1、12一、引言 3二、背景 4三、系统架构 63.1 产品部署和管理构架 73.1.1 局域网构架 .73.1.2 广域网构架 .83.2 系列产品统一策略管理中心 93.3 系统自身安全设计 10四、功能模块介绍 124.1 终端基本管理功能 124.2 IT 资产管理功能 .144.3 终端桌面管理功能 154.4 终端安全管理功能 234.5 主机运维管理功能 284.6 非法外联管理功能 324.7 补丁分发管理功能 334.8 文件分发管理功能 394.9 安全监控审计功能 414.10 移动存储介质使用管理功能 454.11 802.1x 网络接入控制管理功能 474.12 接入认证
2、网关 494.13 存储介质信息粉碎功能 554.14 Intel vPro (AMT) 管理功能 .564.15 报表管理功能 564.16 事件报警管理中心 584.17 安全管理通告平台 604.18 第三方接口管理功能 65五、系统所需软、硬件配置要求 653一、引言终端桌面安全管理技术的兴起是伴随着网络管理事务密集度的增加,作为网络管理技术的逐步发展的产物而衍生的,它同传统安全防御体系的缺陷相关联,是传统网络安全防范体系的补充,也是未来网络安全防范体系重要的组成部分。因此,终端桌面安全管理技术无论在现在还是未来都应当归入基础体系网络安全产品之列。现代网络安全管理体系的日臻完善,使得对
3、网络终端桌面安全管理的需求强烈凸现出来。正确、全面地认识终端管理产品的发展趋势和技术特点,是 IT研发厂商面临的发展抉择,同时也是企、事业 IT 管理人员和高层决策人员在进行终端桌面安全防护部署时必须考虑的议题。近两年的安全防御调查也表明,政府、企业以及金融证券等单位中超过 80%的管理和安全问题来自终端,计算机终端广泛涉及每个用户,由于其分散、不被重视、安全手段缺乏的特点,已使得终端安全成为信息安全体系的薄弱环节。因此,网络安全呈现出了新的发展趋势,对于各政府企业网络来说,安全战场已经逐步由核心与主干的防护,转向网络内部的每一个终端。4二、背景提起网络安全,人们自然就会想到网络边界安全,但实
4、际情况是网络的大部分安全风险均来自于内部。常规安全防御理念往往局限在网关级别、网络边界(防火墙、IDS、漏洞扫描)等方面,重要的安全设施大致集中于机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。相反,来自网络内部计算机终端的安全威胁却是众多安全管理人员所普遍面临的棘手问题。自 2003 年来,从相继爆发的 SQL 蠕虫、 “冲击波” 、 “震荡波” 、 “熊猫烧香”等病毒,到在各地网络中频繁发生的计算机文件泄密、口令泄漏、硬件资产丢失、服务器系统瘫痪等诸多终端安全事件,让政府机关和企业单位的网络管理人员头痛不已。总结起来,政府机关和企业单位的内部网络管理大致面临着以下
5、一些常见问题: 如何发现终端设备的系统漏洞并自动分发补丁; 如何有效解决移动存储介质使用管理问题; 如何有效解决终端随意接入网络问题; 如何防止 U 盘造成的病毒传播和信息泄漏; 如何防范内网设备非法外联; 如何管理终端资产,保障网络设备正常运行; 如何在全网制订统一的安全策略; 如何及时发现网络中占用带宽最大的终端; 如何方便地进行远程点对点维护; 如何防范内部涉密重要信息的泄露; 如何对原有终端应用软件进行统一监控、管理; 如何快速有效地定位网络中病毒、蠕虫、黑客的引入点,及时、准确地切断安全事件发生点和网络;5 如何构架功能强大的统一网络安全报警处置平台,进行安全事件响应和事件查询,全面
