站内搜索: 商品 资讯 职位 下载
产品分类
产品搜索
  • 商品分类
  •  
您现在的位置:产品首页 >> 青岛天鼎成 >> 解决方案 >> 按产品分类 >> 软件 >> 终端安全管理—VRV
  • ·: 终端安全管理—VRV
  • 编号: vrv2
  • 浏览次数: 24

好友推荐

 

一、系统需求分析

1.1当前网络环境

随着单位信息化建设的不断加强,XX单位的终端计算机数量还在不断增加,网络中的应用日益复杂。XX单位的网络保障着各种日常工作的正常运行,保证其安全、正常的运行十分重要。

目前XX单位为了维护网络内部的安全及提高系统的管理控制,需要对单位内部终端统一部署配置网络,并实施安装统一的网络安全产品进行管理。其网络是物理隔离网络,许多终端并没有完全通过IT设备连接入网,虽然使用了多种安全监控手段,但是在当前的使用中还会存在很多的问题,网络安全员和网络管理人员疲于应付各种安全和日常维护事件,网络也经常收到各种安全事件的威胁,其网络可能面临着如下的桌面节点安全和管理问题。

1.2网络管理中面临的问题

XX单位已经建立了比较完善的网络管理行政制度,但是以往在网络管理工作因为缺少相对应的技术手段,网络管理制度无法得以落实,致使管理员的日常维护工作繁琐,同时还有信息泄密的风险。一个成熟的网络安全管理理念应该全方面的主动防御,而不是事后责任追查。网管人员在多年的管理中总结出部分有待解决的需求:

1.2.1网络准入问题

在XX单位内部可能会出现外来笔记本接入的问题,可能会造成单位内部的涉密文件被窃取,引入病毒等严重后果。需要禁止非法PC机接入内网及和内部主机相互连接,防止重要资料的泄漏,防止内网用户通过拨号等外联方式连接互联网。需要对外来终端设备进行详细的安全认证及身份认证。

1.2.2终端安全管理问题

计算机病毒是目前对网络及计算机安全最大的威胁,目前XX单位内部虽然已经统一配置安装了杀毒软件,能够对病毒进行一定效果的防范,但是对杀毒软件的安装与管理还存在很多漏洞。

目前XX单位的终端的密码经常被改动,其安全性(包括密码长度、弱口令等方面)得不到有效的保障,而且终端的注册表也经常被改动,不能够对其进行及时有效的发现与控制,这些都对内网的安全造成了威胁。

XX单位的许多终端的IE的安全性令人担忧,而且有些终端已经安装了不安全的插件和恶意软件,这是一个急需解决的问题。

XX单位的内部网络经常会出现流量过大的问题,造成网络的不畅甚至拥塞,急需对网络流量进行监控。而且XX单位员工上网行为往往不规范对终端的上网访问行为进行审计,对其违规操作进行阻断。

办公环境的计算机不允许安装及使用与办公无关的软件,当发现有非法使用违规软件是应该立即禁止。需要对软件的安装过程及软件执行所启动的进程进行控制。对于其他不安全的进程以及服务也需要加以监控。

1.2.3安全审计管理

如何保护终端的涉密信息,对涉密信息的访问、修改、复制、删除进行控制和审计,如何能够对涉密文件的打印、发邮件、网络共享进行控制,发现敏感字能及时过滤,并对以上所有行为进行审计记录是急需解决的问题。

1.2.4移动存储设备管理

外来移动存储设备随意接入网络内终端同样可能会造成单位内部的涉密文件被窃取,引入病毒等严重后果,对于具有防火墙、网关等硬件防范的网络,移动存储介质在网络内部造成病毒感染是病毒在内网传播的主要方式。如何防止外来移动存储介质随意接入网内终端,是急需解决的问题。

1.2.5非法外联管理

内部人员非法连接外网会增大病毒渗入和黑客攻击的风险,更为严重的会导致内部资料的泄露,给XX单位造成无法逆转的严重损失。

为了防范这些隐患,必须防止内部人员未经允许非法连接外网。

1.2.6终端补丁管理和软件分发问题

对于XX单位的内部网络,每台终端的操作系统及相关软件的补丁更新是用户及网管员最为烦琐的问题。没有妥善的管理体系,轻则会因为流量问题,导致网速较慢或断开网络,重则由于兼容问题造成机器蓝屏、死机等,影响单位的正常工作活动。这就需要有相关系统能够完成客户端操作系统补丁检测、补丁下发、补丁安装、补丁安装信息回馈等功能,而且能够分发任何形式的软件,软件下发后能够获取软件下发整体情况,用以及时调整软件下发策略。

1.2.7资产管理问题

对XX单位网络的管理而言,软硬件资产的管理将是非常重要的一个组成部分。如果不能全面的掌握终端计算机的软硬件资产,那么对于终端上非法安装的软件以及终端硬件的变化就无从知晓,这就可能造成单位硬件资产的流失,对网络的全面管理更无从谈起。

1.2.8光盘刻录管理问题

对于XX单位网络的管理而言,如何去控制内部计算机的光盘刻录文件导入和导出问题以及光盘刻录情况审计问题,是一个亟待解决的现实问题。

1.2.9电子文档安全管理问题

如何从根本防止企业内部人员将重要文档通过邮件或移动存储设备传送给其他人?如何能在不影响正常业务工作时进行对文档的信息安全保护?如何避免因员工离职后将重要文档带走?如何在员工出差时进行文档信息安全管理?如何对整个公司、分公司、各个部门的文档进行防泄密安全管理?如何对文档集中式管理进行安全防护?如何对重要的电子文档生命周期进行监控和管理?

