精编北信源法院系统终端安全管理系统解决方案.docx
《精编北信源法院系统终端安全管理系统解决方案.docx》由会员分享,可在线阅读,更多相关《精编北信源法院系统终端安全管理系统解决方案.docx(16页珍藏版)》请在冰点文库上搜索。
精编北信源法院系统终端安全管理系统解决方案
北信源法院系统终端安全管理系统解决方案
北信源法院系统终端安全管理系统
解决方案
北京北信源软件股份有限公司
2015年3月
1.前言3
1.1.概述3
1.2.应对策略4
2.终端安全防护理念5
2.1.安全理念5
2.2.安全体系6
3.终端安全管理解决方案7
3.1.终端安全管理建设目标7
3.2.终端安全管理方案设计原则7
3.3.终端安全管理方案设计思路8
3.4.终端安全管理解决方案实现10
3.4.1.网络接入管理设计实现10
3.4.1.1.网络接入管理概述10
3.4.1.2.网络接入管理方案及思路10
3.4.2.补丁及软件自动分发管理设计实现15
3.4.2.1.补丁及软件自动分发管理概述15
3.4.2.2.补丁及软件自动分发管理方案及思路15
3.4.3.移动存储介质管理设计实现19
3.4.3.1.移动存储介质管理概述19
3.4.3.2.移动存储介质管理方案及思路20
3.4.4.桌面终端管理设计实现23
3.4.4.1.桌面终端管理概述23
3.4.4.2.桌面终端管理方案及思路24
3.4.5.终端安全审计设计实现36
3.4.5.1.终端安全审计概述36
3.4.5.2.终端安全审计方案及思路36
4.方案总结42
1.前言
1.1.概述
随着法院信息化的飞速发展,业务和应用逐渐完全依赖于计算机网络和计算机终端。
为进一步提高法院信息系统内部的安全管理与技术控制水平,必须建立一套完整的终端安全管理体系,提高终端的安全管理水平。
由于法院信息系统内部缺乏必要管理手段,导致网络管理人员对终端管理的难度很大,难以发现有问题的电脑,从而计算机感染病毒,计算机被安装木马,部分员工使用非法软件,非法连接互联网等情况时有发生,无法对这些电脑进行定位,这些问题一旦发生,往往故障排查的时间非常长。
如果同时有多台计算机感染网络病毒或者进行非法操作,容易导致网络拥塞,甚至业务无法正常开展。
建立终端安全管理体系的意义在于:
解决大批量的计算机安全管理问题。
具体来说,这些问题包括:
Ø实现对法院信息系统内部所有的终端计算机信息进行汇总,包括基本信息、审计信息、报警信息等,批量管理终端计算机并提高安全性、降低日常维护工作量;
Ø实现对法院信息系统内部所有的终端计算机的准入控制,防止外来电脑或违规的电脑接入法院信息系统内部网络中;
Ø实现对法院信息系统内部所有的终端计算机进行补丁的自动下载、安装与汇总,最大程度减少病毒、木马攻击存在漏洞的计算机而导致的安全风险;
Ø实现对法院信息系统内部所有的移动存储设备的统一管理,防止部分人员通过USB设备将法院信息系统大量的机密文件传播出去,同时也极大减少了病毒、木马通过USB设备在网络中传播等情况的发生;
Ø实现对法院信息系统内部所有的终端计算机进行终端安全管理与分析,包括第一时间禁止非法外联行为的发生,实时监控异常流量,检测非法软件,禁用部分硬件设备等,将计算机与人结合起来管理,防止非法操作导致发生不必要的安全事件。
1.2.应对策略
从网络空间应用接入方式来来说,网络空间应用从传统的互联网应用接入发展到以移动/无线通信应用接入乃至移动互联网接入等多种方式。
而针对网络空间安全方面的问题,北信源公司基于多年的产品开发与超大规模成功部署与应用经验基础,组建了面向网络空间的终端安全管理产品体系。
该产品体系主要面向重要网络、信息系统及基础设施的失泄密检测与防范,实现从终端、区域网到互联网的一体化检测、管理与防范。
