北信源內(nèi)網(wǎng)安全解決方案

年5月29日北信源內(nèi)網(wǎng)安全解決方案文檔僅供參考XXXX終端安全管理解決方案北京北信源軟件股份有限公司-03－22目錄TOC\h\z\t"樣式1,1,樣式2,2,樣式3,3"1、前言 42、需求分析 52.1、XXXX信息系統(tǒng)現(xiàn)狀 52.2、XXXX網(wǎng)絡終端管理需求 52.3、XXXX網(wǎng)絡終端安全管理系統(tǒng)需求分析 63、北信源終端安全管理解決方案 73.1、VRVEDP系統(tǒng)概述 73.3、網(wǎng)絡接入管理系統(tǒng) 83.3.1、ARP阻斷隔離 93.3.2、接入設備審核及有效期 103.3.3、802.1X認證方式 113.3.4、接入控制網(wǎng)關(硬件) 133.4、內(nèi)網(wǎng)安全管理系統(tǒng) 133.4.1、終端注冊管理 133.4.2、IP/MAC綁定策略 143.4.3、IT資產(chǎn)管理 153.4.4、終端流量管理 163.4.5、進程限制策略 173.4.6、互聯(lián)網(wǎng)訪問控制 183.4.7、防病毒策略 183.4.8、軟件安裝限制 193.4.9、多線程計算機遠程維護平臺 193.4.10、防火墻策略 203.4.11、違規(guī)外聯(lián)策略 203.4.12、終端密碼策略 213.4.13、終端資源監(jiān)控 223.4.14、硬件設備禁用功能 233.4.15、終端自動清理功能 243.4.16、IP管理和設備入網(wǎng)管理功能 243.4.17、終端點對點管理 253.4.18、系統(tǒng)自動關機管理 263.5、補丁及文件分發(fā)系統(tǒng) 263.5.1、補丁自動分發(fā) 263.5.2、軟件分發(fā) 313.6、USB移動存儲管理系統(tǒng) 323.6.1、分級權限控制 333.6.2、審計功能完善 343.7、主機安全審計系統(tǒng) 353.7.1、互聯(lián)網(wǎng)訪問審計 353.7.2、文件訪問及輸出審計 363.7.3、涉密內(nèi)容審計 373.7.4、軟件安裝審計 373.8、檔案、報警和日志管理功能 383.8.1、詳盡的檔案管理功能 383.8.2、日志管理功能 393.8.3、報警管理 403.9、系統(tǒng)具備的接口和強大的可擴展性 413.9.1、接口描述: 413.9.2、系統(tǒng)具有良好的可擴展性: 424、XXXX實施內(nèi)網(wǎng)安全管理項目的可預見效益 431、前言北京北信源軟件股份有限公司(以下簡稱”北信源”)成立于1992年,總部坐落于中國信息產(chǎn)業(yè)基地”中關村高新科技園區(qū)”。北信源是國內(nèi)成立最早的專業(yè)反病毒廠商之一,也是中國最早研制、開發(fā)”內(nèi)網(wǎng)安全管理及補丁自動分發(fā)系統(tǒng)”的廠商。北信源所有信息安全產(chǎn)品均擁有完全獨立自主的著作版權。北信源自主研發(fā)的”北信源內(nèi)網(wǎng)安全管理及補丁自動分發(fā)系統(tǒng)”是中國終端桌面安全管理領域市場占有率最大的產(chǎn)品,當前已經(jīng)廣泛應用于各個行業(yè),產(chǎn)品的成熟度與穩(wěn)定性、兼容性均在國內(nèi)領先。北信源當前已形成安全產(chǎn)品研發(fā)部、安全產(chǎn)品實驗室、數(shù)據(jù)安全急救中心以及安全服務保障部等規(guī)?；踩块T。公司產(chǎn)品獲得多項專利,產(chǎn)品技術完全享有獨立自主產(chǎn)權,獲得公安部頒發(fā)的安全產(chǎn)品銷售許可證,同時經(jīng)嚴格測試獲得涉密信息系統(tǒng)產(chǎn)品檢測證書、中國信息安全產(chǎn)品測評認證中心認證及軍事產(chǎn)品使用認證。北信源公司是以研制、生產(chǎn)、銷售計算機網(wǎng)絡安全產(chǎn)品為主的公司。1992年研制出計算機殺毒軟件(單機版)。1997年研制出國內(nèi)第一套計算機病毒實時防火墻產(chǎn)品和第一套網(wǎng)絡防毒軟件。中關村電腦節(jié)中公司產(chǎn)品榮獲"十大知名軟件品牌"稱號,并被評為”第五屆科技之光信用企業(yè)”。研制出內(nèi)網(wǎng)安全管理及補丁自動分發(fā)系統(tǒng)。北信源的用戶涉及財稅、銀行、證券、統(tǒng)計、電信、通訊、軍隊、公安、院校等國家部委和大型企業(yè),擁有包括國家統(tǒng)計總局、國家稅總、中共中央宣傳部、全國人大、總參、公安部、中科院、鐵道部、中國電信、中國聯(lián)通、聯(lián)想集團、方正集團以及全國７０％以上的證券公司等在內(nèi)的龐大客戶群體,并成為幾十家大型用戶的長期技術合作開發(fā)伙伴,甚至向重要用戶長年派駐技術服務人員?？蒲猩a(chǎn)能力:北信源現(xiàn)有員工335人,以技術人員為主,公司設立15個部門,技術開發(fā)人員占公司總人數(shù)的80%,大專以上學歷265人,其中本科61人,碩士、博士和具有高級職稱的25人。