ProVisa内网安全管理系统技术白皮书v4Word格式文档下载.docx
《ProVisa内网安全管理系统技术白皮书v4Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《ProVisa内网安全管理系统技术白皮书v4Word格式文档下载.docx(40页珍藏版)》请在冰点文库上搜索。
基于用户网卡级别的带宽控制和基于进程的流量控制32
优势五:
自防御联动系统SPAS(SelfProtectionAssociationSystem)32
优势六:
独一无二的网络拓扑管理33
七、方案部署33
7.1串联集中式部署34
7.2双机热备式部署34
7.3分布式部署35
八、ProVisa安全网关参数36
九、典型案例38
9.1ProVisa应用于内蒙某市政府38
一、应用背景
随着网络负载的数据量与日俱增,终端承载的业务日益庞大复杂,各种应用服务对网络和终端的管理要求正在不断提高,网络和系统的问题从没有像今天一样,面临如此多的挑战。
当前,只有做到由内至外整体统一的管理防护体系,才能保证业务不间断的运转。
从事故发生根源看,内网安全先于网络边界安全,大多数网络安全事件都是先由内网爆发引起,后影响到网关。
但一直以来,大部分人的网络安全防护理念还停留在网关处,如:
防火墙,IPS,防毒墙,这些重要的安全设备集中于机房,网络出口,但在这些设备的监控下,互联网的威胁非但没有减少,相反却日渐频繁与复杂。
究其原因,是网络内部的安全一直没有得到重视。
如今,网络管理员每日的工作量大多都集中在终端的维护上,如不对这些终端的系统安全,网络安全进行严密的管理和控制,不对终端的操作行为、网络行为进行严格规范与审计,这样网络中的安全隐患将完全不可预知和控制。
若要使问题能够从根本上得到解决,减少安全隐患,降低各种不可控的安全意外,这需要对内部员工进行必要的管理规范和严格的安全检查,对外来人员实现严格的准入控制。
为此我们必须在边界防护之前做好准备,防御在边界防护之前。
实现内网安全的防护,需要按阶段、系统化的设计与实践,需要从终端入网到应用服务的使用一一考虑周全,每一步都需要进行严格的把控和策略规范。
ProVisa内网安全管理系统对此进行多年的设计和研发,从系统和网络的基本特性,安全事件频发原理,网管员问题疑难点汇总等用户的实际情况出发,在各种威胁进入网络之前做好充分的准备,形成主动的防御体系,使各种网络威胁在内网毫无可乘之机。
当前,影响业务系统稳定运行的因素不像以前那样单一,其不仅包含传统的安全因素,如ARP欺骗、蠕虫、网络攻击等,同时也需要考虑终端使用者的行为因素。
越来越多的事实证明,终端系统与网络的可靠运行,只强调机器设备因素,而不考虑人的因素是不可能达到良好效果的。
二、当前安全建设所面临的挑战
现在的安全产品和技术、既成熟又不成熟,成熟是相对独立的几个方面,如防火墙,不成熟表现在缺乏整体安全解决方案。
这种整体的不成熟给用户造成困扰,尽管部署了防火墙,防病毒和IDS等安全产品,但是面临严重的网络攻击时依然损失惨重。
因为每一种安全产品和技术看到的只是一个相对独立安全信息,缺乏安全管理和集中调整,永远只是看到了问题的一面,而没有看到问题的全部。
企业面临的挑战:
缺乏网络实名制管理,没有网络接入的许可验证机制。
任何人都可以随意接入网络,总是意外的断网,感染病毒。
难于实现内网之间,终端中间的防护。
无法解决网络干扰工具影响网络的问题,无法解决ARP病毒,蠕虫,广播风暴,异常流量等内网病毒爆发的问题。
无法控制和审计网络流量和行为。
