《内网安全管理系统解决方案.doc》由会员分享,可在线阅读,更多相关《内网安全管理系统解决方案.doc(25页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 内网安全管理系统解决方案内网安全管理系统解决方案目 录1方案概述11.1需求分析11.1.1流量控制21.1.2IP地址管理21.1.3进程防护21.1.4防病毒防护31.1.5补丁安装防护31.1.6网页过滤31.1.7计算机资产管理31.1.8移动存储介质41.1.9计算机接入控制41.1.10终端计算机系统帐户监控51.1.11计算机的远程维护51.1.12I/O接口管理51.1.13文件安全共享管理61.1.14安全管理软件卸载控制61.1.15灵活的系统部署61.2方案目标和内容62桌面内网安全管理产品解决方案82.1流量控制82.2IP地址绑定82.3进程控制82.4防病毒控制9
2、2.5补丁管理92.6网页过滤控制92.7资产管理92.8终端移动存储介质管理102.9终端接入控制102.10系统账号监控112.11终端行为监控112.12终端配置管理122.13终端远程维护122.14I/O接口管理132.15软件安装审计132.16系统部署133内网安全管理系统设计概述133.1产品设计思路143.2产品的设计原则153.3产品的功能153.4产品的组成163.4.1系统部署结构173.4.2产品模块组成图173.5产品一体化设计193.5.1统一用户权限管理193.5.2系统分权管理193.5.3统一资产管理193.5.4策略集中部署193.5.5统一预警平台203
3、.5.6可快速恢复的产品部署结构203.6系统安全性设计203.6.1系统代码安全203.6.2客户端进程防关闭213.7客户端防卸载213.8系统部署设计214报价23 第6页 1 方案概述1.1 需求分析榆次市XX酒店有限公司作为高品质的涉外酒店,是榆次市重要企业。随着信息化建设的深入发展,单位部门内部,单位部门之间,单位与公众,单位部门与企业等的沟通越来越紧密,因此,需要通过搭建稳定可靠的信息化沟通平台,以数字化系统为建设目标,全面提升公司的办公效率,提升系统整体的信息化竞争实力。网络稳定性是单位网络建设的基础保障,而网络安全是保障网络系统稳定性的前提。同时,网络安全问题也是造成单位内部
4、信息泄漏的主要原因,因此,针对公司的信息化建设,网络安全需要从网络系统的保障、用户的入网行为控制、网络病毒和攻击防护等几个方面充分考虑公司网络安全的建设。有调查显示,各单位中超过85%的管理和安全问题来自终端。因此,网络安全呈现出了新的发展趋势,安全战场已经逐步由核心与主干的防护,转向网络边缘的每一个终端。目前,90%以上的终端用户使用的是windows2000,XP或以上的操作系统,而这几种系统的安全漏洞又非常多,微软公司会通过定期发布安全补丁的方式来弥补这些漏洞,但由于终端用户缺乏相关知识,导致补丁安装的不完全,不及时,这就会严重影响终端计算机的安全,从而导致更严重的整个内网安全问题。计算
5、机终端作为信息存储、传输、应用处理的基础设施,其自身安全性涉及到系统安全、数据安全、网络安全等各个方面,任何一个节点都有可能影响整个网络的安全。而计算机终端广泛涉及每个计算机用户,由于其分散性、不被重视、安全手段缺乏的特点,已成为信息安全体系的薄弱环节。作为计算机内网安全管理方案而言,其需要解决如下安全问题:1.1.1 流量控制单位内部网络环境中不可能所有的交换机全部都是可网管的,所以不能完全依赖交换机进行流量管理;而且管理员不可能时刻关注每台机器的流量状况,除非是出现异常的网络攻击和拥塞时,才会采取如此非常手段。因此对于日常的控制来说,最有效的方法是通过控制每个终端设备的网卡流量,如果能将设
