【導(dǎo)讀】XXXX內(nèi)網(wǎng)安全解決方案。第二章方案原則、依據(jù)及目標(biāo)......10. 第四章系統(tǒng)應(yīng)用部署和安全策略..21. 第五章內(nèi)網(wǎng)安全管理系統(tǒng)解決方案設(shè)

　　

【正文】 ， 在保護(hù)企業(yè)安全的戰(zhàn)役中，與被動(dòng)的防御方式相比，以 LanSecs 解決方案為代表的 內(nèi)網(wǎng) 安全 與管理 軟件，可超越傳統(tǒng)的 堵漏洞 方式來(lái)幫助企業(yè)實(shí)現(xiàn)基于角色的安全管理，從打被動(dòng)的防御戰(zhàn)變?yōu)橹鲃?dòng)出擊。 以主動(dòng)的安全管理和安全控制的方式，將內(nèi)部網(wǎng)絡(luò)的安全隱患以技術(shù)的手段進(jìn)行有效的控制，全面保護(hù)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和數(shù)據(jù)。通過(guò)對(duì)每一個(gè)網(wǎng)絡(luò)用戶行為的監(jiān)視和記錄，將網(wǎng) 絡(luò)的安全隱患可視化，提供實(shí)時(shí)監(jiān)控，并形成完整的日志，為審計(jì)提供依據(jù)，從而大大提高內(nèi)部專用網(wǎng)絡(luò)的安全性，真正保障每一個(gè) 網(wǎng)絡(luò)用戶都在授權(quán)的范圍內(nèi)合法 地 使用 網(wǎng)絡(luò) 和數(shù)據(jù) 。 內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)思路 針對(duì) XXXXXXXX 客戶對(duì)內(nèi)網(wǎng)安全提出的功能和性能要求， XXXX 公司 為了有效的滿足局域網(wǎng)環(huán)境下實(shí)現(xiàn) (具體的客戶的需求說(shuō)明 )的要求，故提出以圣博潤(rùn)產(chǎn)品《萊恩賽克內(nèi)網(wǎng)安全管理系統(tǒng)》軟件作為基礎(chǔ)建設(shè)安全管理系統(tǒng)的構(gòu)想。 XXXX 公司 利用公司自有產(chǎn)品《萊恩賽克內(nèi)網(wǎng)安全管理系統(tǒng)》建立起的內(nèi)網(wǎng)安全管理系統(tǒng)的基本組成部分 包括： 如上圖所示， LanSecS內(nèi)網(wǎng)安全管理系統(tǒng)著重于內(nèi)網(wǎng)的安全管理和監(jiān)控，以系統(tǒng)網(wǎng)絡(luò)運(yùn)營(yíng)管理為基礎(chǔ)，以防內(nèi)網(wǎng)泄密為目標(biāo)，其核心功能由設(shè)備智能探測(cè)器、審計(jì)監(jiān)控客戶端、安全管理核心平臺(tái)（包括內(nèi)網(wǎng)管理、安全審計(jì)）協(xié)同完成。 ? 設(shè)備智能探測(cè)器 設(shè)備智能探測(cè)器能自動(dòng)搜索內(nèi)網(wǎng)中所有網(wǎng)絡(luò)設(shè)備（包括三層和二層設(shè)備），識(shí)別網(wǎng)絡(luò)中的 SNMP設(shè)備。 并阻止非法內(nèi)聯(lián)。 ? 審計(jì)監(jiān)控客戶端 審計(jì)監(jiān)控客戶端負(fù)責(zé)采集受控終端的軟、硬件配置信息，當(dāng)受控終端的軟件、硬件配置發(fā)生變動(dòng)時(shí)能自動(dòng)向安全管理核心平臺(tái) 發(fā)出報(bào)警信息。