精编北信源内网安全解决方案.docx

精编北信源内网安全解决方案.docx

《精编北信源内网安全解决方案.docx》由会员分享，可在线阅读，更多相关《精编北信源内网安全解决方案.docx（19页珍藏版）》请在冰豆网上搜索。

精编北信源内网安全解决方案

北信源内网安全解决方案

XXXX

终

端

安

全

管

理

解

决

方

案

北京北信源软件股份有限公司

2010-03－22

1、前言4

2、需求分析5

2.1、XXXX信息系统现状5

2.2、XXXX网络终端管理需求5

2.3、XXXX网络终端安全管理系统需求分析6

3、北信源终端安全管理解决方案7

3.1、VRVEDP系统概述7

3.3、网络接入管理系统8

3.3.1、ARP阻断隔离9

3.3.2、接入设备审核及有效期10

3.3.3、802.1X认证方式11

3.3.4、接入控制网关（硬件）13

3.4、内网安全管理系统13

3.4.1、终端注册管理13

3.4.2、IP/MAC绑定策略14

3.4.3、IT资产管理15

3.4.4、终端流量管理16

3.4.5、进程限制策略17

3.4.6、互联网访问控制18

3.4.7、防病毒策略18

3.4.8、软件安装限制19

3.4.9、多线程计算机远程维护平台19

3.4.10、防火墙策略20

3.4.11、违规外联策略20

3.4.12、终端密码策略21

3.4.13、终端资源监控22

3.4.14、硬件设备禁用功能23

3.4.15、终端自动清理功能24

3.4.16、IP管理和设备入网管理功能24

3.4.17、终端点对点管理25

3.4.18、系统自动关机管理26

3.5、补丁及文件分发系统26

3.5.1、补丁自动分发26

3.5.2、软件分发31

3.6、USB移动存储管理系统32

3.6.1、分级权限控制33

3.6.2、审计功能完善34

3.7、主机安全审计系统35

3.7.1、互联网访问审计35

3.7.2、文件访问及输出审计36

3.7.3、涉密内容审计37

3.7.4、软件安装审计37

3.8、档案、报警和日志管理功能38

3.8.1、详尽的档案管理功能38

3.8.2、日志管理功能39

3.8.3、报警管理40

3.9、系统具备的接口和强大的可扩展性41

3.9.1、接口描述：

41

3.9.2、系统具有良好的可扩展性：

42

4、XXXX实施内网安全管理项目的可预见效益43

1、前言

北京北信源软件股份有限公司（以下简称“北信源”）成立于1992年，总部坐落于中国信息产业基地“中关村高新科技园区”。

北信源是国内成立最早的专业反病毒厂商之一，也是中国最早研制、开发“内网安全管理及补丁自动分发系统”的厂商。

北信源所有信息安全产品均拥有完全独立自主的著作版权。

北信源自主研发的“北信源内网安全管理及补丁自动分发系统”是中国终端桌面安全管理领域市场占有率最大的产品，目前已经广泛应用于各个行业，产品的成熟度与稳定性、兼容性均在国内领先。

北信源目前已形成安全产品研发部、安全产品实验室、数据安全急救中心以及安全服务保障部等规模化安全部门。

公司产品获得多项专利，产品技术完全享有独立自主产权，获得公安部颁发的安全产品销售许可证,同时经严格测试获得涉密信息系统产品检测证书、中国信息安全产品测评认证中心认证及军事产品使用认证。

北信源公司是以研制、生产、销售计算机网络安全产品为主的公司。

1992年研制出计算机杀毒软件（单机版）。

1997年研制出国内第一套计算机病毒实时防火墙产品和第一套网络防毒软件。

2001年中关村电脑节中公司产品荣获"十大知名软件品牌"称号，并被评为“第五届科技之光信用企业”。

2003年研制出内网安全管理及补丁自动分发系统。

北信源的用户涉及财税、银行、证券、统计、电信、通讯、军队、公安、院校等国家部委和大型企业，拥有包括国家统计总局、国家税总、中共中央宣传部、全国人大、总参、公安部、中科院、铁道部、中国电信、中国联通、联想集团、方正集团以及全国７０％以上的证券公司等在内的庞大客户群体，并成为几十家大型用户的长期技术合作开发伙伴，甚至向重要用户长年派驻技术服务人员。

