神针内网安全管理解决方案.docx

1、神针内网安全管理解决方案相传大禹治理黄河时有三件宝，一是河图；二是开山斧；三是定海神针。定海神针为女娲娘娘所赐，可测量河海深度，定水势。有神针在，就不会翻江倒海。“神针”内网安全管理解决方案联想网御科技（北京）有限公司前述联想网御的“神针”内网安全管理解决方案是以神针内网安全管理系统（以下简称“神针”）为核心，通过神针与防火墙、IDS、VPN等产品联动，为您的网络提供了以下五个安全解决方案。 安全准入控制解决方案 内网终端入侵行为管理 数据防泄漏解决方案 实名制管理解决方案 终端运维管理解决方案神针系统组成管理服务器：指安装了神针管理程序的服务器。负责给神针终端下发安全策略、接收客户端程序的检

2、查结果并进行审计，发送与接收与网关联动相关的信息指令。 神针终端：指安装了神针客户端程序的终端主机。客户端程序负责收集终端信息，接受并执行管理服务器对终端下达的管理指令。其他关联组件第三方服务器：是指系统补丁服务器、病毒服务器、认证服务器和安全代理服务器等。安全联动设备：是指用户网络中的交换机、防火墙、VPN网关等设备。目 录神针安全准入控制解决方案 1方案概述 1组网结构 3功能特点 4组网应用 5局域网安全准入防护 5VPN安全准入防护 6无线网络安全准入防护 6非802.1X网络安全准入防护 7神针上网行为管理解决方案 8方案概述 8功能特点 9神针数据防泄漏解决方案 11方案概述 11

3、功能特点 11主机文件数据防泄露 11移动存储介质安全管理 12神针实名制管理解决方案 13方案概述 13工作流程 15神针终端运维管理解决方案 16功能特点 16神针统一安全管理 18神针安全准入控制解决方案当前，外来终端主机随意接入网络，会导致IP地址冲突、病毒传播、数据信息泄露等问题；正常办公的终端主机也因未处于监管，致使终端系统补丁和病毒库不及时升级、非法外联等情况时有发生。脆弱的、缺乏控制的终端主机接入网络，等同于给潜在的安全威胁敞开了大门，进而导致网络管理的“失控”。因此，保证终端主机的安全、阻止威胁入侵网络，对用户的网络访问行为进行有效地控制，是保证网络安全运行的前提，也是目前企

4、业急需解决的问题。联想网御神针安全准入控制（SAC，Security Access Control）解决方案是以神针内网安全管理系统产品的安全接入控制功能为核心，实现网络设备与终端管理产品的整合，从而对终端接入网络的事前、事中、事后的全过程监控。通过严格的安全策略来贯彻企业的网络安全管理制度，严格控制终端的网络使用行为，有效地加强企业网络的主动防御能力，实现“只允许合法用户操作的合法终端接入网络，并对终端的合规性和访问的合法性进行严格检查”的网络安全准入的管理目标。方案概述神针SAC解决方案对用户网络准入的控制过程如下图所示：神针SAC内外网准入控制解决方案的具体实现流程说明如下：第一步，终端

5、初始化。要求终端主机安装ISM客户端程序。第二步，终端用户认证。拒绝非法（未安装ISM客户端程序）用户接入网络。 远程接入用户认证。SSL VPN产品可检查远程终端主机是否安装ISM客户端程序，拒绝未安装ISM客户端程序的终端主机接入网络 内网接入用户认证。在防火墙防护区域，可进行终端主机认证，杜绝未安装ISM客户端程序的终端主机接入。 终端修复。利用802.1X协议控制可对未安装ISM客户端程序的终端主机进行修复。第三步，认证合法，终端检查。认证合法的终端主机自动根据网络管理员定制的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单、是否有非法外联等内容的主机合规性检查。认证合

