内网安全与解决方案Word文档下载推荐.docx
- 文档编号:16573039
- 上传时间:2022-11-24
- 格式:DOCX
- 页数:38
- 大小:1.38MB
内网安全与解决方案Word文档下载推荐.docx
《内网安全与解决方案Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《内网安全与解决方案Word文档下载推荐.docx(38页珍藏版)》请在冰豆网上搜索。
科研生产能力:
北信源现有员工335人,以技术人员为主,公司设立15个部门,技术开发人员占公司总人数的80%,大专以上学历265人,其中本科61人,硕士、博士和具有高级职称的25人。
公司主要产品有:
北信源网平安管理及补丁自动分发系统、网络运行保障平台、单机反病毒和网络反病毒系列产品、证券平安产品。
北信源在全国重要区域均拥有分支机构,公司有很强的技术支持能力,能够满足全国围客户产品效劳和平安应急效劳的需求。
质量管理:
北信源拥有格的产品管理标准,已经通过ISO9001-2000产品质量体系认证。
2、需求分析
2.1、XXXX信息系统现状
如上图所示,XXXX共600多台终端,分布在大厦的各楼层,办公室局部接入层设备为普通HUB。
在边界部署有防火墙平安设备,终端部署有防病毒软件。
2.2、XXXX网络终端管理需求
XXXX网络分布广泛,终端数量庞大,运行业务需要的XX性强。
虽然各个节点都部署有网络平安设备,但由于使用人数多,员工的个人行为难以管制,网络中的终端PC机的运行得不到保障,使得单位网络的运营仍然存在重大平安隐患,例如:
1〕、外来工作人员笔记本电脑接入网后,将重要信息拷贝走、将外边的病毒带近来,导致信息的泄密,病毒的泛滥。
2〕、网员工通过modem拨号等式接入互联网或其他网络,导致电脑中病毒,从而使整个网络瘫痪,以及重要信息被窃取,。
3〕、操作系统补丁安装不及时导致系统崩溃;
4〕、当终端PC出现故障时,管理人员不能及时到达现场进展维护,导致故障进一步恶化。
5〕、大量终端未安装、未运行病毒防火墙,并经常不能及时更新病毒库,导致系统中毒;
6〕、由于终端数量繁多,无法统计和管理软硬件资产,导致的软件随意卸载,硬件丧失。
7〕、终端用户随意安装网上下载的带有病毒、蠕虫、木马、流氓软件的软件,影响单位网络的正常运行。
8〕、在终端设备上随意加载移动存储设备,企业的信息平安得不到保障。
9〕、用户随意更改IP地址,导致与效劳器IP地址冲突,影响效劳器数据访问。
2.3、XXXX网络终端平安管理系统需求分析
通过对以上拓扑构造和用户所提系统需求分析,可以找到目前XXXX网主要面临的平安管理问题:
1〕、如有效地管理外来工作人员的网络接入。
如:
是否允接入?
