内网安全解决方案

《内网安全解决方案》由会员分享，可在线阅读，更多相关《内网安全解决方案（43页珍藏版）》请在装配图网上搜索。

1、终端安全管理解决方案北京北信源软件股份有限公司2010-0322目 录1、前言42、需求分析52.1、XXXX信息系统现状52.2、XXXX网络终端管理需求52.3、XXXX网络终端安全管理系统需求分析63、北信源终端安全管理解决方案73.1、VRVEDP系统概述73.3、网络接入管理系统83.3.1、ARP阻断隔离93.3.2、接入设备审核及有效期103.3.3、802.1X认证方式113.3.4、接入控制网关（硬件）133.4、内网安全管理系统133.4.1、终端注册管理133.4.2、IP/MAC绑定策略143.4.3、IT资产管理153.4.4、终端流量管理163.4.5、进程限制策略

2、173.4.6、互联网访问控制183.4.7、防病毒策略183.4.8、软件安装限制193.4.9、多线程计算机远程维护平台193.4.10、防火墙策略203.4.11、违规外联策略203.4.12、终端密码策略213.4.13、终端资源监控223.4.14、硬件设备禁用功能233.4.15、终端自动清理功能243.4.16、IP管理和设备入网管理功能243.4.17、终端点对点管理253.4.18、系统自动关机管理263.5、补丁及文件分发系统263.5.1、补丁自动分发263.5.2、软件分发313.6、USB移动存储管理系统323.6.1、分级权限控制333.6.2、审计功能完善343.

3、7、主机安全审计系统353.7.1、互联网访问审计353.7.2、文件访问及输出审计363.7.3、涉密内容审计373.7.4、软件安装审计373.8、档案、报警和日志管理功能383.8.1、详尽的档案管理功能383.8.2、日志管理功能393.8.3、报警管理403.9、系统具备的接口和强大的可扩展性413.9.1、接口描述：413.9.2、系统具有良好的可扩展性：424、XXXX实施内网安全管理项目的可预见效益431、前言北京北信源软件股份有限公司（以下简称“北信源”）成立于1992年，总部坐落于中国信息产业基地“中关村高新科技园区”。北信源是国内成立最早的专业反病毒厂商之一，也是中国最早

4、研制、开发“内网安全管理及补丁自动分发系统”的厂商。北信源所有信息安全产品均拥有完全独立自主的著作版权。北信源自主研发的“北信源内网安全管理及补丁自动分发系统”是中国终端桌面安全管理领域市场占有率最大的产品，目前已经广泛应用于各个行业，产品的成熟度与稳定性、兼容性均在国内领先。北信源目前已形成安全产品研发部、安全产品实验室、数据安全急救中心以及安全服务保障部等规模化安全部门。公司产品获得多项专利，产品技术完全享有独立自主产权，获得公安部颁发的安全产品销售许可证, 同时经严格测试获得涉密信息系统产品检测证书、中国信息安全产品测评认证中心认证及军事产品使用认证。北信源公司是以研制、生产、销售计算机

5、网络安全产品为主的公司。1992年研制出计算机杀毒软件（单机版）。1997年研制出国内第一套计算机病毒实时防火墙产品和第一套网络防毒软件。2001年中关村电脑节中公司产品荣获十大知名软件品牌称号，并被评为“第五届科技之光信用企业”。2003年研制出内网安全管理及补丁自动分发系统。北信源的用户涉及财税、银行、证券、统计、电信、通讯、军队、公安、院校等国家部委和大型企业，拥有包括国家统计总局、国家税总、中共中央宣传部、全国人大、总参、公安部、中科院、铁道部、中国电信、中国联通、联想集团、方正集团以及全国以上的证券公司等在内的庞大客户群体，并成为几十家大型用户的长期技术合作开发伙伴，甚至向重要用户长

6、年派驻技术服务人员。科研生产能力:北信源现有员工335人，以技术人员为主，公司设立15个部门，技术开发人员占公司总人数的80%，大专以上学历265人，其中本科61人，硕士、博士和具有高级职称的25人。公司主要产品有：北信源内网安全管理及补丁自动分发系统、网络运行保障平台、单机反病毒和网络反病毒系列产品、证券安全产品。北信源在全国重要区域均拥有分支机构，公司有很强的技术支持能力，能够满足全国范围客户产品服务和安全应急服务的需求。质量管理: 北信源拥有严格的产品管理标准，已经通过ISO9001-2000产品质量体系认证。2、需求分析2.1、XXXX信息系统现状如上图所示，XXXX共600多台终端，

