《[安全生产管理]解决方案北信源内网安全管理系统解决方案北信源》由会员分享,可在线阅读,更多相关《[安全生产管理]解决方案北信源内网安全管理系统解决方案北信源(28页珍藏版)》请在金锄头文库上搜索。
1、安全生产管理解决方案北信源内网安全管理系统解决方案北信源目录1.前言31.1.概述31.2.应对策略42.终端安全防护理念52.1.安全理念52.2.安全体系63.终端安全管理解决方案73.1.终端安全管理建设目标73.2.终端安全管理方案设计原则73.3.终端安全管理方案设计思路83.4.终端安全管理解决方案实现103.4.1.网络接入管理设计实现103.4.1.1.网络接入管理概述103.4.1.2.网络接入管理方案及思路103.4.2.补丁及软件自动分发管理设计实现153.4.2.1.补丁及软件自动分发管理概述153.4.2.2.补丁及软件自动分发管理方案及思路153.4.3.移动存储介
2、质管理设计实现193.4.3.1.移动存储介质管理概述193.4.3.2.移动存储介质管理方案及思路203.4.4.桌面终端管理设计实现233.4.4.1.桌面终端管理概述233.4.4.2.桌面终端管理方案及思路243.4.5.终端安全审计设计实现363.4.5.1.终端安全审计概述363.4.5.2.终端安全审计方案及思路364.方案总结421. 前言1.1. 概述随着信息化的飞速发展,业务和应用逐渐完全依赖于计算机网络和计算机终端。为进一步提高单位内部的安全管理与技术控制水平,必须建立一套完整的终端安全管理体系,提高终端的安全管理水平。由于单位内部缺乏管理手段,导致网络管理人员对终端管理
3、的难度很大,难以发现有问题的电脑,从而计算机感染病毒,计算机被安装木马,部分员工使用非法软件,非法连接互联网等情况时有发生,无法对这些电脑进行定位,这些问题一旦发生,往往故障排查的时间非常长。如果同时有多台计算机感染网络病毒或者进行非法操作,容易导致网络拥塞,甚至业务无法正常开展。建立终端安全管理体系的意义在于:解决大批量的计算机安全管理问题。具体来说,这些问题包括: 实现对单位内部所有的终端计算机信息进行汇总,包括基本信息、审计信息、报警信息等,批量管理终端计算机并提高安全性、降低日常维护工作量; 实现对单位内部所有的终端计算机的准入控制,防止外来电脑或违规的电脑接入单位内部网络中; 实现对
4、单位内部所有的终端计算机进行补丁的自动下载、安装与汇总,最大程度减少病毒、木马攻击存在漏洞的计算机而导致的安全风险; 实现对单位内部所有的移动存储设备的统一管理,防止部分人员通过USB设备将单位大量的机密文件传播出去,同时也极大减少了病毒、木马通过USB设备在网络中传播等情况的发生; 实现对单位内部所有的终端计算机进行终端安全管理与分析,包括第一时间禁止非法外联行为的发生,实时监控异常流量,检测非法软件,禁用部分硬件设备等,将计算机与人结合起来管理,防止非法操作导致发生不必要的安全事件。1.2. 应对策略从网络空间应用接入方式来来说,网络空间应用从传统的互联网应用接入发展到以移动/无线通信应用
5、接入乃至移动互联网接入等多种方式。而针对网络空间安全方面的问题,北信源公司基于多年的产品开发与超大规模成功部署与应用经验基础,组建了面向网络空间的终端安全管理产品体系。该产品体系主要面向重要网络、信息系统及基础设施的失泄密检测与防范,实现从终端、区域网到互联网的一体化检测、管理与防范。该体系从终端接入控制、终端行为管控制、终端数据防泄密,以及终端安全审计等方面,实现了多层次、全方位、立体化纵深失窃密检测与防范,形成了面向复杂网络空间的终端安全管理一体化解决方案,有效地实现了网络空间下对终端计算机的安全管理体系。2. 终端安全防护理念2.1. 安全理念针对目前网络中终端计算机面临的各种安全问题,
