内网安全解决方案
终
端
安
全
管
理
解
决
方
案
北京北信源软件股份有限公司
2010-03-22
目录
1、前言 (4)
2、需求分析 (5)
2.1、XXXX信息系统现状 (5)
2.2、XXXX网络终端管理需求 (5)
2.3、XXXX网络终端安全管理系统需求分析 (6)
3、北信源终端安全管理解决方案 (7)
3.1、VRVEDP系统概述 (7)
3.3、网络接入管理系统 (8)
3.3.1、ARP阻断隔离 (9)
3.3.2、接入设备审核及有效期 (10)
3.3.3、802.1X认证方式 (11)
3.3.4、接入控制网关(硬件) (13)
3.4、内网安全管理系统 (13)
3.4.1、终端注册管理 (13)
3.4.2、IP/MAC绑定策略 (14)
3.4.3、IT资产管理 (15)
3.4.4、终端流量管理 (16)
3.4.5、进程限制策略 (17)
3.4.6、互联网访问控制 (18)
3.4.7、防病毒策略 (18)
3.4.8、软件安装限制 (19)
3.4.9、多线程计算机远程维护平台 (19)
3.4.10、防火墙策略 (20)
3.4.11、违规外联策略 (20)
3.4.12、终端密码策略 (21)
3.4.13、终端资源监控 (22)
3.4.14、硬件设备禁用功能 (23)
3.4.15、终端自动清理功能 (24)
3.4.16、IP管理和设备入网管理功能 (24)
3.4.17、终端点对点管理 (25)
3.4.18、系统自动关机管理 (26)
3.5、补丁及文件分发系统 (26)
3.5.1、补丁自动分发 (26)
3.5.2、软件分发 (31)
3.6、USB移动存储管理系统 (32)
3.6.1、分级权限控制 (33)
3.6.2、审计功能完善 (34)
3.7、主机安全审计系统 (35)
3.7.1、互联网访问审计 (35)
3.7.2、文件访问及输出审计 (36)
3.7.3、涉密内容审计 (37)
3.7.4、软件安装审计 (37)
3.8、档案、报警和日志管理功能 (38)
3.8.1、详尽的档案管理功能 (38)
3.8.2、日志管理功能 (39)
3.8.3、报警管理 (40)
3.9、系统具备的接口和强大的可扩展性 (41)
3.9.1、接口描述: (41)
3.9.2、系统具有良好的可扩展性: (42)
4、XXXX实施内网安全管理项目的可预见效益 (43)
1、前言
北京北信源软件股份有限公司(以下简称“北信源”)成立于1992年,总部坐落于中国信息产业基地“中关村高新科技园区”。北信源是国内成立最早的专业反病毒厂商之一,也是中国最早研制、开发“内网安全管理及补丁自动分发系统”的厂商。北信源所有信息安全产品均拥有完全独立自主的著作版权。
北信源自主研发的“北信源内网安全管理及补丁自动分发系统”是中国终端桌面安全管理领域市场占有率最大的产品,目前已经广泛应用于各个行业,产品的成熟度与稳定性、兼容性均在国内领先。
北信源目前已形成安全产品研发部、安全产品实验室、数据安全急救中心以及安全服务保障部等规模化安全部门。公司产品获得多项专利,产品技术完全享有独立自主产权,获得公安部颁发的安全产品销售许可证, 同时经严格测试获得涉密信息系统产品检测证书、中国信息安全产品测评认证中心认证及军事产品使用认证。北信源公司是以研制、生产、销售计算机网络安全产品为主的公司。1992年研制出计算机杀毒软件(单机版)。1997年研制出国内第一套计算机病毒实时防火墙产品和第一套网络防毒软件。2001年中关村电脑节中公司产品荣获"十大知名软件品牌"称号,并被评为“第五届科技之光信用企业”。2003年研制出内网安全管理及补丁自动分发系统。
