单位内网安全管理解决方案.docx

1、单位内网安全管理解决方案单位内网安全管理解决方案目 录 2一、系统需求分析 41.1当前网络环境 41.2网络管理中面临的问题 41.2.1非法接入问题 41.2.2终端安全管理问题 51.2.3 IP地址管理问题 51.2.4移动存储设备管理及安全审计管理问题 51.2.5非法外联问题 61.2.6终端补丁管理和软件分发问题 61.2.7资产管理问题 61.2.8缺乏统一的远程帮助平台问题 6二、内网安全解决方案 82.1 系统部署和管理构架 82.2 系统部署时的硬件配置 82.3 终端节点加固 92.3.1 补丁自动分发和管理 92.3.2 网管可统一配置的主机防火墙（网管控制包过滤）

2、132.3.3 弱口令监控 152.3.4 用户权限变化监控 152.3.5 关键进程加固 152.3.6 注册表加固 162.4终端全面管理 172.4.1 IP地址管理 172.4.2 IP、MAC地址绑定 182.4.3禁止修改网关、禁用冗余网卡 182.4.4资产管理 192.4.5终端桌面管理 202.4.5.1流量管理和控制 202.4.5.2软件及进程监控 212.4.5.3硬件及端口控制 232.4.5.4点对点审计和维护 242.4.5.5上网访问控制 252.4.5.6垃圾文件清理 262.4.5.7其他管理 262.4.5.8终端消息通知 272.4.6终端安全管理 27

3、2.4.6.1桌面密码权限管理 272.4.6.2终端统一防火墙和杀毒软件管理 272.4.6.3注册表监控/保护 282.4.6.4终端连线/离线策略管理 292.4.7网络主机运维监控 292.4.8非法外联行为监控 302.4.9普通文件分发 302.5网络接入控制管理 312.5.1 VRV设备接入控制概述 312.5.2设备接入控制实现模式 312.5.2.1基于802.1x协议的交换机端口接入认证 312.5.2.2基于设备接入网关的互联网接入认证 332.5.2.3基于设备接入网关的业务服务器接入认证 342.5.2.4基于VPN的访问控制 352.5.3身份认证系统与EDP A

4、gent双重认证 362.5.3.1双重认证功能描述 362.5.3.2双重认证功能实现方法 372.6移动存储管理及安全监控强审计管理 382.6.1移动存储管理 382.6.2文件保护和访问审计 392.6.3文件输出审计 402.6.4注册表审计 412.6.5上网访问行为审计 412.6.6聊天行为审计 422.6.7其他行为审计 432.7档案、报警和日志管理 432.7.1档案管理 432.7.2 日志管理 462.8实名化管理 462.9远程呼叫帮助平台 472.10远程数据包和流量分析工具 48三、预计可达到的成效 50一、系统需求分析1.1当前网络环境(标红部分按具体实际情况

5、写)*单位 (简单介绍*单位)。随着单位信息化建设的不断加强，*单位的终端计算机数量还在不断增加，网络中的应用日益复杂。*单位的网络保障着各种日常工作的正常运行，保证其安全、正常的运行十分重要。目前*单位为了维护网络内部的安全及提高系统的管理控制，需要对单位内部*台终端统一部署配置网络，并实施安装统一的网络安全产品进行管理。其网络是物理隔离网络，允许连接到INTERNET广域网，许多终端并没有完全通过IT设备连接入网，虽然使用了多种安全监控手段，但是在当前的使用中还会存在很多的问题，网络安全员和网络管理人员疲于应付各种安全和日常维护事件，网络也经常收到各种安全事件的威胁，其网络可能面临着如下的

6、桌面节点安全和管理问题。1.2网络管理中面临的问题*单位已经建立了比较完善的网络管理行政制度，但是以往在网络管理工作因为缺少相对应的技术手段，网络管理制度无法得以落实，致使管理员的日常维护工作繁琐，同时还有信息泄密的风险。一个成熟的网络安全管理理念应该全方面的主动防御，而不是事后责任追查。网管人员在多年的管理中总结出部分有待解决的需求：1.2.1非法接入问题在*单位单位内部可能会出现外来笔记本接入的问题，可能会造成单位内部的涉密文件被窃取，引入病毒等严重后果。需要禁止非法PC机接入内网及和内部主机相互连接，防止重要资料的泄漏，防止内网用户通过拨号等外联方式连接互联网。需要对外来终端设备进行详细

