1、中铁信托终端安全管理系统北京北信源软件股份有限公司2010 年 3 月1目 录一、前言 2二、北信源内网安全管理系统解决方案 51、功能实现方式 .52、安全监控强审计功能 .63、移动存储介质操作信息审计 .64、文件保护及访问审计 .65、桌面文件输出审计 .86、打印审计 .97、系统日志审计 .9三、具体实施方案 101、部署的主要组建 .102、实施建议 .103、系统部署时软硬件配置 .104、系统部署时网络环境准备 .10一、前言中铁信托的网络已具有相当的规模,网络安全要求非常高。目前网络中大量使用计算机及其它网络交换设备,客户端数量已经达到 150 台。尽管已经物理隔离技术、安
2、全网段划分、安全防护设施(如防火墙、防病毒软件)等方式保证自己的网络安全,但由于操作系统和人为因素,客户端自身确实存在着安全风险隐患,随着用户应用系统的不断增加,在网络中传播的病毒造成的风险和管理上的风险也会不断增加,由于单个计算机的病毒引起的损害可能传播到其他系统和主机上,引起网络瘫痪,造成重大损失。系统对网络的安全稳定运行有较高的要求。同时,其它桌面安全和桌面管理方面的问题也十分繁杂,而专网的网络维护管理人员十分有限,因此需要专业的内网安全安全管理系统。在实际使用中,来自网络内部的安2全威胁是我们网络管理人员真正需要面对的问题:据统计结果,约 80%的安全事件来自与网络内部; 网络管理工作
3、量最大的部分是终端安全管理部分,对网络的正常运转威胁最大的也同样是客户端安全管理。由于大型网络一般结构较为复杂,用户使用水平参差不齐,而网络管理人员编制有限,往往难以面对数量重大的客户端事件。因此,只有解决网络内部的安全问题,才可以排除网络中最大的安全隐患,北信源内网安全管理系统可以从技术层面帮助网管人员处理好繁杂的客户端问题。3北信源的内网安系统作为一套整体的客户端节点安全防护体系,遵循网络防护和客户端防护并重理念,针对网络安全管理人员在网络管理、防病毒管理、桌面管理过程中所面临的种种问题提供解决方案,强化对桌面的管理控制。整个体系能够对桌面进行状态安全控管,主要涉及防病毒管理、桌面联网监控
4、、客户端状态管理、设备注册、桌面安全审计、桌面补丁分发管理、桌面应用资源控制以及远程协助管理等功能。系统实时监控和报警网络中存在的网络客户端违规、病毒事件等行为,提供在线桌面安全状态信息;依据系统报警信息和网络客户端上报的安全信息,管理人员在控制台远程对异常网络或者违规客户端机器采取处理措施(如断网、告警、远程协助等),为网络建设一个完善的客户端防护体系,解决网络客户端安全管理的问题。北信源内网安全管理及补丁分发系统采用 C/S 与 B/S 混合模式设计,支持分布式部署,并具有模块化软件定制、支持标准 API、无缝功能扩展与升级等优点。产品针对政府、金融证券、电信以及各大中型企业等网络专门研制
5、,已通过国家保密局、公安部、国家信息安全评测中心、解放军信息安全评测中心等多项权威认证,经业界权威机构统计北信源终端管理产品中国市场占有率第一。4二、北信源内网安全管理系统解决方案1、功能实现方式北信源通过对国内外近年终端安全管理技术和发展趋势的研究,将政府和企业内部网络终端安全管理概括的从终端状态、行为、事件三个方面来进行防御,管理手段大致包括如下内容:内网安全管理核心功能通过架设的北信源内网安全管理服务器对全网客户端进行各种策略和配置补丁以及文件的下发,流量监控、违规联网监控、入网设备联网状况监控、终端软硬件管理、系统文件分发、消息分发等工作,并对客户端进行各种行为和状态的监控。网络终端上
6、的客户端程序可将各种网络终端的状态信息、日志信息和报警信息上报,可通过管理节点对异常计算机进行断网等处理,也可通过系统远程对客户端进行故障诊断和维护。52、安全监控强审计功能北信源内网解决方案中提供全面的强审计功能,可以通过此模块对网络中重要文件的访问情况、键盘行为、窗口情况、文件网络输出情况、终端访问行为和打印文件等等行为进程颗粒度的审计,网管人员可以时时跟踪审计结果。这样 XX 能够很好的保护重要的文件不被未授权人员查看;不被恶意修改和删除能够很好的防止通过打印、邮件和网络共享拷贝等方式的文件信息泄密;能够全方位的对客户端用户的各项电脑操作进行审计,以便需要的时候有据可查等等。3、移动存储
