终端信息安全管理解决方案.docx

1、终端信息安全管理解决方案终端信息安全管理系统解决方案1.计算机终端管理的困境随着信息化的飞速发展，业务和应用逐渐完全依赖于计算机网络和计算机终端，正是这种依赖导致企业内部大量的计算机终端出现，随着大量与终端安全相关的事件出现，众多的IT管理者开始意识到，企业所面对的信息安全的最大威胁并不是网络的出口，而在于内部，而内部信息安全隐患更多源于终端，不仅如此对于完全依赖于信息系统的企业来说，终端管理还意味着对于办公环境的管理、对于资产的管理。1.1与终端相关的信息安全的隐患终端信息安全，是指终端设备、软件（如操作系统、应用系统、用户系统等），及其系统中运行的数据、提供的应用服务不因偶然的、恶意的原因

2、而遭到破坏、更改、泄露和失控。具体表现形式可能有：非法用户随意接入组织内部网络不安全终端大量传播网络病毒员工非法访问互联网络员工恶意泄露企业关键信息合法终端滥用网络资源系统软件安全漏洞修复不及时当DDos攻击、病毒、木马威胁、非法入侵、非法接入、敏感数据泄密、移动介质随意接入，以及电子信息战等越来越严重的影响到公众利益和国家利益的时候，网络空间安全(Cyberspace Security)也继国防安全、政治安全、经济安全、金融安全之后成为了国家安全体系中的一项重要内容，受到包括美国、欧洲和中国政府的高度关注。1.2与终端相关的管理的困境在上述终端信息的安全事件中，一部分是有意识的信息泄露，更多

3、的则是内部管理的措施的缺乏或者管理手段的落后导致的，总的来看很长一段事件以来在终端的管理上存在以下的常见困境：缺乏大规模有效检查网络内计算机的安全状况无法快速统计IT资产缺乏主动及时的更新系统以及病毒库的工具 缺乏对规模终端进行禁止非法软件安装、I/O接口控制等安全管理的能力缺乏主动识别威胁并且采取措施的能力 缺乏有效的安全监控、审计手段保障安全事件的可追踪 1.3传统内网终端安全管理的弊端传统对于终端安全管理的保护主要是集中在防火墙、网络准入认证上；对于主机的保护集中在防病毒软件；管理上更多是通过行政命令、定期检查的传统机制进行，该类办法缺乏主动防御以及即时反应的能力，也不能提供审计功能便于

4、事后追踪。2.迈普终端信息安全管理方案2.1终端信息安全管理方案概述针对上述的终端安全隐患以及管理上的困境，迈普联合北信源公司推出了面向网络空间的终端安全管理产品体系，该产品体系主要面向重要网络、信息系统及基础设施的失泄密检测与防范，实现从终端、区域网到互联网的一体化检测、管理与防范。该体系从终端身份认证、终端接入控制、终端行为管控、终端数据防泄密，以及终端安全审计等方面，实现了多层次、全方位、立体化纵深失窃密检测与防范，形成了面向复杂网络空间的终端安全管理一体化解决方案，有效地实现了网络空间下对终端计算机的安全管理体系。2.2终端信息安全管理系统组件终端信息安全管理系统主要分为4个部分，策略

5、服务器、认证服务器、认证控制网关（在实际局域网网络中多为交换机设备）、终端客户端。其中策略服务器主要是针对每个终端提供控制策略，具体包括安全策略、补丁分发、主机监控审计、电子文档管理、存储介质消除、光盘刻录监控与审计系统6大模块；认证服务器主要是提供终端用户的认证，交换机作为认证以及控制设备对非法用户进行隔离，终端客户端完成用户的认证以及各安全策略在终端上的执行。 终端信息安全管理组件2.3终端信息安全管理典型方案部署整个网络部署分为4个部分，一是终端接入控制部分，包括终端以及交换机；二是服务器区，主要包括认证以及策略服务器，是整个系统的核心部分；三是正常访问区域，也是整个系统受保护资源的区域

