【正文】 進(jìn)行審計。3) 根據(jù)條件查詢客戶機(jī)安裝的軟件或指定軟件被哪些客戶端安裝等信息。流量策略實(shí)例圖 軟件及進(jìn)程監(jiān)控 1) 軟件資源統(tǒng)一監(jiān)控：自動收集安裝在每臺計算機(jī)上的每種應(yīng)用程序信息，包括安裝的操作系統(tǒng)種類、版本號以及當(dāng)前補(bǔ)丁情況、客戶機(jī)安裝的軟件等信息和驅(qū)動程序情況，并進(jìn)行匯總管理。7. 對具備可疑行為的客戶端進(jìn)行報警上報、自動阻斷、客戶端提示等管理。5. 對網(wǎng)絡(luò)掃描的可疑行為進(jìn)行閾值設(shè)定和報警。單位內(nèi)網(wǎng)安全管理解決方案213. 對網(wǎng)絡(luò)客戶端的歷史流量進(jìn)行統(tǒng)計和排序，并可生成報表。 主要功能： 1. 流量采樣閾值設(shè)定：用戶自主設(shè)定采樣閾值，當(dāng)流量（含出、入或總流量）超過一定限度并持續(xù)一定時間后，進(jìn)行有關(guān)信息上報，防止上報數(shù)據(jù)過多給網(wǎng)絡(luò)帶來負(fù)擔(dān)。信息收集完成后自動上報給 VRVEDP 服務(wù)器，保存在后臺數(shù)據(jù)庫中，管理員有需要的時候只需要登陸管理平臺，選擇查詢條件就會生成管理員需要的硬件資產(chǎn)報表，同時還可以導(dǎo)出 Excel 報表，并可對其變化報警。單位內(nèi)網(wǎng)安全管理解決方案19 資產(chǎn)管理實(shí)際使用中，可能會出現(xiàn)客戶端用戶隨意拆卸網(wǎng)絡(luò)終端硬件的現(xiàn)象，這會給網(wǎng)絡(luò)終端的管理帶來混亂，甚至可能造成內(nèi)網(wǎng)網(wǎng)絡(luò)信息網(wǎng)硬件設(shè)備資產(chǎn)的流失。IP、MAC 綁定示意圖私自修改 IP 的違規(guī)查詢 禁止修改網(wǎng)關(guān)、禁用冗余網(wǎng)卡如果終端裝有雙網(wǎng)卡，可使用“IP 與 Mac 綁定策略”中的“禁用冗余網(wǎng)卡”功能來實(shí)現(xiàn)對冗余網(wǎng)卡的禁用。進(jìn)行 IP 地址綁定是為了防止他人非法盜用他人 IP 地址以達(dá)到個人目的，并逃避責(zé)任。 注冊表保護(hù)策略單位內(nèi)網(wǎng)安全管理解決方案17 終端全面管理對于成熟的網(wǎng)絡(luò)管理來說，靜態(tài)的 IP 地址管理以及成為一種趨勢，IP 地址的實(shí)名化管理和綁定成為必要?？梢员ＷC查詢系統(tǒng)的正常運(yùn)行。 用戶權(quán)限變化監(jiān)控網(wǎng)絡(luò)終端的權(quán)限一般不會被用戶檢查，正常的客戶端用戶權(quán)限極少改變，但是很多病毒和黑客的攻擊很多是利用計算機(jī)上權(quán)限的變化實(shí)現(xiàn)的，計算機(jī)上權(quán)限的變化造成的危害往往是致命的，因此十分有必要對終端權(quán)限的變化進(jìn)行監(jiān)控，以告知終端用戶和網(wǎng)絡(luò)管理人員。這類病毒的傳播行為靠殺毒軟件或者補(bǔ)丁加固均無法進(jìn)行控制。? 只允許自己訪問填充項中 IP 地址，禁止訪問其余 IP 地址。利用此功能可實(shí)現(xiàn)： 1. 端口控制：? 禁用填充項中指定端口，開放其它端口；? 開放填充項中指定端口，禁用其它端口；? 禁用填充項中指定端口；? 開放填充項中指定端口；? 端口可按照范圍進(jìn)行填寫。系統(tǒng)具備可由網(wǎng)管根據(jù)需要統(tǒng)一配置的客戶端主機(jī)防火墻，可按照策略控制客戶端的特定端口的連接，包括禁用（開啟）指定的端口，禁止 Ping 入（出），設(shè)定 IP 區(qū)域訪問控制，進(jìn)行包過濾控制等，也可禁止使用代理服務(wù)器，系統(tǒng)不管如何設(shè)置包過濾規(guī)則，均不會造成維系管理服務(wù)器對客戶機(jī)管理的通信無法進(jìn)行。