《内网安全综合管理系统DeskMaster技术白皮书》由会员分享,可在线阅读,更多相关《内网安全综合管理系统DeskMaster技术白皮书(20页珍藏版)》请在金锄头文库上搜索。
1、完全公开内网平安综合管理系统技术白皮书杭州正杰信息技术Http:/u 版权声明本文中的文字、图表、方法等内容,均属杭州正杰版权所有,并受到有关产权及版权法保护,任何个人、机构未经杭州正杰的书面授权许可,不得以任何方式引用本文的任何内容或扩散到第三方。u 商标声明杭州正杰、DeskMaster文字和图标是杭州正杰信息技术商标。目 录第一章 前言5第二章 为什么需要DESKMASTER5第三章 DESKMASTER内网平安综合管理系统61.1.系统特点61.2.系统架构81.3.系统主要功能93.1.1 IT资产管理9 网络访问控制11 系统仓库13 系统知识库13 桌面管理14 平安防护15 用
2、户行为15 移动介质管理17 涉密检查17 补丁管理18 报表系统18第四章 存储介质信息消除工具19第五章 增强功能20第一章 前言随着计算机技术的快速开展,信息技术与社会活动的结合越发紧密,信息技术的触角已经触及社会活动的各个环节。无论是政府和企业,还是团体和个人,人们在充分享受信息化网络所带来便捷的同时,也进一步加深了对信息技术的依赖,这也充分验证了自然万物具有两面性的法那么,网络作为信息技术的一个表现实体,也催生了新的管理问题,突出表达在两方面:一方面,网络管理模式滞后于网络开展致使网络集中化管理程度不高,资源利用效率和管理效率难以大幅提升;另一方面,应用业务和用户行为日趋丰富且千差万
3、别,网络环境日益复杂,内、外部各类不可控因素直接或间接地影响到网络的健壮性和平安性。如何引导、标准和解决以上问题,需要政府、企业、团体和个人重点观注。第二章 为什么需要DeskMaster 虽然经过了多年的IT信息系统建设,相当一局部用户还是简单的认为,通过部署防火墙、IDS、防病毒等产品,可以解决他们的平安问题,但事实并非如此,大局部问题还是来自于内部终端,随着网络应用的日益多样化和存储介质的不断普及,诸多问题浮出水面:一、信息平安问题:u U盘、光盘等介质滥用,尤其是保密单位,U盘随意接入现象相当普遍,由此造成的病毒泛滥和泄密事件屡见不鲜u 外来设备随意接入网络,造成病毒传播、信息泄漏等平
4、安隐患u 终端补丁更新不及时,“零日攻击和黑客攻击得心应手u 随意安装来历不明的应用软件,形成众多隐形“后门u 终端采用“空口令、文件夹共享等高危配置,自己方便,与人黑客、敌对势力和竞争对手方便u 私自卸载或安装防病毒软件,带来平安隐患,或让企业背上知识侵权官司u 敏感文件明文存储,一但被黑客、敌对势力或竞争对手得到,极易造成严重危害u 政府内网或涉密网终端,非法接入互联网,造成信息泄漏u 终端发生异常,不能及时发出报警和采取有效的应对措施二、资源管理问题:u 终端用户私身安装基于P2P协议的软件,造成网络的拥塞,影响政府或企业的办公效率u 终端软硬件资产无法准确统计,资产生命周期无法跟踪,资
5、产发生变更后无警告或通知,更无详细记录u 专用U盘加密费用昂贵,加重单位或企业负担u 终端设备发生问题,IT管理员不能远程桌面支持三、行为审计问题:u 终端访问URL无从查起,问题无法溯源u 无终端文件级操作记录,责任追究缺乏强有力的依据u 无审计记录,不满足公安部82号令?互联网平安保护技术措施规定?和美国?萨班斯SOX法案?等合规性要求综合上述问题,杭州正杰信息技术设计开发了一套完整的内网平安综合管理系统DeskMaster,力求从网络故障、网络性能、网络资源、网络业务、网络行为、网络平安、网络效劳、文档加密、移动存储加密、系统补丁等各层面,就用户网络管理提出了科学、可行、低本钱的“一揽子