6、备的流量控制在一定的范围内,既保证了设备的正常工作使用,又可以防范在非法使用P2P下载软件抢占带宽和病毒爆发时给网络速度带来的拥塞,这对于管理来说才是实用的管理手段。1.1.2 IP地址管理为了便于管理,出现问题能够及时追查,网络建设时管理员通常使用静态IP地址,这对于管理来说确实是一个有效可行的措施。但是由于员工的计算机操作水平不同,很可能造成随意修改IP地址带来的内网地址冲突,这给内网管理带来很繁琐的问题。虽然通过在核心或二层交换机上,可以通过命令来绑定IP/MAC地址从而消除上述问题,但是工作量庞大,因此彻底屏蔽IP地址冲突的问题是网络管理必须要做的。1.1.3 进程防护由于当前大量病毒
7、以及恶意程序的存在,而这些程序对于普通用户而言并不知情,甚至有些恶意程序通过技术手段使得用户无法通过任务管理器看到其工作进程;另一方面,有些用户可能有意或无意地运行一些可能会影响他人或自己工作的软件(如网络嗅探器)。公司采购机器目的是提高员工的生产效率,充分利用上班时间来服务于工作,但是某些娱乐性软件严重影响了员工的工作效率,某些下载软件造成网络速度减慢,影响了内网的正常办公。因此通过制定策略,实现对非法进程的监控并阻止,能够大大减少由内部引起的网络安全事件,提高我们的工作效率。1.1.4 防病毒防护员工由于防范病毒意识较淡薄,没有安装防病毒软件;或者由于个人对防病毒品牌的倾向性,从而发生没有
8、安装防病毒软件,甚至意外卸载,或防病毒软件没有运行,这样不仅使单台PC机受到病毒侵害,而且一旦感染病毒,可能回向内网的其他机器传播,导致整个内网病毒泛滥,甚至网络拥塞。因此一定要保证防病毒软件的安装、正常运行、及时升级。1.1.5 补丁安装防护目前在制造业的单位中,承载各种应用的操作系统90%以上的端终用户使用的都是windows2000,XP或以上的操作系统,但是这几种操作系统的安全漏洞非常多,很容易收到攻击。微软公司会通过定期发布安全补丁的方式来弥补这些漏洞,但由于某些员工用户缺乏相关知识,或者处于研发部门的设计网是和单位局域网物理隔离的网络,从而导致补丁安装的不完全,不及时,这就会严重影
9、响终端计算机的安全,一旦发生针对微软操作系统漏洞的攻击,就会导致整个网络受到威胁。1.1.6 网页过滤某些员工访问Internet时,由于安全防范意识不够,登陆恶意网站,造成机器受到攻击,从而产生病毒感染、机器不能正常使用,注册表被修改、浏览器无法正常的访问网络;严重的甚至会植入木马,造成机器重要数据的网络泄密。因此必须对内网机器的网络访问进行必要的过滤。1.1.7 计算机资产管理对于规模较大的用户,由于终端计算机众多,依靠传统的资产登记管理办法,根本无法做到对计算机配置信息的准确掌握,对计算机配置的变化也无法及时跟踪。例如,要准确掌握每台计算机的软硬件配置信息,通过手工方式将是非常耗时和繁琐
10、的工作。当内网终端计算机的硬件资产发生变化后,管理员是无法进行追查,不能找到具体什么时间、发生什么事情? 只能是在很久的时间后,或者在现场维护时才能发现,但是为时已晚。所以对于内部资产的流失要进行有效的管理和统计,避免内部的资产不明和流失。必须通过技术手段和工具来辅助实现,才能有效节省成本和资源,提高内网管理的效率。1.1.8 移动存储介质 系统网络化的飞速发展和高新技术设备的应用,作为网络系统重要组成部分的移动存储介质的安全和保密问题开始显著的突现出来。以U盘为代表的移动存储介质的出现和普及,极大方便了数据交换和存储便利性,但是与此同时也给内网带来了巨大的隐患。由于移动存储设备小型化、形式多
11、样化和存储量大的特点,使得文件管理、信息管理、和行为管理变成了难上加难。个人移动存储设备在内网的随意应用首先就成了机密外泄的重要途径之一,设备的遗失、监管的不严都可能造成存储在里面的大量单位敏感数据失控。而且对于怀有恶意的内部人员或外部人员都可以将单位的敏感信息随意复制出去进行传播。其次移动存储设备也是内网病毒泛滥的罪魁祸首之一。移动存储设备在无限制随意使用的情况下,可以在极短的时间内使病毒源扩散到全部网络。造成内网的大面积瘫痪。再有就是对于移动存储设备的行为控制。传统模式下很难做到对于移动存储设备进行明确的权限划分,如一个设备能够应对哪些部门、能够做何种操作等。一旦当问题出现时管理员很难对事
