【文章內容簡介】 改、刪除等），記錄文件操作時的屏幕，限制使用移動存儲設備； ? 防止濫用公司電腦：限制與工作無關的應用程序的使用，禁止瀏覽與工作無關的網站；定時記錄電腦屏幕操作，直觀察看員工的電腦操作記錄； ? 客觀評估員工工作：詳細記錄員工使用的應用程序，詳細記錄員工瀏覽的網頁，員工使用電腦情況圖表分析； ? 協(xié)助企業(yè)管理：完善豐富的 報表功能，自動生成、發(fā)送郵件報告，遠程控制等； ? 限制信息擴散：自動劃分內部安全域，限制合法主機和非法主機之間的相互訪問，防止敏感信息流入非法區(qū)域； ? 可擴展的解決方案：充分利用現(xiàn)有的計算機設備，并且可以隨時從單個工作站方便的擴充到網絡環(huán)境，受監(jiān)控的工作站的多少也可以隨時按需調整。這種系統(tǒng)的特性減少了硬件和網絡提升后所帶來的軟件成本上升的壓力。 補丁分發(fā)管理子系統(tǒng) ? 具有完全的國內自主知識產權：補丁分發(fā)管理系統(tǒng)是國內自主開發(fā)的網絡安全產品，具有全部的源代碼，擁有完全自主的國內知識產權。獲得了多項國家認證證書。 ? 產 品自帶豐富全面的補丁庫：產品自帶豐富的補丁庫，包括了目前主流的操作系統(tǒng)與應用程序漏洞補丁，為用戶節(jié)省了搜尋并下載補丁的繁重工作。補丁庫采用增量升級，每周升級三到五次，補丁庫中所有補丁都經過嚴格地測試與簽名，確保補丁庫的安全性與來源可靠性。 ? 基于漏洞掃描的有效分發(fā)：不加分析 地隨意分發(fā)補丁，不僅浪費網絡資源，還會干擾客戶端的正常應用。 補丁分發(fā)管理系統(tǒng)可以導入目前主流漏洞掃描產品的掃描結果，并結合主機端漏洞掃描的結果，進行有針對性的有效分發(fā)。不僅發(fā)現(xiàn)漏洞，而且修補漏洞。 ? 支持自定義補丁 /腳本：大多數(shù)補丁管理產品僅 僅基于源廠商所發(fā) 布的補丁庫，對于系統(tǒng)配置不當?shù)仍蛩鶎е碌陌踩┒礋o能為力。 補丁系統(tǒng)不僅包括廠商所發(fā)布的補丁，也包括針對漏洞的修補腳本程序和用戶自定義的補丁，修補能力更加 全面。 ? 全面的安全資產管理： 補丁系統(tǒng)可以管理受控網絡節(jié)點、非受控網絡節(jié)點，可以自由分組、靈活調配?？蛻舳说馁Y產信息包括硬件信息、軟件信息、自定義信息等，而且補丁下發(fā)前結合軟、硬件資產的情況做深入的有效性判斷，做到分發(fā)的補丁與客戶端資產的有效協(xié)調。 ? 豐富的任務管理方式： 3 種時間模式， 7 種新建任務模式、 4 種分發(fā)模式、任意節(jié)點、任意文件的子任務管 理。 安全接入管理子系統(tǒng) ? 投資低廉：不要求復雜昂貴的交換機，不需要另外增加認證服務器和隔離網關，就可以實現(xiàn)網絡接入的控制。 ? 網絡適應力強，控制效果有效可靠：可以很好地適應 DHCP、 PC 防火墻、 NAT等復雜場景，配置部署簡單。 ? 管理方便：可以自動生成各種白名單并手工更改，快速生成安全接入的管理策略，管理員甚至不需要手工設置，就可以在桌面安全管理系統(tǒng)客戶端的基礎上實現(xiàn)安全接入控制。 ? 網絡負載?。河捎诓恍枰獋鬟f復雜的證書和控制協(xié)議，基于 ARP 的干擾措施只需要很小的網絡負荷就能實現(xiàn)安全接入的控制。 ? 擴展能力強：可以 和防火墻、隔離網關等設施實現(xiàn)連動，從而實現(xiàn)更靈活、更有效的安全域劃分控制和上網行為控制。 ? 先進的架構：采用分布式部署，支持多 VLAN 內多控制點的設置，反應迅速，滿足系統(tǒng)伸縮性和實時性的要求。 移動介質管理子系統(tǒng) ? 