6、作为终端安全管理市场的领导者,北信源公司特推出了面向网络空间的VRVSpecSEC终端安全管理体系。VRVSpecSEC终端安全管理体系以APPDR模型为依据,遵循国家和行业等级保护,基于安全工程的思想,以独特的终端安全配置策略为核心,以终端安全风险测试与评估为依据,实现组件化可动态组合配置的终端安全管理。其核心理念如下图所示:VRVSpecSEC终端安全管理体系核心理念l 安全产品法规符合性开发(Specification-basedProductsDevelopment)l 策略引导的终端安全配置(Policy-basedConfigureManagement)l 评估驱动的终端安全管理(
7、Evaluation-drivenSecurityManagement)l 组件化终端安全管理体系(Component-basedPlug-in/outSecurityArchitecture)2.2. 安全体系北信源VRVSpecSEC体系覆盖终端的资产安全管理、终端数据安全管理、终端行为安全管理、终端服务安全管理等多个方面,涉及管理计算机本身、计算机应用、计算机操作者、计算机使用单位管理规范等多个方面,形成全方位、多层次、立体化终端安全管理。VRVSpecSEC终端安全管理体系层次结构图如下所示:VRVSpecSEC终端安全管理体系层次结构图本解决方案正是基于上述核心理念和安全体系的基础上
8、而组建的基于终端各方面安全管理和控制的一体化解决方案。3. 终端安全管理解决方案3.1. 终端安全管理建设目标(1)当终端接入时要落实安全保护技术措施,保障内部网络的运行安全和信息安全;(2)对已接入内部网络的终端计算机,要做好用户权限设定工作,不能开放其规定以外的操作权限。(3)发现有违规情形的,应当保留有关原始记录,并可直接了解到该违规信息及违规方式等。(4)网络管理人员能够利用该管理方式,便捷的管理内网终端计算机,并能够利用该种方式对终端计算机现状一目了然。3.2. 终端安全管理方案设计原则方案设计遵循如下原则:(1) 安全性原则:对性能影响小,与其它业务系统无冲突。(2) 可靠性原则:
9、在反复操作与长期实践之后依然能够保持高度的稳定性。(3) 可扩展性原则:能够符合IT发展方向,并随业务增长的同时保持高度的可扩充性。(4) 易用性原则:提供简单、友好界面,能够进行直观的操作,形成丰富的图形界面与报表。(5) 兼容性原则:能够与主流厂商的系统、软件、主机设备、安全设备、网络设备保持高度的兼容性。3.3. 终端安全管理方案设计思路1、遵循IT服务标准随着信息技术的发展以及对信息技术依赖程度的提高,IT已成为许多业务流程必不可少的部分,甚至是某些业务流程赖以运作的基础。IT部门要承担更大的责任,即提高业务运作效率,降低业务流程的运作成本,遵循ITIL标准,协调IT服务部门内部运作,
10、改善IT部门与业务部门之间的沟通,帮助单位对信息化系统的规划、研发、实施和运营进行有效管理的方法。IT服务管理将流程、人和技术三方面整合在一起来解决IT服务管理问题。并结合单位内部组织结构、IT资源与管理流程等,对业务需求进行整体管理与服务。解决方案设计要采用IT服务管理的理念,按照ITIL最佳实践标准来设计。2、遵循ISO27001标准ISO27001作为信息系统安全管理标准,已经成为全球公认的安全管理最佳实践,成为全国大型机构在设计、管理信息系统安全时的实践指南。其中除了安全思路之外,给出了许多非常细致的安全管理指导规范。在ISO27001中有一个非常有名的安全模型,称为PDCA安全模型。
