内网安全管理系统解决方案.docx
《内网安全管理系统解决方案.docx》由会员分享,可在线阅读,更多相关《内网安全管理系统解决方案.docx(18页珍藏版)》请在冰点文库上搜索。
内网安全管理系统解决方案
内网安全管理系统解决方案
1、计算机终端安全管理需求分析
11、1、网络管理
21、1、1、物理网络拓扑图
21、1、2、流量控制
21、1、3、IP地址管理
31、1、4、故障定位
31、2、终端安全防护
31、2、1、补丁安装防护
31、2、2、防病毒防护
41、2、3、进程防护
41、2、4、网页过滤
41、2、5、非法外联防护
51、3、终端涉密信息防护
51、3、1、终端登录安全认证
61、3、2、I/O接口管理
61、3、3、桌面文件安全管理
61、3、4、文件安全共享管理
71、3、5、网络外联控制
71、4、移动存储介质的管理
71、5、网络接入控制
81、6、计算机终端管理与维护
91、7、分级分权管理
92、计算机终端安全防护解决方案102、1、方案目标102、2、遵循标准1
12、3、方案内容1
22、3、1、网络管理1
22、3、1、1、物理网络拓扑图1
32、3、1、2、流量控制1
32、3、1、3、IP地址绑定1
32、3、1、4、故障定位1
42、3、2、终端安全控制1
42、3、2、1、补丁管理1
42、3、2、2、防病毒控制1
42、3、2、3、进程监控1
52、3、2、4、网页过滤控制1
52、3、2、5、非法外联控制1
52、3、3、终端安全审计1
52、3、4、移动存储介质管理1
62、3、4、1、注册授权1
82、3、4、2、访问控制1
82、3、4、3、数据保护1
92、3、4、4、自我保护1
92、3、4、5、操作记录1
92、3、5、计算机终端接入控制202、3、5、1、非法主机的定义202、3、5、2、非法接入控制策略202、3、5、3、非法接入阻断技术实现原理2
12、3、6、计算机终端管理与维护2
22、3、6、1、主机信息收集2
22、3、6、2、网络参数配置2
32、3、6、3、远程协助2
32、3、6、4、预警平台2
33、系统设计3
23、1、LanSecS系统安全性设计3
23、1、1、控制中心安全性3
23、1、2、主机代理安全性3
23、1、3、数据库安全性3
23、1、4、策略分发与存储安全性3
43、1、5、主机代理与控制中心通讯安全性3
44、系统特色与系统部署3
64、1、LanSecS系统特色3
64、2、LanSecS典型部署3
84、2、1、简单内网环境3
84、2、2、本地多内网环境3
84、2、3、分级部署环境3
95、产品配置要求39
1、计算机终端安全管理需求分析随着科技的发展,计算机和网络作为现代企业重要的工具,在日常办公过程中发挥着越来越重要的角色。
计算机和计算机网络已经成为企业、政府和其它各种组织的重要信息载体和传输渠道。
很明显,计算机、计算机网络和其所带来的信息数字化大幅度提供了工作效率,也使得海量的信息存储和处理成为了现实。
但是,在享受到计算机以及计算机网络所带来的方便性的同时,也出现了目前受到广泛关注的对内网设备如何进行有效管理的问题,以及由此带来的网络信息安全问题。
目前随着制造业单位规模不断增大,IT硬件成本降低、更新换代速度比较快,单位为了提高工作效率,不断的增加新的设备;因此机器数量和网络规模也随之增多、增大。
员工办公感觉是越来越方便了,但是给网络管理员带来的内网管理问题却越来越重了。
首先是网络的管理,IP混乱、网络拥塞、出现故障无法及时定位进行解决;其次是资产的管理,越来越多的设备使资产管理处于混乱,管理员疲于资产的统计。
在内网信息安全管理方面,尤其是设备自身的健壮性,如何保证设备硬件所承载的系统能够正常运行;另一方面对于单位内部的设计部门,由于数字信息本身具有易于复制的特性,利用这个特性,信息更易于受到难以控制和追溯的盗取威胁,网络使信息更容易受到破坏、更改和盗取。