北信源的用户涉及财税、银行、证券、统计、电信、通讯、军队、公安、院校等国家部委和大型企业,拥有包括国家统计总局、国家税总、中共中央宣传部、全国人大、总参、公安部、中科院、铁道部、中国电信、中国联通、联想集团、方正集团以及全国70%以上的证券公司等在内的庞大客户群体,并成为几十家大型用户的长期技术合作开发伙伴,甚至向重要用户长年派驻技术服务人员。
科研生产能力:
北信源现有员工335人,以技术人员为主,公司设立15个部门,技术开发人员占公司总人数的80%,大专以上学历265人,其中本科61人,硕士、博士和具有高级职称的25人。
公司主要产品有:北信源内网安全管理及补丁自动分发系统、网络运行保障平台、单机反病毒和网络反病毒系列产品、证券安全产品。北信源在全国重要区域均
拥有分支机构,公司有很强的技术支持能力,能够满足全国范围客户产品服务和安全应急服务的需求。
质量管理:
北信源拥有严格的产品管理标准,已经通过ISO9001-2000产品质量体系认证。
2、需求分析
2.1、XXXX信息系统现状
如上图所示,XXXX共600多台终端,分布在大厦的各楼层,办公室部分接入层设备为普通HUB。在边界部署有防火墙安全设备,终端部署有防病毒软件。2.2、XXXX网络终端管理需求
XXXX网络分布广泛,终端数量庞大,运行业务需要的保密性强。虽然各个节点都部署有网络安全设备,但由于使用人数多,员工的个人行为难以管制,网络中的终端PC机的运行得不到保障,使得单位网络的运营仍然存在重大安全隐患,例如:
1)、外来工作人员笔记本电脑接入内网后,将重要信息拷贝走、将外边的病毒带近来,导致信息的泄密,病毒的泛滥。
2)、内网员工通过modem拨号等方式接入互联网或其他网络,导致电脑中病毒,从而使整个网络瘫痪,以及重要信息被窃取,。
3)、操作系统补丁安装不及时导致系统崩溃;
4)、当终端PC出现故障时,管理人员不能及时到达现场进行维护,导致故障进一步恶化。
5)、大量终端未安装、未运行病毒防火墙,并经常不能及时更新病毒库,导致系统中毒;
6)、由于终端数量繁多,无法统计和管理软硬件资产,导致的软件随意卸载,硬件丢失。
7)、终端用户随意安装网上下载的带有病毒、蠕虫、木马、流氓软件的软件,影响单位网络的正常运行。
8)、在终端设备上随意加载移动存储设备,企业的信息安全得不到保障。
9)、用户随意更改IP地址,导致与服务器IP地址冲突,影响服务器数据访问。
2.3、XXXX网络终端安全管理系统需求分析
通过对以上拓扑结构和用户所提系统需求分析,可以找到目前XXXX内网主要面临的安全管理问题:
1)、如何有效地管理外来工作人员的网络接入。如:是否允许接入?接入允许访问哪些网络;允许接入网络多长时间等;
2)、如何控制通过modem拨号等方式接入互联网或其他网络;
3)、如何对补丁进行自动分发部署和监控,保障终端系统的健壮性,从而免受病毒的侵袭;
4)、如何进行有效的远程维护,进行远程网络故障诊断,关闭、锁定、重起计算机或禁用网络连接;
5)、如何统一部署病毒防火墙软件,并要求客户端必须时时运行,且为最新病毒库。避免系统中毒;
6)、如何对硬件资产进行自动发现识别,并打印报表,以便对网络硬件资产进行电子化跟踪和管理,在提高工作精度的同时减少网络管理人员的工作量;
7)、如何防止在网络终端上随意安装盗版软件、聊天、游戏访问非法网站等,影响工作效率;
8)、如何对涉密网络中的移动存储设备(如笔记本,U盘、移动硬盘等)进行监控管理,并对与这些设备相关的数据交换进行审计、确保数据安全;
9)、如何方便准确的对IP地址和MAC地址进行绑定,防止IP冲突、保障网络安全;
