内网安全管理系统解决方案1doc.docx
《内网安全管理系统解决方案1doc.docx》由会员分享,可在线阅读,更多相关《内网安全管理系统解决方案1doc.docx(9页珍藏版)》请在冰豆网上搜索。
内网安全管理系统解决方案1doc
内网安全管理系统解决方案1
LanSecs内网管理系统
1.计算机终端安全管理需求分析
(1)
1.1.网络管理
(2)
1.1.1.物理网络拓扑图
(2)
1.1.2.流量控制
(2)
1.1.3.IP地址管理(3)
1.1.4.故障定位(3)
1.2.终端安全防护(3)
1.2.1.补丁安装防护(3)
1.2.2.防病毒防护(4)
1.2.3.进程防护(4)
1.2.4.网页过滤(4)
1.2.5.非法外联防护(5)
1.3.终端涉密信息防护(5)
1.3.1.终端登录安全认证(6)
1.3.2.I/O接口管理(6)
1.3.3.桌面文件安全管理(6)
1.3.4.文件安全共享管理(7)
1.3.5.网络外联控制(7)
1.4.移动存储介质的管理(7)
1.5.网络接入控制(8)
1.6.计算机终端管理与维护(9)
1.7.分级分权管理(9)
2.计算机终端安全防护解决方案(10)
2.1.方案目标(10)
2.2.遵循标准(11)
2.3.方案内容(12)
2.3.1.网络管理(12)
2.3.1.1.物理网络拓扑图(13)
2.3.1.3.IP地址绑定(13)
2.3.1.4.故障定位(14)
2.3.2.终端安全控制(14)
2.3.2.1.补丁管理(14)
2.3.2.2.防病毒控制(14)
2.3.2.3.进程监控(15)
2.3.2.4.网页过滤控制(15)
2.3.2.5.非法外联控制(15)
2.3.3.终端安全审计(15)
2.3.4.移动存储介质管理(16)
2.3.4.1.注册授权(18)
2.3.4.2.访问控制(18)
2.3.4.3.数据保护(19)
2.3.4.4.自我保护(19)
2.3.4.5.操作记录(19)
2.3.5.计算机终端接入控制(20)
2.3.5.1.非法主机的定义(20)
2.3.5.2.非法接入控制策略(20)
2.3.5.3.非法接入阻断技术实现原理(21)
2.3.6.计算机终端管理与维护(22)
2.3.6.1.主机信息收集(22)
2.3.6.2.网络参数配置(23)
2.3.6.3.远程协助(23)
2.3.6.4.预警平台(23)
3.系统设计(32)
3.1.LanSecS系统安全性设计(31)
3.1.1.控制中心安全性(31)
3.1.2.主机代理安全性(32)
3.1.4.策略分发与存储安全性(33)
3.1.5.主机代理与控制中心通讯安全性(33)
4.系统特色与系统部署(35)
4.1.LanSecS系统特色(35)
4.2.LanSecS典型部署(38)
4.2.1.简单内网环境(38)
4.2.2.本地多内网环境(38)
4.2.3.分级部署环境(39)
5.产品配置要求(39)
随着科技的发展,计算机和网络作为现代企业重要的工具,在日常办公过程中发挥着越来越重要的角色。
计算机和计算机网络已经成为企业、政府和其它各种组织的重要信息载体和传输渠道。
很明显,计算机、计算机网络和其所带来的信息数字化大幅度提供了工作效率,也使得海量的信息存储和处理成为了现实。
但是,在享受到计算机以及计算机网络所带来的方便性的同时,也出现了目前受到广泛关注的对内网设备如何进行有效管理的问题,以及由此带来的网络信息安全问题。
目前随着制造业单位规模不断增大,IT硬件成本降低、更新换代速度比较快,单位为了提高工作效率,不断的增加新的设备;因此机器数量和网络规模也随之增多、增大。
员工办公感觉是越来越方便了,但是给网络管理员带来的内网管理问题却越来越重了。
首先是网络的管理,IP混乱、网络拥塞、出现故障无法及时定位进行解决;其次是资产的管理,越来越多的设备使资产管理处于混乱,管理员疲于资产的统计。
在内网信息安全管理方面,尤其是设备自身的健壮性,如何保证设备硬件所承载的系统能够正常运行;另一方面对于单位内部的设计部门,由于数字信息本身具有易于复制的特性,利用这个特性,信息更易于受到难以控制和追溯的盗取威胁,网络使信息更容易受到破坏、更改和盗取。
很明显,能否最大限度确保企业内部数字信息的安全性已经关系到了计算机和计算机网络能否真正成为有实质意义大规模应用的关键因素。
如何提高安全性保证机器的正常办公、如何将非法入侵者拒之门外、如何防止内部信息外泄,如何更好的保证网络快速高效运行,这些都是制造业目前在进行网络化过程中必须解决的问题。
目前各行业内部网络所采取的安全措施基本上是采用防火墙、入侵检测等安全产品放置于内部网络和外网连接处保证网络层的安全,并采用操作系统或应用系统所带的身份验证机制,或通过安装物理隔离卡将内部局域网划分成内网与外网两个组成部分。
内部网络上大多数的应用对制造业单位是至关重要的,甚至是严格保密的。
一旦出现病毒传播、破坏的事件,将产生严重后果。
这些都使得内
第1页
内网安全管理系统解决方案1
内网安全管理系统解决方案
