非法接入解决方案
内外网隔离网络安全解决方案
内外网隔离网络安全解决方案●网络现状与安全隐患目前,大多数企业都安装有隔离卡等设备将企业分为两个网络:内网与外网,内网用作内部得办公自动化,外网用来对外发布信息、获得因特网上得即时消息,以及用电子邮件进行信息交流。
为了数据得安全性,内网与外网都通过隔离卡或网闸等方式实现内外网得物理隔离,从一定程度上杜绝了内外网得混合使用造成得信息外泄.如下图所示:然而,对于内网中移动存储介质得随意使用以及外部终端非法接入内网来泄露内部信息得安全隐患,仍然得不到解决。
存在得安全隐患主要有:1、移动存储介质泄密◆外来移动存储介质拷去内网信息;◆内网移动存储介质相互混用,造成泄密;◆涉密介质丢失造成泄密2、终端造成泄密◆计算机终端各种端口得随意使用,造成泄密;◆外部终端非法接入内网泄密;◆内网终端非法外联外部网络泄密●捍卫者解决方案<1>终端外设端口管理1)对于非常用端口:使用捍卫者USB安全管理系统,根据具体情况将该终端得不常使用得外设 (如红外、蓝牙、串口、并口等)设置为禁用或就是只读(刻录机,USB端口有该功能),一旦设定则无法从“设备管理器“启用,只能通过捍卫者启用,如下图所示部分终端外设禁用状态,这样可以有效得解决终端外设泄密。
2)USB端口:内网终端得USB端口建议设置为只读,这样外网使用得存储介质可以向内网拷贝数据,但就是不能从内网终端拷贝出数据。
从防病毒考虑,也可以设置为完全禁用,这样只有授权存储介质才能根据授权使用,外部移动存储介质无法使用。
〈2〉移动存储介质授权管理对内部得移动存储介质进行统一得授权管理,然后在根据需求设定当前USB端口得状态(即USB端口加密),这样外来得移动存储介质在内部终端不可以使用或就是只读,即解决了移动储存介质得随意插拔使用又防止了木马、病毒得传播泛滥。
在授权过程中,首先选择给移动存储介质得使用范围,可以分域授权使用,一对一或一对多得与终端绑定使用(这样移动存储介质在一定得范围内可以任意使用);然后输入移动存储介质得保管者,明确得将移动存储介质分配到个人管理;最后还可以对移动存储介质添加使用限制,如:授权使用几天、授权使用范围、累计使用天数等。
内部局域网安全防止非法接入
内部局域网安全防止非法接入内部局域网安全防止非法接入2010-05-19 11:32内部局域网非法接入问题,是目前各大中型企业内网安全所面临的重要问题,如何有效的对接入网络的计算机及网络设备进行监控与管理,是内部局域网能否安全运转的前提。
随着我国信息化的推进和发展,各大中型企业内部网络规模日益庞大,网络应用日益频繁。
网络的庞大化和复杂化,导致网络安全风险越来越严重。
内网安全已成为各大中型企业用户极为关注的问题。
对于各企事业单位,如果局域网非法接入问题不能有效的解决,其内部网络则处在一个不可控状态下。
任何人员都可以通过网内任意接口接入,盗用合法身份,进行非法活动,而网管人员确无法及时有效的发现和阻断。
企业网信息系统非法接入问题是复杂而多样的,其复杂性导致了企业信息系统网络接入安全机制的复杂性,本文针对内网非法接入问题,结合实际网络环境、相关网络设备的安全特性、网络安全管理等问题,对大中型企业内部局域网非法接入进行了深入研究。
各种各样的"局域网"在论述大中型企业内部局中域网非法接入问题之前,我们先对文中所提到的一些概念进行解释。
大中型企业局域网:局域网是将分散在有限地理范围内的多台计算机,通过光纤或双绞线进行网络通信,并与外界物理隔离,仅用于内部办公管理、协同设计、生产流转的应用网络。
而大中型企业局域网,是指数据节点在600点以上的企业内部局域网。
其网点数量大,用户群构成复杂,网络不易管理。
虚拟局域网,VLAN是一种将网络设备从逻辑上划分成一个个网段,从而实现虚拟工作组的数据交换技术。