公司主要產(chǎn)品有:北信源內(nèi)網(wǎng)安全管理及補丁自動分發(fā)系統(tǒng)、網(wǎng)絡運行保障平臺、單機反病毒和網(wǎng)絡反病毒系列產(chǎn)品、證券安全產(chǎn)品。北信源在全國重要區(qū)域均擁有分支機構,公司有很強的技術支持能力,能夠滿足全國范圍客戶產(chǎn)品服務和安全應急服務的需求。質(zhì)量管理:北信源擁有嚴格的產(chǎn)品管理標準,已經(jīng)經(jīng)過ISO9001-產(chǎn)品質(zhì)量體系認證。2、需求分析2.1、XXXX信息系統(tǒng)現(xiàn)狀如上圖所示,XXXX共600多臺終端,分布在大廈的各樓層,辦公室部分接入層設備為普通HUB。在邊界部署有防火墻安全設備,終端部署有防病毒軟件。2.2、XXXX網(wǎng)絡終端管理需求XXXX網(wǎng)絡分布廣泛,終端數(shù)量龐大,運行業(yè)務需要的保密性強。雖然各個節(jié)點都部署有網(wǎng)絡安全設備,但由于使用人數(shù)多,員工的個人行為難以管制,網(wǎng)絡中的終端PC機的運行得不到保障,使得單位網(wǎng)絡的運營依然存在重大安全隱患,例如:1)、外來工作人員筆記本電腦接入內(nèi)網(wǎng)后,將重要信息拷貝走、將外邊的病毒帶近來,導致信息的泄密,病毒的泛濫。2)、內(nèi)網(wǎng)員工經(jīng)過modem撥號等方式接入互聯(lián)網(wǎng)或其它網(wǎng)絡,導致電腦中病毒,從而使整個網(wǎng)絡癱瘓,以及重要信息被竊取,。3)、操作系統(tǒng)補丁安裝不及時導致系統(tǒng)崩潰;4)、當終端PC出現(xiàn)故障時,管理人員不能及時到達現(xiàn)場進行維護,導致故障進一步惡化。5)、大量終端未安裝、未運行病毒防火墻,并經(jīng)常不能及時更新病毒庫,導致系統(tǒng)中毒;6)、由于終端數(shù)量繁多,無法統(tǒng)計和管理軟硬件資產(chǎn),導致的軟件隨意卸載,硬件丟失。7)、終端用戶隨意安裝網(wǎng)上下載的帶有病毒、蠕蟲、木馬、流氓軟件的軟件,影響單位網(wǎng)絡的正常運行。8)、在終端設備上隨意加載移動存儲設備,企業(yè)的信息安全得不到保障。9)、用戶隨意更改IP地址,導致與服務器IP地址沖突,影響服務器數(shù)據(jù)訪問。2.3、XXXX網(wǎng)絡終端安全管理系統(tǒng)需求分析經(jīng)過對以上拓撲結構和用戶所提系統(tǒng)需求分析,能夠找到當前XXXX內(nèi)網(wǎng)主要面臨的安全管理問題:1)、如何有效地管理外來工作人員的網(wǎng)絡接入。如:是否允許接入?接入允許訪問哪些網(wǎng)絡;允許接入網(wǎng)絡多長時間等;2)、如何控制經(jīng)過modem撥號等方式接入互聯(lián)網(wǎng)或其它網(wǎng)絡;3)、如何對補丁進行自動分發(fā)部署和監(jiān)控,保障終端系統(tǒng)的健壯性,從而免受病毒的侵襲;4)、如何進行有效的遠程維護,進行遠程網(wǎng)絡故障診斷,關閉、鎖定、重起計算機或禁用網(wǎng)絡連接;5)、如何統(tǒng)一部署病毒防火墻軟件,并要求客戶端必須時時運行,且為最新病毒庫。避免系統(tǒng)中毒;6)、如何對硬件資產(chǎn)進行自動發(fā)現(xiàn)識別,并打印報表,以便對網(wǎng)絡硬件資產(chǎn)進行電子化跟蹤和管理,在提高工作精度的同時減少網(wǎng)絡管理人員的工作量;7)、如何防止在網(wǎng)絡終端上隨意安裝盜版軟件、聊天、游戲訪問非法網(wǎng)站等,影響工作效率;8)、如何對涉密網(wǎng)絡中的移動存儲設備(如筆記本,U盤、移動硬盤等)進行監(jiān)控管理,并對與這些設備相關的數(shù)據(jù)交換進行審計、確保數(shù)據(jù)安全;9)、如何方便準確的對IP地址和MAC地址進行綁定,防止IP沖突、保障網(wǎng)絡安全;10)、如何實施有效的網(wǎng)絡客戶端通訊(包括流量)管理,防止計算機蠕蟲。11)、如何對登陸賬號口令進行有效管理,防止病毒或黑客進行攻擊。12)、如何準確有效的定位網(wǎng)絡中病毒的引入點,快速、安全的切斷安全事件發(fā)生點和相關網(wǎng)絡。13)、如何對經(jīng)過電子郵件、網(wǎng)絡拷貝、打印輸出的數(shù)據(jù)進行審計,保證涉密網(wǎng)絡的安全。14)、如何對網(wǎng)絡中的客戶端所安裝軟件信息進行有效的查詢和管理。15)、如何重要IP進行保護,防止由于意外的IP接入或改變造成的IP沖突、保障重要設備的安全。16)、如何安全、方便的將違規(guī)計算機阻斷出網(wǎng)。17)、如何按照既定策略統(tǒng)一配置客戶端端口策略、注冊表策略等客戶端安全策略。18)、如何有效監(jiān)控重要終端的運維信息,以便網(wǎng)管了解網(wǎng)絡中的客戶端是否已超負荷運轉,是否需要升級。19)、如何對應用程序進行分發(fā)安裝,以大幅度減少網(wǎng)管的工作量。20)、如何有效進行網(wǎng)絡資源管理和設備資產(chǎn)管理。