大連利貞內(nèi)網(wǎng)安全管理解決方案

1、大連利貞信息技術(shù)有限公司內(nèi)網(wǎng)安全管理解決方案需求背景提起網(wǎng)絡(luò)安全，人們自然就會想到網(wǎng)絡(luò)邊界安全，但實際情況是網(wǎng)絡(luò)的大部分安全風險均來自于內(nèi)部。常規(guī)安全防御理念往往局限在網(wǎng)關(guān)級別、網(wǎng)絡(luò)邊界（防火墻、IDS、漏洞掃描）等方面，重要的安全設(shè)施大致集中于機房或網(wǎng)絡(luò)入口處，在這些設(shè)備的嚴密監(jiān)控下，來自網(wǎng)絡(luò)外部的安全威脅大大減小。相反，來自網(wǎng)絡(luò)內(nèi)部計算機終端的安全威脅卻是眾多安全管理人員所普遍面臨的棘手問題。近幾年的信息安全事件表明，政府、企業(yè)以及金融證券等單位中超過80%的管理和安全問題來自終端，計算機終端廣泛涉及每個用戶，由于其分散、不被重視、 安全手段缺乏的特點，已使得終端安全成為信息安全體系的薄弱

2、環(huán)節(jié)。因此，網(wǎng)絡(luò)安全呈現(xiàn)出了新的發(fā)展趨勢，對于各政府企業(yè)網(wǎng)絡(luò)來說， 安全戰(zhàn)場已經(jīng)逐步由核心與主干的防護，轉(zhuǎn)向網(wǎng)絡(luò)內(nèi)部的每一個終端。內(nèi)網(wǎng)安全管理面臨的問題如何發(fā)現(xiàn)終端設(shè)備的系統(tǒng)漏洞并自動分發(fā)補??；如何有效解決移動存儲介質(zhì)使用管理問題；如何有效解決終端隨意接入網(wǎng)絡(luò)問題；如何防范內(nèi)網(wǎng)設(shè)備非法外聯(lián) ；如何管理終端資產(chǎn)，保障網(wǎng)絡(luò)設(shè)備正常運行；如何在全網(wǎng)制訂統(tǒng)一的安全策略 ；如何及時發(fā)現(xiàn)網(wǎng)絡(luò)中占用帶寬最大的終端；如何方便地進行遠程點對點維護 ；如何防范內(nèi)部敏感信息的泄露 ； 如何對原有終端應(yīng)用軟件進行統(tǒng)一監(jiān)控、管理 女M可快速有效地定位網(wǎng)絡(luò)中病毒、蠕蟲、黑客的引入點，及時、準確地切斷安全事件發(fā)生點和網(wǎng)絡(luò)；

3、如何構(gòu)架功能強大的統(tǒng)一網(wǎng)絡(luò)安全報警處置平臺，進行安全事件響應(yīng)和事件查詢，全面管理網(wǎng)絡(luò)資源。這些終端安全隱患隨時隨地都可能威脅到用戶網(wǎng)絡(luò)的正常運行。針對如上系列問題大連利貞提供領(lǐng)先業(yè)界的內(nèi)網(wǎng)安全管理產(chǎn)品及解決方案。內(nèi)網(wǎng)安全管理解決方案本方案通過終端準入控制管理、終端安全審計管理、桌面終端安全管理、補丁及軟件自 動分發(fā)管理和移動存儲介質(zhì)管理等五大部分，并由集中統(tǒng)一的管控和策略平臺，完成對上述安全管理組件的統(tǒng)一策略配置與下發(fā)、集中管理與審計，最終形成聯(lián)動化的、集成化的、完整的終端安全體系建設(shè)。1. 準入控制管理內(nèi)網(wǎng)安全的主要威脅來自于網(wǎng)絡(luò)內(nèi)部：非授權(quán)主機或者權(quán)限不足的用戶，甚至被植入病毒木馬的高權(quán)限