科研生产能力:

北信源现有员工335人，以技术人员为主，公司设立15个部门，技术开发人员占公司总人数的80%，大专以上学历265人，其中本科61人，硕士、博士和具有高级职称的25人。

公司主要产品有：

北信源内网安全管理及补丁自动分发系统、网络运行保障平台、单机反病毒和网络反病毒系列产品、证券安全产品。

北信源在全国重要区域均拥有分支机构，公司有很强的技术支持能力，能够满足全国范围客户产品服务和安全应急服务的需求。

质量管理:

北信源拥有严格的产品管理标准，已经通过ISO9001-2000产品质量体系认证。

2、需求分析

2.1、XXXX信息系统现状

如上图所示，XXXX共600多台终端，分布在大厦的各楼层，办公室部分接入层设备为普通HUB。

在边界部署有防火墙安全设备，终端部署有防病毒软件。

2.2、XXXX网络终端管理需求

XXXX网络分布广泛，终端数量庞大，运行业务需要的保密性强。

虽然各个节点都部署有网络安全设备，但由于使用人数多，员工的个人行为难以管制，网络中的终端PC机的运行得不到保障，使得单位网络的运营仍然存在重大安全隐患，例如：

1）、外来工作人员笔记本电脑接入内网后，将重要信息拷贝走、将外边的病毒带近来，导致信息的泄密，病毒的泛滥。

2）、内网员工通过modem拨号等方式接入互联网或其他网络，导致电脑中病毒，从而使整个网络瘫痪，以及重要信息被窃取，。

3）、操作系统补丁安装不及时导致系统崩溃；

4）、当终端PC出现故障时，管理人员不能及时到达现场进行维护，导致故障进一步恶化。

5）、大量终端未安装、未运行病毒防火墙，并经常不能及时更新病毒库，导致系统中毒；

6）、由于终端数量繁多，无法统计和管理软硬件资产，导致的软件随意卸载，硬件丢失。

7）、终端用户随意安装网上下载的带有病毒、蠕虫、木马、流氓软件的软件，影响单位网络的正常运行。

8）、在终端设备上随意加载移动存储设备，企业的信息安全得不到保障。

9）、用户随意更改IP地址，导致与服务器IP地址冲突，影响服务器数据访问。

2.3、XXXX网络终端安全管理系统需求分析

通过对以上拓扑结构和用户所提系统需求分析，可以找到目前XXXX内网主要面临的安全管理问题：

1）、如何有效地管理外来工作人员的网络接入。

如：

是否允许接入？

接入允许访问哪些网络；允许接入网络多长时间等；

2）、如何控制通过modem拨号等方式接入互联网或其他网络；

3）、如何对补丁进行自动分发部署和监控，保障终端系统的健壮性，从而免受病毒的侵袭；

4）、如何进行有效的远程维护，进行远程网络故障诊断，关闭、锁定、重起计算机或禁用网络连接；

5）、如何统一部署病毒防火墙软件，并要求客户端必须时时运行，且为最新病毒库。

避免系统中毒；

6）、如何对硬件资产进行自动发现识别，并打印报表，以便对网络硬件资产进行电子化跟踪和管理，在提高工作精度的同时减少网络管理人员的工作量；

7）、如何防止在网络终端上随意安装盗版软件、聊天、游戏访问非法网站等，影响工作效率；

8）、如何对涉密网络中的移动存储设备（如笔记本，U盘、移动硬盘等）进行监控管理，并对与这些设备相关的数据交换进行审计、确保数据安全；

9）、如何方便准确的对IP地址和MAC地址进行绑定，防止IP冲突、保障网络安全；

10）、如何实施有效的网络客户端通讯（包括流量）管理，防止计算机蠕虫。

11）、如何对登陆账号口令进行有效管理，防止病毒或黑客进行攻击。

12）、如何准确有效的定位网络中病毒的引入点，快速、安全的切断安全事件发生点和相关网络。

13）、如何对通过电子邮件、网络拷贝、打印输出的数据进行审计，保证涉密网络的安全。

14）、如何对网络中的客户端所安装软件信息进行有效的查询和管理。

15）、如何重要IP进行保护，防止由于意外的IP接入或改变造成的IP冲突、保障重要设备的安全。

16）、如何安全、方便的将违规计算机阻断出网。

