【導(dǎo)讀】XXXX內(nèi)網(wǎng)安全解決方案。第二章方案原則、依據(jù)及目標(biāo)......10. 第四章系統(tǒng)應(yīng)用部署和安全策略..21. 第五章內(nèi)網(wǎng)安全管理系統(tǒng)解決方案設(shè)

　　

【正文】 ， 在保護企業(yè)安全的戰(zhàn)役中，與被動的防御方式相比，以 LanSecs 解決方案為代表的 內(nèi)網(wǎng) 安全 與管理 軟件，可超越傳統(tǒng)的 堵漏洞 方式來幫助企業(yè)實現(xiàn)基于角色的安全管理，從打被動的防御戰(zhàn)變?yōu)橹鲃映鰮簟?以主動的安全管理和安全控制的方式，將內(nèi)部網(wǎng)絡(luò)的安全隱患以技術(shù)的手段進行有效的控制，全面保護網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和數(shù)據(jù)。通過對每一個網(wǎng)絡(luò)用戶行為的監(jiān)視和記錄，將網(wǎng) 絡(luò)的安全隱患可視化，提供實時監(jiān)控，并形成完整的日志，為審計提供依據(jù)，從而大大提高內(nèi)部專用網(wǎng)絡(luò)的安全性，真正保障每一個 網(wǎng)絡(luò)用戶都在授權(quán)的范圍內(nèi)合法 地 使用 網(wǎng)絡(luò) 和數(shù)據(jù) 。 內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計思路 針對 XXXXXXXX 客戶對內(nèi)網(wǎng)安全提出的功能和性能要求， XXXX 公司 為了有效的滿足局域網(wǎng)環(huán)境下實現(xiàn) (具體的客戶的需求說明 )的要求，故提出以圣博潤產(chǎn)品《萊恩賽克內(nèi)網(wǎng)安全管理系統(tǒng)》軟件作為基礎(chǔ)建設(shè)安全管理系統(tǒng)的構(gòu)想。 XXXX 公司 利用公司自有產(chǎn)品《萊恩賽克內(nèi)網(wǎng)安全管理系統(tǒng)》建立起的內(nèi)網(wǎng)安全管理系統(tǒng)的基本組成部分 包括： 如上圖所示， LanSecS內(nèi)網(wǎng)安全管理系統(tǒng)著重于內(nèi)網(wǎng)的安全管理和監(jiān)控，以系統(tǒng)網(wǎng)絡(luò)運營管理為基礎(chǔ)，以防內(nèi)網(wǎng)泄密為目標(biāo)，其核心功能由設(shè)備智能探測器、審計監(jiān)控客戶端、安全管理核心平臺（包括內(nèi)網(wǎng)管理、安全審計）協(xié)同完成。 ? 設(shè)備智能探測器 設(shè)備智能探測器能自動搜索內(nèi)網(wǎng)中所有網(wǎng)絡(luò)設(shè)備（包括三層和二層設(shè)備），識別網(wǎng)絡(luò)中的 SNMP設(shè)備。 并阻止非法內(nèi)聯(lián)。 ? 審計監(jiān)控客戶端 審計監(jiān)控客戶端負責(zé)采集受控終端的軟、硬件配置信息，當(dāng)受控終端的軟件、硬件配置發(fā)生變動時能自動向安全管理核心平臺 發(fā)出報警信息。同時，審計監(jiān)控客戶端能夠?qū)τ脩粼谑芸亟K端上進行的文件、網(wǎng)絡(luò)操作進行審計，自動安裝系統(tǒng)補丁，控制用戶對網(wǎng)絡(luò)和各種外設(shè)的操作，當(dāng)發(fā)生非法操作時，能夠及時向安全管理核心平臺發(fā)出報警信息 ? 安全管理平臺 安全管理核心平臺是整個系統(tǒng)的控制中心。