1.2.10缺乏统一的远程帮助平台问题

XX单位的终端用户对计算机的熟悉程度参差不齐,对于一些对计算机认识不够用户来说,一个小小的软件使用问题都有可能要求助于网络管理员,一旦出现程序无法正常运行时往往束手无策。部门的分布比较广泛,管理员往来奔波,致使处理问题的效率不高。如果计算机用户能在远程发出求助请求,管理员在远程进行程序安装、调试程序,势必会节省时间,提高管理员的工作效率,统一的远程呼叫帮助平台就成为必要。

二、内网安全解决方案

2.1 系统部署和管理构架

XX单位网络为内部隔离网络,网内有XX台终端。根据实际情况需要可以部署内网安全管理系统对终端进行统一监控和管理,由于系统管理采用B/S构架,管理员可在网络的任何终端通过登录内网管理服务器的管理页面进行管理和各种信息查询,所有的网络终端需要安装客户端程序以对其进行监控和管理。具体的部署和管理构架如下:

网络通过内网安全管理服务器对全网进行网络客户端的各种策略和配置补丁以及文件的下发,流量监控、违规联网监控、入网设备联网状况监控、终端软硬件管理、系统文件分发、消息分发等工作,并对客户端进行各种行为和状态的监控。网络终端上的客户端程序可将各种网络终端的状态信息、日志信息和报警信息上报,可通过管理节点对异常计算机进行断网等处理,也可通过系统远程对客户端进行故障诊断和维护。

2.2 系统部署时的硬件配置

管理控制台:

管理服务器1台:

硬件需求:CPU至强2.8或以上, 2*1G内存

硬盘146G SCSI或以上

软件需求:操作系统Win 2000 Server或Win 2003 Server

数据库系统SQL Server 2000

2.3 终端接入管理

2.3.1终端身份认证

2.3.1.1 ARP协议准入

ARP准入是一种比较简单的准入方式,系统可以自动检测终端是否注册,通过ARP欺骗的方式,使未注册的设备拒绝接入到内网中来。阻断方式不依赖任何硬件设备。

2.3.1.2基于802.1x协议的交换机端口接入认证

这种控制方式要求网络中使用的交换机支持801.1X认证,在交换机支持802.1x协议搭建的内部网络中,通过基于端口的访问控制来管理客户端接入的问题。

802.1x协议与LAN是无缝融合的。802.1x利用了交换LAN架构的物理特性,实现了LAN端口上的设备认证。在认证过程中,LAN端口作为请求者,负责向认证服务器提交接入服务申请。基于端口的MACW锁定只允许信任的MAC地址向网络中发送数据。来自任何“不信任”的设备的数据流会被自动丢弃,从而确保最大限度的安全性。

在802.1x协议中,只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权。

1. 客户端。客户端安装在用户的终端上(集成在EDP Agent里),当用户有网络访问需求时,EDP Agent自动激活客户端程序通过认证,或由用户手动输入必要的用户名和口令通过认证。

2. 认证系统。认证系统在以太网系统中指认证交换机,其主要作用是完成用户认证信息的上传、下达工作,并根据认证的结果打开或关闭端口。

3. 认证服务器。系统通过检验客户端发送来的身份标识(用户名和口令)来判别用户是否有权使用网络系统提供的网络服务,并根据认证结果向交换机发出打开或保持端口关闭状态的指令。

2.3.1.3 虚拟隔离接入控制技术

如果网络并不不支持802.1X协议,如增加HUB一类情况,使得企业网络面临着病毒、木马、蠕虫等安全风险。针对如上问题,北信源虚拟隔离接入控制技术应运而生,在不改变原有网络结构的同时,对新接入的网络终端及非法设备得以有效管理。

在执行此功能的网络中,以系统客户端作为身份认证标准,如果有新的终端接入到网络中会立即会被隔离,并且只能与EDPserver通讯,且访问任意URL,网页都会跳转到我们预先设定好的站点。

在非法终端处于隔离同时将不能与网络中任何一台已注册终端进行通讯,并且不能访问内网中的例如FTP、OA等服务器。

2.3.2 IP地址管理

Ø针对已经分配的IP地址采用实名化管理,便于快速事件定位;

Ø针对没有分配的IP地址能够自动发现非法占用,并进行处理;

