XX移动终端安全管理.docx
《XX移动终端安全管理.docx》由会员分享,可在线阅读,更多相关《XX移动终端安全管理.docx(45页珍藏版)》请在冰豆网上搜索。
XX移动终端安全管理
XX移动
终端安全管理
技术方案
XX科技有限公司
目录
1建立统一的终端安全管理的必要性1
1.1通信行业的信息系统发展趋势1
1.2山西移动的终端安全管理面临的困难和压力3
1.3建立统一的终端安全管理5
2为什么选择SmartTM7
3SmartTM解决方案总体概述10
3.1山西移动的终端安全管理需求10
3.1.1提高设备利用率10
3.1.2提升人员效率10
3.1.3满足星级服务要求11
3.1.4实现设备状态监控11
3.1.5资产管理12
3.1.6策略管理12
3.2SmartTM解决方案总体设计思路12
3.2.1方案设计原则12
3.2.2统一的集成化管理平台13
3.2.3支持多厂商设备13
3.3SmartTM系统架构14
4SmartTM终端安全管理功能实现17
4.1提高设备利用率17
4.2提升人员效率17
4.3满足星级服务要求18
4.4实现设备状态监控19
4.5资产管理24
4.6策略管理27
4.6.1软件使用监控27
4.6.2文件操作监控29
4.6.3网络访问和外联管理30
4.6.4客户端流量管理控制31
4.6.5违规客户端远程阻断32
4.6.6策略支持上级锁定并强制下级执行32
4.6.7统计报表32
5SmartTM系统安全性33
5.1多用户管理33
5.2安全审计33
5.3HTTPS支持33
5.4SNMPV3支持34
5.5数据传输加密34
6SmartTM项目实施方案35
6.1SmartTM终端安全管理系统部署(带参考图)35
6.1.1SmartTM终端安全管理服务器部署35
6.1.2管理客户端部署36
6.2终端安全管理服务器软硬件配置建议36
6.3实施计划36
7附录38
7.1SmartTM应用案例38
7.1.1电信行业成功案例38
7.1.2金融行业成功案例38
7.1.3政府行业成功案例38
7.1.4大型企业成功案例39
7.2典型案例说明39
图表目录
图51神州数码IT运行管理平台系统结构图14
图52山西移动IT综合运维管理系统整体结构图15
图53TopN统计16
图511客户端代理安装检测策略19
图519客户端安全漏洞扫描20
图58杀毒软件检测策略配置21
图59事件处理预案定义界面22
图510将安全策略与事件处理流程绑定23
图54客户端注册界面25
图55客户端注册后显示的代理安装选项页面26
图56客户端注册信息查看27
图526主机进程安全策略定义界面29
图518网络流量异常配置32
表格1软硬件配置清单36
表格2实施计划37
建立统一的终端安全管理的必要性
1.1通信行业的信息系统发展趋势
作为现代经济的重要组成部分,通信行业通过数据交换,在提高社会运行发展效率中发挥着基础性作用。
特别是在当今信息时代,通信业既面临着高科技带来的巨大发展机遇,也面临着行业壁垒被高科技企业和综合服务攻破之后的激烈竞争,传统通信行业面临向现代金融服务业转变的艰巨任务。
我们调查发现,一直以来,通信行业都非常重视信息技术的应用,信息技术不但在建设方便、高效、安全的金融服务体系中发挥基础作用,而且对于提高企业内部管理水平进而提高资源配置效率更是具有重要意义。
通信业是现代服务业的重要组成部分,它通过沟通整个社会的经济活动而成为现代经济的核心。
作为知识密集型产业,现代通信行业在组织结构、业务流程、业务开拓以及客户服务等方面,日益体现出以知识和信息为基础的特征。
这种行业属性决定了现代通信业必须以飞速发展的信息技术为支撑,通信信息化顺势而生。