10)、如何实施有效的网络客户端通讯(包括流量)管理,防止计算机蠕虫。
11)、如何对登陆账号口令进行有效管理,防止病毒或黑客进行攻击。
12)、如何准确有效的定位网络中病毒的引入点,快速、安全的切断安全事件发生点和相关网络。
13)、如何对通过电子邮件、网络拷贝、打印输出的数据进行审计,保证涉密网络的安全。
14)、如何对网络中的客户端所安装软件信息进行有效的查询和管理。
15)、如何重要IP进行保护,防止由于意外的IP接入或改变造成的IP冲突、保障重要设备的安全。
16)、如何安全、方便的将违规计算机阻断出网。
17)、如何按照既定策略统一配置客户端端口策略、注册表策略等客户端安全策略。
18)、如何有效监控重要终端的运维信息,以便网管了解网络中的客户端是否已超负荷运转,是否需要升级。
19)、如何对应用程序进行分发安装,以大幅度减少网管的工作量。
20)、如何有效进行网络资源管理和设备资产管理。
这些桌面机与每个企业员工的日常工作息息相关,接触/涉及企业关键数据和应用。XXXX在网络终端管理方法和管理技术等方面都还相对缺乏,应对产生的新问题和新需求,需要根据企业实际情况研究分阶段的应对策略和解决方案。
3、北信源终端安全管理解决方案
3.1、VRVEDP系统概述
终端管理是一个综合的系统问题,涉及管理计算机本身、计算机应用、计算机操作者、计算机使用单位管理规范等多个方面的要求性因素。
北信源通过对国内外近年终端安全管理技术和发展趋势的研究,将单位和企业内部网络终端管理概括的从终端状态、行为、事件三个方面来进行防御,管理手段大致包括如下内容:
内网管理核心功能
北信源内网安全管理及补丁分发系统(VRVEDP)遵循网络防护和端点防护并重理念,对网络安全管理人员在网络管理、终端管理过程中所面临的种种问题提供解决方案,实现内部网络终端的可控管理,达到最佳的管理效果。
北信源内网安全管理及补丁分发系统强化了对网络计算机终端状态、行为以及事件的管理,它提供了防火墙、IDS、防病毒系统、专业网管软件所不能提供的防护功能,对它们管理的盲区进行监控,扩展成为一个实时的可控内网管理平台,并能够同其它安全设备进行安全集成和报警联动。
北信源终端安全管理系统主要包括五大系统:网络接入管理系统、内网安全管理系统、补丁及文件分发管理系统、移动存储管理系统。
下面将详细介绍各功能包的功能作用。
3.3、网络接入管理系统
XXXX综合布线的信息点分布在各个地方,外来笔记本可以通过这些信息点随时接入到网络中来传播病毒或窃取重要数据,因此北信源对网络中的终端设备采取注册准入制度,对于未注册的设备阻止其接入网络。防止非单位设备通过分散在各楼层、房间的信息端口接入办公网络,对办公网络造成破坏。
通过北信源网络接入管理系统,可能有效的实现网络设备准入制度,从而防止
非法设备的接入。主要通过四种技术方法解决:
3.3.1、ARP阻断隔离
当用户使用的交换机不支持以上协议时,可以通过ARP数据包来发现非法终端的接入,通过控制中心来调度相应网段的终端对其发起ARP欺骗攻击,阻止其正常接入。
注:北信源采用的ARP欺骗并非ARP欺骗病毒方式,ARP欺骗病毒是通过伪造网关,终端不断向网关发包,而引起上不了网。北信源ARP欺骗原理是通过VRV 服务器选择一台最优的终端A不断地向终端B发包,告诉B自己的IP地址与B相同,从而达到阻断联网。
ARP阻断过程
1)、用户接入进来,服务器发送ICMP包描扫到A,获取到A的MAC、IP地址。
2)、服务器将A的MAC、IP地址到数据库中进行匹配,检查是否有相应数据,向A的22105端口发送数据包,看是否有回应。