這些桌面機與每個企業(yè)員工的日常工作息息相關,接觸/涉及企業(yè)關鍵數(shù)據(jù)和應用。XXXX在網(wǎng)絡終端管理方法和管理技術等方面都還相對缺乏,應對產(chǎn)生的新問題和新需求,需要根據(jù)企業(yè)實際情況研究分階段的應對策略和解決方案。3、北信源終端安全管理解決方案3.1、VRVEDP系統(tǒng)概述終端管理是一個綜合的系統(tǒng)問題,涉及管理計算機本身、計算機應用、計算機操作者、計算機使用單位管理規(guī)范等多個方面的要求性因素。北信源經(jīng)過對國內(nèi)外近年終端安全管理技術和發(fā)展趨勢的研究,將單位和企業(yè)內(nèi)部網(wǎng)絡終端管理概括的從終端狀態(tài)、行為、事件三個方面來進行防御,管理手段大致包括如下內(nèi)容:內(nèi)網(wǎng)管理核心功能北信源內(nèi)網(wǎng)安全管理及補丁分發(fā)系統(tǒng)(VRVEDP)遵循網(wǎng)絡防護和端點防護并重理念,對網(wǎng)絡安全管理人員在網(wǎng)絡管理、終端管理過程中所面臨的種種問題提供解決方案,實現(xiàn)內(nèi)部網(wǎng)絡終端的可控管理,達到最佳的管理效果。北信源內(nèi)網(wǎng)安全管理及補丁分發(fā)系統(tǒng)強化了對網(wǎng)絡計算機終端狀態(tài)、行為以及事件的管理,它提供了防火墻、IDS、防病毒系統(tǒng)、專業(yè)網(wǎng)管軟件所不能提供的防護功能,對它們管理的盲區(qū)進行監(jiān)控,擴展成為一個實時的可控內(nèi)網(wǎng)管理平臺,并能夠同其它安全設備進行安全集成和報警聯(lián)動。北信源終端安全管理系統(tǒng)主要包括五大系統(tǒng):網(wǎng)絡接入管理系統(tǒng)、內(nèi)網(wǎng)安全管理系統(tǒng)、補丁及文件分發(fā)管理系統(tǒng)、移動存儲管理系統(tǒng)。下面將詳細介紹各功能包的功能作用。3.3、網(wǎng)絡接入管理系統(tǒng)XXXX綜合布線的信息點分布在各個地方,外來筆記本能夠經(jīng)過這些信息點隨時接入到網(wǎng)絡中來傳播病毒或竊取重要數(shù)據(jù),因此北信源對網(wǎng)絡中的終端設備采取注冊準入制度,對于未注冊的設備阻止其接入網(wǎng)絡。防止非單位設備經(jīng)過分散在各樓層、房間的信息端口接入辦公網(wǎng)絡,對辦公網(wǎng)絡造成破壞。經(jīng)過北信源網(wǎng)絡接入管理系統(tǒng),可能有效的實現(xiàn)網(wǎng)絡設備準入制度,從而防止非法設備的接入。主要經(jīng)過四種技術方法解決:3.3.1、ARP阻斷隔離當用戶使用的交換機不支持以上協(xié)議時,能夠經(jīng)過ARP數(shù)據(jù)包來發(fā)現(xiàn)非法終端的接入,經(jīng)過控制中心來調(diào)度相應網(wǎng)段的終端對其發(fā)起ARP欺騙攻擊,阻止其正常接入。注:北信源采用的ARP欺騙并非ARP欺騙病毒方式,ARP欺騙病毒是經(jīng)過偽造網(wǎng)關,終端不斷向網(wǎng)關發(fā)包,而引起上不了網(wǎng)。北信源ARP欺騙原理是經(jīng)過VRV服務器選擇一臺最優(yōu)的終端A不斷地向終端B發(fā)包,告訴B自己的IP地址與B相同,從而達到阻斷聯(lián)網(wǎng)。ARP阻斷過程1)、用戶接入進來,服務器發(fā)送ICMP包描掃到A,獲取到A的MAC、IP地址。2)、服務器將A的MAC、IP地址到數(shù)據(jù)庫中進行匹配,檢查是否有相應數(shù)據(jù),向A的22105端口發(fā)送數(shù)據(jù)包,看是否有回應。3)、22105端口無數(shù)據(jù)包回應,則服務器發(fā)指令給A接入的同網(wǎng)絡內(nèi)的、開機已注冊的終端B,告許B向A發(fā)送ARP欺騙,說B的IP地址與A相同。從而實現(xiàn)對新接入的用戶進行阻斷。綜上,結合XXXX網(wǎng)絡及網(wǎng)絡設備情況,北信源提出采用802.1X與ARP阻斷結合使用,在信息中心部署802.1X,其它各單位啟用ARP阻斷,來實現(xiàn)接入控制,以防止外來設備接入網(wǎng)導致的病毒傳播和竊取重要信息。部署方法:1)、合理規(guī)劃各部門終端IP地址;2)、根據(jù)VLAN劃分區(qū)域;3)、全網(wǎng)終端安裝注冊EDPAgent客戶端程序;4)、根據(jù)VLAN區(qū)域啟動ARP阻斷。3.3.2、接入設備審核及有效期為了確保用戶在注冊終端軟件時的信息真實有效,系統(tǒng)將未審核注冊信息的設備放到”待審核”區(qū),能夠對待審核區(qū)的設備設置相關的安全策略,如:只能上網(wǎng),不能訪問單位服務器等。注冊有效期是方便用戶給第三方軟件開發(fā)公司的技術人員,在短期內(nèi)利用單位網(wǎng)絡資料的控制方法,有效期到達后,該設備則不能接入。