1、大連利貞信息技術有限公司 內網安全管理解決方案需求背景提起網絡安全，人們自然就會想到網絡邊界安全，但實際情況是網絡的大部分安全風險均來自于內部。常規(guī)安全防御理念往往局限在網關級別、網絡邊界（防火墻、IDS、漏洞掃描）等方面，重要的安全設施大致集中于機房或網絡入口處，在這些設備的嚴密監(jiān)控下，來自網絡外部的安全威脅大大減小。相反，來自網絡內部計算機終端的安全威脅卻是眾多安全管理人員所普遍面臨的棘手問題。近幾年的信息安全事件表明，政府、企業(yè)以及金融證券等單位中超過80%的管理和安全問題來自終端，計算機終端廣泛涉及每個用戶，由于其分散、不被重視、安全手段缺乏的特點，已使得終端安全成為信息安全體系的薄弱

2、環(huán)節(jié)。因此，網絡安全呈現出了新的發(fā)展趨勢，對于各政府企業(yè)網絡來說，安全戰(zhàn)場已經逐步由核心與主干的防護，轉向網絡內部的每一個終端。內網安全管理面臨的問題n 如何發(fā)現終端設備的系統(tǒng)漏洞并自動分發(fā)補丁;n 如何有效解決移動存儲介質使用管理問題;n 如何有效解決終端隨意接入網絡問題;n 如何防范內網設備非法外聯(lián);n 如何管理終端資產，保障網絡設備正常運行;n 如何在全網制訂統(tǒng)一的安全策略;n 如何及時發(fā)現網絡中占用帶寬最大的終端;n 如何方便地進行遠程點對點維護;n 如何防范內部敏感信息的泄露;n 如何對原有終端應用軟件進行統(tǒng)一監(jiān)控、管理;n 如何快速有效地定位網絡中病毒、蠕蟲、黑客的引入點，及時、準

3、確地切斷安全事件發(fā)生點和網絡;n 如何構架功能強大的統(tǒng)一網絡安全報警處置平臺，進行安全事件響應和事件查詢，全面管理網絡資源。這些終端安全隱患隨時隨地都可能威脅到用戶網絡的正常運行。針對如上系列問題大連利貞提供領先業(yè)界的內網安全管理產品及解決方案。內網安全管理解決方案本方案通過終端準入控制管理、終端安全審計管理、桌面終端安全管理、補丁及軟件自動分發(fā)管理和移動存儲介質管理等五大部分，并由集中統(tǒng)一的管控和策略平臺，完成對上述安全管理組件的統(tǒng)一策略配置與下發(fā)、集中管理與審計，最終形成聯(lián)動化的、集成化的、完整的終端安全體系建設。1. 準入控制管理n 內網安全的主要威脅來自于網絡內部：非授權主機或者權限不

4、足的用戶，甚至被植入病毒木馬的高權限的主機，接入內網后可以方便的獲得重要服務器，數據庫和其他主機上的敏感內容并通過移動存儲介質，3G無線網絡等傳出網外。因此，內網準入控制是一個系統(tǒng)工程，需要做好主機，網絡和服務器區(qū)三重防護體系。n 接入認證網關是一款部署簡便、使用靈活的網絡準入/準出控制產品。使網絡管理員能在允許用戶進入網絡前、訪問外部網絡前，對有線、無線和遠程用戶及其機器進行驗證、授權。能夠阻止未授權計算機越權訪問網絡資源。2. 終端安全審計管理隨著信息安全技術和理念的發(fā)展，安全監(jiān)控的關注點已經從設備轉向對于設備使用者的行為，用戶對于設備使用人行為審計和行為控制的需求越來越明顯，由此國內外均