2.3.3 IP、MAC地址绑定

    通过策略配置快速的实现IP、MAC绑定,绑定后,对私自修改IP计算机进行地址恢复,或断网,同时上报服务器保存。

2.3.4禁止修改网关、禁用冗余网卡

如果终端装有双网卡,可使用“IP与Mac绑定策略”中的“禁用冗余网卡”功能来实现对冗余网卡的禁用。选中此项功能,则只保留与区域管理器通信的网卡,禁用其他的网卡。

2.4 终端安全检查与加固

2.4.1 补丁自动检测分发和管理

利用北信源主机监控审计与补丁分发系统可彻底解决补丁问题,其具体实现如下:

1.补丁策略制定

包括补丁应用策略制定、补丁文件分发任务制定。

可以根据要求按照不同的区域进行划分,可按照IP地址、部门、操作系统、用户自定义等方式进行区域划分。具体的

补丁策略制定:具体可支持定时、定周期、分类、分部门、分范围、客户机状态和用户自定义等策略。

补丁策略分发:具备详尽的补丁分发策略,补丁可以定时、定周期、分类、分范围、分部门、分范围、客户机状态和用户自定义等进行分发。

补丁文件任务制定:针对特定的一个补丁或多个补丁,对指定计算机或者计算机网络进行补丁自动分发安装。

补丁中心将网络客户端分类,设置测试类客户端,补丁在测试类机器上经过严格测试后,再正式对其他类网络机器进行分发。

此外,内网安全管理系统还提供补丁下载流量控制功能,补丁管理中心区域管理模块能够对网络不同网段、不同区域的终端补丁升级进行流量、数量控制,避免造成对网络的流量影响,合理控制网络带宽。

2. 补丁下载检测和增量式导入

对于物理隔离的内部网络,其内部的补丁升级服务器中的补丁数据必须从外部导入,巨大的补丁数据库使得每次补丁导入相当烦琐。为此,北信源使用增量式补丁分离技术,在外网导出补丁时,可分离出内网已经安装的补丁,只导入内网尚未安装的系统补丁,即仅对内网的补丁进行“增量式”的升级,以提高效率。

当有新的计算机补丁公布可以下载后,北信源公司由专门的人员在第一时间内获得,并进行相应的分析,更新补丁索引文件。

系统拥有专门的外网补丁下载服务器,能根据索引自动下载新增的计算机补丁,补丁校验功能对所下载的补丁进行校验,保证计算机补丁的可靠性、完整性、安全性。

补丁在导入时并具有病毒检测功能,保证导入到补丁库中的补丁不被病毒感染。

3.补丁安全自动测试

XX单位的环境中,可能会包含特殊的应用或特殊的软件版本,在这些环境中,有时会出现打补丁后系统或应用异常的情况,所以在大规模补丁分发前需要进行真实环境的补丁测试。北信源系统独创了真实环境闭环测试技术,具体的流程是首先由网管选定某些计算机作为测试计算机作为测试组,每次补丁导入后内网后,首先自动分发至这些选定计算机进行新补丁的安装测试,从而自动地进行非模拟性自动测试。如果补丁安装后对测试计算机未产生影响,被测试计算机能正常运行,网管员便可根据相应得策略对网络内的计算机进行大面积的推送。此技术可以很好的减轻网管的测试工作量,并提高补丁安装的安全性。

4.补丁库自动分类

系统对存放到服务器上的计算机系统补丁能进行相应的分析,自动得出补丁属性、类型和与之相关的补丁说明,并在网页中进行清晰明了的显示。可以方便管理人员根据相应的需求,高效快捷定义补丁分发策略,及时的针对不同的系统和需要分发计算机补丁。

系统同时提供管理员自定义补丁类别的补丁管理方式,如果需要也可由相关的管理人员自行设定相应的自定义补丁类别以符合其管理的需要。

5. 补丁库的级联和同步

系统可以针对补丁进行级联式的分发和管理,在级联级数没有任何限制并在三级的基础上进行无缝平滑扩展。

可定期进行同步校验,也可自主设定同步校验周期和时间。在有新补丁导入时,也可以自动触发与下级服务器间的同步操作。

所有的同步过程均可自动完成,上级服务器可以了解下级服务器补丁库是否同步成功。

6.补丁安装检测、自动分发补丁

XX单位的网络管理人员通过本模块全面检测网络系统终端补丁的安装状况,并通过此模块,对没有安装补丁的设备进行远程补丁安装,将最新补丁升级包及时分发到终端计算机,并提示安装修补,在客户端有明显提示,通知用户打补丁。

系统可以对客户端安装的系统的版本,IE版本的补丁安装情况进行自动探测和维护(客户端计算机的补丁安装情况包括Windows、Office、IE、微软媒体播放器等),自动搜集客户端系统资料和安装补丁资料,以根据客户端系统的实际状况自动分发所需的补丁。

7.补丁推送安装

当系统检测到有客户端未打补丁时,可对漏打的补丁进行推送式的安装。同时,通过推送安装,也可以为客户端安装应用软件。

补丁推送分发可以跨网段,跨VLAN,补丁分发支持断点续传功能。补丁下发过程中,如遇到特殊事件造成网络中断,则在下次网络连通时通过校验得出已传输的数据和断点位置,进行续传。