同時(shí)，審計(jì)監(jiān)控客戶端能夠?qū)τ脩粼谑芸亟K端上進(jìn)行的文件、網(wǎng)絡(luò)操作進(jìn)行審計(jì)，自動(dòng)安裝系統(tǒng)補(bǔ)丁，控制用戶對(duì)網(wǎng)絡(luò)和各種外設(shè)的操作，當(dāng)發(fā)生非法操作時(shí)，能夠及時(shí)向安全管理核心平臺(tái)發(fā)出報(bào)警信息 ? 安全管理平臺(tái) 安全管理核心平臺(tái)是整個(gè)系統(tǒng)的控制中心。其主要功能是通過(guò)搜索網(wǎng)絡(luò)中的交換 機(jī)、路由器、 PC、服務(wù)器等各種設(shè)備后，收集交換機(jī)基本配置信息和各種動(dòng)態(tài)信息，動(dòng)態(tài)生成網(wǎng)絡(luò)物理連接拓?fù)鋱D；對(duì)各種事件通過(guò)聲音報(bào)警和屏幕提示報(bào)警進(jìn)行響應(yīng)；對(duì)客戶端設(shè)備實(shí)行屏幕監(jiān)控；定制客戶端的審計(jì)、監(jiān)控、補(bǔ)丁分發(fā)、軟件分發(fā)等規(guī)則；采集受控 終端的各種配置信息和審計(jì)日志，生成豐富實(shí)用的統(tǒng)計(jì)報(bào)表和圖表，為系統(tǒng)管理員維護(hù)監(jiān)控網(wǎng)絡(luò)及其設(shè)備的正常運(yùn)行提供了方便實(shí)用的工具。 內(nèi)網(wǎng)安全管理系統(tǒng)工作模塊功能分析 本章將針對(duì)內(nèi)網(wǎng)安全管理系統(tǒng)的 監(jiān)控管理控制中心模塊、客戶端管理模塊、客戶端工作引擎模塊 進(jìn)行具體的功能分析。 監(jiān)控管理控制中心功能實(shí)現(xiàn)描述 監(jiān)控管理控制中心是內(nèi)網(wǎng)安全管理系統(tǒng)的核心管理組件，他負(fù)責(zé)協(xié)調(diào)下屬各工作模塊，為其定制工作狀態(tài)和工作策略 . 監(jiān)控管理控制中心從功能上講可以分為用戶界面接口模塊，引擎管理模塊，監(jiān)控信息管理模 塊。 ? 監(jiān)控管理控制中心組件用戶界面接口模塊 監(jiān)控管理控制中心本身在設(shè)計(jì)上就是為用戶提供一個(gè) C/S 的接口模式，用戶通過(guò)專用的管理接口登陸到管理界面 ,對(duì)服務(wù)器和監(jiān)控客戶端進(jìn)行配置管理 . 用戶界面接口模塊提供給用戶客戶端工作引擎等的工作模式和策略的定制接口，用戶通過(guò)圖形界面對(duì)客戶端機(jī)器進(jìn)行管理。 ? 用戶界面接口模塊安全考慮 ? IP 地址限制 +用戶名 +口令認(rèn)證機(jī)制 ： XXXX 公司 設(shè)計(jì)的用戶界面接口模塊提供的一個(gè)安全認(rèn)證機(jī)制是，初始管理用戶對(duì)監(jiān)控管理控制中心的訪問(wèn)列表進(jìn)行定制，指定的 IP 地址 .但是，如果只有 IP 地址符 合要求，仍然不能實(shí)現(xiàn)正常的管理， XXXX 公司 設(shè)計(jì)的用戶界面接口模塊還要求提供用戶名 +口令，只有當(dāng)用戶名和口令都滿足時(shí)，管理人員才能實(shí)現(xiàn)正常的登陸管理。所以，當(dāng)IP 地址 +用戶名 +口令都同時(shí)滿足，管理人員才能實(shí)現(xiàn)正常的登陸管理。 ? 監(jiān)控管理控制中心組件引擎管理子模塊 該模塊的作用主要是對(duì)系統(tǒng)中的工作引擎進(jìn)行監(jiān)控和管理。 它包含，策略和狀態(tài)定制等工作。 ? 引擎的安裝： ? 域安裝 方式 ： 通過(guò)域的安裝方式，登陸到域進(jìn)行自動(dòng)安裝。 ? 網(wǎng)頁(yè)安裝方式： 通過(guò)網(wǎng)頁(yè)下載客戶端程序進(jìn)行安裝。 ? 