6、管理网络资源。这些终端安全隐患随时随地都可能威胁到用户网络的正常运行。针对如上系列问题北信源提供领先业界的终端安全管理产品及应用解决方案。6三、系统架构网络终端安全是一个综合的系统问题,涉及管理计算机本身、计算机应用、计算机操作者、计算机使用单位管理规范等多个方面。北信源通过对近年来国内外终端安全管理技术和发展趋势的研究,将政府和企业内部网络终端安全管理概括地从终端状态、行为、事件三个方面来进行防御,管理手段大致包括如下内容:系列产品组成图北信源终端安全管理产品采用 C/S 与 B/S 混合模式设计,支持分布式部署,并具有模块化软件定制、支持标准 API、无缝功能扩展与升级等优点。产品针对政府
7、、金融证券、电信、能源以及各大中型企业等网络专门研制,已通过国家保密局、公安部、国家信息安全评测中心、解放军信息安全评测中心、质量管理体系认证等多项权威认证。经业界权威机构 CCID 统计北信源终端安全管理产品在中国终端安全管理及审计市场占有率持续保持第一。北信源终端安全管理产品遵循网络防护和端点防护并重理念,对网络安全7管理人员在网络管理、终端管理过程中所面临的种种问题提供解决方案,实现内部网络终端的可控管理,并能够支持多级级联广域网构架,达到最佳的管理效果。北信源终端安全管理产品强化了对网络计算机终端状态、行为以及事件的管理,它提供了防火墙、IDS、防病毒系统、专业网管软件所不能提供的防护
8、功能,对它们管理的盲区进行监控,扩展成为一个实时的可控内网管理平台,并能够同其它安全设备进行安全集成和报警联动。3.1 产品部署和管理构架3.1.1 局域网构架对于一般网络(例如 1 个 C 类地址或若干个 C 类地址的局域网范围) ,可使用一套本系统软件,集中管理所属区域内的所有设备。本系统在网络中安装数据库,用于存储网络客户端设备信息。当上述系统数据库、网页管理平台、区域管理器安装完毕后,即可对网络中客户端进行注册。用户在取得注册程序,执行后添加计算机使用信息,如使用人姓名、单位、联系方式等,注册程序自动采集系统的硬件设备信息,经过区域管理器处理后存入数据库,同时区域管理器将代理驻留程序发
9、送到计算机终端,实时运行。通过探头、区域扫描器等对计算机的网络连接行为实施探测,根据需要发送本机缺少的相关系统补丁、安全策略、命令或文件等,在遇到数据库中定义的非法行为时实施阻断。系统正常运行后,主要通过网页 WEB 管理平台来对整个计算机设备信息系统进行配置管理,在网络内设置区域管理器、扫描器 IP 地址。对于一般网络(如 1 个 C 类地址或若干个 C 类地址的局域网范围)适用一套本系统,集中管理所属区域内的设备。对于大规模的多个局域网或者跨地域的广域网,提供多区域集中管理模式,即下级管理系统可将本级所有设备信息再传递给上级管理数据库,使得上一级管理人员对整个网络的设备状况能够完全掌握。设
10、备管理信息系统的配置,要根据网络客户端规模、网络管理实际情况来选择。可以在网络中安装多个区域管理器,区域管理器只负责一定范围内的客8户端,对于该范围以外的客户端,不予以处理;每个区域管理器下属多个扫描器,提供对本区域网络的分段扫描,及时检查该网络客户端注册情况。区 域管理器中央管理配置平台级联管理 信息库区域扫描器客户端(安装客户端程序)指令下 达A . 扫描发 现B . 阻断违 规指令、策 略 获 取状态、数 据 上 报数据交换指 令下达数 据交换A . 注册B . 验证C . 管理D . 补丁获 取下级区 域管理器数据交换补丁获 取补丁下载服务器补丁增量导入物理隔离I n t e r n