系統(tǒng)可保證此新（長時間關(guān)機(jī)）的客戶端剛接入網(wǎng)絡(luò)時，不與網(wǎng)絡(luò)中除補(bǔ)丁服務(wù)器外其它計算機(jī)的通訊，只在上網(wǎng)后首先進(jìn)行補(bǔ)丁安裝工作，只在補(bǔ)丁安裝完成后，才開放其與網(wǎng)內(nèi)其它計算機(jī)的通訊。系統(tǒng)具備先進(jìn)的判別技術(shù)，對于新機(jī)器或長時間關(guān)機(jī)的計算機(jī)，在其進(jìn)入網(wǎng)絡(luò)時，能快速的發(fā)現(xiàn)并識別此類計算機(jī)，對這類計算機(jī)發(fā)送相應(yīng)的提示，如提醒用戶下載并安裝計算機(jī)補(bǔ)丁，提醒補(bǔ)丁下載的位置和計算機(jī)用戶下載并安裝所需的計算機(jī)補(bǔ)丁。12． 新（長時間關(guān)機(jī)）客戶端入網(wǎng)先打補(bǔ)丁對于**單位網(wǎng)絡(luò)，網(wǎng)絡(luò)中可能會有網(wǎng)絡(luò)攻擊型病毒，在掃描終端漏洞，當(dāng)未安裝補(bǔ)丁的終端接入網(wǎng)內(nèi)時，可能會立即感染病毒，并成為新的病毒攻擊源。作為物理隔離的網(wǎng)絡(luò)，內(nèi)網(wǎng)中的用戶無法訪問此網(wǎng)頁，因此從用戶的習(xí)慣角度出發(fā)，內(nèi)網(wǎng)中也應(yīng)該有類似的網(wǎng)頁，以便用戶訪問和獲知本機(jī)補(bǔ)丁安裝情況，進(jìn)行補(bǔ)丁下載安裝。10．服務(wù)器端補(bǔ)丁查詢客戶端軟件實(shí)時監(jiān)控客戶端系統(tǒng)漏洞及補(bǔ)丁安裝情況，服務(wù)器端補(bǔ)丁查詢補(bǔ)丁可根據(jù)補(bǔ)丁名稱、待查詢 IP 范圍、操作系統(tǒng)、待查區(qū)域，查詢時間或其它條件對區(qū)域網(wǎng)絡(luò)范圍內(nèi)的計算機(jī)終端進(jìn)行補(bǔ)丁安裝狀況查詢，通過網(wǎng)管設(shè)定的單位內(nèi)網(wǎng)安全管理解決方案13查詢條件，能快速的獲知所查詢補(bǔ)丁的安裝情況（如補(bǔ)丁發(fā)送是否成功，補(bǔ)丁安裝是否成功，補(bǔ)丁是否已被安裝等） ，以保證補(bǔ)丁及時的安裝。8．系統(tǒng)補(bǔ)丁報表監(jiān)控程序?qū)⒕W(wǎng)絡(luò)客戶端補(bǔ)丁信息上報管理中心后寫入數(shù)據(jù)庫，在 WEB 管理平臺可進(jìn)行補(bǔ)丁報表察看，統(tǒng)計網(wǎng)絡(luò)客戶端補(bǔ)丁安裝狀況。補(bǔ)丁推送分發(fā)可以跨網(wǎng)段，跨 VLAN,補(bǔ)丁分發(fā)支持?jǐn)帱c(diǎn)續(xù)傳功能。7．補(bǔ)丁推送安裝當(dāng)系統(tǒng)檢測到有客戶端未打補(bǔ)丁時，可對漏打的補(bǔ)丁進(jìn)行推送式的安裝。單位內(nèi)網(wǎng)安全管理解決方案126．補(bǔ)丁安裝檢測、自動分發(fā)補(bǔ)丁**單位的網(wǎng)絡(luò)管理人員通過本模塊全面檢測網(wǎng)絡(luò)系統(tǒng)終端補(bǔ)丁的安裝狀況，并通過此模塊，對沒有安裝補(bǔ)丁的設(shè)備進(jìn)行遠(yuǎn)程補(bǔ)丁安裝,將最新補(bǔ)丁升級包及時分發(fā)到終端計算機(jī)，并提示安裝修補(bǔ)，在客戶端有明顯提示，通知用戶打補(bǔ)丁。在有新補(bǔ)丁導(dǎo)入時，也可以自動觸發(fā)與下級服務(wù)器間的同步操作。5． 