接入允访问哪些网络;
允接入网络多长时间等;
2〕、如控制通过modem拨号等式接入互联网或其他网络;
3〕、如对补丁进展自动分发部署和监控,保障终端系统的强健性,从而免受病毒的侵袭;
4〕、如进展有效的远程维护,进展远程网络故障诊断,关闭、锁定、重起计算机或禁用网络连接;
5〕、如统一部署病毒防火墙软件,并要求客户端必须时时运行,且为最新病毒库。
防止系统中毒;
6〕、如对硬件资产进展自动发现识别,并打印报表,以便对网络硬件资产进展电子化跟踪和管理,在提高工作精度的同时减少网络管理人员的工作量;
7〕、如防止在网络终端上随意安装盗版软件、聊天、游戏访问非法等,影响工作效率;
8〕、如对涉密网络中的移动存储设备〔如笔记本,U盘、移动硬盘等〕进展监控管理,并对与这些设备相关的数据交换进展审计、确保数据平安;
9〕、如便准确的对IP地址和MAC地址进展绑定,防止IP冲突、保障网络平安;
10〕、如实施有效的网络客户端通讯〔包括流量〕管理,防止计算机蠕虫。
11〕、如对登陆账号口令进展有效管理,防止病毒或黑客进展攻击。
12〕、如准确有效的定位网络中病毒的引入点,快速、平安的切断平安事件发生点和相关网络。
13〕、如对通过电子、网络拷贝、打印输出的数据进展审计,保证涉密网络的平安。
14〕、如对网络中的客户端所安装软件信息进展有效的查询和管理。
15〕、如重要IP进展保护,防止由于意外的IP接入或改变造成的IP冲突、保障重要设备的平安。
16〕、如平安、便的将违规计算机阻断出网。
17〕、如按照既定策略统一配置客户端端口策略、注册表策略等客户端平安策略。
18〕、如有效监控重要终端的运维信息,以便网管了解网络中的客户端是否已超负荷运转,是否需要升级。
19〕、如对应用程序进展分发安装,以大幅度减少网管的工作量。
20〕、如有效进展网络资源管理和设备资产管理。
这些桌面机与每个企业员工的日常工作息息相关,接触/涉及企业关键数据和应用。
XXXX在网络终端管理法和管理技术等面都还相对缺乏,应对产生的新问题和新需求,需要根据企业实际情况研究分阶段的应对策略和解决案。
3、北信源终端平安管理解决案
3.1、VRVEDP系统概述
终端管理是一个综合的系统问题,涉及管理计算机本身、计算机应用、计算机操作者、计算机使用单位管理规等多个面的要求性因素。
北信源通过对国外近年终端平安管理技术和开展趋势的研究,将单位和企业部网络终端管理概括的从终端状态、行为、事件三个面来进展防御,管理手段大致包括如下容:
网管理核心功能
北信源网平安管理及补丁分发系统〔VRVEDP〕遵循网络防护和端点防护并重理念,对网络平安管理人员在网络管理、终端管理过程中所面临的种种问题提供解决案,实现部网络终端的可控管理,到达最正确的管理效果。
北信源网平安管理及补丁分发系统强化了对网络计算机终端状态、行为以及事件的管理,它提供了防火墙、IDS、防病毒系统、专业网管软件所不能提供的防护功能,对它们管理的盲区进展监控,扩展成为一个实时的可控网管理平台,并能够同其它平安设备进展平安集成和报警联动。
北信源终端平安管理系统主要包括五大系统:
网络接入管理系统、网平安管理系统、补丁及文件分发管理系统、移动存储管理系统。
下面将详细介绍各功能包的功能作用。
3.3、网络接入管理系统
XXXX综合布线的信息点分布在各个地,外来笔记本可以通过这些信息点随时接入到网络中来传播病毒或窃取重要数据,因此北信源对网络中的终端设备采取注册准入制度,对于未注册的设备阻止其接入网络。
防止非单位设备通过分散在各楼层、房间的信息端口接入办公网络,对办公网络造成破坏。
通过北信源网络接入管理系统,可能有效的实现网络设备准入制度,从而防止非法设备的接入。
主要通过四种技术法解决:
3.3.1、ARP阻断隔离