6、法的主机在终端检查或者进行违规操作时，可不依赖网关设备，ISM系统本身就可设置隔离修复区与隔离静默区。 隔离修复区。启动该区后，ISM系统将未安装防病毒程序、病毒库未更新、系统补丁未安装的终端主机置于此区，并提示终端进行相应系统修复，此时终端只能访问病毒服务器、补丁服务器，禁止访问其它网络应用。终端修复完成后立即脱离此区。 隔离静默区。启动该区后，ISM系统将安装非法软件或进行非法外联等应用的终端置于此区，并提示终端停止非法应用，此时禁止终端访问任何网络资源，终端停止非法应用后立即脱离此区。第四步，认证通过并符合安全策略的终端将主机继续遵守网络管理员定制的访问权限规则。 此后，ISM系统可对终

7、端主机运行情况和网络使用情况进行审计和监控，当终端运行过程中出现违规行为，ISM系统将视同违规终端为未通过安全检查的终端，采用同样的处理方式进行隔离。符合条件后再重新接入网络。整个过程都是自动化执行，无需管理员人工介入。组网结构如下图所示，SAC解决方案的一般组网结构包括神针终端、神针管理服务器、安全网关、支持802.1X协议的交换机或无线接入设备、第三方服务器等。功能特点 远程准入控制世界在扁平化，网络应用在扁平化，内网的边界由于应用的扩展导致越来越模糊化。如果只是进行内网终端的安全防护，而对远程终端的接入实施进行简单的身份认证，那么内网安全将会出现巨大的安全漏洞。神针SAC解决方案实现神针

8、系统与SSL VPN、防火墙等安全设备联动，可对远程接入的终端主机进行是否安装客户端并受控、是否符合合规性、是否符合运行策略要求的全程安装检查，将准入控制的范围从局域网拓展到外联网络。 三级联防控制边界安全使用防火墙、终端安全使用防病毒、数据加密使用VPN等等，这种片面的网络安全防护时代已经一去不返了，安全防护需要整体观、全局观。神针SAC解决方案实现从终端主机的应用监控，到终端接入的准入控制，再到网络应用的访问控制，实现三级联防，从而脱离终端单点控制，将控制体系拓展到全网范围。 兼容状态和事件的安全检查神针系统不仅仅是针对终端网络接入的控制，而是将控制内容拓展到整个终端运行的全过程，当终端上

9、发生违反策略的事件时，神针系统将违规事件同样当做不符合合规性检查进行处理，进行强制隔离，将违规终端置于隔离修复区、隔离静默区等不同的隔离区，待符合合规条件后再重新接入网络。 强制全程运维监控神针系统建立了一个全程运行监控体系，从接入网络开始到运行的全过程，都有精确的访问控制，所以访问控制均按既定的策略进行控制、不留死角。安全策略可由管理员设定后自动运行。组网应用局域网安全准入防护当前，在企业网的接入层交换机大都是可网管的，支持802.1X协议，神针可以与这些交换机联动。通过联动，实现强制检查终端的神针客户端程序、病毒库更新情况和系统补丁信息，降低病毒和蠕虫传播的风险，同时强制实施针对网络接入用

10、户的安全策略，阻止来自企业内部的安全威胁。 VPN安全准入防护企业的外出移动办公终端、分部办公终端通过VPN方式接入企业内部网络。神针SAC方案可以通过VPN网关确保远程接入用户在进入企业网络之前，检查用户终端的安全状况，并在用户认证通过后实施企业安全策略。对于没有安装神针客户端程序的终端主机，管理员可以选择拒绝其访问内部网络或限制其访问权限。无线网络安全准入防护无线局域网（WLAN）以其安装便捷、使用灵活、经济节约、易于扩展等有线网络无法比拟的优点，得到越来越广泛的应用，但同时也为局域网带来了巨大的安全威胁。 在无线网络管理中，结合使用SAC解决方案，可以对无线接入用户进行身份识别、安全检查