6、解决方案,以适应不同用户网络管理当前及未来一段时期面临的主要问题。第三章 DeskMaster内网平安综合管理系统1.1. 系统特点一集成化的“一揽子解决方案依据网络/主机管理七层模型,针对网络中主机应用管理各层面存在的问题,进行深层次挖掘,制定相应解决方案,实现了网络层面与终端桌面管理层面的“映射和“对应,提供集成化的“一揽子桌面解决方案。二模块化设计、插拔式组件针对根本桌面管理要素设计功能单元,根据不同的应用场景、网络环境和管理要求选择相应的功能并予以组合,系统支持功能模块化自动升级与无缝平滑整合,以适应变化的、动态扩展的桌面管理因素需求。三专业化和标准化的设计软件内部架构、关键技术均选择
7、业界通用标准和标准,XML可扩展语言、基于SSL协议的WEB平安管理、模块化API接口等便于系统扩展,同时对外提供标准化的接口,可与现有防火墙等第三方平安管理系统良性化互动。四组网架构灵活、部署便捷系统组网架构支持集中式管理、级联分布式管理,对于大型国家部委、集团级企业用户等广域网架构,提供良好的统一综合部署管理和性能运行保障方案。客户端部署支持共享式、自动分发式等多种快速安装模式。五界面友好、操作方便不管IT管理员的平台管理界面,还是终端代理的本地管理界面都是基于Web系统的界面设计。确保系统访问平安性的同时,注重管理平台的易用性和美观性,以便于IT管理员轻松实现对企业网络终端桌面的高效管理
8、。六降低IT运维本钱,提升企业管理效率 DeskMaster专注于协助维护人员脱离繁杂琐碎的管理事务,提高企业IT设施运维管理水平,提升企业生产效率,力求实现对终端桌面管理自动化维护。系统部署、日常使用和维护管理的各个环节均提供了较为先进的管理策略,大大降低了企业网的日常管理本钱和系统的使用本钱。七策略与对象的灵动管理策略的灵活制定与应用对象动态自定义有机结合,确保“预置定管理策略的执行。基于对象的分组、分区域策略控制模式,使系统功能能够灵活的应用于有需求的对象,实现桌面控制管理“游刃有余、“疏而不漏。八灵活的权限管理与“三权分立DeskMaster提供了灵活的系统管理权限,既提供了适用于中小
9、网络的集权模式,又提供了适用于大型网络的“三权分立模式。九日志报警与信息检索系统除提供桌面管理事件全面记录供事后审计取证功能外,还详细记录了系统管理过程中管理人员每一步的操作行为日志,通过信息检索引擎进行桌面事件与系统管理事件的检查和分析。1.2. 系统架构1.3. 系统主要功能3.1.1 IT资产管理DeskMaster的资产管理功能实现了对应用中的资产和备用资产的统一管理,以及资产使用过程中的资产维护,真正实现了无论是使用中的资产还是备用资产“履历的记录和分析。资产管理包含:注册和非注册设备资产信息,使用中资产的管理和备用资产的管理;1 注册设备和非注册设备资产信息:1注册设备根本信息:当
10、前注册设备运行的操作系统类型和版本、内存和硬盘大小空间信息、个人注册信息、IP和MAC等2注册设备软件信息:当前注册设备运行的应用软件类型和版本等详细资产信息3注册设备硬件信息:当前注册设备各个部件的详细信息4非注册设备信息:IP和MAC信息2.使用中资产的管理:资产的统计包括软硬件资产的变更,资产的维护等;3.备用资产的管理:包括库存管理,资产厂商的管理,采购分析等。在资产维护的过程中,根据对资产不同方面的管理,可以将管理权分化为:库存管理员,设备维修员,资产采购员,每个角色各司其职,为终端用户的维修任务提供便利,高效的处理存在问题,使企业的IT资产管理更加实际化、具体化,为企业带来真正意义