当用户使用的交换机不支持以上协议时,可以通过ARP数据包来发现非法终端的接入,通过控制中心来调度相应网段的终端对其发起ARP欺骗攻击,阻止其正常接入。
注:
北信源采用的ARP欺骗并非ARP欺骗病毒式,ARP欺骗病毒是通过伪造网关,终端不断向网关发包,而引起上不了网。
北信源ARP欺骗原理是通过VRV效劳器选择一台最优的终端A不断地向终端B发包,告诉B自己的IP地址与B一样,从而到达阻断联网。
ARP阻断过程
1〕、用户接入进来,效劳器发送ICMP包描扫到A,获取到A的MAC、IP地址。
2〕、效劳器将A的MAC、IP地址到数据库中进展匹配,检查是否有相应数据,向A的22105端口发送数据包,看是否有回应。
3〕、22105端口无数据包回应,那么效劳器发指令给A接入的同网络的、开机已注册的终端B,告B向A发送ARP欺骗,说B的IP地址与A一样。
从而实现对新接入的用户进展阻断。
综上,结合XXXX网络及网络设备情况,北信源提出采用802.1X与ARP阻断结合使用,在信息中心部署802.1X,其他各单位启用ARP阻断,来实现接入控制,以防止外来设备接入网导致的病毒传播和窃取重要信息。
部署法:
1〕、合理规划各部门终端IP地址;
2〕、根据VLAN划分区域;
3〕、全网终端安装注册EDPAgent客户端程序;
4〕、根据VLAN区域启动ARP阻断。
3.3.2、接入设备审核及有效期
为了确保用户在注册终端软件时的信息真实有效,系统将未审核注册信息的设备放到“待审核〞区,可以对待审核区的设备设置相关的平安策略,如:
只能上网,不能访问单位效劳器等。
注册有效期是便用户给第三软件开发公司的技术人员,在短期利用单位网络资料的控制法,有效期到达后,该设备那么不能接入。
3.3.3、802.1X认证式
1〕、802.1X认证
在支持802.1X功能的交换机上开启认证功能,已经安装了北信源软件的终端可以自动同认证效劳器做认证,未安装的终端会被交换机自动隔离到指定区域。
802.1X认证过程:
步骤:
〔1〕、用户接入进来,首先进展身份认证,即检查是否安装Agent,是否网用户。
身份认证失败那么定义为非法用户拒绝入网或到访客区。
如果身份认证通过,那么接收策略,进展平安检查。
〔2〕、平安检查未通过,那么定义为不合格用户,进入修复区进展平安修复。
〔3〕、平安修复完成进展平安检查,安检通过,那么定义为合格用户,可访问工作区。
2〕、终端平安检查策略
终端平安检查策略可对接入网的终端的自身平安性做检查,主要包括以下几个面容:
〔1〕、杀毒软件检查
1.1〕、是否安装杀毒软件,未安装那么自动安排指定的杀毒软件。
1.2〕、杀毒软件是否最新版本,不是最新版本那么自动运行指定的升级包。
〔2〕、系统补丁检查
是否指定的系统补丁,未安装那么自动安装。
〔3〕、访问资源限制
在终端未完成以上检查工程前,只能访问指定的网络资源,如:
防病毒效劳器。
3.3.4、接入控制网关〔硬件〕
在VPN环境中,通过接入控制网关可以实现对接入设备的身分识别,防止XX的非法设备接入。
详细说明附?
案二?
3.4、网平安管理系统
终端平安管理以网终端为核心,通过平安策略应用,加强终端自身的平安性,防止因终端配置或使用者疏忽造成终端平安故障,进一步影响整个网络的平安性。
网平安管理包括以下功能策略:
3.4.1、终端注册管理
可以通过图表直观地查看到设备总数、应注册计算机数、已注册计算机数,在线设备数、安装杀毒软件数,也可通过数据表查看到用户实名登记情况,单位、部门、使用人、IP地址、MAC地址一一对应。
有利网管员进展管理、统计等作用。
3.4.2、IP/MAC绑定策略
通过IP/MAC绑定策略,可以防止用户乱改IP地址导致IP冲突的故障,影响业务系统的正常运行。
终端管理系统在发现用户更改IP地址的行为后,可以通过自动恢复、报警提示、断开网络等式进展处理。
主机IP保护功能:
可以强制被保护主机始终拥有该IP的使用权。
