北信源内网安全管理系统方案.docx
- 文档编号:3943558
- 上传时间:2023-05-06
- 格式:DOCX
- 页数:27
- 大小:723.63KB
北信源内网安全管理系统方案.docx
《北信源内网安全管理系统方案.docx》由会员分享,可在线阅读,更多相关《北信源内网安全管理系统方案.docx(27页珍藏版)》请在冰点文库上搜索。
北信源内网安全管理系统方案
XX单位
内网安全管理系统
解决方案
北京北信源自动化技术有限公司
2008年04月
一、系统需求分析
网络管理中面临的问题
随着信息技术的发展,网络安全问题已不再只是外部攻击和简单的病毒防护。
当企业花费大量资金和精力构建起庞大的网络架构和安全防护体系时,殊不知,威胁企业生存和发展的是来自内部网络的安全隐患,而且其危害远大于一次黑客攻击或一次病毒骚扰。
据FBI和CSI曾对484家公司进行的网络安全调查结果显示:
超过85%的安全威胁来自公司内部,由于内部人员泄密所导致的资产损失高达6000多万美元,它是黑客所造成损失的16倍、病毒所造成损失的12倍。
XX单位已经建立了比较完善的网络管理行政制度,但是以往在网络管理工作因为缺少相对应的技术手段,网络管理制度无法得以落实,致使管理员的日常维护工作繁琐,同时还有信息泄密的风险。
一个成熟的网络安全管理理念应该是全方面的主动防御,而不是事后责任追查。
网管人员在多年的管理中总结出以下有待解决的需求:
1.1终端安全管理问题
计算机病毒是目前对网络及计算机安全最大的威胁,目前XX单位内部虽然已经统一配置安装了杀毒软件,能够对病毒进行一定的防范,但是仍存在终端升级不及时,版本不统一,管理不规则等问题。
在得不到有效的监控情况下,内网终端的密码经常被改动,其安全性(包括密码长度、弱口令等方面)得不到应有的保障,而且终端的注册表也经常被改动,不能够对其进行及时有效的发现与控制,这些都对内网的安全造成了威胁。
XX单位内网终端IE安全性令人担忧,有些终端已经安装了不安全的插件和恶意软件,这是一个亟需解决的问题。
网络的稳定性、可靠性和可用性是保障企业业务顺利进行的基础。
然而,目前大部分企业没有合理利用网络资源的策略和机制,使得管理员无法控制员工的上网行为,不仅浪费了大量的网络资源,甚至还可以导致网络瘫痪。
比如,有很多员工在上班时间利用BT下载音乐、电影等。
一些单位的内部网络经常会出现流量过大的问题,造成网络的不畅甚至拥塞,亟需对网络流量和上网行为进行监控和管理。
办公环境的计算机不应安装使用与办公无关的软件,当发现有非法使用违规软件是应立即禁止,还需要对软件的安装过程及软件执行所启动的进程进行控制,对于其他不安全的进程以及服务也需要加以监控。
1.2IP地址管理问题
以往对网络内IP地址分配和管理都需要人工来进行操作,并且在IP、MAC绑定上需要网管型交换机来完成,前期网络管理员的工作量很大,在有新的设备入网时网络管理员需要再次对交换机进行操作,如果操作不当可能造成一个资源子网不能正常工作,影响业务系统正常高效工作;当没有进行IP、MAC绑定时会出现私自盗用他人IP地址的行为,造成合法的IP使用人不能正常入网工作,IP盗用成功后,如果有违规的网络行为时也不便于进行事件责任定位。
所以,XX单位需要解决如何高效地管理IP地址的问题。
1.3非法外联问题
在现代信息社会中,企业之间竞争激烈,保密工作是一项非常重要的工作。
内部人员非法连接外网会增大病毒渗入和黑客攻击的风险,更为严重的会导致内部资料的泄露,给XX单位造成无法逆转的严重损失。
为了防范这些隐患,防止内部人员未经允许非法连接外网这个功能需求就突显出其重要性来。
