《网御星云内网安全管理系统》由会员分享,可在线阅读,更多相关《网御星云内网安全管理系统(27页珍藏版)》请在金锄头文库上搜索。
1、网御内网安全管理系统北京网御星云信息技术有限公司原联想网御科技(北京)有限公司目 录一、内网安全管理系统背景41.1内网安全概述41.2内网安全管理的重要性51.2.1内网威胁51.2.2如何加强内网安全7二、内网安全管理系统概述9三、内网安全管理系统功能103.1产品九大功能103.1.1准入控制管理103.1.2数据防泄漏113.1.3实名制管理143.1.4终端维护管理153.1.5补丁分发管理183.1.6终端资产管理193.1.7上网行为管理203.1.8报警控制台213.1.9产品协同防护22四、内网安全管理系统功效234.1整体功效234.2文件监控与审计234.2.1杜绝文件操
2、作不留痕迹现象234.2.2杜绝信息拷贝的无管理状态244.3网络行政监管244.3.1应用程序报告及应用程序日志244.3.2浏览网站报告及浏览网站日志244.3.3应用程序禁用254.4网络辅助管理254.4.1远程桌面管理254.4.2远程控制254.4.3远端计算机事件日志管理254.4.4远程计算机管理254.4.5信息化资产管理264.5网络客户机安全维护264.5.1补丁分发管理264.5.2网络漏洞扫描274.6安全接入管理274.6.1非法主机网络阻断274.6.2网络白名单策略管理274.6.3IP和MAC绑定管理284.7策略管理284.7.1基于网络场景的管理策略284
3、.7.2基于用户帐户的策略管理284.7.3基于在线、离线状态的策略管理294.7.4基于分组的策略管理29一、 内网安全管理系统背景1.1 内网安全概述目前,比较流行或者说应用比较广泛的一些网络安全系统主要有:防火墙、杀病毒、入侵检测、身份认证、漏洞扫描等等,但这些网络安全系统基本都是专门针对某一类型网络安全威胁的工具,主要定位在防范来自外部网络的安全威胁,并不能够解决大部分内部网络安全问题:防火墙关注的是边界安全,对于内部的各种非法滥用和攻击行为无能为力;杀病毒的定位更为清晰和专业,就是针对病毒等恶意代码的攻击,不管内部网络行为和设备的应用等等。我们都知道,进行网络安全体系建设,要综合考虑
4、、注重实效,在我们考虑防火墙杀病毒、入侵检测,甚至身份认证等系统来解决有关外部黑客入侵、病毒困扰时,也要同时考虑来自内部网络的可信环境下的非授权网络行为和授权滥用行为,因为这些才是网络安全面临的最大威胁,也是网络安全的最大挑战。最理想的状态是,我们能够有效的分析各内部网络环境下比较具体和重要的网络安全威胁,并组织相应的技术、产品以组合方案的方式,统一解决;既考虑到投入成本与效益之比,又能最大程度上避免“木桶原理”的安全诅咒1.2 内网安全管理的重要性1.2.1 内网威胁随着信息网络不断发展,内部泄密和内部攻击破坏已经成为威胁网络安全应用的最大隐患。在众多的内部网络安全威胁中,最主要和最应关注的
5、有:首先,内部人员或设备的主动或者被动泄密泄密问题一直是内部网络的一个头疼问题,尤其是对于涉及国家机密或者事关企业生存和发展的核心秘密,如国防军队/军工单位和政府行政办公的有关信息、设计行业的设计方案信息、数据提供企业和商业企业的关键数据及公司战略竞争信息等等,都不可避免的需要在内部计算机和网络中产生、传输、存储、修改和应用,涉及到的人员、设备也比较多,因此泄密的危险性也比较大。泄密的途径,也主要有两个,一是人员,二是机器设备;从主观态度上来看,一种是无心的过失泄密,另一种则是蓄意的主动泄密行为。无论是什么形式的泄密行为,都将会给企业带来不可忍受的损失,有的甚至侵害到国家的安全、利益。因此,我