同时还具有主机防ARP欺骗等功能。
制止修改网关功能:
可以强制终端仅使用此网关IP,防止用户通过其他网关进展互联网访问,以导致违规外联行为。
制止冗余网卡功能:
防止用户通过冗余网卡进展互联网访问,以导致违规外联行为。
3.4.3、IT资产管理
1〕、硬件资产管理
系统在终端安装完客户端后,客户端会自动收集终端所有硬件信息。
有利于管理员对网所以硬件资产进展良好管理。
2〕、软件资产管理
系统在终端安装完客户端后,管理员可对需要了解软件信息的终端发布收集软件信息策略,客户端收到策略后会自动将软件信息上报。
有利于管理员了解终端运行软件情况。
3〕、硬件设备信息变更管理
系统会自动发现各个终端硬件变化情况,防止硬件发生变更事故后得不到取证,有利于管理员统计硬件变更情况。
3.4.4、终端流量管理
可通过设定的流量阀、并发连接数、发包可疑数对终端进展平安威胁的判断。
提前预警病毒的传播,有利协助网管员工作。
3.4.5、进程限制策略
监控网络客户端软件的违规使用情况,控制制止启用的程序,如QQ聊天、MSN聊天、炒股票等,搜索病毒、木马等可疑程序,可直接关闭终端的违规进程。
并可对违规的终端进展报警提示、终端提示、阻断联网等措施。
网络进程管理功能:
1〕、统一汇总和监视全网主机的进程运行情况,并生成报表。
2〕、对进程进展黑白控制,即根据策略设定制止运行的软件和必须运行的软件。
3〕、自动停顿或启动被黑白监控的进程。
4〕、根据进程出现的时间进展排序,显示网络中最新出现的进程,以便发现新的可疑的进程。
5〕、此系统可对网络中出现的异常进程〔很可能病毒进程〕进展定位和报警。
6〕、对违规的客户端进展客户端提示和断网处理等相应措施。
3.4.6、互联网访问控制
可以通过黑白〔RUL管理〕,可以指定的终端只能访问哪些或不能访问哪些。
3.4.7、防病毒策略
对于大型网络,网络客户端由于用户使用水平的差异,会出现用户卸载甚至退出统一安装的防病毒软件的情况,也会出现有个别用户被遗漏,未安装防病毒软件的情况。
同样也会出现个别客户乱安装非可靠软件,甚至黑客扫描软件的情况。
这些均只有依靠技术手段才可以解决。
可统一监控网络的防病毒软件〔国外主流厂商的防病毒产品〕安装情况和使用状态,了解网络中的病毒软件安装状况,必要时可通过软件分发强制为客户端安装防病毒程序,如果需要,此系统也可监控终端软件的安装情况,并进展相应的管理〔如安装软件,强行升级、制止使用特定软件,删除软件等〕。
3.4.8、软件安装限制
可对终端软件安装情况进展黑白控制,可制定软件安装黑白,指定制止安装和必须安装的软件,并可对违规的终端进展报警提示、终端提示、阻断联网等措施。
3.4.9、多线程计算机远程维护平台
当客户端用户以及效劳器用户在使用计算机时遇到难以解决的问题,可以通过访问特定网页式,主动向多个网管工作台〔可自主选择的〕进展并发协助请求呼叫,呼叫网管对其进展远程协助。
当管理员接收到客户端的请求以后,调用远程客户端的桌面,帮助客户端用户,解决相应的问题。
工作式:
客户端一般可主动呼叫要求远程协助;
效劳器端一般使用被动的式,管理员可在控制端采用输入密码等式,接收效劳器端。
3.4.10、防火墙策略
蠕虫病毒均是通过一定的端口进展传播和发包,如果网管可以统一控制网络中计算机的端口,关闭病毒使用的端口,就可以有效阻止这些病毒的传播和破坏。
具备可由网管根据需要统一配置的客户端主机防火墙,可按照策略控制客户端的特定端口的连接,包括禁用〔开启〕指定的端口,制止Ping入〔出〕,设定IP区域访问控制,进展包过滤控制等,也可制止使用代理效劳器,系统不管如设置包过滤规那么,均不会造成维系管理效劳器对客户机管理的通信无法进展。
当某些客户机临时离开部网络安装到其它网络时,客户机端软件的包过滤功能和制止使用代理效劳器功能可根据管理员的预设策略自动关闭或继续工作。
