《内网安全风险管理和审计系统产品白皮书》由会员分享,可在线阅读,更多相关《内网安全风险管理和审计系统产品白皮书(36页珍藏版)》请在金锄头文库上搜索。
1、天珣内网安全风险管理和审计系统产品白皮书(V6.6.9.0)北京启明星辰信息技术股份有限公司Beijing Venus Information Tech. Inc.2008年7月版权声明北京启明星辰信息技术有限公司版权所有,并保留对本文档及本声明的最终解释权和修改权。本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,其著作权或其他相关权利均属于北京启明星辰信息技术有限公司。未经北京启明星辰信息技术有限公司书面同意,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。“天珣”为启明星辰信息
2、技术有限公司的注册商标,不得侵犯。免责条款本文档依据现有信息制作,其内容如有更改,恕不另行通知。北京启明星辰信息技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠,但北京启明星辰信息技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任信息反馈如有任何宝贵意见,请反馈:信箱:北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦 邮编:100193电话:010-82779088传真:010-82779000您可以访问启明星辰网站:获得最新技术和产品信息。目录版权声明i免责条款i信息反馈i1内网安全挑战12终端合规管理,内网安全解决之道32.1内网安全,合规先行32
3、.2Venus终端五维合规管理模型43产品主要功能63.1终端安全控制73.1.1终端安全状态自动检测与强制修复73.1.2终端访问控制73.1.3终端异常流量抑制83.1.4终端基于网络行为模式的威胁主动防御83.1.5终端安全加固83.1.6IP管理93.1.7多网卡非法外联控制93.2业界领先的多层准入控制93.2.1基于802.1x的网络准入控制113.2.2基于EOU的网络准入控制123.2.3应用准入控制133.2.4客户端准入控制143.2.5网络准入增值应用163.3桌面管理功能163.3.1资产管理173.3.2Help On Demand远程桌面173.3.3补丁管理183
4、.3.4进程管理183.3.5PC外设管理193.3.6软件分发193.4移动存储管理203.4.1移动存储设备认证203.4.2专用目录数据加密与共享授权203.4.3专用目录数据加密与共享授权203.4.4移动存储设备管理审计213.5终端审计213.5.1文件操作审计与控制213.5.2打印审计与控制213.5.3网站访问审计与控制223.5.4异常路由审计223.5.5终端Windows登录审计224体系架构与部署方式234.1CSC系统体系架构234.2部署方式245系统特性265.1领先的CSC系统架构265.2易于部署和管理265.3合规管理确定有效275.4系统安全可靠285.
5、5系统优良的性能、伸缩性和可扩展性286成功案例306.1用户:某银行(代称:G银行)306.1.1需求306.1.2部署306.1.3收效316.1.4客户评价311 内网安全挑战根据CSI/FBI等权威机构公布的数据,在所有已经发生的安全事件中,超过80%的安全事件都发生在企业内网中,内网安全面临前所未有的挑战。内网安全面临的挑战,集中表现在以下两个方面:内网安全控制挑战1. 终端未经安全认证和授权即可随意接入内网;2. 内部终端存在的安全漏洞不能及时修复;3. 终端接入后对内网的非授权访问难以管理;4. 被动防御蠕虫病毒及木马的破坏和传播;5. 蠕虫攻击导致网络或系统瘫痪,影响核心业务的
6、运作;6. 用户随意改动IP地址,对网络审计带来困难;7. 用户随意安装和运行软件,随意占用有限带宽资源。终端数据安全挑战1 终端使用未经认证的U盘等移动存储设备进行数据保存;2 通过U盘等进行数据交换,不受控制;3 未经认证的U盘成为病毒传播的载体;4 存有关键数据的U盘丢失或失窃造成严重的泄密事故;5 终端用户可以轻易通过拨号、私设代理等非法外联手段,传播内部重要数据或资料。终端行为审计内部关键数据失窃后,难以追查;通过网络共享交换数据不受控制;滥用打印机打印小说或保密资料。内网终端IT支持挑战1. 无法精确统计IT资产,确定每台电脑的硬件配置,确定软件的安装情况;2. 无法跟踪资产的历史
7、使用纪录,也不能及时掌握资产变动情况;3. 终端电脑的使用故障,需要IT维护人员赶到现场处理;4. 无法及时掌握终端进程运行情况,木马程序可能就混在其中;5. 需要合适的工具帮助管理员快速有效分发软件和补丁;6. 需要对PC外设如USB、Modem、无线设备等进行监控和管理;2 终端合规管理,内网安全解决之道2.1 内网安全,合规先行 “道高一尺,魔高一丈”,面对内网安全的巨大挑战,解决之道就是要找出内网安全问题的根源和规律,从源头解决内网安全问题。内网安全问题的根源,存在于内网自身,尤其内网中数量巨大而分布很散的终端电脑,由于缺少有效的终端集中安全管理系统,即使企业已经为内网安全制定了严格的