補(bǔ)丁庫的級聯(lián)和同步系統(tǒng)可以針對補(bǔ)丁進(jìn)行級聯(lián)式的分發(fā)和管理，在級聯(lián)級數(shù)沒有任何限制并在三級的基礎(chǔ)上進(jìn)行無縫平滑擴(kuò)展?？梢苑奖愎芾砣藛T根據(jù)相應(yīng)的需求，高效快捷定義補(bǔ)丁分發(fā)策略，及時的針對不同的系統(tǒng)和需要分發(fā)計算機(jī)補(bǔ)丁。此技術(shù)可以很好的減輕網(wǎng)管的測試工作量，并提高補(bǔ)丁安裝的安全性。北信源系統(tǒng)獨(dú)創(chuàng)了真實(shí)環(huán)境閉環(huán)測試技術(shù)，具體的流程是首先由網(wǎng)管選定某些計算機(jī)作為測試計算機(jī)作為測試組，每次補(bǔ)丁導(dǎo)入后內(nèi)網(wǎng)后，首先自動分發(fā)至這些選定計算機(jī)進(jìn)行新補(bǔ)丁的安裝測試，從而自動地進(jìn)行非模擬性自動測試。補(bǔ)丁在導(dǎo)入時并具有病毒檢測功能，保證導(dǎo)入到補(bǔ)丁庫中的補(bǔ)丁不被病毒感染。當(dāng)有新的計算機(jī)補(bǔ)丁公布可以下載后，北信源公司由專門的人員在第一時間內(nèi)獲得，并進(jìn)行相應(yīng)的分析，更新補(bǔ)丁索引文件。實(shí)例圖2． 補(bǔ)丁下載檢測和增量式導(dǎo)入對于物理隔離的內(nèi)部網(wǎng)絡(luò)，其內(nèi)部的補(bǔ)丁升級服務(wù)器中的補(bǔ)丁數(shù)據(jù)必須從外部導(dǎo)入，巨大的補(bǔ)丁數(shù)據(jù)庫使得每次補(bǔ)丁導(dǎo)入相當(dāng)煩瑣。補(bǔ)丁中心將網(wǎng)絡(luò)客戶端分類，設(shè)置測試類客戶端，補(bǔ)丁在測試類機(jī)器上經(jīng)過嚴(yán)格測試后，再正式對其他類網(wǎng)絡(luò)機(jī)器進(jìn)行分發(fā)。補(bǔ)丁策略分發(fā)：具備詳盡的補(bǔ)丁分發(fā)策略，補(bǔ)丁可以定時、定周期、分類、分范圍、分部門、分范圍、客戶機(jī)狀態(tài)和用戶自定義等進(jìn)行分發(fā)。可以根據(jù)要求按照不同的區(qū)域進(jìn)行劃分，可按照 IP 地址、部門、操作系統(tǒng)、用戶自定義等方式進(jìn)行區(qū)域劃分。在同一級管理節(jié)點(diǎn)，可根據(jù)實(shí)際網(wǎng)絡(luò)拓?fù)淝闆r，安裝多塊網(wǎng)卡，滿足對同級不同網(wǎng)段的管理。下級管理節(jié)點(diǎn)統(tǒng)一匯總本級的報警信息和統(tǒng)計信息，統(tǒng)一上報管理節(jié)點(diǎn)；上級管理節(jié)點(diǎn)的管理策略、命令、各種補(bǔ)丁或病毒庫升級文件統(tǒng)一下發(fā)下級管理節(jié)點(diǎn)。網(wǎng)絡(luò)終端上的客戶端程序可將各種網(wǎng)絡(luò)終端的狀態(tài)信息、日志信息和報警信息上報，可通過管理節(jié)點(diǎn)對異常計算機(jī)進(jìn)行斷網(wǎng)等處理，也可通過系統(tǒng)遠(yuǎn)程對客戶端進(jìn)行故障診斷和維護(hù)。由于系統(tǒng)管理采用 B/S 構(gòu)架，管理員可在網(wǎng)絡(luò)的任何終端通過登錄內(nèi)網(wǎng)管理服務(wù)器的管理頁面進(jìn)行管理和各種信息查詢；所有的網(wǎng)絡(luò)終端需要安裝客戶端程序以對其進(jìn)行監(jiān)控和管理。單位內(nèi)網(wǎng)安全管理解決方案8二、內(nèi)網(wǎng)安全解決方案 系統(tǒng)部署和管理構(gòu)架**單位網(wǎng)絡(luò)為內(nèi)部隔離網(wǎng)絡(luò)，網(wǎng)內(nèi)有**臺終端。