【正文】 制概述 ......................................................................................................31 設備接入控制實現模式 ......................................................................................................31 基于 協(xié)議的交換機端口接入認證 .................................................................................31 基于設備接入網關的互聯(lián)網接入認證 .......................................................................................33 基于設備接入網關的業(yè)務服務器接入認證 ...............................................................................34 基于 VPN 的訪問控制 ...................................................................................................................35 身份認證系統(tǒng)與 EDP Agent 雙重認證 ..............................................................................36 雙重認證功能描述 .......................................................................................................................36 雙重認證功能實現方法 ...............................................................................................................37 移動存儲管理及安全監(jiān)控強審計管理 .......................................................................................38 移動存儲管理 ......................................................................................................................38 文件保護和訪問審計 ..........................................................................................................39 文件輸出審計 ......................................................................................................................40 注冊表審計 ..........................................................................................................................41 上網訪問行為審計 ..............................................................................................................41 聊天行為審計 ......................................................................................................................42 其他行為審計 ......................................................................................................................43 檔案、報警和日志管理 ...............................................................................................................43 檔案管理 ..............................................................................................................................43 日志管理 .............................................................................................................................46 實名化管理 ...................................................................................................................................46 遠程呼叫幫助平臺 .......................................................................................................................47 遠程數據包和流量分析工具 .....................................................................................................48三、預計可達到的成效 ..........................................................................................................................50單位內網安全管理解決方案4一、系統(tǒng)需求分析 當前網絡環(huán)境(標紅部分按具體實際情況寫)**單位… (簡單介紹**單位)。