6、；四是隔离修复区，是不满足安全条件的情况下进行进行修复的一个网络访问区，该区域相对正常访问区访问的资源是有限的。2.4终端信息安全管理系统工作流程终端信息安全管理系统的工作流程如下：1无注册终端访问网络，强制进入guest Vlan进行注册；2终端用户重新发起网络登陆请求；3接入设备接收用户的请求，并联合Radius服务器进行认证；4认证不成功、进入隔离区；5认证成功、进行终端安全检测；6安检不成功、进入修复区；7安检成功、进入正常访问区、并执行安全策略（审计、文档安全管理、介质管理等）2.5网络接入管理解决方案系统能够确保终端电脑只有在通过认证，即安装终端安全管理组件，并符合必要安全策略的前

7、提下才能被允许接入内部网络，否则会强制终端电脑跳转到访客隔离区(guest区)，完成认证后还需要完成安检，即终端管理软件的下载和安装，且符合既定安全策略要求时才可准许接入内部网络，具体步骤如下：2.5.1 802.1x接入认证管理802.1x接入认证管理具有对接入策略和安检策略整体的配置和管理功能。接入是通过用户名密码的认证方式，对终端接入网络进行限制，未注册终端会因认证不成功进入guest Vlan，在guest Vlan中终端只可以访问部分授权的网络资源。2.5.2 杀毒等必需软件未安装接入限制针对终端计算机安装及运行杀毒软件情况，管理员可以设置安全策略检查终端用户是否正常启动、运行防病毒

8、软件，并且强制检查防病毒软件的版本和病毒库版本，确保所有终端版本必须满足安检的规定方可接入内部网络。如有违规，即刻跳转到修复区或者直接断开终端网络连接；针对终端计算机安装的必备软件情况，管理员可以设置可控软件名单，检查必备软件的安装运行情况，如有违规，即刻跳转到修复区或者直接断开终端网络连接；在网络中专门划分出修复区域，防病毒软件服务器放置在网络修复区中。终端计算机根据安全策略要求安装及升级杀毒软件。2.5.3 未打补丁终端接入限制通过补丁索引检测终端用户是否安装系统补丁，检测注册终端未打或漏打补丁时，将会提示终端计算机有哪些需要安装的补丁并且会自动弹出下载的补丁的WEB页面，如若不满足补丁预

9、定义策略，即刻跳转到修复区或者直接断开终端网络连接。在网络中专门划分出修复区域，系统补丁文件服务器放置在网络隔离区中。根据补丁索引要求升级操作系统软件补丁。2.5.4运行不可信进程、服务、注册表终端接入限制不可信进程、服务、注册表是针对可信进程、服务、注册表进行判断的，通过自定义设置可信进程、服务、注册表来判断终端是否允许接入到工作区。对于终端计算机没有运行可信进程、服务、注册表的视为不可信终端，即运行了不可信进程、服务、注册表，并对终端接入进行限制。2.6补丁分发解决方案补丁及软件自动分发管理能够自动识别终端计算机操作系统类型，并根据需求自动下载所需补丁，自动安装并提示。系统向指定终端计算机

10、（用户组）分发文件或安装软件，分发时可提供软件的运行参数和必要的运行控制。该管理体系可减轻网络管理人员的工作负担，软件分发时可报告软件安装的状态，无论软件正确安装与否，管理员均可及时了解情况。补丁及软件自动分发管理支持推、拉两种方式自动下载补丁。整个补丁管理运行平台构架是：通过外网补丁下载服务器及时从补丁厂商网站获取最新补丁；补丁安全测试后，通过补丁分发管理中心服务器对网络用户进行分发安装；补丁安装支持自动和手动两种方式。2.7移动存储介质管理系统对移动存储介质安全管理范围应该包括U盘、移动硬盘、MP3、手机、智能卡设备等移动存储介质，以及打印机等外设，体系设计与利用移动存储设备或其他方式进行