部門的分布比較廣泛，管理員往來奔波，致使處理問題的效率不高。如果不能全面的掌握終端計算機(jī)的軟硬件資產(chǎn)，那么對于終端上非法安裝的軟件以及終端硬件的變化就無從知曉，這就可能造成單位硬件資產(chǎn)的流失，對網(wǎng)絡(luò)的全面管理更無從談起。這就需要有相關(guān)系統(tǒng)能夠完成客戶端操作系統(tǒng)補(bǔ)丁檢測、補(bǔ)丁下發(fā)、補(bǔ)丁安裝、補(bǔ)丁安裝信息回饋等功能，而且能夠分發(fā)任何形式的軟件，軟件下發(fā)后能夠獲取軟件下發(fā)整體情況，用以及時調(diào)整軟件下發(fā)策略。 終端補(bǔ)丁管理和軟件分發(fā)問題對于**單位的內(nèi)部網(wǎng)絡(luò)，每臺終端的操作系統(tǒng)及相關(guān)軟件的補(bǔ)丁更新是用戶及網(wǎng)管員最為煩瑣的問題。內(nèi)部人員非法連接外網(wǎng)會增大病毒滲入和黑客攻擊的風(fēng)險，更為嚴(yán)重的會導(dǎo)致內(nèi)部資料的泄露，給**單位造成無法逆轉(zhuǎn)的嚴(yán)重?fù)p失。如何防止外來移動存儲介質(zhì)隨意接入網(wǎng)內(nèi)終端，如何保護(hù)終端的涉密信息，對涉密信單位內(nèi)網(wǎng)安全管理解決方案6息的訪問、修改、復(fù)制、刪除進(jìn)行控制和審計，如何能夠?qū)ι婷芪募拇蛴?、發(fā)郵件、網(wǎng)絡(luò)共享進(jìn)行控制，發(fā)現(xiàn)敏感字能及時過濾，并對以上所有行為進(jìn)行審計記錄是急需解決的問題。 IP 地址管理問題以往對網(wǎng)絡(luò)內(nèi) IP 地址分配和管理都需要人工來進(jìn)行操作，并且在 IP、MAC綁定上需要網(wǎng)管型交換機(jī)來完成，前期網(wǎng)絡(luò)管理員的工作量太大，在有新的設(shè)備入網(wǎng)時網(wǎng)絡(luò)管理員需要再次對交換機(jī)進(jìn)行操作，如果操作不當(dāng)可能造成一個資源子網(wǎng)不能正常工作，影響業(yè)務(wù)系統(tǒng)正常高效工作；當(dāng)沒有進(jìn)行 IP、MAC 綁定時會出現(xiàn)私自盜用他人 IP 地址的行為，造成合法的 IP 使用人不能正常入網(wǎng)工作，IP 盜用成功后，如果有違規(guī)的網(wǎng)絡(luò)行為時也不便于進(jìn)行事件責(zé)任定位。需要對軟件的安裝過程及軟件執(zhí)行所啟動的進(jìn)程進(jìn)行控制。而且**單位員工上網(wǎng)行為往往不規(guī)范對終端的上網(wǎng)訪問行為進(jìn)行審計，對其違規(guī)操作進(jìn)行阻斷。**單位的許多終端的 IE 的安全性令人擔(dān)憂，而且有些終端已經(jīng)安裝了不安全的插件和惡意軟件，這是一個急需解決的問題。單位內(nèi)網(wǎng)安全管理解決方案5 終端安全管理問題計算機(jī)病毒是目前對網(wǎng)絡(luò)及計算機(jī)安全最大的威脅，目前**單位內(nèi)部雖然已經(jīng)統(tǒng)一配置安裝了**殺毒軟件，能夠?qū)Σ《具M(jìn)行一定效果的防范，但是仍存在終端升級不及時，版本不統(tǒng)一，管理不規(guī)則等問題。需要禁止非法 PC 機(jī)接入內(nèi)網(wǎng)及和內(nèi)部主機(jī)相互連接，防止重要資料的泄漏，防止內(nèi)網(wǎng)用戶通過撥號等外聯(lián)方式連接互聯(lián)網(wǎng)。一個成熟的網(wǎng)絡(luò)安全管理理念應(yīng)該全方面的主動防御，而不是事后責(zé)任追查。