1.4IT资产管理问题
对于XX单位的网络管理而言,软硬件资产的管理将是非常重要的一个组成部分。
如果不能全面的掌握终端计算机的软硬件资产,那么对于终端上非法安装的软件以及终端硬件的变化就无从知晓,这就可能造成单位硬件资产的流失,对网络的全面管理更无从谈起。
二、内网安全解决方案
2.1系统部署和管理构架
VRV内网安全管理系统管理采用B/S构架,管理员可在网络的任何终端通过登录内网管理服务器的管理页面进行管理和各种信息查询;所有的网络终端需要安装客户端程序以对其进行监控和管理。
具体的部署和管理构架如下(图2.1.1):
图2.1.1系统部署和管理构架
网络通过内网安全管理服务器对全网进行网络客户端的各种策略和配置补丁以及文件的下发,流量监控、违规联网监控、入网设备联网状况监控、终端软硬件管理、系统文件分发、消息分发等工作,并对客户端进行各种行为和状态的监控。
网络终端上的客户端程序可将各种网络终端的状态信息、日志信息和报警信息上报,可通过管理节点对异常计算机进行断网等处理,也可通过系统远程对客户端进行故障诊断和维护。
本系统可以进行无限制的多级级联部署(如图2.1.2所示),各级网络独立安装相应的管理软件。
下级管理节点统一汇总本级的报警信息和统计信息,统一上报管理节点;上级管理节点的管理策略、命令。
系统将来可根据实际需要在客户端数量、管理层次和功能扩展上进行无缝平滑扩展。
图2.1.2多级级联管理
在同一级管理节点,可根据实际网络拓扑情况,安装多块网卡,满足对同级不同网段的管理。
2.2系统部署时的硬件配置
管理控制台:
管理服务器1台:
硬件需求:
CPU至强2.8或以上,2*1G内存
硬盘146GSCSI或以上
软件需求:
操作系统Win2000Server或Win2003Server
数据库系统SQLServer2000
2.3终端节点加固
2.3.1可统一配置的主机防火墙(网管控制包过滤)
蠕虫病毒均是通过一定的端口进行传播和发包,如果网管可以统一控制网络中计算机的端口,关闭病毒使用的端口,进行端口加固,就可以有效阻止这些病毒的传播和破坏。
系统具备可由网管根据需要统一配置的客户端主机防火墙,可按照策略控制客户端的特定端口的连接,包括禁用(开启)指定的端口,禁止Ping入(出),设定IP区域访问控制,进行包过滤控制等,也可禁止使用代理服务器,系统不管如何设置包过滤规则,均不会造成维系管理服务器对客户机管理的通信无法进行。
当某些客户端临时离开内部网络安装到其它网络时,客户端软件的包过滤功能和禁止使用代理服务器功能可根据管理员的预设置策略自动关闭或继续工作。
图2.3.1主机防火墙配置界面
利用此功能可实现:
1.端口控制:
● 禁用填充项中指定端口,开放其它端口;
● 开放填充项中指定端口,禁用其它端口;
● 禁用填充项中指定端口;
●开放填充项中指定端口;
● 端口可按照范围进行填写。
2.ICMP协议控制
●禁止ping入
● 禁止ping出
●协议双向禁止
3.IP地址访问控制
● 只允许填充项中IP地址访问自己,禁止其余IP地址访问。
● 只允许自己访问填充项中IP地址,禁止访问其余IP地址。
2.3.2弱口令监控
目前很多病毒已经可以“猜”出用户机的口令,如果计算机使用弱口令,病毒将会通过这些弱口令获得计算机的控制权,并进行传播。
这类病毒的传播行为靠杀毒软件或者补丁加固均无法进行控制。
系统可以检查开机密码是否是弱口令,以保障系统不因为弱口令被病毒和黑客攻击。
2.3.3用户权限变化监控