该体系从终端接入控制、终端行为管控制、终端数据防泄密,以及终端安全审计等方面,实现了多层次、全方位、立体化纵深失窃密检测与防范,形成了面向复杂网络空间的终端安全管理一体化解决方案,有效地实现了网络空间下对终端计算机的安全管理体系。
2.终端安全防护理念
2.1.安全理念
针对目前法院信息系统网络中终端计算机面临的各种安全问题,作为终端安全管理市场的领导者,北信源公司特推出了面向网络空间的VRVSpecSEC终端安全管理体系。
VRVSpecSEC终端安全管理体系以APPDR模型为依据,遵循国家和行业等级保护,基于安全工程的思想,以独特的终端安全配置策略为核心,以终端安全风险测试与评估为依据,实现组件化可动态组合配置的终端安全管理。
其核心理念如下图所示:
VRVSpecSEC终端安全管理体系核心理念
安全产品法规符合性开发(Specification-basedProductsDevelopment)
策略引导的终端安全配置(Policy-basedConfigureManagement)
评估驱动的终端安全管理(Evaluation-drivenSecurityManagement)
组件化终端安全管理体系(Component-basedPlug-in/outSecurityArchitecture)
2.2.安全体系
北信源VRVSpecSEC体系覆盖终端的资产安全管理、终端数据安全管理、终端行为安全管理、终端服务安全管理等多个方面,涉及管理计算机本身、计算机应用、计算机操作者、计算机使用、法院信息系统管理规范等多个方面,形成全方位、多层次、立体化终端安全管理。
本解决方案正是基于上述核心理念和安全体系的基础上而组建的基于终端各方面安全管理和控制的一体化解决方案。
3.终端安全管理解决方案
3.1.终端安全管理建设目标
(1)当终端接入时要落实安全保护技术措施,保障内部网络的运行安全和信息安全;
(2)对已接入内部网络的终端计算机,要做好用户权限设定工作,不能开放其规定以外的操作权限。
(3)发现有违规情形的,应当保留有关原始记录,并可直接了解到该违规信息及违规方式等。
(4)网络管理人员能够利用该管理方式,便捷的管理内网终端计算机,并能够利用该种方式对终端计算机现状一目了然。
3.2.终端安全管理方案设计原则
方案设计遵循如下原则:
(1)安全性原则:
对性能影响小,与其它业务系统无冲突。
(2)可靠性原则:
在反复操作与长期实践之后依然能够保持高度的稳定性。
(3)可扩展性原则:
能够符合IT发展方向,并随业务增长的同时保持高度的可扩充性。
(4)易用性原则:
提供简单、友好界面,能够进行直观的操作,形成丰富的图形界面与报表。
(5)兼容性原则:
能够与主流厂商的系统、软件、主机设备、安全设备、网络设备保持高度的兼容性。
3.3.终端安全管理方案设计思路
1、遵循IT服务标准
随着信息技术的发展以及对信息技术依赖程度的提高,IT已成为许多业务流程必不可少的部分,甚至是某些业务流程赖以运作的基础。
IT部门要承担更大的责任,即提高业务运作效率,降低业务流程的运作成本,遵循ITIL标准,协调IT服务部门内部运作,改善IT部门与业务部门之间的沟通,帮助法院信息系统对信息化系统的规划、研发、实施和运营进行有效管理的方法。
IT服务管理将流程、人和技术三方面整合在一起来解决IT服务管理问题。
并结合法院信息系统内部组织结构、IT资源与管理流程等,对业务需求进行整体管理与服务。
解决方案设计要采用IT服务管理的理念,按照ITIL最佳实践标准来设计。
2、遵循ISO27001标准
ISO27001作为信息系统安全管理标准,已经成为全球公认的安全管理最佳实践,成为全国大型机构在设计、管理信息系统安全时的实践指南。
其中除了安全思路之外,给出了许多非常细致的安全管理指导规范。
在ISO27001中有一个非常有名的安全模型,称为PDCA安全模型。
PDCA安全模型的核心思想是:
信息系统的安全需求是不断变化的,要使得信息系统的安全能够满足业务需要,必须建立动态的“计划、设计和部署、监控评估、改进提高”管理方法,持续不断地改进信息系统的安全性。
北信源认为,终端安全管理,也将是一个持续、动态、不断改进的过程,北信源将提供统一的、集成化的平台和工具,帮助对其终端进行统一的安全控制、安全评估、安全审计及安全改进策略部署。
3、遵循VRVSpecSEC安全理念
依据业界最佳安全实践和行业信息安全管理体系的建设流程,结合北信源VRVSpecSEC核心安全理念,本方案的总体架构共分为“网络接入管理、补丁及软件分发管理、移动存储介质管理、桌面终端管理、终端安全审计”等安全管理组件,并通过统一、联动的安全管控与审计平台实现对不同层次架构的集中策略配置与管理,完成对网络终端的分级部署、统一管控,最终实现对内网终端全方位的控制管理,形成完整的终端安全管理体系。
方案设计思路
3.4.终端安全管理解决方案实现
本方案通过网络接入控制管理、补丁及软件分发管理、移动存储介质管理、桌面终端安全管理,以及终端安全审计管理等五大部分,并由集中统一的管控和策略平台,完成对上述安全管理组件的统一策略配置与下发、集中管理与审计,最终形成联动化的、集成化的、完整的终端安全体系建设。
3.4.1.网络接入管理设计实现
3.4.1.1.网络接入管理概述
通过网络接入控制能够完成对未知终端、授权终端的安全准入管理与控制。
该系统能够完成基于802.1x协议的准入控制技术的安全准入管理控制,为内网终端的安全接入控制提供了一道绿色的保护屏障。
3.4.1.2.网络接入管理方案及思路
系统能够确保终端电脑只有在通过认证,即安装终端安全管理组件,并符合必要的安全策略的前提下才能被允许接入内部网络,否则会强制终端电脑跳转到访客隔离区(guest区),完成认证后还需要完成安检,即终端管理软件的下载和安装,且符合既定安全策略要求时才可准许接入内部网络。
具体接入流程如下:
网络接入控制管理系统流程图
以上过程完全满足网络准入控制的目的和意义:
能确保合法的、健康的终端接入内部网络访问被授权的资源。
通过网络准入控制技术,确保接入网络的电脑终端符合预定义要求,必要的安全策略功能包括:
1、802.1x接入认证管理
802.1x接入认证管理具有对接入策略和安检策略整体的配置和管理功能。
接入是通过用户名密码的认证方式,对终端接入网络进行限制。
对认证成功的终端进行安全健康检测。
802.1X接入认证
2、未注册终端接入访问区域限制(vlan限制)
未注册终端会因认证不成功进入guestVlan,在guestVlan中终端只可以与服务器通信只有在终端注册成功后方可以通过认证。
3、未安装杀毒软件等必备软件自动安装下载管理
针对终端计算机安装及运行杀毒软件情况,管理员可以设置安全策略检查终端用户是否正常启动、运行防病毒软件,并且强制检查防病毒软件的版本和病毒库版本,确保所有终端版本必须满足安检的规定方可接入内部网络。
如有违规,即刻跳转到修复区或者直接断开终端网络连接;
针对终端计算机安装的必备软件情况,管理员可以设置可控软件名单,检查必备软件的安装运行情况,如有违规,即刻跳转到修复区或者直接断开终端网络连接;
在网络中专门划分出修复区域,防病毒软件服务器放置在网络修复区中。
终端计算机根据安全策略要求安装及升级杀毒软件。
杀毒软件检测
4、未打补丁终端接入限制
通过北信源补丁索引检测终端用户是否安装系统补丁,检测注册终端未打或漏打补丁时,将会提示终端计算机有哪些需要安装的补丁并且会自动弹出下载的补丁的WEB页面,如若不满足补丁预定义策略,即刻跳转到修复区或者直接断开终端网络连接。
在网络中专门划分出修复区域,系统补丁文件服务器放置在网络隔离区中。
根据北信源补丁索引要求升级操作系统软件补丁。
补丁检测
5、运行不可信进程、服务、注册表终端接入限制
不可信进程、服务、注册表是针对可信进程、服务、注册表进行判断的,通过自定义设置可信进程、服务、注册表来判断终端是否允许接入到工作区。