各种的P2P应用,QQ,MSN,在线视频,邮件,WEB等上网行为对企业网络带宽带来拥塞和法律风险。
低效的终端管理。
缺乏一个有效的内网综合管理工具或平台去处理繁杂终端软硬件资产维护,系统维护,接口管理,远程管理,消息通知,软件分发,统一安装等工作。
网络运维混乱。
没有准确网络拓扑图,不能实时监控网络设备的使用情况,IP子网规划不清。
因此,为了适应不断变化的内网管理与安全新环境,完成不断增加的工作量,企业网络的IT运维和安全保障需要一套有效的内网安全管理系统,从而实现对终端系统、网络设备、应用服务全面有效的监管控制。
2.1传统安全解决方案的局限性
主流的网络安全解决方案无外乎采用一下技术手段一种或几种的集成:
防火墙、入侵检测、虚拟专用网、病毒防护、漏洞扫描、安全服务等。
再响应安全威胁方面,独立与网络部署的安全产品是比较单薄的,它们在安全保障上存在如下的缺陷:
防火墙:
只能防止外部对内部的攻击,不能防止内部对内部的攻击和非法访问;
入侵检测:
入侵检测只能报告非法入侵,并不能阻止正在发生的侵害;
防病毒软件:
防病毒软件需依赖终端用户的有效使用,而这种依赖缺乏有效的控制,用户可以随意安装或不装,安装正版或盗版的防病毒软件;
漏洞扫描:
发现问题时,威胁已经存在,危害可能已经爆发,无力阻止;
虚拟专用网:
只能防止信息在外网传输中的保密性,却无法防止信息通过内部渠道的泄漏;
传统安全解决方案通常将重点放在被动地响应事件,而不是主动地控制风险。
无法将内部网络的安全隐患以技术的手段进行有效的控制,全面保护网络、系统、应用和数据。
从安全理念上来讲,传统的安全方案的局限性总结如下:
国际通行的P2DR安全模型,包括四个阶段。
但目前大多数主流的任何安全设备只能提供其中一或两个阶段的实现,无法做到系统的保护;
纷繁复杂、功能单一的安全设备和概念也使得用户在选择时无从下手,进而导致或者没有真正保障安全、或者设备重复购买。
按照美国FBI的调查显示,安全问题的80%来自于内部,20%来自于外部。
这就是安全界著名的“82法则”。
然而,目前大多数的安全技术都面向网络边界,而不是解决内部的安全问题。
大型网络的安全是一个系统工程,需要多种技术手段之间的配合、支持和协调,然而目前传统的安全技术手段之间的协同工作能力还很差;
安全技术手段之间应当是互补的,比如功能互补、层次结构互补等,但是传统安全技术大都是面向机构边界的,相对而言,缺乏针对桌面的安全和内部网络安全的技术手段;
大型网络的安全应当是集中的策略管理,统一部署,机构安全管理者应当能够保证安全策略在每个角落中实施,而传统安全技术是分散式的管理,难以做到集中管理和统一部署。
随着网络技术的发展,网络边界变得越来越模糊。
传统网络设备的工作依赖于网络边界的界定,网络边界的模糊化导致边界保护变得更加困难,导致传统的边界安全保护措施难以充分发挥作用。
传统的内网安全解决方案,不能第一时间定位出内部网络出现异常的节点,对于庞大的内部网络来说,往往会给网络管理员带来沉重的负担。
综上的所述,目前传统安全解决方案不能完全满足“全网安全”形势下的网络安全需求,安全技术必须随着网络的发展,不断完善和发展。
从单机孤立,分散安全向集成化,立体化安全机制发展是安全技术发展的必然趋势。
三、产品介绍
3.1产品概述
ProVisa内网安全管理系统(中文名称:
网域万通内网安全管理系统)采用体系安全管理理念,安全准入管理、网络安全管理、主机行为审计、桌面管理、网络拓扑管理于一体,是网域万通研制开发的新一代软硬结合内网安全管理系统。