5、已有相關的政策和法規(guī)陸續(xù)出臺，國內的涉及國家秘密的信息系統(tǒng)分級保護技術要求、信息系統(tǒng)安全等級保護基本要求、信息系統(tǒng)安全等級保護測評準則和國外的薩班斯·奧克斯利法案也均明確的提出了對主機行為的監(jiān)控和審計要求。主機監(jiān)控審計通過技術手段使各種管理條例落實，增強用戶的安全和保密意識，保護內部的信息不外泄。n 文件保護及審計提供對終端的OS系統(tǒng)目錄、軟件目錄和共享目錄中的文件的保護功能，設定訪問、刪除、修改權限；支持對設定目錄文件的操作審計，包括文件創(chuàng)建、打印、讀寫、復制、改名、刪除、移動等的記錄，同時將信息上報管理信息庫供查詢。n 文件輸出審計對主機通過共享文件等方式進行的網絡文件輸出行為進

6、行審計和記錄。n 打印審計根據策略對主機打印行為進行監(jiān)控審計，防止非授權的信息被打印，同時根據要求還可以備份打印內容。n 敏感信息檢查根據用戶自主設定的敏感信息查詢條件，設定對指定目錄或盤符下的指定類型文件進行內容檢查，檢查其是否包含敏感內容，支持進行包含“或”、“與”等多種邏輯的組合監(jiān)測和模糊監(jiān)測。3. 桌面終端管理桌面終端管理需從使用人的基本信息開始記錄，同時包括IP地址、MAC地址、軟硬件資產、進程信息、軟件信息、密碼信息、殺毒軟件、計算機資源、流量信息等方面進行統(tǒng)計，形成立體式數據庫，當發(fā)生信息改變或資源報警時，能夠第一時間通知管理人員，便于排查錯誤，并能夠提供給管理人員相應的應急措施

7、與手段，幫助管理人員迅速解決問題。n 終端注冊管理該設計采用C/S和B/S模式混合管理方式，在被管理的桌面計算機上安裝客戶端程序。在安裝客戶端程序需要填寫當前計算機使用人的個人相關信息，如使用人、部門、聯(lián)系電話、郵件、所在地、計算機類型等，進行實名化的管理便于快速定位，無論是違規(guī)，還是網絡安全事件發(fā)生時都可以快速定位到事件源。n IP和MAC綁定管理對固定IP網絡的MAC和IP地址進行綁定管理，當探測到IP變化后根據策略設置恢復其原有IP地址，或者阻斷其聯(lián)網，同時禁止修改網關、禁用冗余網卡。n 硬件資產管理自動搜集包括CPU、內存、硬盤分區(qū)總和、設備標識的大小和其他詳細信息以及其他如主板、光驅

8、、軟驅、顯卡、鍵盤、鼠標、監(jiān)視器、紅外設備、鍵盤等所有的硬件信息。n 軟件資產管理自動發(fā)現識別客戶端安裝的所有軟件信息（名稱、版本、安裝時間、發(fā)現時間等），將相關數據入庫，檢測客戶端運行軟件信息，供管理員在Web控制臺查詢。軟、硬件設備信息變更管理報警未注冊設備、注冊程序卸載行為，實時檢測硬件設備變化情況（如設備硬件變化、網絡地址更改、USB設備接入等）。終端殺毒軟件管理可統(tǒng)一審計網絡內終端的防病毒軟件（主流廠商的均可）安裝和使用情況，必要時可強制為客戶端安裝防病毒程序。如果需要，也可監(jiān)控終端防病毒軟件的安裝情況，并進行相應的管理（如安裝殺毒軟件軟件，強行升級病毒庫、自動分發(fā)并自動執(zhí)行病毒專殺

9、工具等）。n 非法外聯(lián)管理功能Ø 網絡內部終端非法外聯(lián)互聯(lián)網行為監(jiān)控終端非法外聯(lián)互聯(lián)網行為監(jiān)控：對于已注冊的設備，通過不同方式（如雙網卡、代理等）連接互聯(lián)網進行的通訊，能夠自動阻斷其連接行為并報警。Ø 網絡內部終端非法接入其它網絡行為監(jiān)控對于已注冊的設備，監(jiān)控其網絡連接行為，根據接入網絡環(huán)境因素判定其是否非法接入其它網絡。Ø 離網終端非法外聯(lián)互聯(lián)網行為監(jiān)控對于已經注冊的計算機，非法帶出到另外一個網絡的行為進行監(jiān)控，發(fā)現有外聯(lián)互聯(lián)網行為時可以采取警告、阻斷、自動關機等操作。Ø 非法外聯(lián)行為告警和網絡鎖定如果終端非法入網，可以在報警平臺和報警查詢處獲知信息，