对于终端计算机没有运行可信进程、服务、注册表的视为不可信终端,即运行了不可信进程、服务、注册表,并对终端接入进行限制。
进程、服务、注册表检测
6、自定义终端安全接入必须的桌面运行安全环境
可以结合需求自定义终端安全策略,也可以按照现实环境的需要个性化搭配各个安全检查策略组合,已达到最佳的桌面安全管理效果。
3.4.2.补丁及软件自动分发管理设计实现
3.4.2.1.补丁及软件自动分发管理概述
补丁及软件自动分发管理能够自动识别终端计算机操作系统类型,并根据需求自动下载所需补丁,自动安装并提示。
系统向指定终端计算机(用户组)分发文件或安装软件,分发时可提供软件的运行参数和必要的运行控制。
该管理体系可减轻网络管理人员的工作负担,软件分发时可报告软件安装的状态,无论软件正确安装与否,管理员均可及时了解情况。
3.4.2.2.补丁及软件自动分发管理方案及思路
补丁及软件自动分发管理支持推、拉两种方式自动下载补丁。
整个补丁管理运行平台构架是:
通过北信源外网补丁下载服务器及时从补丁厂商网站获取最新补丁;补丁安全测试后,通过补丁分发管理中心服务器对网络用户进行分发安装;补丁安装支持自动和手动两种方式。
补丁分发管理体系
网络应用对象:
连通互联网的网络:
直接通过补丁下载服务器将补丁下载至补丁分发服务器;
物理隔离网络:
在互联网连通网络上安装补丁下载服务器模块,通过补丁下载增量分离工具,区分内网已导入和未导入的补丁,将最新补丁导入到内网补丁分发服务器。
补丁及软件自动分发管理包括:
补丁下载、补丁分析、补丁策略制订、补丁文件分发、终端计算机补丁漏洞检测、补丁安全性测试、补丁分发控制、普通文件自动分发等,包括功能如下:
1.终端计算机漏洞自动侦测
终端计算机补丁自检测,在内网中建立补丁检测网站,终端计算机用户访问网站后,Web网页自动检测显示客户段补丁安装信息,用户可进行补丁下载安装;管理员还可以在管理控制台上远程检测终端计算机补丁安装状况。
补丁自动检测
2.补丁下载
增量式补丁自动分离技术在外网分离出已安装、未安装补丁,分类导入系统补丁库,仅对内网的补丁进行“增量式”升级,以减少拷贝工作量;互联网补丁自动实时探测,支持补丁导出前病毒过滤。
3.补丁分析
自动建立补丁库,支持补丁库信息查询。
针对下载的补丁进行归类存放,按照不同操作系统、补丁编号、补丁发布时间、补丁风险等级、补丁公告等进行归类,帮助管理人员快速识别补丁。
4.补丁策略制订(分发)
支持用户自定义补丁策略并自由配置分发,基于终端计算机网络IP范围、操作系统种类、补丁类别(系统补丁、IE补丁、应用程序补丁以及网管自定义补丁类等)等制订策略,发送至终端计算机后统一按策略执行应用。
补丁分发策略
5.补丁自动修复
在指定时间、指定网络范围内以不同方式(如推、拉)分发补丁,或者根据脚本策略统一控制终端计算机下载补丁,当监测到有终端计算机未打补丁时,可对漏打补丁终端计算机进行推送补丁。
补丁分发支持流量和连接数控制,以免占用太大带宽,影响网络正常工作。
6.补丁下载转发代理
提供补丁自动代理转发功能,提高补丁下发效率,减少网络带宽的占用率,节省网络资源。
7.补丁安全性测试
补丁分发前闭环自动测试,对下载的补丁进行自动测试(建立测试网络组),测试完成后将其存入补丁库,以提高打补丁的成功性、安全性、可靠性。
8.普通文件分发及文件自动执行
可以提供分发普通文件也可以分发可执行文件及MSI等形式的压缩文件并自动执行。
文件分发策略
3.4.3.移动存储介质管理设计实现
3.4.3.1.移动存储介质管理概述
该设计针对内网移动存储介质管理的特点进行,以移动数据生命周期为主导,紧扣其存储和交换的安全需求,针对移动数据全生命周期各个环节潜在的安全隐患,综合运用各种安全技术和手段,进行有效全程防护的安全产品。
