【正文】 明 ,人們只能把外圍的封堵越做越復(fù) 雜 ,相應(yīng)投入到開發(fā)、管理、維護的費用也越來越高 ,然而實際的收效卻不盡如 人意。本文也研究了遠程主機探測技術(shù)中的被動探測技術(shù) ,以及非法 接入和非法外聯(lián)探測技術(shù)的實現(xiàn)。 .論文的目標(biāo) 本文通過研究如何解決企業(yè)計算機內(nèi)網(wǎng)信息安全的主要問題 ,從內(nèi)網(wǎng)信息安 全漏洞產(chǎn)生的源頭 ??終端 ,去加強內(nèi)網(wǎng)終端安全管理 ,采用基于探測技術(shù)的內(nèi) 網(wǎng)終端管理系統(tǒng) ,解決存在于企 業(yè)內(nèi)網(wǎng)信息安全方面的一些主要問題 ,如內(nèi)網(wǎng)終 端缺乏統(tǒng)一高效管理、違規(guī)接入、非法外聯(lián)、移動存儲設(shè)備濫用等 ,探討了如何 在企業(yè)計算機內(nèi)網(wǎng)中建立一套完整的內(nèi)網(wǎng)終端安全管理系統(tǒng)。因此 ,我們在市場調(diào)研的基礎(chǔ)上 ,選擇了在 計算機內(nèi)網(wǎng)終端管理方面市場占有率最高的某公司產(chǎn)品 ,在我單位電子政務(wù)內(nèi)網(wǎng) 中建立了一套計算機終端安 全管理系統(tǒng) ,其中包括域管理子系統(tǒng)、補丁管理子系 統(tǒng)、接入控制子系統(tǒng)和平臺監(jiān)控子系統(tǒng)四個部分。 我單位電子政務(wù)內(nèi)網(wǎng)屬于政府機關(guān)的涉密計算機網(wǎng)絡(luò) ,如何在建設(shè)好網(wǎng)絡(luò)及 應(yīng)用系統(tǒng)的同時 ,又能夠保障信息的安全 ,是必須首先需要考慮的問題。一般計算機系統(tǒng)的信息安全 只是注重對網(wǎng)絡(luò)、服務(wù)器、存儲設(shè)備的保護 ,近年來開始重視對從危害信息安全 的源頭 ??終端入手 ,通過 對內(nèi)網(wǎng)終端安全管理系統(tǒng)的研究 ,堵住信息安全漏洞 的短板 ,建立起一套適合企業(yè)內(nèi)網(wǎng)的終端安全管理系統(tǒng) ,這樣才能成功解決內(nèi)網(wǎng) 安全保障體系建設(shè)中的難題和障礙 ,解決大批量計算機安全管理的困難。 隨著企業(yè)計算 機內(nèi)網(wǎng)應(yīng)用的越來越廣泛 ,計算機內(nèi)網(wǎng)的信息安全問題日益突 出 ,內(nèi)網(wǎng)中的病毒、木馬泛濫 ,違規(guī)接入、非法外聯(lián)、非法使用移動存儲介質(zhì)屢 禁不止 ,給信息安全帶來嚴(yán)重威脅 ?。最后結(jié)合本單位實 際應(yīng)用部署情況 ,以及相應(yīng)的技術(shù)和安全產(chǎn)品 ,設(shè)計實現(xiàn)了該框架及其各個子系 統(tǒng)在實際項目中的具體應(yīng)用 ,同時對框架本身的安全進行了詳細的分析并給出了 相應(yīng)策略 ,以確保系統(tǒng)的正常有效運行以達到預(yù)期目標(biāo)。 構(gòu)建一套安全可靠的內(nèi)網(wǎng)終端安全管理系統(tǒng) ,解決大批量計算機的安全管理 問題 ,加強計算機網(wǎng)絡(luò)終端的安全性 ,是當(dāng)前信息安全保障工作中亟待解決的關(guān) 鍵問題。 內(nèi)網(wǎng)終端安全管理系統(tǒng)的設(shè)計與實現(xiàn) 目錄 目 錄 摘要 ??. ........................................................... 第一章緒論 .論文的目標(biāo) ??.. .終端安全的現(xiàn)狀和問題 ??. ..終端安全現(xiàn)狀 ..存在的問題 .. .論文的內(nèi)容和意義 .. .本文的章節(jié)安排 ?. 第二章分析與設(shè)計需求 .,??.. .面臨問題的具體分析 ..設(shè)備違規(guī)接入 ..設(shè)備違規(guī)外聯(lián) ..系統(tǒng)漏洞 ?. ..移動存儲設(shè)備濫用 ?.. .系統(tǒng)設(shè)計目標(biāo)與性能指標(biāo) ?.. ..系統(tǒng)設(shè)計目標(biāo) ..系統(tǒng)性能指標(biāo) .系統(tǒng)設(shè)計需求分析 ??..? ..總體架構(gòu)設(shè)計 ??.. ..