《{安全生产管理}内网安全解决方案》由会员分享,可在线阅读,更多相关《{安全生产管理}内网安全解决方案(55页珍藏版)》请在金锄头文库上搜索。
1、内网安全管理系统解决方案模板目录1.方案概述51.1信息安全现状分析51.1.1信息安全现状51.1.2建设内网安全管理系统的必要性51.1.3内网安全管理最终目标61.1.4Xxx内网安全管理系统设计标准72.内网安全需求分析82.1终端运维管理需求分析82.1.1系统运行管理分析82.1.2系统监测需求分析102.2终端安全加固需求分析102.3终端安全审计需求分析123.XXX内网安全管理系统解决方案133.1方案目标和内容133.2终端运维管理解决方案143.2.1防病毒软件管理143.2.2文件安全143.2.3系统日志管理153.2.4时间同步153.2.5远程协助163.2.6资
2、产管理163.2.7补丁管理183.2.8软件及消息分发203.2.9设备入网监测233.2.10网络流量监测243.2.11健康监测243.2.12主机性能监控243.3终端安全加固解决方案263.3.1终端安全配置263.3.2终端防火墙273.3.3终端主机准入控制283.3.4移动存储介质管理283.3.5网络参数配置333.4终端安全审计解决方案353.4.1进程监控353.4.2服务监控363.4.3打印监控363.4.4文件监控373.4.5注册表监控383.4.6共享监控393.4.7设备监控393.4.8账户监控403.4.9网络行为审计413.4.10违规外联监控413.4
3、.11软件安装监控424.内网安全管理系统部署及建议424.1系统部署434.2其他建议435.内网安全管理系统设计概述435.1产品设计思路435.2产品的设计原则445.3产品架构445.3.1客户端程序455.3.2总控中心455.3.3管理控制台465.3.4系统数据库465.4产品性能465.4.1总控中心性能465.4.2客户端程序性能465.4.3产品性能指标475.4.4自身安全性475.5产品部署475.5.1部署模式475.5.2本地部署485.5.3分级部署486.成功案例(部分)501. 方案概述1.1 信息安全现状分析1.1.1 信息安全现状随着业务的飞速发展,单位网
4、络结构日趋复杂,总部对部门、分支机构的管理比较困难,在网络中各个节点均可能造成病毒传播、非法接入和终端违规操作等问题,内网安全风险日益凸显;各节点随意连接互联网,各用户在工作时间P2P下载占用较大的带宽资源,用户随意接入一些不良网站,造成网络中大量木马、病毒的传播,引发安全风险,论坛发帖带来潜在的法律风险也非常大,内部ARP欺骗现象严重,网络故障无法准确定位,单位涉密信息被非法泄漏,严重的破坏了业务发展。分析表明,单位的网络信息安全建设是一项复杂的系统工程,科学的建立内、外网是网络安全的基础,应用软、硬件技术是保证网络安全的手段,建立单位信息安全管理制度是网络安全的保证。1.1.2 建设内网安
5、全管理系统的必要性目前,单位的网络建设有了很大的发展,但还比较脆弱,自身安全性不高,在日常管理中还存在着不少问题:l 难以监控外来计算机接入内网。办公楼层规模化的网络接口方便了员工接入网络,同时也方便了外来计算机接入网络,管理人员对此类情况难以判定并加以监视和控制。l IP地址使用存在一定混乱。如果没有严格的管理策略,员工随意设置IP地址,可能造成IP地址冲突,甚至导致关键设备的工作异常。若出现恶意盗用、冒用IP地址以谋求非法利益,后果将更为严重。l 各类网络基础信息搜集不全。信息管理中心对所管辖网络的用户和资源状况难以掌握,设备软硬件配置与变更也难以知晓,发生违规事件时很难及时将问题定位到具
6、体用户。l 外围设备使用控制困难。为了保证内部安全,要求对网内各计算机设备的外围设备使用情况进行控制,禁止或限制使用软驱、光驱、USB盘、并行、串行口、红外口、1394口、Modem等外围设备,防止利用移动存储设备进行数据文件的拷贝。l 操作系统补丁问题。每隔一段时间微软发布修复系统漏洞的补丁,但很多用户不能及时使用这些补丁修复系统,造成重大损失。现在网络结构庞大,网管要保证每台终端及时全面的安装响应补丁,工作量很大,且很难实现。l 文件拷出与打印等难以管理监控。政府常有重要的文件,如设计图纸、报表等,对这些重要且必须保密的资料的拷入拷出、打印等操作无法监控,出现信息泄露事件也无从追溯。1.1
7、.3 内网安全管理最终目标为单位提供集中的终端(桌面)综合安全管理的桌面管理产品,打造一个安全、可信、规范、健康的内网环境。满足用户的以下需求:l 确保入网终端符合要求l 全面监测终端健康状况l 保证终端信息安全可控l 动态监测内网安全态势l 快速定位解决终端故障l 规范员工网络行为l 统一内网用户身份管理l 杜绝移动存储介质滥用l 提高和实现软件正版化在为单位提供终端安全保护手段的同时,内网安全管理系统还要强调为单位提供便利的终端运维管理手段。集中式、人性化的终端管理能力是内网安全管理系统的特色。1.1.4 Xxx内网安全管理系统设计标准Xxx内网安全管理系统的设计参考了如下国家标准:l G
