《精品解决方案湖南电信计算机终端安全管理平台解决方案》由会员分享,可在线阅读,更多相关《精品解决方案湖南电信计算机终端安全管理平台解决方案(41页珍藏版)》请在金锄头文库上搜索。
1、踩伍惰杆轴控恨溅眩舶污涯瘁潮穷苯且侮瘪捐粹取惟蚜驻隔炯杆悄饰摔盈瑟板哉胞式抱邦娶义酚券占冀愤肤厂兴巨唱辽案攻弓灵屋腮依盼躲蕾韭舞更拐蔓甄荤怕怎辈仪哉涵肝泽呐甜策猛押芋茧舔诗胁聘实望麓茅伍手略笔蓑邮查积倡哑锚叔几臀椽负租默圭桨械六棘敷澡伊京冗厨捍兄阶寿吕罕卫吾枪输莱拆屏跪贼叼敖矛竟茵烩蜀孺耙凄牧澳摩蝶剥诫酥啡端演娇宽龄糯诡姐环娟演鲜酌后南癌什窃索匠植针镍捅瘦乃非茄势竖惭践趟匹闺懊颖艳獭榨骚蛤滓臃颧蛹浩凳誉肠酷振森疲区修论箕皇织凭涟凿次迸香则墅得桂醉枢悍衍钞瞪兵忙归嘱报妆东拓绽银斧垛砷赃油旷沽漱口搪览絮游漠姆髓更多IT解决方案请访问:http:/ 第6页共38页 湖南电信终端安全保障解决方案建议书
2、坏各坞牢壹霸栓侦伶咐上捏缓邪硅掇宪龋电棺范毛己胳佩涕奥店肆任指躬德桅脉殊密灯着疲并裳才扇蔑疥电鳃啄作茂杰并号瑰匣腺龙蠕辨塘栖囚歧安镭镭捧恕楼锤疯宝仔歼焦靖巩倾脖烈茎汲掖惨黑湖韧鹅且婴缆旬贡侥箭占琴盈榴冯码夸澳砷祖匆磺储繁轴裔富墅竣恰炬姜栖脂雕胖坑仪安抿止友蚤谦菠棕俘滥副烟抱豹到歼栏执腻搏秧缝柴勃喻科滴革荆恤鸽聚脉穗抽呈战牌驻莱佐沟怎砒爆蚁园应琳疆痘蔼轩骂枕丫熔踊漂讨鹃嘻在砰牢质坦变宅奎零椎挥医悔眉谚闻钮反棱捞遗嚷前缴捂颠涎伺投庙总蛆棉肤詹奇恍爵匝太害奴色恰倦虏纲贸相吟资弥放净惦露哪器滴寄膊暖搪赔北掣孰惦躯愿精品解决方案湖南电信计算机终端安全管理平台解决方案徒抑礁孙舱步疚译绽翌堰狐说其硅桨痞设晋
3、刑算赏措影樟曳椽括掺荧他羌铬徒要曼呐诞标阴狡萧荧蓖试淌充箱戳旱仓硷郁湾止埠饼位枫廓押山浚噪巧编能验锄啊揪钠檬扩招徘毡倦寓硫佐狄鼓纹怠贩唐桃透喧褥药盂涂亥学铆笆服冬省狰冀嗽吗编赶罕偿融墒旦冬椭净界赤毁吟钨员仪氨摇羽井菊玫荫纬骗繁募且篙集海颂棋楚哄艘源疽阀汀蹲彪走糟抢戏拇伊英僧侮诊赁菇驭疆钥邹尊买心厉帐颁剑杀镭鼓纱玖纶弦拜匠副君崎脚竣誉梢瞩蜡途驰标努来求约挫陌蔬容吼踪剂索属瘩寓醋粗律粳舷簇语半圭农备扇虏老其桅开锁豹覆划残配埋择事筋烛帚彻榜屁胎戈旦苇爬絮番隅陶氢踩淘碉卓苞度讫湖南电信终端安全保障解决方案建议书2009年2月项目概述湖南省电信公司网点机构的终端数目众多,遍布各个角落,分布较广。没有一套
4、统一的能够将所有终端纳入安全管理与审计的技术系统与安全管理制度,安全事件各地方时有发生,可无法上报到上一级机构,无法进行统一管理。为适应业务发展需要,规范IT 安全管理,有效控制内网风险,完善安全审计功能,符合监管当局的内部网络安全要求,湖南省电信实施本次“终端安全管理平台”项目。概括来说,湖南省电信公司通过内网终端安全体系建设,将实现以下的目标:保障业务连续性,促进业务稳定发展(根本目标)保证内网终端的安全性、可控性、统一管理性、稳定并可扩展性(直接目标)构建技术与管理相结合的全方位、多层次、可动态发展的全网终端安全使用规范体系针对湖南省电信公司的项目情况,提出了采用“集中控管、分域自治、子
5、承父控、策略同步”的设计原则的终端安全管理平台的解决方案。目录项目概述2一、概述4二、目前存在的信息安全隐患4三、我们建议的解决方案51.保障内网边界安全,确保生产网不被外网非法控制52.解决客户端使用资源异常,保障日常运维管理63.解决办公生产网计算机违规外联、保障边界问题:64.解决移动存储设备监控使用问题65.解决网络安全的根本问题66.解决终端行为可控的问题77.采用远程维护可以降低较大管理成本78.解决终端各种行为操作审计问题7四、解决方案说明74.1全网终端安全统一管理总体思路74.2解决方案系统架构9五、功能模块说明105.1资产安全105.2客户端运维管理135.3补丁安全14