其硬件采用国际最先进多层交换技术+ASIC加速芯片+多核处理器的闭环式设计理念大大提升了硬件的处理性能和稳定性。
软件以P2DR安全模型为基础,结合了SPAS(Self-Protection-Association-System)自防御联动系统的立体设计理念,有效实现了“侦测-隔离-治愈-恢复”等智能处理机制。
3.2功能简介
ProVisa内网安全管理系统通过准入客户端、安全网关以及控制台、日志服务器联动,实时定位网络流量异常节点,封堵一切内网安全隐患;
通过对安全策略的分布式执行和监控、集中式管理,杜绝了因员工“不当、不该、不准”的上网行为带来的安全隐患,合理的利用了企业宽带网络资源,提高生产工作效率,并彻底杜绝因泄密事件给企业带来巨大的经济损失;
软硬件资产管理,避免企业资产的流失;
各安全产品的有机联动,打破传统安全产品挂灯笼式叠加的部署方式,做到整体统一的安全管理。
ProVisa内网安全管理系统做为内网安全管理的利剑、网络管理员的助手,正是帮助网络管理人员解决内网安全所关注的主要问题。
功能体现:
软硬件结合身份认证系统
系统安全性检测,检测是否安装杀毒软件,是否有安全漏洞等。
SPAS网络管理平台,统一网络安全管理,阻断网络中的ARP攻击、网络病毒扩散。
基于用户终端的流量控制;
审计和控制终端文件操作行为
审计和控制终端系统事件,安全性事件、应用程序。
审计和控制终端上网行为,实时追踪记录;
审计和控制员工外发数据内容,防止资料外泄;
异常连接自动监测,异常终端自动隔离
减少用户因互联网活动所带来的法律责任风险;
自动发现网络拓扑图,自动发现网络设备及相关信息
实施因特网和应用程序使用策略;
通过配置合理的策略,禁止网络滥用,提高员工效率;
四、系统组成
4.1基本组成部件介绍
ProVisa内网安全管理系统由安全接入网关、内网安全管理平台、安全接入客户端组成。
安全接入网关
安全接入网关内嵌内网安全管理高级处理模块,采用国际最先进多层交换技术+ASIC加速芯片+多核处理器的闭环式设计理念大大提升了硬件的处理性能和稳定性。
安全接入网关分为内网型ProVisa500T/F和网关型ProVisa2000。
这两个型号的区别在于:
内网型安全接入网关ProVisa500T/F:
利用改善的802.1x原理进行身份验证,由客户端发起请求广播至网关,随后网关将通知客户端连接到指定的服务器上验证身份和下载相关策略。
所以内网型安全网关通常是串联部署在二层与三层交换之间(与客户端同一广播域内),或者旁路部署在与客户端同一广播域的网络中(不能强制认证)。
ProVisa500T可最多扩展至24个百兆电口或24百兆光口(特定SFF模块)。
网关型安全接入网关ProVisa2000:
利用单独协议进行身份验证,由客户端直接与服务器端进行通讯,再由服务器通知网关进行许可或禁止客户端的动作。
所以网关型的安全网关可以部署在网络中的任意位置。
ProVisa2000最多可扩展至24个千兆电口或24个千兆光口(SFP模块)。
控制管理平台
集中控制的平台,提供人机交互界面,管理员所配置的内网安全管理策略通过它下发给网关,通过网关来对内网安全管理做控制处理。
客户端
客户端主要完成用户认证接入、准入控制,监控数据采集等功能。
日志策略服务器
提供监控日志和管理策略的存储。
存储用户信息资料,记录终端的软硬件资产、带宽使用日志、屏幕日志、访问日志、系统日志和管理员操作日志等数据。
负责安全策略的存储,并与安全网关配合进行策略控制。
环境要求:
服务器端:
操作系统:
Windows2003server
内存:
≥512M
硬盘:
≥40G
CPU:
奔腾4以上(≥1Ghz);
数据库:
安装MicrosoftSQLServer2000
补丁数据库;
MicrosoftSQLServer2005
客户端:
WindowsXP,Window2000(Win7和Vista客户端预计2010年4月发布。
)
五、系统功能
ProVisa内网安全产品采用ASIC芯片进行数据处理,突破传统安全产品采用软件+CPU的数据处理瓶颈问题,并采用多进多出的硬件架构,可以适应网络的未来扩展;
功能涵盖了安全准入控制、网络威胁扩散控制、网络行为审计、主机行为审计、流量及带宽的监测管理、网络行为管理、桌面管理、固定资产管理和文件操作审计及网络拓扑管理几大功能。
下面功能列表详列了各项功能:
功能
子功能
账号管理
增加、修改、删除管理员账号和分配相关权限
用户管理
审批用户
用户基本信息描述
用户增改删查找
密码修改
卸载客户端
资产管理
系统信息
软件信息
资产统计
变更告警
其他资产
归档查询
资产盘点
带宽管理
实时带宽
策略设置
带宽限制策略
带宽策略
安全管理
安全告警
防火墙策略
安全联动策略
网关静态ARP策略
屏幕监控
实时监控
屏幕日志
多屏监控
远程桌面连接
访问管理
网页日志
Telnet日志
FTP日志
TCP日志
站点管理
桌面管理
实时进程
监听端口
连接流量
系统日志
窗体事件
操作系统事件
主机账号
客户端登录
外联管理
外设日志
打印日志
外发管理
邮件日志
MSN日志
邮件黑白名单设置
管理工具
消息发送
文件发送
待下发文件
系统设置
准入代理升级
数据库监控
内网设置
可信主机设置
不可信主机设置
主机在线日志
不可信活动日志
报表统计
网站访问排名
用户访问排名
网络访问报表
带宽统计
历史带宽
网络拓扑
配置管理
拓扑管理
资源管理
文件操作
文件操作日志
文件策略设置
ProVisa功能一览表
5.1账户管理
1)管理账户分类
管理账户分为:
系统管理员账户与审计员账户。
系统管理员分为:
用户admin账户、超级账户和一般账户这三种账户类型。
ProVisa系统默认最高管理员admin账户,超级账户和一般账户的权限由admin管理员集指派。
审计员账户:
用于审计所有账户的操作行为。
2)管理账户的权限
(1)管理账户的功能权限
admin最高管理员
拥有创建超级账户的功能权限及全部管理权限
超级账户
拥有全部管理功能权限
一般账户
由最高管理员admin或超级管理员指派管理功能权限
Audit审计员
审计所有管理员的操作行为
对组指派账号类别:
超级管理员或一般管理员。
例:
对组指派为一般管理员并划分管理功能权限,那么该组内所有用户都具有一般管理员管理功能权限。
(3)管理账户的增加、删除。
超级管理账户具有对一般管理账户的增加、删除管理功能。
最高权限管理账户admin具有对超级管理账户和一般管理账户的增加、删除管理功能。
5.2用户管理
1)组的管理
(1)对组的管理,可以做到对组的新建、删除、组描述的更改。
(2)对组内可以新建子组、子组内可以再新建子组,组或子组的新建总数目无限制。
(3)所有组策略设置,都遵循策略的单独性、唯一性,组与组之间不存在策略的优先级。
2)对组内用户的管理
(1)对组内用户可以做到对用户的添加、移动、删除,用户名的更改描述。
(2)组内用户的查询,可以根据用户账号、昵称、MAC地址、IP地址进行查询。
(3)可以查看用户客户端PC信息(如MAC地址、C盘序列号、IP地址)。
添加、修改用户称昵、用户详细信息(如:
称呼、固定电话、手机、Emil、地址),修改用户密码。