17）、如何按照既定策略统一配置客户端端口策略、注册表策略等客户端安全策略。

18）、如何有效监控重要终端的运维信息，以便网管了解网络中的客户端是否已超负荷运转，是否需要升级。

19）、如何对应用程序进行分发安装，以大幅度减少网管的工作量。

20）、如何有效进行网络资源管理和设备资产管理。

这些桌面机与每个企业员工的日常工作息息相关，接触/涉及企业关键数据和应用。

XXXX在网络终端管理方法和管理技术等方面都还相对缺乏，应对产生的新问题和新需求，需要根据企业实际情况研究分阶段的应对策略和解决方案。

3、北信源终端安全管理解决方案

3.1、VRVEDP系统概述

终端管理是一个综合的系统问题，涉及管理计算机本身、计算机应用、计算机操作者、计算机使用单位管理规范等多个方面的要求性因素。

北信源通过对国内外近年终端安全管理技术和发展趋势的研究，将单位和企业内部网络终端管理概括的从终端状态、行为、事件三个方面来进行防御，管理手段大致包括如下内容：

内网管理核心功能

北信源内网安全管理及补丁分发系统（VRVEDP）遵循网络防护和端点防护并重理念，对网络安全管理人员在网络管理、终端管理过程中所面临的种种问题提供解决方案，实现内部网络终端的可控管理，达到最佳的管理效果。

北信源内网安全管理及补丁分发系统强化了对网络计算机终端状态、行为以及事件的管理，它提供了防火墙、IDS、防病毒系统、专业网管软件所不能提供的防护功能，对它们管理的盲区进行监控，扩展成为一个实时的可控内网管理平台，并能够同其它安全设备进行安全集成和报警联动。

北信源终端安全管理系统主要包括五大系统：

网络接入管理系统、内网安全管理系统、补丁及文件分发管理系统、移动存储管理系统。

下面将详细介绍各功能包的功能作用。

3.3、网络接入管理系统

XXXX综合布线的信息点分布在各个地方，外来笔记本可以通过这些信息点随时接入到网络中来传播病毒或窃取重要数据，因此北信源对网络中的终端设备采取注册准入制度，对于未注册的设备阻止其接入网络。

防止非单位设备通过分散在各楼层、房间的信息端口接入办公网络，对办公网络造成破坏。

通过北信源网络接入管理系统，可能有效的实现网络设备准入制度，从而防止非法设备的接入。

主要通过四种技术方法解决：

3.3.1、ARP阻断隔离

当用户使用的交换机不支持以上协议时，可以通过ARP数据包来发现非法终端的接入，通过控制中心来调度相应网段的终端对其发起ARP欺骗攻击，阻止其正常接入。

注：

北信源采用的ARP欺骗并非ARP欺骗病毒方式，ARP欺骗病毒是通过伪造网关，终端不断向网关发包，而引起上不了网。

北信源ARP欺骗原理是通过VRV服务器选择一台最优的终端A不断地向终端B发包，告诉B自己的IP地址与B相同，从而达到阻断联网。

ARP阻断过程

1）、用户接入进来，服务器发送ICMP包描扫到A，获取到A的MAC、IP地址。

2）、服务器将A的MAC、IP地址到数据库中进行匹配，检查是否有相应数据，向A的22105端口发送数据包，看是否有回应。

3）、22105端口无数据包回应，则服务器发指令给A接入的同网络内的、开机已注册的终端B，告许B向A发送ARP欺骗，说B的IP地址与A相同。

从而实现对新接入的用户进行阻断。

综上，结合XXXX网络及网络设备情况，北信源提出采用802.1X与ARP阻断结合使用，在信息中心部署802.1X，其他各单位启用ARP阻断，来实现接入控制，以防止外来设备接入网导致的病毒传播和窃取重要信息。

部署方法：

1）、合理规划各部门终端IP地址；

2）、根据VLAN划分区域；

3）、全网终端安装注册EDPAgent客户端程序；

4）、根据VLAN区域启动ARP阻断。

3.3.2、接入设备审核及有效期

为了确保用户在注册终端软件时的信息真实有效，系统将未审核注册信息的设备放到“待审核”区，可以对待审核区的设备设置相关的安全策