7、的安全认证及身份认证。1.2.2终端安全管理问题计算机病毒是目前对网络及计算机安全最大的威胁，目前*单位内部虽然已经统一配置安装了*杀毒软件，能够对病毒进行一定效果的防范，但是仍存在终端升级不及时，版本不统一，管理不规则等问题。目前*单位的终端的密码经常被改动，其安全性（包括密码长度、弱口令等方面）得不到有效的保障，而且终端的注册表也经常被改动，不能够对其进行及时有效的发现与控制，这些都对内网的安全造成了威胁。*单位的许多终端的IE的安全性令人担忧，而且有些终端已经安装了不安全的插件和恶意软件，这是一个急需解决的问题。*单位的内部网络经常会出现流量过大的问题，造成网络的不畅甚至拥塞，急需对网络

8、流量进行监控。而且*单位员工上网行为往往不规范对终端的上网访问行为进行审计，对其违规操作进行阻断。办公环境的计算机不允许安装及使用与办公无关的软件，当发现有非法使用违规软件是应该立即禁止。需要对软件的安装过程及软件执行所启动的进程进行控制。对于其他不安全的进程以及服务也需要加以监控。1.2.3 IP地址管理问题以往对网络内IP地址分配和管理都需要人工来进行操作，并且在IP、MAC绑定上需要网管型交换机来完成，前期网络管理员的工作量太大，在有新的设备入网时网络管理员需要再次对交换机进行操作，如果操作不当可能造成一个资源子网不能正常工作，影响业务系统正常高效工作；当没有进行IP、MAC绑定时会出现

9、私自盗用他人IP地址的行为，造成合法的IP使用人不能正常入网工作，IP盗用成功后，如果有违规的网络行为时也不便于进行事件责任定位。1.2.4移动存储设备管理及安全审计管理问题外来移动存储设备随意接入网络内终端同样可能会造成单位内部的涉密文件被窃取，引入病毒等严重后果，对于具有防火墙、网关等硬件防范的网络，移动存储介质在网络内部造成病毒感染是病毒在内网传播的主要方式。如何防止外来移动存储介质随意接入网内终端，如何保护终端的涉密信息，对涉密信息的访问、修改、复制、删除进行控制和审计，如何能够对涉密文件的打印、发邮件、网络共享进行控制，发现敏感字能及时过滤，并对以上所有行为进行审计记录是急需解决的问

10、题。1.2.5非法外联问题对于*单位来说，保密工作是一项非常重要的工作。内部人员非法连接外网会增大病毒渗入和黑客攻击的风险，更为严重的会导致内部资料的泄露，给*单位造成无法逆转的严重损失。为了防范这些隐患，必须防止内部人员未经允许非法连接外网。1.2.6终端补丁管理和软件分发问题对于*单位的内部网络，每台终端的操作系统及相关软件的补丁更新是用户及网管员最为烦琐的问题。没有妥善的管理体系，轻则会因为流量问题，导致网速较慢或断开网络，重则由于兼容问题造成机器蓝屏、死机等，影响单位的正常工作活动。这就需要有相关系统能够完成客户端操作系统补丁检测、补丁下发、补丁安装、补丁安装信息回馈等功能，而且能够分

11、发任何形式的软件，软件下发后能够获取软件下发整体情况，用以及时调整软件下发策略。1.2.7资产管理问题对*单位网络的管理而言，软硬件资产的管理将是非常重要的一个组成部分。如果不能全面的掌握终端计算机的软硬件资产，那么对于终端上非法安装的软件以及终端硬件的变化就无从知晓，这就可能造成单位硬件资产的流失，对网络的全面管理更无从谈起。1.2.8缺乏统一的远程帮助平台问题*单位的终端用户对计算机的熟悉程度参差不齐，对于一些对计算机认识不够用户来说，一个小小的软件使用问题都有可能要求助于网络管理员，一旦出现程序无法正常运行时往往束手无策。部门的分布比较广泛，管理员往来奔波，致使处理问题的效率不高。如果计