5.3资产管理
资产管理分别对系统信息、软件信息、资产统计、变更告警、其他资产、归档查询、资产盘点的管理。
通过客户端软件来实现用户计算机上的系统信息、软件信息、变更告警、资产归档等管理。
1)详细描述对要查看用户的硬件设备
型号、描述、外频、速度。
系统版本、补丁包、产品序列号、计算机名。
主板:
主板型号、制造商。
内存大小、型号、内存条数目。
声卡:
声卡的型号、制造商。
显卡:
显卡的型号、图形处理芯片、显存大小。
网卡:
网卡制造商、型号、IP、掩码、网关。
硬盘制造商、型号、接口类型、硬盘容量。
光驱:
光驱制造商、型号。
2)系统信息对用户的资产归档
对用户详细的硬件设备进行归档或打印,选择资产归档,并可以对用户发送即时消息,告知用户已对他所有的硬件信息进行系统记录归档,或者对用户所有的硬件设备信息打印保存。
软件信息对用户的软件信息的一个统计,如用户安装了哪些软件,版本型号、安装日期、安装路径、帮助网址、制造商等详细信息。
例如:
安装了windows系统更新补丁包括版本型号、安装时间、安装路径、帮助网址、软件制造商、卸载字符串。
p2p软件(迅雷、BT)等,包含软件名称、软件版本型号、安装时间、安装路径、下载该软件的网址、软件制造商、卸载字符串。
3)变更告警能自动反馈用户计算机硬件变化和软件安装、卸载状况,建立资产变更记录。
组的软硬件变更统计
根据查询时间、查询对象(如网卡、主板、内存、显卡、声卡、CPU、硬盘、光驱、软件),变更类型(如新增、卸载、变更、全部)的选择,对组或用户软件变更统计。
查询结果以列表的方式表现,详细记录用户名、查询对象、动作、事件的描述、日期。
并可以导出至Excel表。
管理员需要对行政部门最近一段时间的软硬件变更情况统计。
选择时间、查询对象-硬件、变更类型全部,选择要查询的部门行政部门,确定查询。
5.4带宽管理
对网络带宽有效合理的管理,包括实时带宽监控、带宽策略设置、带宽限制策略设置,能做到用户关键业务能够正常使用如:
ERP、视频会议等。
做到带宽合理的分配,做到按需分配。
5.4.1实时带宽
实时带宽监控,对组的主机流量实时带宽监控。
1)对组内网上传带宽、下行带宽监控。
对组内网带宽监控,实时监控用户内网上传、下行带宽监控。
用户带宽以柱状图表现,管理员可以自定义每页显示监控用户数,流量单位以KB/s显示,更加直观的查看用户的流量显示。
对组外网下行带宽、上传带宽监控
对组内外网带宽监控,实时监控用户外网上传、下行带宽监控。
带宽限制针对网络带宽做到有效合理的管理,做到按需分配。
有效管理组内带宽应用,根据不同组合理分配带宽,既能够保障用户网络的顺畅,又能保障用户关键业务(如ERP、OA、视频会议)应用。
2)带宽限制分别对内网带宽设置、外网带宽设置、广播风暴设置。
5.5安全管理
安全管理包括安全告警、防火墙策略、安全联动策略。
负责监控记录网内感染病毒的用户、隔离网内受到病毒、arp、dos等受攻击的用户。
5.5.1安全告警
安全告警详细记录终端用户受病毒攻击的日志记录,记录详细用户名、受到病毒感染的时间、病毒的类型。
也可以按时间或病毒类型,查询组用户受病毒攻击的详细记录情况。
客户端告警
控制台告警
5.5.2防火墙策略
防火墙策略设置主要针对关键组实现目的IP允许通过、禁止通过、不受流量控制这三种限制模式。
对策略设置分为增加策略、删除策略、修改策略。
增加策略
对组管理实现目的IP协议、端口允许通过、禁止通过、不受流量控制三种限制模式。
允许通过