很明显,能否最大限度确保企业内部数字信息的安全性已经关系到了计算机和计算机网络能否真正成为有实质意义大规模应用的关键因素。
如何提高安全性保证机器的正常办公、如何将非法入侵者拒之门外、如何防止内部信息外泄,如何更好的保证网络快速高效运行,这些都是制造业目前在进行网络化过程中必须解决的问题。
目前各行业内部网络所采取的安全措施基本上是采用防火墙、入侵检测等安全产品放置于内部网络和外网连接处保证网络层的安全,并采用操作系统或应用系统所带的身份验证机制,或通过安装物理隔离卡将内部局域网划分成内网与外网两个组成部分。
内部网络上大多数的应用对制造业单位是至关重要的,甚至是严格保密的。
一旦出现病毒传播、破坏的事件,将产生严重后果。
这些都使得内网安全问题变得越来越重要和突出。
而内网安全存在许多问题,为了防范各种各样的安全风险,必须在内网建立可靠的网络管理、安全监控和审计控制,以保证内部系统的顺利运行。
为了确保制造业单位内部的IT系统的平稳运行,一个健壮的内网安全管理体系是分重要的。
作为制造业的计算机终端安全管理方案而言,需要解决如下问题:
1、
1、网络管理在制造业的网络环境中,由于单位规模、单位办公的需要,存在很多的工作区域,甚至在外地也有自己的办事处和生产车间,为了便于企业内部的信息共享,一般采用专线或其他网络互联技术,使之与内部网络连接,便于单位内部的数据管理和办公管理。
但是大规模的网络环境、复杂的分支机构,给网络管理带来了极大的困难,设备的分布不明确;流量管理没有依据;对于静态IP地址环境地址混乱、冲突也是很棘手的问题。
针对网络管理方面主要包括一下几个方面:
1、1、
1、物理网络拓扑图单位的内部网络是由网络设备共同作用,协同工作建立起来的,主要设备有:
路由器、交换机、HUB,而在局域网中对数据交互起核心作用的是交换机。
目前的网管软件可以对逻辑拓扑图进行绘制,对交换机的面板信息进行提取和控制,但是无法看到终端设备和交换机端口的物理连接关系,无法从拓扑图上看到下连设备的信息。
如何建立起交换机端口和设备的连接关系是至关重要的,因为端口的流量信息其实就是设备的流量信息;想要掌控设备,只要对交换机端口进行控制就可以了。
因此物理拓扑图显示设备与端口的物理连接关系会给管理带来极大的方便。
1、1、2、流量控制借助物理网络拓扑图上设备的物理连接关系,通过可网管交换机端口的流量控制,能够对交换机下连的设备进行端口控制,关闭端口或是打开端口。
但是内部网络环境中不可能所有的交换机全部都是可网管的,而且管理员不可能天天进行端口的打开、闭合操作,除非是出现异常的网络攻击和拥塞时,才会采取如此非常手段。
因此对于日常的控制来说,最有效的方法是通过控制每个终端设备的网卡流量,如果能将设备的流量控制在一定的范围内,既保证了设备的正常工作使用,又可以防范在非法使用P2P下载软件抢占带宽和病毒爆发时给网络速度带来的拥塞,这对于管理来说才是实用的管理手段。
1、1、3、IP地址管理为了便于管理,出现问题能够及时追查,网络建设时管理员通常使用静态IP地址,这对于管理来说确实是一个有效可行的措施。
但是由于员工的计算机操作水平不同,很可能造成随意修改IP地址带来的内网地址冲突,这给内网管理带来很繁琐的问题。
虽然通过在核心或二层交换机上,可以通过命令来绑定IP/MAC地址从而消除上述问题,但是工作量庞大,因此彻底屏蔽IP地址冲突的问题是网络管理必须要做的。
1、1、4、故障定位很多制造业内部网络庞大,分支繁多,一旦终端机器或网络链路出现问题,很难迅速定义问题点,如果从链路着手解决问题,除非管理员此前做了详尽的网络链路备份信息表(每次增加机器都需要逐台进行记录),否则从众多网络排线中找出问题链路将是一件分费时、费力的事情。
1、2、终端安全防护单位内网进行办公所运行的各种服务都是应用在终端设备的基础上,一旦终端设备的安全性出现问题,那么所有其承载的服务将无法运行,严重影响单位的工作效率,给单位的生产造成损失。