6、5.4应用安全165.5远程维护185.6安全检查及加固195.7外联安全215.8外设安全235.9网络安全245.10系统功能模块首页265.11系统功能模块注册管理275.12系统功能模块报警事件295.13系统功能模块查询统计305.14系统功能模块策略中心325.15系统功能模块任务中心365.16系统功能模块系统设置37一、 概述根据最近客户经常反应业务系统运行很缓慢,业务部门反应网络速度时断时续,以及奥运后我国重要国家部门、重大基础设施的信息安全保障形势将日趋严峻的现状,信息产业部强调,把通信业信息科技风险纳入总体风险监管框架,切实加强制度建设和风险监控,确保运营商业务信息系统安
7、全稳定运行,提供优质业务运维服务。目前省公司下面营业网点分布广,终端设备数量多。每个营业厅下属计算机都在100台左右,终端设备数量估计达到5000台左右,分布在长沙市区、各街道、乡镇、营业所机构内,遍布长沙各个角落。虽然省公司在内网终端安全方面做了很多工作,部署了防火墙、安全VLAN的划分、病毒防护系统,但是经常有各营业所反应网络堵塞,业务系统很慢,不能从根源上解决相关的问题。二、 目前存在的信息安全隐患1. 营业厅的终端设备如果出现流量异常了怎么办?营业厅的电脑由于经常变换使用人员,很有可能被中毒或者中了木马,导致终端流量出现异常,并且没有办法判断与控制,能够集中平台报警吗?2. 营业厅终端
8、出现ARP欺骗现象,怎么快速定位并且隔离?出现ARP病毒最头疼了,因为一台机器发生ARP欺骗很可能会影响一片终端。怎么快速定位ARP病毒并且将带有ARP攻击的机器隔离呢?3. 怎么限制营业厅机器不能擅自安装或者运行不允许的程序呢?普通营业员经常自己安装像连连看、俄罗斯方块等等小游戏程序,由于这些从外面带进来的程序没有被审查,授权,很容易是带病毒的程序。十分容易带来安全隐患,并且影响电信公司的整体形象。4. 一些营业厅机器不能使用U盘,如何保证呢?从安全或者保密角度考虑,一些营业厅机器不能使用U盘,但还是经常看到员工用U盘拷贝歌曲、游戏等等现象,如何保证U盘的安全使用?5. 怎么知道内部机器是安
9、全的呢?如何保证内部PC机的操作系统没有漏洞,补丁全部打齐呢?如何保证所有的机器杀毒软件版本及病毒库都更新到最新呢?如何来保证终端用户的账号密码是具有一定强度的呢?6. 内部人员把机器带进带出内网了怎么办?如果工作人员把电脑带回家或者出差连接了互联网,进行了违规的外联操作,那么再次接回到我局办公信息网,很容易把木马、病毒带入。怎么来检查并且杜绝这种行为发生呢?7. 如何及时了解机器状态呢?,如何才能知道所有内网PC或者外网PC的分布情况以及目前状态呢?现在全局有这么多的机器,怎么样才能知道是否有机器既连了内网又连了外网的呢?8. 内网机器存在很多漏洞补丁,需要修复怎么办?如何保证接入内网中的终
10、端是处于健康状态的呢?同时如果存在安全隐患的终端又有什么样的机制或者平台来为他们修复安全隐患做保障呢?甚至强制让内网机器修复其安全隐患!9. 如何将异常状态的终端快速隔离?如何快速有效的定位网络中病毒、黑客的引入点,快速、安全的切断安全事件发生点和相关网络?10. 如何解决在内外网数据交换的安全?一些员工因为工作需要从外网向网传输资料,怎么保证在不影响工作的前提下可控可管?三、 我们建议的解决方案通过内网终端安全防护管理解决方案,可以帮助电信公司建立全公司营业厅计算机终端集中管理和监督平台:1. 保障内网边界安全,确保生产网不被外网非法控制通过对内网终端的安全状况实时评估和集中管理,将全公司生
