资源预览内容
第1页 / 共29页
第2页 / 共29页
第3页 / 共29页
第4页 / 共29页
第5页 / 共29页
第6页 / 共29页
第7页 / 共29页
第8页 / 共29页
第9页 / 共29页
第10页 / 共29页
亲,该文档总共29页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
目录第一章 产品背景一、 内网安全面临的主要问题随着网络的普及,网络应用的多元化发展,网络安全问题越来越多的得到了人们的重视。而提到网络安全,人们自然就会想到防火墙、杀毒软件等。但实际情况是网络威胁不仅仅来源于网络外部,有相当一部分网络威胁来自于网络内部。常规的安全防御主要集中在网络边界,均属于被动防御,进行防御的设备主要是网络防火墙、安全网关等硬件设备,这些硬件设备多数都放置在机房,用来对网络入口进行防控。网络内部安全问题的暴露也让人们对内网安全有了新的认识,从计算机口令泄露、硬件资产流失、重要文件泄密、网络资源拥堵等现象出现,让人们对内网安全管理有了新的需求。政府机关和企事业单位的内部网络在管理上面临着以下一些常见的问题:1) 如何对内网中的计算机补丁进行管理并自动分发补丁2) 如何对内网中移动存储介质进行有效的管理3) 如何对内网中计算机接入网络进行管理4) 如何对内网中计算机非法联网进行管理5) 如何解决移动存储介质引起的病毒传播、信息泄露等问题6) 如何对内网中计算机进行统一的安全策略配置7) 如何对内网中计算机进行有效管理,保证设备运行情况正常8) 如何快捷便利的对内网中计算机进行远程点对点维护,提供远程协助9) 如何对内网中涉密信息进行保护10) 如何对内网中计算机上所安装的软件进行统一监控、管理11) 如何对内网中计算机外设接口的使用进行有效的管理12) 如何对计算机用户的行为进行有效的监控、管理这些内网计算机使用上的安全隐患,时刻威胁着内网网络的正常运行,内网涉密信息外泄也越来越严重。面对如上问题,DeskMaster内网终端安全综合管理系统提供了全面的解决方案。第二章 产品概述一、 产品简介DeskMaster内网安全综合管理系统是遵照国家信息安全与保密领域相关法规,集网管、监控、安全、加密等关键技术而构建的内网安全管控平台。通过对IT资产的动态监管、用户行为及信息内容的综合审计、多策略立体化的网络安全防护、统一的漏洞检测与补丁加载,从根本上提升企事业单位内部网络的安全管理水平。二、 产品系列我们从客户的内网安全需求点出发,结合国内外终端安全管理技术和发展趋势,对内网安全进行了深入的研究。将政府机关和企事业单位内部网络终端安全从资产和资源、调控和服务、安全和保密、审计和控制等方面做了全方面的保护,在DeskMaster内网安全综合管理系统中包含以下几个产品系列:解决了客户在网络管理中可能会遇到的问题。三、 功能特点DeskMaster内网安全综合管理系统通过对终端计算机的进程、模块、插件、驱动、软件、URL访问等信息进行采集,由管理员对采集的信息进行分类和安全级别鉴定并形成一套对上述信息运维和管理的库,我们称之为“知识库”。通过知识库的建立和管理,达到对用户管理的统一化、标准化、策略化。本系统针对客户端程序进行了特别优化,CPU和内存等资源的占用低,达到了国家对内网安全软件的相关要求,在管理员对客户端进行审计和管理的过程中,这些操作都不会对客户端产生特别大的性能上的影响。除上述特点之外,本套系统还支持异构复杂的网络环境,对不同类别、不同厂家、不同制式标准的IT设备均有很好的支持。对终端设备上不同的操作系统和网络应用也均可统一管理。与目前主流防火墙、杀毒软件均有良好的兼容性。系统选用集成式框架结构和模块化设计理念也为后期的升级改造和系统维护提供了支持。