4、的主機，接入內(nèi)網(wǎng)后可以方便的獲得重要服務(wù)器，數(shù)據(jù)庫和其他主機上的敏感內(nèi)容并通過移動存儲介質(zhì)，3G無線網(wǎng)絡(luò)等傳出網(wǎng)外。因此，內(nèi)網(wǎng)準入控制是一個系統(tǒng)工程，需要做好主機，網(wǎng)絡(luò)和服務(wù)器區(qū)三重防護體系。接入認證網(wǎng)關(guān)是一款部署簡便、使用靈活的網(wǎng)絡(luò)準入/準出控制產(chǎn)品。使網(wǎng)絡(luò)管理員能在允許用戶進入網(wǎng)絡(luò)前、訪問外部網(wǎng)絡(luò)前，對有線、無線和遠程用戶及其機器 進行驗證、授權(quán)。能夠阻止未授權(quán)計算機越權(quán)訪問網(wǎng)絡(luò)資源。2. 終端安全審計管理隨著信息安全技術(shù)和理念的發(fā)展，安全監(jiān)控的關(guān)注點已經(jīng)從設(shè)備轉(zhuǎn)向?qū)τ谠O(shè)備使用者的行為，用戶對于設(shè)備使用人行為審計和行為控制的需求越來越明顯，由此國內(nèi)外均已有相關(guān)的政策和法規(guī)陸續(xù)出臺，國內(nèi)的涉

5、及國家秘密的信息系統(tǒng)分級保護技術(shù)要求信息系統(tǒng)安全等級保護基本要求、信息系統(tǒng)安全等級保護測評準則和國外的薩班斯奧克斯利法案也均明確的提出了對主機行為的監(jiān)控和審計要求。主機監(jiān)控審計 通過技術(shù)手段使各種管理條例落實，增強用戶的安全和保密意識，保護內(nèi)部的信息不外泄。文件保護及審計提供對終端的OS系統(tǒng)目錄、軟件目錄和共享目錄中的文件的保護功能，設(shè)定訪問、刪除、修改權(quán)限；支持對設(shè)定目錄文件的操作審計，包括文件創(chuàng)建、打印、讀寫、 復(fù)制、改名、刪除、移動等的記錄，同時將信息上報管理信息庫供查詢。文件輸出審計對主機通過共享文件等方式進行的網(wǎng)絡(luò)文件輸出行為進行審計和記錄。打印審計根據(jù)策略對主機打印行為進行監(jiān)控審計

6、，防止非授權(quán)的信息被打印，同時根據(jù)要求 還可以備份打印內(nèi)容。敏感信息檢查根據(jù)用戶自主設(shè)定的敏感信息查詢條件，設(shè)定對指定目錄或盤符下的指定類型文件進行內(nèi)容檢查，檢查其是否包含敏感內(nèi)容，支持進行包含“或”、“與”等多種邏輯的組合監(jiān)測和模糊監(jiān)測。3. 桌面終端管理桌面終端管理需從使用人的基本信息開始記錄，同時包括IP地址、MAC地址、軟硬件資產(chǎn)、進程信息、軟件信息、密碼信息、殺毒軟件、計算機資源、流量信息等方面進行統(tǒng)計， 形成立體式數(shù)據(jù)庫，當發(fā)生信息改變或資源報警時，能夠第一時間通知管理人員，便于排查 錯誤，并能夠提供給管理人員相應(yīng)的應(yīng)急措施與手段，幫助管理人員迅速解決問題。終端注冊管理該設(shè)計采用C