12、故源头进行追查。因此移动存储介质在带来方便性和快捷性的同时,如何同时达到保密性、安全性、可控性等要求,成为每个IT管理人员极为关注的问题1.1.9 计算机接入控制随着信息化建设发展,内网计算机数量与日俱增,同时各个单位之间的合作日益频繁,经常有不属于本单位或者本企业的终端计算机连接到内网。在这种情况下,IT管理人员很难统计内网计算机的确切数量,也无法区分哪些是内网授权使用的计算机,哪些是外来的非授权使用的计算机。这种状况下,对于未授权使用的计算机接入不能进行控制,当系统感染了病毒和木马后,接入内网,病毒会在整个内网进行快速传播和扩散,给内部网络带来严重的安全威胁。同时对外来人员随意的计算机接入
13、无法控制,很容易导致企业内网机密信息的泄漏,往往等泄密事件发生了,却还无法判断到底是哪一个环节出了差错。当安全事件发生过程中,IT管理人员也无法及时定位和自动阻断该计算机的破坏行为。往往需要花费很长的时间才能判断和定位该计算机,然后再通过手动的方式断网。对安全强度差的终端计算机缺乏有效的安全状态检测和内网接入控制,是IT管理人员比较头疼的问题之一。1.1.10 终端计算机系统帐户监控 现在很多黑客工具、木马及病毒都具备弱口令猜解的功能,如果系统口令设置过于简单,一旦被恶意猜解,黑客或木马会立即提升自身账户的运行权限,达到完全控制主机的目的,在无AD域的环境中,如何强制终端用户采用符合一定强度要
14、求的口令,是需要IT管理人员迫切解决的问题。1.1.11 计算机的远程维护对于大多数企业用户来说,由于技术的原因,IT管理人员无法实时掌握每台终端计算机的运行状态。当终端计算机出现故障需要维护时,IT管理人员如果采用现场维护的方式,一方面增加了人力成本,另外由于人力资源有限,也无法保证维护的及时性。如何实时监视终端计算机的运行状况,并且方便地对终端计算机进行远程维护,是IT管理人员迫切需要解决的问题。1.1.12 I/O接口管理随着USB接口的计算机周边设备的丰富,使得计算机与其他外部设备,如U盘,USB打印机等连接十分方便,并能轻而易举地通过USB设备将外部数据导入或者内部数据导出,移动存储
15、介质体积轻巧,容易隐藏,使用方便,为重要数据的保护带来了巨大的安全隐患,因此针对移动存储行为的有效管理成为我们面临的重要课题。1.1.13 文件安全共享管理由于桌面终端大多使用Windows操作系统,而该操作系统安装后即开放了部分共享目录,同时由于许多用户并未采用安全的访问密码,造成其他用户能够较为方便地通过远程网络实现对他人网络共享数据的访问。因此严格控制终端的文件共享,尤其是涉密终端的文件共享,也是桌面系统安全管理的重要内容。同时,作为常见的文件共享,系统应能提供自动发现并且根据需求进行共享文件夹的屏蔽,及详细的访问日志信息。1.1.14 安全管理软件卸载控制内网安全管理软件安装后,应能够
16、防止用户有意/无意地对其卸载删除,只有管理员通过专用工具才能够实现对客户端软件的卸载。同时服务管理平台能够方便地获悉当前网络中有哪些桌面终端系统处于非受控状态。1.1.15 灵活的系统部署内网安全管理系统能够实现灵活的系统部署,能支持分级部署管理模式,要求能够对系统的管理员进行分权处理。1.2 方案目标和内容北京圣博润高新技术股份有限公司(以下简称“圣博润”)作为国内领先的内网安全管理系统提供商,承建了国内多个省级、多个行业内网安全管理系统以及应用推广,积累总结了大量的应用安全经验。本方案的目标为向提供一套内网安全管理系统的解决方案。通过本方案,能够实现对内网的计算机终端的统一安全管理,达到终