6、们需要对内部人员的计算机和网络操作行为进行规范,对网络内部的各种设备进行统一管理、授权。其次,内部人员主动或被动的制造传播病毒等恶意代码在网络应用非常深入的单位,总会有一些对网络技术非常感兴趣的人员,这些人也许是有着某种目的,或者纯粹为了好奇,而制造、传播一些有病毒、后门等特征的恶意代码,这些代码如果不进行及时的处理,有可能会引起网络的混乱,使得部分甚至全部的网络资源不可用,从而影响单位的生产、办公。还有些人员或设备,在没有防备的情况下,中了内部或者外部“恶性病毒”的“招”,成为病毒攻击内部网络的“桥”,从主观上来讲,这些设备和人员是被动的,他们不知道已经被利用,然而他们的这些无意识行为也给网
7、络运行造成了不良影响。这些病毒、木马等恶意程序往往利用系统漏洞进行破坏。第三,非授权使用或者授权滥用大部分单位都有管理制度来规范网络资源的使用,详细规定了某人或某机器在什么时间、什么地点做什么类型的事情。也就是说,区分了授权和非授权操作。但事实上实际情况往往不是这么简单。众多内网用户,会探测、尝试进入非授权的领域。例如某公司规定程序员在上班期间不许上网,但员工却能想出很多办法,在上班期间也能上网;还比如,某员工无权访问单位的业务数据库,他通过攻击、欺骗等等手段,获得了访问数据库的权限;至于网络资源滥用的实例就不胜枚举了:有权上网的员工,没有利用互联网去开展业务,而是在下载电影、玩游戏等等,非工
8、作需要拷贝、修改公司的关键数据等等。大部分单位都想通过相应的制度来控制这些情况,然而实际效果却并不理想。非授权使用或授权滥用依旧是我们最头疼的。第四,内部人员或者设备的主动或者被动攻击从网络诞生的那一天开始,黑客就存在,发展到今天已经到了无孔不入的地步,而且还在进一步蔓延,许多黑客攻击行为已经不需要太多的网络攻击知识,只需简单的攻击程序和设置就可以实现。在内部人员和设备中,也不乏这样的角色,他们本身不具有很高超的攻击水平,而只是应用现成的攻击程序来实现“黑客”目的,主动或者干脆被一些真正的黑客利用被动的去攻击内部网络的一些目标。黑客技术正在不断的迅速发展与变化,从一个漏洞发现到攻击代码实现,到
9、蠕虫病毒产生,几年前可能是几个月甚至半年多,而现在几周甚至一天就可以完成。在微软发布MS04011公告时,NGS的David在看到公告的8分钟后写出了攻击代码,Xfocus成员也在6小时内写出了通用的攻击代码。第五,因安全管理不善,引发的IT资源不可用或者资源损失这里的管理不善,主要是指没有一套科学的内部网络资源使用管理制度,或者制度执行不力。比如,我们规定在某一些工作计算机上,不能安装运行某些软件,可是还是有人安装了;对内部网络的IP/MAC地址,做了统一的部署,可是还是有人任意的修改;任意的将非本网络的设备接入内部网络;任意添加或删除各种硬件设备、修改网络属性等等,这些行为都应该得到彻底的
10、规范。第六,客户机自身存在安全缺陷,导致网络内部安全隐患网络当中的客户机很多,终端的存在安全隐患容易导致网络安全事件。如客户机存在安全漏洞,可能会引发蠕虫病毒等威胁。如果配置不完善,则容易导致信息泄露甚至黑客攻击事件的发生。因此,维护每台客户机自身的系统安全性,也是应该予以考虑的。1.2.2 如何加强内网安全根据内部人员违规、犯罪特点,要加强内网安全必须采取事先预防、事中监控、事后审计的方针。事先预防就是要防患于未然。利用漏洞进行攻击也成为黑客最常用的手段之一。攻击者首先通过扫描工具发现漏洞,然后利用相应的攻击工具实施攻击。这种攻击模式简单易行,危害极大。由此可见,操作系统或者应用程序的漏洞是