豐富的訪問授權模型：支持 “拒絕訪問（ NoAccess） ”、 “只讀（ ReadOnly） ”、 “只寫（ WriteOnly） ”、 “讀寫完全訪問（ ReadWrite） ”等方式以適應多種運用場景。 比如通過 “只讀（ ReadOnly） ”、 “只寫（ WriteOnly） ”的配合可以解決外網資料向內網的 “擺渡 ”的難題。 ? 特有的介質管理功能：可以詳細規(guī)定 PC 上允許使用的存貯設備實例列表；也可以規(guī)定特定移動存儲設備允許使用的 PC 列表，限制在非授權 PC 上的使用。 ? 細致靈活的策略模型：支持在單臺計算機上不同用戶擁有不同的移動存儲授權。 ? 特有的 “文件審計 ”技術：可以很好地防止改名欺騙 “renamespoofing”的問題。比如，防止將 Word 文檔改名偽裝成 MP3 文件躲避審計。 ? 簡單的基礎設施要求：可以適應但不要求 Active Directory（微軟的活動目錄服務）等復雜 Windows 基礎設施就可以使用，適合普及推廣的需要。 ? 隨遇 而安的適應力：可以很好地適應 DHCP、 PC 防火墻、 NAT 等復雜場景，網絡層配置簡單，且底層 SSL 機制支持系統(tǒng)透過 Inter 部署。 ? 頑強的抗攻擊力：系統(tǒng)客戶端采取多種技術增加生存能力并應付多種手段的攻擊，以適應內部管理的需要。 ? 實用方便：系統(tǒng)支持操作員不離開其控制臺把客戶端 “推 ”向遠程 PC 機的特性，方便大規(guī)模部署。系統(tǒng)還支持多個操作員。 ? 先進的架構：采用分布式 P2P 技術架構，滿足系統(tǒng)伸縮性和實時性的要求。 網絡資產管理子系統(tǒng) ? 提高資產控制力：使用統(tǒng)一的數(shù)據(jù)庫來建立系統(tǒng)信息的單一數(shù)據(jù)源，自動發(fā)現(xiàn)企業(yè)計算機 資產信息、它們的配置情況和在網絡中的位置。 ? 查詢決策：強大的查詢工具使您能快速的分析和了解企業(yè)的 IT 環(huán)境，從而使您能在軟件、硬件有更新或升級需求時作出明智的決定。 ? 豐富報表：豐富的商務報表能夠更容易的顯示協(xié)同任務的進展，證明 IT 標準的符合度以及計劃您未來的擴充計劃 ? 提高效率：效率意味著自動完成日常任務，并且對人力及 IT 資源產生最小的影 響。在最少的時間、努力和花費下做更多的事。 ? 分級權限：可以給資產管理的職員只定義庫存跟蹤和分析功能，給安全加固的人員只定義補丁分發(fā)的功能，給 IT 管理人員定義對全部功能訪問權限但 只能在他使用辦公室的計算機的時候等，實現(xiàn)多種安全等級的控制。 產品規(guī)格 產品型號 終端與內網安全管理系統(tǒng) 產品形態(tài) 軟件 產品功能 桌面安全管理 桌面安全管理 桌面審計管理 客戶機屏幕監(jiān)控功能 主機防火墻 流量控制 補丁分發(fā)管理 補丁分發(fā) 補丁管理 軟件分發(fā) 任務管理 安全接入管理 接入控制 接入管理 非法外聯(lián)監(jiān)控 非法外聯(lián)管理 移動介質管理 存儲設備管理 外設管理 安全配置管理 網絡資產管理 資產統(tǒng)計 資產變 更處理 自定義信息管理 安全性 系統(tǒng)安全性 服務器與客戶機之間的通信經過必要的加密措施 有管理員帳號管理功能 控制臺支持分級、分組、分權限管理 服務器與客戶機的認證防止未獲授權使用 電子郵件內容加密 備份數(shù)據(jù)加密 數(shù)據(jù)安全性 提供自動備份功能 支持多種備份裝置 (如磁帶機、 CDRW、 DVDRW、網絡驅動器 ) 系統(tǒng)性能 數(shù)據(jù)庫性能 高性能的后臺數(shù)據(jù)庫 