其主要功能是通過搜索網(wǎng)絡(luò)中的交換 機、路由器、 PC、服務(wù)器等各種設(shè)備后，收集交換機基本配置信息和各種動態(tài)信息，動態(tài)生成網(wǎng)絡(luò)物理連接拓撲圖；對各種事件通過聲音報警和屏幕提示報警進行響應(yīng)；對客戶端設(shè)備實行屏幕監(jiān)控；定制客戶端的審計、監(jiān)控、補丁分發(fā)、軟件分發(fā)等規(guī)則；采集受控 終端的各種配置信息和審計日志，生成豐富實用的統(tǒng)計報表和圖表，為系統(tǒng)管理員維護監(jiān)控網(wǎng)絡(luò)及其設(shè)備的正常運行提供了方便實用的工具。 內(nèi)網(wǎng)安全管理系統(tǒng)工作模塊功能分析 本章將針對內(nèi)網(wǎng)安全管理系統(tǒng)的 監(jiān)控管理控制中心模塊、客戶端管理模塊、客戶端工作引擎模塊 進行具體的功能分析。 監(jiān)控管理控制中心功能實現(xiàn)描述 監(jiān)控管理控制中心是內(nèi)網(wǎng)安全管理系統(tǒng)的核心管理組件，他負責(zé)協(xié)調(diào)下屬各工作模塊，為其定制工作狀態(tài)和工作策略 . 監(jiān)控管理控制中心從功能上講可以分為用戶界面接口模塊，引擎管理模塊，監(jiān)控信息管理模 塊。 ? 監(jiān)控管理控制中心組件用戶界面接口模塊 監(jiān)控管理控制中心本身在設(shè)計上就是為用戶提供一個 C/S 的接口模式，用戶通過專用的管理接口登陸到管理界面 ,對服務(wù)器和監(jiān)控客戶端進行配置管理 . 用戶界面接口模塊提供給用戶客戶端工作引擎等的工作模式和策略的定制接口，用戶通過圖形界面對客戶端機器進行管理。 ? 用戶界面接口模塊安全考慮 ? IP 地址限制 +用戶名 +口令認證機制 ： XXXX 公司 設(shè)計的用戶界面接口模塊提供的一個安全認證機制是，初始管理用戶對監(jiān)控管理控制中心的訪問列表進行定制，指定的 IP 地址 .但是，如果只有 IP 地址符 合要求，仍然不能實現(xiàn)正常的管理， XXXX 公司 設(shè)計的用戶界面接口模塊還要求提供用戶名 +口令，只有當(dāng)用戶名和口令都滿足時，管理人員才能實現(xiàn)正常的登陸管理。所以，當(dāng)IP 地址 +用戶名 +口令都同時滿足，管理人員才能實現(xiàn)正常的登陸管理。 ? 監(jiān)控管理控制中心組件引擎管理子模塊 該模塊的作用主要是對系統(tǒng)中的工作引擎進行監(jiān)控和管理。 它包含，策略和狀態(tài)定制等工作。 ? 引擎的安裝： ? 域安裝 方式 ： 通過域的安裝方式，登陸到域進行自動安裝。 ? 網(wǎng)頁安裝方式： 通過網(wǎng)頁下載客戶端程序進行安裝。 ? 本機安裝方式： 該引擎也可以由工作人員到客戶 端直接安裝。 ? 策略和狀態(tài)定制 ： 監(jiān)控引擎工作策略（行為監(jiān)控和報警策略）的唯一定制途徑，工作引擎的策略執(zhí)行和工作狀態(tài)不受目標(biāo)計算機管理員的干擾，它所執(zhí)行的策略來源就是監(jiān)控管理控制中心的引擎管理模塊。 安全監(jiān)控管理員可以通過引擎管理子模塊將被監(jiān)控的計算機進行邏輯分組管理，即相同監(jiān)控內(nèi)容的注冊計算機分為一個組，然后統(tǒng)一的為該組制定監(jiān)控策略，統(tǒng)一下發(fā)和執(zhí)行。同樣，針對這個邏輯組，引擎管理子模塊也可以批量改變組內(nèi)工作引擎的工作狀態(tài)（停止，生效）。 ? 監(jiān)控管理控制中心組件監(jiān)控信息管理子模塊 監(jiān)控信息包含設(shè)備管理信息和報警 信息等，由客戶端管理模塊和客戶端工作引擎產(chǎn)生的監(jiān)控信息存儲在數(shù)據(jù)庫中 . 監(jiān)控信息管理模塊主要職能：按管理員提交的要求整理分析監(jiān)控信息數(shù)據(jù)，并返回給管理員分析查詢結(jié)果。 ? 整理分析監(jiān)控信息數(shù)據(jù)： 針對監(jiān)控信息的分類分析，然后將分析結(jié)果提交給查詢的安全監(jiān)控管理員用戶。 ? 定義監(jiān)控信息的分類 ：由監(jiān)控信息管理子模塊負責(zé)對監(jiān)控信息進行分類定義，簡單的可以分為設(shè)備信息類和報警信息類。