11、e t补丁分析模块系统逻辑图3.1.2 广域网构架对于大规模的多个局域网或者跨地域广域网(包括基于国家、省、市、县等多级管理模式的网络结构) ,可使用本系统提供的多区域级联集中管理构架,即一个或多个网段各拥有一套独立的北信源终端安全管理产品的同时,将本级的统计和报警信息转发给上级管理系统,上一级管理人员对整个网络的状况也能够完全掌握。9多级级联集中管理构架3.2 系列产品统一策略管理中心北信源终端安全管理产品采用统一策略管理中心实现对内部网络终端的统一安全管理。策略管理中心内置终端安全防护需要的所有安全管理参数,提供对计算机终端的安全规则配置、安全功能策略开启/关闭、安全策略执行范围/周期设定
12、等一系列安全措施的管理。 北信源终端安全管理产品内置安全策略分为全局策略、本地策略、备份策略三种,管理员通过属性设置决定其类型。10系列产品统一策略管理中心3.3 系统自身安全 设计1分级管理:系统支持对管理员分级管理,实现不同管理员管理不同内容,可分为授权、管理和审计等多种角色划分,具有安全性高、可靠性强的特点,适合集中授权、多角色参与监控的管理模式。2通信保护:系统的组件间通信时,数据传输是经过加密的,客户端和服务器端相互通信使用双向认证机制,防止已安装同类客户端的非本网络计算机非法进入网络,同时也防止模拟的假客户端和服务器进行通信。3客户端软件强保护机制:系统的客户端系统具有自我防护机制
13、,防止用户随意停止、卸载。4服务器安全设计:服务器系统具备保护服务器功能。保证管理系统服务器端使用的安全性,保证其受到恶意修改 IP 地址的方式攻击时仍可正常工作,网络中出现恶意修改成与管理服务器相同属性(如相同的 IP 地址、相同的 MAC地址等)的机器时,出现 IP 地址或 MAC 地址冲突等现象时,管理服务器将不会11被阻断出网(即不会出现地址冲突的现象) ,只有发起恶意攻击的设备才会被自动阻断,不会影响管理服务器的正常管理。5提供系统审计员、系统管理员、系统操作员三权分立的权限管理体系。6系统日志:系统提供运行审计和操作审计机制,保证系统的稳定运行。12四、功能模块介绍4.1 终端基本
14、管理功能1. 终端注册管理系统采用 C/S 和 B/S 模式相结合的管理方式,在被管理的桌面计算机上安装 VRVEDP 客户端程序。在安装客户端程序需要填写当前计算机使用人的个人相关信息,如使用人、单位、部门、联系电话、邮件、所在地、计算机类型等,进行实名化的管理便于快速定位,无论是违规,还是网络安全事件发生时都可以快速定位到事件源。个人信息填写填写的个人相关信息会上报到服务器,保存在后台数据库里,供前台管理平台查询。系统注册信息填写页可以由用户自己自由选择设定,可以设定显示的注册内容项、标题项、是否启用、是否必填、是否为选择性填充等,并可以设定扩充选项,提供给不用需求的用户进行选择性注册管理
15、。13用户填写项自由设定页面2. IP 和 MAC 绑定管理对固定 IP 网络的 MAC 和 IP 地址进行绑定管理,系统探测到 IP 变化后根据策略设置恢复其原有 IP 地址,或者阻断其联网。(1)禁止修改网关、禁用冗余网卡管理系统支持禁止修改网关、禁用冗余网卡等功能。(2)未注册终端拒绝入网管理(软阻断技术)系统采取对未注册终端 Arp 阻断管理:对于接入网络未注册终端进行 Arp阻断,禁止其联网。144.2 IT 资产管理功能1. 硬件资产管理自动搜集包括 CPU、内存、硬盘分区总和、设备标识的大小和其他详细信息以及其他如主板、光驱、软驱、显卡、键盘、鼠标、监视器、红外设备、键盘等所有的