设计时考虑到了区域访问控制,信息保密、文件走查审计等方面,确保法院信息系统内网的信息不因使用移动存储而造成威胁,做到事前有保护,事后可追查,提供安全、简单易用的数据交换安全解决方案。
该设计以数据为中心,用户作为数据的使用者,主机作为数据的存储者,移动存储介质作为数据的迁移者,在管理范围内均赋予唯一的标识,三者进行相互认证。
只有经认证和授权成功后,才保证合法的用户在合法的机器上访问合法存储介质上的数据,并形成详尽的日志供审计。
移动数据安全访问模型
3.4.3.2.移动存储介质管理方案及思路
体系设计对移动存储介质安全管理范围应该包括U盘、移动硬盘、MP3、手机、智能卡设备等移动存储介质,以及打印机等外设,体系设计与利用移动存储设备或其他方式进行数据交换的相关终端计算机接口管理,包括光驱、软驱、USB移动存储接口、USB全部接口、打印机接口、红外设及蓝牙设备等。
因此,体系技术设计主要包括5类的USB设备控制问题,包括存储类(MassStorage)、打印机类(PrinterClass)、智能卡类(SmartCardClass)、图像类(ImagingClass)、HID设备类等,并通过相关的技术手段提供统一的管理平台及适用于各类存储介质的应用管理策略,确保提供完整有效的移动存储环境和移动存储设备的安全使用方案。
移动存储设备接入管理具体功能如下:
1.移动存储设备(分设备、网段等的)接入认证管理,保障指定设备读写指定移动存储设备的访问控制管理;
2.移动存储数据读写控制管理;
3.移动存储设备标签认证管理;
4.移动存储设备分区(普通区和加密区)管理;
分区格式化
5.移动存储设备的加密管理,防止加密区的敏感信息外泄;
6.移动存储设备接入行为审计;
7.移动存储设备数据交换行为审计管理,比如设定文件后缀名等条件;
8.设计对文件操作详细审计记录:
包括文件的创建、复制、删除、修改和重命名等操作,(包括文件名、审计描述、时间、用户名、计算机IP地址和其他必要的信息);
9.设计对移动存储介质的插入和拔出动作的详细记录,具体包括事件类型、移动存储介质的名称、用户、计算机IP地址、事件时间;
移动存储审计
设计对终端计算机大量的文件拷贝行为可自主设定阈值,超过阈值的不进行审计。
如拷贝超过1000个文件不进行审计(这主要是因为这样的大量拷贝行为一般不会是违规的行为);移动存储标签制作记录:
对于在网络内使用的移动存储设备(如U盘等)设置一个标签,不同管理员可以获得不同的标签类型分配。
当U盘接入到网络终端时,能够自动识别标签,如果识别通过,则该U盘可以使用,否则不可使用。
该设计运用商用密码技术,实现商用密码算法的加密、解密和认证等功能的技术,通过密码算法编程技术、密码算法芯片或加密卡等以实现移动信息保护、访问控制、审计监控等,以满足移动介质标记认证管理的功能需求。
移动存储管理策略
3.4.4.桌面终端管理设计实现
3.4.4.1.桌面终端管理概述
网络终端安全是一个综合的系统问题,涉及管理计算机本身、计算机应用、计算机操作、计算机使用法院信息系统管理规范等多个方面。
因此体系设计需采用C/S与B/S混合设计模式,并支持分布式部署,具有模块化定制,支持标准API、无缝功能扩展与升级等优点。
设计应遵循网络防护与断点防护并重理念,对网络安全管理人员在网络管理、终端管理过程中所面临的种种问题提供解决方案,实现内部网络终端的可控管理。
北信源桌面终端管理体系强化了对网络计算机终端状态、行为以及事件的管理,并针对基本管理、资产管理、安全管理、运维管理、桌面管理、审计管理等提供的模块化的防护功能,并能够同其它安全设备进行安全集成和报警联动。
终端安全模型图
3.4.4.2.桌面终端管理方案及思路
桌面终端管理需从使用人的基本信息开始记录,同时包括IP地址、MAC地址、软硬件资产、进程信息、软件信息、密码信息、杀毒软件、计算机资源、流量信息等方面进行统计,形成立体式数据库,当发生信息改变或资源报警时,能够第一时间通知管理人员,便于排查错误,并能够提供给管理人员相应的应急措施与手段,帮助管理人员迅速解决问题。
