北信源终端安全解决方案.docx
《北信源终端安全解决方案.docx》由会员分享,可在线阅读,更多相关《北信源终端安全解决方案.docx(23页珍藏版)》请在冰豆网上搜索。
北信源终端安全解决方案
北信源终端安全解决方案
北京北信源软件股份有限公司
2020年2月
1.前言3
1.1.概述3
1.2.应对策略4
2.终端安全防护理念5
2.1.安全理念5
2.2.安全体系6
3.终端安全管理解决方案7
3.1.终端安全管理建设目标7
3.2.终端安全管理方案设计原则7
3.3.终端安全管理方案设计思路7
3.4.终端安全管理解决方案实现9
3.4.1.网络接入管理设计实现9
3.4.1.1.网络接入管理概述9
3.4.1.2.网络接入管理方案及思路9
3.4.2.补丁及软件自动分发管理设计实现14
3.4.2.1.补丁及软件自动分发管理概述14
3.4.2.2.补丁及软件自动分发管理方案及思路15
3.4.3.桌面终端管理设计实现18
3.4.3.1.桌面终端管理概述18
3.4.3.2.桌面终端管理方案及思路19
4.方案总结28
1.前言
1.1.概述
随着信息化的飞速发展,业务和应用逐渐完全依赖于计算机网络和计算机终端。
为进一步提高集团内部的安全管理与技术控制水平,必须建立一套完整的终端安全管理体系,提高终端的安全管理水平。
由于集团内部缺乏管理手段,导致网络管理人员对终端管理的难度很大,难以发现有问题的电脑,从而计算机感染病毒,计算机被安装木马,部分员工使用非法软件,非法连接互联网等情况时有发生,无法对这些电脑进行定位,这些问题一旦发生,往往故障排查的时间非常长。
如果同时有多台计算机感染网络病毒或者进行非法操作,容易导致网络拥塞,甚至业务无法正常开展。
建立终端安全管理体系的意义在于:
解决大批量的计算机安全管理问题。
具体来说,这些问题包括:
Ø实现对集团内部所有的终端计算机信息进行汇总,包括基本信息、审计信息、报警信息等,批量管理终端计算机并提高安全性、降低日常维护工作量;
Ø实现对集团内部所有的终端计算机的准入控制,防止外来电脑或违规的电脑接入集团内部网络中;
Ø实现对集团内部所有的终端计算机进行补丁的自动下载、安装与汇总,最大程度减少病毒、木马攻击存在漏洞的计算机而导致的安全风险;
Ø实现对集团内部所有的移动存储设备的统一管理,防止部分人员通过USB设备将集团大量的机密文件传播出去,同时也极大减少了病毒、木马通过USB设备在网络中传播等情况的发生;
Ø实现对集团内部所有的终端计算机进行终端安全管理与分析,包括第一时间禁止非法外联行为的发生,实时监控异常流量,检测非法软件,禁用部分硬件设备等,将计算机与人结合起来管理,防止非法操作导致发生不必要的安全事件。
1.2.应对策略
从网络空间应用接入方式来来说,网络空间应用从传统的互联网应用接入发展到以移动/无线通信应用接入乃至移动互联网接入等多种方式。
而针对网络空间安全方面的问题,北信源公司基于多年的产品开发与超大规模成功部署与应用经验基础,组建了面向网络空间的终端安全管理产品体系。
该产品体系主要面向重要网络、信息系统及基础设施的失泄密检测与防范,实现从终端、区域网到互联网的一体化检测、管理与防范。
该体系从终端接入控制、终端行为管控制、终端数据防泄密,以及终端安全审计等方面,实现了多层次、全方位、立体化纵深失窃密检测与防范,形成了面向复杂网络空间的终端安全管理一体化解决方案,有效地实现了网络空间下对终端计算机的安全管理体系。
2.终端安全防护理念
2.1.安全理念
针对目前网络中终端计算机面临的各种安全问题,作为终端安全管理市场的领导者,北信源公司特推出了面向网络空间的VRVSpecSEC终端安全管理体系。
VRVSpecSEC终端安全管理体系以APPDR模型为依据,遵循国家和行业等级保护,基于安全工程的思想,以独特的终端安全配置策略为核心,以终端安全风险测试与评估为依据,实现组件化可动态组合配置的终端安全管理。