在通信业日益显现对社会运行发展的强大支撑能力之时,信息化已经成为现代通信服务的命脉。
总之,随着通信行业信息化的不端发展,信息化发展已经涉及通讯系统、备份系统、应急系统、加密系统、维护系统、监控系统等一整套系统的建设,从而对网络、服务器、通信线路、信息系统的安全等各方面的要求大大提高了,对整个IT系统的管理和维护服务要求也大大提高。
近年来,网络安全威胁愈演愈烈,网络攻击工具越来越多样,越来越容易获得,所需要的技能越来越低,只需拷贝一个黑客程序就可以进行攻击,漏洞利用的时间越来越短。
攻击的目的性,过去纯粹为了比技术,现在商业目的越来越明显。
下面有一组数据,说明当前网络安全的严峻形势:
据公安部2005年度针对1.2万家信息网络使用单位,涉及政府机关、电信广电、能源交通、金融证券、教育科研、商业和制造业等领域的全国信息网络安全状况暨计算机病毒疫情调查结果显示:
●2005年,感染过计算机病毒的用户数占被调查总数的80%
●多次感染计算机病毒的比率为54.7%
●2005年中国有将近90%的用户遭受间谍软件的袭击
另根据中国国家计算机网络应急技术处理协调中心公布的数据:
2005年6月-9月国内发现较大规模僵尸网络59个,平均每天有3万台电脑被控制。
统计分析近年来频繁发生的网络安全事件可以发现,其中相当大的比例是由于内部网络的桌面电脑遭受黑客、病毒、间谍件攻击,导致大规模的网络瘫痪。
为什么在安全已经受到高度重视的今天,还频频发生如此之多的安全事件呢?
经过分析,我们可以发现产生这些内网安全事件的主要原因在于:
⏹对内部终端安全管理的重要性认识不足。
绝大多数遭受内网安全事件的组织,原先对网络安全的认识就是要防范来自外部网络的攻击,在内部终端安全管理上不够重视。
多数组织仅仅建立边界安全控制,如:
防火墙,IDS,IPS,但是边界安全控制不能完全阻断病毒、黑客的侵入。
很多安全事件是由于外来笔记本电脑直接接入内部网络,或者内部网络的桌面电脑直接拨号上网引起。
⏹需要保护的对象太多/应用环境复杂。
以往解决网络安全问题,只需要保护好网络设备、服务器系统的安全即可。
现在却需要保护数以百计的桌面电脑的安全,只要有个别桌面电脑感染网络病毒或者被安装木马,即会导致网络瘫痪。
采用传统的技术手段来保护数以百计的计算机安全是很困难的,因为桌面电脑的用户大多是非计算机专业人员,对安全设置、补丁管理认识不足。
⏹技术手段限制。
在没有技术手段的情况下,终端安全管理员既不能及时掌握系统的整体安全(漏洞)状况,也不能及时发现被感染/攻击/中招的电脑。
一旦发生桌面电脑感染病毒或被安装破坏力强的木马,必然导致严重的网络安全事故。
⏹资源投入限制。
由于人力、物力的限制,任何政府单位、企业都不可能为保障安全投入无限的资源和费用,也很难对众多的设备进行分级、分类安全管理。
分析这些安全事件,一个非常值得注意的趋势是:
网络安全已经不仅仅是网络设备、服务器系统的安全问题,终端电脑的安全问题已经成为网络安全中最为严重的问题。
此外,由于计算机系统是一个复杂的系统,电子器件老化、线路与电源故障,或者设备配置失误,都有可能导致系统的中断。
如何在系统发生故障的情况下,第一时间发现故障源并且及时恢复系统运行,这是一个至关重要的问题。
为解决安全、故障、性能管理问题,以及IT系统运行管理中的其它问题,我们需要建立一整套IT运行监控与终端安全管理系统,对IT系统进行全面的综合管理和监控。
1.2山西移动的终端安全管理面临的困难和压力
山西移动网络采用全省数据大集中模式,目前网络已基本建成连接省中心、市中心、县中心、营业网点的计算机主干网和各级局域网,网络已经覆盖全省的乡镇。
约有4000-5000台左右营业终端,分布在全省11个地市近千个营业厅中,为用户提供着高水平的服务。
在这些终端中,有些终端在相当长一段时间内处于闲置状态。