11、数据交换的相关终端计算机接口管理，包括光驱、软驱、USB移动存储接口、USB全部接口、打印机接口、红外设及蓝牙设备等。1.存储介质管理存储介质管理可以将整个移动存储介质划分成任意两部分容量的交换区和保密区，并需要通过密码认证才可以访问。它具有USB标签制作工具，能够对移动存储介质进行保护和加密，对移动存储设备进行使用范围授权，访问控制等综合的管理。主要实现功能如下：能够对移动存储设备统一进行接入认证管理，能够支持终端识别指定的移动存储设备。能够对存储介质进行分区管理，能够通过标签方式将存储介质分为交换区和保密区，并可灵活设置分区大小、访问密码，数据存储方式均为加密存储。能够对存储数据采取加密管

12、理方式，如采用AES加密算法对存储数据进行加密。能够对移动存储介质的读写权限进行管理；能够通过对移动存储介质写入标签，实现分级权限控制。具备移动存储介质审计和文件操作审计功能，能够对移动存储的插拔动作进行审计；能够对文件操作的各种行为进行审计，包括读、写、删除、修改、拷贝等。2.介质信息消除介质信息消除能够对移动存储介质进行信息消除或销毁处理，防止介质内的敏感信息泄露。本系统能够保证存储在移动介质上的重要数据通过反复对文件磁道的改写和重写，对需要删除的数据进行不可恢复的彻底粉碎，最终达到完全粉碎的目的。其功能特性如下：能够对重要磁盘介质进行彻底擦除，并且不可恢复；对磁盘介质的擦除速度不能低于3

13、GB/分钟能够支持00擦除、FF擦除、00擦除+FF擦除、BMB21-2007标准擦除方式；能够支持USB、IDE以及SATA接口类型；操作直观方便，易于使用，如通过触摸屏进行操作等。2.8桌面终端管理桌面终端管理体系强化了对网络计算机终端状态、行为以及事件的管理，并针对基本管理、资产管理、安全管理、运维管理、桌面管理、审计管理等提供的模块化的防护功能，并能够同其它安全设备进行安全集成和报警联动。桌面终端管理需从使用人的基本信息开始记录，同时包括IP地址、MAC地址、软硬件资产、进程信息、软件信息、密码信息、杀毒软件、计算机资源、流量信息等方面进行统计，形成立体式数据库，当发生信息改变或资源报

14、警时，能够第一时间通知管理人员，便于排查错误，并能够提供给管理人员相应的应急措施与手段，帮助管理人员迅速解决问题。桌面终端管理具体功能还应包括以下功能。1.终端注册管理该设计采用C/S和B/S模式混合管理方式，在被管理的桌面计算机上安装VRVEDP客户端程序。在安装客户端程序需要填写当前计算机使用人的个人相关信息，如使用人、单位、部门、联系电话、邮件、所在地、计算机类型等，进行实名化的管理便于快速定位，无论是违规，还是网络安全事件发生时都可以快速定位到事件源。个人信息填写2.IP和MAC绑定管理对固定IP网络的MAC和IP地址进行绑定管理，当探测到IP变化后根据策略设置恢复其原有IP地址，或者

15、阻断其联网，同时禁止修改网关、禁用冗余网卡。IP、MAC绑定策略3.禁止修改网关、禁用冗余网卡管理支持禁止修改网关、禁用冗余网卡等功能。4.硬件资产管理自动搜集包括CPU、内存、硬盘分区总和、设备标识的大小和其他详细信息以及其他如主板、光驱、软驱、显卡、键盘、鼠标、监视器、红外设备、键盘等所有的硬件信息。硬件资产管理5.软件资产管理自动发现识别客户端安装的所有软件信息（名称、版本、安装时间、发现时间等），将相关数据入库，检测客户端运行软件信息，供管理员在Web控制台查询。软件资产管理6.软、硬件设备信息变更管理报警未注册设备、注册程序卸载行为，实时检测硬件设备变化情况（如设备硬件变化、网络地址

16、更改、USB设备接入等）。7.进程保护管理对重要的进程进行守护，防止由于意外或人为原因造成重要进程中断。进程保护管理8.桌面密码权限管理对终端的密码管理权限变化及使用状况（包括密码长度、安全性、弱口令等方面）进行审计检查及报警，同时对不符合要求的终端进行提示或强制修改等处置，达到防止病毒及黑客入侵的目的。终端密码管理终端权限管理9.终端在线/离线策略管理提供针对不同的网络接入情况，设定终端的在线、离线策略。当终端处于不同的网络中，可以实现不同的执行策略。10.运行资源监控在Web控制台对终端的CPU、内存、硬盘的资源占用率和剩余空间进行监控，设定危险等级报警阀门。终端运行资源管理11.流量管理