3.4.11、违规外联策略
XXXX网的终端系统是制止同其它网络接入的,通过违规外联策略可以自动检测终端是否有同其它网络连接,发现违规外联的行为及时断开其网络连接,保护网的平安运行。
终端平安系统可以检测到终端的多种外联行为,包括无线网络〔GPRS、CDMA〕,蓝牙,红外等。
另外还可以检测到网的终端是否离开网络单独接入其它网络的行为。
对于这些行为可能采取提示报警、阻断网络、提示进展平安检查等式处理。
3.4.12、终端密码策略
目前很多病毒已经可以“猜〞出用户机的口令,如果计算机使用弱口令,病毒将会通过这些弱口令获得计算机的控制权,并进展传播。
这类病毒的传播行为靠杀毒软件或者补丁加固均无法进展控制。
系统可以检查开XX码、屏幕保护密码以及其它应用的密码〔如SQL数据库〕是否为弱口令,以保障系统不因为弱口令被病毒和黑客攻击。
3.4.13、终端资源监控
硬件运行资源管理功能:
检测终端设备的CPU、硬盘(含每个硬盘分区)、存等的资源占用情况,可自主设定阈值,以确定终端系统资源占用是否到达上限,是否应该升级;
重要进程异常报警和自动恢复:
对未响应进程和意外退出进程进展〔如退出、退出并重起等〕处理。
异常流量监控:
基于主机式对网络中客户端流量、分支网络带宽流量进展分析,防止非法入侵、滥用网络资源。
当流量〔含出、入或总流量〕超过一定限度并持续一定时间后,进展有关信息上报,以便网管了解客户端流量异常,从而快速分析是否是网络平安事故。
3.4.14、硬件设备禁用功能
1〕、硬件设备禁用功能:
控制外设的使用,如启用或禁用软驱、光驱、U口、打印机、Model、串口、并口、1394火线口、红外接口等。
其中USB存储设备、软驱、可刻录光驱提供禁用、只读、读写三种控制状态,其他类型外设提供禁用、可用两种状态,系统能够对所有外设访问行为进展细粒度审计。
2〕、设备信息汇总管理功能:
管理效劳器自动为发现的客户机建立包括静态信息和动态信息的客户机档案。
3〕、手工修改设备信息:
管理员能根据需要通过手工、文件导入等式输入MAC地址对未在网络上出现的客户机预先建立不完整档案。
4〕、相关的策略可根据时间或区域进展策略下发;
3.4.15、终端自动清理功能
协助用户维护〔指定目录下的〕临时文件、备份文件、帮助的历史文件、IE临时文件、安装临时文件、异常临时文件等各种应删除的文件。
3.4.16、IP管理和设备入网管理功能
1〕、对IP地址使用情况进展监视和管理;
网络管理员可通过此系统准确统计网络计算机入网设备,了解当前网络IP资源使用,以取代原始的数据资料记载的手段,增强了设备管理信息的实时性、准确性;
2〕、系统提供入网设备准确定位功能,通过此系统可准确定位发生平安问题的终端设备所在地点和使用人等,以增加平安应急反响速度,简化网络管理员的工作。
3〕、客户机档案中有客户机在线/离线状态标志,离线时必须有最后在线时间〔离线时间〕记录。
4〕、对已注册的客户机,在线时有操作忙/闲标志,以及空闲的时间〔长时间无键盘鼠标操作标志为“闲〞〕。
3.4.17、终端点对点管理
为更便网管员工作,北信源提供点对点管理功能,网管员可直接通过IP地址对所需管理的终端进展点对点控制,通过远程后台对终端机进展维护。
既到达维护工作,同时又保证了终端私密性。
3.4.18、系统自动关机管理
可根据需要设置终端定时自动关机,为节省资源,防止无人职守时计算机系统受到攻击或信息被窃取等。
3.5、补丁及文件分发系统
3.5.1、补丁自动分发
补丁管理功能构架图
补丁管理主要功能:
3.5.1.1、补丁增量导入功能
对于物理隔离的部网络,其部补丁升级效劳器中的补丁必须从外部获得,因此,要求从Internet上下载补丁,十分巨大的补丁库使得每次补丁导入的工作烦琐。