有些终端出现了软件或者硬件的故障。
这些终端分布的地域非常广,而IT管理人员不可能花费巨大的人力物力去逐台检查。
网络拓扑如下:
山西移动的维护人员疲于被动地应对多套管理工具,多种形式的告警。
分离的故障和投诉不仅大大降低了已有网络资源的利用效率和维护人员的工作效率,也造成IT管理严重脱节于企业业务的整体管理,新业务的扩展不断引起IT建设和维护成本的飞涨。
随着山西移动网络规模的不断扩大,网络设备数量和各种应用软件系统的渐渐增多,软件和硬件设备出现问题的情况也越来越多,技术管理人员现在处于一种“救火员”工作方式,就是哪里出现问题,就去哪里救火解决问题。
因此,建设IT系统综合管理平台实现对所有IT系统和资源的24小时无人值守就成了当务之急
山西移动目前运维系统面临的主要困难是:
一是资源分散,缺乏统一全面的了解;二是运维手段较落后,对系统故障和效率下降缺乏预警和分析工具;三是缺乏与系统管理紧密结合的运维管理工具;四是缺乏对运维管理人员绩效考核的有效工具。
山西移动的信息部门面临着前所未有的IT系统运行维护压力,这些压力包括:
(1)如何对遍布全省的支撑业务系统的计算机网络系统(包括线路、网络、桌面电脑、移动笔记本等)进行故障、性能和安全管理监控,确保计算机网络的安全、稳定运行;
(2)如何对遍布全省各地的IT维护人员进行有效管理,确保IT维护人员能够确实有效执行各项工作任务以及避免误操作;
(3)如何对网络系统进行有效监控,在网络系统出现软、硬件故障时对其进行及时的处理和报告;
(4)如何确保单位的信息系统管理机制能够正常、准确运作,在发生各种物理故障(线路、设备),人为故障(内部误操作、外部攻击)的情况下,这些问题能够得到及时、有效的处理。
此外,愈演愈烈的安全攻击和安全威胁,网络病毒、外来黑客攻击、内部人员的非法行为等加剧了IT部门的运行维护压力。
1.3建立统一的终端安全管理
为加强对IT系统的管理监控,应对面临的各种安全威胁,保障各项通信业务能够正常、有效地开展,建立一个统一的终端安全管理系统刻不容缓。
分析山西移动的信息系统,我们认为给IT系统的正常运行维护带来的主要困难来自于:
(1)山西移动分支多,物理位置分散,人工管理困难。
山西移动的计算机网络系统遍布每个营业网点,各种计算机设备、通信线路遍布全省,简单的人工管理根本无法做到及时发现设备、线路的故障和问题;
(2)频频发生的病毒、网络安全威胁给维护工作带来了极大的困扰。
近年来,各种网络病毒、网络安全攻击事件频频报道于各种媒体,山西移动的计算机网络因为非常分散,非常容易遭受各种外来认为、内部人员的安全攻击,也非常容易遭受网络病毒的侵害;
(3)山西移动信息系统复杂、庞大,IT系统可能出现的问题种类繁多,出现问题后定位困难。
例如,要维持业务系统的正常运行,必须确保省联社和各市联社网络设备、通信线路、操作系统、数据库、电脑PC等各种设备和系统的正常工作,任何一个环结的问题都会导致业务中断;
(4)维护人员多,对维护人员本身的管理难度大。
由于维护人员的数量多,而且有相当数量的维护人员分散在各个营业网点,如何规范维护人员的日常维护操作行为,避免误操作或不按规定操作维护;以及如何对维护人员的工作进行有效的管理和评估。
所有这些,对信息部门的主管来说均有很大难度。
通过分析山西移动在终端安全管理上所面临的各种困难、压力和安全风险,我们认为山西移动非常有必要建立统一的终端安全管理系统,以解决如下几个方面的问题:
(1)对包括通信线路、网络、桌面电脑等在内的,所有与业务系统相关的设备、系统的集中统一的故障、性能和安全监控;
(2)对接入网络的各种计算机设备进行控制,防止非法接入。
防止非法接入的计算机因为感染病毒或者人为恶意破坏导致计算机网络系统或者服务器系统的瘫痪;