7、/S和B/S模式混合管理方式，在被管理的桌面計算機上安裝客戶端程序。在安裝客戶端程序需要填寫當前計算機使用人的個人相關(guān)信息，如使用人、部門、聯(lián)系電話、郵件、所在地、計算機類型等，進行實名化的管理便于快速定位，無論是違規(guī)，還是網(wǎng)絡(luò)安 全事件發(fā)生時都可以快速定位到事件源。IP和MAC綁定管理對固定IP網(wǎng)絡(luò)的MAC和IP地址進行綁定管理，當探測到IP變化后根據(jù)策略設(shè)置恢復(fù)其原有IP地址，或者阻斷其聯(lián)網(wǎng)，同時禁止修改網(wǎng)關(guān)、禁用冗余網(wǎng)卡。硬件資產(chǎn)管理自動搜集包括 CPU、內(nèi)存、硬盤分區(qū)總和、設(shè)備標識的大小和其他詳細信息以及其他如主板、光驅(qū)、軟驅(qū)、顯卡、鍵盤、鼠標、監(jiān)視器、紅外設(shè)備、鍵盤等所有的硬件信息。

8、軟件資產(chǎn)管理自動發(fā)現(xiàn)識別客戶端安裝的所有軟件信息（名稱、版本、安裝時間、發(fā)現(xiàn)時間等），將相關(guān)數(shù)據(jù)入庫，檢測客戶端運行軟件信息，供管理員在Web控制臺查詢。軟、硬件設(shè)備信息變更管理報警未注冊設(shè)備、注冊程序卸載行為，實時檢測硬件設(shè)備變化情況（如設(shè)備硬件變化、網(wǎng)絡(luò)地址更改、USB設(shè)備接入等）。終端殺毒軟件管理可統(tǒng)一審計網(wǎng)絡(luò)內(nèi)終端的防病毒軟件 （主流廠商的均可） 安裝和使用情況，必要時可強 制為客戶端安裝防病毒程序。如果需要，也可監(jiān)控終端防病毒軟件的安裝情況， 并進行相應(yīng) 的管理（如安裝殺毒軟件軟件，強行升級病毒庫、自動分發(fā)并自動執(zhí)行病毒專殺工具等）。非法外聯(lián)管理功能? 網(wǎng)絡(luò)內(nèi)部終端非法外聯(lián)互聯(lián)網(wǎng)行為

9、監(jiān)控終端非法外聯(lián)互聯(lián)網(wǎng)行為監(jiān)控： 對于已注冊的設(shè)備，通過不同方式（如雙網(wǎng)卡、代理等） 連接互聯(lián)網(wǎng)進行的通訊，能夠自動阻斷其連接行為并報警。? 網(wǎng)絡(luò)內(nèi)部終端非法接入其它網(wǎng)絡(luò)行為監(jiān)控對于已注冊的設(shè)備，監(jiān)控其網(wǎng)絡(luò)連接行為，根據(jù)接入網(wǎng)絡(luò)環(huán)境因素判定其是否非法接入 其它網(wǎng)絡(luò)。? 離網(wǎng)終端非法外聯(lián)互聯(lián)網(wǎng)行為監(jiān)控對于已經(jīng)注冊的計算機，非法帶出到另外一個網(wǎng)絡(luò)的行為進行監(jiān)控，發(fā)現(xiàn)有外聯(lián)互聯(lián)網(wǎng)行為時可以采取警告、阻斷、自動關(guān)機等操作。? 非法外聯(lián)行為告警和網(wǎng)絡(luò)鎖定如果終端非法入網(wǎng)，可以在報警平臺和報警查詢處獲知信息，并且可以對終端提示信息，自動關(guān)機，阻斷聯(lián)網(wǎng)等處理。? 非法外聯(lián)行為取證對于非法外聯(lián)行為進行實時告警