VLAN技术主要应用于交换机和路由器中,VLAN 的的优点有三个:(1)端口的分隔。
即便在同一个交换机上,处于不同VLAN的端口也是不能通信的。
(2)网络的安全。
不同VLAN不能直接通信,杜绝了广播风暴的产生。
(3)灵活的管理。
更改用户所属的网络不必换端口和连线,只更改软件配置就可以了。
其中动态VLAN是VLAN中一种基于源MAC地址,动态的在交换机端口上划分VLAN的方法。
非法接入解决方案
非法接入防范解决方案2010-10目录1.现状分析 31.1背景分析31.2网络现状分析32.设计目标 53.安全控制设计 6 3.1设计原则63.1.1规范性63.1.2开放性63.1.3先进性63.1.4稳定性63.1.5可扩展性 6 3.2具体解决方案71.现状分析1.1背景分析为确保网络信息系统安全运行,保障网络信息数据安全,防范网络非法外联入侵,参照国家保密局的《分级保护》要求,重点解决信息系统的非法接入安全控制,包括非法接入的及时报警、及时定位、有效控制。
1.2网络现状分析当前网络结构如下:如上图所示,当前网络结构中,所有接入交换机均为非智能交换机,缺乏终端安全技术管理措施。
存在严重的安全威胁,其中非法接入威胁尤其严重。
具体体现在以下几个方面:(1)法外联事件发生,当前网络无法及时报警通知网络管理人员(2)法外联事件发生,管理人员无法迅速定位接入点。
(3)法外联事件发生,不能及时有效的对非法接入设备进行安全访问控制。
2.目标根据以上分析,参考国家保密局《分级保护》BMB17和BMB20的相关安全访问控制要求,现对信息系统非法外联防范提出以下控制目标:(1)法外联事件发生,及时发出报警信息并通知网络管理人员(2)法外联事件发生,管理人员可快速定位非法接入设备的位置。
(3)法外联事件发生,对非法接入设备进行安全访问控制。
3.安全控制设计3.1设计原则根据成都市规划局网络信息系统现状,结合规划网络未来发展趋势,本着规范性、开放性、先进性、稳定性、可扩展性原则进行网络非法外联安全保障体系的设计和建设。
3.2解决方案一、设计需求a)检测非法设备的接入;b)对非法接入设备的安全访问控制;c)协助功能;d)软件审计、客户端与服务器文档操作审计、硬件变更审计、网上行为审计等;e)告警:支持message、邮件等;二、设计思路:根据信息网络现状,采用中安网脉(北京)技术股份有限公司的中安源可信网络安全平台,使用网络数据控制技术实现规划局网络信息系统的非法外联监控,以及系统维护的远程协助、日志审计、准入控制等功能。
网络设备方案
(3)VLAN:划分多个VLAN,实现网络隔离,提高安全性;
(4)安全审计:定期进行网络安全审计,发现并修复安全漏洞;
(5)员工培训:加强员工网络安全意识培训,降低内部安全风险。
5.网络管理
(1)采用SNMP协议进行网络设备监控,实时掌握设备状态、性能、故障等信息;
(6)无线AP:选用支持802.11ac标准的无线AP,满足高密度无线接入需求。
3. IP地址规划
采用私有地址段进行IP地址规划,分为多个子网,便于管理和维护。
4.网络安全策略
(1)采用防火墙进行安全防护,设置安全规则,防止非法访问和攻击;
(2)启用交换机的端口安全功能,限制非法接入;
(3)实施VLAN隔离,提高内部网络安全性;
四、方案实施
1.按照设计方案进行设备采购和安装;
2.对网络设备进行配置,确保设备正常工作;
3.进行网络性能测试,确保网络稳定性和可靠性;
4.部署网络安全策略,提高网络安全性;
5.对网络管理人员进行培训,提高运维能力。
五、项目验收
1.检查网络设备安装是否符合规范;
2.验证网络性能是否满足需求;
3.测试网络安全策略的有效性;
3.提升网络安全性,防止外部攻击和内部泄露;
4.优化网络架构,便于后续扩展和升级;
5.降低运维成本,提高管理效率。
三、方案设计