7、分布在大厦的各楼层，办公室部分接入层设备为普通HUB。在边界部署有防火墙安全设备，终端部署有防病毒软件。2.2、XXXX网络终端管理需求XXXX网络分布广泛，终端数量庞大，运行业务需要的保密性强。虽然各个节点都部署有网络安全设备，但由于使用人数多，员工的个人行为难以管制，网络中的终端PC机的运行得不到保障，使得单位网络的运营仍然存在重大安全隐患，例如：1）、外来工作人员笔记本电脑接入内网后，将重要信息拷贝走、将外边的病毒带近来，导致信息的泄密，病毒的泛滥。2）、内网员工通过modem拨号等方式接入互联网或其他网络，导致电脑中病毒，从而使整个网络瘫痪，以及重要信息被窃取，。3）、操作系统补丁安装

8、不及时导致系统崩溃；4）、当终端PC出现故障时，管理人员不能及时到达现场进行维护，导致故障进一步恶化。5）、大量终端未安装、未运行病毒防火墙，并经常不能及时更新病毒库，导致系统中毒；6）、由于终端数量繁多，无法统计和管理软硬件资产，导致的软件随意卸载，硬件丢失。7）、终端用户随意安装网上下载的带有病毒、蠕虫、木马、流氓软件的软件，影响单位网络的正常运行。8）、在终端设备上随意加载移动存储设备，企业的信息安全得不到保障。9）、用户随意更改IP地址，导致与服务器IP地址冲突，影响服务器数据访问。2.3、XXXX网络终端安全管理系统需求分析通过对以上拓扑结构和用户所提系统需求分析，可以找到目前XXX

9、X内网主要面临的安全管理问题：1）、如何有效地管理外来工作人员的网络接入。如：是否允许接入？接入允许访问哪些网络；允许接入网络多长时间等；2）、如何控制通过modem拨号等方式接入互联网或其他网络；3）、如何对补丁进行自动分发部署和监控，保障终端系统的健壮性，从而免受病毒的侵袭；4）、如何进行有效的远程维护，进行远程网络故障诊断，关闭、锁定、重起计算机或禁用网络连接；5）、如何统一部署病毒防火墙软件，并要求客户端必须时时运行，且为最新病毒库。避免系统中毒；6）、如何对硬件资产进行自动发现识别，并打印报表，以便对网络硬件资产进行电子化跟踪和管理，在提高工作精度的同时减少网络管理人员的工作量；7）

10、、如何防止在网络终端上随意安装盗版软件、聊天、游戏访问非法网站等，影响工作效率；8）、如何对涉密网络中的移动存储设备（如笔记本，U盘、移动硬盘等）进行监控管理，并对与这些设备相关的数据交换进行审计、确保数据安全；9）、如何方便准确的对IP地址和MAC地址进行绑定，防止IP冲突、保障网络安全；10）、如何实施有效的网络客户端通讯（包括流量）管理，防止计算机蠕虫。11）、如何对登陆账号口令进行有效管理，防止病毒或黑客进行攻击。12）、如何准确有效的定位网络中病毒的引入点，快速、安全的切断安全事件发生点和相关网络。13）、如何对通过电子邮件、网络拷贝、打印输出的数据进行审计，保证涉密网络的安全。14

11、）、如何对网络中的客户端所安装软件信息进行有效的查询和管理。15）、如何重要IP进行保护，防止由于意外的IP接入或改变造成的IP冲突、保障重要设备的安全。16）、如何安全、方便的将违规计算机阻断出网。17）、如何按照既定策略统一配置客户端端口策略、注册表策略等客户端安全策略。18）、如何有效监控重要终端的运维信息，以便网管了解网络中的客户端是否已超负荷运转，是否需要升级。19）、如何对应用程序进行分发安装，以大幅度减少网管的工作量。20）、如何有效进行网络资源管理和设备资产管理。这些桌面机与每个企业员工的日常工作息息相关，接触/涉及企业关键数据和应用。XXXX在网络终端管理方法和管理技术等方面

12、都还相对缺乏，应对产生的新问题和新需求，需要根据企业实际情况研究分阶段的应对策略和解决方案。3、北信源终端安全管理解决方案3.1、VRVEDP系统概述终端管理是一个综合的系统问题，涉及管理计算机本身、计算机应用、计算机操作者、计算机使用单位管理规范等多个方面的要求性因素。北信源通过对国内外近年终端安全管理技术和发展趋势的研究，将单位和企业内部网络终端管理概括的从终端状态、行为、事件三个方面来进行防御，管理手段大致包括如下内容：内网管理核心功能北信源内网安全管理及补丁分发系统（VRVEDP）遵循网络防护和端点防护并重理念，对网络安全管理人员在网络管理、终端管理过程中所面临的种种问题提供解决方案，

13、实现内部网络终端的可控管理，达到最佳的管理效果。北信源内网安全管理及补丁分发系统强化了对网络计算机终端状态、行为以及事件的管理，它提供了防火墙、IDS、防病毒系统、专业网管软件所不能提供的防护功能，对它们管理的盲区进行监控，扩展成为一个实时的可控内网管理平台，并能够同其它安全设备进行安全集成和报警联动。北信源终端安全管理系统主要包括五大系统：网络接入管理系统、内网安全管理系统、补丁及文件分发管理系统、移动存储管理系统。下面将详细介绍各功能包的功能作用。3.3、网络接入管理系统XXXX综合布线的信息点分布在各个地方，外来笔记本可以通过这些信息点随时接入到网络中来传播病毒或窃取重要数据，因此北信源