第三章 产品架构一、 产品部署本系统采用C/S和B/S混合模式架构,支持分布式部署,配置了中心服务器之后,客户端只要通过浏览器访问中心服务器即可完成系统部署。通过文件分发系统(第三方提供)更可方便的实现静默注册。二、 产品模块本系统对各个功能采用模块化方式设计,支持模块化软件定制,在保持了较高通用性的前提下,又实现了产品配置的多样化。模块化的设计降低了功能之间的耦合性,各个模块之间支持无缝功能扩展,又通过统一的策略管理平台,对各个模块进行管理,方便管理者操作。在满足用户需求的同时,又最大限度的对用户日后升级做了充足的准备。下图为统一策略管理平台界面图:三、 产品管理架构本系统支持局域网架构和广域网架构两种架构模式。局域网架构模式下,使用一套本系统即可满足管理上的需求。例如对于一个C类地址或者多个C类地址的局域网来说,通过配置一套系统即可实现集中式的管理模式。广域网架构模式应用于大规模的多个局域网或者跨地域广域网。例如基于国家、省市、区县的网络结构。本系统提供了多级级联模式的管理架构,用来满足上级对非本地局域网内的下级的管理。使用广域网架构模式需部署多级系统,在广域网架构模式下,上级可直接对下级终端进行管理,同时下级会将本级的统计和报警信息转发给上级管理系统,从而上级管理人员能对下级的网络状况完全掌握。四、 分权管理通过对管理用户权限的分立,使得管理用户在管理上进行了本质性的区分,实现了用户管理权限、策略权限、审计权限的分离,达到了用户权限“最小化”的目的,尽最大可能减小企业在管理中要承担的风险。通过对上述三权的分立,也使管理员的任务得到了分解,减少了管理员的任务量。第四章 解决方案介绍一、 接入管理系统(一) 内网终端接入管理的必要性网络接入控制管理系统可以对政府机关和企事业单位内网中的可管理的以及不可管理的终端进行保护。强制提升内网安全,保证了内网的保护机制不被破坏。通过内网接入管理系统实现了企业对内部人员随意接入内网的行为的控制,该方案可以方便快捷的部署至全网。对于网络硬件设备没有终端接入控制功能的单位来说,可以采用软接入控制的方式实现对内网随意接入的管理,而不需再投入大量的财力物力对原有的设备进行更换。对于网络硬件设备本身就支持接入控制功能的单位来说,结合本接入管理系统,对原有的接入进行方便的管控,大大提高工作效率,亦可实现高强度的接入认证体系。(二) 系统功能概述接入管理系统实现了对要接入内网计算机(笔记本和台式机)的管理和控制,通过内网接入认证系统达到了对非正式和非合法用户的限制。从第一步就对内网中的计算机进行彻底保护,只有通过内网接入认证系统的认证之后,才能作为合法用户和内网中的设备进行相应的通讯。首先,通过配置可以对非本单位的计算机进行网络访问的限制,即便单位中的非法用户接入了内网,如果限制了计算机的网络访问权限的话,那么非法用户所具有的潜在危害也将被限制。同时可以通过支持802.1x认证的网络硬件设备,从物理硬件上对网络访问接口进行访问限制。在内网接入的配置界面可以选择性的启动内网用户身份验证口令,这样就可以做到对内网计算机的确认,保证每一台内网用户都是通过管理者进行登记造册的。(三) 系统功能描述1) 辅助802.1x系统接入认证2) 未注册终端接入内网控制3) 非法外联等接入方式监控4) 可根据自定义终端策略对终端进行接入限制软接入控制流程图802.1x认证接入控制流程图二、 非法外联监控系统(一) 终端非法外联造成的危害随着网络的发展,各个单位(尤其是涉密单位)都会建立属于自己的内部网,内部网通过分级管理实现了对重要信息访问的防护。而随着无线网络设备的快速发展,3G网、无线网等各种“联网设备”的出现,以及人为的因素等,对内部网分级体系造成了严重的影响。往往一台内部专网电脑通过一块3G网卡就能对内部信息泄露产生巨大的破坏,这些非法外联的行为是防不胜防。(二) 系统功能概述非法外联监控系统实现了对终端设备是否联网行为的监控,对内部非法越级访问的行为进行监控,对于存在多网卡的设备网络访问进行控制。