网络终端的权限一般不会被用户检查,正常的客户端用户权限极少改变,但是很多病毒和黑客的攻击很多是利用计算机上权限的变化实现的,计算机上权限的变化造成的危害往往是致命的,因此十分有必要对终端权限的变化进行监控,以告知终端用户和网络管理人员。
利用此项功能可实现:
1.当系统用户系统权限发生改变时,进行上报和客户端提示;
2. 当系统用户系统组权限发生改变时,进行上报和客户端提示;
3.当系统用户增加时,进行上报和客户端提示;
4. 当系统用户减少时,进行上报和客户端提示;
5.当系统用户组增加时,进行上报和客户端提示;
6. 当系统用户组减少时,进行上报和客户端提示;
2.3.4关键进程加固
本系统可设定关键进程,对关键进程进行保护,如果出现未响应进程和意外退出等现象,被加固的进程将自动进行(如退出、退出并重起等)处理。
如此,可以保证查询系统的正常运行。
图2.3.2关键进程加固
2.3.5注册表加固
本系统可屏蔽选定用户计算机的一些程序进程对注册表的使用,通过该策略可以有效的防止违规进程对用户注册表的破坏。
图2.3.3注册表保护策略
2.4终端全面管理
对于成熟的网络管理来说,静态的IP地址管理以及成为一种趋势,IP地址的实名化管理和绑定成为必要。
实名化的管理在网络事件发生时便于进行快速的事件定位,缩短故障排除时间。
进行IP地址绑定是为了防止个别人非法盗用他人IP地址以达到个人目的,并逃避责任。
2.4.1IP地址管理
针对已经分配的IP地址采用实名化管理,便于快速事件定位;
图2.4.1计算机用户列表
图2.4.2IP地址占用列表
针对没有分配的IP地址能够自动发现非法占用,并进行处理;
图2.4.3阻断未分配的IP地址
2.4.2IP、MAC地址绑定
通过策略配置快速的实现IP、MAC绑定,绑定后,对私自修改IP计算机进行地址恢复,或断网,同时上报服务器保存。
图2.4.5IP、MAC绑定示意图
图2.4.6私自修改IP的违规查询
2.4.3禁止修改网关、禁用冗余网卡
本系统可使用“IP与Mac绑定策略”中的“禁用冗余网卡”功能来实现对冗余网卡的禁用。
选中此项功能,则只保留与区域管理器通信的网卡,禁用其他的网卡。
2.4.7禁止修改网卡、MAC界面
2.4.4IT资产管理
桌面计算机安装客户端程序后,客户端程序会自动收集当前计算机的各种硬件信息,包括CPU、内存、硬盘、网卡MAC地址、主板芯片、主板上的板卡等主要硬件信息。
信息收集完成后自动上报给VRVEDP服务器,保存在后台数据库中,管理员有需要的时候只需要登陆管理平台,选择查询条件就会生成管理员需要的硬件资产报表,同时还可以导出Excel报表,并可对其变化报警。
这样保证了内网终端硬件设备的有效管理,防止资产流失。
2.4.4.1档案管理
1.系统提供完善的报表功能,能够根据按不同部门、不同操作系统提供软硬件资产、报警、状态及其他情况汇总报表,提供多种报表功能,以对客户端资产情况、网络流量进行统计。
2.提供资产统计报表,能根据不同部门,不同操作系统对客户端硬件、软件提供资产统计报表。
3.具备独有的“组态报表”查询功能,对于有关报表,能根据不同的需要进行多种不同条件组合(组合查询条件包括所属区域、单位名称、设备所在部门、设备名称、设备IP、操作系统及版本、IE版本、防范等级、运行状态、安装杀毒软件版本及厂商、CPU情况、内存情况、硬盘情况、设备使用人、设备最后使用时间等等),生成多种不同的报表格式。
4.报表以网页的方式呈现,报表可以方便的调整格式,并可以Excel格式输出。
5.管理服务器提供方便的导入、导出客户档案和管理策略功能。
6.可以根据需要输出成柱形图、饼图等。
具体的统计报表包括:
●设备软件信息统计报表(部门、网段)
●设备硬件资源信息汇总表