桌面终端管理具体功能还应包括以下功能。
应用界面
1.终端注册管理
该设计采用C/S和B/S模式混合管理方式,在被管理的桌面计算机上安装VRVEDP客户端程序。
在安装客户端程序需要填写当前计算机使用人的个人相关信息,如使用人、法院信息系统、部门、联系电话、邮件、所在地、计算机类型等,进行实名化的管理便于快速定位,无论是违规,还是网络安全事件发生时都可以快速定位到事件源。
个人信息填写
2.IP和MAC绑定管理
对固定IP网络的MAC和IP地址进行绑定管理,当探测到IP变化后根据策略设置恢复其原有IP地址,或者阻断其联网,同时禁止修改网关、禁用冗余网卡。
IP、MAC绑定策略
3.禁止修改网关、禁用冗余网卡管理
支持禁止修改网关、禁用冗余网卡等功能。
4.硬件资产管理
自动搜集包括CPU、内存、硬盘分区总和、设备标识的大小和其他详细信息以及其他如主板、光驱、软驱、显卡、键盘、鼠标、监视器、红外设备、键盘等所有的硬件信息。
硬件资产管理
5.软件资产管理
自动发现识别客户端安装的所有软件信息(名称、版本、安装时间、发现时间等),将相关数据入库,检测客户端运行软件信息,供管理员在Web控制台查询。
软件资产管理
6.软、硬件设备信息变更管理
报警未注册设备、注册程序卸载行为,实时检测硬件设备变化情况(如设备硬件变化、网络地址更改、USB设备接入等)。
7.进程保护管理
对重要的进程进行守护,防止由于意外或人为原因造成重要进程中断。
进程保护管理
8.桌面密码权限管理
对终端的密码管理权限变化及使用状况(包括密码长度、安全性、弱口令等方面)进行审计检查及报警,同时对不符合要求的终端进行提示或强制修改等处置,达到防止病毒及黑客入侵的目的。
终端密码管理
终端权限管理
9.终端统一防火墙
管理员在Web控制台对终端进行统一的防火墙设置,对网络IP及协议访问进行限制,在网络内建立虚拟的终端隔离区。
另外对于大型网络,网络客户端由于用户使用水平的差别,会出现用户卸载甚至退出统一安装的防病毒软件的情况,也会出现有个别用户被遗漏,未安装防病毒软件的情况。
管理员可利用Web控制台对终端所安装的杀毒软件情况进行监控和管理,并能够对终端杀毒软件实施远程操作(病毒查杀、升级、软件安装等)。
还可统一监控网络内的防病毒软件(国内主流厂商的均可)安装情况和使用状态,了解网络中的病毒软件安装状况,必要时可通过此设计强制为客户端安装防病毒程序,如果需要,也可监控终端软件的安装情况,并进行相应的管理(如安装杀毒软件软件,强行升级病毒库、自动分发并自动执行病毒专杀工具等)。
终端防火墙管理
10.终端杀毒软件管理
可统一审计网络内终端的防病毒软件(主流厂商的均可)安装和使用情况,必要时可强制为客户端安装防病毒程序。
如果需要,也可监控终端防病毒软件的安装情况,并进行相应的管理(如安装杀毒软件软件,强行升级病毒库、自动分发并自动执行病毒专杀工具等)。
终端杀毒软件管理
11.终端在线/离线策略管理
提供针对不同的网络接入情况,设定终端的在线、离线策略。
当终端处于不同的网络中,可以实现不同的执行策略。
12.运行资源监控
在Web控制台对终端的CPU、内存、硬盘的资源占用率和剩余空间进行监控,设定危险等级报警阀门。
终端运行资源管理
13.流量管理和控制
蠕虫病毒和BT下载等行为在很多情况下会严重占用网络带宽,造成网络的拥塞甚至瘫痪,对此可利用流量进行管理与监控。
主要功能:
●流量采样阈值设定:
用户自主设定采样阈值,当流量(含出、入或总流量)超过一定限度并持续一定时间后,进行有关信息上报,防止上报数据过多给网络带来负担。
●上报的当前流量进行汇总,对当前的流量进行时实排序,以便网络管理人员进行快速分析是否是网络
升级会员 