因此必须保证机器的健壮性,为了保证机器的正常运行包括以下几个方面:
1、2、
1、补丁安装防护目前在制造业的单位中,承载各种应用的操作系统90%以上的端终用户使用的都是windows2000,XP或以上的操作系统,但是这几种操作系统的安全漏洞非常多,很容易收到攻击。
微软公司会通过定期发布安全补丁的方式来弥补这些漏洞,但由于某些员工用户缺乏相关知识,或者处于研发部门的设计网是和单位局域网物理隔离的网络,从而导致补丁安装的不完全,不及时,这就会严重影响终端计算机的安全,一旦发生针对微软操作系统漏洞的攻击,就会导致整个网络受到威胁。
1、2、2、防病毒防护员工由于防范病毒意识较淡薄,没有安装防病毒软件;或者由于个人对防病毒品牌的倾向性,从而发生没有安装防病毒软件,甚至意外卸载,或防病毒软件没有运行,这样不仅使单台PC机受到病毒侵害,而且一旦感染病毒,可能回向内网的其他机器传播,导致整个内网病毒泛滥,甚至网络拥塞。
因此一定要保证防病毒软件的安装、正常运行、及时升级。
1、2、3、进程防护由于当前大量病毒以及恶意程序的存在,而这些程序对于普通用户而言并不知情,甚至有些恶意程序通过技术手段使得用户无法通过任务管理器看到其工作进程;另一方面,有些用户可能有意或无意地运行一些可能会影响他人或自己工作的软件(如网络嗅探器)。
单位的机器目的是提高员工的生产效率,充分利用上班时间为单位创造更多效益,但是某些娱乐性软件严重影响了员工的工作效率,某些下载软件造成网络速度减慢,影响了内网的正常办公。
因此通过制定策略,实现对非法进程的监控并阻止,能够大大减少由内部引起的网络安全事件,提高我们的工作效率。
1、2、4、网页过滤某些员工访问Internet时,由于安全防范意识不够,登陆恶意网站,造成机器受到攻击,从而产生病毒感染、机器不能正常使用,注册表被修改、浏览器无法正常的访问网络;严重的甚至会植入木马,造成机器重要数据的网络泄密。
因此必须对内网机器的网络访问进行必要的过滤。
1、2、5、非法外联防护单位内部的局域网会在网络的出口上,增加相关的安全硬件防护设备,例如:
防火墙、IDS、IPS、防病毒网关等设备来加强边界的防护,保证内网的安装。
但是员工由于好奇,或者厌烦上网出口的种种限制,通过Modem或ADSL拨号方式访问Internet,极易受到外部网络的攻击;当该机器一旦受到攻击,回到内网后很容易将相关病毒、木马向内网传播。
1、3、终端涉密信息防护在现代生活中,信息就是财富。
无论是国家、政府、企业和个人都不希望机密信息被别人窃取,造成各种经济和社会损失。
对制造业单位的设计、研发部门来说,机密信息的存储、使用和传递过程中,会面临各种各样的泄漏风险。
信息外泄的途径包括:
l本地打印机、网络打印机的非法输出涉密文件;l终端计算机非法拨号、非法外联访问;l离线存储设备存储涉密文件遗失;l内部员工使用涉密计算机连接外部网络致使泄密;l工作人员由于对计算机专业知识的不熟悉而泄密。
从泄密行为的区别上,分为两种泄密:
被动泄密和主动泄密。
被动泄密:
由于员工的电子信息保密的意识还不强,常常由于专业知识不熟悉或者工作疏忽而造成泄密。
如有些人由于不知道计算机的电磁波辐射会泄露秘密信息,计算机工作时未采取任何措施,因而给他人提供窃密的机会;有些人由于不知道计算机软盘上的剩磁可以提取还原,将曾经存贮过秘密信息的软盘交流出去,因而造成泄密;有些人因事离机时没有及时关机,或者采取屏幕保护加密措施,使各种输入、输出信息暴露在界面上;有些人对自己使用的计算机终端缺乏防护意识,如没有及时升级病毒库和更新系统补丁,导致病毒和木马的入侵,在不知不觉中泄露了机密信息。
主动泄密:
这种情况是由于内部员工出于个人利益或者发泄不满情绪,有意识的收集和窃取机密信息。