3.3.3、802.1X認證方式1)、802.1X認證在支持802.1X功能的交換機上開啟認證功能,已經(jīng)安裝了北信源軟件的終端能夠自動同認證服務器做認證,未安裝的終端會被交換機自動隔離到指定區(qū)域。802.1X認證過程:步驟:(1)、用戶接入進來,首先進行身份認證,即檢查是否安裝Agent,是否網(wǎng)內(nèi)用戶。身份認證失敗則定義為非法用戶拒絕入網(wǎng)或到訪客區(qū)。如果身份認證經(jīng)過,則接收策略,進行安全檢查。(2)、安全檢查未經(jīng)過,則定義為不合格用戶,進入修復區(qū)進行安全修復。(3)、安全修復完成進行安全檢查,安檢經(jīng)過,則定義為合格用戶,可訪問工作區(qū)。2)、終端安全檢查策略終端安全檢查策略可對接入內(nèi)網(wǎng)的終端的自身安全性做檢查,主要包括以下幾個方面內(nèi)容:(1)、殺毒軟件檢查1.1)、是否安裝殺毒軟件,未安裝則自動安排指定的殺毒軟件。1.2)、殺毒軟件是否最新版本,不是最新版本則自動運行指定的升級包。(2)、系統(tǒng)補丁檢查是否指定的系統(tǒng)補丁,未安裝則自動安裝。(3)、訪問資源限制在終端未完成以上檢查項當前,只能訪問指定的網(wǎng)絡資源,如:防病毒服務器。3.3.4、接入控制網(wǎng)關(硬件)在VPN環(huán)境中,經(jīng)過接入控制網(wǎng)關能夠實現(xiàn)對接入設備的身分識別,防止未經(jīng)授權的非法設備接入。詳細說明附<方案二>3.4、內(nèi)網(wǎng)安全管理系統(tǒng)終端安全管理以內(nèi)網(wǎng)終端為核心,經(jīng)過安全策略應用,加強終端自身的安全性,防止因終端配置或使用者疏忽造成終端安全故障,進一步影響整個網(wǎng)絡的安全性。內(nèi)網(wǎng)安全管理包括以下功能策略:3.4.1、終端注冊管理能夠經(jīng)過圖表直觀地查看到設備總數(shù)、應注冊計算機數(shù)、已注冊計算機數(shù),在線設備數(shù)、安裝殺毒軟件數(shù),也可經(jīng)過數(shù)據(jù)表查看到用戶實名登記情況,單位、部門、使用人、IP地址、MAC地址一一對應。有利網(wǎng)管員進行管理、統(tǒng)計等作用。3.4.2、IP/MAC綁定策略經(jīng)過IP/MAC綁定策略,能夠防止用戶亂改IP地址導致IP沖突的故障,影響業(yè)務系統(tǒng)的正常運行。終端管理系統(tǒng)在發(fā)現(xiàn)用戶更改IP地址的行為后,能夠經(jīng)過自動恢復、報警提示、斷開網(wǎng)絡等方式進行處理。主機IP保護功能:能夠強制被保護主機始終擁有該IP的使用權。同時還具有主機防ARP欺騙等功能。禁止修改網(wǎng)關功能:能夠強制終端僅使用此網(wǎng)關IP,防止用戶經(jīng)過其它網(wǎng)關進行互聯(lián)網(wǎng)訪問,以導致違規(guī)外聯(lián)行為。禁止冗余網(wǎng)卡功能:防止用戶經(jīng)過冗余網(wǎng)卡進行互聯(lián)網(wǎng)訪問,以導致違規(guī)外聯(lián)行為。3.4.3、IT資產(chǎn)管理1)、硬件資產(chǎn)管理系統(tǒng)在終端安裝完客戶端后,客戶端會自動收集終端所有硬件信息。有利于管理員對網(wǎng)內(nèi)因此硬件資產(chǎn)進行良好管理。2)、軟件資產(chǎn)管理系統(tǒng)在終端安裝完客戶端后,管理員可對需要了解軟件信息的終端發(fā)布收集軟件信息策略,客戶端收到策略后會自動將軟件信息上報。有利于管理員了解終端運行軟件情況。3)、硬件設備信息變更管理系統(tǒng)會自動發(fā)現(xiàn)各個終端硬件變化情況,防止硬件發(fā)生變更事故后得不到取證,有利于管理員統(tǒng)計硬件變更情況。3.4.4、終端流量管理可經(jīng)過設定的流量閥、并發(fā)連接數(shù)、發(fā)包可疑數(shù)對終端進行安全威脅的判斷。提前預警病毒的傳播,有利協(xié)助網(wǎng)管員工作。3.4.5、進程限制策略監(jiān)控網(wǎng)絡客戶端軟件的違規(guī)使用情況,控制禁止啟用的程序,如QQ聊天、MSN聊天、炒股票等,搜索病毒、木馬等可疑程序,可直接關閉終端的違規(guī)進程。并可對違規(guī)的終端進行報警提示、終端提示、阻斷聯(lián)網(wǎng)等措施。網(wǎng)絡進程管理功能:1)、統(tǒng)一匯總和監(jiān)視全網(wǎng)主機的進程運行情況,并生成報表。2)、對進程進行黑白名單控制,即根據(jù)策略設定禁止運行的軟件和必須運行的軟件。3)、自動停止或啟動被黑白名單監(jiān)控的進程。4)、根據(jù)進程出現(xiàn)的時間進行排序,顯示網(wǎng)絡中最新出現(xiàn)的進程,以便發(fā)現(xiàn)新的可疑的進程。5)、此系統(tǒng)可對網(wǎng)絡中出現(xiàn)的異常進程(很可能病毒進程)進行定位和報警。6)、對違規(guī)的客戶端進行客戶端提示和斷網(wǎng)處理等相應措施。3.4.6、互聯(lián)網(wǎng)訪問控制能夠經(jīng)過黑白名單(RUL管理),能夠指定的終端只能訪問哪些網(wǎng)站或不能訪問哪些網(wǎng)站。