(3)对维护人员的行为规范进行管理,建立各种故障的处理流程,确保信息系统一旦出现问题即会有人及时去处理、排查直至消除故障。
综上所述,山西移动急需规划建立一套集中式运维和监控管理电脑系统,以技术促业务,逐步完善公司的IT运维保障体系,满足公司管理和业务对IT系统安全运行的需要。
为什么选择SmartTM
SmartTM系统能够很好满足山西移动IT安全运维管理系统的需求,和其他产品相比,有如下特点:
✓集成平台,统一管理
Ø支持对桌面和网络设备、线路的集中监控;
Ø无需学习多套系统,维护简便;
Ø上手快,轻松管理;
✓设备自动发现与资产管理
Ø自动发现网络上的所有接入设备;
Ø可依据IP/MAC/主机名以及资产的配置对接入设备快速定位;
Ø自动发现组织内所有桌面电脑的软硬件配置信息、桌面电脑网络连接信息和运行状态信息,建立资产基线;
Ø支持配置变更自动发现与报警;
Ø自动维护软硬件配置变更历史信息。
✓桌面电脑安全主动评估,发现安全隐患
Ø自动发现存在安全隐患的桌面电脑,并提示系统管理员和用户要采取的弥补措施;
Ø桌面电脑网络流量异常评估,及时发现异常流量桌面电脑;
Ø桌面电脑安全配置评估,及时发现安全设置不完善的桌面电脑;
Ø可疑注册表项、可疑文件检查;
Ø灵活配置各种安全隐患条件;
Ø多种方式控制/限制存在安全隐患的桌面电脑接入内部网络。
✓桌面电脑安全加固,防患于未然
Ø补丁漏洞自动修复,支持桌面电脑操作系统补丁、MS应用软件补丁自动更新、自动升级;
Ø支持登录口令强度检查、Guest帐户检查、屏幕保护检测等桌面电脑安全加固功能;
Ø禁止各种默认共享、禁止修改IP地址、禁止修改注册表;
Ø强制安装防病毒软件与更新病毒库;
Ø禁止运行非法进程;
Ø内置桌面电脑个人防火墙,既可限制外部网络直接访问桌面电脑,又可以限制桌面电脑去访问一些不允许的网络服务;
✓非法操作监管,让管理规定令行禁止
Ø检查桌面电脑是否安装了非法软件;
Ø支持对USB硬盘、Modem拨号、无线通讯、红外通讯、蓝牙通讯、同时使用内外网卡等非法操作的监控、审计和禁止使用;
Ø支持对网上聊天、BT下载的监控、审计和禁止;
Ø支持对HTTP访问、Email、网络文件拷贝等行为进行审计,或禁止;
Ø支持离线管理,可以支持桌面电脑在离开网络之后安全策略仍然有效;
✓软件分发,功能强大、快速分发
Ø在不对客户端用户造成负担的前提下,确保安全补丁和病毒特征码的正常发放和安装;
Ø支持大规模数量的客户机、大型软件的快速分发,支持MultiCast分发、断点续传、多文件服务器等技术;
Ø支持自动安装、手段安装,支持多种打包工具和打包格式,如:
Wise、MSI打包。
Ø可以方便灵活地按网段、部门、IP、操作系统类型等条件选择软件分发目标。
✓远程协助与监控,不到现场、胜过现场
Ø实时监控客户端画面;
Ø可以选择远程控制或者只监视不控制,满足各种场合的需要;
Ø可以同时监控多台客户端画面。
✓分级、分域、分权限管理
SmartTM支持信息资产安全分级管理,各种安全管理策略可以按照:
部门、IP网段、IP范围、设备组、操作系统类型、操作系统语言等条件定义安全管理策略的应用范围。
✓全中文web管理界面
SmartTM支持全中文的WEB管理界面,管理员可以在任何能够联网的地方访问“IT安全运维管理系统”,完成管理维护工作。
✓源代码级技术支持
神州数码科技拥有SmartTM的全部知识产权,向用户提供源代码级技术支持。
多年来我们积累了丰富的系统管理方面的开发经验,能很好地满足企业个性化信息平台运营维护方面的需求。
SmartTM解决方案总体概述
1.4山西移动的终端安全管理需求
1.4.1提高设备利用率
∙收集设备使用信息
首先需要对设备的开机情况例如开机运行时间等,进行信息的收集。
可以使用客户端运行的代理程序来统计开机运行时间。
∙统计设备使用情况