3)、22105端口无数据包回应,则服务器发指令给A接入的同网络内的、开机已注册的终端B,告许B向A发送ARP欺骗,说B的IP地址与A相同。
从而实现对新接入的用户进行阻断。
综上,结合XXXX网络及网络设备情况,北信源提出采用802.1X与ARP阻断结合使用,在信息中心部署802.1X,其他各单位启用ARP阻断,来实现接入控制,以防止外来设备接入网导致的病毒传播和窃取重要信息。
部署方法:
1)、合理规划各部门终端IP地址;
2)、根据VLAN划分区域;
3)、全网终端安装注册EDP Agent客户端程序;
4)、根据VLAN区域启动ARP阻断。
3.3.2、接入设备审核及有效期
为了确保用户在注册终端软件时的信息真实有效,系统将未审核注册信息的设备放到“待审核”区,可以对待审核区的设备设置相关的安全策略,如:只能上网,不能访问单位服务器等。
注册有效期是方便用户给第三方软件开发公司的技术人员,在短期内利用单位网络资料的控制方法,有效期到达后,该设备则不能接入。
3.3.3、802.1X认证方式
1)、802.1X认证
在支持802.1X功能的交换机上开启认证功能,已经安装了北信源软件的终端可以自动同认证服务器做认证,未安装的终端会被交换机自动隔离到指定区域。
802.1X认证过程:
接入网络
身份认证安全检查
步骤:(1)、用户接入进来,首先进行身份认证,即检查是否安装Agent,是否网内用户。身份认证失败则定义为非法用户拒绝入网或到访客区。
如果身份认证通过,则接收策略,进行安全检查。
(2)、安全检查未通过,则定义为不合格用户,进入修复区进行安全修复。
(3)、安全修复完成进行安全检查,安检通过,则定义为合格用户,可访问工作区。
2)、终端安全检查策略
终端安全检查策略可对接入内网的终端的自身安全性做检查,主要包括以下几个方面内容:
(1)、杀毒软件检查
1.1)、是否安装杀毒软件,未安装则自动安排指定的杀毒软件。
1.2)、杀毒软件是否最新版本,不是最新版本则自动运行指定的升级包。(2)、系统补丁检查
是否指定的系统补丁,未安装则自动安装。
(3)、访问资源限制
在终端未完成以上检查项目前,只能访问指定的网络资源,如:防病毒服务器。
3.3.4、接入控制网关(硬件)
在VPN环境中,通过接入控制网关可以实现对接入设备的身分识别,防止未经授权的非法设备
接入。详细说明附《方案二》
3.4、内网安全管理系统
终端安全管理以内网终端为核心,通过安全策略应用,加强终端自身的安全性,防止因终端配置或使用者疏忽造成终端安全故障,进一步影响整个网络的安全性。内网安全管理包括以下功能策略:
3.4.1、终端注册管理
可以通过图表直观地查看到设备总数、应注册计算机数、已注册计算机数,在线设备数、安装杀毒软件数,也可通过数据表查看到用户实名登记情况,单位、部
门、使用人、IP地址、MAC地址一一对应。有利网管员进行管理、统计等作用。
3.4.2、IP/MAC绑定策略
通过IP/MAC绑定策略,可以防止用户乱改IP地址导致IP冲突的故障,影响业务系统的正常运行。终端管理系统在发现用户更改IP地址的行为后,可以通过自动恢复、报警提示、断开网络等方式进行处理。
主机IP保护功能:可以强制被保护主机始终拥有该IP的使用权。同时还具有主机防ARP欺骗等功能。
禁止修改网关功能:可以强制终端仅使用此网关IP,防止用户通过其他网关进行互联网访问,以导致违规外联行为。
禁止冗余网卡功能:防止用户通过冗余网卡进行互联网访问,以导致违规外联行为。
3.4.3、IT资产管理
1)、硬件资产管理
系统在终端安装完客户端后,客户端会自动收集终端所有硬件信息。有利于管理员对网内所以硬件资产进行良好管理。