11、和网络授权，有效地满足局域网的无线安全准入需求。非802.1X网络安全准入防护在很多网络是由不支持802.1X协议的交换设备搭建而成。对于这种网络环境，如何实现终端准入、安全检查、用户授权、行为记录等SAC解决方案？联想网御的安全网关设备（如联想网御防火墙、IPS等设备）在网络的边界与神针联动，对终端用户网络访问进行控制，同时由神针管理服务器进行准如策略的控制、安全状态的检测、用户身份和终端安全认证。神针内网入侵行为管理解决方案内网终端违反安全制度的入侵攻击及误用、滥用等网络问题会造成企业大面积的网络瘫痪，网络事故的频繁发生会对我们正常的工作造成不利的影响。在利用IDS/IPS等网络安全设备防

12、护的同时，怎么可以及时有效的阻断事故点，怎么可以避免这种网络事故的发生，是我们神针内网入侵行为管理解决方案讨论的重点。方案概述神针内网入侵行为管理解决方案从加强终端主机行为管理出发，全面对终端主机的3000种以上入侵规则及900种以上蠕虫病毒进行检测，主动拦截DoS/DDoS、扫描、缓冲区溢出、SQL注入、XSS跨站脚本、木马、蠕虫、间谍软件、网络钓鱼、IP Spoofing等各种攻击，可防范ARP病毒、具备对事故终端进行强制阻断，及时有效保护网络安全运行。功能特点 无人值守式管理的入侵行为检测及颗粒化响应神针内网入侵行为管理解决方案可对终端事故点进行强制阻断，减轻IDS/IPS产品的网络负担

13、。系统可配置报警控制台，策略制定的强制执行与响应，全程自动化管理，减轻网管人员网络维护的压力，最终对企业的内部网络进行全方位的安全保护。 终端行为统一管理神针内网入侵行为管理解决方案中具备专业的内网终端安全管理系统。功能主要包括：终端运维管理、终端安全准入控制、终端补丁分发、管理统一身份实名管理、数据防泄密等。 全网威胁统一审计神针报警控制台可进行报警信息、资产信息、终端行为信息的记录，并可形成报表。 可对终端主机的入侵及蠕虫病毒威胁进行阻断响应可针对终端主机的3000种以上入侵规则及900种以上蠕虫病毒检测进行颗粒化响应 可对终端主机的各种攻击进行拦截响应可针对终端主机的DoS/DDoS、扫

14、描、缓冲区溢出、SQL注入、XSS跨站脚本、木马、蠕虫、间谍软件、网络钓鱼、IP Spoofing等各种攻击进行颗粒化响应。 可防范网络中ARP病毒爆发针对局域网中ARP病毒泛滥的现状，能在第一时间发现感染源并对其进行阻断。神针客户端采用IP和MAC地址自动绑定的方法来防止ARP地址欺骗。神针控制台会存在一个ARP缓存表，该表中保存着网络中各个主机和网关的IP地址和MAC地址的对应关系。对于未安装客户端程序的主机，其它主机对其ARP广播拒收。工作流程神针内网入侵行为管理解决方案的工作流程是完全自动化的管理，每个功能均按策略进行制定、下发、执行。策略包含以下要素：规则、对象、条件、报警与响应、修

15、复与恢复。说明功能对象确定管理对象本地用户：终端本地登录的账号（如Administrator; Guest）；统一用户：支持Active Directory，Novell directory、RADIUS及并兼容第三方身份认证系统；规则确定对终端主机的管理目标资产管理、外设管理、补丁管理、非法外联管理、服务进程管理、邮件监控、流量审计；条件终端主机管理规则生效的时间及地点时间：可定义规则生效的时间；地点：定义规则的地点。地点分为在线、离线、在线与离线；报警与响应终端主机违反管理规则，系统采用的处理方式响应 对违规终端主机进行断网； 对违规终端主机进行锁定；报警 对违规终端主机进行消息提示及截图

