1、 LanSecs内网管理系统 目 录 1. 计算机终端安全管理需求分析 1 1.1. 网络管理 2 1.1.1. 物理网络拓扑图 2 1.1.2. 流量控制 2 1.1.3. IP地址管理 3 1.1.4. 故障定位 3 1.2. 终端安全防护 3 1.2.1. 补丁安装防护 3 1.2.2. 防病毒防护 4 1.2.3. 进程防护 4 1.2.4. 网页过滤 4 1.2.5. 非法外联防护 5 1.3. 终端涉密信息防护 5 1.3.1. 终端登录安全认证 6 1.3.2. I/O接口管理 6
2、1.3.3. 桌面文件安全管理 6 1.3.4. 文件安全共享管理 7 1.3.5. 网络外联控制 7 1.4. 移动存储介质的管理 7 1.5. 网络接入控制 8 1.6. 计算机终端管理与维护 9 1.7. 分级分权管理 9 2. 计算机终端安全防护解决方案 10 2.1. 方案目标 10 2.2. 遵循标准 11 2.3. 方案内容 12 2.3.1. 网络管理 12 2.3.1.1. 物理网络拓扑图 13 2.3.1.2. 流量控制 13 2.3.1.3. IP地址绑定 13 2.3.1.4. 故障定位 14 2.3.2. 终端安全控制 14 2.3.
3、2.1. 补丁管理 14 2.3.2.2. 防病毒控制 14 2.3.2.3. 进程监控 15 2.3.2.4. 网页过滤控制 15 2.3.2.5. 非法外联控制 15 2.3.3. 终端安全审计 15 2.3.4. 移动存储介质管理 16 2.3.4.1. 注册授权 18 2.3.4.2. 访问控制 18 2.3.4.3. 数据保护 19 2.3.4.4. 自我保护 19 2.3.4.5. 操作记录 19 2.3.5. 计算机终端接入控制 20 2.3.5.1. 非法主机的定义 20 2.3.5.2. 非法接入控制策略 20 2.3.5.3. 非法接入阻断技术
4、实现原理 21 2.3.6. 计算机终端管理与维护 22 2.3.6.1. 主机信息收集 22 2.3.6.2. 网络参数配置 23 2.3.6.3. 远程协助 23 2.3.6.4. 预警平台 23 3. 系统设计 32 3.1. LanSecS系统安全性设计 32 3.1.1. 控制中心安全性 32 3.1.2. 主机代理安全性 32 3.1.3. 数据库安全性 32 3.1.4. 策略分发与存储安全性 34 3.1.5. 主机代理与控制中心通讯安全性 34 4. 系统特色与系统部署 36 4.1. LanSecS系统特色 36 4.2. LanSecS典型部
5、署 38 4.2.1. 简单内网环境 38 4.2.2. 本地多内网环境 38 4.2.3. 分级部署环境 39 5. 产品配置要求 39 1. 计算机终端安全管理需求分析 随着科技的发展,计算机和网络作为现代企业重要的工具,在日常办公过程中发挥着越来越重要的角色。计算机和计算机网络已经成为企业、政府和其它各种组织的重要信息载体和传输渠道。很明显,计算机、计算机网络和其所带来的信息数字化大幅度提供了工作效率,也使得海量的信息存储和处理成为了现实。但是,在享受到计算机以及计算机网络所带来的方便性的同时,也出现了目前受到广泛关注的对内网设备如何进行有效管理的问题,以及由此带来的网络
6、信息安全问题。 目前随着制造业单位规模不断增大,IT硬件成本降低、更新换代速度比较快,单位为了提高工作效率,不断的增加新的设备;因此机器数量和网络规模也随之增多、增大。员工办公感觉是越来越方便了,但是给网络管理员带来的内网管理问题却越来越重了。首先是网络的管理,IP混乱、网络拥塞、出现故障无法及时定位进行解决;其次是资产的管理,越来越多的设备使资产管理处于混乱,管理员疲于资产的统计。 在内网信息安全管理方面,尤其是设备自身的健壮性,如何保证设备硬件所承载的系统能够正常运行;另一方面对于单位内部的设计部门,由于数字信息本身具有易于复制的特性,利用这个特性,信息更易于受到难以控制和追溯的盗取威