系統(tǒng)安全管理機制 ?. ..設(shè)備接入控制 ??.. ..主機違規(guī)外聯(lián)監(jiān)控 ?. ..補丁自動分發(fā) ??.. ..移動存儲介質(zhì)安全管理 第三章系統(tǒng)設(shè)計技術(shù)與核心應(yīng)用說明 .主機探測技術(shù) ?.. . 接入阻斷技術(shù) .. .違規(guī)外聯(lián)探測技術(shù) . .客戶端安全技術(shù) ? .增量傳輸技術(shù) ?.. .代理轉(zhuǎn)發(fā)技術(shù) ?...鉤子技術(shù) .其他具體功能技術(shù) . 第四章系統(tǒng)總體設(shè)計 .. .系統(tǒng)架構(gòu)設(shè)計 ?.. .系統(tǒng)模塊設(shè)計 ?.. .. 管理配置平臺 ?.. ..區(qū)域管理器 . ..區(qū)域掃描器 . ..客戶端程序 . ..管理信息庫 . .數(shù)據(jù)庫設(shè)計 ??. ..數(shù)據(jù)庫訪問設(shè)計 ..數(shù)據(jù)庫安全設(shè)計 ..數(shù)據(jù)庫邏輯設(shè)計 ..數(shù)據(jù)庫物理設(shè)計 .系統(tǒng)開發(fā)語言 ?.. 第五章系統(tǒng)功能設(shè)計及實現(xiàn) ?.. .接入控制 .. ................................................. ..主機探測 ? ..主機入網(wǎng) ? ..接入阻斷 ? .違規(guī)外聯(lián) ..違規(guī)外聯(lián)監(jiān)測 ??.. ..違規(guī)外聯(lián)處置 ??.. .補丁升級管理 ?.. ..補丁 信息收集 ??.. ..分發(fā)流程 ? .移動存儲介質(zhì)管理 . 第六章結(jié)論 ?.?. .系統(tǒng)運行的效果 ? .系統(tǒng)運行發(fā)現(xiàn)的不足 ??.. .未來展望 參考文獻 ?. 內(nèi)網(wǎng)終端安全管理系統(tǒng)的設(shè)計與實現(xiàn) 目錄 致謝 ??. 內(nèi)網(wǎng)終端安全管理系統(tǒng)的設(shè)計與實現(xiàn) 摘 要 隨著信息技術(shù)和計算機網(wǎng)絡(luò)的發(fā)展 ,計算機網(wǎng)絡(luò)已經(jīng)相當(dāng)普及 ,為了保證信 息的安全 ,政府機關(guān)單位都建立了與互聯(lián)網(wǎng)物理隔離的計算機內(nèi)網(wǎng) ,隨著內(nèi)網(wǎng)規(guī) 模的擴大 ,信息安全問題也日益突出 ,如何解決單位內(nèi)網(wǎng)信息安全問題 ,是單位 信息部門工作的重中之重。保護信息安全的常用手段是保護網(wǎng) 絡(luò)、服務(wù)器和存儲 , 往往忽視了對終端的防護 ,然而很多安全隱患正是從終端引發(fā)的 ,只有加強計算 機內(nèi)網(wǎng)終端管理 ,才能保障單位內(nèi)網(wǎng)信息系統(tǒng)的安全。針對上述問題 ,本單位在內(nèi)網(wǎng)終端管理中具體分析了計算機終端安全的 威脅 ,制定了整體安全防護策略 ,并且為了確保終端安全策略在單位內(nèi)部的有效 實施 ,研究設(shè)計了一套適合本單位特點的計算機內(nèi)網(wǎng)終端安全管理系統(tǒng) ,其中包 括域管理子系統(tǒng) 、補丁管理子系統(tǒng)、接入控制子系統(tǒng)和平臺監(jiān)控子系統(tǒng)四個部分 , 本文對各子系統(tǒng)的功能進行了全面分析 ,介紹了相應(yīng)的管理流程和策略 ,闡述了 各個子系統(tǒng)間的關(guān)系 ,分析了該架構(gòu)與其他應(yīng)用系統(tǒng)的接口。 關(guān)鍵詞內(nèi)網(wǎng) ,終端安全 ,管理 內(nèi)網(wǎng)終端安全管理系統(tǒng)的設(shè)計與實現(xiàn) , , , , . , , , , ,., , ., ?, , , , . , ., 內(nèi)網(wǎng)終端安全管理系統(tǒng)的設(shè)計與實現(xiàn) , , , . , ● 內(nèi)網(wǎng)終端安全管理系統(tǒng)的設(shè)計與實現(xiàn) 第一章緒論 第一章緒 弟一旱三百 論 匕 近年來 ,隨著信息技術(shù)的迅猛發(fā)展 ,特別是互聯(lián)網(wǎng)的發(fā)展 ,計算機網(wǎng)絡(luò)也隨 之得以普及 ,政府機關(guān)、軍隊、企事業(yè)單位中的計算機內(nèi)網(wǎng)也都具有了相當(dāng)?shù)囊?guī) 模 ,在政府機關(guān)中 ,隨著電子政務(wù)的發(fā)展 ,對信息安全保障提出了新的、更高的 要求 ,從經(jīng)濟發(fā)展、社會穩(wěn)定、國家安全、公眾利益的高度 ,充分認(rèn)識網(wǎng)絡(luò)系統(tǒng) 安全的重要意義。