的通讯。
2.3.2网管可统一配置的主机防火墙(网管控制包过滤)
蠕虫病毒均是通过一定的端口进行传播和发包,如果网管可以统一控制网络中计算机的端口,关闭病毒使用的端口,进行端口加固,就可以有效阻止这些病毒的传播和破坏。
系统具备可由网管根据需要统一配置的客户端主机防火墙,可按照策略控制客户端的特定端口的连接,包括禁用(开启)指定的端口,禁止Ping入(出),设定IP区域访问控制,进行包过滤控制等,也可禁止使用代理服务器,系统不管如何设置包过滤规则,均不会造成维系管理服务器对客户机管理的通信无法进行。
当某些客户端临时离开内部网络安装到其它网络时,客户端软件的包过滤功能和禁止使用代理服务器功能可根据管理员的预设置策略自动关闭或继续工作。
防火墙策略
利用此功能可实现:
1.端口控制:
●
禁用填充项中指定端口,开放其它端口;
开放填充项中指定端口,禁用其它端口;
禁用填充项中指定端口;
●开放填充项中指定端口;
端口可按照范围进行填写。
2.ICMP协议控制
●禁止ping入
禁止ping出
●协议双向禁止
3.IP地址访问控制
只允许填充项中IP地址访问自己,禁止其余IP地址访问。
只允许自己访问填充项中IP地址,禁止访问其余IP地址。
2.3.3弱口令监控
目前很多病毒已经可以“猜”出用户机的口令,如果计算机使用弱口令,病毒将会通过这些弱口令获得计算机的控制权,并进行传播。
这类病毒的传播行为靠杀毒软件或者补丁加固均无法进行控制。
系统可以检查开机密码是否是弱口令,以保障系统不因为弱口令被病毒和黑客攻击。
2.3.4用户权限变化监控
网络终端的权限一般不会被用户检查,正常的客户端用户权限极少改变,但是很多病毒和黑客的攻击很多是利用计算机上权限的变化实现的,计算机上权限的变化造成的危害往往是致命的,因此十分有必要对终端权限的变化进行监控,以告知终端用户和网络管理人员。
利用此项功能可实现:
1.当系统用户系统权限发生改变时,进行上报和客户端提示;
2.
当系统用户系统组权限发生改变时,进行上报和客户端提示;
3.当系统用户增加时,进行上报和客户端提示;
4.
当系统用户减少时,进行上报和客户端提示;
5.当系统用户组增加时,进行上报和客户端提示;
6.
当系统用户组减少时,进行上报和客户端提示;
2.3.5关键进程加固
设定关键进程,对关键进程进行保护,如果出现未响应进程和意外退出等现象,被加固的进程将自动进行(如退出、退出并重起等)处理。
可以保证查询系统的正常运行。
关键进程加固
2.3.6注册表加固
系统可屏蔽选定用户计算机的一些程序进程对注册表的使用,通过该策略可以有效的防止违规进程对用户注册表的破坏。
注册表保护策略
2.4终端全面管理
对于成熟的网络管理来说,静态的IP地址管理以及成为一种趋势,IP地址的实名化管理和绑定成为必要。
实名化的管理在网络事件发生时便于进行快速的事件定位,缩短故障排除时间。
进行IP地址绑定是为了防止他人非法盗用他人IP地址以达到个人目的,并逃避责任。
2.4.1IP地址管理
针对已经分配的IP地址采用实名化管理,便于快速事件定位;
计算机用户列表
IP地址占用列表
针对没有分配的IP地址能够自动发现非法占用,并进行处理;
阻断未分配的IP地址
2.4.2IP、MAC地址绑定
通过策略配置快速的实现IP、MAC绑定,绑定后,对私自修改IP计算机进行地址恢复,或断网,同时上报服务器保存。
IP、MAC绑定示意图
私自修改IP的违规查询
2.4.3禁止修改网关、禁用冗余网卡
如果终端装有双网卡,可使用“IP与Mac绑定策略”中的“禁用冗余网卡”功能来实现对冗余网卡的禁用。
选中此项功能,则只保留与区域管理器通信的网卡,禁用其他的网卡。
2.4.4资产管理
实际使用中,可能会出现客户端用户随意拆卸网络终端硬件的现象,这会给网络终端的管理带来混乱,甚至可能造成内网网络信息网硬件设备资产的流失。
桌面计算机安装客户端程序后,客户端程序会自动收集当前计算机的各种硬件信息,包括CPU、内存、硬盘、网卡MAC地址、主板芯片、主板上的板卡等主要硬件信息。
信息收集完成后自动上报给VRVEDP服务器,保存在后台数据库中,管理员有需要的时候只需要登陆管理平台,选择查询条件就会生成管理员需要的硬件资产报表,同时还可以导出Excel报表,并可对其变化报警。
终端资产示意图
报表生成示意图
2.4.5终端桌面管理
2.4.5.1流量管理和控制
蠕虫病毒和BT下载等行为在很多情况下会严重占用网络带宽,造成网络的拥塞甚至瘫痪,对此可利用本系统进行流量的管理与监控。
主要功能:
1.流量采样阈值设定:
用户自主设定采样阈值,当流量(含出、入或总流量)超过一定限度并持续一定时间后,进行有关信息上报,防止上报数据过多给网络带来负担。
2.上报的当前流量进行汇总,对当前的流量进行时实排序,以便网络管理人员进行快速分析是否是网络安全事故。
3.对网络客户端的历史流量进行统计和排序,并可生成报表。
4.对并发连接数设定阈值并进行采样。