16、取证； 可通过邮件、声音等方式通知网络管理员；日志 针对报警信息进行日志记录；修复与恢复终端主机违反管理规则修复后，恢复常态修复：系统可设定违规终端主机断网响应时可保持与修复服务器的连通；恢复：可设定违规终端主机被断网后恢复连接的时间；IDS/IPS与ISM协同防护工作流程图IDS/IPS发现违规终端主机立刻上报ISM管理控制台，ISM管理控制台针对规则对违规终端主机进行断网响应，同时通过报警控制台向网络管理员发出报警邮件并进行日志记录。神针数据防泄漏解决方案企业的商业合同、财务报表、软件程序代码等等商业秘密信息都分散地保存在员工的终端主机中。对于企业来说，企业老板电脑笔记本的文件重要程度已经

17、不亚于企业核心数据库。因此，对终端主机文件数据的加密存储和可控交换控制，已经越来越受到企业所重视。方案概述对企业来说，简单的、便于终端用户操作的解决方案才是最好的解决方案，联想网御神针数据防泄漏（DLP，Data Loss Prevention）解决方案就是这样的方案。安装了神针客户端程序的终端主机选中文件，单击鼠标右键就可选择进行文件的加密或解密操作。同时，基于全网的安全策略，约束了终端用户使用移动存储介质的使用，只允许经过了认证的U盘在内网终端使用，从而实现了文件数据交换实现可控制、可审计。功能特点主机文件数据防泄露基于“谁的数据安全谁负责”的原则设计，终端用户可按照自己的安全需求，自主对

18、文件进行加密保护。 操作简单终端主机的神针客户端程序接受管理服务器的允许启用此功能，终端就拥有了此功能。终端用户选定文件，单击鼠标右键就可实现加密或解密操作。 密钥简单无需复杂的密钥管理，可采用口令信息或本机硬件特征码或二者组合信息，对文件实现加密。对于采用组合信息加密的文件，只有知道口令的用户，只有在加密的终端上，才能对文件解密。 文件访问审计可根据设定的策略对终端主机的所有文件访问进行审计，对文件的打开、拷贝、复制、粘贴、打印、删除等所有操作均可进行审计。移动存储介质安全管理基于内网统一策略管理，可实现对外来U盘的全部禁止；按照不同的安全需求，选用注册U盘、保密U盘或安全U盘，实现文件安全

19、交换。 对外来U盘的注册管理 外来普通U盘必须在网络管理员处注册成为注册U盘，方可在注册地内网使用。注册U盘在外网主机的使用不受影响。 内网可以下达统一的安全策略，来限制注册U盘的使用范围、使用权限（只读/读写）等等，从而实现指定的注册U盘只有在指定的终端进行只读或读写的操作。 支持神针终端对注册U盘的在线和离线管理。 保密U盘只能在内网使用 普通U盘经过网御管理员必特殊处理和注册后成为保密U盘，只能在注册内网使用，在其他网络中无法使用。 通过安全策略，对可对使用保密U盘的终端主机范围和用户做出控制。 支持神针终端对保密U盘的在线和离线管理。神针实名制管理解决方案对于企业的网络安全目标，总结起

20、来是很简单，就是“应用网络安全技术，保障正常的业务应用安全；如出现安全事件，则可追查到事件责任人。”因此，企业在网络安全管理方面一般要经历以下几步走。第一步，一般是制定周全的网络安全管理制度，制定管理制度的目的是明确安全责任和操作规范，制度上墙了、宣读讲了，但是这些无法完全实现理想中的安全“制度落地”。第二步，购买防火墙、VPN等等网络安全设备，来希望实现访问控制、数据加密等功能，但这些都是头痛医头，脚痛医脚，但是这些无法完全实现“应用安全”。第三步，迈向何方？怎么让每个员工自觉的遵守公司的规章制度，来保证企业应用的彻底安全，是我们神针实名制管理解决方案要实现的目标。方案概述联想网御神针实名制