16、硬件信息。网管可自主添加相关的附加信息。2. 软件资产管理自动发现识别客户端安装的所有软件信息(名称、版本、安装时间、发现时间等) ,将相关数据入库,检测客户端运行软件信息,供管理员在 Web 控制台查询。15软件资源统一监控:自动收集安装在每台计算机上的每种应用程序信息,包括安装的操作系统种类、版本号以及当前补丁情况、客户机安装的软件等信息和驱动程序情况,并进行汇总管理。系统能够及时检测主机软件信息变化情况。根据条件查询客户机安装的软件或指定软件被哪些客户端安装等信息。3. 软、硬件设备信息变更管理4.3 终端桌面管理功能1. 终端流量管理 流量采样阈值设定:用户自主设定采样阈值,当流量(含
17、出、入或总流量)超过一定限度并持续一定时间后,进行有关信息上报,防止上报数据过多给网络带来负担; 对上报当前流量进行汇总,并对当前的流量进行即时排序; 系统展示最大流量的同时显示该终端的流量排名前三名的进程; 可对网络客户端的历史流量进行统计和排序,并可生成报表; 对并发连接数设定阈值并进行采样; 对网络扫描的可疑行为进行阈值设定和报警; 对客户端大量发包的可疑行为进行阈值设定和报警;16 对具备可疑行为的客户端进行报警上报、自动阻断、客户端提示等处理; 设定网络客户端流量上限阈值,对超过上限的进行报警上报、自动阻断、客户端提示等管理。2. 进程运行黑白名单控制对进程执行进行黑白名单控制,即根
18、据策略设定禁止执行的进程和必须执行的进程。对违规的客户端进行客户端提示和断网处理等相应措施。3. 进程保护管理对重要的进程进行守护,防止由于意外或认为原因造成重要进程中断。174. 进程执行汇总统一汇总和监视网络各终端的进程,可以增量式的显示网络中新出现的进程,也可统计网络中最常运行的进程,从而统计出网络客户端软件的使用情况。此系统可对网络中出现的异常进程(很可能病毒进程)进行定位和报警,在必要时可直接阻断。5. 终端服务管理查询当前终端运行的服务,可以远程关闭或开启服务。186. 软件黑白名单控制对软件安装进行黑白名单控制,即根据策略设定禁止安装的软件和必须安装的软件。违规软件禁止安装功能,
19、禁止在注册表 Run 项里添加自启动项,禁止在注册表 Services 项里添加自启动项,禁止在程序启动项中添加项,禁止在程序项中添加快捷方式限制违规软件的安装,所有安装软件均可进行审计。7. 软件安装汇总系统能够对所安装的软件进行统计汇总,并能将汇总情况统计生成报表,支持多种报表导出方式。198. 终端消息推送可精确地对选定的对象或个人进行消息传送,而不依赖于 Windows 自身的信使服务功能,系统还提供多种策略模式传送消息。9. 远程协助当客户端用户以及服务器用户在使用计算机时遇到难以解决的问题,可以通过访问特定网页式,主动向多个网管工作台(可自主选择的)进行并发协助请求呼叫,呼叫网管对
20、其进行远程协助。当管理员接收到客户端的请求可以后,调用远程客户端的桌面,帮助客户端用户解决相应的问题。呼叫中心示意图管理员是否接受请求示意图20管理员接收请求后,系统将自动调用远程计算机的桌面,就如同管理员亲自到现场,进行软件安装、软件调试、系统维护、打印机安装等工作,省去管理员 来回现场和办公室之间的时间,提高了系统维护的效率和管理员的工作效率。10. 外设及端口控制系统可以设置受控主机允许或禁止使用 USB 设备、串口、并口、软驱、光驱、红外设备、蓝牙设备、网络设备(无线网卡、网卡、PCMCIA) 、1394 接口、打印设备。系统采用硬件设备驱动级的禁用方式实现对上述设备的禁用。11. 垃