11、上的资产管理革命。3.1.2 网络访问控制非法外联控制非法外联问题,目前是存在敏感信息单位头等关心的技术难题,借助DeskMaster非法外联控制技术,可对内网此“内网特指涉密网、政府专网和企业生产网等与国际互联网物理隔离的网络的终端设备予以控制,监控内网终端是否与国际互联网进行通讯,结合以下防护措施可有效解决通过互联网等非可信任网络的泄密问题:u 防止内网计算机通过ADSL拨号、无线、代理等任何方式与互联网发生信息交换;u 防止受管计算机脱离内网后通过ADSL拨号、无线、代理等任何方式与互联网发生信息交换;u 针对违规外联终端采用“提示、“断网或“关机等措施,并向管理端上报外联行为。u 外网
12、预警中心,用于监控脱离内网的客户端连接到互联网的违规行为,监控日志包含客户端的IP、MAC、上网时间、使用人、单位部门、路由IP等。网络准入控制DeskMaster网络准入控制技术,可对接入网络的终端设备予以控制,只有身份合法和满足平安要求的终端方能接入网络,据此可有效解决如下问题:u 防止非法外来计算机接入网络,影响内部网平安;u 防止感染病毒、木马的终端直接接入,影响内部网正常运行;u 确保接入网络的终端符合平安管理要求;u 防止内部用户私自接入HUB、无线AP等设备。DeskMaster网络准入控制杜绝非法外来终端接入内部网,同时将有问题的终端予以隔离或限制其访问,直到问题终端得以修复。
13、一方面,可防止这些终端成为蠕虫或病毒的攻击目标;另一方面,可防止这些终端成为病毒传播源头。DeskMaster提供两种准入控制方案,用户可根据自身网络环境选择部署:一是基于802.1x 的网络准入控制;二是非802.1x网络环境下的准入控制。两种方案可同时在一个网络系统中部署,优先采用802.1x 的网络准入控制,不满足条件的局部网络再采用非802.1x 的网络准入控制,实现全方位的接入控制。一基于802.1x 的网络准入控制对于支持802.1x的网络设施,建议选用基于802.1x的网络准入控制方案。基于802.1x 的网络准入控制方案本质上是依据接入终端的身份验证情况以及其对既定平安策略的满
14、足情况,由RADIUS效劳器向交换机派发指令,控制网络交换机的端口是否翻开并可动态切换端口所属的VLAN。不同VLAN 具有不同的权责划分,确保网络资源平安使用。DeskMaster可支持思科、华为、H3C、北电等主流厂家网络设备,可在多家设备共存环境中实现基于802.1x 的网络准入控制。管理员需要为整个网络划分不同的VLAN,并将这些VLAN 分配给不同部门、用户组或用户。有两个特殊VLAN:一个是修复区VLAN,供不满足平安策略要求的终端打补丁、安装防病毒软件或更新防病毒软件特征库;另一个是访客区VLAN,主要是一些可公共访问的资源,如对外的网站效劳器等。对内部合法终端的接入,DeskM
15、aster将采取如下控制策略:1.用户输入的用户名和口令是否合法,检查终端是否满足平安策略要求;2.只有合法身份的用户以及满足平安标准的终端才能接入网络,否那么系统会将此终端包括没有安装终端代理的终端自动切换至修复VLAN中,终端在此访问修复平安漏洞必须的网络资源;3.合法身份的用户以及满足平安标准的终端接入网络时,系统会根据用户身份自动将终端切换至属于该用户的工作VLAN中,确保不同权限的终端访问规定的网络资源。4.拒绝外部非法终端接入网络;5.将外部终端设置到访客区VLAN 中;6.RADIUS效劳器可以到DeskMaster 内部用户数据库中验证终端的用户身份信息。二非802.1x 网络准入控制对于非802.1x交换机管控的局部网络,可采用非802.1x 网络准入控制方案。通过选定一个DeskMaster区域扫描器监测本网段所有机器,并判断出哪些机器安装了终端代理、哪些机器未安装终端代理,限制