14、对网络中的终端设备采取注册准入制度，对于未注册的设备阻止其接入网络。防止非单位设备通过分散在各楼层、房间的信息端口接入办公网络，对办公网络造成破坏。通过北信源网络接入管理系统，可能有效的实现网络设备准入制度，从而防止非法设备的接入。主要通过四种技术方法解决：3.3.1、ARP阻断隔离当用户使用的交换机不支持以上协议时，可以通过ARP数据包来发现非法终端的接入，通过控制中心来调度相应网段的终端对其发起ARP欺骗攻击，阻止其正常接入。注：北信源采用的ARP欺骗并非ARP欺骗病毒方式，ARP欺骗病毒是通过伪造网关，终端不断向网关发包，而引起上不了网。北信源ARP欺骗原理是通过VRV服务器选择一台最优

15、的终端A不断地向终端B发包，告诉B自己的IP地址与B相同，从而达到阻断联网。ARP阻断过程1）、用户接入进来，服务器发送ICMP包描扫到A，获取到A的MAC、IP地址。2）、服务器将A的MAC、IP地址到数据库中进行匹配，检查是否有相应数据，向A的22105端口发送数据包，看是否有回应。3）、22105端口无数据包回应，则服务器发指令给A接入的同网络内的、开机已注册的终端B，告许B向A发送ARP欺骗，说B的IP地址与A相同。从而实现对新接入的用户进行阻断。综上，结合XXXX网络及网络设备情况，北信源提出采用802.1X与ARP阻断结合使用，在信息中心部署802.1X，其他各单位启用ARP阻断，

16、来实现接入控制，以防止外来设备接入网导致的病毒传播和窃取重要信息。部署方法：1）、合理规划各部门终端IP地址；2）、根据VLAN划分区域；3）、全网终端安装注册EDP Agent客户端程序；4）、根据VLAN区域启动ARP阻断。3.3.2、接入设备审核及有效期为了确保用户在注册终端软件时的信息真实有效，系统将未审核注册信息的设备放到“待审核”区，可以对待审核区的设备设置相关的安全策略，如：只能上网，不能访问单位服务器等。注册有效期是方便用户给第三方软件开发公司的技术人员，在短期内利用单位网络资料的控制方法，有效期到达后，该设备则不能接入。3.3.3、802.1X认证方式1）、802.1X认证在

17、支持802.1X功能的交换机上开启认证功能，已经安装了北信源软件的终端可以自动同认证服务器做认证，未安装的终端会被交换机自动隔离到指定区域。802.1X认证过程：步骤：（1）、用户接入进来，首先进行身份认证，即检查是否安装Agent，是否网内用户。身份认证失败则定义为非法用户拒绝入网或到访客区。如果身份认证通过，则接收策略，进行安全检查。（2）、安全检查未通过，则定义为不合格用户，进入修复区进行安全修复。（3）、安全修复完成进行安全检查，安检通过，则定义为合格用户，可访问工作区。2）、终端安全检查策略终端安全检查策略可对接入内网的终端的自身安全性做检查，主要包括以下几个方面内容：（1）、杀毒软

18、件检查1.1）、是否安装杀毒软件，未安装则自动安排指定的杀毒软件。1.2）、杀毒软件是否最新版本，不是最新版本则自动运行指定的升级包。（2）、系统补丁检查是否指定的系统补丁，未安装则自动安装。（3）、访问资源限制在终端未完成以上检查项目前，只能访问指定的网络资源，如：防病毒服务器。3.3.4、接入控制网关（硬件）在VPN环境中，通过接入控制网关可以实现对接入设备的身分识别，防止未经授权的非法设备接入。详细说明附方案二3.4、内网安全管理系统终端安全管理以内网终端为核心，通过安全策略应用，加强终端自身的安全性，防止因终端配置或使用者疏忽造成终端安全故障，进一步影响整个网络的安全性。内网安全管理包

19、括以下功能策略：3.4.1、终端注册管理可以通过图表直观地查看到设备总数、应注册计算机数、已注册计算机数，在线设备数、安装杀毒软件数，也可通过数据表查看到用户实名登记情况，单位、部门、使用人、IP地址、MAC地址一一对应。有利网管员进行管理、统计等作用。3.4.2、IP/MAC绑定策略通过IP/MAC绑定策略，可以防止用户乱改IP地址导致IP冲突的故障，影响业务系统的正常运行。终端管理系统在发现用户更改IP地址的行为后，可以通过自动恢复、报警提示、断开网络等方式进行处理。主机IP保护功能：可以强制被保护主机始终拥有该IP的使用权。同时还具有主机防ARP欺骗等功能。禁止修改网关功能：可以强制终端