21、圾文件清理管理员可在 Web 控制台对终端用户某一文件夹下或全盘某些后缀的垃圾文件或临时文件进行集中清理。目前的系统临时文件众多,而绝大部分业务用户均不会手动清除大量的临时文件,这样会占用大量的硬盘资源,因此需要靠第三方系统主动的对其加以清理。系统可协助用户维护(指定目录下的)临时文件、备份文件、帮助的历史文件、IE 临时文件、安装临时文件、异常临时文件等各种应删除的文件。2112. 终端点对点管理系统管理员可通过系统以点对点的方式对客户端进行详细的监控审计,具体包括以下内容:(1)硬件资产清单:自动搜集包括 CPU、内存、硬盘分区总和、设备标识的大小和其他详细信息以及其他如主板、光驱、软驱、
22、显卡、键盘、鼠标、监视器、红外设备、键盘等所有的硬件信息;网管可自主添加相关的附加信息。(2)安装软件查询:查询设备所有安装的软件。(3)终端进程管理:查询当前终端所有运行的进程,并可通过系统关闭非系统进程。(4)终端服务管理:查询当前终端运行的服务,可以远程关闭或开启服务。(5)终端流量查询:包括当前与网络连接的进程及其流量的统计。(6)系统运行资源查看:具体包括:CPU 频率和使用率、内存大小和使用率、系统各硬盘分区大小和使用情况。(7)补丁查询:查看系统漏打的补丁。(8)日志查询:查看终端的系统日志、安全日志和应用程序日志。(9)终端安全审计:查看用户的登录、历史记录、下载信息等各种信息
23、。(10)消息通知:向用户发送消息,并可要求用户进行消息回馈。(11)远程运行进程:可远程加载进程。22(12)共享目录检查:检查当前终端的共享目录。(13)修改网络配置:可查看网络终端的 IP、MAC、子网掩码和网关信息,并可远程修改用户的 IP 地址。(14)远程卸载客户端程序。(15)远程断开/恢复网络终端的网络。(16)远程重新启动计算机。2313. 系统自动关机管理当终端鼠标、键盘在规定时间内无动作时对系统进行关机。14. 终端时间同步管理可对所有终端使用时间进行同步管理。4.4 终端安全管理功能1. 桌面密码权限管理对终端的密码管理权限变化及使用状况(包括密码长度、安全性、弱口令等
24、方面)进行审计检查及报警,同时对不符合要求的终端进行提示或强制修改等处置。达到防止病毒及黑客入侵的目的。242. 终端统一防火墙管理员在 Web 控制台对终端进行统一的防火墙设置,对网络 IP 及协议访问进行限制,在网络内建立虚拟的终端隔离区。另外对于大型网络,网络客户端由于用户使用水平的差别,会出现用户卸载甚至退出统一安装的防病毒软件的情况,也会出现有个别用户被遗漏,未安装防病毒软件的情况。管理员可利用 Web 控制台对终端所安装的杀毒软件情况进行监控和管理,并能够对终端杀毒软件实施远程操作(病毒查杀、升级、软件安装等) 。还可统一监控网络内的防病毒软件(国内主流厂商的均可)安装情况和使用状
25、态,了解网络中的病毒软件安装状况,必要时可通过此系统强制为客户端安装防病毒程序,如果需要,此系统也可监控终端软件的安装情况,并进行相应的管理(如安装杀毒软件软件,强行升级病毒库、自动分发并自动执行病毒专杀工具等) 。253. 基于网络的木马、网络攻击等行为的智能防御功能 终端发送 ARP 欺骗攻击的智能防御系统实时监控本机 ARP 缓存表,当监测到网关 MAC 被恶意篡改时,系统及时恢复绑定正确的网关 MAC 并向服务器报警。同时,在终端系统底层安装了一个核心驱动,通过这个核心驱动过滤所有终端向网络中发送的 ARP 数据包,只有符合规则的 ARP 数据包才会被发送出去,这样就实现了对发送攻击的