12、算机用户能在远程发出求助请求，管理员在远程进行程序安装、调试程序，势必会节省时间，提高管理员的工作效率，统一的远程呼叫帮助平台就成为必要。二、内网安全解决方案2.1 系统部署和管理构架*单位网络为内部隔离网络，网内有*台终端。根据实际情况需要可以部署X级内网安全管理系统对终端进行统一监控和管理，一级管理节点部署在，二级管理节点部署在，三级管理节点部署在（根据实际情况填写）。由于系统管理采用B/S构架，管理员可在网络的任何终端通过登录内网管理服务器的管理页面进行管理和各种信息查询；所有的网络终端需要安装客户端程序以对其进行监控和管理。具体的部署和管理构架如下：网络通过内网安全管理服务器对全网进行

13、网络客户端的各种策略和配置补丁以及文件的下发，流量监控、违规联网监控、入网设备联网状况监控、终端软硬件管理、系统文件分发、消息分发等工作，并对客户端进行各种行为和状态的监控。网络终端上的客户端程序可将各种网络终端的状态信息、日志信息和报警信息上报，可通过管理节点对异常计算机进行断网等处理，也可通过系统远程对客户端进行故障诊断和维护。（如果实际情况需要）系统可以进行无限制的多级级联部署，各级网络独立安装相应的管理软件。下级管理节点统一汇总本级的报警信息和统计信息，统一上报管理节点；上级管理节点的管理策略、命令、各种补丁或病毒库升级文件统一下发下级管理节点。系统将来可根据实际需要在客户端数量、管理

14、层次和功能扩展上进行无缝平滑扩展。在同一级管理节点，可根据实际网络拓扑情况，安装多块网卡，满足对同级不同网段的管理。（拓扑图）2.2 系统部署时的硬件配置管理控制台：管理服务器1台:硬件需求：CPU至强 2.8或以上, 2*1G内存硬盘146G SCSI或以上软件需求：操作系统 Win 2000 Server或Win 2003 Server数据库系统 SQL Server 2000 2.3 终端节点加固2.3.1 补丁自动分发和管理补丁监控和分发功能图 利用北信源主机监控审计与补丁分发系统可彻底解决补丁问题，其具体实现如下：1补丁策略制定包括补丁应用策略制定、补丁文件分发任务制定。可以根据要求

15、按照不同的区域进行划分，可按照IP地址、部门、操作系统、用户自定义等方式进行区域划分。具体的补丁策略制定：具体可支持定时、定周期、分类、分部门、分范围、客户机状态和用户自定义等策略。补丁策略分发：具备详尽的补丁分发策略，补丁可以定时、定周期、分类、分范围、分部门、分范围、客户机状态和用户自定义等进行分发。补丁文件任务制定：针对特定的一个补丁或多个补丁，对指定计算机或者计算机网络进行补丁自动分发安装。补丁中心将网络客户端分类，设置测试类客户端，补丁在测试类机器上经过严格测试后，再正式对其他类网络机器进行分发。此外，内网安全管理系统还提供补丁下载流量控制功能，补丁管理中心区域管理模块能够对网络不同

16、网段、不同区域的终端补丁升级进行流量、数量控制，避免造成对网络的流量影响，合理控制网络带宽。实例图2 补丁下载检测和增量式导入对于物理隔离的内部网络，其内部的补丁升级服务器中的补丁数据必须从外部导入，巨大的补丁数据库使得每次补丁导入相当烦琐。为此，北信源使用增量式补丁分离技术，在外网导出补丁时，可分离出内网已经安装的补丁，只导入内网尚未安装的系统补丁，即仅对内网的补丁进行“增量式”的升级，以提高效率。当有新的计算机补丁公布可以下载后，北信源公司由专门的人员在第一时间内获得，并进行相应的分析，更新补丁索引文件。系统拥有专门的外网补丁下载服务器，能根据索引自动下载新增的计算机补丁，补丁校验功能对所