1.网络拓扑结构
采用星型拓扑结构,核心层、汇聚层和接入层分明,便于管理和扩展。
2.设备选型
(1)核心层交换机:选用高性能、高可靠性的三层交换机,具备较高的背板带宽和吞吐量,支持多种路由协议。
(4)定期更新设备固件和操作系统,修补安全漏洞;
内外网隔离网络安全解决方案
内外网隔离网络安全解决方案●网络现状与安全隐患目前,大多数企业都安装有隔离卡等设备将企业分为两个网络:内网和外网,内网用作内部的办公自动化,外网用来对外发布信息、获得因特网上的即时消息,以及用电子邮件进行信息交流。
为了数据的安全性,内网和外网都通过隔离卡或网闸等方式实现内外网的物理隔离,从一定程度上杜绝了内外网的混合使用造成的信息外泄。
如下图所示:然而,对于内网中移动存储介质的随意使用以及外部终端非法接入内网来泄露内部信息的安全隐患,仍然得不到解决。
存在的安全隐患主要有:1. 移动存储介质泄密◆外来移动存储介质拷去内网信息;◆内网移动存储介质相互混用,造成泄密;◆涉密介质丢失造成泄密2. 终端造成泄密◆计算机终端各种端口的随意使用,造成泄密;◆外部终端非法接入内网泄密;◆内网终端非法外联外部网络泄密●捍卫者解决方案<1> 终端外设端口管理1)对于非常用端口:使用捍卫者USB安全管理系统,根据具体情况将该终端的不常使用的外设(如红外、蓝牙、串口、并口等)设置为禁用或是只读(刻录机,USB端口有该功能),一旦设定则无法从“设备管理器“启用,只能通过捍卫者启用,如下图所示部分终端外设禁用状态,这样可以有效的解决终端外设泄密。
2)USB端口:内网终端的USB端口建议设置为只读,这样外网使用的存储介质可以向内网拷贝数据,但是不能从内网终端拷贝出数据。
从防病毒考虑,也可以设置为完全禁用,这样只有授权存储介质才能根据授权使用,外部移动存储介质无法使用。
<2> 移动存储介质授权管理对内部的移动存储介质进行统一的授权管理,然后在根据需求设定当前USB 端口的状态(即USB 端口加密),这样外来的移动存储介质在内部终端不可以使用或是只读,即解决了移动储存介质的随意插拔使用又防止了木马、病毒的传播泛滥。
在授权过程中,首先选择给移动存储介质的使用范围,可以分域授权使用,一对一或一对多的和终端绑定使用(这样移动存储介质在一定的范围内可以任意使用);然后输入移动存储介质的保管者,明确的将移动存储介质分配到个人管理;最后还可以对移动存储介质添加使用限制,如:授权使用几天、授权使用范围、累计使用天数等。
大型局域网中IP地址非法使用解决方案探讨
网络 可靠稳定性 问题等 等。可靠稳 定的 网络平 台 , 是 应用业务 系统得 以实施和 推广的基 石 , 网络 平台的必
须从设备 、 网络 拓扑 结构 、 网络 技术 、 用户 管理等 几个
2 I P地址 非法使 用的解决 方法
DC H P称为 动 态主机 配 置协 议 。D C H P服 务 允 许 工作站 连 接 到 网络 并 且 自动 获取 一个 l 址 , 置 P地 配
引入一种 高效的 I P地址 管理方法 , 此文就针 对用 D C H P解 决这一难题做一些探讨。
关键 词 : I 址 冲 突 D C H PS o pn C地 址 P地 H P D C n o ig MA
1 前 言
随 着 Ient n re 的迅猛 发展及 网络基 础建设 的全 面 t
维普资讯
2 0 年 第 4 期 06
计 算 机 系 统 应 用
大 型 局 域 网 中 l 址 非 法 使 用 解 决 方 案探 讨 P地
Sol ton f oli P addr s on l ton i ar A N u i ors v ng I e s c fi i n l ge L c
()非法的 l 1 P地址 即 l地 址不在规 划的局域 网范 P
围 内:
( 提供 阶段 。即 D C 2) H P服务器提供 l P地址 的阶 段 ; 网络 中接 收到 D C i oe 发 现信 息 的 D C 在 H Pd c vr s HP 服务器都会做 出响应 , 它从 尚未 出租 的 l P地址 中挑选
一பைடு நூலகம்
( )重复 的 l 址 与已经 分配 且正 在 局域 网 运 2 P地
行 的合法 的 l P地址发 生资源> , 中突 使合法 用户无法 上
论简易实现的防止违规外联方法
论简易实现的防止违规外联方法外网指互联网,内网指企业内网。
外网计算机未经许可接入内网,内网计算机非法连接外网都属于违规外联。
本文对此做处理分析和解决方法。
一、非法接入:外网计算机未经许可接入内网网络。
二、非法外联:内网计算机连接外网(断开内网连接外网或者同时连接内外网络)。
违规外联的常见具体表现形式:1、个人笔记本、台式机未经许可私自接入内网。
2、内网计算机断开内网接入外网。
3、内网计算机通过无线网卡等同时连接内外网。
违规外联使原本封闭的系统环境暴露在互联网之中,内部网络将面临病毒、木马、非授权访问、数据泄密、数据篡改等多种安全威胁。
对电力企业而言,危害更甚,2013年伊朗“震网”大停电,2015年乌克兰电网攻击事件,2020年巴西电力公司、欧洲EDP公司遭勒索软件攻击都是前车之鉴。
“没有网络安全就没有国家安全”,网络安全的重要性毋庸置疑。
但是,我们很多的企业在网络安全层面没有相应的技术与设备,这个时候企业内网与互联网物理隔离就是保障内网安全的一道性命攸关的“防火墙”,而违规外联就是这道“防火墙”最大的漏洞,本文介绍的防止违规外联的方法简单易行,值得推广。
针对违规外联中外部设备非法接入,我们可以通过内网交换机ARP-static或IP-MAC-interface-vlan绑定,acl与QOS策略限流等技术手段,防止外部设备在没有授权的情况下,随意加入到内网当中,杜绝IP地址被盗用出现网络安全威胁的情况。
这里以最简单的静态IP-MAC绑定为例,介绍如何防止外部设备非法接入内网。
如果公司使用的是思科交换机,则应在特权模式先作如下类似配置Cisco(config)# arp X.X.X.X H-H-Harpa经测试新连接一台设备192.168.1.6,无法连接公司内网,实现外部设备在没有授权情况下无法连接公司内网。
针对违规外联中非法外联,内网计算机连接外网,常用且有效的方法就是在内网终端安装违规外联防护软件,一旦监测内网终端访问到互联网,立即阻断网络,并告警信息回传至运行监测中心。
无线认证解决方案
无线认证解决方案随着无线网络的广泛应用,无线认证成为了保护网络安全的重要一环。
无线认证解决方案做为一种常用的网络验证手段,可以有效地确保只有授权用户能够接入网络,避免未经授权的用户或设备对网络资源进行非法访问。
一、概述无线认证解决方案是一种通过身份验证和访问控制来确认用户身份,并授予合法用户接入网络的技术手段。
它能够阻止未授权的用户或设备接入网络,保护网络系统的完整性和机密性。
二、基本原理无线认证解决方案的基本原理是通过认证服务器对用户进行身份验证,将用户的身份信息与授权信息进行比对。
只有当用户的身份信息与授权信息匹配时,才能顺利连接到网络。
这样做可有效防止未授权用户接入网络。
三、常用认证技术1. WEP(Wired Equivalent Privacy)WEP是最早被广泛应用的无线网络加密标准。
它通过使用共享密钥对数据进行加密,从而保证传输数据的机密性。
然而,WEP加密算法存在漏洞,易受到黑客攻击,因此现在已经不再推荐使用。
2. WPA(Wi-Fi Protected Access)WPA是WEP的升级版,通过动态密钥生成和分发的方式,增强了网络的安全性。
WPA可以使用预共享密钥(PSK)或802.1X/EAP (Extensible Authentication Protocol)进行认证。