利用收集到数据库的设备运行信息进行统计分析。
借助保存终端运行信息的数据库,通过指定时间范围(按日、周、月、年以及任意时间段等)、指定终端范围(单个、厅、县、地市、省以及任意自定义范围)来生成报表。
∙监测资源使用情况
监测资源的使用情况,在高于或者低于特定阀值的时候,进行资源调配。
通过对数据库记录的服务时间信息,可以设定一些特定阀值。
当统计数据超过阀值的时候,可以借由报表体现出来,方便进行相应的调整。
1.4.2提升人员效率
∙收集人员工作时间
使用客户端代理程序的人员终端代理模块,收集客户服务人员的服务时间信息,对每一次客户服务时间进行累计。
获得人员工作时间。
∙计算人员工作效率
根据收集的人员工作时间信息,计算客户服务人员工作效率。
通过数据库里保存的时间信息来产生客户服务工作情况报表,报表可以根据不同时间周期(按日、周、月、年以及任意时间段等)来计算人员(某个人或任意范围的人员)工作效率。
●监测资源使用情况
监测资源的使用情况,在高于或者低于特定阀值的时候,进行资源调配。
通过对数据库记录的服务时间信息,可以设定一些特定阀值。
当统计数据超过阀值的时候,可以借由报表体现出来,方便进行相应的调整。
1.4.3满足星级服务要求
●收集服务响应时间信息
服务响应时间指的是从客户开始办理业务到业务办理完成的整个阶段的时长。
可以通过排队机记录的信息或者特制的硬件开关配合人员终端代理模块记录信息来进行收集。
●统计服务响应时间
通过统计服务响应时间,能够发现哪些地方容易形成服务响应过慢的情况,结合其它的信息,可以进行判断,是否是由于客户服务人员不熟练、是否是由于终端故障、是否由于网络问题等等。
1.4.4实现设备状态监控
通过对设备的监控,及时发现出现故障和推出服务的设备,以及时响应或者调配资源。
●监控设备运行情况
扫描和监控设备运行的情况,定时将信息提交服务器,并在系统出现故障时向服务器告警。
●统计设备运行状况
根据收集的设备运行信息,可以统计设备的运行状况,既有多少终端当前在用、多少终端出现故障、多少终端报损等等。
●统计退服率
可预先定义一个超时阀值,当终端超过这个时限未能与服务器联系,则认为该终端已经退出服务。
通过在服务器上借助数据库,统计未在指定时限内更新数据的客户端,即可统计退服率。
●统计故障率
利用设备终端代理模块,可以上报出现故障的客户端。
通过在服务器上借助数据库,统计有故障的客户端,即可统计故障率。
实现这一需求需要使用到的技术模块是后台服务模块、设备代理模块、数据库模块、报表模块。
1.4.5资产管理
利用成熟软件加上个性化开发,实现软硬件资产的自动上报,并根据收集的数据,生成相应的报表。
可以针对需求自定义报表及用户界面。
1.4.6策略管理
利用成熟软件加上个性化开发,实现对终端的行为控制的策略化管理。
通过统一定制的策略来管理终端的运行行为,并且可以实现分级管理。
例如对特定程序进行限制、阻止访问特定设备等等。
1.5SmartTM解决方案总体设计思路
1.5.1方案设计原则
在“IT管理”方面,目前全球各大企业均在部署实施IT服务管理系统,IT服务管理是用来提升IT服务效率,协调IT服务部门内部运作,改善IT部门与业务部门之间的沟通,帮助企业对信息化系统的规划、研发、实施和运营进行有效管理的方法。
IT服务管理结合企业环境、组织结构、IT资源和管理流程特点,将流程、人和技术三方面整合在一起来解决IT服务管理问题。
IT服务管理以客户需求(在企业内部则为企业内各部门的业务需求)为中心,支持企业的业务服务。
IT服务管理实施有一套被国际上大公司普遍采用的行业标准——IT基础架构库(ITIL),即IT服务管理最佳实践。
ITIL最佳实践为IT服务管理定义了十个管理流程和一个管理职能,它们包括:
事故管理流程、问题管理流程、变更管理流程、发布管理流程、配置管理流程、服务级别管理流程、可用性管理流程、能力管理流程、IT财务管理流程、可持续性管理流程、服务台。
前五个管理流程加上服务台是IT服务管理日常运行中的流程,是基础流程;后五个管理流程是IT服务战略性流程,是为了评估、考核IT服务管理水平的流程。
全球超过10000个IT用户实践经验表明,ITIL是IT服务管理的最佳实践。
解决方案的设计要采用IT服务管理的理念,按照ITIL最佳实践标准来设计。
整体系统的设计采用以下具体原则:
Ø先进性原则:
提供一致的管理平台和管理界面,在复杂的IT异构环境中实现统一管理,实现分布式、跨平台、跨系统的集中管理。
Ø开放性原则:
能够提供标准的和开放的应用接口及开发工具,符合IT技术未来的发展方向。
Ø可扩展性原则:
具有高度可扩充性,能随IT系统和企业业务的增长而增长。
Ø安全性原则:
对监控对象性能影响小,安全策略执行有效。
Ø易用性原则:
提供运行维护管理平台与工具,简单、友好的界面,进行直观的操作和管理,提供丰富准确的报表和统计数据。
1.5.2统一的集成化管理平台
IT系统管理是多层次、多视图立体的管理系统。
从管理对象角度,IT系统管理需要覆盖到网络设备、主机设备、标准的和非标准的应用系统。
从管理功能角度,IT系统管理需要提供整个IT系统的故障管理功能、性能管理功能、配置管理功能和安全管理功能。
解决方案要向IT系统管理员呈现整个计算机网络系统整体运行状况,有一个统一入口,有整体的运行状况监控图和统一的事件控制台。
在系统运行状况监控图中,系统管理员不仅可以看到网络设备的运行状况,也能够看到主机设备、各种应用系统的运行状况;不仅能够看到故障信息,也能够看到整个计算机网络系统运行的性能信息、配置信息和安全信息。
1.5.3支持多厂商设备
解决方案设计的系统要能够实现对主流厂商的网络设备、主机设备、网络安全设备、应用系统和各种PC机的管理,是一个采用国际、国家或者行业标准的开放系统,以便能够支持升级后的IT系统管理。
1.6SmartTM系统架构
SmartTM系统(简称为SmartTM)是深圳神州数码科技自主研发的IT安全运维管理产品,专门为企业和政府解决大量桌面PC安全管理和支撑关键业务的网络、主机、应用系统运行监控而设计,在设计上遵循国际IT服务管理标准--ITIL标准和IT安全管理标准――ISO17799标准。
SmartTM产品架构如下图所示。
图51神州数码IT运行管理平台系统结构图
SmartTM分为三个层次:
(1)IT安全运行管理门户。
将所有IT运行管理相关的工作和任务以综合门户方式展现,提高管理效率并简易操作。
IT运行管理门户向IT管理员展现整个IT系统包括网络、主机、数据库、各种应用系统的运行状况信息和IT系统资源配置信息,记录事件处理过程的历史信息,为用户提供知识库查询帮助。
通过屏幕、Email、短信、声音、Message、电话等通知IT管理员。
IT运行管理门户部分实现了ITIL最佳实践的服务台功能。
(2)IT管理业务。
IT管理业务层包括了各种IT服务管理业务实现模块。
配置管理是IT管理业务层的基础,它负责自动收集IT系统的各种配置信息,为其它IT管理业务模块提供统一的配置数据库。
事故管理、发布管理、服务级别管理模块、安全管理模块实现ITIL的服务支持流程。
(3)采集器/控制器。
采集器和控制器与被管理IT资源进行数据通信,通过标准和非标准通信协议从被管理IT资源采集运行状况信息、控制被管理IT资源。
其中最重要的两个采集器和控制器是SNMP代理和UniAccessTM代理。
SNMP代理实现对宿主机器和应用系统运行状况的实时监控,主流的网络设备、主机设备和标准应用系统都会提供SNMP代理。
UniAccessTM代理是神州数码科技提供的私有
升级会员 