報警信息類則是由監(jiān)控審計工作引擎產(chǎn)生，主要是當(dāng)前網(wǎng)絡(luò)中用戶計算機的操作信息。 ? 產(chǎn)生報警信息文件： 該子模塊提供給用戶多種報警信息文件存 儲格式，方便用戶進行使用、管理。 ? 監(jiān)控管理控制中心的部署實施 監(jiān)控管理控制中心部署在單位的內(nèi)部網(wǎng)絡(luò)中，如下圖所示： 客戶的實際環(huán)境然后部署上監(jiān)控管理中心圖 內(nèi)網(wǎng)安全管理系統(tǒng)組件中的安全監(jiān)控管理控制中心分別部署在專用安全監(jiān)控管理服務(wù)器上。圣博潤可以在跨廣域網(wǎng)的通信連接上進行了特別的設(shè)計，通信可以不受防火墻的限制 . 客戶端管理模塊功能實現(xiàn)描述 安全監(jiān)控管理系統(tǒng)中的客戶端管理模塊主要功能是管理每個區(qū)域中的合法計算機設(shè)備，它包含主機掃描發(fā)現(xiàn)子模塊和主機維護管理子模塊兩個部分的功能。 ? 主機掃描發(fā)現(xiàn)子模塊功能實現(xiàn) ： 實際意義上的一個掃描引擎，它的主要工作是發(fā)現(xiàn)當(dāng)前內(nèi)部轄區(qū)網(wǎng)絡(luò)內(nèi)的所有計算機，掃描引擎工作出于兩種模式，一種是 icmp 報文發(fā)現(xiàn)模式（個人防火墻可屏蔽），一種是 ARP 數(shù)據(jù)包發(fā)現(xiàn)模式（個人防火墻放行），兩種方式有效的結(jié)合，就能發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)部所有的計算機，然后加以甄別。 1）當(dāng)發(fā)現(xiàn)某臺機器沒有安裝代理，將掃描得到的 MAC 地址同庫表中比較： a：如果 MAC 地址相同，而標(biāo)識顯示還沒有安裝代理，則說明該機器是合法的還沒有安裝代理的機器； b：如果 MAC 地址相同，而標(biāo)識顯示已經(jīng)安裝了代理，則說明 該機器代理已經(jīng)不正常工作了； c：如果 MAC 地址找不到，則說明該機器非法接入； 2） 當(dāng)發(fā)現(xiàn)某臺機器安裝了代理，將掃描得到的 MAC 地址同庫表中比較： a：如果 MAC 地址相同，則說明該機器是合法的機器； b：如果 MAC 地址找不到，則說明該機器是非法的機器； ? 非法機器阻斷模塊 掃描發(fā)現(xiàn)子模塊采取可供用戶定制的掃描工作模式，階段性的對網(wǎng)絡(luò)內(nèi)部進行掃描。一旦發(fā)現(xiàn)了非法入網(wǎng)的機器，我們即對該機器進行信息封堵，包括三種措施： 1） 發(fā)送大量信息封堵包，防止它正常聯(lián)網(wǎng)工作； 2） 發(fā)送混亂 arp 地址表，讓其 無法接入到內(nèi)網(wǎng)中； 3） 直接對交換機端口進行操作，禁止端口或是隔離端口。 第一種方法會造成網(wǎng)絡(luò)涌塞，我們不采用； 第二種、第三種方法比較好，可以采用人工干預(yù)和自動阻止兩種辦法。 由于內(nèi)網(wǎng)聯(lián)網(wǎng)設(shè)備形式多樣，如果試圖通過控制網(wǎng)絡(luò)設(shè)備來阻斷非法機器的連接在很多情況下無效，如對于應(yīng)用中絕大部分存在的 HUB、無法配置管理的低端交換機等。 如果試圖發(fā)送類似洪水攻擊的各種數(shù)據(jù)包，將對網(wǎng)絡(luò)造成涌塞。 所以，我們采用的是向非法計算機發(fā)送混亂 arp 地址表和錯誤信息和網(wǎng)絡(luò)設(shè)備管理的綜合手段，讓其無法接入到內(nèi)網(wǎng)中。 ? 