8.系统补丁报表

监控程序将网络客户端补丁信息上报管理中心后写入数据库,在WEB管理平台可进行补丁报表察看,统计网络客户端补丁安装状况。

9.补丁下载流量控制

系统可以利用多种方式进行下载流量控制:

1、系统能够根据网络的负载情况自动调整分发补丁时所占的网络带宽和并发连接数;

2、根据手动设置允许的带宽或服务器并发连接数及每个连接所允许使用的带宽;

3、系统同时支持客户端转发代理补丁下载,以减少网络带宽流量,提高效率。

10.服务器端补丁查询

客户端软件实时监控客户端系统漏洞及补丁安装情况,服务器端补丁查询补丁可根据补丁名称、待查询IP范围、操作系统、待查区域,查询时间或其它条件对区域网络范围内的计算机终端进行补丁安装状况查询,通过网管设定的查询条件,能快速的获知所查询补丁的安装情况(如补丁发送是否成功,补丁安装是否成功,补丁是否已被安装等),以保证补丁及时的安装。

11.客户端网页查询补丁安装信息

因为很多用户习惯通过访问微软的Update网页,检查自己漏打的补丁,并进行下载安装。作为物理隔离的网络,内网中的用户无法访问此网页,因此从用户的习惯角度出发,内网中也应该有类似的网页,以便用户访问和获知本机补丁安装情况,进行补丁下载安装。安装了系统客户端的计算机可以通过访问内网的特定网页,对本机所缺少的计算机补丁进行查询,查询结果在网页上进行显示,计算机用户根据需要进行安装。

12. 新(长时间关机)客户端入网先打补丁

对于XX单位网络,网络中可能会有网络攻击型病毒,在扫描终端漏洞,当未安装补丁的终端接入网内时,可能会立即感染病毒,并成为新的病毒攻击源。因此新接入内网的终端,应只能和补丁管理服务器通讯,不能和其它设备进行通讯,以免感染病毒。

系统具备先进的判别技术,对于新机器或长时间关机的计算机,在其进入网络时,能快速的发现并识别此类计算机,对这类计算机发送相应的提示,如提醒用户下载并安装计算机补丁,提醒补丁下载的位置和计算机用户下载并安装所需的计算机补丁。也可对这些计算机进行补丁强制推送,安装计算机所缺少的补丁。系统可保证此新(长时间关机)的客户端刚接入网络时,不与网络中除补丁服务器外其它计算机的通讯,只在上网后首先进行补丁安装工作,只在补丁安装完成后,才开放其与网内其它计算机的通讯。

2.4.2杀毒软件监控

管理员可利用Web控制台对终端所安装的杀毒软件情况进行监控和管理,并能够对终端杀毒软件实施远程操作(病毒查杀、升级、软件安装等)。还可统一监控网络内的防病毒软件(国内主流厂商的均可)安装情况和使用状态,了解网络中的病毒软件安装状况,并进行相应的管理(如安装杀毒软件软件,强行升级病毒库等)。

 

2.4.3 网管可统一配置的主机防火墙(网管控制包过滤)

蠕虫病毒均是通过一定的端口进行传播和发包,如果网管可以统一控制网络中计算机的端口,关闭病毒使用的端口,进行端口加固,就可以有效阻止这些病毒的传播和破坏。

系统具备可由网管根据需要统一配置的客户端主机防火墙,可按照策略控制客户端的特定端口的连接,包括禁用(开启)指定的端口,禁止Ping入(出),设定IP区域访问控制,进行包过滤控制等,也可禁止使用代理服务器,系统不管如何设置包过滤规则,均不会造成维系管理服务器对客户机管理的通信无法进行。

当某些客户端临时离开内部网络安装到其它网络时,客户端软件的包过滤功能和禁止使用代理服务器功能可根据管理员的预设置策略自动关闭或继续工作。

利用此功能可实现:

1.端口控制:

l  禁用填充项中指定端口,开放其它端口;

l  开放填充项中指定端口,禁用其它端口;

l  禁用填充项中指定端口;

l开放填充项中指定端口;

l 端口可按照范围进行填写。

2.ICMP协议控制

l禁止ping

l 禁止ping

l协议双向禁止

3.IP地址访问控制

l 只允许填充项中IP地址访问自己,禁止其余IP地址访问。

l 只允许自己访问填充项中IP地址,禁止访问其余IP地址。

2.4.4 密码权限及弱口令监控

对终端的密码管理权限变化及使用状况(包括密码长度、安全性、弱口令等方面)进行审计检查及报警,同时对不符合要求的终端进行提示或强制修改等处置。达到防止病毒及黑客入侵的目的。

目前很多病毒已经可以“猜”出用户机的口令,如果计算机使用弱口令,病毒将会通过这些弱口令获得计算机的控制权,并进行传播。这类病毒的传播行为靠杀毒软件或者补丁加固均无法进行控制。

系统可以检查开机密码是否是弱口令,以保障系统不因为弱口令被病毒和黑客攻击。

2.4.5 用户权限变化监控

网络终端的权限一般不会被用户检查,正常的客户端用户权限极少改变,但是很多病毒和黑客的攻击很多是利用计算机上权限的变化实现的,计算机上权限的变化造成的危害往往是致命的,因此十分有必要对终端权限的变化进行监控,以告知终端用户和网络管理人员。