3.4.7、防病毒策略對于大型網(wǎng)絡,網(wǎng)絡客戶端由于用戶使用水平的差別,會出現(xiàn)用戶卸載甚至退出統(tǒng)一安裝的防病毒軟件的情況,也會出現(xiàn)有個別用戶被遺漏,未安裝防病毒軟件的情況。同樣也會出現(xiàn)個別客戶胡亂安裝非可靠軟件,甚至黑客掃描軟件的情況。這些均只有依靠技術手段才能夠解決?？山y(tǒng)一監(jiān)控網(wǎng)絡內(nèi)的防病毒軟件(國內(nèi)外主流廠商的防病毒產(chǎn)品)安裝情況和使用狀態(tài),了解網(wǎng)絡中的病毒軟件安裝狀況,必要時可經(jīng)過軟件分發(fā)強制為客戶端安裝防病毒程序,如果需要,此系統(tǒng)也可監(jiān)控終端軟件的安裝情況,并進行相應的管理(如安裝軟件,強行升級、禁止使用特定軟件,刪除軟件等)。3.4.8、軟件安裝限制可對終端軟件安裝情況進行黑白名單控制,可制定軟件安裝黑白名單,指定禁止安裝和必須安裝的軟件,并可對違規(guī)的終端進行報警提示、終端提示、阻斷聯(lián)網(wǎng)等措施。3.4.9、多線程計算機遠程維護平臺當客戶端用戶以及服務器用戶在使用計算機時遇到難以解決的問題,能夠經(jīng)過訪問特定網(wǎng)頁方式,主動向多個網(wǎng)管工作臺(可自主選擇的)進行并發(fā)協(xié)助請求呼叫,呼叫網(wǎng)管對其進行遠程協(xié)助。當管理員接收到客戶端的請求以后,調(diào)用遠程客戶端的桌面,幫助客戶端用戶,解決相應的問題。工作方式:客戶端一般可主動呼叫要求遠程協(xié)助;服務器端一般使用被動的方式,管理員可在控制端采用輸入密碼等方式,接管服務器端。3.4.10、防火墻策略蠕蟲病毒均是經(jīng)過一定的端口進行傳播和發(fā)包,如果網(wǎng)管能夠統(tǒng)一控制網(wǎng)絡中計算機的端口,關閉病毒使用的端口,就能夠有效阻止這些病毒的傳播和破壞。具備可由網(wǎng)管根據(jù)需要統(tǒng)一配置的客戶端主機防火墻,可按照策略控制客戶端的特定端口的連接,包括禁用(開啟)指定的端口,禁止Ping入(出),設定IP區(qū)域訪問控制,進行包過濾控制等,也可禁止使用代理服務器,系統(tǒng)不論如何設置包過濾規(guī)則,均不會造成維系管理服務器對客戶機管理的通信無法進行。當某些客戶機臨時離開內(nèi)部網(wǎng)絡安裝到其它網(wǎng)絡時,客戶機端軟件的包過濾功能和禁止使用代理服務器功能可根據(jù)管理員的預設策略自動關閉或繼續(xù)工作。3.4.11、違規(guī)外聯(lián)策略XXXX內(nèi)網(wǎng)的終端系統(tǒng)是禁止同其它網(wǎng)絡接入的,經(jīng)過違規(guī)外聯(lián)策略能夠自動檢測終端是否有同其它網(wǎng)絡連接,發(fā)現(xiàn)違規(guī)外聯(lián)的行為及時斷開其網(wǎng)絡連接,保護內(nèi)網(wǎng)的安全運行。終端安全系統(tǒng)能夠檢測到終端的多種外聯(lián)行為,包括無線網(wǎng)絡(GPRS、CDMA),藍牙,紅外等。另外還能夠檢測到內(nèi)網(wǎng)的終端是否離開網(wǎng)絡單獨接入其它網(wǎng)絡的行為。對于這些行為可能采取提示報警、阻斷網(wǎng)絡、提示進行安全檢查等方式處理。3.4.12、終端密碼策略當前很多病毒已經(jīng)能夠”猜”出用戶機的口令,如果計算機使用弱口令,病毒將會經(jīng)過這些弱口令獲得計算機的控制權,并進行傳播。這類病毒的傳播行為靠殺毒軟件或者補丁加固均無法進行控制。系統(tǒng)能夠檢查開機密碼、屏幕保護密碼以及其它應用的密碼(如SQL數(shù)據(jù)庫)是否為弱口令,以保障系統(tǒng)不因為弱口令被病毒和黑客攻擊。3.4.13、終端資源監(jiān)控硬件運行資源管理功能:檢測終端設備的ＣＰＵ、硬盤(含每個硬盤分區(qū))、內(nèi)存等的資源占用情況,可自主設定閾值,以確定終端系統(tǒng)資源占用是否達到上限,是否應該升級;重要進程異常報警和自動恢復:對未響應進程和意外退出進程進行(如退出、退出并重起等)處理。異常流量監(jiān)控:基于主機方式對網(wǎng)絡中客戶端流量、分支網(wǎng)絡帶寬流量進行分析,防止非法入侵、濫用網(wǎng)絡資源。當流量(含出、入或總流量)超過一定限度并持續(xù)一定時間后,進行有關信息上報,以便網(wǎng)管了解客戶端流量異常,從而快速分析是否是網(wǎng)絡安全事故。3.4.14、硬件設備禁用功能1)、硬件設備禁用功能:控制外設的使用,如啟用或禁用軟驅、光驅、U口、打印機、Model、串口、并口、1394火線口、紅外接口等。其中USB存儲設備、軟驅、可刻錄光驅提供禁用、只讀、讀寫三種控制狀態(tài),其它類型外設提供禁用、可用兩種狀態(tài),系統(tǒng)能夠對所有外設訪問行為進行細粒度審計。2)、設備信息匯總管理功能:管理服務器自動為發(fā)現(xiàn)的客戶機建立包括靜態(tài)信息和動態(tài)信息的客戶機檔案。