10、功能，同時記錄該行為發(fā)生的事件、IP地址、MAC地址、使用人等相關(guān)信息上報到服務(wù)器進行記錄取證。4. 補丁及軟件自動分發(fā)管理補丁及軟件自動分發(fā)管理能夠自動識別終端計算機操作系統(tǒng)類型，并根據(jù)需求自動下載所需補丁，自動安裝并提示。系統(tǒng)向指定終端計算機（用戶組）分發(fā)文件或安裝軟件，分發(fā) 時可提供軟件的運行參數(shù)和必要的運行控制。該管理體系可減輕網(wǎng)絡(luò)管理人員的工作負擔， 軟件分發(fā)時可報告軟件安裝的狀態(tài)，無論軟件正確安裝與否，管理員均可及時了解情況。終端計算機漏洞自動偵測終端計算機補丁自檢測，在內(nèi)網(wǎng)中建立補丁檢測網(wǎng)站， 終端計算機用戶訪問網(wǎng)站后,Web網(wǎng)頁自動檢測顯示客戶段補丁安裝信息，用戶可進行補丁下載

11、安裝；管理員還可以在管理控制臺上遠程檢測終端計算機補丁安裝狀況。補丁下載增量式補丁自動分離技術(shù)在外網(wǎng)分離出已安裝、未安裝補丁，分類導(dǎo)入系統(tǒng)補丁庫，僅對內(nèi)網(wǎng)的補丁進行“增量式”升級，以減少拷貝工作量；互聯(lián)網(wǎng)補丁自動實時探測， 支持補丁導(dǎo)出前病毒過濾。補丁分析自動建立補丁庫，支持補丁庫信息查詢。針對下載的補丁進行歸類存放，按照不同 操作系統(tǒng)、補丁編號、補丁發(fā)布時間、補丁風險等級、補丁公告等進行歸類，幫助管理 人員快速識別補丁。補丁策略制訂（分發(fā)）支持用戶自定義補丁策略并自由配置分發(fā)，基于終端計算機網(wǎng)絡(luò)IP范圍、操作系統(tǒng)種類、補丁類別（系統(tǒng)補丁、IE補丁、應(yīng)用程序補丁以及網(wǎng)管自定義補丁類等）等制訂策

12、略，發(fā)送至終端計算機后統(tǒng)一按策略執(zhí)行應(yīng)用。補丁自動修復(fù)在指定時間、指定網(wǎng)絡(luò)范圍內(nèi)以不同方式（如推、拉）分發(fā)補丁，或者根據(jù)腳本策略統(tǒng)一控制終端計算機下載補丁， 當監(jiān)測到有終端計算機未打補丁時， 可對漏打補丁終 端計算機進行推送補丁。 補丁分發(fā)支持流量和連接數(shù)控制， 以免占用太大帶寬， 影響網(wǎng) 絡(luò)正常工作。補丁下載轉(zhuǎn)發(fā)代理提供補丁自動代理轉(zhuǎn)發(fā)功能，提高補丁下發(fā)效率，減少網(wǎng)絡(luò)帶寬的占用率，節(jié)省網(wǎng)絡(luò)資源。補丁安全性測試補丁分發(fā)前閉環(huán)自動測試，對下載的補丁進行自動測試（建立測試網(wǎng)絡(luò)組），測試完成后將其存入補丁庫，以提高打補丁的成功性、安全性、可靠性。普通文件分發(fā)及文件自動執(zhí)行可以提供分發(fā)普通文件也可以分發(fā)可執(zhí)行文件及MSI等形式的壓縮文件并自動執(zhí)行。5. 移動存儲介質(zhì)管理該設(shè)計針對內(nèi)網(wǎng)移動存儲介質(zhì)管理的特點進行，以移動數(shù)據(jù)生命周期為主導(dǎo)，緊扣其存儲和交換的安全需求， 針對移動數(shù)據(jù)全生命周期各個環(huán)節(jié)潛在的安全隱患，綜合運用各種安全技術(shù)和手段，進行有效全程防護的安全產(chǎn)品。設(shè)計時考慮到了區(qū)域訪問控制，信息保密、 文件走查審計等方面， 確保內(nèi)網(wǎng)的信息不因使用移動存儲而造成威脅，做到事前有保護， 事后可追查，提供安全、簡