7、胁,网络使信息更容易受到破坏、更改和盗取。很明显,能否最大限度确保企业内部数字信息的安全性已经关系到了计算机和计算机网络能否真正成为有实质意义大规模应用的关键因素。如何提高安全性保证机器的正常办公、如何将非法入侵者拒之门外、如何防止内部信息外泄,如何更好的保证网络快速高效运行,这些都是制造业目前在进行网络化过程中必须解决的问题。 目前各行业内部网络所采取的安全措施基本上是采用防火墙、入侵检测等安全产品放置于内部网络和外网连接处保证网络层的安全,并采用操作系统或应用系统所带的身份验证机制,或通过安装物理隔离卡将内部局域网划分成内网与外网两个组成部分。内部网络上大多数的应用对制造业单位是至关重要
8、的,甚至是严格保密的。一旦出现病毒传播、破坏的事件,将产生严重后果。这些都使得内网安全问题变得越来越重要和突出。而内网安全存在许多问题,为了防范各种各样的安全风险,必须在内网建立可靠的网络管理、安全监控和审计控制,以保证内部系统的顺利运行。为了确保制造业单位内部的IT系统的平稳运行,一个健壮的内网安全管理体系是十分重要的。 作为制造业的计算机终端安全管理方案而言,需要解决如下问题: 1.1. 网络管理 在制造业的网络环境中,由于单位规模、单位办公的需要,存在很多的工作区域,甚至在外地也有自己的办事处和生产车间,为了便于企业内部的信息共享,一般采用专线或其他网络互联技术,使之与内部网络连接
9、便于单位内部的数据管理和办公管理。但是大规模的网络环境、复杂的分支机构,给网络管理带来了极大的困难,设备的分布不明确;流量管理没有依据;对于静态IP地址环境地址混乱、冲突也是很棘手的问题。针对网络管理方面主要包括一下几个方面: 1.1.1. 物理网络拓扑图 单位的内部网络是由网络设备共同作用,协同工作建立起来的,主要设备有:路由器、交换机、HUB,而在局域网中对数据交互起核心作用的是交换机。目前的网管软件可以对逻辑拓扑图进行绘制,对交换机的面板信息进行提取和控制,但是无法看到终端设备和交换机端口的物理连接关系,无法从拓扑图上看到下连设备的信息。如何建立起交换机端口和设备的连接关
10、系是至关重要的,因为端口的流量信息其实就是设备的流量信息;想要掌控设备,只要对交换机端口进行控制就可以了。 因此物理拓扑图显示设备与端口的物理连接关系会给管理带来极大的方便。 1.1.2. 流量控制 借助物理网络拓扑图上设备的物理连接关系,通过可网管交换机端口的流量控制,能够对交换机下连的设备进行端口控制,关闭端口或是打开端口。但是内部网络环境中不可能所有的交换机全部都是可网管的,而且管理员不可能天天进行端口的打开、闭合操作,除非是出现异常的网络攻击和拥塞时,才会采取如此非常手段。因此对于日常的控制来说,最有效的方法是通过控制每个终端设备的网卡流量,如果能将设备的流量控制在一定的
11、范围内,既保证了设备的正常工作使用,又可以防范在非法使用P2P下载软件抢占带宽和病毒爆发时给网络速度带来的拥塞,这对于管理来说才是实用的管理手段。 1.1.3. IP地址管理 为了便于管理,出现问题能够及时追查,网络建设时管理员通常使用静态IP地址,这对于管理来说确实是一个有效可行的措施。但是由于员工的计算机操作水平不同,很可能造成随意修改IP地址带来的内网地址冲突,这给内网管理带来很繁琐的问题。虽然通过在核心或二层交换机上,可以通过命令来绑定IP/MAC地址从而消除上述问题,但是工作量庞大,因此彻底屏蔽IP地址冲突的问题是网络管理必须要做的。 1.1.4. 故障定位 很多制造业内部网