●各区域设备注册情况统计表
●错误报表
●首次运行进程表
●违规软件列表
●违规进程列表
●级联上报设备注册情况统计报表
●级联上报设备操作系统分类报表
●级联上报设备硬件信息统计报表
●网络和服务器流量报表
●各种报警事件表
●组态查询报表
……
组态查询实例图
输出柱状图实例
2.4.4.2日志管理
1.可以方便的管理以下日志,并生成表格:
●用户登录日志
●用户操作日志
●用户策略日志
2.系统管理员可以灵活设置查询条件,条件具体包括按部门、按日期、按IP地址名称等。
3.系统也可定时自动备份、清除日志。
4.系统具备数据重整功能,以便定制对日志的维护。
数据重整的对象主要针对IP、MAC重复、长时间未使用等情况的设备。
5.同时支持对查询结果的导出等功能。
图2.4.8终端资产示意图
图2.4.9报表生成示意图
2.4.5终端桌面管理
2.4.5.1流量管理和控制
1.流量采样阈值设定:
用户自主设定采样阈值,当流量(含出、入或总流量)超过一定限度并持续一定时间后,进行有关信息上报,防止上报数据过多给网络带来负担。
2.上报的当前流量进行汇总,对当前的流量进行时实排序,以便网络管理人员进行快速分析是否是网络安全事故。
3.对网络客户端的历史流量进行统计和排序,并可生成报表。
4.对并发连接数设定阈值并进行采样。
5.对网络扫描的可疑行为进行阈值设定和报警。
6.对客户端大量发包的可疑行为进行阈值设定和报警。
7.对具备可疑行为的客户端进行报警上报、自动阻断、客户端提示等管理。
8.设定网络客户端流量上限阈值,对超过的进行报警上报、自动阻断、客户端提示等管理。
蠕虫病毒和BT下载等行为在很多情况下会严重占用网络带宽,造成网络的拥塞甚至瘫痪,此类问题可利用本系统进行流量的管理与监控来解决。
图2.4.10流量策略实例图
2.4.5.2软件及进程监控
1.软件资源统一监控
1)软件资源统一监控:
自动收集安装在每台计算机上的每种应用程序信息,包括安装的操作系统种类、版本号以及当前补丁情况、客户机安装的软件等信息和驱动程序情况,并进行汇总管理。
2)系统能够及时检测主机软件信息变化情况。
3)根据条件查询客户机安装的软件或指定软件被哪些客户端安装等信息。
4)对软件安装进行黑白名单控制,即根据策略设定禁止安装的软件和必须安装的软件。
5)违规软件禁止安装功能,禁止在注册表Run项里添加自启动项,禁止在注册表Services项里添加自启动项,禁止在程序启动项中添加项,禁止在程序项中添加快捷方式限制违规软件的安装,所有安装软件均可进行审计。
图2.4.11实例图
6)对重要的进程进行守护,防止由于意外或认为原因造成重要进程中断。
7)对违规的客户端进行客户端提示和断网处理等相应措施。
2.网络进程监视功能
1)统一汇总和监视网络各终端的进程,可以增量式的显示网络中新出现的进程;
2)统计网络中最常运行的进程,从而统计出网络客户端软件的使用情况。
3)此系统可对网络中出现的异常进程(很可能病毒进程)进行定位和报警,在必要时可直接阻断。
图2.4.12实例图
2.4.5.3硬件及端口控制
管理员在Web控制台禁用或启用终端用户的外部设备,禁用或启用终端用户的某一端口,如启用或禁用软驱、光驱、U口、打印机、Model、串口、并口、1394火线口、红外接口等。
其中对于USB存储设备、软驱、刻录光驱,本系统提供禁用、只读、读写三种控制状态,对于其他类型外设提供禁用、可用两种状态,并且系统能够对所有外设访问行为进行细粒度审计。
图2.4.13实例图
2.4.5.4点对点审计和维护
系统管理员通过本系统以点对点的方式对客户端进行详细的监控审计,具体包括以下内容:
1)硬件资产清单:
●自动搜集包括CPU、内存、硬盘分区总和、设备标识的大小和其他详细信息以及其他如主板、光驱、软驱、显卡、键盘、鼠标、监视器、红外设备、键盘等所有的硬件信息。
●网管可自主添加相关的附加信息。
2)安装软件查询:
查询设备所有安装的软件。
3)终端进程管理:
查询当前终端所有运行的进程,并可通过系统关闭非系统进程。
4)终端服务管理:
查询当前终端运行的服务,可以远程关闭或开启服务。
5)系统运行资源查看,具体包括:
●客户机流量:
包括当前流入流量、流出流量、总流量;
●CPU频率和使用率;
●内存大小和使用率;
●系统各硬盘分区大小和使用情况。
6)补丁查询:
查看系统漏打的补丁。
7)日志查询:
查看终端的系统日志、安全日志和应用程序日志。
8)终端安全审计:
查看用户的登录信息、历史记录信息、下载信息等各种信息。
9)消息通知,向用户发送消息,并可要求用户进行消息回馈。
10)远程运行进程:
可远程加载进程。
11)共享目录检查:
检查当终端的共享目录。
12)修改网络配置:
可查看网络终端的IP、MAC、子网掩码和网关信息,并可远程修改用户的IP地址。
13)远程卸载客户端程序。
14)远程断开/恢复网络终端的网络。
15)远程重新启动计算机
16)进行远程屏幕监控或接管。
图2.4.14实例图
2.4.5.5上网访问控制
管理员通过本系统可对终端的上网访问行为进行审计,对其违规操作进行阻断。
系统能够控制用户能访问某些网站,或仅禁止访问某些网站,从而保证终端安全。
图2.4.15实例图
2.4.5.6垃圾文件清理
管理员可在Web控制台对终端用户某一文件夹下或全盘某些后缀的垃圾文件或临时文件进行集中清理。
系统可协助用户维护(指定目录下的)临时文件、备份文件、帮助的历史文件、IE临时文件、安装临时文件、异常临时文件等各种应删除的文件。
图2.4.16实例图
2.4.5.7终端消息通知
管理员通过发送消息的方式对终端用户进行提醒、消息通知并确认回馈、发送消息要求终端用户重新注册、同步终端数据和对终端的升级。
图2.4.17实例图
2.4.5.8其他管理
1.系统自动关机管理
当终端鼠标、键盘在规定时间内无动作时对系统进行关机。
2.终端时间同步管理
可对所有终端使用时间进行同步管理。
3.终端服务管理
远程查看系统服务管理列表,支持对各项服务的启用/禁用设置。
2.4.6终端安全管理
2.4.6.1桌面密码权限管理
系统可对终端的密码管理权限变化及使用状况(包括密码长度、安全性、弱口令等方面)进行审计检查及报警,同时对不符合要求的终端进行提示或强制修改等处置,以达到防止病毒及黑客入侵的目的。
2.4.6.2终端统一防火墙和杀毒软件管理
1.管理员在Web控制台对终端进行统一的防火墙设置,对网络IP及协议访问进行限制,在网络内建立虚拟的终端隔离区。
2.对于大型网络,网络客户端由于用户使用水平的差别,会出现用户卸载甚至退出统一安装的防病毒软件的情况,也会出现有个别用户被遗漏,未安装防病毒软件的情况。
管理员可利用Web控制台对终端所安装的杀毒软件情况进行监控和管理,并能够对终端杀毒软件实施远程操作(病毒查杀、升级、软件安装等)。
管理员可统一监控网络内的防病毒软件(国内主流厂商的均可)安装情况和使用状态,了解网络中的病毒软件安装状况,必要时可通过此系统强制为客户端安装防病毒程序,如果需要,此系统也可监控终端软件的安装情况,并进行相应的管理(如安装杀毒软件,强行升级病毒库、自动分发并自动执行病毒专杀工具等)。
2.4.6.3注册表监控/保护
Windows的所有安全策略都是基于注册表的。