3)、手工修改設備信息:管理員能根據(jù)需要經(jīng)過手工、文件導入等方式輸入MAC地址對未在網(wǎng)絡上出現(xiàn)的客戶機預先建立不完整檔案。4)、相關的策略可根據(jù)時間或區(qū)域進行策略下發(fā);3.4.15、終端自動清理功能協(xié)助用戶維護(指定目錄下的)臨時文件、備份文件、幫助的歷史文件、IE臨時文件、安裝臨時文件、異常臨時文件等各種應刪除的文件。3.4.16、IP管理和設備入網(wǎng)管理功能1)、對IP地址使用情況進行監(jiān)視和管理;網(wǎng)絡管理員可經(jīng)過此系統(tǒng)精確統(tǒng)計網(wǎng)絡計算機入網(wǎng)設備,了解當前網(wǎng)絡IP資源使用,以取代原始的數(shù)據(jù)資料記載的手段,增強了設備管理信息的實時性、準確性;2)、系統(tǒng)提供入網(wǎng)設備精確定位功能,經(jīng)過此系統(tǒng)可精確定位發(fā)生安全問題的終端設備所在地點和使用人等,以增加安全應急反應速度,簡化網(wǎng)絡管理員的工作。3)、客戶機檔案中有客戶機在線/離線狀態(tài)標志,離線時必須有最后在線時間(離線時間)記錄。4)、對已注冊的客戶機,在線時有操作忙/閑標志,以及空閑的時間(長時間無鍵盤鼠標操作標志為”閑”)。3.4.17、終端點對點管理為更方便網(wǎng)管員工作,北信源提供點對點管理功能,網(wǎng)管員可直接經(jīng)過IP地址對所需管理的終端進行點對點控制,經(jīng)過遠程后臺對終端機進行維護。既達到維護工作,同時又保證了終端私密性。3.4.18、系統(tǒng)自動關機管理可根據(jù)需要設置終端定時自動關機,為節(jié)省資源,防止無人職守時計算機系統(tǒng)受到攻擊或信息被竊取等。3.5、補丁及文件分發(fā)系統(tǒng)3.5.1、補丁自動分發(fā)補丁管理功能構架圖補丁管理主要功能:3.5.1.1、補丁增量導入功能對于物理隔離的內(nèi)部網(wǎng)絡,其內(nèi)部補丁升級服務器中的補丁必須從外部獲得,因此,要求從Internet上下載補丁,十分巨大的補丁庫使得每次補丁導入的工作煩瑣。北信源針對此類物理隔離的內(nèi)網(wǎng),使用增量式補丁自動分離技術,在外網(wǎng)分離出已安裝、未安裝補丁,分類導入,即僅對內(nèi)網(wǎng)的補丁進行”增量式”的升級,減少拷貝工作量?；ヂ?lián)網(wǎng)補丁自動實時探測,支持補丁導出前病毒過濾。3.5.1.2、補丁分析功能自動建立補丁庫,支持補丁庫信息查詢。針對下載的補丁進行歸類存放,按照不同操作系統(tǒng)、補丁編號、補丁發(fā)布時間、補丁風險等級、補丁公告等進行歸類,幫助管理人員快速識別補丁。3.5.1.3、補丁策略制訂(分發(fā))功能支持用戶自定義補丁策略自由配置分發(fā),發(fā)送至客戶端后統(tǒng)一按策略執(zhí)行應用。1)、補丁策略制定:具體可支持定時、定周期、分類、分部門、分范圍、客戶機狀態(tài)和用戶自定義等策略。2)、補丁策略分發(fā):具備詳盡的補丁分發(fā)策略,補丁能夠定時、定周期、分類、分范圍、分部門、客戶機狀態(tài)和用戶自定義等進行分發(fā)。3)、補丁文件任務制定:針對特定的一個補丁或多個補丁,對指定計算機或者計算機網(wǎng)絡進行補丁自動分發(fā)安裝。3.5.1.4、補丁文件自動分發(fā)功能在指定時間、指定網(wǎng)絡范圍內(nèi)以不同方式(如推、拉)分發(fā)補丁,或者根據(jù)腳本策略統(tǒng)一控制客戶端下載補丁。當系統(tǒng)監(jiān)測到有客戶端未打補丁時,可對漏打補丁客戶端進行推送補丁。同時,經(jīng)過推送安裝,也能夠為SUS系統(tǒng)不支持的客戶端安裝補丁及應用軟件(補丁)。3.5.1.5、補丁分發(fā)流量控制功能為了適應將來可能的系統(tǒng)擴展,系統(tǒng)特別設計了利用多種方式進行下載流量控制:1)、系統(tǒng)能夠根據(jù)網(wǎng)絡的負載情況自動調(diào)整分發(fā)補丁時所占的網(wǎng)絡帶寬和并發(fā)連接數(shù)。2)、根據(jù)手動設置允許的帶寬或服務器并發(fā)連接數(shù)及每個連接所允許使用的帶寬。3)、系統(tǒng)同時支持客戶端轉發(fā)代理補丁下載以減少網(wǎng)絡帶寬流量,提高效率。4)、下級級聯(lián)同步下載補丁的連接數(shù)和下載流量的大小進行自動的判別或者根據(jù)需要進行手動調(diào)整。客戶端補丁檢測:支持客戶端補丁多重探測周期配置。定時檢測注冊客戶端系統(tǒng)補丁安裝狀況,同補丁信息庫比較后,顯示客戶端補丁安裝狀況(客戶端訪問指定網(wǎng)頁自動獲得漏打補丁信息,物理隔離網(wǎng)絡中自動生成補丁分發(fā)網(wǎng)站)。3.5.1.6、補丁安全性測試測試是補丁安裝前必須進行的,系統(tǒng)支持網(wǎng)管測試組定義進行自動補丁安全性測試,即首先選定一定區(qū)域的計算機作為測試計算機,首先對這些計算機進行新補丁的安裝測試,以便網(wǎng)管可選擇有效對象,進行非模擬性自動測試。