【文章內(nèi)容簡介】 信息，統(tǒng)一上報管理節(jié)點；上級管理節(jié)點的管理策略、命令、各種補丁或病毒庫升級文件統(tǒng)一下發(fā)下級管理節(jié)點。系統(tǒng)將來可根據(jù)實際需要在客戶端數(shù)量、管理層次和功能擴展上進(jìn)行無縫平滑擴展。在同一級管理節(jié)點，可根據(jù)實際網(wǎng)絡(luò)拓?fù)淝闆r，安裝多塊網(wǎng)卡，滿足對同級不同網(wǎng)段的管理。（拓?fù)鋱D） 系統(tǒng)部署時的硬件配置管理控制臺：管理服務(wù)器 1 臺:硬件需求：CPU 至強 或以上, 2*1G 內(nèi)存單位內(nèi)網(wǎng)安全管理解決方案9硬盤 146G SCSI 或以上軟件需求：操作系統(tǒng) Win 2022 Server 或 Win 2022 Server數(shù)據(jù)庫系統(tǒng) SQL Server 2022 終端節(jié)點加固 補丁自動分發(fā)和管理 北 信源 補丁 中心(一 級 )補 丁 庫 分 類北 信源 補丁 管理 中心(二 級 ) 補 丁 增 量 導(dǎo) 入補 丁 測 試策 略 控 制推 拉 分 發(fā) 控 制流 量 控 制多 級 級 聯(lián) 控 制補 丁 分 發(fā) 檢 索 補 丁 自 動 識 別客 戶 端 策 略客 戶 補 丁 查 詢動 態(tài) 下 載轉(zhuǎn) 發(fā) 代 理報 表 中 心北 信源 補丁 管理 中心(二 級 ).. 客 戶 端自 動 測 試 組(真 實 環(huán) 境 )級 聯(lián)同 步級 聯(lián)同 步補丁監(jiān)控和分發(fā)功能圖 利用北信源主機監(jiān)控審計與補丁分發(fā)系統(tǒng)可徹底解決補丁問題，其具體實現(xiàn)如下：1．補丁策略制定包括補丁應(yīng)用策略制定、補丁文件分發(fā)任務(wù)制定?？梢愿鶕?jù)要求按照不同的區(qū)域進(jìn)行劃分，可按照 IP 地址、部門、操作系統(tǒng)、用戶自定義等方式進(jìn)行區(qū)域劃分。具體的補丁策略制定：具體可支持定時、定周期、分類、分部門、分范圍、客戶機狀態(tài)和用戶自定義等策略。補丁策略分發(fā)：具備詳盡的補丁分發(fā)策略，補丁可以定時、定周期、分類、分范圍、分部門、分范圍、客戶機狀態(tài)和用戶自定義等進(jìn)行分發(fā)。補丁文件任務(wù)制定：針對特定的一個補丁或多個補丁，對指定計算機或者計算機網(wǎng)絡(luò)進(jìn)行補丁自動分發(fā)安裝。補丁中心將網(wǎng)絡(luò)客戶端分類，設(shè)置測試類客戶端，補丁在測試類機器上經(jīng)過嚴(yán)格測試后，再正式對其他類網(wǎng)絡(luò)機器進(jìn)行分發(fā)。單位內(nèi)網(wǎng)安全管理解決方案10此外，內(nèi)網(wǎng)安全管理系統(tǒng)還提供補丁下載流量控制功能，補丁管理中心區(qū)域管理模塊能夠?qū)W(wǎng)絡(luò)不同網(wǎng)段、不同區(qū)域的終端補丁升級進(jìn)行流量、數(shù)量控制，避免造成對網(wǎng)絡(luò)的流量影響，合理控制網(wǎng)絡(luò)帶寬。實例圖2． 補丁下載檢測和增量式導(dǎo)入對于物理隔離的內(nèi)部網(wǎng)絡(luò)，其內(nèi)部的補丁升級服務(wù)器中的補丁數(shù)據(jù)必須從外部導(dǎo)入，巨大的補丁數(shù)據(jù)庫使得每次補丁導(dǎo)入相當(dāng)煩瑣。為此，北信源使用增量式補丁分離技術(shù)，在外網(wǎng)導(dǎo)出補丁時，可分離出內(nèi)網(wǎng)已經(jīng)安裝的補丁，只導(dǎo)入內(nèi)網(wǎng)尚未安裝的系統(tǒng)補丁，即僅對內(nèi)網(wǎng)的補丁進(jìn)行“增量式”的升級，以提高效率。