21、管理（TIM，True Identity Management）解决方案就是以神针内网安全管理系统中的实名制管理功能为核心，与防火墙、VPN等安全设备配合，同时结合神针的安全准入控制、上网行为管理、数据防泄漏、资产管理功能等功能模块，实现员工在使用网络用户身份访问业务应用过程中的身份管理、认证管理、授权管理，以及综合审计。从而，实现了“策略到人，控制到人，审计到人”的管理目标。 身份管理对已有用户身份管理体系的企事业单位，神针系统可与第三方身份管理系统融合。（包含使用windows域的企事业单位）。对无用户管理系统的企事业单位，神针系统内嵌RADIUS用户管理系统。 认证管理神针系统兼容各种认

22、证系统，可以实现无缝结合，如需变更现有认证体系。员工启动神针终端，提示输入认证信息（账号），根据认证信息（账号）进行管理策略的匹配和执行。 授权管理神针终端系统启动，员工如不输入认证信息（账号），安全策略定义的授权范围为最小，只能进行受限的主机操作。员工登陆终端主机输入认证信息（账号）进行管理策略的匹配，强制员工遵守此安全策略授权的行为权限。 综合审计终端审计可实现全部操作事件与用户身份的一一对应，并可按用户查询审计记录。网络审计配合实名IP策略，基于全网范围内IP地址与人员身份的一一对应，实现全部网络设备上的审计记录均可对应到具体用户。联想网御神针实名制管理解决方案建立了网络安全管理策略和用

23、户身份的对应关系，确保两者之间的一一对应关系。基于身份识别机制，可实现对“一机多人”和“一人多机”等复杂网络环境的细致管理，并实现用户操作的全程审计。 “一机多人”不同用户使用同一终端主机时，不同用户受到不同的安全策略的限制和管理； “一人多机”同一用户使用不同终端主机时，受到相同的安全策略的限制和管理。工作流程当用户登陆终端主机输入认证信息后，认证服务器会立即将用户认证信息上报给神针管理服务器，神针管理服务器将管理员制定的以用户为对象的安全策略下发至终端。当用户在终端主机有违规操作时，管理服务器会对违规操作进行记录和响应，同时将违规信息以邮件、声音、图标闪动等形式来提示网络管理员处理。神针终

24、端运维管理解决方案当前，终端主机系统配置是否合规？终端用户操作是否违规？这些问题的解决都需要对终端实现强管理和强审计。联想网御神针内网安全管理系统的终端运维管理功能模块对终端主机可进行安全保护、监控、审计和管理，自动评估终端主机的安全状态，自动执行安全管理策略，强制规范员工对终端主机的行为操作，来保证企业网络的安全。保护模块：外设管理、IP管理、端口管理、硬件管理、软件管理、账户管理、资产管理、病毒库更新管理监控模块：文件监控、进程监控、服务监控、非法外联监控、资产变更监控、流量监控、邮件监控、系统漏洞扫面审计模块：文件操审计、进程审计、服务审计、资产审计、报警审计、流量审计、邮件审计、终端风

25、险查询功能特点 系统补丁管理神针系统提供网络与主机两种漏洞扫描模式，也可与主流漏洞扫描设备进行联动，并根据扫描结果自动对终端系统漏洞下发补丁并报警。神针系统支持P2P方式分发系统补丁。补丁的分发过程中，除了从管理服务器下载补丁文件外，可以支持客户端之间点对点的补丁下载，避免了服务器的带宽瓶颈。神针系统对终端主机自动检测和自动安装，并支持补丁分发策略管理、分发补丁流量控制、补丁级联分发、自定义补丁管理、补丁增量更新、补丁回退等功能。网络管理员可自行维护系统补丁库，对于系统配置漏洞，可自定义脚本加以解决。 防病毒程序管理神针系统可监测终端主机防毒程序的安装、启用、特征库更新等情况，并可强制终端安装