WPA是目前使用最为广泛的无线网络认证技术。
3. WPA2(Wi-Fi Protected Access 2)WPA2是WPA的改进版,采用更加安全的加密算法来保护数据传输的安全性。
WPA2使用更强大的加密算法,如AES(Advanced Encryption Standard),对无线网络进行加密和身份验证。
四、部署方案1. 认证服务器搭建无线认证解决方案需要建立一个认证服务器来处理用户认证请求。
认证服务器可以部署在本地或云端,根据实际需求选择合适的搭建方案。
2. 用户身份认证用户可以通过多种方式进行身份认证,如用户名和密码、数字证书、一次性密码等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
非法接入防范解决方案2010-10目录1.现状分析 31.1背景分析31.2网络现状分析32.设计目标 53.安全控制设计 6 3.1设计原则63.1.1规范性63.1.2开放性63.1.3先进性63.1.4稳定性63.1.5可扩展性 6 3.2具体解决方案71.现状分析1.1背景分析为确保网络信息系统安全运行,保障网络信息数据安全,防范网络非法外联入侵,参照国家保密局的《分级保护》要求,重点解决信息系统的非法接入安全控制,包括非法接入的及时报警、及时定位、有效控制。
1.2网络现状分析当前网络结构如下:如上图所示,当前网络结构中,所有接入交换机均为非智能交换机,缺乏终端安全技术管理措施。
存在严重的安全威胁,其中非法接入威胁尤其严重。
具体体现在以下几个方面:(1)法外联事件发生,当前网络无法及时报警通知网络管理人员(2)法外联事件发生,管理人员无法迅速定位接入点。
(3)法外联事件发生,不能及时有效的对非法接入设备进行安全访问控制。
2.目标根据以上分析,参考国家保密局《分级保护》BMB17和BMB20的相关安全访问控制要求,现对信息系统非法外联防范提出以下控制目标:(1)法外联事件发生,及时发出报警信息并通知网络管理人员(2)法外联事件发生,管理人员可快速定位非法接入设备的位置。
(3)法外联事件发生,对非法接入设备进行安全访问控制。
3.安全控制设计3.1设计原则根据成都市规划局网络信息系统现状,结合规划网络未来发展趋势,本着规范性、开放性、先进性、稳定性、可扩展性原则进行网络非法外联安全保障体系的设计和建设。
3.2解决方案一、设计需求a)检测非法设备的接入;b)对非法接入设备的安全访问控制;c)协助功能;d)软件审计、客户端与服务器文档操作审计、硬件变更审计、网上行为审计等;e)告警:支持message、邮件等;二、设计思路:根据信息网络现状,采用中安网脉(北京)技术股份有限公司的中安源可信网络安全平台,使用网络数据控制技术实现规划局网络信息系统的非法外联监控,以及系统维护的远程协助、日志审计、准入控制等功能。
三、身份管理及控制(一)用户标识终端用户使用用户名和口令方式作为其身份标识,用户使用自己账户名和密钥登录信息系统。
为确保登录终端的安全性和可靠性,建议采用中安源可信网络安全平台SB接口的硬件KEY作为用户的身份标识。
管理员可根据用户身份标识设置用户登录目标机器:设置指定用户能登录那些机器:没经过授权的用户无法通过验证登录操作系统:(二)用户授权可通过中安源可信网络安全平台对用户进行集中管理和授权。
首先对内部工作人员进行统一审核,如果通过审核,则管理员为该工作人员配发一个硬件USB 令牌作为其身份标识,并注册到用户认证服务器上。
工作人员持有其合法的USB令牌之后,才可以经过身份鉴别在内网中登录计算机,并使用网络中的各种信息资源。
(三)权限设置为授权用户用户赋予相应权限,括计算机登录权限和内部网络访问权限等。