17、和控制蠕虫病毒和BT下载等行为在很多情况下会严重占用网络带宽，造成网络的拥塞甚至瘫痪，对此可利用流量进行管理与监控。 主要功能： 流量采样阈值设定：用户自主设定采样阈值，当流量（含出、入或总流量）超过一定限度并持续一定时间后，进行有关信息上报，防止上报数据过多给网络带来负担。上报的当前流量进行汇总，对当前的流量进行时实排序，以便网络管理人员进行快速分析是否是网络安全事故。对网络客户端的历史流量进行统计和排序，并可生成报表。对并发连接数设定阈值并进行采样。对网络扫描的可疑行为进行阈值设定和报警。对客户端大量发包的可疑行为进行阈值设定和报警。对具备可疑行为的客户端进行报警上报、自动阻断、客户端提示

18、等管理。设定网络客户端流量上限阈值，对超过的进行报警上报、自动阻断、客户端提示等管理。终端流量采样管理12.流量异常监控在Web控制台对终端的网络流入、流出和总流量进行监控和管理。并能够对产生总流量过大、分时段瞬时流量过大的进程进行统计，辅助分析产生流量过大的原因。终端流量异常管理13.进程异常监控在Web控制台对终端未响应窗口进行监控并结束或重启该进程，对意外退出的进程进行监控和保护。进程异常管理14.客户端文件备份针对终端计算机进行数据实时备份，将本机计算机目录文件数据实时或定时备份到数据服务器或其它计算机上存储。针对局域网服务器数据存储等提供安全数据同步备份解决方案。15.非法外联管理功

19、能1.网络内部终端非法外联互联网行为监控终端非法外联互联网行为监控：对于已注册的设备，通过不同方式（如双网卡、代理等）连接互联网进行的通讯，能够自动阻断其连接行为并报警。2.网络内部终端非法接入其它网络行为监控对于已注册的设备，监控其网络连接行为，根据接入网络环境因素判定其是否非法接入其它网络。3.离网终端非法外联互联网行为监控对于已经注册的计算机，非法带出到另外一个网络的行为进行监控，发现有外联互联网行为时可以采取警告、阻断、自动关机等操作。4.非法外联行为告警和网络锁定如果终端非法入网，可以在报警平台和报警查询处获知信息，并且可以对终端提示信息，自动关机，阻断联网等处理。5.非法外联行为取

20、证对于非法外联行为进行实时告警功能，同时记录该行为发生的事件、IP地址、MAC地址、使用人等相关信息上报到服务器进行记录取证。终端非法外联管理2.9电子文档安全管理方案电子文档安全管理集电子文档使用权限控制、用户身份验证、文档透明加解密、文档访问控制、文档密级与安全策略控制、文档监控与审计等多种技术于一身，有效防止电子文档主动和被动泄密。其实现功能如下：具备文档生命期全程保护，能够支持电子文档创建、使用、流传、归档与销毁全过程的加密保护功能。具备应用程序进程指纹识别保护，能够支持进程指纹的设置，可以防止非法篡改应用程序文件，保障应用程序安全。具备多种身份认证保护，能够支持操作系统默认认证、用户

21、自定义口令认证、USB KEY 认证、单点登录认证和PKI认证等。能够对于邮件传输具备自动解密策略，能够支持对设定的邮件在发送时自动解密。具备对文档主动授权保护，能够支持用户对文档操作方式、被授权者对文件打开次数、文件生命期进行授权。要求具备加密文档外发（离线授权）保护，能够支持加密文档外发时密码和证书的双重认证。系统在加密过程中不会生成临时文件，不影响办公软件的正常使用和改变用户正常使用软件行为方式。具备系统审批管理功能，能够支持用户申请加密权限、文档授权权限、文档解密权限、修改密码权限、离线使用权限等，并可以由系统自动判断是否需要管理员给予权限。具备自保护功能，用户无法自行删除注册程序或者