補丁自動測試可提高打補丁的成功性、安全性、可靠性,降低網(wǎng)管工作量。補丁自動測試圖3.5.1.7、報表輸出查詢功能服務器端補丁查詢模塊基于補丁名稱等關鍵字對區(qū)域網(wǎng)絡范圍內(nèi)的計算機終端進行補丁安裝狀況查詢,經(jīng)過相應的查詢條件,能快速的獲知所查詢補丁的安裝情況并生成報表,以保證補丁及時的安裝。3.5.1.8、客戶端網(wǎng)頁查詢補丁安裝信息功能系統(tǒng)客戶端的計算機能夠經(jīng)過訪問內(nèi)網(wǎng)的特定網(wǎng)頁,對本機所缺少的計算機補丁進行查詢,查詢結果在網(wǎng)頁上進行顯示,計算機用戶根據(jù)需要進行安裝。特別說明:1)、客戶端統(tǒng)一安全管理系統(tǒng)具有良好的兼容性,支持主流操作系統(tǒng),如Windows、WindowsPro、WindowsServer、WindowsPro、WindowsXPhome、Windows、Windwos9X等。2)、因為補丁索引文件為自主開發(fā),因此補丁索引的結構具備可擴展和可編輯性,索引的結構和定義除了能夠支持微軟補丁外,還能夠支持非微軟系統(tǒng)補丁、各種數(shù)據(jù)庫補丁,甚至能夠支持各種用戶應用程序的更新補丁。3)系統(tǒng)擁有專門的外網(wǎng)補丁下載服務器,能根據(jù)引索自動下載新增的計算機補丁,補丁校驗功能對所下載的補丁進行校驗,保證計算機補丁的可靠性、完整性、安全性。4)、補丁在導入時具有病毒檢測功能,保證導入到補丁庫中的補丁不被病毒感染。5)、可定期進行同步校驗,也可自主設定同步校驗周期和時間。在有新補丁導入時,也能夠自動觸發(fā)與下級服務器間的同步操作。所有的同步過程均可自動完成,上級服務器能夠了解下級服務器補丁庫是否同步成功。3.5.2、軟件分發(fā)系統(tǒng)向指定客戶端(用戶組)分發(fā)文件或安裝軟件,分發(fā)時可提供軟件的運行參數(shù)和必要的運行控制。此功能可減輕網(wǎng)絡管理人員的工作負擔,軟件分發(fā)時可報告軟件安裝的狀態(tài),這樣,無論軟件正確安裝與否,管理員均可及時了解情況。系統(tǒng)還提供人性化的軟件安裝過程錄制工具,能夠很方便的對軟件和它的安裝過程進行錄制打包,軟件分發(fā)至終端后,系統(tǒng)可在終端對軟件安裝過程進行回放,方便軟件在客戶端進行自動安裝。安裝后的客戶機端軟件包括基本部分和用戶工具,安裝在客戶機不同的目錄,不能混在一起。3.6、USB移動存儲管理系統(tǒng)經(jīng)過對外部USB移動存儲設備監(jiān)控和審計,可有效的防止信息泄漏。1)、能夠禁止USB移動存儲設備的接入。2)、經(jīng)過給USB移動存儲設備設置專用標簽,保證某(些)客戶端設備只允許本單位或本部門的USB移動存儲設備接入,同時保證專用標簽的USB移動存儲設備在其它或未經(jīng)受權的設備上無法識別。3)、對經(jīng)過USB設備進行的文件拷入、拷出的行為進行審計,記錄文件名稱和操作時間。4)、能夠禁止軟盤的接入。5)、經(jīng)過設置,保證某(些)客戶端設備只允許本單位或本部門的軟盤接入。6)、對經(jīng)過軟盤進行的文件拷入、拷出的行為進行審計,記錄文件名稱和操作時間。7)、能夠禁止光盤的接入,設定光盤為只讀狀態(tài)。8)、經(jīng)過設置,保證某(些)客戶端設備只允許本單位或本部門的光盤可擦寫接入。9)、對經(jīng)過軟盤進行的文件拷入、拷出的行為進行審計,記錄文件名稱和操作時間。10)、能夠同安全U盤一起使用,采用高強度加密算法,對U盤中的文件進行加密保護。11)、對客戶端大量的文件拷貝行為可自主設定閾值,超過閾值的不進行審計。如拷貝超過1000個文件不進行審計(這主要是因為這樣的大量拷貝行為一般不會是違規(guī)的行為)3.6.1、分級權限控制經(jīng)過對移動存儲介質(zhì)寫入兩種不同權限及功能的標簽,來實現(xiàn)分級權限的控制。并以策略的形式分發(fā)給不同的域,實現(xiàn)對指定范圍內(nèi)的終端授權,并對寫入標簽移動存儲介質(zhì)的訪問進行控制。另外,對移動存儲介質(zhì)格式化無法去除標簽。普通標簽:寫入普通標簽后,在管理區(qū)域內(nèi)根據(jù)策略的設置,來限制移動存儲介質(zhì)的讀、寫功能;如果在管理區(qū)域外使用移動存儲介質(zhì)認證,則不限制移動存儲介質(zhì)認證讀、寫功能。加密標簽:寫入加密標簽后將普通移動存儲介質(zhì)(U盤、移動硬盤等)分為二個區(qū)域:交換區(qū)、保密區(qū)。涉密網(wǎng)絡可只生成保密區(qū)。交換區(qū)和保密區(qū)啟動均需輸入獨立的密碼,數(shù)據(jù)在二個區(qū)存儲時均以加密方式存儲,這兩個區(qū)的具體應用如下:1)、在涉密網(wǎng)絡中或高要求的辦公網(wǎng)絡中,可只生成保密區(qū)一個區(qū)。該保密區(qū)只能在有對應安全策略的主機上經(jīng)過認證標簽后、同時輸入正確密碼才能訪問,同時有安全策略的主機能夠根據(jù)策略控制未經(jīng)標簽認證的移動存儲介質(zhì)的使用。