20、仅使用此网关IP，防止用户通过其他网关进行互联网访问，以导致违规外联行为。禁止冗余网卡功能：防止用户通过冗余网卡进行互联网访问，以导致违规外联行为。3.4.3、IT资产管理1）、硬件资产管理系统在终端安装完客户端后，客户端会自动收集终端所有硬件信息。有利于管理员对网内所以硬件资产进行良好管理。2）、软件资产管理系统在终端安装完客户端后，管理员可对需要了解软件信息的终端发布收集软件信息策略，客户端收到策略后会自动将软件信息上报。有利于管理员了解终端运行软件情况。3）、硬件设备信息变更管理系统会自动发现各个终端硬件变化情况，防止硬件发生变更事故后得不到取证，有利于管理员统计硬件变更情况。3.4.4

21、、终端流量管理可通过设定的流量阀、并发连接数、发包可疑数对终端进行安全威胁的判断。提前预警病毒的传播，有利协助网管员工作。3.4.5、进程限制策略监控网络客户端软件的违规使用情况，控制禁止启用的程序，如QQ聊天、MSN聊天、炒股票等，搜索病毒、木马等可疑程序，可直接关闭终端的违规进程。并可对违规的终端进行报警提示、终端提示、阻断联网等措施。网络进程管理功能：1）、统一汇总和监视全网主机的进程运行情况，并生成报表。2）、对进程进行黑白名单控制，即根据策略设定禁止运行的软件和必须运行的软件。3）、自动停止或启动被黑白名单监控的进程。4）、根据进程出现的时间进行排序，显示网络中最新出现的进程，以便发

22、现新的可疑的进程。5）、此系统可对网络中出现的异常进程（很可能病毒进程）进行定位和报警。6）、对违规的客户端进行客户端提示和断网处理等相应措施。3.4.6、互联网访问控制可以通过黑白名单（RUL管理），可以指定的终端只能访问哪些网站或不能访问哪些网站。3.4.7、防病毒策略对于大型网络，网络客户端由于用户使用水平的差别，会出现用户卸载甚至退出统一安装的防病毒软件的情况，也会出现有个别用户被遗漏，未安装防病毒软件的情况。同样也会出现个别客户胡乱安装非可靠软件，甚至黑客扫描软件的情况。这些均只有依靠技术手段才可以解决。可统一监控网络内的防病毒软件（国内外主流厂商的防病毒产品）安装情况和使用状态，了

23、解网络中的病毒软件安装状况，必要时可通过软件分发强制为客户端安装防病毒程序，如果需要，此系统也可监控终端软件的安装情况，并进行相应的管理（如安装软件，强行升级、禁止使用特定软件，删除软件等）。3.4.8、软件安装限制可对终端软件安装情况进行黑白名单控制，可制定软件安装黑白名单，指定禁止安装和必须安装的软件，并可对违规的终端进行报警提示、终端提示、阻断联网等措施。3.4.9、多线程计算机远程维护平台当客户端用户以及服务器用户在使用计算机时遇到难以解决的问题，可以通过访问特定网页方式，主动向多个网管工作台（可自主选择的）进行并发协助请求呼叫，呼叫网管对其进行远程协助。当管理员接收到客户端的请求以后

24、，调用远程客户端的桌面，帮助客户端用户，解决相应的问题。工作方式：客户端一般可主动呼叫要求远程协助；服务器端一般使用被动的方式，管理员可在控制端采用输入密码等方式，接管服务器端。3.4.10、防火墙策略蠕虫病毒均是通过一定的端口进行传播和发包，如果网管可以统一控制网络中计算机的端口，关闭病毒使用的端口，就可以有效阻止这些病毒的传播和破坏。具备可由网管根据需要统一配置的客户端主机防火墙，可按照策略控制客户端的特定端口的连接，包括禁用（开启）指定的端口，禁止Ping入（出），设定IP区域访问控制，进行包过滤控制等，也可禁止使用代理服务器，系统不管如何设置包过滤规则，均不会造成维系管理服务器对客户机

25、管理的通信无法进行。当某些客户机临时离开内部网络安装到其它网络时，客户机端软件的包过滤功能和禁止使用代理服务器功能可根据管理员的预设策略自动关闭或继续工作。3.4.11、违规外联策略XXXX内网的终端系统是禁止同其它网络接入的，通过违规外联策略可以自动检测终端是否有同其它网络连接，发现违规外联的行为及时断开其网络连接，保护内网的安全运行。终端安全系统可以检测到终端的多种外联行为，包括无线网络（GPRS、CDMA），蓝牙，红外等。另外还可以检测到内网的终端是否离开网络单独接入其它网络的行为。对于这些行为可能采取提示报警、阻断网络、提示进行安全检查等方式处理。3.4.12、终端密码策略目前很多病毒