網絡性能 高性能的數(shù)據(jù)壓縮和數(shù)據(jù)傳輸，降低數(shù)據(jù)大小及傳輸時間 快速客戶機并發(fā)輪詢 客戶機網絡流量 控制 管理功能 客戶端程序功能 客戶端程序兼容 WINDOWS 系列操作系統(tǒng) 客戶端程序卸載必須通過控制臺 客戶端程序具有反安裝保護功能 處理機制 采用高性能的后臺數(shù)據(jù)庫 高性能的數(shù)據(jù)壓縮和數(shù)據(jù)傳輸，減低數(shù)據(jù)的大小及數(shù)據(jù)傳輸?shù)臅r間 具有快速的客戶機并發(fā)輪詢機制 客戶機網絡流量控制 安裝方式 單獨安裝 域安裝 WEB 安裝 遠程推送 內部郵件發(fā)送客戶端下載連接 配置功能 用戶轉換 修改密碼 計算機管理 描述管理 用戶及權限管 理 查詢歷史 選項設置數(shù)據(jù)清除周期 升級序列號 客戶端自動升級 產品部署 本方案建議采用集中部署終端與內網安全管理系統(tǒng)的方式： ? 全網部署一臺終端與內網服務器，負責全網各終端計算機的信息收集與策略下發(fā)，實現(xiàn)對終端計算機的管理，并在服務器上配置補丁系統(tǒng)，將補丁文件的存貯、發(fā)放和管理集中在服務順進行。 ? 網內部署管理控制臺，運行管理中心。負責對各終端計算機進行查看，并進行策略制定、下發(fā) ? 終端計算機上安裝客戶端程序。負責向服務器上報資產、行為、補丁等信息，同時從服務器接收策略，并在本在執(zhí)行。 ? 部署客戶端可以采用登錄 WEB 頁面下載安裝和電子郵件分發(fā)客戶端相結合的方法。 這種方式的優(yōu)勢在于部署簡單，實現(xiàn)容易。 系統(tǒng)部署示意圖如下： 4 安全域的重新劃分 按照《煙草行業(yè)信息安全體系建設指南》的要求，將煙草行業(yè)電子政務系統(tǒng)、煙草行業(yè)電子商務系統(tǒng)等不同用途的系統(tǒng)劃分在不同安全域；將信息系統(tǒng)用戶功能區(qū)域與信息系統(tǒng)管理功能區(qū)域相劃分在不同安全域，將應用服務（如門戶網站、應用系統(tǒng)操作界面）與數(shù)據(jù)存儲服務（如中間件服務器、數(shù)據(jù)庫服務器）劃分在不同安全域。 因 此將內網服務器群區(qū)域劃分 為核心數(shù)據(jù)庫服務器區(qū)、應用服務器區(qū)及管理服務器區(qū)。通過防火墻 對跨越安全域邊界的訪問進行有效控制。 安全域重新劃分后的拓撲圖規(guī)劃如圖 41 所示。 圖 41 安全域重新劃分的規(guī)劃拓撲圖 安全域重新劃分后，需要增加部署 2 套千兆防火墻系統(tǒng)、 1 套千兆入侵檢測系統(tǒng)及對應的兩臺交換機系統(tǒng)。 5 網絡流量分析與響應系統(tǒng)規(guī)劃方案 某省 煙草網絡 流量分析與響應系統(tǒng)的需求 某省 煙草省公司及各地市分公司已經統(tǒng) 一由省公司對 Intet 出口，與 互聯(lián)網 進行 訪問 ，并采用 VPN 方式通過互聯(lián)網與下屬部分單位進行通訊 。 同時 某省 煙草廣域網骨干路由器匯聚 著 下屬地市分公司 等單位 的 通訊 。 這將面臨來自 Intet 及下屬單位的 安全威脅。如：下屬單位網絡路由循環(huán)將可 能導致 某省 煙草廣域 網絡癱瘓；內部人員在瀏覽互聯(lián)網和收發(fā)郵件時，可能面臨來自互聯(lián)網的攻擊和蠕蟲在網絡內的泛濫，從而造成網絡流量異常的情況。 部署防火墻和入侵檢測這些安全設備不能有效的檢測和處理異常流量和攻擊，并且都不能識別新型及其變種 DoS 攻擊和蠕蟲，因而不能及時發(fā)現(xiàn)新 型攻擊，異常流量的增多導致網絡質量進一步惡化，另一方面對于在網內傳播的異常流量和攻擊也不能快速準確定位。 