17、端计算机的系统加固、进程控制、补丁及防病毒管理、资产管理、远程维护等方面的管理。 内网安全管理解决方案 2 桌面内网安全管理产品解决方案内部网络中大概有50个终端机器,局域网利用率较低,主要此用账户拨号方式到路由器,然后统一上到Internet进行办公。交换机为不可网管交换机,机器间共享、数据交换不是很频繁。但是信息中心的IT管理人员在实际工作中遇到了上面所说的许多问题,为了使用户对内网终端计算机的管理逐渐形成了较为完善的、符合本行业特点的内网安全管理解决方案。我们提出了如下的解决方案:2.1 流量控制流量控制能够实现对每个终端机器的网卡进行流量控制,对于超过指定阀值和并发连接数的设备进行自动
18、的网络阻断,当网卡流量恢复到正常时,网卡自动开启、恢复网络连接,保证受控端在指定的流量范围内进行网络连通。由此既保证了终端的正常办公流量需求,又可以杜绝由于未知的P2P等非法下载软件的使用带来的网速过慢、甚至断网的问题。2.2 IP地址绑定通过使IP地址和每台机器的ID号相对应,以一一对应的关系为依据,从而保证每个IP有一个唯一的标识与之对应。当客户端程序检测到IP地址进行修改时,IP地址会自动恢复到此前已经绑定了的IP值,保证IP地址不会被随意修改。杜绝了单位内部的IP地址冲突问题,保证IP地址的唯一性。2.3 进程控制通过进程的控制,禁止已知的非法应用程序的使用,杜绝由于非法软件的使用影响
19、工作效率、BT软件占用带宽、危险软件的随意滥用给单位内网安全带来隐患的问题。通过进程控制功能,可以有效控制终端机器的软件使用,屏蔽掉无助于工作、单位网络安全的应用程序的运行。2.4 防病毒控制通过防病毒软件监测,可以判断终端计算机是否安装了防病毒软件、防病毒软件运行是否正常以及病毒库是否保持最新等情况。如果上述条件不满足设定的策略要求,监测系统可以向管理人员发送报警信息。另外,监测系统还可阻断终端计算机的内网接入和内网访问,确保易被感染的终端计算机无法使用内网。未安装防病毒软件的计算机进行网络访问控制和隔离,使其形成内网中的“孤岛”。避免该终端计算机对内网其它主机造成安全威胁。2.5 补丁管理
20、通过补丁管理,能够对内网终端计算机缺失补丁进行定期检测和自动安装与更新,保证系统与软件缺陷一经发现便可及时修补。通过补丁分发管理,大大减少了操作系统和应用软件漏洞被利用所造成的安全隐患和经济损失。同时,管理人员还可以实时统计当前各终端计算机的补丁缺失情况、补丁安装情况以及补丁安装的进度等,得到全网的终端计算机补丁安装快照。方便了对补丁分发过程的监控。2.6 网页过滤控制通过网页过滤,可以有效屏蔽掉管理员禁止访问的网站,避免误入已知的非法或易受攻击的网站,在事前保证机器访问网站的合法性。从而有效保障了机器的网络访问安全,降低了机器意外染毒的可能性。2.7 资产管理LanSecS内网安全管理系统自
21、动登记终端计算机的硬件配置(包括CPU类型、主频、内存、硬盘、显示卡、网卡等等),这样可以使得网管人员在控制台的机器上,可以观察到各个机器的配置信息,方便了网管人员的操作管理。能够自动将终端计算机的操作系统、安装的软件、运行的程序和服务、系统日志、共享资源、以及补丁、端口等信息统计汇总,可以按设备类型、部门等方法对设备进行分类管理,使得系统管理员能够轻松自如地管理着整个网络的软件资源,及时洞察系统配置的变动。2.8 终端移动存储介质管理通过移动存储介质管理,IT管理人员可以对诸如:U盘、移动硬盘以及其他移动存储卡进行保密性、安全性、可控性的管理。从而保证了内网机密信息和内部网络环境的安全性。l