26、已经可以“猜”出用户机的口令，如果计算机使用弱口令，病毒将会通过这些弱口令获得计算机的控制权，并进行传播。这类病毒的传播行为靠杀毒软件或者补丁加固均无法进行控制。系统可以检查开机密码、屏幕保护密码以及其它应用的密码（如SQL数据库）是否为弱口令，以保障系统不因为弱口令被病毒和黑客攻击。3.4.13、终端资源监控硬件运行资源管理功能：检测终端设备的、硬盘(含每个硬盘分区)、内存等的资源占用情况，可自主设定阈值,以确定终端系统资源占用是否达到上限，是否应该升级；重要进程异常报警和自动恢复：对未响应进程和意外退出进程进行（如退出、退出并重起等）处理。异常流量监控：基于主机方式对网络中客户端流量、分支

27、网络带宽流量进行分析，防止非法入侵、滥用网络资源。当流量（含出、入或总流量）超过一定限度并持续一定时间后，进行有关信息上报，以便网管了解客户端流量异常，从而快速分析是否是网络安全事故。3.4.14、硬件设备禁用功能1）、硬件设备禁用功能：控制外设的使用，如启用或禁用软驱、光驱、U口、打印机、Model、串口、并口、1394火线口、红外接口等。其中USB存储设备、软驱、可刻录光驱提供禁用、只读、读写三种控制状态，其他类型外设提供禁用、可用两种状态，系统能够对所有外设访问行为进行细粒度审计。2）、设备信息汇总管理功能：管理服务器自动为发现的客户机建立包括静态信息和动态信息的客户机档案。3）、手工修

28、改设备信息：管理员能根据需要通过手工、文件导入等方式输入MAC地址对未在网络上出现的客户机预先建立不完整档案。4）、相关的策略可根据时间或区域进行策略下发；3.4.15、终端自动清理功能协助用户维护（指定目录下的）临时文件、备份文件、帮助的历史文件、IE临时文件、安装临时文件、异常临时文件等各种应删除的文件。3.4.16、IP管理和设备入网管理功能1）、对IP地址使用情况进行监视和管理；网络管理员可通过此系统精确统计网络计算机入网设备，了解当前网络IP资源使用，以取代原始的数据资料记载的手段，增强了设备管理信息的实时性、准确性；2）、系统提供入网设备精确定位功能，通过此系统可精确定位发生安全问

29、题的终端设备所在地点和使用人等，以增加安全应急反应速度，简化网络管理员的工作。3）、客户机档案中有客户机在线/离线状态标志，离线时必须有最后在线时间（离线时间）记录。4）、对已注册的客户机，在线时有操作忙/闲标志，以及空闲的时间（长时间无键盘鼠标操作标志为“闲”）。3.4.17、终端点对点管理为更方便网管员工作，北信源提供点对点管理功能，网管员可直接通过IP地址对所需管理的终端进行点对点控制，通过远程后台对终端机进行维护。既达到维护工作，同时又保证了终端私密性。3.4.18、系统自动关机管理可根据需要设置终端定时自动关机，为节省资源，防止无人职守时计算机系统受到攻击或信息被窃取等。3.5、补丁

30、及文件分发系统3.5.1、补丁自动分发补丁管理功能构架图补丁管理主要功能：3.5.1.1、补丁增量导入功能对于物理隔离的内部网络，其内部补丁升级服务器中的补丁必须从外部获得，因此，要求从Internet上下载补丁，十分巨大的补丁库使得每次补丁导入的工作烦琐。北信源针对此类物理隔离的内网，使用增量式补丁自动分离技术，在外网分离出已安装、未安装补丁，分类导入，即仅对内网的补丁进行“增量式”的升级，减少拷贝工作量。互联网补丁自动实时探测，支持补丁导出前病毒过滤。3.5.1.2、补丁分析功能自动建立补丁库，支持补丁库信息查询。针对下载的补丁进行归类存放，按照不同操作系统、补丁编号、补丁发布时间、补丁风

31、险等级、补丁公告等进行归类，帮助管理人员快速识别补丁。3.5.1.3、补丁策略制订（分发）功能支持用户自定义补丁策略自由配置分发，发送至客户端后统一按策略执行应用。1）、补丁策略制定：具体可支持定时、定周期、分类、分部门、分范围、客户机状态和用户自定义等策略。2）、补丁策略分发：具备详尽的补丁分发策略，补丁可以定时、定周期、分类、分范围、分部门、客户机状态和用户自定义等进行分发。3）、补丁文件任务制定：针对特定的一个补丁或多个补丁，对指定计算机或者计算机网络进行补丁自动分发安装。3.5.1.4、补丁文件自动分发功能在指定时间、指定网络范围内以不同方式（如推、拉）分发补丁，或者根据脚本策略统一控