2)、在普通辦公網(wǎng)絡中,可生成交換區(qū)、保密區(qū)二個區(qū)。保密區(qū)的使用方法,可與上述涉密網(wǎng)絡或高要求的辦公網(wǎng)絡相同。交換區(qū)的使用方法,能夠根據(jù)用戶需要,在內(nèi)部網(wǎng)絡中經(jīng)過策略限制使用方式,交換區(qū)在外網(wǎng)使用時同樣要輸入密碼方可使用,保密區(qū)在外網(wǎng)不可見。3.6.2、審計功能完善1)、提供移動存儲介質(zhì)上所有文件操作的詳細記錄包括文件的創(chuàng)立、復制、刪除、讀寫和重命名等操作,具體包括文件名、審計描述、時間、用戶名、計算機IP地址和其它必要的信息。2)、提供移動存儲介質(zhì)的插入和拔出動作的詳細記錄具體包括事件類型、移動存儲介質(zhì)的名稱、用戶、計算機IP地址、事件時間等。3.7、主機安全審計系統(tǒng)終端安全審計主要是對終端的各種訪問行為進行記錄,防止終端用戶主動泄密行為的發(fā)生,確定網(wǎng)絡信息的安全。主要包括以下內(nèi)容:3.7.1、互聯(lián)網(wǎng)訪問審計能夠經(jīng)過黑白名單,對指定的網(wǎng)站進行訪問審計,記錄用戶訪問網(wǎng)站的時間、域名、IP等信息。當出現(xiàn)終端用戶發(fā)布非法信息時,可配合公安網(wǎng)監(jiān)處的調(diào)查取證工作。3.7.2、文件訪問及輸出審計對網(wǎng)絡終端的文件輸出行為進行審計和管理,可根據(jù)情況審計或禁止使用打印輸出、郵件附件輸出、網(wǎng)絡文件拷貝等文件輸出行為。可根據(jù)需要禁止指定用戶(組)的上述行為,或對指定用戶(組)的上述行為進行審計3.7.3、涉密內(nèi)容審計系統(tǒng)可檢查終端是否存在違規(guī)文件(如涉密、色情、反動文件等),并檢查某一文件夾或某一類型文件內(nèi)是否有違規(guī)的信息。檢查可針對指定盤符或指定文件進行。3.7.4、軟件安裝審計審計終端是否安裝了違規(guī)軟件(如黑客軟件等),是否安裝了必裝軟件(如防病毒軟件),發(fā)現(xiàn)違規(guī)行為能夠采取報警提示、阻斷網(wǎng)絡等多種方式處理,用戶還能夠自定義黑白軟件列表。3.8、檔案、報警和日志管理功能3.8.1、詳盡的檔案管理功能1)、系統(tǒng)提供完善的報表功能,能夠根據(jù)按不同部門、不同操作系統(tǒng)提供軟硬件資產(chǎn)、報警、狀態(tài)及其它情況匯總報表,提供多種報表功能,以對客戶端資產(chǎn)情況、網(wǎng)絡流量進行統(tǒng)計。2)、提供資產(chǎn)統(tǒng)計報表,能根據(jù)不同部門,不同操作系統(tǒng)對客戶端硬件、軟件提供資產(chǎn)統(tǒng)計報表。3)、具備獨有的”組態(tài)報表”查詢功能,對于有關報表,能根據(jù)不同的需要進行多種不同條件組合(組合查詢條件包括所屬區(qū)域、單位名稱、設備所在部門、設備名稱、設備IP、操作系統(tǒng)及版本、IE版本、防范等級、運行狀態(tài)、安裝殺毒軟件版本及廠商、CPU情況、內(nèi)存情況、硬盤情況、設備使用人、設備最后使用時間等等),生成多種不同的報表格式。4)、報表以網(wǎng)頁的方式呈現(xiàn),提供鏈接可在各項查詢功能中跳轉。報表能夠方便的調(diào)整格式,并能夠Excel格式輸出,以便打印。5)、管理服務器提供方便的導入、導出客戶檔案和管理策略功能。6)、對網(wǎng)絡異常或病毒等事件或其它需要的記錄,管理服務器能夠按照定義好的時間周期,進行統(tǒng)計報表輸出。7)、能夠根據(jù)需要輸出成柱形圖、餅圖等。具體的統(tǒng)計報表包括:7.1)、設備軟件信息統(tǒng)計報表(部門、網(wǎng)段)7.2)、設備硬件資源信息匯總表7.3)、各區(qū)域設備注冊情況統(tǒng)計表7.4)、錯誤報表7.5)、首次運行進程表7.6)、違規(guī)軟件列表7.7)、違規(guī)進程列表7.8)、級聯(lián)上報設備注冊情況統(tǒng)計報表7.9)、級聯(lián)上報設備操作系統(tǒng)分類報表7.10)、級聯(lián)上報設備硬件信息統(tǒng)計報表7.11)、網(wǎng)絡和服務器流量報表7.12)、各種報警事件表7.13)、組態(tài)查詢報表……3.8.2、日志管理功能1)、能夠方便的管理以下日志,并生成表格:1.1)、用戶登錄日志1.2)、用戶操作日志1.3)、用戶策略日志2)、系統(tǒng)管理員能夠靈活設置查詢條件,條件具體包括按部門、按日期、按IP地址名稱等。3)、系統(tǒng)也可定時自動備份、清除日志。4)、系統(tǒng)具備數(shù)據(jù)重整功能,以便定制對日志的維護。數(shù)據(jù)重整的對象主要針對IP、MAC重復、長時間未使用等情況的設備。5)、同時支持對查詢結果的導出等功能。3.8.3、報警管理1)、事件集中報警處理中心匯總所有內(nèi)外安全管理事件報警并將報警按種類、事件報警級別分類,同時支持短信、聲音、郵件、圖形等報警。同