利用此项功能可实现:

1. 当系统用户系统权限发生改变时,进行上报和客户端提示;

2.   当系统用户系统组权限发生改变时,进行上报和客户端提示;

3. 当系统用户增加时,进行上报和客户端提示;

4.  当系统用户减少时,进行上报和客户端提示;

5. 当系统用户组增加时,进行上报和客户端提示;

6.   当系统用户组减少时,进行上报和客户端提示;

2.4.6 注册表检查与加固

Windows的所有安全策略都是基于注册表的。通过改变注册表的有关配置,可以在指定方面很大程度上增强客户端的安全性。同时,木马和病毒的开机自动启动一般也是通过改变注册表项,启动时自动加载实现的。因此有必要对注册表进行检查和审计。主要包括:

1)    注册表保护与访问行为审计。

l  防止未授权用户添加、更改、删除注册表相关内容;

l  对用户访问注册表的操作进行审计。

2)     对注册表项、键名、键值进行检查,检查具备包括:

l键值必须符合;

l键值必须不符合;

l键值必须存在;

l键值必须不存在;

3)      出现违规注册表项时进行客户端提示或上报。

2.4.7终端连线/离线策略管理

注册终端自动侦测网络连接情况,根据连线/离线状况调用不同的安全策略,终端自适应采用离线安全策略或者连线安全策略,满足网络中计算机接入带出的安全管理要求。

2.5资产管理

2.5.1资产信息收集

实际使用中,可能会出现客户端用户随意拆卸网络终端硬件的现象,这会给网络终端的管理带来混乱,甚至可能造成内网网络信息网硬件设备资产的流失。

桌面计算机安装客户端程序后,客户端程序会自动收集当前计算机的各种硬件信息,包括CPU、内存、硬盘、网卡MAC地址、主板芯片、主板上的板卡等主要硬件信息。信息收集完成后自动上报给VRVEDP服务器,保存在后台数据库中,管理员有需要的时候只需要登陆管理平台,选择查询条件就会生成管理员需要的硬件资产报表,同时还可以导出Excel报表,并可对其变化报警。

2.5.2资产变更管理

系统自动检测设备资产信息变化报警,报警未注册设备、注册程序卸载行为,实时检测硬件设备变化情况(如设备硬件变化、软件变化、网络地址更改、USB设备接入等)。

对硬盘、内存等硬件变化时,系统可自动阻断系统通信。

2.5.3软件管理

1)软件资源统一监控:自动收集安装在每台计算机上的每种应用程序信息,包括安装的操作系统种类、版本号以及当前补丁情况、客户机安装的软件等信息和驱动程序情况,并进行汇总管理。

2)系统能够及时检测主机软件信息变化情况。

3)根据条件查询客户机安装的软件或指定软件被哪些客户端安装等信息。

4)对软件安装进行黑白名单控制,即根据策略设定禁止安装的软件和必须安装的软件。对违规软件行为自动报警并上报。

5)违规软件禁止安装功能,禁止在注册表Run项里添加自启动项,禁止在注册表Services项里添加自启动项,禁止在程序启动项中添加项,禁止在程序项中添加快捷方式限制违规软件的安装,所有安装软件均可进行审计。

6)对重要的进程进行守护,防止由于意外或认为原因造成重要进程中断。

7) 对违规的客户端进行客户端提示和断网处理等相应措施。

8)统一汇总和监视网络各终端的进程,可以增量式的显示网络中新出现的进程,也可统计网络中最常运行的进程,从而统计出网络客户端软件的使用情况。此系统可对网络中出现的异常进程(很可能病毒进程)进行定位和报警,在必要时可直接阻断。

2.5.4硬件及端口管理

管理员在Web控制台禁用或启用终端用户的外部设备,禁用或启用终端用户的某一端口。如启用或禁用软驱、光驱、U口、打印机、Model、串口、并口、1394火线口、红外接口等。其中USB存储设备、软驱、刻录光驱提供禁用、只读、读写三种控制状态,其他类型外设提供禁用、可用两种状态,系统能够对所有外设访问行为进行细粒度审计。

2.6终端桌面管理

2.6.1流量管理和控制

蠕虫病毒和BT下载等行为在很多情况下会严重占用网络带宽,造成网络的拥塞甚至瘫痪,对此可利用本系统进行流量的管理与监控。

主要功能:

1.流量采样阈值设定:用户自主设定采样阈值,当流量(含出、入或总流量)超过一定限度并持续一定时间后,进行有关信息上报,防止上报数据过多给网络带来负担。

2.上报的当前流量进行汇总,对当前的流量进行时实排序,以便网络管理人员进行快速分析是否是网络安全事故。

3.对网络客户端的历史流量进行统计和排序,并可生成报表。

4.对并发连接数设定阈值并进行采样。

5.对网络扫描的可疑行为进行阈值设定和报警。

6.对客户端大量发包的可疑行为进行阈值设定和报警。

7.对具备可疑行为的客户端进行报警上报、自动阻断、客户端提示等管理。

8.设定网络客户端流量上限阈值,对超过的进行报警上报、自动阻断、客户端提示等管理。

2. 网络进程监视功能

统一汇总和监视网络各终端的进程,可以增量式的显示网络中新出现的进程,也可统计网络中最常运行的进程,从而统计出网络客户端软件的使用情况。此系统可对网络中出现的异常进程(很可能病毒进程)进行定位和报警,在必要时可直接阻断。