北信源针对此类物理隔离的网,使用增量式补丁自动别离技术,在外网别离出已安装、未安装补丁,分类导入,即仅对网的补丁进展“增量式〞的升级,减少拷贝工作量。
互联网补丁自动实时探测,支持补丁导出前病毒过滤。
3.5.1.2、补丁分析功能
自动建立补丁库,支持补丁库信息查询。
针对下载的补丁进展归类存放,按照不同操作系统、补丁编号、补丁发布时间、补丁风险等级、补丁公告等进展归类,帮助管理人员快速识别补丁。
3.5.1.3、补丁策略制订〔分发〕功能
支持用户自定义补丁策略自由配置分发,发送至客户端后统一按策略执行应用。
1〕、补丁策略制定:
具体可支持定时、定期、分类、分部门、分围、客户机状态和用户自定义等策略。
2〕、补丁策略分发:
具备详尽的补丁分发策略,补丁可以定时、定期、分类、分围、分部门、客户机状态和用户自定义等进展分发。
3〕、补丁文件任务制定:
针对特定的一个补丁或多个补丁,对指定计算机或者计算机网络进展补丁自动分发安装。
3.5.1.4、补丁文件自动分发功能
在指定时间、指定网络围以不同式〔如推、拉〕分发补丁,或者根据脚本策略统一控制客户端下载补丁。
当系统监测到有客户端未打补丁时,可对漏打补丁客户端进展推送补丁。
同时,通过推送安装,也可以为SUS系统不支持的客户端安装补丁及应用软件〔补丁〕。
3.5.1.5、补丁分发流量控制功能
为了适应将来可能的系统扩展,系统特别设计了利用多种式进展下载流量控制:
1〕、系统能够根据网络的负载情况自动调整分发补丁时所占的网络带宽和并发连接数。
2〕、根据手动设置允的带宽或效劳器并发连接数及每个连接所允使用的带宽。
3〕、系统同时支持客户端转发代理补丁下载以减少网络带宽流量,提高效率。
4〕、下级级联同步下载补丁的连接数和下载流量的大小进展自动的判别或者根据需要进展手动调整。
客户端补丁检测:
支持客户端补丁多重探测期配置。
定时检测注册客户端系统补丁安装状况,同补丁信息库比拟后,显示客户端补丁安装状况〔客户端访问指定网页自动获得漏打补丁信息,物理隔离网络中自动生成补丁分发〕。
3.5.1.6、补丁平安性测试
测试是补丁安装前必须进展的,系统支持网管测试组定义进展自动补丁平安性测试,即首先选定一定区域的计算机作为测试计算机,首先对这些计算机进展新补丁的安装测试,以便网管可选择有效对象,进展非模拟性自动测试。
补丁自动测试可提高打补丁的成功性、平安性、可靠性,降低网管工作量。
补丁自动测试图
3.5.1.7、报表输出查询功能
效劳器端补丁查询模块基于补丁名称等关键字对区域网络围的计算机终端进展补丁安装状况查询,通过相应的查询条件,能快速的获知所查询补丁的安装情况并生成报表,以保证补丁及时的安装。
3.5.1.8、客户端网页查询补丁安装信息功能
系统客户端的计算机可以通过访问网的特定网页,对本机所缺少的计算机补丁进展查询,查询结果在网页上进展显示,计算机用户根据需要进展安装。
特别说明:
1〕、客户端统一平安管理系统具有良好的兼容性,支持主流操作系统,如Windows2003、Windows2000Pro、Windows2000Server、WindowsPro、WindowsXPhome、Windows、Windwos9X等。
2〕、因为补丁索引文件为自主开发,因此补丁索引的构造具备可扩展和可编辑性,索引的构造和定义除了可以支持微软补丁外,还可以支持非微软系统补丁、各种数据库补丁,甚至可以支持各种用户应用程序的更新补丁。
3〕系统拥有专门的外网补丁下载效劳器,能根据引索自动下载新增的计算机补丁,补丁校验功能对所下载的补丁进展校验,保证计算机补丁的可靠性、完整性、平安性。
4〕、补丁在导入时具有病毒检测功能,保证导入到补丁库中的补丁不被病毒感染。
5〕、可定期进展同步
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全 解决方案