過去一些安全產(chǎn)品 ,防火墻和入侵檢測技 術(shù)等 ,主要關(guān)注的是來自外部的攻擊和破壞 ,而對于內(nèi)部用戶的信息泄密甚至攻 擊和威脅事件的安全防范幾乎不起作用 ,造成這種情況的根源在于忽視了對終端 的防護 ,這是對待信息安全問題認(rèn)識上的一個誤區(qū)。加強內(nèi) 網(wǎng)計算機網(wǎng)絡(luò)終端的安全性 ,是當(dāng)前信息安全保障工作中亟待解決的關(guān)鍵問題 , 研究和應(yīng)用計算機網(wǎng)絡(luò)終端的安全關(guān)鍵技術(shù) ,保護計算機信息不被非法獲取、盜 用、篡改和破壞 ,提高計算機終端防護能力 ,不僅堵住了計算機內(nèi)網(wǎng)信息安全漏 洞中的短板 ,也為計算機內(nèi)網(wǎng)的可用性和可靠性提供了保障。如果信 息安全得不到保障 ,那么網(wǎng)絡(luò)的可靠性和可用性就會大幅降低 ,為此在網(wǎng)絡(luò)建設(shè) 的同時 ,對信息安全系統(tǒng)的建設(shè)也要同步加以考慮 ,主要包括了安全域的劃分、 網(wǎng)絡(luò)防病毒系統(tǒng)、漏洞掃描系統(tǒng)、信息安全綜合審計系統(tǒng)等 ,通過這些措施 ,我 單位內(nèi)網(wǎng)的信息安全有了很大改善 ,但是在實際運行中發(fā)現(xiàn)還存在一些明顯的問 題 ,主要是對發(fā)生安全問題的的源頭 ??終端沒有進行有效管理 ,這使得利用終 端進行攻擊的危險性依然存在 ,網(wǎng)絡(luò)上的一些病毒和木馬很容易通過 終端進行傳 播 ,違規(guī)接入、非法外聯(lián)、違規(guī)使用移動存儲介質(zhì)屢禁不止 ,為了徹底解決對終 端安全問題 ,對內(nèi)網(wǎng)的終端進行有效的管理 ,我們對各部委和一些大企業(yè)進行了 調(diào)研 ,通過調(diào)研發(fā)現(xiàn)雖然我單位計算機內(nèi)網(wǎng)安全措施比較多 ,但是對比一些在內(nèi) 網(wǎng)信息安全防范比較好的單位 ,我單位缺少內(nèi)網(wǎng)終端安全管理系統(tǒng) ,這使得我單內(nèi)網(wǎng)終端安全管理系統(tǒng)的設(shè)計與實現(xiàn) 第一章緒論 位在終端安全管理上處于空白狀態(tài)。從加強內(nèi)網(wǎng)計算機終端管理入 手 ,建立統(tǒng)一的內(nèi)網(wǎng)終端安全管理平臺 ,防止違規(guī)接入、非法外聯(lián)、非授權(quán)移動 介質(zhì)使用 ,成功解決了內(nèi)網(wǎng)安全保障體系建設(shè)中的難題和障礙 ,解決了大批量計 算機的安全管理困難 ,也為我單位電子政務(wù)內(nèi)網(wǎng)建設(shè)和應(yīng)用提供了保障。主要研究了通過主 動探測技術(shù) ,向被測主機發(fā)送請求 ,通過反饋數(shù)據(jù)包中提取操作系統(tǒng)指紋信息的 遠程操作系統(tǒng)探測技術(shù) ,這樣就能夠確定目標(biāo)終端的操作系統(tǒng)版本信息 ,以便對 其進行有效管理。在本文中 ,說明了內(nèi)網(wǎng)終端安全管理系統(tǒng)的設(shè) 計方法、核心應(yīng)用功能和系統(tǒng)實現(xiàn)。可見 ,傳統(tǒng)的安全手段暴露出其局限性 ,已經(jīng)不能適應(yīng)當(dāng)前信息系統(tǒng)的安 全需求。從組 成信息系統(tǒng)的服務(wù)器、網(wǎng)絡(luò)、終端三個層面上來看 ,現(xiàn)有的保護手段是逐層遞減 的 ,這說明人們往往把過多的注意力放在對服務(wù)器 和網(wǎng)絡(luò)的保護上 ,而忽略了對 終端安全的保護 ,這恰恰是人們對待信息安全問題認(rèn)識上的一個誤區(qū) ,顯然是不 合理的。如果信息系統(tǒng)中每一個使用者都是經(jīng)過授權(quán)和認(rèn)證的 ,并且其操