其網(wǎng)絡(luò)是物理隔離網(wǎng)絡(luò)，允許連接到 INTERNET 廣域網(wǎng)，許多終端并沒有完全通過 IT 設(shè)備連接入網(wǎng)，雖然使用了多種安全監(jiān)控手段，但是在當(dāng)前的使用中還會存在很多的問題，網(wǎng)絡(luò)安全員和網(wǎng)絡(luò)管理人員疲于應(yīng)付各種安全和日常維護(hù)事件，網(wǎng)絡(luò)也經(jīng)常收到各種安全事件的威脅，其網(wǎng)絡(luò)可能面臨著如下的桌面節(jié)點(diǎn)安全和管理問題。**單位的網(wǎng)絡(luò)保障著各種日常工作的正常運(yùn)行，保證其安全、正常的運(yùn)行十分重要。單位內(nèi)網(wǎng)安全管理解決方案1單位內(nèi)網(wǎng)安全管理解決方案單位內(nèi)網(wǎng)安全管理解決方案2目 錄目 錄 ........................................................................................................................................................2一、系統(tǒng)需求分析 ....................................................................................................................................4 當(dāng)前網(wǎng)絡(luò)環(huán)境 .................................................................................................................................4 網(wǎng)絡(luò)管理中面臨的問題 .................................................................................................................4 非法接入問題 ..........................................................................................................................4 終端安全管理問題 ..................................................................................................................5 IP 地址管理問題 ......................................................................................................................5 移動存儲設(shè)備管理及安全審計管理問題 ..............................................................................5 非法外聯(lián)問題 ..........................................................................................................................6 終端補(bǔ)丁管理和軟件分發(fā)問題 ..............................................................................................6 資產(chǎn)管理問題 ............................................