當(dāng)有新的計算機補丁公布可以下載后，北信源公司由專門的人員在第一時間內(nèi)獲得，并進(jìn)行相應(yīng)的分析，更新補丁索引文件。系統(tǒng)擁有專門的外網(wǎng)補丁下載服務(wù)器，能根據(jù)索引自動下載新增的計算機補丁，補丁校驗功能對所下載的補丁進(jìn)行校驗，保證計算機補丁的可靠性、完整性、安全性。補丁在導(dǎo)入時并具有病毒檢測功能，保證導(dǎo)入到補丁庫中的補丁不被病毒感染。3．補丁安全自動測試單位內(nèi)網(wǎng)安全管理解決方案11**單位的環(huán)境中，可能會包含特殊的應(yīng)用或特殊的軟件版本，在這些環(huán)境中，有時會出現(xiàn)打補丁后系統(tǒng)或應(yīng)用異常的情況，所以在大規(guī)模補丁分發(fā)前需要進(jìn)行真實環(huán)境的補丁測試。北信源系統(tǒng)獨創(chuàng)了真實環(huán)境閉環(huán)測試技術(shù)，具體的流程是首先由網(wǎng)管選定某些計算機作為測試計算機作為測試組，每次補丁導(dǎo)入后內(nèi)網(wǎng)后，首先自動分發(fā)至這些選定計算機進(jìn)行新補丁的安裝測試，從而自動地進(jìn)行非模擬性自動測試。如果補丁安裝后對測試計算機未產(chǎn)生影響，被測試計算機能正常運行，網(wǎng)管員便可根據(jù)相應(yīng)得策略對網(wǎng)絡(luò)內(nèi)的計算機進(jìn)行大面積的推送。此技術(shù)可以很好的減輕網(wǎng)管的測試工作量，并提高補丁安裝的安全性。補丁自動測試圖4．補丁庫自動分類系統(tǒng)對存放到服務(wù)器上的計算機系統(tǒng)補丁能進(jìn)行相應(yīng)的分析，自動得出補丁屬性、類型和與之相關(guān)的補丁說明，并在網(wǎng)頁中進(jìn)行清晰明了的顯示?？梢苑奖愎芾砣藛T根據(jù)相應(yīng)的需求，高效快捷定義補丁分發(fā)策略，及時的針對不同的系統(tǒng)和需要分發(fā)計算機補丁。系統(tǒng)同時提供管理員自定義補丁類別的補丁管理方式，如果需要也可由相關(guān)的管理人員自行設(shè)定相應(yīng)的自定義補丁類別以符合其管理的需要。5． 補丁庫的級聯(lián)和同步系統(tǒng)可以針對補丁進(jìn)行級聯(lián)式的分發(fā)和管理，在級聯(lián)級數(shù)沒有任何限制并在三級的基礎(chǔ)上進(jìn)行無縫平滑擴展?？啥ㄆ谶M(jìn)行同步校驗，也可自主設(shè)定同步校驗周期和時間。在有新補丁導(dǎo)入時，也可以自動觸發(fā)與下級服務(wù)器間的同步操作。所有的同步過程均可自動完成，上級服務(wù)器可以了解下級服務(wù)器補丁庫是否同步成功。單位內(nèi)網(wǎng)安全管理解決方案126．補丁安裝檢測、自動分發(fā)補丁**單位的網(wǎng)絡(luò)管理人員通過本模塊全面檢測網(wǎng)絡(luò)系統(tǒng)終端補丁的安裝狀況，并通過此模塊，對沒有安裝補丁的設(shè)備進(jìn)行遠(yuǎn)程補丁安裝,將最新補丁升級包及時分發(fā)到終端計算機，并提示安裝修補，在客戶端有明顯提示，通知用戶打補丁。系統(tǒng)可以對客戶端安裝的系統(tǒng)的版本，IE 版本的補丁安裝情況進(jìn)行自動探測和維護（客戶端計算機的補丁安裝情況包括 Windows、Office、IE、微軟媒體播放器等） ，自動搜集客戶端系統(tǒng)資料和安裝補丁資料，以根據(jù)客戶端系統(tǒng)的實際狀況自動分發(fā)所需的補丁。7．