由于电子信息文档不像传统文档那样直观,极易被复制,且不会留下痕迹,所以窃取秘密也非常容易。
电子计算机操作人员徇私枉法,受亲友或朋友委托,通过计算机查询有关案情,就可以向有关人员泄露案情。
计算机操作人员被收买,泄露计算机系统软件保密措施,口令或密钥,就会使不法分子打入计算机网络,窃取信息系统、数据库内的重要秘密。
对于制造业单位来说,涉密终端计算机作为涉密信息处理的工具,在其上存储、传输和处理的涉密信息的安全性保护相当重要。
任何一个环节的疏漏均可导致涉密信息的丢失。
因此,必须加强对涉密信息的防护。
当前,对涉密信息的防护需求主要包括如下几个方面:
1、3、
1、终端登录安全认证终端用户当前通过用户名/口令方式进行计算机本地/域登录,然而用户名/口令方式虽然简单,但是存在很大的安全隐患:
l密码管理复杂l密码容易泄漏l存在暴力破解的可能性l无法阻止他人恶意非法盗用因此,作为终端安全管理的第一步,首先需要解决终端登录安全认证的问题。
1、3、2、I/O接口管理随着计算机外设的增多,各种各样的输出设备(软驱、刻录机、打印机、绘图仪、移动存储设备、红外、蓝牙、无线网络设备)为信息处理和传输提供极大便利的同时,也为机密信息的扩散和泄露带来了可能。
尤其是USB接口的计算机周边设备的丰富,使得计算机与其他外部设备,如U盘,USB打印机等连接分方便,并能轻而易举地通过USB设备将外部数据导入或者内部数据导出,为重要数据的保护带来了巨大的安全隐患。
1、3、3、桌面文件安全管理作为数据最终处理的计算机终端,存储着大量的业务数据。
由于Windows操作系统默认将数据以明文方式存储于磁盘上,因此一旦其他未被授权用户能够进入操作系统,都能非常方便地实现对磁盘数据的访问和阅读。
因此,如何确保数据信息在计算机终端的安全,也是计算机终端安全管理必须考虑的问题。
1、3、4、文件安全共享管理由于计算机终端大多使用Windows操作系统,而该操作系统安装后即开放了部分共享目录,同时由于许多用户并未采用安全的访问密码,造成其他用户能够较为方便地通过远程网络实现对他人网络共享数据的访问。
因此严格控制终端的文件共享,尤其是涉密终端的文件共享,也是桌面系统安全管理的重要内容。
同时,作为常见的文件共享,应能提供安全的用户身份认证机制、完善的共享授权以及详细的访问日志信息。
1、3、5、网络外联控制涉密内网虽然不与互联网直接连接,但是内部人员可能会出于各种原因通过Modem拨号、ADSL上网、无线上网等技术手段将个人终端计算机接入互联网。
这种行为带来的危害不仅包括内部员工通过主动的邮件发送、即时通讯等手段将机密信息发送到内网之外,也为内网增加了来自互联网上的攻击和破坏的风险,从而导致由互联网入侵或者木马程序等方式造成内网机密信息的被动泄密。
因此对终端计算机的网络外联控制是防泄密管理的重要内容之一。
1、4、移动存储介质的管理移动存储介质已经得到普及应用,移动存储介质使用灵活、方便,使它在各个单位的信息化过程中迅速得到普及,越来越多的敏感信息、秘密数据和档案资料被存贮在移动存储介质里,大量的秘密文件和资料变为磁性介质、光学介质,存贮在无保护的移动存储介质中,这给企业涉及设计、研发信息资源带来相当大的安全隐患。
存储介质作为企业核心商业机密和敏感信息的载体,实现对它们安全、有效的管理是保证企业信息安全的重要手段。
移动存储介质使用过程中常见的风险包括:
1)
非法拷贝敏感信息和涉密信息到磁盘、U盘或其他移动存储介质中;2)
企业外部移动存储介质XX在内部使用;3)
企业内部移动存储介质及信息资源被带出,在外部非授权使用;4)
使用过程的疏忽;5)
存贮在媒体中的秘密信息在联网交换时被泄露或被窃取,存贮在媒体中的秘密信息在进行人工交换时泄密;6)
处理废旧移动存储介质时,由于磁盘经消磁余次后,仍有办法恢复原来记录的信息,存有秘密信息的磁盘很可能被利用磁盘剩磁提取原记录的信息—这很容易发生在对磁盘的报废时,或存贮过秘密信息的磁盘,用户认为已经清除了信息,而给其他人使用;7)