32、制客户端下载补丁。当系统监测到有客户端未打补丁时，可对漏打补丁客户端进行推送补丁。同时，通过推送安装，也可以为SUS系统不支持的客户端安装补丁及应用软件（补丁）。3.5.1.5、补丁分发流量控制功能为了适应将来可能的系统扩展，系统特别设计了利用多种方式进行下载流量控制：1）、系统能够根据网络的负载情况自动调整分发补丁时所占的网络带宽和并发连接数。2）、根据手动设置允许的带宽或服务器并发连接数及每个连接所允许使用的带宽。3）、系统同时支持客户端转发代理补丁下载以减少网络带宽流量，提高效率。4）、下级级联同步下载补丁的连接数和下载流量的大小进行自动的判别或者根据需要进行手动调整。客户端补丁检测：支

33、持客户端补丁多重探测周期配置。定时检测注册客户端系统补丁安装状况，同补丁信息库比较后，显示客户端补丁安装状况（客户端访问指定网页自动获得漏打补丁信息，物理隔离网络中自动生成补丁分发网站）。3.5.1.6、补丁安全性测试测试是补丁安装前必须进行的，系统支持网管测试组定义进行自动补丁安全性测试，即首先选定一定区域的计算机作为测试计算机，首先对这些计算机进行新补丁的安装测试，以便网管可选择有效对象，进行非模拟性自动测试。补丁自动测试可提高打补丁的成功性、安全性、可靠性，降低网管工作量。补丁自动测试图3.5.1.7、报表输出查询功能服务器端补丁查询模块基于补丁名称等关键字对区域网络范围内的计算机终端进

34、行补丁安装状况查询，通过相应的查询条件，能快速的获知所查询补丁的安装情况并生成报表，以保证补丁及时的安装。3.5.1.8、客户端网页查询补丁安装信息功能系统客户端的计算机可以通过访问内网的特定网页，对本机所缺少的计算机补丁进行查询，查询结果在网页上进行显示，计算机用户根据需要进行安装。特别说明：1）、客户端统一安全管理系统具有良好的兼容性，支持主流操作系统，如Windows2003、Windows2000 Pro、Windows 2000 Server、Windows Pro、Windows XP home、Windows、Windwos9X等。2）、因为补丁索引文件为自主开发，因此补丁索引的

35、结构具备可扩展和可编辑性，索引的结构和定义除了可以支持微软补丁外，还可以支持非微软系统补丁、各种数据库补丁，甚至可以支持各种用户应用程序的更新补丁。3）系统拥有专门的外网补丁下载服务器，能根据引索自动下载新增的计算机补丁，补丁校验功能对所下载的补丁进行校验，保证计算机补丁的可靠性、完整性、安全性。4）、补丁在导入时具有病毒检测功能，保证导入到补丁库中的补丁不被病毒感染。5）、可定期进行同步校验，也可自主设定同步校验周期和时间。在有新补丁导入时，也可以自动触发与下级服务器间的同步操作。所有的同步过程均可自动完成，上级服务器可以了解下级服务器补丁库是否同步成功。3.5.2、软件分发系统向指定客户端

36、（用户组）分发文件或安装软件，分发时可提供软件的运行参数和必要的运行控制。此功能可减轻网络管理人员的工作负担，软件分发时可报告软件安装的状态，这样，无论软件正确安装与否，管理员均可及时了解情况。系统还提供人性化的软件安装过程录制工具，可以很方便的对软件和它的安装过程进行录制打包，软件分发至终端后，系统可在终端对软件安装过程进行回放，方便软件在客户端进行自动安装。安装后的客户机端软件包括基本部分和用户工具，安装在客户机不同的目录，不能混在一起。3.6、USB移动存储管理系统通过对外部USB移动存储设备监控和审计，可有效的防止信息泄漏。1）、可以禁止USB移动存储设备的接入。2）、通过给USB移动

37、存储设备设置专用标签，保证某（些）客户端设备只允许本单位或本部门的USB移动存储设备接入，同时保证专用标签的USB移动存储设备在其它或未经受权的设备上无法识别。3）、对通过USB设备进行的文件拷入、拷出的行为进行审计，记录文件名称和操作时间。4）、可以禁止软盘的接入。5）、通过设置，保证某（些）客户端设备只允许本单位或本部门的软盘接入。6）、对通过软盘进行的文件拷入、拷出的行为进行审计，记录文件名称和操作时间。7）、可以禁止光盘的接入，设定光盘为只读状态。8）、通过设置，保证某（些）客户端设备只允许本单位或本部门的光盘可擦写接入。9）、对通过软盘进行的文件拷入、拷出的行为进行审计，记录文件名称

38、和操作时间。10）、可以同安全U盘一起使用，采用高强度加密算法，对U盘中的文件进行加密保护。11）、对客户端大量的文件拷贝行为可自主设定阈值，超过阈值的不进行审计。如拷贝超过1000个文件不进行审计（这主要是因为这样的大量拷贝行为一般不会是违规的行为）3.6.1、分级权限控制通过对移动存储介质写入两种不同权限及功能的标签，来实现分级权限的控制。并以策略的形式分发给不同的域，实现对指定范围内的终端授权，并对写入标签移动存储介质的访问进行控制。另外，对移动存储介质格式化无法去除标签。普通标签：写入普通标签后，在管理区域内根据策略的设置，来限制移动存储介质的读、写功能；如果在管理区域外使用移动存储介