其核心理念如下图所示:
VRVSpecSEC终端安全管理体系核心理念
安全产品法规符合性开发(Specification-basedProductsDevelopment)
策略引导的终端安全配置(Policy-basedConfigureManagement)
评估驱动的终端安全管理(Evaluation-drivenSecurityManagement)
组件化终端安全管理体系(Component-basedPlug-in/outSecurityArchitecture)
2.2.安全体系
北信源VRVSpecSEC体系覆盖终端的资产安全管理、终端数据安全管理、终端行为安全管理、终端服务安全管理等多个方面,涉及管理计算机本身、计算机应用、计算机操作者、计算机使用集团管理规范等多个方面,形成全方位、多层次、立体化终端安全管理。
VRVSpecSEC终端安全管理体系层次结构图如下所示:
VRVSpecSEC终端安全管理体系层次结构图
本解决方案正是基于上述核心理念和安全体系的基础上而组建的基于终端各方面安全管理和控制的一体化解决方案。
3.终端安全管理解决方案
3.1.终端安全管理建设目标
(1)当终端接入时要落实安全保护技术措施,保障内部网络的运行安全和信息安全;
(2)对已接入内部网络的终端计算机,要做好用户权限设定工作,不能开放其规定以外的操作权限。
(3)发现有违规情形的,应当保留有关原始记录,并可直接了解到该违规信息及违规方式等。
(4)网络管理人员能够利用该管理方式,便捷的管理内网终端计算机,并能够利用该种方式对终端计算机现状一目了然。
3.2.终端安全管理方案设计原则
方案设计遵循如下原则:
(1)安全性原则:
对性能影响小,与其它业务系统无冲突。
(2)可靠性原则:
在反复操作与长期实践之后依然能够保持高度的稳定性。
(3)可扩展性原则:
能够符合IT发展方向,并随业务增长的同时保持高度的可扩充性。
(4)易用性原则:
提供简单、友好界面,能够进行直观的操作,形成丰富的图形界面与报表。
(5)兼容性原则:
能够与主流厂商的系统、软件、主机设备、安全设备、网络设备保持高度的兼容性。
3.3.终端安全管理方案设计思路
1、遵循IT服务标准
随着信息技术的发展以及对信息技术依赖程度的提高,IT已成为许多业务流程必不可少的部分,甚至是某些业务流程赖以运作的基础。
IT部门要承担更大的责任,即提高业务运作效率,降低业务流程的运作成本,遵循ITIL标准,协调IT服务部门内部运作,改善IT部门与业务部门之间的沟通,帮助集团对信息化系统的规划、研发、实施和运营进行有效管理的方法。
IT服务管理将流程、人和技术三方面整合在一起来解决IT服务管理问题。
并结合集团内部组织结构、IT资源与管理流程等,对业务需求进行整体管理与服务。
解决方案设计要采用IT服务管理的理念,按照ITIL最佳实践标准来设计。
2、遵循ISO27001标准
ISO27001作为信息系统安全管理标准,已经成为全球公认的安全管理最佳实践,成为全国大型机构在设计、管理信息系统安全时的实践指南。
其中除了安全思路之外,给出了许多非常细致的安全管理指导规范。
在ISO27001中有一个非常有名的安全模型,称为PDCA安全模型。
PDCA安全模型的核心思想是:
信息系统的安全需求是不断变化的,要使得信息系统的安全能够满足业务需要,必须建立动态的“计划、设计和部署、监控评估、改进提高”管理方法,持续不断地改进信息系统的安全性。
北信源认为,终端安全管理,也将是一个持续、动态、不断改进的过程,北信源将提供统一的、集成化的平台和工具,帮助对其终端进行统一的安全控制、安全评估、安全审计及安全改进策略部署。
3、遵循VRVSpecSEC安全理念