2.6.2点对点审计和维护

系统管理员通过系统以点对点的方式对客户端进行详细的监控审计,具体包括以下内容:

1)硬件资产清单:

l自动搜集包括CPU、内存、硬盘分区总和、设备标识的大小和其他详细信息以及其他如主板、光驱、软驱、显卡、键盘、鼠标、监视器、红外设备、键盘等所有的硬件信息。

l网管可自主添加相关的附加信息。

2)安装软件查询:查询设备所有安装的软件。

3)终端进程管理:查询当前终端所有运行的进程,并可通过系统关闭非系统进程。

4)终端服务管理:查询当前终端运行的服务,可以远程关闭或开启服务。

5)系统运行资源查看,具体包括:

l客户机流量:包括当前流入流量 、流出流量、总流量;

lCPU频率和使用率;

l内存大小和使用率;

l系统各硬盘分区大小和使用情况。

6)补丁查询:查看系统漏打的补丁。

7)日志查询:查看终端的系统日志、安全日志和应用程序日志。

8)终端安全审计:查看用户的登录信息、历史记录信息、下载信息等各种信息。

9)消息通知,向用户发送消息,并可要求用户进行消息回馈。

10)远程运行进程:可远程加载进程。

11)共享目录检查:检查当终端的共享目录。

12)修改网络配置:可查看网络终端的IP、MAC、子网掩码和网关信息,并可远程修改用户的IP地址。

13)远程卸载客户端程序。

14)远程断开/恢复网络终端的网络。

15)远程重新启动计算机

16)进行远程屏幕监控或接管。

2.6.3上网访问控制

对终端的上网访问行为进行审计,对其违规操作进行阻断。控制用户能访问某些网站,或仅禁止访问某些网站,从而保证终端安全。

2.6.4流量管理和控制

管理员可在Web控制台对终端用户某一文件夹下或全盘某些后缀的垃圾文件或临时文件进行集中清理。

目前的系统临时文件众多,而绝大部分业务用户均不会手动清除大量的临时文件,这样会占用大量的硬盘资源,因此需要靠第三方系统主动的对其加以清理。

系统可协助用户维护(指定目录下的)临时文件、备份文件、帮助的历史文件、IE临时文件、安装临时文件、异常临时文件等各种应删除的文件。

2.6.5其他管理

1)系统自动关机管理

当终端鼠标、键盘在规定时间内无动作时对系统进行关机。

2)终端时间同步管理

可对所有终端使用时间进行同步管理。

3)终端服务管理

远程查看系统服务管理列表,支持对各项服务的启用/禁用设置。

2.6.6终端消息通知

管理员通过发送消息的方式对终端用户进行提醒、消息通知并确认回馈、发送消息要求终端用户重新注册、同步终端数据和对终端的升级。

2.6.7网络主机运维监控

1)运行资源监控:在Web控制台对终端的CPU、内存、硬盘的资源占用率和剩余空间进行监控,设定危险等级报警阀门。

2)流量异常监控:在Web控制台对终端的网络流入、流出和总流量进行监控和管理。

3)进程异常监控:在Web控制台对终端未响应窗口进行监控并结束或重启该进程,对意外退出的进程进行监控和保护。

4)客户端文件备份:针对终端计算机进行数据实时备份,将本机计算机目录文件数据实时或定时备份到数据服务器或其它计算机上存储。针对局域网服务器数据存储等提供安全数据同步备份解决方案。

2.7非法外联行为监控

1)终端非法外联互联网行为监控:对于已注册的设备,通过不同方式(如双网卡、代理等)连接互联网进行的通讯,系统能够自动阻断其连接行为并报警。

2)终端非法接入其它网络行为监控:对于已注册的设备,监控其网络连接行为,根据接入网络环境因素判定其是否非法接入其它网络。

3)非法外联行为告警和网络锁定:如果终端非法入网,可以在报警平台和报警查询处获知信息,并且可以对终端提示信息,自动关机,阻断联网等处理。

2.8移动存储管理

2.8.1移动存储使用管理

对于以USB存储设备、移动硬盘非法接入内网的情况,我们通过对外设及端口进行启用、禁用控制,必要时候还能够控制只读入、可写出等细致操作行为来进行管理。

管理控制中心可以启用/禁用除了人体工程学设备外的一切USB端口,可以从驱动级禁用USB端口、光驱、软驱、串口、并口、打印机、红外、蓝牙、磁带机、多网卡、1394口、调制解调器、PCIMCIA卡等。

当涉密信息保存在流通于本地的移动存储设备中时,如果移动存储设备不经过加密或保护,那么一旦移动存储介质遗失,在其他计算机能够直接访问、修改,将直接导致涉密信息外泄。