移动存储介质发生故障时,存有秘密信息的介质不经处理或无人监督就带出修理,或修理时没有懂技术的人员在场监督,而造成泄密;8)
移动存储介质管理不规范,秘密信息和非秘密信息放在同一媒体上,明密不分,媒体介质不标密级,不按有关规定管理秘密信息的媒体,容易造成泄密;9)
移动存储设备在更新换代时没有进行技术处理;10)
媒体失窃,存有秘密信息的磁盘等媒体被盗,就会造成大量的国家或企业秘密信息外泄,其危害程度将是难以估量的,丢失造成后果非常严重。
综上所述,移动存储介质的管理对制造业来说,是一个必须关注的问题。
1、5、网络接入控制若不对接入网络的计算机设备进行认证,则每一台外来的计算机设备只要通过涉密网内的任何一个端口连接,则整个网络都将向其开放,这显然对于内部网络安全而言是巨大的安全隐患。
因此,需要对计算机终端的接入进行有效的监视和控制。
通过提取接入计算机的物理特征,可以判断该计算机是否为企业内网上授权接入的计算机,如果为非授权计算机,则视为非法主机。
对非法主机需要采取必要的方式进行阻断和隔离,从而保证该计算机无法访问内网的相关资源。
另外,对于内网授权使用的计算机,任何一台感染了病毒和木马,管理人员也无法及时定位和自动阻断该计算机的破坏行为。
往往需要花费很长的时间才能判断和定位该计算机,然后再通过手动的方式断网。
对安全强度差的终端计算机缺乏有效的安全状态检测和内网接入控制,也是内网管理人员比较头疼的问题之一。
要想对此类计算机进行接入的控制,首先应该对计算机的安全状态能够实时掌握,例如病毒库的升级情况和操作系统补丁的修补情况等。
只有掌握了计算机的安全状态,才能根据其安全状态判断是否应该对其进行阻断和隔离。
1、6、计算机终端管理与维护对于制造业单位庞大的网络和众多的终端计算机来说,依靠传统的资产登记管理办法,根本无法做到对计算机配置信息的准确掌握,对计算机配置的变化也无法及时跟踪。
例如,要准确掌握每台计算机的软硬件配置信息,通过手工方式将是非常耗时和繁琐的工作。
要想实时并准确地掌握内网终端计算机的配置状况与配置变更状况,必须通过技术手段和工具来辅助实现,才能有效节省成本和资源,提高内网管理的效率。
另外,由于终端计算机的数量众多,管理人员也无法实时掌握每台终端计算机的运行状态。
当终端计算机出现故障需要维护时,管理人员如果采用现场维护的方式,一方面增加了人力成本,另外由于人力资源有限,也无法保证维护的及时性。
如何实时监视终端计算机的运行状况,并且方便地对终端计算机进行远程维护,是制造业单位网络管理人员迫切需要解决的问题。
1、7、分级分权管理内网安全管理系统作为一个计算机终端防护、检测、维护和工具,其特点是管理的计算机数量众多。
管理这么多的计算机,依靠某一位管理员是不现实的,另外,如果企业的部门设置较为复杂,分支机构多,则会加剧管理的难度。
因为一个管理员不可能了解所有计算机终端用户的计算机使用细节,所以对管理的深度和强度无法把握。
由于以上的原因,对以一个大型企业,从科学管理的角度来讲,必须采用分权管理的思想。
所谓分权管理,包括两层含义。
l是把所管理的计算机终端范围进行划分和分配,采取谁熟悉、谁管理的原则,不同管理员自己管理自己范围内的计算机、包括策略的设置和审计的查看等。
l是把系统策略的配置进行划分和分配,采取谁适合、谁管理的原则,不同管理员有不同的策略配置权限。
这样处理可以保证策略的配置不会违反单位的保密规定。
例如,某管理员可以配置补丁分发的策略,而另一个管理员则可以配置安全审计的策略。
对于规模巨大的制造业单位,往往都在管理层次上划分为多个垂直单位,如集团、所、部门等。
考虑到制造业单位对管理上的需求往往希望能够由上级部门直接设定下级部门的安全策略和查看下级单位的审计信息。
这就提出了分级管理的需求。
所谓分级管理,就是由上级机构对下级直接进行管理,管理上的控制力度可以由上级机构自主设定。