8、安全管理制度和流程,制度的执行主要依靠终端用户自觉完成,现实是大部分用户的终端仅仅只依赖防病毒软件和个人防火墙进行安全保护,安全管理执行力不足,安全管理制度形同虚设。现实中,经常会因个别终端疏于打安全补丁、防病毒软件未及时升级、防火墙规则过于宽松、可以随意下载和安装不明软件、滥用网络资源等等,这些终端自身存在大量的安全漏洞和管理空白地带,使得威胁有了可乘之机,一有机会,便被作为内网攻击的入口或跳板,不仅本身会受到攻击和破坏,更为严重的攻击,会造成内网阻塞和瘫痪和内部关键数据或文件失窃,为企业带来巨大的损失。事实上,如果能将制定内网安全规范在每一台终端有效执行下去,通过有效的安全控制手段,及时修
9、复终端存在的漏洞、并实现终端用户的网络行为可控制、可管理和可审计,使内网各项安全指标达到企业预设的安全管理标准和效果,从而有效解决内网安全问题。 Venus通过多年的网络安全实践,发现内网安全问题,实质上不是因为威胁高深莫测,而是在于内网安全管理有章不循,如果内网安全管理规章制度能够有效执行下去,内网安全问题将得到有效的解决。终端作为内网安全管理的主体,是否能够达到内网安全管理规章要求,将是内网安全的关键,因此内网合规管理的核心是终端合规管理。正是基于此,Venus围绕“合规管理”核心用户价值,推出了业界领先的内网合规管理产品:“天珣内网风险管理与审计系统”。2.2 Venus终端五维合规管理
10、模型终端是否安全合规,就看是否能够很好回答以下几个问题:1、 终端自身是否具备对外来的威胁和攻击的防御能力?2、 终端的合规管理策略是否能够100%有效执行下去?3、 终端的信息是否能够及时完全掌握?4、 终端的数据是否具备足够的保密性、数据交换是否安全受控?5、 是否具备终端合规审计,促进合规管理持续改善?针对以上五个问题,Venus创造性提出了“终端五维合规管理模型”,将终端合规管理归类为五部分,分别是:“主动防御”,“准入控制”,“终端防泄密”,“桌面管理”和“终端审计”。下图为终端五维合规管理模型示意图:图1 Veuns终端五维合规管理模型其中:“主动防御”: 为终端提供“软猬甲”,使
11、终端具备威胁主动防御能力,保护终端免受攻击和破坏,最终保障内网安全和不间断运行,并确保用户网络访问行为合规。“准入控制”: 全新构建内网“安检系统”,保证终端安全接入内网,保证终端接入行为受控,保证合规管理策略100%执行。“桌面管理”: 提供精确和完整的终端信息,为合规管理提供基础数据保证。“终端防泄密”: 需要同时解决终端数据保密性问题和数据传播途径受控的问题。通过对终端关键数据进行加密和授权共享管理,提升终端数据保密性,同时结合完善的非法外联控制和移动存储管理技术,实现关键数据受控共享。天珣提供的五维合规管理模型,彻底颠覆了以往内网安全管理被动和执行力低下的问题,并通过实现从“准入控制”
12、、“主动防御”、“数据防泄密”、“桌面信息管理”和“终端审计”的动态闭环的内网合规管理体系,在应对内网安全威胁的斗争中,掌握了主动权和制高点,只有依靠有限的安全控制手段,有效应对无限的内网威胁。3 产品主要功能天珣内网风险管理与审计系统,作为一套终端合规管理软件产品,在Venus的“五维终端合规管理模型”框架下,并从用户现实需求出发,产品也划分为五个功能模块,分别为:“终端安全控制”,“准入控制”,“终端桌面管理”,“移动存储管理”和“终端审计”,覆盖了终端合规五维领域。其中:“终端安全控制”是在主动防御的目标下,实现了与合规管理密切相关的终端安全控制,即终端内网访问控制、流量控制、网络行为模
13、式控制、ARP欺骗控制、非法外联控制等等终端安全控制手段,保证终端双向访问安全,行为受控。同时天珣终端安全控制还能够有效监控和管理第三方防病毒软件等恶意代码查杀工具软件,协同构建终端主动防御能力。“移动存储管理”是作为终端防泄密控制中,针对终端通过移动存储进行数据交换和共享安全性的要求,天珣单独将“移动存储管理”作为一个模块,通过实现终端的移动存储的认证、数据加密和共享受控管理,并结合终端安全控制模块和桌面管理模块所提供的非法外联控制手段,彻底解决了用户对防泄密控制中通过移动存储进行数据安全交换和受控共享的迫切要求。下表是天珣功能模块及对应的功能列表:表1 天珣产品功能列表序号模块名称功能类表
14、1终端安全控制终端安全状态自动检测与强制修复终端访问控制分布式终端带宽管理终端基于网络行为模式的威胁主动防御终端加固IP管理终端多网卡控制2准入控制基于802.1x的网络准入控制基于EOU的网络准入控制应用准入控制终端准入控制3桌面管理资产管理HOD远程桌面外设管理补丁管理软件分发4移动存储管理移动存储设备认证专用目录加密与共享授权全盘加密与共享授权移动存储管理审计5终端审计文件操作审计与控制打印审计与控制网站访问审计与控制异常路由审计终端Windows登录审计3.1 终端安全控制天珣就是这样一款集中管理的内网终端合规管理系统,其客户端内置强大的终端安全控制引擎,通过预设策略,实现对终端的威胁主动防御和终端网络行为控制,保证内网安全可靠。3.1.1 终端安全状态自动检测与强制修复天珣监控终端的系统补丁、防病毒软件、运行软件、弱密码、可疑的注册表等。如果桌面电脑没有安装规定的补丁,防病毒软件的运行状态和升级状态不符合要求,没有运行指定的软件、运行了禁止的软件、或运行的软件超出了规定的范围,或有其他的安全漏洞,该终端的网络访问将被禁止。此时天珣启动自动修复机制,或提示用户手工进行修复。待修复完成,终端将自动得到重新访问网络的授权。 3