隨著單位信息化建設的不斷加強，**單位的終端計算機數量還在不斷增加，網絡中的應用日益復雜。**單位的網絡保障著各種日常工作的正常運行，保證其安全、正常的運行十分重要。目前**單位為了維護網絡內部的安全及提高系統(tǒng)的管理控制，需要對單位內部**臺終端統(tǒng)一部署配置網絡，并實施安裝統(tǒng)一的網絡安全產品進行管理。其網絡是物理隔離網絡，允許連接到 INTERNET 廣域網，許多終端并沒有完全通過 IT 設備連接入網，雖然使用了多種安全監(jiān)控手段，但是在當前的使用中還會存在很多的問題，網絡安全員和網絡管理人員疲于應付各種安全和日常維護事件，網絡也經常收到各種安全事件的威脅，其網絡可能面臨著如下的桌面節(jié)點安全和管理問題。 網絡管理中面臨的問題**單位已經建立了比較完善的網絡管理行政制度，但是以往在網絡管理工作因為缺少相對應的技術手段，網絡管理制度無法得以落實，致使管理員的日常維護工作繁瑣，同時還有信息泄密的風險。一個成熟的網絡安全管理理念應該全方面的主動防御，而不是事后責任追查。網管人員在多年的管理中總結出部分有待解決的需求： 非法接入問題在**單位單位內部可能會出現外來筆記本接入的問題，可能會造成單位內部的涉密文件被竊取，引入病毒等嚴重后果。需要禁止非法 PC 機接入內網及和內部主機相互連接，防止重要資料的泄漏，防止內網用戶通過撥號等外聯(lián)方式連接互聯(lián)網。需要對外來終端設備進行詳細的安全認證及身份認證。單位內網安全管理解決方案5 終端安全管理問題計算機病毒是目前對網絡及計算機安全最大的威脅，目前**單位內部雖然已經統(tǒng)一配置安裝了**殺毒軟件，能夠對病毒進行一定效果的防范，但是仍存在終端升級不及時，版本不統(tǒng)一，管理不規(guī)則等問題。目前**單位的終端的密碼經常被改動，其安全性（包括密碼長度、弱口令等方面）得不到有效的保障，而且終端的注冊表也經常被改動，不能夠對其進行及時有效的發(fā)現與控制，這些都對內網的安全造成了威脅。**單位的許多終端的 IE 的安全性令人擔憂，而且有些終端已經安裝了不安全的插件和惡意軟件，這是一個急需解決的問題。**單位的內部網絡經常會出現流量過大的問題，造成網絡的不暢甚至擁塞，急需對網絡流量進行監(jiān)控。而且**單位員工上網行為往往不規(guī)范對終端的上網訪問行為進行審計，對其違規(guī)操作進行阻斷。辦公環(huán)境的計算機不允許安裝及使用與辦公無關的軟件，當發(fā)現有非法使用違規(guī)軟件是應該立即禁止。需要對軟件的安裝過程及軟件執(zhí)行所啟動的進程進行控制。對于其他不安全的進程以及服務也需要加以監(jiān)控。 IP 地址管理問題以往對網絡內 IP 地址分配和管理都需要人工來進行操作，并且在 IP、MAC綁定上需要網管型交換機來完成，前期網絡管理員的工作量太大，在有新的設備入網時網絡管理員需要再次對交換機進行操作，如果操作不當可能造成一個資源子網不能正常工作，影響業(yè)務系統(tǒng)正常高效工作；當沒有進行 IP、MAC 綁定時會出現私自盜用他人 IP 地址的行為，造成合法的 IP 使用人不能正常入網工作，IP 盜用成功后，如果有違規(guī)的網絡行為時也不便于進行事件責任定位。 移動存儲設備管理及安全審計管理問題外來移動存儲設備隨意接入網絡內終端同樣可能會造成單位內部的涉密文件被竊取，引入病毒等嚴重后果，對于具有防火墻、網關等硬件防范的網絡，移動存儲介質在網絡內部造成病毒感染是病毒在內網傳播的主要方式。如何防止外來移動存儲介質隨意接入網內終端，如何保護終端的涉密信息，對涉密信單位內網安全管理解決方案6息的訪問、修改、復制、刪除進行控制和審計，如何能夠對涉密文件的打印、發(fā)郵件、網絡共享進行控制，發(fā)現敏感字能及時過濾，并對以上所有行為進行審計記錄是急需解決的問題。 非法外聯(lián)問題對于**單位來說，保密工作是一項非常重要的工作。內部人員非法連接外網會增大病毒滲入和黑客攻擊的風險，更為嚴重的會導致內部資料的泄露，給**單位造成無法逆轉的嚴重損失。為了防范這些隱患，必須防止內部人員未經允許非法連接外網。 終端補丁管理和軟件分發(fā)問題對于**單位的內部網絡，每臺終端的操作系統(tǒng)及相關軟件的補丁更新是用戶及網管員最為煩瑣的問題。沒有妥善的管理體系，輕則會因為流量問題，導致網速較慢或斷開網絡，重則由于兼容問題造成機器藍屏、死機等，影響單位的正常工作活動。這就需要有相關系統(tǒng)能夠完成客戶端操作系統(tǒng)補丁檢測、補丁下發(fā)、補丁安裝、補丁安裝信息回饋等功能，而且能夠分發(fā)任何形式的軟件，軟件下發(fā)后能夠獲取軟件下發(fā)整體情況，用以及時調整軟件下發(fā)策略。 資產管理問題對**單位網絡的管理而言，軟硬件資產的管理將是非常重要的一個組成部分。如果不能全面的掌握終端計算機的軟硬件資產，那么對于終端上非法安裝的軟件以及終端硬件的變化就無從知曉，這就可能造成單位硬件資產的流失，對網絡的全面管理更無從談起。 缺乏統(tǒng)一的遠程幫助平臺問題**單位的終端用戶對計算機的熟悉程度參差不齊，對于一些對計算機認識不夠用戶來說，一個小小的軟件使用問題都有可能要求助于網絡管理員，一旦出現程序無法正常運行時往往束手無策。部門的分布比較廣泛，管理員往來奔波，致使處理問題的效率不高。如果計算機用戶能在遠程發(fā)出求助請求，管理單位內網安全管理解決方案7員在遠程進行程序安裝、調試程序，勢必會節(jié)省時間，提高管理員的工作效率，統(tǒng)一的遠程呼叫幫助平臺就成為必要。單位內網安全管理解決方案8二、內網安全解決方案 系統(tǒng)部署和管理構架**單位網絡為內部隔離網絡，網內有**臺終端。根據實際情況需要可以部署 X 級內網安全管理系統(tǒng)對終端進行統(tǒng)一監(jiān)控和管理，一級管理節(jié)點部署在…，二級管理節(jié)點部署在…，三級管理節(jié)點部署在…（根據實際情況填寫） 。由于系統(tǒng)管理采用 B/S 構架，管理員可在網絡的任何終端通過登錄內網管理服務器的管理頁面進行管理和各種信息查詢；所有的網絡終端需要安裝客戶端程序以對其進行監(jiān)控和管理。具體的部署和管理構架如下：網絡通過內網安全管理服務器對全網進行網絡客戶端的各種策略和配置補丁以及文件的下發(fā)，流量監(jiān)控、違規(guī)聯(lián)網監(jiān)控、入網設備聯(lián)網狀況監(jiān)控、終端軟硬件管理、系統(tǒng)文件分發(fā)、消息分發(fā)等工作，并對客戶端進行各種行為和狀態(tài)的監(jiān)控。網絡終端上的客戶端程序可將各種網絡終端的狀態(tài)信息、日志信息和報警信息上報，可通過管理節(jié)點對異常計算機進行斷網等處理，也可通過系統(tǒng)遠程對客戶端進行故障診斷和維護。（如果實際情況需要）系統(tǒng)可以進行無限制的多級級聯(lián)部署，各級網絡獨立安裝相應的管理軟件。下級管理節(jié)點統(tǒng)一匯總本級的報警信息和統(tǒng)計