XX移动终端安全管理技术方案XX科技有限公司目 录1建立统一的终端安全管理的必要性11.1通信行业的信息系统发展趋势11.2山西移动的终端安全管理面临的困难和压力31.3建立统一的终端安全管理52为什么选择SmartTM73SmartTM解决方案总体概述103.1山西移动的终端安全管理需求103.1.1提高设备利用率103.1.2提升人员效率103.1.3满足星级服务要求113.1.4实现设备状态监控113.1.5资产管理123.1.6策略管理123.2SmartTM解决方案总体设计思路123.2.1方案设计原则123.2.2统一的集成化管理平台133.2.3支持多厂商设备133.3SmartTM系统架构144SmartTM终端安全管理功能实现174.1提高设备利用率174.2提升人员效率174.3满足星级服务要求184.4实现设备状态监控194.5资产管理244.6策略管理274.6.1软件使用监控274.6.2文件操作监控294.6.3网络访问和外联管理304.6.4客户端流量管理控制314.6.5违规客户端远程阻断324.6.6策略支持上级锁定并强制下级执行324.6.7统计报表325SmartTM系统安全性335.1多用户管理335.2安全审计335.3HTTPS支持335.4SNMP V3支持345.5数据传输加密346SmartTM项目实施方案356.1SmartTM终端安全管理系统部署（带参考图）356.1.1SmartTM终端安全管理服务器部署356.1.2管理客户端部署366.2终端安全管理服务器软硬件配置建议366.3实施计划367附录387.1SmartTM应用案例387.1.1电信行业成功案例387.1.2金融行业成功案例387.1.3政府行业成功案例387.1.4大型企业成功案例397.2典型案例说明39图表目录图 51 神州数码IT运行管理平台系统结构图14图 52 山西移动IT综合运维管理系统整体结构图15图 53 TopN统计16图 511 客户端代理安装检测策略19图 519 客户端安全漏洞扫描20图 58 杀毒软件检测策略配置21图 59 事件处理预案定义界面22图 510 将安全策略与事件处理流程绑定23图 54 客户端注册界面25图 55 客户端注册后显示的代理安装选项页面26图 56 客户端注册信息查看27图 526 主机进程安全策略定义界面29图 518 网络流量异常配置32表格 1 软硬件配置清单36表格 2 实施计划371 建立统一的终端安全管理的必要性1.1 通信行业的信息系统发展趋势作为现代经济的重要组成部分，通信行业通过数据交换，在提高社会运行发展效率中发挥着基础性作用。特别是在当今信息时代，通信业既面临着高科技带来的巨大发展机遇，也面临着行业壁垒被高科技企业和综合服务攻破之后的激烈竞争，传统通信行业面临向现代金融服务业转变的艰巨任务。我们调查发现，一直以来，通信行业都非常重视信息技术的应用，信息技术不但在建设方便、高效、安全的金融服务体系中发挥基础作用，而且对于提高企业内部管理水平进而提高资源配置效率更是具有重要意义。通信业是现代服务业的重要组成部分，它通过沟通整个社会的经济活动而成为现代经济的核心。作为知识密集型产业，现代通信行业在组织结构、业务流程、业务开拓以及客户服务等方面，日益体现出以知识和信息为基础的特征。这种行业属性决定了现代通信业必须以飞速发展的信息技术为支撑，通信信息化顺势而生。在通信业日益显现对社会运行发展的强大支撑能力之时，信息化已经成为现代通信服务的命脉。总之，随着通信行业信息化的不端发展，信息化发展已经涉及通讯系统、备份系统、应急系统、加密系统、维护系统、监控系统等一整套系统的建设，从而对网络、服务器、通信线路、信息系统的安全等各方面的要求大大提高了，对整个IT系统的管理和维护服务要求也大大提高。近年来，网络安全威胁愈演愈烈，网络攻击工具越来越多样，越来越容易获得，所需要的技能越来越低，只需拷贝一个黑客程序就可以进行攻击，漏洞利用的时间越来越短。攻击的目的性，过去纯粹为了比技术，现在商业目的越来越明显。下面有一组数据，说明当前网络安全的严峻形势：据公安部2005年度针对1.2万家信息网络使用单位，涉及政府机关、电信广电、能源交通、金融证券、教育科研、商业和制造业等领域的全国信息网络安全状况暨计算机病毒疫情调查结果显示：l 2005年，感染过计算机病毒的用户数占被调查总数的80%l 多次感染计算机病毒的比率为54.7%l 2005年中国有将近90%的用户遭受间谍软件的袭击另根据中国国家计算机网络应急技术处理协调中心公布的数据：2005年6月9月国内发现较大规模僵尸网络59个，平均每天有3万台电脑被控制。统计分析近年来频繁发生的网络安全事件可以发现，其中相当大的比例是由于内部网络的桌面电脑遭受黑客、病毒、间谍件攻击，导致大规模的网络瘫痪。为什么在安全已经受到高度重视的今天，还频频发生如此之多的安全事件呢？经过分析，我们可以发现产生这些内网安全事件的主要原因在于：n 对内部终端安全管理的重要性认识不足。绝大多数遭受内网安全事件的组织，原先对网络安全的认识就是要防范来自外部网络的攻击，在内部终端安全管理上不够重视。多数组织仅仅建立边界安全控制，如：防火墙，IDS，IPS，但是边界安全控制不能完全阻断病毒、黑客的侵入。很多安全事件是由于外来笔记本电脑直接接入内部网络，或者内部网络的桌面电脑直接拨号上网引起。n 需要保护的对象太多/应用环境复杂。