22、通过恶意工具破坏软件进程。具备安全审计功能，能够对授权文档的名称、文档作者、授权时间、授权权限、授权方式和认证方式进行审计和查询。能够对授权文件的操作行为进行审计，包括授权文件名、使用者、授权方式、认证方式、打开方式、对文件操作结果、操作时间等。能够对终端文件操作的审计，包括用户名、计算机名、应用程序名称、文件路径及名称、对文件的操作方式、时间。文档打印审计功能，能够对文档打印的授权控制及监控与审计，包括打印文件的用户名、文件所在计算机名、计算机IP 地址、打印结果、打印页数、打印时间和打印文档类型等。2.10终端安全审计方案终端安全审计采用主机监控审计系统、网络行为审计、数据库审计系统能够实

23、现对终端用户网络访问行为、设定目录文件的操作行为、共享文件的输出行为，以及对终端用户的打印行为、网站浏览行为、邮件外发、网络发帖、数据库访问等各种网络行为、主机操作行为进行统一监控与综合审计。2.10.1主机监控审计主机监控审计通过对整个系统进行应用策略配置，管理网络和查询审计数据，方便用户操作，有效防范不安全因素对内部终端构成的威胁，真正做到内部终端的安全管理，防止信息泄密，满足客户对内部终端管理的功能需求。功能实现如下描述：网络访问行为审计和控制以黑白名单的方式对用户的网络访问行为进行控制，并对用户访问的网络等进行审计和记录。 文件保护及审计提供对终端的OS系统、软件和共享等目录中的文件的

24、保护功能，设定访问、删除、修改权限；支持对设定目录文件的操作审计，包括文件创建、打印、读写、复制、改名、删除、移动等的记录，同时将信息上报管理信息库供查询。 网络文件输出审计对主机通过共享文件等方式进行的网络文件输出行为进行审计和记录。 打印审计根据策略对主机打印行为进行监控审计，防止非授权的信息被打印，同时根据要求还可以备份打印内容。 敏感信息检查根据用户自主设定的敏感信息查询条件，设定对指定目录或盘符下的指定类型文件进行内容检查，检查其是否包含敏感内容，系统支持进行包含“或”、“与”等多种逻辑的组合监测和模糊监测。用户权限审计能够审计用户权限更改，及操作系统内用户增加和删除操作。系统日志审

25、计支持不同权限管理员在Web控制台对终端用户的日志（系统日志、应用日志、安全日志等）进行远程读取查看。2.10.2网络行为审计网络行为审计可以针对终端行为实现“行为前、行为中、行为后”三位一体的管理解决方案，为企业/机构的信息安全及互联网安全提供高质量的保障，既可以即时审计企业/机构内部员工的互联网行为，同时还可以有效的管理企业/机构的网络带宽分配和员工的工作效率。其功能实现阐述如下：网页访问审计详细记录每条URL访问记录产生的时间、终端主机、URL链接、URL所属网站分类以及命中的访问控制策略，并且提供可查询的接口。邮件审计详细记录邮件的发送和接收帐号、邮件发送时间、涉及的主机、邮件的内容及

26、附件，并且提供可查询的接口，同时支持对邮件内容的还原。即时聊天审计详细记录使用的聊天工具类型、发送和接收的帐号、聊天记录产生的时间、涉及的终端主机以及消息内容等，并且提供可查询的接口。网络发帖审计详细记录发帖记录产生的时间、涉及的终端主机、发帖记录产生的网站以及发帖标题等，并且提供可查询的接口。FTP审计详细记录FTP行为产生的时间、涉及的终端主机、涉及的端口、访问的FTP服务器、执行的命令以及涉及的参数，可以详细审计具体涉及到的文件等，并且提供可查询的接口。Telnet审计详细记录Telnet行为产生的时间、涉及的终端主机、涉及的端口、访问的服务器以及执行的命令，并且提供可查询的接口。MMS