本機(jī)安裝方式： 該引擎也可以由工作人員到客戶 端直接安裝。 ? 策略和狀態(tài)定制 ： 監(jiān)控引擎工作策略（行為監(jiān)控和報(bào)警策略）的唯一定制途徑，工作引擎的策略執(zhí)行和工作狀態(tài)不受目標(biāo)計(jì)算機(jī)管理員的干擾，它所執(zhí)行的策略來(lái)源就是監(jiān)控管理控制中心的引擎管理模塊。 安全監(jiān)控管理員可以通過(guò)引擎管理子模塊將被監(jiān)控的計(jì)算機(jī)進(jìn)行邏輯分組管理，即相同監(jiān)控內(nèi)容的注冊(cè)計(jì)算機(jī)分為一個(gè)組，然后統(tǒng)一的為該組制定監(jiān)控策略，統(tǒng)一下發(fā)和執(zhí)行。同樣，針對(duì)這個(gè)邏輯組，引擎管理子模塊也可以批量改變組內(nèi)工作引擎的工作狀態(tài)（停止，生效）。 ? 監(jiān)控管理控制中心組件監(jiān)控信息管理子模塊 監(jiān)控信息包含設(shè)備管理信息和報(bào)警 信息等，由客戶端管理模塊和客戶端工作引擎產(chǎn)生的監(jiān)控信息存儲(chǔ)在數(shù)據(jù)庫(kù)中 . 監(jiān)控信息管理模塊主要職能：按管理員提交的要求整理分析監(jiān)控信息數(shù)據(jù)，并返回給管理員分析查詢結(jié)果。 ? 整理分析監(jiān)控信息數(shù)據(jù)： 針對(duì)監(jiān)控信息的分類分析，然后將分析結(jié)果提交給查詢的安全監(jiān)控管理員用戶。 ? 定義監(jiān)控信息的分類 ：由監(jiān)控信息管理子模塊負(fù)責(zé)對(duì)監(jiān)控信息進(jìn)行分類定義，簡(jiǎn)單的可以分為設(shè)備信息類和報(bào)警信息類。報(bào)警信息類則是由監(jiān)控審計(jì)工作引擎產(chǎn)生，主要是當(dāng)前網(wǎng)絡(luò)中用戶計(jì)算機(jī)的操作信息。 ? 產(chǎn)生報(bào)警信息文件： 該子模塊提供給用戶多種報(bào)警信息文件存 儲(chǔ)格式，方便用戶進(jìn)行使用、管理。 ? 監(jiān)控管理控制中心的部署實(shí)施 監(jiān)控管理控制中心部署在單位的內(nèi)部網(wǎng)絡(luò)中，如下圖所示： 客戶的實(shí)際環(huán)境然后部署上監(jiān)控管理中心圖 內(nèi)網(wǎng)安全管理系統(tǒng)組件中的安全監(jiān)控管理控制中心分別部署在專用安全監(jiān)控管理服務(wù)器上。圣博潤(rùn)可以在跨廣域網(wǎng)的通信連接上進(jìn)行了特別的設(shè)計(jì)，通信可以不受防火墻的限制 . 客戶端管理模塊功能實(shí)現(xiàn)描述 安全監(jiān)控管理系統(tǒng)中的客戶端管理模塊主要功能是管理每個(gè)區(qū)域中的合法計(jì)算機(jī)設(shè)備，它包含主機(jī)掃描發(fā)現(xiàn)子模塊和主機(jī)維護(hù)管理子模塊兩個(gè)部分的功能。 ? 主機(jī)掃描發(fā)現(xiàn)子模塊功能實(shí)現(xiàn) ： 實(shí)際意義上的一個(gè)掃描引擎，它的主要工作是發(fā)現(xiàn)當(dāng)前內(nèi)部轄區(qū)網(wǎng)絡(luò)內(nèi)的所有計(jì)算機(jī)，掃描引擎工作出于兩種模式，一種是 icmp 報(bào)文發(fā)現(xiàn)模式（個(gè)人防火墻可屏蔽），一種是 ARP 數(shù)據(jù)包發(fā)現(xiàn)模式（個(gè)人防火墻放行），兩種方式有效的結(jié)合，就能發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)部所有的計(jì)算機(jī)，然后加以甄別。 