管理组内目的IP,手工添加IP地址、MAC地址,选择要添加协议(TCP、UDP、ICMP、全部协议),端口,增加允许通过策略。
对组内目的IP允许通过全部协议,所有端口,添加策略,该组内目的IP允许通过。
禁止通过
管理组内目的IP,手工添加IP地址、MAC地址,选择要添加的协议(TCP、UDP、ICMP、全部协议),端口,增加禁止通过策略。
目的IP被禁止通过选择的协议、端口。
例如:
对财务组内目的IP禁止上网,可以添加财务组内目的IP、MAC地址、选择全部协议,添加端口,选择禁止通过限制模式。
该组内所有目的IP被禁止上网。
不受流量控制
管理组内目的IP,手工添加IP地址、MAC地址,选择要添加的协议(TCP、UDP、ICMP、全部协议),端口,增加不受流量控制策略。
目的IP不受流量控制。
对领导组内目的IP不受流量控制管理,首先添加目的IP地址、MAC地址、选择全部协议,添加端口,选择不受流量控制限制模式,添加该策略。
该组内所有目的IP不受流量控制。
删除策略
删除策略,删除已制定的策略,选择要删除的策略,点击删除,该策略被删除,且无法恢复,只能重新添加新策略。
修改策略
修改策略,如增加已制定策略的目的IP、修改限制模式、协议内容、端口等,通过选择要修改的策略内容,点击修改策略,策略被修改生效。
5.5.3安全联动策略
安全联动策略,针对网络中出现一些典型,感染率高、多发的网络病毒危险类型,主要包括蠕虫病毒、ARP病毒、MAC/CAM攻击、Smurf攻击、DHCP耗竭攻击、DHCPServer假冒攻击、pingofdeath、teardrp、synattack、Routing攻击、Land攻击、网络扫描攻击、DNS欺骗、IP伪造攻击、MAC伪造攻击。
安全联动策略分为无动作、隔离、下发文件三种策略模式。
无动作策略
对组的策略实施。
添加危险病毒类型,从以上病毒类型中手工添加病毒类型,手工添加自定义提示语,选择无动作策略。
当该组内出现病毒,报警至控制台,通过下发策略,提示语告警至用户,让用户知道已经感染了何种病毒,但是ProVisa系统不做其他任何动作。
隔离策略
手工添加危险病毒类型,手工添加自定义提示语,制定隔离策略,当该组内出现病毒,客户端报警至控制台,通过策略下发,立刻隔离受感染的计算机,隔离该计算机用户与其他计算机用户的通讯,但是保持和ProVisa网关的通讯。
隔离方式通过anget方式阻断网卡,强行客户端下线,把威胁控制在最小化。
下发文件策略
手动制定下发文件策略,当该组内计算机用户被隔离后,下发专杀工具策略,帮助用户第一时间消除病毒威胁,恢复至网络中。
维护网络安全。
5.5.4网关静态ARP策略
绑定网关的IP和MAC地址防止ARP欺骗网关。
5.6屏幕监控
屏幕监控包括实时监控、屏幕日志记录,实现多屏监控。
5.6.1实时监控
管理员对要监控的用户或组,实时监控。
对用户的监控
对用户可以做到实时监控用户桌面系统,并以屏幕快照方式记录至屏幕日志。
对组的监控
对组的监控可以做到实时监控组内用户桌面系统,最多数可以达到4*4,16屏实时在线监控。
并以屏幕快照方式记录至屏幕日志。
5.6.2屏幕日志
通过记录的屏幕日志,可随时播放已记录用户的历史画面,实现屏幕回放功能。
可根据时间(年月日时分)查询屏幕日志。
1)对用户实现屏幕回放功能,可根据时间查询屏幕日志。
2)对组内用户实现屏幕回放功能,点击上一页、下一页菜单栏,选择查看具体用户屏幕回放,可根据时间(年月日时分)查询屏幕日志。
5.6.3多屏监控
多屏监控指管理员可以同时监控组内一个或多个用户工作站,选中要监控的用户,
升级会员 