26、拦截。因为系统既能拦截接收的应答,又能拦截发送的攻击,所以,对于安装了系统26客户端的局域网,攻击行为将被完全排除。 终端发送半连接攻击的智能防御SYN 攻击属于 DOS 攻击的一种,它利用 TCP 协议缺陷,通过发送大量的半连接请求,耗费 CPU 和内存资源。攻击者利用 TCP 协议三次握手的原理,大量发送伪造源 IP 的 SYN 包,也就是伪造第一次握手数据包,服务器每接收到一个SYN 包就会为这个连接信息分配核心内存并放入半连接队列,如果主机短时间内接收到的 SYN 太多,半连接队列就会溢出,操作系统会把这个连接信息丢弃造成不能连接,当攻击的 SYN 包超过半连接队列的最大值时,正常的客
27、户发送SYN 数据包请求连接就会被服务器或终端计算机丢弃,造成对网络中正常的数据传输或网络访问中断。系统针对半连接攻击的攻击原理和行为特点,对每个终端的通讯进行实时数据包地址 、类型过滤,频率监控,提供给系统进行保存和分析,对分析结果中属于送半连接攻击行为的终端进行网络隔离并产生提示告警。 终端发送洪水攻击的智能防御系统通过此项功能,可以对规则列表中出现的 IP 数据包洪水攻击、UDP 洪水攻击、ICMP 洪水攻击的终端计算机进行处理。当局域网内某台终端计算机所发送的 IP 数据包、UDP 报文、ICMP 报文超出此项设置中所规定的上限时,系统客户端将会按照预设值对其进行相应处理。对分析结果中
28、属于洪水攻击行为的终端进行网络隔离并产生提示告警。4. 终端杀毒软件管理27可统一审计网络内终端的防病毒软件(主流厂商的均可)安装和使用情况,必要时可强制为客户端安装防病毒程序。如果需要,也可监控终端防病毒软件的安装情况,并进行相应的管理(如安装杀毒软件软件,强行升级病毒库、自动分发并自动执行病毒专杀工具等) 。5. 注册表监控/保护系统提供注册表检查功能,对于病毒行为修改的注册表,可以通过强制注册表策略对其进行操作,可以自动创建、删除、修改相应的注册表键值,实现注册表安全管理。系统可屏蔽选定用户计算机的一些程序进程对注册表的使用,通过该策略可以有效的防止违规进程对用户注册表的破坏。286.
29、终端在线/离线策略管理系统可以针对不同的网络接入情况,设定终端的在线、离线策略。当终端处于不同的网络中,可以实现不同的执行策略。4.5 主机运维管理功能1. 运行资源监控在 Web 控制台对终端的 CPU、内存、硬盘的资源占用率和剩余空间进行监29控,设定危险等级报警阀门。2. 流量管理和控制蠕虫病毒和 BT 下载等行为在很多情况下会严重占用网络带宽,造成网络的拥塞甚至瘫痪,对此可利用本系统进行流量的管理与监控。 主要功能: 流量采样阈值设定:用户自主设定采样阈值,当流量(含出、入或总流量)超过一定限度并持续一定时间后,进行有关信息上报,防止上报数据过多给网络带来负担。 上报的当前流量进行汇总
30、,对当前的流量进行时实排序,以便网络管理人员进行快速分析是否是网络安全事故。 对网络客户端的历史流量进行统计和排序,并可生成报表。 对并发连接数设定阈值并进行采样。 对网络扫描的可疑行为进行阈值设定和报警。 对客户端大量发包的可疑行为进行阈值设定和报警。 对具备可疑行为的客户端进行报警上报、自动阻断、客户端提示等管理。 设定网络客户端流量上限阈值,对超过的进行报警上报、自动阻断、客户端提示等管理。303. 流量异常监控在 Web 控制台对终端的网络流入、流出和总流量进行监控和管理。并能够对产生总流量过大、分时段瞬时流量过大的进程进行统计,辅助分析产生流量过大的原因。4. 进程异常监控在 Web 控制台对终端未响应窗口进行监控并结束或重启该进程,对意外退出的进程进行监控和保护。