補丁推送安裝當(dāng)系統(tǒng)檢測到有客戶端未打補丁時，可對漏打的補丁進(jìn)行推送式的安裝。同時，通過推送安裝，也可以為客戶端安裝應(yīng)用軟件。補丁推送分發(fā)可以跨網(wǎng)段，跨 VLAN,補丁分發(fā)支持?jǐn)帱c續(xù)傳功能。補丁下發(fā)過程中，如遇到特殊事件造成網(wǎng)絡(luò)中斷，則在下次網(wǎng)絡(luò)連通時通過校驗得出已傳輸?shù)臄?shù)據(jù)和斷點位置，進(jìn)行續(xù)傳。8．系統(tǒng)補丁報表監(jiān)控程序?qū)⒕W(wǎng)絡(luò)客戶端補丁信息上報管理中心后寫入數(shù)據(jù)庫，在 WEB 管理平臺可進(jìn)行補丁報表察看，統(tǒng)計網(wǎng)絡(luò)客戶端補丁安裝狀況。9．補丁下載流量控制系統(tǒng)可以利用多種方式進(jìn)行下載流量控制：系統(tǒng)能夠根據(jù)網(wǎng)絡(luò)的負(fù)載情況自動調(diào)整分發(fā)補丁時所占的網(wǎng)絡(luò)帶寬和并發(fā)連接數(shù)；根據(jù)手動設(shè)置允許的帶寬或服務(wù)器并發(fā)連接數(shù)及每個連接所允許使用的帶寬；系統(tǒng)同時支持客戶端轉(zhuǎn)發(fā)代理補丁下載，以減少網(wǎng)絡(luò)帶寬流量，提高效率。10．服務(wù)器端補丁查詢客戶端軟件實時監(jiān)控客戶端系統(tǒng)漏洞及補丁安裝情況，服務(wù)器端補丁查詢補丁可根據(jù)補丁名稱、待查詢 IP 范圍、操作系統(tǒng)、待查區(qū)域，查詢時間或其它條件對區(qū)域網(wǎng)絡(luò)范圍內(nèi)的計算機終端進(jìn)行補丁安裝狀況查詢，通過網(wǎng)管設(shè)定的單位內(nèi)網(wǎng)安全管理解決方案13查詢條件，能快速的獲知所查詢補丁的安裝情況（如補丁發(fā)送是否成功，補丁安裝是否成功，補丁是否已被安裝等） ，以保證補丁及時的安裝。11．客戶端網(wǎng)頁查詢補丁安裝信息因為很多用戶習(xí)慣通過訪問微軟的 Update 網(wǎng)頁，檢查自己漏打的補丁，并進(jìn)行下載安裝。作為物理隔離的網(wǎng)絡(luò)，內(nèi)網(wǎng)中的用戶無法訪問此網(wǎng)頁，因此從用戶的習(xí)慣角度出發(fā)，內(nèi)網(wǎng)中也應(yīng)該有類似的網(wǎng)頁，以便用戶訪問和獲知本機補丁安裝情況，進(jìn)行補丁下載安裝。安裝了系統(tǒng)客戶端的計算機可以通過訪問內(nèi)網(wǎng)的特定網(wǎng)頁，對本機所缺少的計算機補丁進(jìn)行查詢，查詢結(jié)果在網(wǎng)頁上進(jìn)行顯示，計算機用戶根據(jù)需要進(jìn)行安裝。12． 新（長時間關(guān)機）客戶端入網(wǎng)先打補丁對于**單位網(wǎng)絡(luò)，網(wǎng)絡(luò)中可能會有網(wǎng)絡(luò)攻擊型病毒，在掃描終端漏洞，當(dāng)未安裝補丁的終端接入網(wǎng)內(nèi)時，可能會立即感染病毒，并成為新的病毒攻擊源。因此新接入內(nèi)網(wǎng)的終端，應(yīng)只能和補丁管理服務(wù)器通訊，不能和其它設(shè)備進(jìn)行通訊，以免感染病毒。系統(tǒng)具備先進(jìn)的判別技術(shù)，對于新機器或長時間關(guān)機的計算機，在其進(jìn)入網(wǎng)絡(luò)時，能快速的發(fā)現(xiàn)并識別此類計算機，對這類計算機發(fā)送相應(yīng)的提示，如提醒用戶下載并安裝計算機補丁，提醒補丁下載的位置和計算機用戶下載并安裝所需的計算機補丁。也可對這些計算機進(jìn)行補丁強制推送，安裝計算機所缺少的補丁。