在非法外联监控系统中,可以将网络从管理上划分为允许访问的网络和违规访问的“外网”,而这里的“外网”需要制订一个标准,可以是传统意义上的互联网,也可以是密级不同的内部网,如果终端设备能够和上述标准中定义的网络联通的话,系统会自动对该非法外联的能力进行阻断,以防止非法外联行为的发生,做到防患于未然。对于确实需要移动办公的内网涉密设备来说,本系统支持在第一时间发现其违规联网的行为,并将该违规行为告知给管理员,也可以直接断开设备网络或关闭计算机。对于内网中合法的拥有多个IP地址的设备而言,防止其进行非法外联行为也及其必要,本系统可实现对多网卡设备进行监控,可以对终端使用IP的范围进行限制,当设备使用了非法IP的时候,会对非法IP产生的网络行为(http、ftp、email等等)进行审计,并可以禁用非法IP地址的使用,达到仅允许使用合法IP地址进行通讯的功能。除此之外,本系统可以检测到使用代理上网的行为,当发现终端使用代理上网的时候会自动将代理取消,并可以根据需要断开网络或者关闭终端计算机。(三) 系统功能描述1) 禁止非法连接外网2) 禁止同时连接内网和外网3) 禁止终端使用代理上网4) 对终端使用IP地址进行限制5) 对终端非法使用的IP地址进行行为审计和控制6) 能对不同级别内网之间通讯进行监控7) 可以限定内网终端IP使用范围,可以对非法IP审计和禁止(四) 非法外联监控系统的特点1) 判断非法外联无须等到外联行为发生,本系统判断其外联能力,做到防患于未然2) 对于需要外出办公的涉密设备可以在第一时间监控到其非法外联行为3) 能够指定多种形式的违规处罚:无提示、警告、断网、关机4) 所有管理制度支持离线状态,可以按照时间段来执行管理三、 内网安全管理系统(一) 当前内网安全管理所面临的问题随着计算机在日常工作中的广泛应用,在越来越多的单位、企业等机构中所暴露出来的问题也越来越多。在用户的日常工作中对计算机的使用上出现了以下几个方面的问题需要解决:1) 对计算机运行的程序进行审查和控制2) 确保计算机的系统安全:对恶意程序的运行进行管理和控制3) 对计算机外设等产品的管理和控制4) 对管理员用户提供一种高效的管理和协助一般用户的方法5) 保证内网中计算机的管理流畅,对相关网络设置进行控制6) 对网络攻击进行防护7) 提倡计算机高安全度的设置8) 对内网用户的共享文件进行管理(二) 系统功能概述内网安全管理系统提供了完整的一套解决方案,从桌面管理和安全防护等领域对网内的计算机进行安全管理。通过对终端桌面进行管理使得终端计算机从内部规范了计算机的使用安全,提高计算机的安全防护等级,又杜绝了来自于外部的非法攻击等。通过定义知识库,让系统管理员在管理和配置管理策略的时候变的异常简单。通过对内网中计算机上所运行的进程、服务、模块、插件、软件等信息的采集,IT管理者可以建立属于本企业的系统知识库,可对知识库进行级别划分,从而建立起一套适合本单位具体情况的配置策略。通过安全控制等配置,可以对终端系统中运行的进程、服务、模块、插件等进行详细鉴别,即便是同样的进程,如果感染了病毒、木马等也可以进行区分,别对受到感染的文件进行限制。(三) 系统功能描述1) 进程运行控制2) 系统服务控制3) 外设端口控制4) 系统文件分发管理(文件分发、软件部署)5) 终端点对点控制6) 远程协助:实现终端监控和终端协助7) 网络接口管理:IP、Mac、Dns绑定、网卡绑定8) 异常进程、模块、驱动、插件监控9) 网络防火墙:访问网络控制和Arp攻击防护10) 系统帐户安全控制(四) 内网安全管理系统的特点1) 管理员通过建立属于本单位的系统知识库对终端设备进行管理。知识库变更灵活,由
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号