27、访问审计详细记录MMS行为产生的时间、涉及的终端主机、涉及的端口、访问的服务器、执行的命令以及详细的文件名，并且提供可查询的接口。RTSP访问审计详细记录RTSP行为产生的时间、涉及的终端主机、涉及的端口、访问的服务器、执行的命令以及详细的文件名，并且提供可查询的接口。其他功能实现在对信息系统内部员工上网行为进行审计的基础上，北信源上网行为管理系统依据审计结果可以提供一定的风险控制手段，例如准入控制、访问控制、内容过滤以及应用控制等。通过对网络访问行为设置准入门槛，可以有效的降低企业内部出现的网络风险事件。2.10.3数据库审计数据库审计通过审计核心业务系统的网络访问行为，能够加强对关键信息系

28、统的访问控制与审计，尤其是针对信息系统后台的数据库的内控与审计，确保核心业务的正常运行，防范内部违规行为和误操作，跟踪用户的全部操作，这也使审计系统具有一种威慑力，提醒用户安全使用数据库。同时还可以提供业务流量实时监控与审计事件统计分析功能，能够直观地反映网络环境的安全状况，特别是访问量、业务流量、业务访问分布、业务拓扑、行为分析等重要信息，使得管理者可以直观的实时了解业务系统安全状况。数据库审计功能实现如下所述：数据采集过滤支持审计引擎在进行数据捕包时，接受用户自定义的采集过滤规则（其中，过滤的条件包括操作源IP、操作源MAC、计算机名、程序名、生产数据库名、生产数据库用户名、操作内容、表名

29、等），从而只采集用户关心的数据，剔除垃圾数据，减少查询时没用信息的干扰。该功能对数据量非常大，但是所关注审计数据又清晰可定义的用户很有帮助。审计预警支持用户自定义预警策略，对自己所关注的敏感信息进行独立记录和邮件告警。同时，对预警的数据可以进一步进行查询获取关注数据。数据库攻击检测能够通过审计记录发现生产数据库一些潜在的安全威胁，比如SQL注入，密码猜解，执行操作系统级的命令等，同时内置了丰富的数据库入侵检测规则库，及时发现并阻止生产数据库安全威胁，保证生产数据库更加安全运行。审计告警具备告警配置功能，方便用户在设置不同的规则或者触发事件，按照不同的级别进行不同方式的告警方式，包括邮件告警，声

30、音告警，短信告警等。具备多种查询条件与方法：能够为用户提供了基于时间、地址、数据库类型、用户名、操作类型、数据库名、表名、字段名等等多种丰富的组合查询模式，用户可以按照自己的需要查找所关心的符合审计规则的数据库操作记录；还支持二次检索,模糊查询，快速链接查询，select可选独立查询等功能以达到精确检索的目的。能够对审计数据中提取出来的表名、IP地址、MAC地址等进行中文备注说明，并在查询结果中进行备注替换显示，极大的提高数据库审计内容的易读性。查询结果支持按照不同视角进行归并展示，适合不同用户和观测重点需要。专业化报表输出：审计结果能够通过专业化的报表按照不同的内容和形式果直观地展现给用户：

31、具备实时审计功能：具备实时审计数据的展示，方便用户及时发现数据库操作或者用户行为异常。用户可以自定义实时显示的刷新频率和条数等参数。实时审计功能包含“实时预警”、“实时会话”和“实时数据”几种情况具备多种编码格式：具备灵活多样的编码格式策略配置，适合不同数据库业务环境。数据高压缩比例存储：拥有高达95%以上的高压缩比例保存，而且所有的压缩解压过程都是按照预定策略自动实现的。具备缓存安全机制:数据库审计引擎具有大容量的缓存安全机制，保证用户的审计数据在人为或者意外情况下，都可以最大限度的保证原始审计数据的安全。历史数据回档与检索:能够对压缩保存好的历史审计数据，可以自由选择需要重新检索的数据范围，进行自动回档操作，并对回档出来的数据重新检索。可扩展的审计架构:支持对ORACLE、 SQL Server、Sybase等数据库环境的审计。该架构的优势利于在业务环境变化或者升