39、质认证，则不限制移动存储介质认证读、写功能。加密标签：写入加密标签后将普通移动存储介质（U盘、移动硬盘等）分为二个区域：交换区、保密区。涉密网络可只生成保密区。交换区和保密区启动均需输入独立的密码，数据在二个区存储时均以加密方式存储，这两个区的具体应用如下：1）、在涉密网络中或高要求的办公网络中，可只生成保密区一个区。该保密区只能在有对应安全策略的主机上通过认证标签后、同时输入正确密码才能访问，同时有安全策略的主机可以根据策略控制未经标签认证的移动存储介质的使用。2）、在普通办公网络中，可生成交换区、保密区二个区。保密区的使用方法，可与上述涉密网络或高要求的办公网络相同。交换区的使用方法，可以

40、根据用户需要，在内部网络中通过策略限制使用方式，交换区在外网使用时同样要输入密码方可使用，保密区在外网不可见。3.6.2、审计功能完善1）、提供移动存储介质上所有文件操作的详细记录包括文件的创建、复制、删除、读写和重命名等操作，具体包括文件名、审计描述、时间、用户名、计算机IP地址和其他必要的信息。2）、提供移动存储介质的插入和拔出动作的详细记录具体包括事件类型、移动存储介质的名称、用户、计算机IP地址、事件时间等。3.7、主机安全审计系统终端安全审计主要是对终端的各种访问行为进行记录，防止终端用户主动泄密行为的发生，确定网络信息的安全。主要包括以下内容：3.7.1、互联网访问审计可以通过黑白

41、名单，对指定的网站进行访问审计，记录用户访问网站的时间、域名、IP等信息。当出现终端用户发布非法信息时，可配合公安网监处的调查取证工作。3.7.2、文件访问及输出审计对网络终端的文件输出行为进行审计和管理，可根据情况审计或禁止使用打印输出、邮件附件输出、网络文件拷贝等文件输出行为。可根据需要禁止指定用户（组）的上述行为，或对指定用户（组）的上述行为进行审计3.7.3、涉密内容审计系统可检查终端是否存在违规文件（如涉密、色情、反动文件等），并检查某一文件夹或某一类型文件内是否有违规的信息。检查可针对指定盘符或指定文件进行。3.7.4、软件安装审计审计终端是否安装了违规软件（如黑客软件等），是否安

42、装了必装软件（如防病毒软件），发现违规行为可以采取报警提示、阻断网络等多种方式处理，用户还可以自定义黑白软件列表。3.8、档案、报警和日志管理功能3.8.1、详尽的档案管理功能1）、系统提供完善的报表功能，能够根据按不同部门、不同操作系统提供软硬件资产、报警、状态及其他情况汇总报表，提供多种报表功能，以对客户端资产情况、网络流量进行统计。2）、提供资产统计报表，能根据不同部门，不同操作系统对客户端硬件、软件提供资产统计报表。3）、具备独有的“组态报表”查询功能，对于有关报表，能根据不同的需要进行多种不同条件组合（组合查询条件包括所属区域、单位名称、设备所在部门、设备名称、设备IP、操作系统及版

43、本、IE版本、防范等级、运行状态、安装杀毒软件版本及厂商、CPU情况、内存情况、硬盘情况、设备使用人、设备最后使用时间等等），生成多种不同的报表格式。4）、报表以网页的方式呈现，提供链接可在各项查询功能中跳转。报表可以方便的调整格式，并可以Excel格式输出，以便打印。5）、管理服务器提供方便的导入、导出客户档案和管理策略功能。6）、对网络异常或病毒等事件或其它需要的记录，管理服务器能够按照定义好的时间周期，进行统计报表输出。7）、可以根据需要输出成柱形图、饼图等。具体的统计报表包括：7.1）、设备软件信息统计报表（部门、网段）7.2）、设备硬件资源信息汇总表7.3）、各区域设备注册情况统计表

44、7.4）、错误报表7.5）、首次运行进程表7.6）、违规软件列表7.7）、违规进程列表7.8）、级联上报设备注册情况统计报表7.9）、级联上报设备操作系统分类报表7.10）、级联上报设备硬件信息统计报表7.11）、网络和服务器流量报表7.12）、各种报警事件表7.13）、组态查询报表3.8.2、日志管理功能1）、可以方便的管理以下日志，并生成表格：1.1）、用户登录日志1.2）、用户操作日志1.3）、用户策略日志2）、系统管理员可以灵活设置查询条件，条件具体包括按部门、按日期、按IP地址名称等。3）、系统也可定时自动备份、清除日志。4）、系统具备数据重整功能，以便定制对日志的维护。数据重整的对