1. 用户与机器登录权限绑定:2. 按组控制用户权限:3. 操作系统帐号管理管理员通过中安源可信网络安全平台将操作系统已有的帐号绑定到用户USB KEY,实现Windows帐号和用户身份鉴别令牌的对应。
4.Windows帐号和用户身份鉴别令牌的绑定:5.管理员的管理系统采用“USB KEY—口令”或“用户名—口令”方式进行管理员身份鉴别,只有输入正确的身份鉴别信息,方可通过身份鉴别;管理员口令长度应可设置,且至少为8位,复杂度至少为字母、数字组合;具有管理员身份鉴别尝试次数限制功能,鉴别尝试次数应可设置,且最多为5次,输入错误口令次数超过设定值即锁定该账号;具有管理员超时认证功能,长时间不系统进行操作,再次进行系统操作时,需要进行管理员身份鉴别。
系统配置管理员、安全员、审计员管理权限分开。
管理员和客户端终端计算机之间应提供即时消息功能,方便管理员和客户端之间的即时沟通,并可支持消息群发和定时发送功能。
软件支持多级管理,授权下级管理员进行分级管理时,可以指定下级管理员的管理范围,包括机器范围、用户范围、功能范围等。
输入错误口令次数超过设定值时锁定该账号:管理员超时认证:四、终端计算机安全管理终端计算机安装中安源可信网络安全平台之后,可增强系统使用的安全性和可靠性。
(一)用户登录安全用户使用自己的USB令牌插入计算机,并输入正确PIN码后,才能进入计算机操作系统,从而避免了计算机可能面临被第三者偷用的风险。
认证的过程简单描述如下:1.计算机上插入用户USB令牌并输入正确的PIN码;2.客户端计算机的代理发起鉴别请求,向认证服务器发送硬件令牌的鉴别信息;3.认证服务器验证用户发送的鉴别信息,并通过几个交互确认用户的身份合法性;4.认证服务器通过鉴别,用户获得合法的访问令牌和相关的授权,可以登录计算机并访问相关的网络资源。
认证流程如下图所示:(二)离机锁定用户如果临时离开计算机,只需将USB令牌拔出带走,计算机即可自动锁定。
该功能进一步增强计算机的安全性,防止他人在人员临时离开情况下窃取资料。
(三)终端计算机密级管理系统可以设定计算机的密级。
五、非法接入防范中安源可信网络安全平台基于网络数据控制技术,对非法接入行为提供了有效的防范手段。
只要是没有安装中安源可信网络安全平台的计算机,就不能通过网络交换设备接入单位内部网络,也不能通过网线直连的方式接入内部网络中的任何一台计算机上获取数据。
同时,中安源可信网络安全平台还提供了非法接入阻断功能,可以阻止局域网中未安装安全系统的计算机接入网络。
当有计算机试图非法接入内部网络时,系统将发出报警信息,并对非法计算机的接入行为进行日志记录。
外部终端接入内网支持在线注册和审批。
特殊终端和服务器、部分虚拟专网可通过授权的方式接入内网,其余终端均需注册方能接入内网。
系统对客户端软件安装数量无限制,控制台软件安装不受限制。
终端名称显示(包括树形、报表)按照政府行政机关序列显示。
(一)用户及终端树形显示:(二)非法主机控制类型:可以通过白名单设置未安装代理软件的合法客户端。
白名单针对IP地址或地址段设置,如图中安源可信网络安全平台服务器在安装完成后,能够自动对所属网段内的计算机进行管理,如果内网的范围超出了该网段,那么可以设定终端IP地址段来设定服务器所管辖的范围,虚拟专网可通过授权的方式接入内网。
确定日志的重要程度:六、非法外联监控内部计算机可能通过拨号、代理服务器或者其他方式非法外联接入互联网,从而给内部计算机带来潜在的安全隐患。
中安源可信网络安全平台基于网络数据控制技术,有效防止一切非法外联行为,只要部署了安全平台的计算机,不能通过任何方式外联到不安全的网络和计算机上。
中安源可信网络安全平台也可以通过禁用客户端的网络设备,如网卡、MODEM、蓝牙,无线等实现对非法外联的控制。
当用户试图连接外网时,系统将发出报警信息,并对用户的违规行为进行记录。