22、 介质初始化 对于想要在内网中进行使用的移动存储设备。必须经过一个格式化的过程重新写入一个隐藏加密信息。通过策略的下发,客户端主机在工作时只会对能够读取到加密信息的移动存储设备进行挂载。而且已注册过的移动存储设备在未安装客户端的主机上不能够进行使用。从而保证了内部机密信息不能通过移动存储设备外泄,并且外部的病毒也不能通过移动存储设备进入内网。大大加强了内网的保密性和安全性。l 注册管理通过注册管理,管理人员可以很便捷的对移动存储设备进行相应的授权。如:该设备可以在哪些部门使用,工作的权限为只读还是读写,工作周期为多少等等。此种机制即保证了管理人员对移动存储介质的可操控性,而且在事故发生时可追诉
23、的目标范围大幅度缩减。从而解决了许多IT管理人员以前为之头疼的问题。2.9 终端接入控制所谓的接入控制,是指对接入内网的终端计算机进行身份鉴别或者安全状态检查,阻止未授权或不安全的终端计算机接入内网和访问内网资源。通过接入控制,可以将外来计算机阻挡在内网之外,也可以将内网中安全性较差(未及时安装补丁和防火墙软件)的计算机隔离出内网,保证内网整体的安全性。l 与交换机联动阻断(支持802.1X)通过与交换机的联动,自动判断接入计算机的交换机接口,如果发现接入计算机未经过授权或者安全性较差,则通知交换机禁用该计算机所在的端口。彻底阻断计算机的接入。l IP通讯加密由客户端代理程序,对所有通讯数据包
24、进行加密/解密,确保没有安装代理程序的系统无法与内网合法主机进行数据通讯。l ARP欺骗阻断对于非授权计算机和不安全的计算机可以采用ARP欺骗的方式,用虚假的MAC地址刷新目标计算机的ARP缓存,导致该计算机无法与内网其它设备通讯,达到阻止其访问网络资源的目的。以上三种方式配合使用,可极大提高计算机接入控制能力。通过接入控制,可最大限度地保证内网的整体安全性。2.10 系统账号监控LanSecS提供对终端计算机的用户的密码长度、密码周期、密码复杂度检查,并且可以对系统已有或者新建的用户进行禁止使用。2.11 终端行为监控对于单位的实际办公中,如何规范内网用户行为,是节约成本、提高效率的关键因素
25、之一。对用户行为的监控,包括用户网络资源的使用是否合理、是否进行了与工作无关的网络访问等。如:BT下载、MSN/QQ聊天、浏览与工作无关的网站、玩电脑游戏、观看视频、听音乐等。l 软件监控通过对终端计算机运行的进程进行监控,可以发现用户正在运行的程序。可以通过进程黑名单的方式限制用户运行某些程序,例如游戏、攻击工具、视频播放器、MP3播放器等。限制用户利用计算机进行与工作无关的操作。l 上网控制通过对终端计算机的上网控制,可以限定终端计算机的网站访问、网络聊天和BT下载行为,使得终端计算机的用户行为得到有效控制,既可避免用户滥用网络资源,又能降低随意浏览互联网带来的安全隐患。2.12 终端配置
26、管理配置管理主要完成终端计算机的各种信息的收集和系统参数的配置。通过配置管理,IT管理人员可以准确掌握每台终端计算机的配置状况和运行参数,并对批量地对终端计算机的运行参数进行远程修改。l 主机信息收集收集终端计算机相关信息,如主机名、IP地址、网络参数、帐户信息、安装软件清单、硬件清单、驱动程序清单、服务清单、进程清单、系统日志等。为终端计算机的维护和故障诊断提供参考。l 网络参数设定设置终端计算机的网络参数,包括IP地址、网关、DNS、WINS等。当网络结构发生变动时,可以快速重新变更计算机网络参数。大大减轻IT管理人员的网络管理压力。2.13 终端远程维护LanSecS内网安全管理系统远程
27、维护作为IT管理人员一项不可缺少的工作,如果没有良好的技术手段做支撑,仅仅依靠电话、邮件等方式往往无法解决问题。从而加重了IT管理人员的负担。远程维护就是依靠技术手段和工具,远程对终端计算机进行故障诊断、系统修复和日常维护等。l 远程协助通过远程协助,IT管理人员可以响应远程终端计算机的协助请求,临时接管远程终端计算机,进行本地化操作。例如:开关机、搜索可疑文件、服务/进程查看、系统配置查看、资源使用监视等。IT管理人员完成维护操作后,释放对终端计算机的接管。l 预警平台预警平台可以为IT管理人员与终端用户建立一个即时通讯的平台,通过该平台,IT管理人员可以接受和回复终端用户的咨询,可以得到终