系統(tǒng)可保證此新（長時間關(guān)機）的客戶端剛接入網(wǎng)絡(luò)時，不與網(wǎng)絡(luò)中除補丁服務(wù)器外其它計算機的通訊，只在上網(wǎng)后首先進(jìn)行補丁安裝工作，只在補丁安裝完成后，才開放其與網(wǎng)內(nèi)其它計算機的通訊。 網(wǎng)管可統(tǒng)一配置的主機防火墻（網(wǎng)管控制包過濾）蠕蟲病毒均是通過一定的端口進(jìn)行傳播和發(fā)包，如果網(wǎng)管可以統(tǒng)一控制網(wǎng)絡(luò)中計算機的端口，關(guān)閉病毒使用的端口，進(jìn)行端口加固，就可以有效阻止這些病毒的傳播和破壞。系統(tǒng)具備可由網(wǎng)管根據(jù)需要統(tǒng)一配置的客戶端主機防火墻，可按照策略控制客戶端的特定端口的連接，包括禁用（開啟）指定的端口，禁止 Ping 入（出），設(shè)定 IP 區(qū)域訪問控制，進(jìn)行包過濾控制等，也可禁止使用代理服務(wù)器，系統(tǒng)不管如何設(shè)置包過濾規(guī)則，均不會造成維系管理服務(wù)器對客戶機管理的通信無法進(jìn)行。單位內(nèi)網(wǎng)安全管理解決方案14當(dāng)某些客戶端臨時離開內(nèi)部網(wǎng)絡(luò)安裝到其它網(wǎng)絡(luò)時，客戶端軟件的包過濾功能和禁止使用代理服務(wù)器功能可根據(jù)管理員的預(yù)設(shè)置策略自動關(guān)閉或繼續(xù)工作。利用此功能可實現(xiàn)： 1. 端口控制：? 禁用填充項中指定端口，開放其它端口；? 開放填充項中指定端口，禁用其它端口；? 禁用填充項中指定端口；? 開放填充項中指定端口；? 端口可按照范圍進(jìn)行填寫。2. ICMP 協(xié)議控制? 禁止 ping 入? 禁止 ping 出? 協(xié)議雙向禁止3. IP 地址訪問控制? 只允許填充項中 IP 地址訪問自己，禁止其余 IP 地址訪問。? 只允許自己訪問填充項中 IP 地址，禁止訪問其余 IP 地址。單位內(nèi)網(wǎng)安全管理解決方案15 弱口令監(jiān)控目前很多病毒已經(jīng)可以“猜”出用戶機的口令，如果計算機使用弱口令，病毒將會通過這些弱口令獲得計算機的控制權(quán)，并進(jìn)行傳播。這類病毒的傳播行為靠殺毒軟件或者補丁加固均無法進(jìn)行控制。系統(tǒng)可以檢查開機密碼是否是弱口令，以保障系統(tǒng)不因為弱口令被病毒和黑客攻擊。 用戶權(quán)限變化監(jiān)控網(wǎng)絡(luò)終端的權(quán)限一般不會被用戶檢查，正常的客戶端用戶權(quán)限極少改變，但是很多病毒和黑客的攻擊很多是利用計算機上權(quán)限的變化實現(xiàn)的，計算機上權(quán)限的變化造成的危害往往是致命的，因此十分有必要對終端權(quán)限的變化進(jìn)行監(jiān)控，以告知終端用戶和網(wǎng)絡(luò)管理人員。利用此項功能可實現(xiàn)：1. 當(dāng)系統(tǒng)用戶系統(tǒng)權(quán)限發(fā)生改變時，進(jìn)行上報和客戶端提示；2. 當(dāng)系統(tǒng)用戶系統(tǒng)組權(quán)限發(fā)生改變時，進(jìn)行上報和客戶端提示；3. 當(dāng)系統(tǒng)用戶增加時，進(jìn)行上報和客戶端提示；4. 當(dāng)系統(tǒng)用戶減少時，進(jìn)行上報和客戶端提示；5. 當(dāng)系統(tǒng)用戶組增加時，進(jìn)行上報和客戶端提示；6. 當(dāng)系統(tǒng)用戶組減少時，進(jìn)行上報和客戶端提示； 關(guān)鍵進(jìn)程加固設(shè)定關(guān)鍵進(jìn)程，對關(guān)鍵進(jìn)程進(jìn)行保護，如果出現(xiàn)未響應(yīng)進(jìn)程和意外退出等現(xiàn)象，被加固的進(jìn)程將自動進(jìn)行（如退出、退出并重起等）處理。