8、B/T22239-2008:信息系统安全等级保护基本要求l GBT 22240-2008:信息系统安全等级保护定级指南l GBT 22241-2008:信息系统安全等级保护实施指南l 公安部中间件传输技术标准规范l 公共数据交换系统标准l 请求服务系统标准l 信息授权策略标准l 数字证书格式标准2. 内网安全需求分析内网安全设计应从实际需求出发,实现内网信息严格保密的需要,完成终端安全防护和网络安全防护,同时系统应是一个具有灵活性,开放性,便于扩充升级的综合系统。网络安全管理平台方案应具有以下特点:1.采用最新的高科技成果,使其在网络信息管理领域具有较高的水平。2.扩充方便,修改灵活,操作维护
9、简单,系统重启时间短,能适应业务的快速变化。3.充分利用现有各种系统的资源,以节省运行成本。4.规范系统,从整体的角度来考虑系统的结构设计,基本包括计算机管理系统、相关数据库系统间的直接或间接互连。2.1 终端运维管理需求分析2.1.1 系统运行管理分析通过系统运行管理确保终端主机以最安全的状态运行,有效地减少病毒爆发和木马泛滥带来的内网安全隐患,减少终端计算机被入侵的可能性。具体分析如下:1.防病毒软件管理防病毒软件是计算机终端防病毒的最终防线,也是最重要的一部分。防病毒软件要保证长期、稳定的运行并保持最新的病毒库更新才能真正起到防病毒作用.2.文件安全普通终端计算机的不稳定性、安全性造成重
10、要、涉密数据存在流失、丢失和泄密的威胁,需要把重要数据存储在更为安全的服务器上规避信息风险.3.时间同步员工对计算机网络日益依赖,几乎所有的业务都通过计算机来实现。然而,计算机本身的时间精度并不高,走时不准;可能因时间差异造成业务无法正常完成。特别是指挥系统、调度系统、网管系统、计费系统、分布式数据库服务器等应用系统对时间同步的要求更为严格;4.系统日志管理为保证单位中每一台主机能正常运转,最简洁且有效的方式是管理员通过系统日志有针对性地管理。5.远程协助网络管理员任务繁重,如何不用到每台计算机的现场就解决远程计算机维护工作,把管理员从日常繁重工作中解脱出来?远程协助功能在此可以发挥作用。6.
11、资产管理由于用内网中的计算机众多,管理人员对网内的资源占用和用户情况难以准确掌握和更新,对实际接入的计算机数量难以进行精确的统计,对面临的危害难以做出动态的评估和有效的防范。内网中资产管理、变更的统计、分析及报警是保护单位利益的重要方式单位对此项功能的需求非常强烈。资产信息管理报表可作为单位合规部门的重要数据。7.补丁管理系统补丁管理是内网安全管理的重要环节,成熟的系统补丁管理可以使管理人员对操作系统及应用软件的补丁进行部署和维护控制,可以帮助保持终端运作效率和有效性,克服安全漏洞并保持办公环境的稳定性。通过成熟稳定的补丁管理程序在网络环境中评估并保持系统软件的完整性,也是成功实施信息安全程序
12、的关键步骤。目前,很多单位在网络部署了微软的软件更新服务(WSUS),但单纯的WSUS在补丁管理上存在以下问题:(1)配置复杂:如果网络区域没有实现域管理,无法方便配置众多终端计算机的补丁更新策略,使得补丁更新不可控。(2)信息获取有延时:重要补丁不能及时安装后果可能非常严重,终端计算机从内网WSUS获得最新补丁信息并下载安装,可能有2224小时的延时。(3)无法明确补丁安装情况:WSUS不能获取各终端计算机的补丁信息,无法迅速定位处于危险中的计算机。8.软件及消息分发员工多、更新软件多及单位的单位公用消息多为当前单位信息化建设中需着重考虑的问题,软件分发、消息分发可方便、快捷地满足单位的信息
13、化要求。2.1.2 系统监测需求分析通过系统监测可以让管理员及时了解整个网络内终端主机的状态,针对存在的安全隐患及时采取有效措施,更好地保证内网的可靠性。具体分析如下:1.设备入网接入内网的计算机应该是专用于业务工作的计算机,其他外来用户随意接入网络,可能会造成病毒传播、重要机密数据泄露等危险。从传统的网络管理手段来说,可以通过在交换机上进行MAC地址与端口的绑定来达到防止外来用户随意接入的目的。但是这种方法会给管理人员带来比较大的工作量,特别是大型网络的管理工作更繁重,使用这种方式缺少操作的灵活性,对于任何一台新接入的设备都必须要在相应的交换机上进行配置,管理非常不便。2.网络流量监测网络健
14、康运行,对流量的监控、管理极为重要,网络流量的控制和审计已经成为能否使网络正常运行的重要手段。3.健康监测每个接入内网的计算机应该是健康的,即操作系统补丁、病毒库更新及时、终端安全配置和在遵守单位的单位相关规定前提下策略要求,只要每台计算机是健康的,网络才是健康的。4.性能监测对终端计算机的CPU使用、内存使用和磁盘使用情况的动态监测,对终端计算机的网络通讯流量的控制、审计和统计,同时对终端计算机的安全状况的动态监测,并为终端计算机用户提供手动评估计算机安全状况及掌握内网环境的安全状况以及安全变化态势,是保证内网及终端计算机的健康运行的基础。2.2 终端安全加固需求分析1.终端安全配置为实现主机运行安全策略的最优化,确保终端主机的安全管理,对每台终端计算机的本地安全策略、对本地系统环境进行安全设置管理是非常必要的。2.终端防火墙通过系统内置防火墙,对终端计算机的访问目标进行限定,对终端计算机的网络访问进行控制,对网内计算机互访权限设定,可有效地保护网内重要、涉密信息的安全。3.终端主机准入控制随着信息化建设发展,单位内网计算机数量与日俱增,同时各个单位合作日益频繁,经常有不属于本单位的第三方运维人员终端计算机连接到内网。在这种情况下,也无法区分哪些是内网授权使用的计算机,哪些是外来的非授权使用的计算机。这种状况下