违规外联的终端重接入内网时,系统能及时报警提示,并反映出其违规外联相关信息记录。
打开非法外联和非法外联日志功能:非法外联功能是通过安全域中的“允许域内机器访问外网”选项框进行启动的。
不勾选“允许域内机器访问外网”选项框便控制终端不能非法外联。
如下图:(一)策略管理系统提供策略模板功能,管理员可以一次性将所有安全策略下发给客户端。
1.策略模板:一次性将所有安全策略下发给客户端:系统支持策略继承功能,客户端计算机在进行分组管理时,单台计算机的安全策略,应可继承自上级组节点;2.策略的继承:系统同时支持在线策略和离线策略,联网计算机在脱网情况下也必须确保安全策略的可靠有效运行。
3.在线策略和离线策略:系统支持客户端安全策略的导入、导出,提供联网计算机和离线计算机的策略统一管理与监控审计。
客户端完成安装后,在安装目录下自动生成“IntraSec_0”文件夹,运行该文件夹中“PolicyLogSn.exe”程序。
则弹出如下界面:其中,机器信息导出的功能是将客户端信息传回服务器中;策略同步导入的功能是将客户端的策略通过与服务器导出的策略进行同步;离线日志导出的功能是将客户端日志信息导出传回服务器。
点击“机器信息导出”按钮,客户端机器信息将导出至“C:\Program Files\中安源可信网络安全平台安全终端\IntraSec_0\machineinfo\”路径下的machineinfo.dat文件。
将在客户端导出的机器信息通过存储介质拷贝到管控中心进行导入操作,在管控中心中右键点击,选择“离线导入”,将该客户端机器信息导入。
如下图所示:导入成功后对该客户端机器进行策略制定,策略制定完成后,右键点击该客户端机器节点,选择导出。
将该客户端节点导出的策略信息通过存储介质拷贝至客户端机器上,使用“PolicyLogSn.exe”程序中的“策略同步导入”进行策略的导入。
点击“策略同步”按钮。
如下图所示:(二)终端行为管理1.实时状态监控系统可以实时远程监视和控制终端计算机的状态,这些状态包括:安装的应用程序、服务、驱动及他们的运行状态;当前网络连接状态、打开的窗口、运行的进程、系统的用户和用户组、共享目录、当前的屏幕截图等信息,并可以实时远程控制,比如关闭某个打开的进程、服务或者窗口等。
(1)桌面监控:性能信息。
当前活动主机CPU、内存使用情况。
磁盘信息。
显示当前磁盘使用情况。
(2)应用程序监控系统可以实时远程监视和控制终端计算机的应用程序状态,这些状态包括:是否有非法安装的应用程序及他们的运行状态,并可以实时远程控制,比如卸载/禁止某个应用程序等。
应用程序的监控和管理可以基于服务名、进程名和窗口名进行。
所有这些监控都可根据黑名单和白名单进行。
当用户试图运行被禁止的进程时,系统将发出报警信息,并对用户的违规行为进行记录。
显示客户端运行那些进程,可以远程结束恶意进程。
(3)进程监控:进程控制策略内容:进程控制类型,见下图关闭进程控制。
签名控制-白名单(A)签名控制-非微软类程序白名单:指定允许访问列表,由非微软程序名和程序文件的签名值组成,见下图(4)文件操作监控文件操作是用户日常行为中最常见的操作之一,中安源可信网络监控系统对所有计算机终端用户的文件创建、复制和删除等操作都进行记录,并上传到服务器中,记录的信息包括文件名、操作者、计算机和时间等,管理员可以查询所有用户和计算机的文件操作记录,从而在发生安全事件的时候可以进行责任追究。
文件操作记录设置:文件操作日志:2.IP地址与网络端口绑定系统集中管理和控制终端计算机的IP及端口流向,其策略由管理员根据单位管理需要指定,可以根据IP地址、网络端口和数据流向等设定客户端计算机或者用户访问的权限,以白名单或者黑名单的方式工作。
例如发现蠕虫病毒,可及时全网统一封锁相应的传播端口,从而有效控制该类型病毒的破坏程度。