可以保證查詢系統(tǒng)的正常運行。單位內(nèi)網(wǎng)安全管理解決方案16關(guān)鍵進(jìn)程加固 注冊表加固系統(tǒng)可屏蔽選定用戶計算機的一些程序進(jìn)程對注冊表的使用，通過該策略可以有效的防止違規(guī)進(jìn)程對用戶注冊表的破壞。 注冊表保護策略單位內(nèi)網(wǎng)安全管理解決方案17 終端全面管理對于成熟的網(wǎng)絡(luò)管理來說，靜態(tài)的 IP 地址管理以及成為一種趨勢，IP 地址的實名化管理和綁定成為必要。實名化的管理在網(wǎng)絡(luò)事件發(fā)生時便于進(jìn)行快速的事件定位，縮短故障排除時間。進(jìn)行 IP 地址綁定是為了防止他人非法盜用他人 IP 地址以達(dá)到個人目的，并逃避責(zé)任。 IP 地址管理?針對已經(jīng)分配的 IP 地址采用實名化管理，便于快速事件定位；計算機用戶列表IP 地址占用列表單位內(nèi)網(wǎng)安全管理解決方案18?針對沒有分配的 IP 地址能夠自動發(fā)現(xiàn)非法占用，并進(jìn)行處理；阻斷未分配的 IP 地址 IP、MAC 地址綁定 通過策略配置快速的實現(xiàn) IP、MAC 綁定，綁定后，對私自修改 IP 計算機進(jìn)行地址恢復(fù)，或斷網(wǎng)，同時上報服務(wù)器保存。IP、MAC 綁定示意圖私自修改 IP 的違規(guī)查詢 禁止修改網(wǎng)關(guān)、禁用冗余網(wǎng)卡如果終端裝有雙網(wǎng)卡，可使用“IP 與 Mac 綁定策略”中的“禁用冗余網(wǎng)卡”功能來實現(xiàn)對冗余網(wǎng)卡的禁用。選中此項功能，則只保留與區(qū)域管理器通信的網(wǎng)卡，禁用其他的網(wǎng)卡。單位內(nèi)網(wǎng)安全管理解決方案19 資產(chǎn)管理實際使用中，可能會出現(xiàn)客戶端用戶隨意拆卸網(wǎng)絡(luò)終端硬件的現(xiàn)象，這會給網(wǎng)絡(luò)終端的管理帶來混亂，甚至可能造成內(nèi)網(wǎng)網(wǎng)絡(luò)信息網(wǎng)硬件設(shè)備資產(chǎn)的流失。桌面計算機安裝客戶端程序后，客戶端程序會自動收集當(dāng)前計算機的各種硬件信息，包括 CPU、內(nèi)存、硬盤、網(wǎng)卡 MAC 地址、主板芯片、主板上的板卡等主要硬件信息。信息收集完成后自動上報給 VRVEDP 服務(wù)器，保存在后臺數(shù)據(jù)庫中，管理員有需要的時候只需要登陸管理平臺，選擇查詢條件就會生成管理員需要的硬件資產(chǎn)報表，同時還可以導(dǎo)出 Excel 報表，并可對其變化報警。單位內(nèi)網(wǎng)安全管理解決方案20終端資產(chǎn)示意圖報表生成示意圖 終端桌面管理 流量管理和控制蠕蟲病毒和 BT 下載等行為在很多情況下會嚴(yán)重占用網(wǎng)絡(luò)帶寬，造成網(wǎng)絡(luò)的擁塞甚至癱瘓，對此可利用本系統(tǒng)進(jìn)行流量的管理與監(jiān)控。 主要功能： 1. 流量采樣閾值設(shè)定：用戶自主設(shè)定采樣閾值，當(dāng)流量（含出、入或總流量）超過一定限度并持續(xù)一定時間后，進(jìn)行有關(guān)信息上報，防止上報數(shù)據(jù)過多給網(wǎng)絡(luò)帶來負(fù)擔(dān)。2. 上報的當(dāng)前流量進(jìn)行匯總，對當(dāng)前的流量進(jìn)行時實排序，以便網(wǎng)絡(luò)管理人員進(jìn)行快速分析是