1）當(dāng)發(fā)現(xiàn)某臺(tái)機(jī)器沒(méi)有安裝代理，將掃描得到的 MAC 地址同庫(kù)表中比較： a：如果 MAC 地址相同，而標(biāo)識(shí)顯示還沒(méi)有安裝代理，則說(shuō)明該機(jī)器是合法的還沒(méi)有安裝代理的機(jī)器； b：如果 MAC 地址相同，而標(biāo)識(shí)顯示已經(jīng)安裝了代理，則說(shuō)明 該機(jī)器代理已經(jīng)不正常工作了； c：如果 MAC 地址找不到，則說(shuō)明該機(jī)器非法接入； 2） 當(dāng)發(fā)現(xiàn)某臺(tái)機(jī)器安裝了代理，將掃描得到的 MAC 地址同庫(kù)表中比較： a：如果 MAC 地址相同，則說(shuō)明該機(jī)器是合法的機(jī)器； b：如果 MAC 地址找不到，則說(shuō)明該機(jī)器是非法的機(jī)器； ? 非法機(jī)器阻斷模塊 掃描發(fā)現(xiàn)子模塊采取可供用戶定制的掃描工作模式，階段性的對(duì)網(wǎng)絡(luò)內(nèi)部進(jìn)行掃描。一旦發(fā)現(xiàn)了非法入網(wǎng)的機(jī)器，我們即對(duì)該機(jī)器進(jìn)行信息封堵，包括三種措施： 1） 發(fā)送大量信息封堵包，防止它正常聯(lián)網(wǎng)工作； 2） 發(fā)送混亂 arp 地址表，讓其 無(wú)法接入到內(nèi)網(wǎng)中； 3） 直接對(duì)交換機(jī)端口進(jìn)行操作，禁止端口或是隔離端口。 第一種方法會(huì)造成網(wǎng)絡(luò)涌塞，我們不采用； 第二種、第三種方法比較好，可以采用人工干預(yù)和自動(dòng)阻止兩種辦法。 由于內(nèi)網(wǎng)聯(lián)網(wǎng)設(shè)備形式多樣，如果試圖通過(guò)控制網(wǎng)絡(luò)設(shè)備來(lái)阻斷非法機(jī)器的連接在很多情況下無(wú)效，如對(duì)于應(yīng)用中絕大部分存在的 HUB、無(wú)法配置管理的低端交換機(jī)等。 如果試圖發(fā)送類似洪水攻擊的各種數(shù)據(jù)包，將對(duì)網(wǎng)絡(luò)造成涌塞。 所以，我們采用的是向非法計(jì)算機(jī)發(fā)送混亂 arp 地址表和錯(cuò)誤信息和網(wǎng)絡(luò)設(shè)備管理的綜合手段，讓其無(wú)法接入到內(nèi)網(wǎng)中。 ? 主機(jī)維護(hù)管理子模 塊功能實(shí)現(xiàn) ： 主機(jī)維護(hù)管理子模塊的工作職責(zé)是統(tǒng)計(jì)維護(hù)合法安裝過(guò) agent 的設(shè)備信息庫(kù)，它提供給安全管理員用戶當(dāng)前網(wǎng)絡(luò)中的安裝代理情況，從而最終形成主機(jī)信息庫(kù)存儲(chǔ)在監(jiān)控信息數(shù)據(jù)庫(kù)中。 主機(jī)維護(hù)管理模塊的部署 主機(jī)維護(hù)管理模塊在實(shí)際部署上是和安全管理平臺(tái)監(jiān)控中心部署在一臺(tái)服務(wù)器上。 此處加客戶的實(shí)際網(wǎng)絡(luò)圖和模塊部署服務(wù)器 客戶端工作引擎的功能實(shí)現(xiàn)描述 客戶端工作引擎通過(guò)遠(yuǎn)程或本地安裝在內(nèi)網(wǎng)計(jì)算機(jī)設(shè)備上，它是具體安全監(jiān)控策略的執(zhí)行系統(tǒng)，主要實(shí)現(xiàn)針對(duì)設(shè)備監(jiān)控審計(jì)功能。 