17、下载的补丁进行校验，保证计算机补丁的可靠性、完整性、安全性。补丁在导入时并具有病毒检测功能，保证导入到补丁库中的补丁不被病毒感染。3补丁安全自动测试*单位的环境中，可能会包含特殊的应用或特殊的软件版本，在这些环境中，有时会出现打补丁后系统或应用异常的情况，所以在大规模补丁分发前需要进行真实环境的补丁测试。北信源系统独创了真实环境闭环测试技术，具体的流程是首先由网管选定某些计算机作为测试计算机作为测试组，每次补丁导入后内网后，首先自动分发至这些选定计算机进行新补丁的安装测试，从而自动地进行非模拟性自动测试。如果补丁安装后对测试计算机未产生影响，被测试计算机能正常运行，网管员便可根据相应得策略对网

18、络内的计算机进行大面积的推送。此技术可以很好的减轻网管的测试工作量，并提高补丁安装的安全性。补丁自动测试图4补丁库自动分类系统对存放到服务器上的计算机系统补丁能进行相应的分析，自动得出补丁属性、类型和与之相关的补丁说明，并在网页中进行清晰明了的显示。可以方便管理人员根据相应的需求，高效快捷定义补丁分发策略，及时的针对不同的系统和需要分发计算机补丁。系统同时提供管理员自定义补丁类别的补丁管理方式，如果需要也可由相关的管理人员自行设定相应的自定义补丁类别以符合其管理的需要。5 补丁库的级联和同步系统可以针对补丁进行级联式的分发和管理，在级联级数没有任何限制并在三级的基础上进行无缝平滑扩展。可定期进

19、行同步校验，也可自主设定同步校验周期和时间。在有新补丁导入时，也可以自动触发与下级服务器间的同步操作。所有的同步过程均可自动完成，上级服务器可以了解下级服务器补丁库是否同步成功。6补丁安装检测、自动分发补丁*单位的网络管理人员通过本模块全面检测网络系统终端补丁的安装状况，并通过此模块，对没有安装补丁的设备进行远程补丁安装,将最新补丁升级包及时分发到终端计算机，并提示安装修补，在客户端有明显提示，通知用户打补丁。系统可以对客户端安装的系统的版本，IE版本的补丁安装情况进行自动探测和维护（客户端计算机的补丁安装情况包括Windows、Office、IE、微软媒体播放器等），自动搜集客户端系统资料和

20、安装补丁资料，以根据客户端系统的实际状况自动分发所需的补丁。7补丁推送安装当系统检测到有客户端未打补丁时，可对漏打的补丁进行推送式的安装。同时，通过推送安装，也可以为客户端安装应用软件。补丁推送分发可以跨网段，跨VLAN,补丁分发支持断点续传功能。补丁下发过程中，如遇到特殊事件造成网络中断，则在下次网络连通时通过校验得出已传输的数据和断点位置，进行续传。8系统补丁报表监控程序将网络客户端补丁信息上报管理中心后写入数据库，在WEB管理平台可进行补丁报表察看，统计网络客户端补丁安装状况。9补丁下载流量控制系统可以利用多种方式进行下载流量控制：1、系统能够根据网络的负载情况自动调整分发补丁时所占的网

21、络带宽和并发连接数；2、根据手动设置允许的带宽或服务器并发连接数及每个连接所允许使用的带宽；3、系统同时支持客户端转发代理补丁下载，以减少网络带宽流量，提高效率。10服务器端补丁查询客户端软件实时监控客户端系统漏洞及补丁安装情况，服务器端补丁查询补丁可根据补丁名称、待查询IP范围、操作系统、待查区域，查询时间或其它条件对区域网络范围内的计算机终端进行补丁安装状况查询，通过网管设定的查询条件，能快速的获知所查询补丁的安装情况（如补丁发送是否成功，补丁安装是否成功，补丁是否已被安装等），以保证补丁及时的安装。11客户端网页查询补丁安装信息因为很多用户习惯通过访问微软的Update网页，检查自己漏打