10、并且可以對終端提示信息，自動關機，阻斷聯(lián)網等處理。Ø 非法外聯(lián)行為取證對于非法外聯(lián)行為進行實時告警功能，同時記錄該行為發(fā)生的事件、IP地址、MAC地址、使用人等相關信息上報到服務器進行記錄取證。4. 補丁及軟件自動分發(fā)管理補丁及軟件自動分發(fā)管理能夠自動識別終端計算機操作系統(tǒng)類型，并根據需求自動下載所需補丁，自動安裝并提示。系統(tǒng)向指定終端計算機（用戶組）分發(fā)文件或安裝軟件，分發(fā)時可提供軟件的運行參數和必要的運行控制。該管理體系可減輕網絡管理人員的工作負擔，軟件分發(fā)時可報告軟件安裝的狀態(tài)，無論軟件正確安裝與否，管理員均可及時了解情況。n 終端計算機漏洞自動偵測終端計算機補丁自檢測，在內網

11、中建立補丁檢測網站，終端計算機用戶訪問網站后，Web網頁自動檢測顯示客戶段補丁安裝信息，用戶可進行補丁下載安裝；管理員還可以在管理控制臺上遠程檢測終端計算機補丁安裝狀況。n 補丁下載增量式補丁自動分離技術在外網分離出已安裝、未安裝補丁，分類導入系統(tǒng)補丁庫，僅對內網的補丁進行“增量式”升級，以減少拷貝工作量；互聯(lián)網補丁自動實時探測，支持補丁導出前病毒過濾。n 補丁分析自動建立補丁庫，支持補丁庫信息查詢。針對下載的補丁進行歸類存放，按照不同操作系統(tǒng)、補丁編號、補丁發(fā)布時間、補丁風險等級、補丁公告等進行歸類，幫助管理人員快速識別補丁。n 補丁策略制訂（分發(fā)）支持用戶自定義補丁策略并自由配置分發(fā)，基于

12、終端計算機網絡IP范圍、操作系統(tǒng)種類、補丁類別（系統(tǒng)補丁、IE補丁、應用程序補丁以及網管自定義補丁類等）等制訂策略，發(fā)送至終端計算機后統(tǒng)一按策略執(zhí)行應用。n 補丁自動修復在指定時間、指定網絡范圍內以不同方式（如推、拉）分發(fā)補丁，或者根據腳本策略統(tǒng)一控制終端計算機下載補丁，當監(jiān)測到有終端計算機未打補丁時，可對漏打補丁終端計算機進行推送補丁。補丁分發(fā)支持流量和連接數控制，以免占用太大帶寬，影響網絡正常工作。n 補丁下載轉發(fā)代理提供補丁自動代理轉發(fā)功能，提高補丁下發(fā)效率，減少網絡帶寬的占用率，節(jié)省網絡資源。n 補丁安全性測試補丁分發(fā)前閉環(huán)自動測試，對下載的補丁進行自動測試（建立測試網絡組），測試完成后將其存入補丁庫，以提高打補丁的成功性、安全性、可靠性。n 普通文件分發(fā)及文件自動執(zhí)行可以提供分發(fā)普通文件也可以分發(fā)可執(zhí)行文件及MSI等形式的壓縮文件并自動執(zhí)行。5. 移動存儲介質管理該設計針對內網移動存儲介質管理的特點進行，以移動數據生命周期為主導，緊扣其存儲和交換的安全需求，針對移動數據全生命周期各個環(huán)節(jié)潛在的安全隱患，綜合運用各種安全技術和手段，進行有效全程防護的安全產品。設計時考慮到了區(qū)域訪問控制，信息保密、文件走查審計等方面，確保內網的信息不因使用移動存儲而造成威脅，做到事前有保護，事后可追查，提供安全、簡單易用的數據