針對(duì)網(wǎng)絡(luò)通信設(shè)備的監(jiān)控 審計(jì)能力 解決信息泄密的根本在與控制網(wǎng)絡(luò)通信設(shè)備，避免出現(xiàn)安全旁路， XXXX 公司 的客戶端工作引擎可以完全滿足網(wǎng)絡(luò)通信設(shè)備的控制和審計(jì)要求。 以高檔 PC 機(jī)的配置來(lái)做要求，它的網(wǎng)絡(luò)通信設(shè)備至少包含網(wǎng)卡設(shè)備，紅外連接設(shè) 備， RAS 設(shè)備和一些偏重于軟件服務(wù)驅(qū)動(dòng)的 PPPOE 服務(wù)（用于 LAN 模式和 Modem 模式的ADSL 的寬帶接入）。這些網(wǎng)絡(luò)通信設(shè)備都是監(jiān)控審計(jì)工作引擎必須控制的部分。 用戶在執(zhí)行非法的操作的同時(shí)，不管成功與否，都將生成報(bào)警信息總控中心存儲(chǔ)到監(jiān)控信息數(shù)據(jù)庫(kù)中。 ? 以太網(wǎng)卡的監(jiān)控審計(jì)： 針對(duì)以太網(wǎng)卡的 監(jiān)控審計(jì)， XXXX 公司 提供給用戶定制化的接口，保證可以多網(wǎng)卡進(jìn)行管理 ,不會(huì)影響多網(wǎng)卡在內(nèi)網(wǎng)中的正常使用 . ? 紅外設(shè)備的審計(jì)監(jiān)控： 紅外設(shè)備接口可以作為調(diào)制解調(diào)器的撥號(hào)接口。引擎在安裝后會(huì)收集計(jì)算機(jī)的硬件設(shè)備驅(qū)動(dòng)庫(kù)，并定期自己維護(hù)，針對(duì)常用的紅外設(shè)備在默認(rèn)的策略中都是禁止生效的，作為普通用戶來(lái)看，會(huì)發(fā)現(xiàn)該設(shè)備被禁止使用。即使增添多個(gè)類似設(shè)備。 ? RAS 設(shè)備： 普通撥號(hào)用的 MODEM 和 ISDN 連接網(wǎng)絡(luò)必須使用的設(shè)備，默認(rèn)策略下在驅(qū)動(dòng)層對(duì)此進(jìn)行鎖死，用戶無(wú)法進(jìn)行有效的操作。 ? ADSL寬 帶網(wǎng)的審計(jì)監(jiān)控： 不管是利用 USB 接口的 ADSL 撥號(hào)設(shè)備，還是利用網(wǎng)卡接口的設(shè)備，或者是 LAN以太接入的 ADSL 設(shè)備，其實(shí)現(xiàn)網(wǎng)絡(luò)互連的原理上都需要調(diào)用 PPPOE 服務(wù)， XXXX公司 設(shè)計(jì)的監(jiān)控審計(jì)工作引擎在默認(rèn)策略下是在系統(tǒng)底層屏蔽 PPPOE服務(wù)的啟動(dòng)，即用戶即使掛接了設(shè)備，也無(wú)法通過(guò) ADSL 撥號(hào)上寬帶網(wǎng)絡(luò)。 ? 其它形式的行為審計(jì)監(jiān)控： 對(duì)于任何其它方式（不論是否連接在內(nèi)部專網(wǎng)上）的違規(guī)行為，系統(tǒng)都能夠?qū)崿F(xiàn)有效阻斷并報(bào)警。 針對(duì)外圍數(shù)據(jù)傳輸設(shè)備的監(jiān)控審計(jì)能力 外圍數(shù)據(jù)傳輸設(shè) 備指的是 USB 設(shè)備等利用存儲(chǔ)介質(zhì)進(jìn)行傳輸?shù)脑O(shè)備，比如新掛接一塊硬盤，使用 USB 存儲(chǔ)器，軟驅(qū)等，進(jìn)行數(shù)據(jù)存儲(chǔ)。 這些外圍數(shù)據(jù)傳輸設(shè)備，可以將病毒帶入專網(wǎng)，也可導(dǎo)致信息泄密。針對(duì)外圍數(shù)據(jù)傳輸設(shè)備的控制，一旦控制中心設(shè)定的規(guī)則不允許使用某個(gè)設(shè)