北信源采取对移动存储介质写入保护标签的方法,首先对存在于USB、移动硬盘等设备内的涉密信息进行保护。然后通过策略,分配可以识别此标签的终端的权限,分配对象可以是一台计算机,也可以是一个区域、一个部门或自定义的计算机组。

移动存储介质被分配标签后可以实现以下功能:

1.以分配标签的移动存储介质接入除本单位外的计算机或网络,不能够访问。

2.以分配标签的移动存储介质可以在本网络内对部分IP终端可读写,其他未分配的对象不可以访问。

另外系统对移动存储设备可按照标签密级度,进行分组管理,还要对移动设备审计查询,查询事件内容包括设备接入,从移动设备拷入,拷出到移动设备等方面。

2.8.2 技术特点及应用

本系统通过对移动存储介质写入两种不同权限及功能的标签,来实现分级权限的控制,并以策略的形式分发给不同的域,授权给指定方位的终端,并对写入标签移动存储介质的访问进行控制。另外,对移动存储介质格式化操作无法去除标签。

普通标签:写入普通标签后,系统在管理区域内根据策略的设置,来限制移动存储介质的读、写功能;如果在管理区域外使用移动存储介质认证,则不限制移动存储介质认证读、写功能

加密标签:写入加密标签后将普通移动存储介质(U盘、移动硬盘等)分为二个区域;交换区、保密区。涉密网络可只生成保密区。交换区和保密区启动均需输入独立的密码,数据在二个区存储时均以加密方式存储,这两个区的具体应用如下:

(1)在涉密网络中或高要求的办公网络中,可只生成保密区一个区。该保密区只能在用安全策略的主机上通过认证标签后、同时输入正确密码才能访问,同时有安全策略的主机可以根据策略控制未经标签认证的移动存储介质的使用。

(2)在普通办公网络中,可生成交换区、保密区二个区。保密区的使用方法,可与上述涉密网络或高要求的办公网络相同。交换区的使用方法,可以根据用户需要,在内部网络中通过策略限制使用方式,交换区在外网使用时同样要输入密码方可使用,保密区在外网不可见。

系统提供细粒度审计:

1) 提供移动存储介质上所有文件操作的详细记录

包括文件的创建、复制、删除、读写和重命名等操作,具体包括文件名、审计描述、时间、用户名、计算机IP地址和其他必要的信息。

2) 提供移动存储介质的插入和拔出动作的详细记录

具体包括事件类型、移动存储介质的名称、用户、计算机IP地址、事件时间等。

2.9终端行为审计及管理

2.9.1文件保护和访问审计

    此项功能用于限制进程对指定文件访问,并对访问行为予以记录。利用此项功能,可限制对于敏感文件的访问,保证敏感文件的安全。

1.通过系统保护和审计选定用户(在本策略中的对象中设定的)计算机的指定目录和网络共享文件的读取、修改、删除权限。

2.通过系统设置当哪些进程操作指定文件时进行保护,哪些进程操作指定文件时不实施保护。

通过系统设置指定目录为工作目录,并指定进程对其进行操作,并对进程操作进行控制,达到对工作目录的管理。

2.9.2文件输出审计

为了防止敏感文件的非法输出,如敏感文件的非法打印,邮件的非法发送等。通过文件输出审计模块屏蔽和设置选定用户计算机的文件输出和监控。其中包括设置打印机拒绝打印的文件类型;将固定扩展名的文件拷贝到网络盘;禁止发送邮件和对审记结果的上报。此功能可对终端文件的打印输出、网络共享输出、邮件输出等行为操作进行管理控制,并详细记录其行为信息,进行上报,如客户端违反相关的安全策略,进行非法的文件输出,系统可方便的进行查询。

2.9.3上网访问行为审计

管理员在Web控制台对终端用户的上网访问的http网页进行审计和记录。

可限制客户端访问的站点,并对访问行为进行审计,审计方式有两种,“仅审计对以下站点访问”和“仅不审计对一下站点访问”。将审计结果处理上报到服务器或本地文件。对于访问非法站点的客户端,能够进行方便的查询。

2.9.4文件涉密信息检查

根据用户自主设定的涉密信息查询条件,设定对指定目录或盘符下的指定类型文件进行内容检查,检查其是否包含涉密内容,系统支持进行包含“或”、“与”等多种逻辑的组合监测和模糊监测。

2.10光盘刻录管理

2.10.1权限控制

1)未授权用户无法使用刻录软件刻录数据;

2)针对不同用户可授权为:禁止刻录、对指定格式的文件设定刻录权限、关键字过滤功能保障敏感文件无法刻录、刻录次数限定,可根据工作日及时间段授权刻录、并可设定刻录许可码。

2.10.2数据刻录控制

只有使用北信源专用刻录软件刻录普通光盘或者特殊格式的安全光盘,其他刻录软件无法刻录。

2.10.3特殊格式安全光盘读取

1)经过加密刻录的光盘,使用时需要通过专用解密工具输入加密时设置的密码才可解密,解密后文档可正常读取;