2)、软件资产管理
系统在终端安装完客户端后,管理员可对需要了解软件信息的终端发布收集软件信息策略,客户端收到策略后会自动将软件信息上报。有利于管理员了解终端运行软件情况。
3)、硬件设备信息变更管理
系统会自动发现各个终端硬件变化情况,防止硬件发生变更事故后得不到取证,有利于管理员统计硬件变更情况。
3.4.4、终端流量管理
可通过设定的流量阀、并发连接数、发包可疑数对终端进行安全威胁的判断。提前预警病毒的传播,有利协助网管员工作。
3.4.5、进程限制策略
监控网络客户端软件的违规使用情况,控制禁止启用的程序,如QQ聊天、MSN 聊天、炒股票等,搜索病毒、木马等可疑程序,可直接关闭终端的违规进程。并可对违规的终端进行报警提示、终端提示、阻断联网等措施。
网络进程管理功能:
1)、统一汇总和监视全网主机的进程运行情况,并生成报表。
2)、对进程进行黑白名单控制,即根据策略设定禁止运行的软件和必须运行的软件。
3)、自动停止或启动被黑白名单监控的进程。
4)、根据进程出现的时间进行排序,显示网络中最新出现的进程,以便发现新的可疑的进程。
5)、此系统可对网络中出现的异常进程(很可能病毒进程)进行定位和报警。
6)、对违规的客户端进行客户端提示和断网处理等相应措施。
3.4.6、互联网访问控制
可以通过黑白名单(RUL管理),可以指定的终端只能访问哪些网站或不能访
问哪些网站。
3.4.7、防病毒策略
对于大型网络,网络客户端由于用户使用水平的差别,会出现用户卸载甚至退
出统一安装的防病毒软件的情况,也会出现有个别用户被遗漏,未安装防病毒软件
的情况。同样也会出现个别客户胡乱安装非可靠软件,甚至黑客扫描软件的情况。
这些均只有依靠技术手段才可以解决。
可统一监控网络内的防病毒软件(国内外主流厂商的防病毒产品)安装情况和
使用状态,了解网络中的病毒软件安装状况,必要时可通过软件分发强制为客户端
安装防病毒程序,如果需要,此系统也可监控终端软件的安装情况,并进行相应的管理(如安装软件,强行升级、禁止使用特定软件,删除软件等)。
3.4.8、软件安装限制
可对终端软件安装情况进行黑白名单控制,可制定软件安装黑白名单,指定禁止安装和必须安装的软件,并可对违规的终端进行报警提示、终端提示、阻断联网等措施。
3.4.9、多线程计算机远程维护平台
当客户端用户以及服务器用户在使用计算机时遇到难以解决的问题,可以通过访问特定网页方式,主动向多个网管工作台(可自主选择的)进行并发协助请求呼叫,呼叫网管对其进行远程协助。当管理员接收到客户端的请求以后,调用远程客户端的桌面,帮助客户端用户,解决相应的问题。
工作方式:客户端一般可主动呼叫要求远程协助;服务器端一般使用被动的方式,管理员可在控制端采用输入密码等方式,接管服务器端。
3.4.10、防火墙策略
蠕虫病毒均是通过一定的端口进行传播和发包,如果网管可以统一控制网络中计算机的端口,关闭病毒使用的端口,就可以有效阻止这些病毒的传播和破坏。
具备可由网管根据需要统一配置的客户端主机防火墙,可按照策略控制客户端的特定端口的连接,包括禁用(开启)指定的端口,禁止Ping入(出),设定IP区域访问控制,进行包过滤控制等,也可禁止使用代理服务器,系统不管如何设置包过滤规则,均不会造成维系管理服务器对客户机管理的通信无法进行。
当某些客户机临时离开内部网络安装到其它网络时,客户机端软件的包过滤功能和禁止使用代理服务器功能可根据管理员的预设策略自动关闭或继续工作。
3.4.11、违规外联策略
XXXX内网的终端系统是禁止同其它网络接入的,通过违规外联策略可以自动检测终端是否有同其它网络连接,发现违规外联的行为及时断开其网络连接,保护