5.对网络扫描的可疑行为进行阈值设定和报警。
6.对客户端大量发包的可疑行为进行阈值设定和报警。
7.对具备可疑行为的客户端进行报警上报、自动阻断、客户端提示等管理。
8.设定网络客户端流量上限阈值,对超过的进行报警上报、自动阻断、客户端提示等管理。
流量策略实例图
2.4.5.2软件及进程监控
1.软件资源统一监控
1)软件资源统一监控:
自动收集安装在每台计算机上的每种应用程序信息,包括安装的操作系统种类、版本号以及当前补丁情况、客户机安装的软件等信息和驱动程序情况,并进行汇总管理。
2)系统能够及时检测主机软件信息变化情况。
3)根据条件查询客户机安装的软件或指定软件被哪些客户端安装等信息。
4)对软件安装进行黑白名单控制,即根据策略设定禁止安装的软件和必须安装的软件。
5)违规软件禁止安装功能,禁止在注册表Run项里添加自启动项,禁止在注册表Services项里添加自启动项,禁止在程序启动项中添加项,禁止在程序项中添加快捷方式限制违规软件的安装,所有安装软件均可进行审计。
软件安装行为策略
6)对重要的进程进行守护,防止由于意外或认为原因造成重要进程中断。
7)对违规的客户端进行客户端提示和断网处理等相应措施。
2.网络进程监视功能
统一汇总和监视网络各终端的进程,可以增量式的显示网络中新出现的进程,也可统计网络中最常运行的进程,从而统计出网络客户端软件的使用情况。
此系统可对网络中出现的异常进程(很可能病毒进程)进行定位和报警,在必要时可直接阻断。
进程执行监控策略
2.4.5.3硬件及端口控制
管理员在Web控制台禁用或启用终端用户的外部设备,禁用或启用终端用户的某一端口。
如启用或禁用软驱、光驱、U口、打印机、Model、串口、并口、1394火线口、红外接口等。
其中USB存储设备、软驱、刻录光驱提供禁用、只读、读写三种控制状态,其他类型外设提供禁用、可用两种状态,系统能够对所有外设访问行为进行细粒度审计。
硬件设备控制策略
2.4.5.4点对点审计和维护
系统管理员通过系统以点对点的方式对客户端进行详细的监控审计,具体包括以下内容:
1)硬件资产清单:
●自动搜集包括CPU、内存、硬盘分区总和、设备标识的大小和其他详细信息以及其他如主板、光驱、软驱、显卡、键盘、鼠标、监视器、红外设备、键盘等所有的硬件信息。
●网管可自主添加相关的附加信息。
2)安装软件查询:
查询设备所有安装的软件。
3)终端进程管理:
查询当前终端所有运行的进程,并可通过系统关闭非系统进程。
4)终端服务管理:
查询当前终端运行的服务,可以远程关闭或开启服务。
5)系统运行资源查看,具体包括:
●客户机流量:
包括当前流入流量、流出流量、总流量;
●CPU频率和使用率;
●内存大小和使用率;
●系统各硬盘分区大小和使用情况。
6)补丁查询:
查看系统漏打的补丁。
7)日志查询:
查看终端的系统日志、安全日志和应用程序日志。
8)终端安全审计:
查看用户的登录信息、历史记录信息、下载信息等各种信息。
9)消息通知,向用户发送消息,并可要求用户进行消息回馈。
10)远程运行进程:
可远程加载进程。
11)共享目录检查:
检查当终端的共享目录。
12)修改网络配置:
可查看网络终端的IP、MAC、子网掩码和网关信息,并可远程修改用户的IP地址。
13)远程卸载客户端程序。
14)远程断开/恢复网络终端的网络。
15)远程重新启动计算机
16)进行远程屏幕监控或接管。
2.4.5.5上网访问控制
对终端的上网访问行为进行审计,对其违规操作进行阻断。
控制用户能访问某些网站,或仅禁止访问某些网站,从而保证终端安全。
上网控制策略
2.4.5.6垃圾文件清理
管理员可在Web控制台对终端用户某一文件夹下或全盘某些后缀的垃圾文件或临时文件进行集中清理。
目前的系统临时文件众多,而绝大部分业务用户均不会手动清除大量的临时文件,这样会占用大量的硬盘资源,因此需要靠第三方系统主动的对其加以清理。
系统可协助用户维护(指定目录下的)临时文件、备份文件、帮助的历史文件、IE临时文件、安装临时文件、异常临时文件等各种应删除的文件。
垃圾文件清理策略
2.4.5.7其他管理
1)系统自动关机管理
当终端鼠标、键盘在规定时间内无动作时对系统进行关机。
2)终端时间同步管理
可对所有终端使用时间进行同步管理。
3)终端服务管理
远程查看系统服务管理列表,支持对各项服务的启用/禁用设置。
2.4.5.8终端消息通知
管理员通过发送消息的方式对终端用户进行提醒、消息通知并确认回馈、发送消息要求终端用户重新注册、同步终端数据和对终端的升级。
消息推送策略
2.4.6终端安全管理
2.4.6.1桌面密码权限管理
对终端的密码管理权限变化及使用状况(包括密码长度、安全性、弱口令等方面)进行审计检查及报警,同时对不符合要求的终端进行提示或强制修改等处置。
达到防止病毒及黑客入侵的目的。
2.4.6.2终端统一防火墙和杀毒软件管理
管理员在Web控制台对终端进行统
升级会员 