28、端计算机的安全告警,也可以定期向终端用户发布安全预警信息和安全管理策略等。方便了IT管理人员与用户的交流和交互。2.14 I/O接口管理LanSecS内网安全管理系统自动登记受控终端的硬件配置(包括CPU、内存、硬盘、显示卡、网卡等等),当受控终端的硬件发生变动时能自动向安全管理核心系统发出报警信息;允许或阻断用户对受控终端的各种输出设备进行访问,包括USB可移动存储设备、打印机、DVD/CD-ROM、软盘、磁带机、PCMCIA设备、COM/LPT端口、1394设备、红外设备等;对本地打印机使用情况进行审计;对受控终端的可移动存储设备的使用情况进行审计;对拨号访问情况进行审计。2.15 软件安
29、装审计对受控终端计算机上安装的软件进行控制,可以通过预警平台实施查看,终端计算机的违规行为,并且可以在安全事件中进行查询。对于软件的安装部署情况,可以通过资产管理进行在线软件安装情况检索。2.16 系统部署LanSecS内网安全管理系统能提供多种产品部署方式,可以进行统一的集中管理,也可以进行分级的管理模式。客户端的部署支持共享方式安装、网页点击下载安装、域分发安装、邮件群发安装、客户端本地安装等模式。3 内网安全管理系统设计概述桌面终端是网络的基础,其安全性将直接影响到本地安全、网络环境的安全以及网络应用的安全,桌面终端系统的安全在整体安全中占有重要的地位。在此方案中,我们采用由圣博润公司自
30、主研发的“LanSecS内网安全管理系统”产品实现桌面终端的统一安全管理。LanSecS内网安全管理系统产品是圣博润将在网络安全和信息安全行业长达7年的成长过程中研发的一系列产品集中整合的一个整体安全解决方案产品,其包含以下安全管理模块,并能根据用户需求添加更多的安全管理模块:l 安全加固l 安全审计l 安全服务l 安全文档l 安全网管l 资产管理3.1 产品设计思路LanSecS内网安全管理系统产品,实现各种信息安全功能的一体化,不仅仅是将多个信息安全产品从物理上由多个合并成一个,还包括了其他更多的内涵:l 立体的、全方位的网安全解决方案:涵盖认证、加密、监控、审计、管理信息安全需求的各个方
31、面;l 统一的权限管理:实现各个子服务器模块的安全管理,并且确保系统管理员、安全管理员、审计管理员三权分离;l 统一的审计平台:实现用户在终端的操作行为、用户的网络操作行为的集中审计,防止审计信息的篡改,以及快速定位安全事件的责任人和原因;l 统一的管理界面:将各个子服务器端管理员页面的风格统一,方便管理员的操作;l 完善的功能整合:各子服务器采用统一的安全操作系统和数据库,客户端提供统一集成的客户端;l 松散的系统耦合:结合具体需求,系统各组件以及功能子模块可灵活的组合,支持分布部署;l 灵活的系统部署:LanSecS内网安全管理系统服务端系统可快速替换的事务处理器和需要定期做好备份,确保故
32、障发生可快速修复。3.2 产品的设计原则l 安全性:系统支持采用PKI数字证书的身份认证管理;同时,系统能够基于用户关键行为提供详尽的审计日志报告,为客户端管理提供依据;l 紧凑性:通过1台安全设备以及配套的客户端软件即可解决北京市桌面内网安全管理问题;l 部署简易及快速:系统部署方便,对原有网络架构无需改动;管理员无需太多的专业知识,即可快速完成部署;l 简单易用:对每一个终端用户而言,非常的简单实用,不会带来麻烦,客户端可通过安装程序定制实现网络配置信息设定,最大化减少客户端的工作量;l 维护方便:在系统故障的时候,管理员能够快速定位故障,维护方便;3.3 产品的功能LanSecS内网安全