22、的补丁，并进行下载安装。作为物理隔离的网络，内网中的用户无法访问此网页，因此从用户的习惯角度出发，内网中也应该有类似的网页，以便用户访问和获知本机补丁安装情况，进行补丁下载安装。安装了系统客户端的计算机可以通过访问内网的特定网页，对本机所缺少的计算机补丁进行查询，查询结果在网页上进行显示，计算机用户根据需要进行安装。12 新（长时间关机）客户端入网先打补丁对于*单位网络，网络中可能会有网络攻击型病毒，在扫描终端漏洞，当未安装补丁的终端接入网内时，可能会立即感染病毒，并成为新的病毒攻击源。因此新接入内网的终端，应只能和补丁管理服务器通讯，不能和其它设备进行通讯，以免感染病毒。系统具备先进的判别技

23、术，对于新机器或长时间关机的计算机，在其进入网络时，能快速的发现并识别此类计算机，对这类计算机发送相应的提示，如提醒用户下载并安装计算机补丁，提醒补丁下载的位置和计算机用户下载并安装所需的计算机补丁。也可对这些计算机进行补丁强制推送，安装计算机所缺少的补丁。系统可保证此新（长时间关机）的客户端刚接入网络时，不与网络中除补丁服务器外其它计算机的通讯，只在上网后首先进行补丁安装工作，只在补丁安装完成后，才开放其与网内其它计算机的通讯。2.3.2 网管可统一配置的主机防火墙（网管控制包过滤）蠕虫病毒均是通过一定的端口进行传播和发包，如果网管可以统一控制网络中计算机的端口，关闭病毒使用的端口，进行端口

24、加固，就可以有效阻止这些病毒的传播和破坏。系统具备可由网管根据需要统一配置的客户端主机防火墙，可按照策略控制客户端的特定端口的连接，包括禁用（开启）指定的端口，禁止Ping入（出），设定IP区域访问控制，进行包过滤控制等，也可禁止使用代理服务器，系统不管如何设置包过滤规则，均不会造成维系管理服务器对客户机管理的通信无法进行。当某些客户端临时离开内部网络安装到其它网络时，客户端软件的包过滤功能和禁止使用代理服务器功能可根据管理员的预设置策略自动关闭或继续工作。利用此功能可实现： 1.端口控制：禁用填充项中指定端口，开放其它端口； 开放填充项中指定端口，禁用其它端口； 禁用填充项中指定端口；开放填

25、充项中指定端口；端口可按照范围进行填写。2.ICMP协议控制禁止ping入禁止ping出协议双向禁止3.IP地址访问控制只允许填充项中IP地址访问自己，禁止其余IP地址访问。只允许自己访问填充项中IP地址，禁止访问其余IP地址。2.3.3 弱口令监控目前很多病毒已经可以“猜”出用户机的口令，如果计算机使用弱口令，病毒将会通过这些弱口令获得计算机的控制权，并进行传播。这类病毒的传播行为靠杀毒软件或者补丁加固均无法进行控制。系统可以检查开机密码是否是弱口令，以保障系统不因为弱口令被病毒和黑客攻击。2.3.4 用户权限变化监控网络终端的权限一般不会被用户检查，正常的客户端用户权限极少改变，但是很多病

26、毒和黑客的攻击很多是利用计算机上权限的变化实现的，计算机上权限的变化造成的危害往往是致命的，因此十分有必要对终端权限的变化进行监控，以告知终端用户和网络管理人员。利用此项功能可实现：1. 当系统用户系统权限发生改变时，进行上报和客户端提示；2.当系统用户系统组权限发生改变时，进行上报和客户端提示；3. 当系统用户增加时，进行上报和客户端提示；4. 当系统用户减少时，进行上报和客户端提示；5. 当系统用户组增加时，进行上报和客户端提示；6.当系统用户组减少时，进行上报和客户端提示；2.3.5 关键进程加固设定关键进程，对关键进程进行保护，如果出现未响应进程和意外退出等现象，被加固的进程将自动进行