依据业界最佳安全实践和行业信息安全管理体系的建设流程,结合北信源VRVSpecSEC核心安全理念,本方案的总体架构共分为“网络接入管理、补丁及软件分发管理、涉密计算机及移动存储介质保密管理、打印刻录管理、终端安全审计”等安全管理组件,并通过统一、联动的安全管控与审计平台实现对不同层次架构的集中策略配置与管理,完成对网络终端的分级部署、统一管控,最终实现对内网终端全方位的控制管理,形成完整的终端安全管理体系。
3.4.终端安全管理解决方案实现
本方案通过网络接入控制管理、补丁及软件分发管理、桌面终端安全管理,并由集中统一的管控和策略平台,完成对上述安全管理组件的统一策略配置与下发、集中管理与审计,最终形成联动化的、集成化的、完整的终端安全体系建设。
3.4.1.网络接入管理设计实现
3.4.1.1.网络接入管理概述
通过准入控制能够完成对未知终端、授权终端的安全准入管理与控制。
该系统能够完成基于硬件网关准入控制技术的安全准入管理控制,为内网终端的安全接入控制提供了一道绿色的保护屏障。
3.4.1.2.网络接入管理方案及思路
系统能够确保终端电脑只有在通过认证,即安装终端安全管理组件,并符合必要的安全策略的前提下才能被允许接入内部网络,否则会强制终端电脑跳转到访客隔离区(guest区),完成认证后还需要完成安检,即终端管理软件的下载和安装,且符合既定安全策略要求时才可准许接入内部网络。
具体接入流程如下:
网络接入控制管理系统流程图
以上过程完全满足网络准入控制的目的和意义:
能确保合法的、健康的终端接入内部网络访问被授权的资源。
通过网络准入控制技术,确保接入网络的电脑终端符合预定义要求,必要的安全策略功能包括:
本设计方案采用北信源网络准入控制网关与北信源桌面安全管理系统相结合而完成网络终端注册和网络访问授权等功能,使得未注册客户端无法访问受限网络,同时网络管理员能在允许用户进入网络前,对用户及其机器进行验证、授权。
在本设计方案中,通过终端入网准入控制,对终端安全策略的执行情况进行入网检测、安全评估、安全修复,从而有效的清除安全策略执行的死角。
具体实现功能如下:
◆l终端注册管理
终端在接入网络前,需要安装安全客户端,并将自己的个人信息提交到服务器,个人信息内容可包含但不限于使用人、单位、部门、联系电话、邮件、所在地、计算机类型,实现对终端实名化管理。
◆终端身份认证
为了适应不同模式下的用户业务系统,该准入控制方案支持多种认证模式,能和当前大多数主流认证系统进行结合与联动,从而以最小的代价实现用户入网统一身份认证。
主要支持的认证模式包含本地认证、Radius认证、AD域认证、LDAP认证以及CA认证等。
终端身份认证配置示意图
◆终端安全检查
安全检查是计算机终端入网的凭证,不安全的终端接入网络,将可能给网络带来无法估量的损失,例如病毒恶意传播,木马泛滥导致机密泄露,不安全策略配置导致对黑客入侵缺乏抵抗能力等。
本方案针对以上问题,从终端安全加固做起,对终端可能存在的风险进行评估,并根据评估结果对终端存在的风险进行修复和加固,清除不安全隐患:
终端安检配置示意图
◆安全隔离
该准入控制设计遵循终端注册->身份认证->安全检查->安全隔离/允许入网的控制流程,对于未通过安全检查的终端,可以采用安全隔离手段将终端进行隔离,被隔离的终端只能访问指定的安全控制域,对不合规的行为进行修复,避免因为不安全的终端接入网络而造成的未知风险。
终端安检结果及修复示意图
◆访客入网管理
外来访客以及移动终端由于办公需求可能会要求临时性的接入网络,为了安全目的,需要对外来访客进行临时授权,并控制外来访客的访问权限。
本准入控制方案设计针对外来访客的入网需求,制定了整套上网流程,支持访客自助在线申请上网码、管理员在线授权、访客自助查询上网码以及访客认证等功能:
访客入网申请示意图
◆用户及角色管理
针对经常会对不同部门或者不同用户分配不同的管理或者访问控制权限,不同的管理