45、象主要针对IP、MAC重复、长时间未使用等情况的设备。5）、同时支持对查询结果的导出等功能。3.8.3、报警管理1）、事件集中报警处理中心汇总所有内外安全管理事件报警并将报警按种类、事件报警级别分类，同时支持短信、声音、邮件、图形等报警。同时，报警中心自动把各种报警信息汇总成为高、中、低三个等级，显示各类发生事件的名称和发生事件设备名称、IP、MAC等信息，以便第一时间发现报警源头和类型，发现对网络危害最大的报警信息，以最快速度妥善处理事件，从而在最大程度上增强系统管理员对网络突发事件的快速反应能力。2）、客户机发给管理服务器相关的报警信息可预设置级别，管理服务器把已注册客户机的报警信息记录到

46、异常情况记录表，同时，按管理员预定义的规则将部分紧急的报警信息发送给管理员（本系统必须有与手机短信报警平台的接口）。3）、对客户机的不当行为，管理服务器能按照预先制定的策略自动进行警告，管理员也可以通过管理服务器对特定的客户机发出警告信息或其它信息，这些信息的发送不会因客户机关闭而无法完成，对离线机器发的信息在其开机后即弹出。弹出窗口以“阅毕”按钮关闭。信息可以定义有效期，客户机不会看到过期信息。管理员可以根据需要删除发出的信息。4）、对客户机的不当行为，管理服务器能按照预先制定的策略自动进行警告，管理员也可以通过管理服务器对特定的客户机发出警告信息或其它信息，这些信息的发送不会因客户机关闭而

47、无法完成，对离线机器发的信息在其开机后即弹出。弹出窗口以“阅毕”按钮关闭。信息可以定义有效期，客户机不会看到过期信息。管理员可以根据需要删除发出的信息。3.9、系统具备的接口和强大的可扩展性3.9.1、接口描述：有多接口上报格式，首先，分析、处理模块可直接进行TCP格式的数据上报。（考虑到由于中间件所在的客户端上可能禁止SNMP协议，所以这里不使用SNMP协议）。数据上报模块可提供SNMP接口进行数据上报和交换，数据上报模块也可以获取通过接口协调获得的其它防病毒产品的上报信息。所使用的SNMP支持所有版本的SNMP协议。其他管理平台可获取SNMP Trap获取信息或使用 SNMP团体名获取信息

48、。信息的传递可通过XML、SNMP等多种标准的接口进行，同时提供开放的API编程接口。系统也可以通过B/S结构直接从页面获取数据。3.9.2、系统具有良好的可扩展性：1）、同需要的软件进行数据传输，向网管平台提供参数；2）、联合防火墙、IDS等安全设施对网络中违规计算机采取自动阻断封杀措施。3）、预留扩展接口（级联、控制、统计等）：依照用户特定要求进行软件的二次开发模块。4）、利用脚本管理功能和脚本分发技术，可快速实现订制客户需求；5）、可在此基础上开发出用户需要的其它功能；6）、可进一步扩展成为安全网管平台。网络安全管理平台构架图4、XXXX实施内网安全管理项目的可预见效益XXXX实施内网安

49、全管理项目后，可预见效益如下：1）、真正实现网络的安全，明确XXXX网络的安全边界，强化Terminal终端的访问权限及安全策略，弥补现有网络结构的安全缺陷。2）、加固了终端自身的安全性，从而大量减少了病毒、木马等入侵行为，减少了网络出现故障的机率。3）、对终端的流量进行监控，对于流量异常的终端进行隔离，保证网络及应用系统资源稳定。4）、实时监控防病毒软件的运行状态，及时发现防病毒软件的异常情况，对于防病毒软件未正常运行或病毒代码库长时间未升级的终端进行隔离，并实现后台远程调用及升级。5）、通过对用户使用电脑的实名登记管理，对终端硬件资产进行监控，对硬件资产的变动实施即时报警和定位，可以有效防

50、止硬件资产的流失。如：外来人员或维修人员改变硬件配置的情况。6）、对用户IP地址的使用进行管理，防止IP地址被盗用，避免因用户操作失误改动IP而导致同其他终端或服务器的IP冲突，影响正常业务系统运行。7）、安全U盘的审计功能可以时刻记录用户的操作行为，防止内部人员盗用。另外其专用芯片的设计，即使在U盘丢失的情况下，盘中文件也不会被人盗走。8）、通过全网接入控制功能，可以防止外来笔记本设备的非法接入对网络及数据的破坏。对带出的设备进行自动安全检查，可有效避免合法设备回归网络后带来的安全风险（病毒等）。9）、通过远程维护等功能，将管理员从烦琐的日常PC维护工作中解脱出来，提高工作效率。实现如：远程安装软件、远程分析数据、远程修改配置等操作。第 43 页 共 43 页