33、管理系统的产品功能包括:l 认证:网络接入认证各种移动存储设备接入认证;l 监控网络非法接入和外联监控设备监控文件监控打印监控进程服务监控共享监控软件监控;l 存储:文件的本地安全加密存储USB存储设备安全加密存储文件网络加密存储文件授权使用;l 审计用户对应用访问情况的审计网络接入情况的审计移动存储设备的接入审计各种监控日志的审计l 管理用户管理资产管理软件管理软件补丁管理和下发分权管理l 其他网络管理拓扑绘制流量监控系统报警客户端消息发送等等。3.4 产品的组成产品按照物理部署来分包括如下三部分:l LanSecS客户端软件(圣博润提供)l LanSecS控制台和服务器(圣博润提供)l L
34、anSecS服务器:文件、数据库、日志的统一存储服务器;注:LanSecS服务器一般由用户提供,并且按照产品的要求安装完操作系统(建议Windows 2000/2003)和SQL数据库即可。LanSecS服务器的数量可由用户数据存储量来定,至少1台。此设备可由圣博润负责采购,也可由用户自行采购产品的模块组成分为四部分:l 系统总控中心组件l 系统控制台组件l 客户端代理组件l 文件加密存储组件3.4.1 系统部署结构图中LanSecS标注部分就是本技术方案的所要安装部署的内容。 3.4.2 产品模块组成图1, 客户端模块组成以服务的形式运行于终端计算机,负责功能模块管理、策略管理、审计事件报告
35、等基本功能。安全审计、安全服务、安全加固、资产管理以及部分网管功能均以模块的方式由安全代理加载、维护和管理,安全代理的设计充分考虑了稳定性、安全性和兼容性要求。代理服务可防止恶意停止;全面兼容防病毒软件、防火墙软件、设计开发软件、业务软件、办公软件;安全代理不受个人防火墙约束的限制;并可提供准确的代理状态。安全代理支持Windows 2000、XP、2003 操作系统。2, 总控中心模块组成总控中心由策略中心服务器、审计中心服务器、安全网管服务器、预警平台服务器、证书/认证服务器以及补丁/软件分发服务器组成。这些服务器可分别部署在不同的硬件平台上,也可部署在同一个硬件平台上,视内网规模不同可采
36、用不同的部署方式。l 策略中心服务器:安全代理策略管理中心,提供安全管理员安全策略模版的管理、实时策略的管理、策略群发、策略查询等功能。l 审计中心服务器:接收安全代理发送的审计事件,并提供安全管理员统计查询以及手动报表、自动报表的功能。l 安全网管服务器:提供网络拓扑发现、地址绑定、流量统计、交换机运行状态管理、流量控制及报警等功能。l 预警平台服务器:提供网络管理员和终端用户实时交互的机制,统一发布相关安全管理规范、安全组织体系、安全宣传资料以及最新安全动态等信息。l 证书/认证服务器:提供系统内部使用证书的自动签发、用户身份认证以及授权的功能。l 补丁/软件分发服务器:提供补丁/软件下载
37、策略管理的功能以及补丁/软件下载服务。l 时间服务器:提供内网标准的时间服务,用于内网主机的时间同步。3, 系统控制台模块组成LanSecS系统管理入口,管理和维护总控中心服务器的运行状态;负责总控中心的策略配置、补丁部署、审计查看和预警响应;负责安全代理的运行策略设置。4, 身份认证模块组成用于存储受控计算机终端用户以及管理员登录认证的数字证书。其中管理员证书用于LanSecS内网安全管理系统的登录认证,用户证书用于系统的文件加密功能。3.5 产品一体化设计3.5.1 统一用户权限管理LanSecS提供统一的用户管理模块,网络终端计算机权限划分和移动存储设备管理各组件可共享统一的用户信息来为
38、用户分配使用权限;管理员能够通过LanSecS提供的用户管理模块实现LanSecS各组件的用户统一注册、管理,并根据用户具体应用需求情况进行不同权限的划分。3.5.2 系统分权管理LanSecS服务器端将各个组件分散的管理员权限管理模块集中起来,提供了一个集中的权限管理模块,并且按照权限分离原则,定义多种角色的管理员:l 系统管理员:负责生成系统操作员,并对系统操作员的权限进行设置;并且对整个系统的单位、部门进行规划;l 安全管理员:负责生成安全操作员,并对安全操作员的权限进行设置;l 审计管理员:负责生成审计操作员,并对审计操作员进行权限设置;每种角色的管理员权限都互不交叉,管理员在进行业务