例如可能上级机构希望取消下级机构的所有管理权限,或者希望为下级机构分配一定范围的管理权限,而关键策略的设置则由自己设定。
分级管理的主要需求分为如下两个方面:
l策略配置,上级机构可以直接接管下级的策略配置权限,上级设定的策略,下级无法更改。
l审计报表查看,上级机构可以随时要求下级机构将上级关心的报表传递上来,审查下级机构的策略执行情况以及违规事件等。
2、计算机终端安全防护解决方案
2、
1、方案目标本方案的目标是为延边天池工贸有限公司提供一套计算机终端安全管理解决方案。
为机密信息的防护和计算机终端的运行维护提供有效的工具和手段。
通过本方案,能够实现对单位内部局域网进行网络的统一管理、检测局域网内计算机终端是否安装有杀毒软件,实现对内网终端计算机的流量控制、规范上网管理、安全管理、终端涉密信息防护、网络接入/外联管理、移动存储介质的管理、审计和计算机的日常运行维护。
2、2、遵循标准本设计方案的主要依据是国家保密局文件《涉及国家秘密的信息系统分级保护技术要求》(BMB17-xx),同时,还参考了以下标准和法规、文件:
l国家标准GB/T2887-2000《电子计算机场地通用规范》;l国家标准GB9254-1998《信息技术设备的无线电骚扰限值和测量方法》;l国家标准GB9361-1998《计算站场地安全要求》;l国家标准GB/T93
87、2-1995信息处理系统开放系统互连基本参考模型
第2部分:
安全体系结构(idtISO7498-2:
1989);l国家标准GB17859-1999《计算机信息系统安全保护等级划分准则》;l国家标准GB/T18336-2001信息技术安全技术信息技术安全性评估准则(idtISO/IEC15408:
1999);l国家标准GB50174-1993《电子计算机机房设计规范》;l国家军用标准GJB3433-1998《军用计算机网络安全体系结构》;l国家公共安全和保密标准GGBB1-1999《信息设备电磁泄漏发射限值》;l国家保密标准BMB2-1998《使用现场的信息设备电磁泄漏发射检查测试方法和安全判据》;l国家保密标准BMB3-1999《处理涉密信息的电磁屏蔽室的技术要求和测试方法》国家保密标准BMB4-2000《电磁干扰器技术要求和测试方法》;l国家保密标准BMB5-2000《涉密信息设备使用现场的电磁泄漏发射防护要求》;l国家保密指南BMZ1-2000《涉及国家秘密的计算机信息系统保密技术要求》;l国家保密指南BMZ2-2001《涉及国家秘密的计算机信息系统安全保密方案设计指南》;l国家保密指南BM23-2000《涉及国家秘密的计算机信息系统安全保密测评指南》;l《国家信息化领导小组关于加强信息安全保障工作的意见》中共中央办公厅国务院办公厅中办发[2003]27号;l国家保密局文件《计算机信息系统保密管理暂行规定》(国保发[1998]1号);l中央保密委员会办公室、国家保密局文件《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》(中保办发[1998]6号);l中共中央办公厅国务院办公厅关于转发《中共中央保密委员会办公室、国家保密局关于国家秘密载体保密管理的规定》的通知(厅字[2000]58号);l《关于加强信息安全保障工作中保密管理的若干意见》中共中央保密委员会中保委发[2004]7号;l《涉及国家秘密德信息系统分级保护管理办法》国家保密局国保发[xx]16号;l《信息安全等级保护管理办法(试行)》公安部国家保密局国家密码管理局国务院信息化工作办公室公通字[xx]7号。
2、3、方案内容针对以上我们分析内网管理出现的实质问题,结合信息化安全建设已经从最初的网络安全焦点互联网边界防护向单位的内网转移,因此我们必须认识到内网安全管理的重要性,对内网安全进行全面防护,“防患于未燃”。
为了加强
升级会员 