2)北信源专用刻录软件刻录的普通光盘在任何光驱上都能被正常读取。

2.10.4安全审计

1)刻录行为的审计,包括:刻录计算机IP、MAC、刻录时间、源文件绝对路径、目的文件绝对路径等信息;

2)客户端系统配置变化审计;

3)灵活过滤条件查看日志;日志、统计报表提供WORD及EXCEL等格式的输出。

2.11档案、报警和日志管理

2.11.1档案管理

1.系统提供完善的报表功能,能够根据按不同部门、不同操作系统提供软硬件资产、报警、状态及其他情况汇总报表,提供多种报表功能,以对客户端资产情况、网络流量进行统计。

2.提供资产统计报表,能根据不同部门,不同操作系统对客户端硬件、软件提供资产统计报表。

3.具备独有的“组态报表”查询功能,对于有关报表,能根据不同的需要进行多种不同条件组合(组合查询条件包括所属区域、单位名称、设备所在部门、设备名称、设备IP、操作系统及版本、IE版本、防范等级、运行状态、安装杀毒软件版本及厂商、CPU情况、内存情况、硬盘情况、设备使用人、设备最后使用时间等等),生成多种不同的报表格式。

4.报表以网页的方式呈现,报表可以方便的调整格式,并可以Excel格式输出。

5.管理服务器提供方便的导入、导出客户档案和管理策略功能。

6.可以根据需要输出成柱形图、饼图等。

具体的统计报表包括:

l设备软件信息统计报表(部门、网段)

l设备硬件资源信息汇总表

l各区域设备注册情况统计表

l错误报表

l首次运行进程表

l违规软件列表

l违规进程列表

l级联上报设备注册情况统计报表

l级联上报设备操作系统分类报表

l级联上报设备硬件信息统计报表

l网络和服务器流量报表

l各种报警事件表

l组态查询报表

……

2.11.2 日志管理

1.可以方便的管理以下日志,并生成表格:

l用户登录日志

l用户操作日志

l用户策略日志

2.系统管理员可以灵活设置查询条件,条件具体包括按部门、按日期、按IP地址名称等。

3.系统也可定时自动备份、清除日志。

4.系统具备数据重整功能,以便定制对日志的维护。数据重整的对象主要针对IP、MAC重复、长时间未使用等情况的设备。

5.同时支持对查询结果的导出等功能。

2.12实名化管理

VRVEDP系统采用先进的C/S和B/S模式相结合的管理方式,在被管理的桌面计算机上安装VRVEDP客户端程序。在安装客户端程序需要填写当前计算机使用人的个人相关信息,如使用人、单位、部门、联系电话、邮件、所在地、计算机类型等,进行实名化的管理便于快速定位,无论是违规,还是网络安全事件发生时都可以快速定位到事件源。

    填写的个人相关信息会上报到服务器,保存在后台数据库里,供前台管理平台查询。

2.13远程呼叫帮助平台

当客户端用户以及服务器用户在使用计算机时遇到难以解决的问题,可以通过访问特定网页式,主动向多个网管工作台(可自主选择的)进行并发协助请求呼叫,呼叫网管对其进行远程协助。当管理员接收到客户端的请求可以后,调用远程客户端的桌面,帮助客户端用户解决相应的问题。

    管理员接收请求后,系统将自动调用远程计算机的桌面,就如同管理员亲自到现场,进行软件安装、软件调试、系统维护、打印机安装等工作,省去管理员来回现场和办公室之间的时间,提高了系统维护的效率和管理员的工作效率。

三、预计可达到的成效

随着网络应用的不断增加,在网络中传播的病毒造成的风险和管理上的风险也会不断增加,由于单个计算机的病毒引起的损害可能传播到其他系统和主机上,引起网络瘫痪,造成重大损失。系统对网络的安全稳定运行有较高的要求。同时,其它桌面安全和桌面管理方面的问题也十分繁杂,而专网的网络维护管理人员十分有限,因此需要专业的内网安全管理系统,北信源内网安全管理及补丁分发系统可解决上述提到的内网安全和管理问题,并可取得以下的效益:

1、系统可解决网络统一管理问题:系统将XX单位网络变成一个真正的可统一管理的网络。

2、系统解决了网络安全的根本问题:提供从补丁加固、密码监控以及进程、端口、访问区域、流量、注册表、安装软件的监控管理,全方位的监控终端使用的各个环节,最大程度上保证客户端系统的健壮性,保证网络终端的安全,从而保证网络的安全。

3、系统可解决U盘的管理问题,可有效防止外部U盘随意接入,内部U盘加密处理,防止丢失后泄密,并详细跟踪U盘的使用情况,有效降低了因移动存储设备所带来的病毒引入、资料外泄的安全隐患。

4、系统可解决客户端网络管理问题:具有监控管理终端上私接其他网络、非法外联等行为进行监控,有效保证内部网络安全。

5、系统可大幅度降低管理的成本:此系统的使用可在增强网络统一管理和安全管理的同时,使原本很多需要手工处理的工作自动化,并可使管理人员在本地远程接管并解决远程终端的问题,从而大幅度降低管理成本,提高效率。

关键词: 内网管理 终端安全