26、和启用防病毒程序、更新病毒特征库。支持的网络防病毒程序包括所有主流防病毒系统，例如瑞星、卡巴斯基、诺顿、趋势、金山、江民、小红伞等。其他防病毒系统只要支持标准的WMI规范也都可以支持。 终端资产管理神针系统自动可收集终端的固定资产、自定义资产、资产变更等信息，并可对收集结果提供统计报表和图形分析输出，资产包括软件资产和硬件资产。 终端远程维护神针终端用户确认允许后，网络管理员才可对终端远程接管维护，从而部分地缓解了终端强管理过程中会出现的用户对立情绪。 服务、进程监控神针系统可设置黑白名单，来监控终端主机服务和进程。对违规终端可实施消息通知、锁定主机、断网和隔离等控制手段。 软件分发安装神针系

27、统支持任意格式的文件分发，分发路径可自由设置，自动将指定的软件分发到网络中指定的终端主机上。对于支持静默安装的软件，可自动辅助完成安装。 终端配置管理神针系统可对终端主机统一设置配置管理策略，管理的内容包括禁止修改IP、禁止修改主机名、禁止网络连接、禁止IE浏览器选项、禁止IE设置代理服务器、锁定设备管理器、关闭默认共享、禁用网上邻居、禁止打开控制面板、禁止运行操作等等。 全面终端审计神针系统分别对报警响应、网络行为、程序行为、文件访问行为、邮件日志、服务器日志、补丁分发日志、服务器级联日志等终端全部行为进行审计。神针统一安全管理只需在终端主机上安装一个神针客户端程序，就可完成对终端的网络接入

28、控制、上网行为管理、数据防泄漏、实名制管理、运维管理等全部安全管理功能。神针客户端程序采用Com组件技术，支持微软的Windows XP、Windows2000、Windows Vista等各种操作系统。 统一部署神针的策略由网络管理员通过管理服务器统一制定和下发，在终端上强制执行。统一设定的策略可以设定以下属性。 时间定义策略生效的时间，可根据日期、小时、分钟设置策略的生效或无效。 地点定义策略生效的地点，即可同时制定在线和离线不同的安全策略。终端主机在线（是指终端与管理服务器通讯）时执行在线策略，离线（是指终端与管理服务器不能互联通讯）时执行离线策略 身份针对用户制定策略。设定用户身份属性

29、后，可根据终端主机登录的用户身份进行不同策略控制，可对不同用户下发不同策略，来实现对不同用户身份的不同管理。神针支持多种身份管理系统，如Windows AD域、Novell Directory等LDAP系统，同时支持RADIUS账号管理。 统一策略下发神针的安全策略采用统一下发机制，所有策略均下发至终端主机。结合策略优先级，可以细粒度地进行策略下发，如实现内网全部禁止普通U盘使用后，可制定规则允许VIP终端用户使用。神针的组管理支持固定分组和自定义分组，方便将固定组织结构的终端同时归入临时项目组中进行管理。 统一响应神针系统所有策略支持自动报警与响应： 当触发策略后可在终端上进行消息提示，可向

30、控制台报警。 可对违规终端进行控制响应，手段包括锁定计算机、弹出URL、断网等多种处理方式，方便对违规事件进行取证，并能防止违规事件对网络造成伤害。设定断网时可同时设定断网恢复时间，当达到时间后自动恢复网络连接，避免管理员手工介入实现自动管理。 统一审计神针系统分别对报警响应、网络行为、程序行为、文件访问行为、邮件日志、服务器日志、补丁分发日志、服务器级联日志等终端全部行为进行审计。神针系统将丰富的审计数据统一汇入审计数据库，在统一的审计界面中对数据进行查询和统计分析。 全自动化运行神针的丰富功能可以帮助网络管理员对内网进行细粒度管理，通过统一策略制定、统一分发、统一响应，做到“一次设定、自动运行”的管理目标。网络管理员只需在系统建设时设定好策略，按照既定流程，神针可自动根据策略进行相应管理。自动响应终端出现违规的安全状态或安全事件，强制隔离达不到安全要求的终端，自动允许修复后或符号安全要求的终端重新接入网络。神针运行的全过程无需网络管理员介入，大大地节省了网络运维成本。