網絡 流量分析與響應系統(tǒng)能夠用于網絡出口流量的監(jiān)控檢測和分析，通過對出口骨干網絡流量信息或系統(tǒng)信息的收集，采用多種方法進行分析、檢測，實時監(jiān)控、檢測骨干網絡中 DoS/DDoS 攻擊、蠕蟲病毒、垃圾郵件及其他網絡異常事件，提取異常特征，并啟動報警和響應系統(tǒng)進行過濾、阻斷和防御。 因此對于 某省 省煙草省公司 需要 部署網絡 流量分析與響應系統(tǒng)。 網絡 流量分析與響應系統(tǒng)的部署與作用 網絡 流量分析與響應系統(tǒng)采用旁路的部署方 案， 通過連接到 到網絡中，收集 所有出口路 由器的 Netflow 數(shù)據(jù)。 如圖 51 所示。 圖 51 網絡流量分析與響 應系統(tǒng)部署拓撲圖 部署 網絡 流量分析與響應系統(tǒng)的作用： 網絡 流量實時分析 實時檢測因大量數(shù)據(jù)包的泛濫式攻擊造成的網絡流量異常，包括網絡中的DoS/DDoS 攻擊、蠕蟲病毒、大量的垃圾郵件等異常流量。 利用建立的流量基線和流量閥值，當前流量超過閾值或基線時，系統(tǒng)會產生相應的告警信息。管理員還可以通過系統(tǒng)圖形化的詳細的主機流量、應用流量、會話流 量等排名，了解網絡流量的問題點。同時系統(tǒng)獲取潛在異常流量產生的源、目的通信的原始數(shù)據(jù)包，以進行深度的攻擊檢測判斷異常流量是垃圾郵件、拒絕服務攻擊、病毒等何種成因。 流量趨勢預警 實時監(jiān)控、分析網絡的通信流量情況，及時提供關于流量變化趨勢的報表，顯示網絡運行狀況。通過設置預警的閾值或基線，當流量超過閾值時及時報警并通知管理員。 用戶可以根據(jù)自身的網絡情況及其關注的主要內容，設置相應的監(jiān)控參數(shù)，包括可以指定監(jiān)控的 IP 地址，端口、數(shù)據(jù)包的傳輸速率等信息，并可以設置組合條件。系統(tǒng)內建數(shù)據(jù)庫，可以進行長期監(jiān)控， 方便管理員了解網絡的流量模型，建立流量基線數(shù)據(jù)，為深度的安全檢測提供數(shù)據(jù)基礎，并為網絡的優(yōu)化提供依據(jù)。 攻擊檢測 采用數(shù)據(jù)流智能重組，以數(shù)據(jù)流為對象，通過特征檢測、協(xié)議分析相結合的檢測方法，根據(jù)強大的攻擊特征庫，檢測各種攻擊。并提供攻擊報告和建議措施，包括各類攻擊的詳細內容和可采取的安全措施。系統(tǒng)支持自定義攻擊事件，可以對從網絡層到應用層的各協(xié)議字段設定檢測特征。用戶還可以基于每個規(guī)則制定不同的響應措施。 通信行為分析 采用應用層內容檢測、協(xié)議解碼分析、行為分析等多種檢測技術，實現(xiàn)對網絡通信行為的 檢測分析。提供攻擊報告和建議措施，包括各類攻擊的詳細內容和可采取的安全措施。 1) 協(xié)議解碼分析：通過對數(shù)據(jù)包的捕獲和協(xié)議解碼分析，實現(xiàn)對通信行為的深度檢測。通過深度解碼分析，可以檢測異常協(xié)議，從而檢測隱秘式攻擊； 2) 內容檢測：針對網絡應用協(xié)議，如 HTTP、 FTP、 SMTP、 POP IMAP、 DNS、Rlogin、 Rsh、 MSN、 Bit Torrent、 eDonkey 等，進行通信過程和內容的分析，便于了解攻擊過程、監(jiān)控網絡資源的濫用、發(fā)現(xiàn)攻擊； 攻擊實時響應 對于檢測到的異常流量，將會產生相應級別的告警信息及 建議措施，以多種形式進行記錄和通知管理員，包括實時報警、 Sys