39、操作过程中的操作信息也将进行审计。3.5.3 统一资产管理LanSecS包含资产管理模块,主要记录了终端PC设备以及服务器的基本信息(软件、硬件),MAC地址、具体使用位置、主要使用人等内容信息。作为终端防泄密、文件加密和权限设置、移动存储设备管理等组件可共享统一的资产信息来为终端PC分配使用权限;3.5.4 策略集中部署管理员能够根据所在北京市网络的具体情况和安全需求,利用LanSecS的策略定义模块定义LanSecS产品相关组件和模块的相关策略,并由策略中心将策略信息下发至各个模块以及LanSecS客户端执行。3.5.5 统一预警平台LanSecS拥有统一的预警接口,各功能模块、组件的审计
40、日志将集中发布至LanSecS安全预警平台模块。用户进行的关键操作由各模块产生相应的操作日志记录并提交至安全预警平台模块。预警平台模块提供多样报警方式,可以实现邮件、短信方式报警,并统一收集归档相关的日志信息,并通过数字签名确保审计信息的安全性、完整性以及可用性。同时,预警平台模块也能审计其他具有审计需求且符合审计模块接口的其他系统。3.5.6 可快速恢复的产品部署结构由于产品提供的功能较多,若一旦发生单点故障将造成全网应用瘫痪,因此我们设计LanSecS将服务和数据存储分离。这样设计的好处有:l 易维护:一旦服务不正常,则可通过导入原先配置信息即可恢复至配置备份时的系统状态。l 易备份:La
41、nSecS协服务器群可以通过现有成熟的技术RAID、磁带备份等技术来完成服务数据的备份;l 安全性高:将服务与数据存储分离,安全的数据内容隔离在单独的小网中,不易攻击和侵害。3.6 系统安全性设计3.6.1 系统代码安全LanSecS服务端和客户端核心模块都采用了代码签名技术,确保系统的核心模块真实可信。一旦核心模块被病毒感染或被替换,系统会自动识别有问题的核心模块,并提示。3.6.2 客户端进程防关闭LanSecS客户端软件的核心进程以服务的形式运行,并进行了进程守护、服务保护、注册表保护、文件保护等安全设计,确保了系统进程在运行过程中不会被用户强行关闭或杀死。同时,LanSecS服务端能够
42、自动检测客户端软件的运行状况,一旦发现异常则会立刻报警至系统管理员,并将该事件以日志的方式记录在日志系统中。3.7 客户端防卸载为了防止用户有意或无意的将客户端系统卸载,LanSecS客户端设计了一种特殊的系统安装方式。与传统的安装程序不同,LanSecS客户端提供给系统管理员一个安装程序生成工具,并由该生成工具产生一对客户端安装程序和客户端卸载程序。一个安装程序生成工具可以生成多组客户端安装程序和客户端卸载程序,且客户端安装程序仅能通过同时生成的客户端卸载程序进行卸载。该卸载工具仅提供给每个部门的维护人员即可,并由其来实现客户端软件在必要时间的卸载操作。每个部门的系统维护人员通过该卸载程序仅
43、能卸载本部门终端上安装的客户端程序,不能卸载其他部门终端的LanSecS客户端软件。3.8 系统部署设计LanSecS系统能够根据用户需求进行灵活部署。可以采用分级部署方式,也可以完成集中部署方式,采用集中管理控制方式。以下为集中部署采用的网络结构示意图:以下为采用分级部署采用的网络结构示意图:如图所示,LanSecS系统能够以灵活的方式,既可以部署在北京市的信息中心,也可分布部署在各个部门内部或部门的独立专网内。通过对北京市的实际考察,建议采用集中部署。4 报价 货币:人民币/元序号名称单价数量合计1客户端软件80040320002服务器端软件12000112000总报价(大写): 叁万捌仟圆整 ¥:44000.00 第 22 页