27、（如退出、退出并重起等）处理。可以保证查询系统的正常运行。关键进程加固2.3.6 注册表加固系统可屏蔽选定用户计算机的一些程序进程对注册表的使用，通过该策略可以有效的防止违规进程对用户注册表的破坏。 注册表保护策略2.4终端全面管理对于成熟的网络管理来说，静态的IP地址管理以及成为一种趋势，IP地址的实名化管理和绑定成为必要。实名化的管理在网络事件发生时便于进行快速的事件定位，缩短故障排除时间。进行IP地址绑定是为了防止他人非法盗用他人IP地址以达到个人目的，并逃避责任。2.4.1 IP地址管理 针对已经分配的IP地址采用实名化管理，便于快速事件定位；计算机用户列表IP地址占用列表 针对没有分

28、配的IP地址能够自动发现非法占用，并进行处理；阻断未分配的IP地址2.4.2 IP、MAC地址绑定 通过策略配置快速的实现IP、MAC绑定，绑定后，对私自修改IP计算机进行地址恢复，或断网，同时上报服务器保存。IP、MAC绑定示意图私自修改IP的违规查询2.4.3禁止修改网关、禁用冗余网卡如果终端装有双网卡，可使用“IP与Mac绑定策略”中的“禁用冗余网卡”功能来实现对冗余网卡的禁用。选中此项功能，则只保留与区域管理器通信的网卡，禁用其他的网卡。2.4.4资产管理实际使用中，可能会出现客户端用户随意拆卸网络终端硬件的现象，这会给网络终端的管理带来混乱，甚至可能造成内网网络信息网硬件设备资产的流

29、失。桌面计算机安装客户端程序后，客户端程序会自动收集当前计算机的各种硬件信息，包括CPU、内存、硬盘、网卡MAC地址、主板芯片、主板上的板卡等主要硬件信息。信息收集完成后自动上报给VRVEDP服务器，保存在后台数据库中，管理员有需要的时候只需要登陆管理平台，选择查询条件就会生成管理员需要的硬件资产报表，同时还可以导出Excel报表，并可对其变化报警。终端资产示意图报表生成示意图2.4.5终端桌面管理2.4.5.1流量管理和控制蠕虫病毒和BT下载等行为在很多情况下会严重占用网络带宽，造成网络的拥塞甚至瘫痪，对此可利用本系统进行流量的管理与监控。 主要功能： 1.流量采样阈值设定：用户自主设定采样

30、阈值，当流量（含出、入或总流量）超过一定限度并持续一定时间后，进行有关信息上报，防止上报数据过多给网络带来负担。2.上报的当前流量进行汇总，对当前的流量进行时实排序，以便网络管理人员进行快速分析是否是网络安全事故。3.对网络客户端的历史流量进行统计和排序，并可生成报表。4.对并发连接数设定阈值并进行采样。5.对网络扫描的可疑行为进行阈值设定和报警。6.对客户端大量发包的可疑行为进行阈值设定和报警。7.对具备可疑行为的客户端进行报警上报、自动阻断、客户端提示等管理。8.设定网络客户端流量上限阈值，对超过的进行报警上报、自动阻断、客户端提示等管理。流量策略实例图2.4.5.2软件及进程监控 1.软

31、件资源统一监控1)软件资源统一监控：自动收集安装在每台计算机上的每种应用程序信息，包括安装的操作系统种类、版本号以及当前补丁情况、客户机安装的软件等信息和驱动程序情况，并进行汇总管理。2)系统能够及时检测主机软件信息变化情况。3)根据条件查询客户机安装的软件或指定软件被哪些客户端安装等信息。4)对软件安装进行黑白名单控制，即根据策略设定禁止安装的软件和必须安装的软件。5)违规软件禁止安装功能，禁止在注册表Run项里添加自启动项，禁止在注册表Services项里添加自启动项，禁止在程序启动项中添加项，禁止在程序项中添加快捷方式限制违规软件的安装，所有安装软件均可进行审计。实例图6)对重要的进程进行守护，防止由于意外或认为原因造成重要进程中断。7) 对违规的客户端进行客户端提示和断网处理等相应措施。2. 网络进程监视功能统一汇总和监视网络各终端的进程，可以增量式的显示网络中新出现的进程，也可统计网络中最常运行的进程，从