11、导致网络风险的重要因素。消除漏洞的根本办法就是安装软件补丁,补丁分发管理越来越成为安全管理的一个重要环节。补丁管理也需要有很强的及时性由于黑客技术的不断积累和发展,留给网络管理员进行漏洞修补的时间将会越来越少。因此补丁管理也就需要有很强的及时性,如果补丁管理工作晚于攻击程序,那么企业就有可能被攻击,造成机密信息泄漏。然而,在一个较大的局域网中,普遍存在机器配置档次高低各异、操作系统分门别类、系统软件千差万别等问题,网络管理员要想同时对这几百台甚至上千台终端设备及时快速地打上新的补丁程序,几乎是不可能的。要靠手工保障每一个补丁在安装后正常运行,不对整个网络系统造成其它破坏和隐患,更是完全不可想象
12、的。因此对于终端节点众多的用户,繁杂的手工补丁安装已经远远不能适应目前大规模的网络管理,必须依靠新的技术手段来实现对操作系统的补丁自动修补。自动化的补丁分发管理工具已经成为网络安全管理人员实现及时、严密、持续的补丁管理的必备工具。同时,除以上技术手段外,还应该从制度入手,严格规定人员、设备、数据资源的安全级别,制订明确的规章制度并严格执行。严格限制重要信息数据的传播范围,限制能够接触重要信息的人的行为。例如,对于数据传输、复制设备要控制使用,避免造成信息泄露;对于接触重要信息数据的设备和人员进行严密监控,防止非法操作;对于执行的程序和上网行为进行限制,防止运行危险软件和对非法网站的访问;禁止非
13、法外联和非授权主机接入,防止来自外部的威胁。事先预防要通过必要的技术手段来实现,包括设备使用、应用程序、上网行为、文件操作、网络访问等的监控,使具有一定权限的人员只能使用指定的设备,完成指定的操作。将机要信息完全封闭在有限的网络区域内,防止信息被无意泄露和有意窃取。事中监控仅次于事先预防,对于违反安全策略的行为要及时报警,通过策略机制进行响应,将损失减到最小。 事后审计是内网安全的必要措施,所有网络、终端的用户重要行为都应严格记录、储存,便于事后查找。二、 内网安全管理系统概述网御内网安全管理系统是网御协同防护解决方案的重要组成部分,部署在企业的内部网络中,用于保护企业内部资源和网络的安全性。
14、网御内网安全管理系统可以对内部终端计算机进行集中的安全保护、监控、审计和管理,可自动向终端计算机分发系统补丁,禁止重要信息通过外设和端口泄漏,防止终端计算机非法外联,防范非法设备接入内网,有效地管理终端资产等。网御内网安全管理系统可以与防火墙、漏洞扫描设备进行有机联动,共同提供全网安全解决方案。三、 内网安全管理系统功能3.1 产品九大功能3.1.1 准入控制管理 在线主机监测可以通过监听和主动探测等方式检测系统中所有在线的主机,并判别在线主机是否是经过系统授权认证的信任主机。 主机授权认证可以通过在线主机是否安装客户端代理程序,并结合客户端代理报告的主机补丁安装情况,防病毒程序安装和工作情况
15、等信息,进行网络的授权认证,只允许通过授权认证的主机使用网络资源。 非法主机网络阻断对于探测到的非法主机,系统可以主动阻止其访问任何网络资源,从而保证非法主机不对网络产生影响,无法有意或无意的对网络攻击或者试图窃密。 网络白名单策略管理网御内网安全管理系统可以自动生成默认的合法主机列表,根据是否安装安全管理客户端或者是否执行安全策略,来过滤合法主机列表,快速实现合法主机列表的生成,降低管理员的工作量。同时允许管理员设置白名单例外列表,允许例外列表的主机不安装客户端但是仍然授予网络使用权限,并根据需要授予可以和其他授权认证过的主机通信的权限或者允许和任意主机通信的权限。 IP和MAC绑定管理可以将终端的IP和MAC地址绑定,禁止用户修改自身的IP和MAC地址,并在用户试图更改IP和MAC地址时,产生相应的报警信息。 防病毒软件管理可以检测终端上是否安装有防病毒软件,以及安装的防病毒软件是否处于工作状态,病毒库是否过期等信息。网御内网安全管理系统可以辅助客户端完成防病毒软件病毒库的更新,对