通过改变注册表的有关配置,可以在指定方面很大程度上增强客户端的安全性。
同时,木马和病毒的开机自动启动一般也是通过改变注册表项,启动时自动加载实现的。
因此有必要对注册表进行检查和审计。
主要包括:
1) 注册表保护与访问行为审计。
● 防止未授权用户添加、更改、删除注册表相关内容;
● 对用户访问注册表的操作进行审计。
图2.4.18实例图
2) 对注册表项、键名、键值进行检查,检查具备包括:
●键值必须符合;
●键值必须不符合;
●键值必须存在;
●键值必须不存在;
3) 出现违规注册表项时进行客户端提示或上报。
图2.4.19注册表检查
2.4.6.4终端连线/离线策略管理
系统注册终端自动侦测网络连接情况,根据连线/离线状况调用不同的安全策略,终端自适应采用离线安全策略或者连线安全策略,满足网络中计算机接入带出的安全管理要求。
2.4.7网络主机运维监控
1.运行资源监控:
在Web控制台对终端的CPU、内存、硬盘的资源占用率和剩余空间进行监控,设定危险等级报警阀门。
2.流量异常监控:
在Web控制台对终端的网络流入、流出和总流量进行监控和管理。
3.进程异常监控:
在Web控制台对终端未响应窗口进行监控并结束或重启该进程,对意外退出的进程进行监控和保护。
4.客户端文件备份:
针对终端计算机进行数据实时备份,将本机计算机目录文件数据实时或定时备份到数据服务器或其它计算机上存储。
针对局域网服务器数据存储等提供安全数据同步备份解决方案。
2.4.8非法外联行为监控
1.终端非法外联互联网行为监控:
对于已注册的设备,通过不同方式(如双网卡、代理等)连接互联网进行的通讯,系统能够自动阻断其连接行为并报警。
2.终端非法接入其它网络行为监控:
对于已注册的设备,监控其网络连接行为,根据接入网络环境因素判定其是否非法接入其它网络。
3.非法外联行为告警和网络锁定:
如果终端非法入网,可以在报警平台和报警查询处获知信息,并且可以对终端提示信息,自动关机,阻断联网等处理。
2.4.9普通文件分发
系统可提供服务器向客户端分发各种文件、如可执行文件并可以自动运行,服务器端可以选择分发的目标路径、设定运行参数、是否后台运行,同时向客户端发送提示信息。
分发完后可根据条件进行安装文件检测,确定文件安装成功。
图2.4.20普通文件分发策略
三、预计可达到的效果
随着网络应用的不断增加,在网络中传播的病毒造成的风险和管理上的风险也会不断增加,由于单个计算机的病毒引起的损害可能传播到其他系统和主机上,引起网络瘫痪,造成重大损失。
系统对网络的安全稳定运行有较高的要求。
同时,其它桌面安全和桌面管理方面的问题也十分繁杂,而专网的网络维护管理人员十分有限,因此需要专业的内网安全管理系统,北信源内网安全管理及补丁分发系统可解决上述提到的内网安全和管理问题,并可取得以下的效益:
1、系统可解决网络统一管理问题:
系统将XX单位网络变成一个真正的可统一管理的级联网络;上级可对下级进行统一的管理和监控,下级数据可统一上报至上级汇总管理。
2、系统解决了网络安全的根本问题:
提供从密码监控以及进程、端口、访问区域、流量、注册表、安装软件的监控管理,全方位的监控终端使用的各个环节,最大程度上保证网络终端的安全,从而保证网络的安全。
3、系统可大幅度降低管理的成本:
此系统的使用可在增强网络统一管理和安全管理的同时,使原本很多需要手工处理的工作自动化,并可使管理人员在本地远程接管并解决远程终端的问题,从而大幅度降低管理成本,提高效率。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信源 安全管理 系统 方案