以往解决网络安全问题，只需要保护好网络设备、服务器系统的安全即可。现在却需要保护数以百计的桌面电脑的安全，只要有个别桌面电脑感染网络病毒或者被安装木马，即会导致网络瘫痪。采用传统的技术手段来保护数以百计的计算机安全是很困难的，因为桌面电脑的用户大多是非计算机专业人员，对安全设置、补丁管理认识不足。n 技术手段限制。在没有技术手段的情况下，终端安全管理员既不能及时掌握系统的整体安全(漏洞)状况，也不能及时发现被感染/攻击/中招的电脑。一旦发生桌面电脑感染病毒或被安装破坏力强的木马，必然导致严重的网络安全事故。n 资源投入限制。由于人力、物力的限制，任何政府单位、企业都不可能为保障安全投入无限的资源和费用，也很难对众多的设备进行分级、分类安全管理。分析这些安全事件，一个非常值得注意的趋势是：网络安全已经不仅仅是网络设备、服务器系统的安全问题，终端电脑的安全问题已经成为网络安全中最为严重的问题。此外，由于计算机系统是一个复杂的系统，电子器件老化、线路与电源故障，或者设备配置失误，都有可能导致系统的中断。如何在系统发生故障的情况下，第一时间发现故障源并且及时恢复系统运行，这是一个至关重要的问题。为解决安全、故障、性能管理问题，以及IT系统运行管理中的其它问题，我们需要建立一整套IT运行监控与终端安全管理系统，对IT系统进行全面的综合管理和监控。1.2 山西移动的终端安全管理面临的困难和压力山西移动网络采用全省数据大集中模式，目前网络已基本建成连接省中心、市中心、县中心、营业网点的计算机主干网和各级局域网，网络已经覆盖全省的乡镇。约有4000-5000台左右营业终端，分布在全省11个地市近千个营业厅中，为用户提供着高水平的服务。在这些终端中，有些终端在相当长一段时间内处于闲置状态。有些终端出现了软件或者硬件的故障。这些终端分布的地域非常广，而IT管理人员不可能花费巨大的人力物力去逐台检查。网络拓扑如下：山西移动的维护人员疲于被动地应对多套管理工具，多种形式的告警。分离的故障和投诉不仅大大降低了已有网络资源的利用效率和维护人员的工作效率，也造成IT管理严重脱节于企业业务的整体管理，新业务的扩展不断引起IT建设和维护成本的飞涨。随着山西移动网络规模的不断扩大，网络设备数量和各种应用软件系统的渐渐增多，软件和硬件设备出现问题的情况也越来越多，技术管理人员现在处于一种“救火员”工作方式，就是哪里出现问题，就去哪里救火解决问题。因此，建设IT系统综合管理平台实现对所有IT系统和资源的24小时无人值守就成了当务之急山西移动目前运维系统面临的主要困难是：一是资源分散，缺乏统一全面的了解；二是运维手段较落后，对系统故障和效率下降缺乏预警和分析工具；三是缺乏与系统管理紧密结合的运维管理工具；四是缺乏对运维管理人员绩效考核的有效工具。山西移动的信息部门面临着前所未有的IT系统运行维护压力，这些压力包括：（1） 如何对遍布全省的支撑业务系统的计算机网络系统（包括线路、网络、桌面电脑、移动笔记本等）进行故障、性能和安全管理监控，确保计算机网络的安全、稳定运行；（2） 如何对遍布全省各地的IT维护人员进行有效管理，确保IT维护人员能够确实有效执行各项工作任务以及避免误操作；（3） 如何对网络系统进行有效监控，在网络系统出现软、硬件故障时对其进行及时的处理和报告；（4） 如何确保单位的信息系统管理机制能够正常、准确运作，在发生各种物理故障（线路、设备），人为故障（内部误操作、外部攻击）的情况下，这些问题能够得到及时、有效的处理。此外，愈演愈烈的安全攻击和安全威胁，网络病毒、外来黑客攻击、内部人员的非法行为等加剧了IT部门的运行维护压力。1.3 建立统一的终端安全管理为加强对IT系统的管理监控，应对面临的各种安全威胁，保障各项通信业务能够正常、有效地开展，建立一个统一的终端安全管理系统刻不容缓。分析山西移动的信息系统，我们认为给IT系统的正常运行维护带来的主要困难来自于：（1） 山西移动分支多，物理位置分散，人工管理困难。山西移动的计算机网络系统遍布每个营业网点，各种计算机设备、通信线路遍布全省，简单的人工管理根本无法做到及时发现设备、线路的故障和问题；（2） 频频发生的病毒、网络安全威胁给维护工作带来了极大的困扰。近年来，各种网络病毒、网络安全攻击事件频频报道于各种媒体，山西移动的计算机网络因为非常分散，非常容易遭受各种外来认为、内部人员的安全攻击，也非常容易遭受网络病毒的侵害；（3） 山西移动信息系统复杂、庞大，IT系统可能出现的问题种类繁多，出现问题后定位困难。例如，要维持业务系统的正常运行，必须确保省联社和各市联社网络设备、通信线路、操作系统、数据库、电脑PC等各种设备和系统的正常工作，任何一个环结的问题都会导致业务中断；（4） 维护人员多，对维护人员本身的管理难度大。由于维护人员的数量多，而且有相当数量的维护人员分散在各个营业网点，如何规范维护人员的日常维护操作行为，避免误操作或不按规定操作维护；以及如何对维护人员的工作进行有效的管理和评估。所有这些，对信息部门的主管来说均有很大难度。通过分析山西移动在终端安全管理上所面临的各种困难、压力和安全风险，我们认为山西移动非常有必要建立统一的终端安全管理系统，以解决如下几个方面的问题：（1） 对包括通信线路、网络、桌面电脑等在内的，所有与业务系统相关的设备、系统的集中统一的故障、性能和安全监控；（2） 对接入网络的各种计算机设备进行控制，防止非法接入。防止非法接入的计算机因为感染