主機維護管理子模 塊功能實現(xiàn) ： 主機維護管理子模塊的工作職責(zé)是統(tǒng)計維護合法安裝過 agent 的設(shè)備信息庫，它提供給安全管理員用戶當(dāng)前網(wǎng)絡(luò)中的安裝代理情況，從而最終形成主機信息庫存儲在監(jiān)控信息數(shù)據(jù)庫中。 主機維護管理模塊的部署 主機維護管理模塊在實際部署上是和安全管理平臺監(jiān)控中心部署在一臺服務(wù)器上。 此處加客戶的實際網(wǎng)絡(luò)圖和模塊部署服務(wù)器 客戶端工作引擎的功能實現(xiàn)描述 客戶端工作引擎通過遠程或本地安裝在內(nèi)網(wǎng)計算機設(shè)備上，它是具體安全監(jiān)控策略的執(zhí)行系統(tǒng)，主要實現(xiàn)針對設(shè)備監(jiān)控審計功能。 針對網(wǎng)絡(luò)通信設(shè)備的監(jiān)控 審計能力 解決信息泄密的根本在與控制網(wǎng)絡(luò)通信設(shè)備，避免出現(xiàn)安全旁路， XXXX 公司 的客戶端工作引擎可以完全滿足網(wǎng)絡(luò)通信設(shè)備的控制和審計要求。 以高檔 PC 機的配置來做要求，它的網(wǎng)絡(luò)通信設(shè)備至少包含網(wǎng)卡設(shè)備，紅外連接設(shè) 備， RAS 設(shè)備和一些偏重于軟件服務(wù)驅(qū)動的 PPPOE 服務(wù)（用于 LAN 模式和 Modem 模式的ADSL 的寬帶接入）。這些網(wǎng)絡(luò)通信設(shè)備都是監(jiān)控審計工作引擎必須控制的部分。 用戶在執(zhí)行非法的操作的同時，不管成功與否，都將生成報警信息總控中心存儲到監(jiān)控信息數(shù)據(jù)庫中。 ? 以太網(wǎng)卡的監(jiān)控審計： 針對以太網(wǎng)卡的 監(jiān)控審計， XXXX 公司 提供給用戶定制化的接口，保證可以多網(wǎng)卡進行管理 ,不會影響多網(wǎng)卡在內(nèi)網(wǎng)中的正常使用 . ? 紅外設(shè)備的審計監(jiān)控： 紅外設(shè)備接口可以作為調(diào)制解調(diào)器的撥號接口。引擎在安裝后會收集計算機的硬件設(shè)備驅(qū)動庫，并定期自己維護，針對常用的紅外設(shè)備在默認的策略中都是禁止生效的，作為普通用戶來看，會發(fā)現(xiàn)該設(shè)備被禁止使用。即使增添多個類似設(shè)備。 ? RAS 設(shè)備： 普通撥號用的 MODEM 和 ISDN 連接網(wǎng)絡(luò)必須使用的設(shè)備，默認策略下在驅(qū)動層對此進行鎖死，用戶無法進行有效的操作。 ? ADSL寬 帶網(wǎng)的審計監(jiān)控： 不管是利用 USB 接口的 ADSL 撥號設(shè)備，還是利用網(wǎng)卡接口的設(shè)備，或者是 LAN以太接入的 ADSL 設(shè)備，其實現(xiàn)網(wǎng)絡(luò)互連的原理上都需要調(diào)用 PPPOE 服務(wù)， XXXX公司 設(shè)計的監(jiān)控審計工作引擎在默認策略下是在系統(tǒng)底層屏蔽 PPPOE服務(wù)的啟動，即用戶即使掛接了設(shè)備，也無法通過 ADSL 撥號上寬帶網(wǎng)絡(luò)。 ? 其它形式的行為審計監(jiān)控： 對于任何其它方式（不論是否連接在內(nèi)部專網(wǎng)上）的違規(guī)行為，系統(tǒng)都能夠?qū)崿F(xiàn)有效阻斷并報警。 針對外圍數(shù)據(jù)傳輸設(shè)備的監(jiān)控審計能力 外圍數(shù)據(jù)傳輸設(shè) 備指的是 USB 設(shè)備等利用存儲介質(zhì)進行傳輸?shù)脑O(shè)備，比如新掛接一塊硬盤，使用 USB 存儲器，軟驅(qū)等，進行數(shù)據(jù)存儲。 這些外圍數(shù)據(jù)傳輸設(shè)備，可以將病毒帶入專網(wǎng)，也可導(dǎo)致信息泄密。針對外圍數(shù)據(jù)傳輸設(shè)備的控制，一旦控制中心設(shè)定的規(guī)則不允許使用某個設(shè)