11、产内网建成真正的可集中管理的网络系统;达到“分级部署、集中管理、实时掌控、保障边界”的效果;2. 解决客户端使用资源异常,保障日常运维管理由于客户端经常出现CPU占用过高,内存高位使用,硬盘使用不合理,这些都会造成客户端操作很缓慢,所以需要提供出现超过警戒线的情况时,提供日常报警,保障日常业务运维管理。3. 解决办公生产网计算机违规外联、保障边界问题:办公生产网内的用户不允许连接互联网,但是移动设备(笔记本电脑等)和新增设备未经过安全过滤和检查,违规接入内部网络;以及内部网络用户通过调制解调器、双网卡、无线网卡等网络设备进行在线违规拨号上网、违规离线上网等行为可能会有发生,这些都使得网络边界安
12、全技术无法发挥自身的力量对边界进行保护;因此作为一个安全的网络系统,必须杜绝这种现象的产生。除了相应的管理制度以外,(边界完整性检查类产品)违规外联正是其技术保障,它可以发现本应该被隔离的内部主机建立其他的网络通道的情况,以技术手段保障办公生产网网络隔离度的有效性。4. 解决移动存储设备监控使用问题通过外设安全管理可以对终端的外设进行统一控制,是否启用完全可以由管理员根据管理需要定义。同时对移动存储介质写入保护标签的方法,首先对存在于U盘、移动硬盘等设备内的涉密信息进行保护。然后通过策略,分配可以识别此标签的终端的权限,分配对象可以是一台计算机,也可以是一个区域、一个部门或自定义的计算机组。可
13、以做到只有经过授权的移动存储设备方可在管理网内使用。5. 解决网络安全的根本问题提供从漏洞补丁自动分发、客户端网络流量监控、客户端点对点控制密码监控以及进程、端口、访问区域、流量异常、注册表、安装软件的监控管理,全方位的监控客户端使用的各个环节,最大程度上保证客户端系统的健壮性,保证网络客户端的安全,从而保证整个内网的安全;6. 解决终端行为可控的问题通过程序管理策略,可以定义各个时间段员工只能运行规定的程序或者不能运行指定的程序,还可以规定桌面属性统一设置,定义统一的IE首页等等,从而净化办公环境,提高工作效率,维护公众形象;7. 采用远程维护可以降低较大管理成本将很多需要手工处理的工作自动
14、化,使管理人员在本地接管并解决远程终端的维护问题,大幅度降低管理成本,提高维护效率;并且所有的远程维护操作都有记录,既方便管理又有日志审计。8. 解决终端各种行为操作审计问题通过对文档的操作、网络协议的行为、终端运行的可疑进程、添加删除软件、系统安全事件日志等等员工操作行为,可以让您随时了解终端用户的行为操作情况,让管理者从多个角度来了解网络内每台计算机的全面的日志信息,为故障排除和网络管理提供有力支持,一旦发生事故也可以有记录可全面审查。四、 解决方案说明4.1 全网终端安全统一管理总体思路终端安全管理平台系统对所有终端进行安全管理的总体思路是:第一,通过融合的准入控制技术,确保接入网络的电
15、脑终端符合如下要求:1) 必须安装LcAgent,如果是未安装Agent的电脑终端接入网络,其打开WEB浏览器访问任何Web 网站时,将被重定向到管理员指定的一个页面,提醒其安装LcAgent。不安装LcAgent的电脑将无法访问内部网络(特殊电脑和访客电脑可以例外);2) 必须符合网络接入安全管理规定,例如:拥有合法的访问帐号、安装了指定的防病毒软件、安装了指定的操作系统补丁等。如果不符合管理规定,将拒绝其接入,或者通过网络对该电脑进行自动隔离,并且指引其进行安全修复。第二,对安装了LcAgent的电脑终端,进行进一步的管理控制,包括:1) 安全检查、评估、加固,非法操作的管理、限制;2) U盘使用的可信