1方案概述
(1)
1.1.1流量控制
(2)
1.1.2IP地址管理
(2)
1.1.3进程防护
(2)
1.1.4防病毒防护(3)
1.1.5补丁安装防护(3)
1.1.6网页过滤(3)
1.1.7计算机资产管理(3)
1.1.8移动存储介质(4)
1.1.9计算机接入控制(4)
1.1.10终端计算机系统帐户监控(5)
1.1.11计算机的远程维护(5)
1.1.12I/O接口管理(5)
1.1.13文件安全共享管理(6)
1.1.14安全管理软件卸载控制(6)
1.1.15灵活的系统部署(6)
1.2方案目标和内容(6)
2桌面内网安全管理产品解决方案(7)
2.1流量控制(7)
2.2IP地址绑定(7)
2.3进程控制(7)
2.4防病毒控制(8)
2.5补丁管理(8)
2.6网页过滤控制(8)
2.7资产管理(8)
2.8终端移动存储介质管理(9)
2.9终端接入控制(9)
2.10系统账号监控(10)
2.11终端行为监控(10)
2.12终端配置管理(11)
2.14I/O接口管理(12)
2.15软件安装审计(12)
2.16系统部署(12)
3内网安全管理系统设计概述(12)
3.1产品设计思路(13)
3.2产品的设计原则(14)
3.3产品的功能(14)
3.4产品的组成(15)
3.4.1系统部署结构(16)
3.4.2产品模块组成图(16)
3.5产品一体化设计(18)
3.5.1统一用户权限管理(18)
3.5.2系统分权管理(18)
3.5.3统一资产管理(18)
3.5.4策略集中部署(18)
3.5.5统一预警平台(19)
3.5.6可快速恢复的产品部署结构(19)
3.6系统安全性设计(19)
3.6.1系统代码安全(19)
3.6.2客户端进程防关闭(20)
3.7客户端防卸载(20)
3.8系统部署设计(20)
4报价(22)
1.1需求分析
榆次市XX酒店有限公司作为高品质的涉外酒店,是榆次市重要企业。
随着信息化建设的深入发展,单位部门内部,单位部门之间,单位与公众,单位部门与企业等的沟通越来越紧密,因此,需要通过搭建稳定可靠的信息化沟通平台,以数字化系统为建设目标,全面提升公司的办公效率,提升系统整体的信息化竞争实力。
网络稳定性是单位网络建设的基础保障,而网络安全是保障网络系统稳定性的前提。
同时,网络安全问题也是造成单位内部信息泄漏的主要原因,因此,针对公司的信息化建设,网络安全需要从网络系统的保障、用户的入网行为控制、网络病毒和攻击防护等几个方面充分考虑公司网络安全的建设。
有调查显示,各单位中超过85%的管理和安全问题来自终端。
因此,网络安全呈现出了新的发展趋势,安全战场已经逐步由核心与主干的防护,转向网络边缘的每一个终端。
目前,90%以上的终端用户使用的是windows2000,XP或以上的操作系统,而这几种系统的安全漏洞又非常多,微软公司会通过定期发布安全补丁的方式来弥补这些漏洞,但由于终端用户缺乏相关知识,导致补丁安装的不完全,不及时,这就会严重影响终端计算机的安全,从而导致更严重的整个内网安全问题。
计算机终端作为信息存储、传输、应用处理的基础设施,其自身安全性涉及到系统安全、数据安全、网络安全等各个方面,任何一个节点都有可能影响整个网络的安全。
而计算机终端广泛涉及每个计算机用户,由于其分散性、不被重视、安全手段缺乏的特点,已成为信息安全体系的薄弱环节。
作为计算机内网安全管理方案而言,其需要解决如下安全问题:
1.1.1流量控制
单位内部网络环境中不可能所有的交换机全部都是可网管的,所以不能完全依赖交换机进行流量管理;而且管理员不可能时刻关注每台机器的流量状况,除非是出现异常的网络攻击和拥塞时,才会采取如此非常手段。
因此对于日常的控制来说,最有效的方法是通过控制每个终端设备的网卡流量,如果能将设备的流量控制在一定的范围内,既保证了设备的正常工作使用,又可以防范在非法使用P2P下载软件抢占带宽和病毒爆发时给网络速度带来的拥塞,这对于管理来说才是实用的管理手段。
1.1.2IP地址管理
为了便于管理,出现问题能够及时追查,网络建设时管理员通常使用静态IP地址,这对于管理来说确实是一个有效可行的措施。
但是由于员工的计算机操作水平不同,很可能造成随意修改IP地址带来的内网地址冲突,这给内网管理带来很繁琐的问题。
虽然通过在核心或二层交换机上,可以通过命令来绑定IP/MAC地址从而消除上述问题,但是工作量庞大,因此彻底屏蔽IP地址冲突的问题是网络管理必须要做的。
1.1.3进程防护
由于当前大量病毒以及恶意程序的存在,而这些程序对于普通用户而言并不知情,甚至有些恶意程序通过技术手段使得用户无法通过任务管理器看到其工作进程;另一方面,有些用户可能有意或无意地运行一些可能会影响他人或自己工作的软件(如网络嗅探器)。
公司采购机器目的是提高员工的生产效率,充分利用上班时间来服务于工作,但是某些娱乐性软件严重影响了员工的工作效率,某些下载软件造成网络速度减慢,影响了内网的正常办公。
因此通过制定策略,实现对非法进程的监控并阻止,能够大大减少由内部引起的网络安全事件,提高我们的工作效率。