11、PDCA安全模型的核心思想是:信息系统的安全需求是不断变化的,要使得信息系统的安全能够满足业务需要,必须建立动态的“计划、设计和部署、监控评估、改进提高”管理方法,持续不断地改进信息系统的安全性。北信源认为,终端安全管理,也将是一个持续、动态、不断改进的过程,北信源将提供统一的、集成化的平台和工具,帮助对其终端进行统一的安全控制、安全评估、安全审计及安全改进策略部署。3、遵循VRVSpecSEC安全理念依据业界最佳安全实践和行业信息安全管理体系的建设流程,结合北信源VRVSpecSEC核心安全理念,本方案的总体架构共分为“网络接入管理、补丁及软件分发管理、移动存储介质管理、桌面终端管理、终端安
12、全审计”等安全管理组件,并通过统一、联动的安全管控与审计平台实现对不同层次架构的集中策略配置与管理,完成对网络终端的分级部署、统一管控,最终实现对内网终端全方位的控制管理,形成完整的终端安全管理体系。方案设计思路3.4. 终端安全管理解决方案实现本方案通过网络接入控制管理、补丁及软件分发管理、移动存储介质管理、桌面终端安全管理,以及终端安全审计管理等五大部分,并由集中统一的管控和策略平台,完成对上述安全管理组件的统一策略配置与下发、集中管理与审计,最终形成联动化的、集成化的、完整的终端安全体系建设。3.4.1. 网络接入管理设计实现3.4.1.1. 网络接入管理概述通过网络接入控制能够完成对未
13、知终端、授权终端的安全准入管理与控制。该系统能够完成基于802.1x协议的准入控制技术的安全准入管理控制,为内网终端的安全接入控制提供了一道绿色的保护屏障。3.4.1.2. 网络接入管理方案及思路系统能够确保终端电脑只有在通过认证,即安装终端安全管理组件,并符合必要的安全策略的前提下才能被允许接入内部网络,否则会强制终端电脑跳转到访客隔离区(guest区),完成认证后还需要完成安检,即终端管理软件的下载和安装,且符合既定安全策略要求时才可准许接入内部网络。具体接入流程如下:网络接入控制管理系统流程图以上过程完全满足网络准入控制的目的和意义:能确保合法的、健康的终端接入内部网络访问被授权的资源。
14、通过网络准入控制技术,确保接入网络的电脑终端符合预定义要求,必要的安全策略功能包括:1、802.1x接入认证管理802.1x接入认证管理具有对接入策略和安检策略整体的配置和管理功能。接入是通过用户名密码的认证方式,对终端接入网络进行限制。对认证成功的终端进行安全健康检测。802.1X接入认证2、未注册终端接入访问区域限制(vlan限制)未注册终端会因认证不成功进入guestVlan,在guestVlan中终端只可以与服务器通信只有在终端注册成功后方可以通过认证。3、未安装杀毒软件等必备软件自动安装下载管理针对终端计算机安装及运行杀毒软件情况,管理员可以设置安全策略检查终端用户是否正常启动、运行
15、防病毒软件,并且强制检查防病毒软件的版本和病毒库版本,确保所有终端版本必须满足安检的规定方可接入内部网络。如有违规,即刻跳转到修复区或者直接断开终端网络连接;针对终端计算机安装的必备软件情况,管理员可以设置可控软件名单,检查必备软件的安装运行情况,如有违规,即刻跳转到修复区或者直接断开终端网络连接;在网络中专门划分出修复区域,防病毒软件服务器放置在网络修复区中。终端计算机根据安全策略要求安装及升级杀毒软件。杀毒软件检测4、未打补丁终端接入限制通过北信源补丁索引检测终端用户是否安装系统补丁,检测注册终端未打或漏打补丁时,将会提示终端计算机有哪些需要安装的补丁并且会自动弹出下载的补丁的WEB页面,如若不满足补丁预定义策略,即刻跳转到修复区或者直接断开终端网络连接。在网络中专门划分出修复区域,系统补丁文件服务器放置在网络隔离区中。根据北信源补丁索引要求升级操作系统软件补丁。补丁检测5、运行不可信进程、服务、注册表终端接入限制不可信进程、服务、注册表是针对可信进程、服务、注册表进行判断的,通过自定义设置可信进程、服务、注册表来判断终端是否允许接入到工作区。对于终端计算机没有运行可信进程、服务、注册表的视为不可信终端,即运行了不可信进程、服务、注册表,并对终端接入进行限制。进程、服务、注册表检测6、自定义终端安全接入必须的桌面运行