7、介质操作信息审计1) 提供移动存储介质上所有文件操作的详细记录包括文件的创建、复制、删除、读写和重命名等操作,具体包括文件名、审计描述、时间、用户名、计算机 IP 地址和其他必要的信息。2) 提供移动存储介质的插入和拔出动作的详细记录具体包括事件类型、移动存储介质的名称、用户、计算机 IP 地址、事件时间等。4、文件保护及访问审计系统可保护指定的文件或文件夹,根据需要禁止本地和远程对其进行读取、修改、删除等操作。系统也可对指定的目录或文件进行读取、修改、删除、拷贝、移动、重命名等行为的审计。系统会将详细的数据上报到服务器或者是记录到本地文件中。以拷贝为例:系统会纪录源文件目录和目的目录、还有操
8、作的时、操作用户、用户所属单位和部门、设备 IP、等等一些信息。6实例图为了保护客户端的指定文件或文件夹的数据安全,可以把该文件夹设置为工作目录,并对其实施保护,给终端使用者分配相应的权限如:只读、读写、拷贝、修改等,指定部分进程允许或不允许执行工作目录下的文件,设置界面如下图所示:实例图75、桌面文件输出审计对网络重要服务器的文件输出行为进行审计和管理,可根据情况审计或禁止使用打印输出、邮件附件输出、网络文件拷贝等文件输出行为。可根据需要禁止指定用户(组)的上述行为,或对指定用户(组)的上述行为进行审计。实例图6、打印审计对网络重要服务器的文件输出行为进行审计和管理,可根据情况审计或禁止使用
9、文件打印等输出行为。可根据需要禁止指定用户(组)的上述行为,或对指定用户(组)的上述行为进行审计。87、系统日志审计客户端日志审计主要包括两方面的审计:1、客户端用户在本操作系统中所有操作进行审计主要包括:设备信息审计、注册资产审计、安装软件审计、安装软件审计、共享目录审计、设备 IP占用状况列表 、硬件变化审计、移动设备审计、上网访问审计、文件输出审计、文件保护审计 、违规软件及进程、安全策略违规、涉密检查审计、消息确认审计、软件分发审计 、软件分发统计等2、操作系统本身生成的系统日志、安全日志和应用日志进行审计,审计的结果都上报到数据库中,供管理人员任何时间进行审计。所有生成的审计结果,都
10、可以页面的形式体现,并且根据管理人员实际需求生成 excle 表格。9三、具体实施方案1、部署的主要组建1、服务器:整体安全策略的下发,客户端信息上报查询,客户端管理。2、客户端:所在网络中装有北信源内网安全及补丁分发系统客户端程序的台式机、服务器、笔记本电脑或手持设备。一台服务器能管理多达 5000 个客户端。2、实施建议网络环境复杂而且用户群种类比较多,所以我们建议本着分步实施、积累经验的原则,先在总部和各分部各挑选出几十台设备进行实施。实施过程中,总结经验、统一流程,之后在全网其他管理分区推广实施。3、系统部署时软硬件配置一级管理服务器 1 台:硬件需求:CPU 至强 2.8 以上, 2
11、G 内存硬盘 160G SCSI 或以上软件需求:操作系统 Win 2003 Server数据库系统 SQL Server 2000 或数据库系统 SQLServer2005 4、系统部署时网络环境准备北信源内网安全及补丁分发管理系统区域管理器将占用操作系统 88 端口,必须确保安装区域管理器的机器该端口不被占用。区域内的防火墙应打开如下端口:80,88,2388,2399,8901,8900,161,137,22105,8889,22106,22108以及 ICMP 协议。10五、总结北信源内网安全管理解决方案的管理目标随着应用系统的不断增加,在网络中传播的病毒造成的风险和管理上的风险也会不
12、断增加,由于单个计算机的病毒引起的损害可能传播到其他系统和主机上,引起网络瘫痪,造成重大损失。系统对网络的安全稳定运行有较高的要求。同时,其它桌面安全和桌面管理方面的问题也十分繁杂,而专网的网络维护管理人员十分有限,因此需要专业的内网安全管理系统,该系统可解决上述提到的内网安全和管理问题,并可取得以下的效益:1、系统可解决网络统一管理问题:系统将网络变成一个真正的可统一管理的网络;可以再服务器上对全网终端进行的管理和监控,终端数据可统一上报至服务器汇总管理。2、系统可解决客户端网络管理问题:第一次如获得了监控管理终端上硬件资产和安装、执行软件的能力,以及可进行全网统一的软件自动分发安装,远程终端维护管理和审计等,可有效解决网管终端管理的问题。3、系统可带来相当的政治思想效益:可检查网络终端的非法文件及其内容(如包含反动、色情的),保证网络终端不做为传播这些信息的媒介。4、系统可大幅度降低管理的成本:此系统的使用可在增强网络统一管理和安全管理的同时,使原本很多需要手工处理的工作自动化,并可使管理人员在本地远程接管并解决远程终端的问题,从而大幅度降低管理成本,提高效率。5、本系统更是注重参考管理要求和规范,力求在促进网络更加高效运转的同时,降低管理风险。以高效、稳定、可靠的产品技术设计来辅助管理制度的执行,最大程度从技术层面避免违反制度和管理规定的事件发生。