12、络庞大,分支繁多,一旦终端机器或网络链路出现问题,很难迅速定义问题点,如果从链路着手解决问题,除非管理员此前做了详尽的网络链路备份信息表(每次增加机器都需要逐台进行记录),否则从众多网络排线中找出问题链路将是一件十分费时、费力的事情。 1.2. 终端安全防护 单位内网进行办公所运行的各种服务都是应用在终端设备的基础上,一旦终端设备的安全性出现问题,那么所有其承载的服务将无法运行,严重影响单位的工作效率,给单位的生产造成损失。因此必须保证机器的健壮性,为了保证机器的正常运行包括以下几个方面: 1.2.1. 补丁安装防护 目前在制造业的单位中,承载各种应用的操作系统90%以上的端终用户使用
13、的都是windows2000,XP或以上的操作系统,但是这几种操作系统的安全漏洞非常多,很容易收到攻击。微软公司会通过定期发布安全补丁的方式来弥补这些漏洞,但由于某些员工用户缺乏相关知识,或者处于研发部门的设计网是和单位局域网物理隔离的网络,从而导致补丁安装的不完全,不及时,这就会严重影响终端计算机的安全,一旦发生针对微软操作系统漏洞的攻击,就会导致整个网络受到威胁。 1.2.2. 防病毒防护 员工由于防范病毒意识较淡薄,没有安装防病毒软件;或者由于个人对防病毒品牌的倾向性,从而发生没有安装防病毒软件,甚至意外卸载,或防病毒软件没有运行,这样不仅使单台PC机受到病毒侵害,而且一旦感染病毒,
14、可能回向内网的其他机器传播,导致整个内网病毒泛滥,甚至网络拥塞。因此一定要保证防病毒软件的安装、正常运行、及时升级。 1.2.3. 进程防护 由于当前大量病毒以及恶意程序的存在,而这些程序对于普通用户而言并不知情,甚至有些恶意程序通过技术手段使得用户无法通过任务管理器看到其工作进程;另一方面,有些用户可能有意或无意地运行一些可能会影响他人或自己工作的软件(如网络嗅探器)。 单位的机器目的是提高员工的生产效率,充分利用上班时间为单位创造更多效益,但是某些娱乐性软件严重影响了员工的工作效率,某些下载软件造成网络速度减慢,影响了内网的正常办公。 因此通过制定策略,实现对非法进程的监控并阻止,
15、能够大大减少由内部引起的网络安全事件,提高我们的工作效率。 1.2.4. 网页过滤 某些员工访问Internet时,由于安全防范意识不够,登陆恶意网站,造成机器受到攻击,从而产生病毒感染、机器不能正常使用,注册表被修改、浏览器无法正常的访问网络;严重的甚至会植入木马,造成机器重要数据的网络泄密。因此必须对内网机器的网络访问进行必要的过滤。 1.2.5. 非法外联防护 单位内部的局域网会在网络的出口上,增加相关的安全硬件防护设备,例如:防火墙、IDS、IPS、防病毒网关等设备来加强边界的防护,保证内网的安装。但是员工由于好奇,或者厌烦上网出口的种种限制,通过Modem或ADSL
16、拨号方式访问Internet,极易受到外部网络的攻击;当该机器一旦受到攻击,回到内网后很容易将相关病毒、木马向内网传播。 1.3. 终端涉密信息防护 在现代生活中,信息就是财富。无论是国家、政府、企业和个人都不希望机密信息被别人窃取,造成各种经济和社会损失。对制造业单位的设计、研发部门来说,机密信息的存储、使用和传递过程中,会面临各种各样的泄漏风险。 信息外泄的途径包括: l 本地打印机、网络打印机的非法输出涉密文件; l 终端计算机非法拨号、非法外联访问; l 离线存储设备存储涉密文件遗失; l 内部员工使用涉密计算机连接外部网络致使泄密; l 工作人员由于对计算机专业知识
17、的不熟悉而泄密。 从泄密行为的区别上,分为两种泄密:被动泄密和主动泄密。 被动泄密:由于员工的电子信息保密的意识还不强,常常由于专业知识不熟悉或者工作疏忽而造成泄密。如有些人由于不知道计算机的电磁波辐射会泄露秘密信息,计算机工作时未采取任何措施,因而给他人提供窃密的机会;有些人由于不知道计算机软盘上的剩磁可以提取还原,将曾经存贮过秘密信息的软盘交流出去,因而造成泄密;有些人因事离机时没有及时关机,或者采取屏幕保护加密措施,使各种输入、输出信息暴露在界面上;有些人对自己使用的计算机终端缺乏防护意识,如没有及时升级病毒库和更新系统补丁,导致病毒和木马的入侵,在不知不觉中泄露了机密信息。 主动
18、泄密:这种情况是由于内部员工出于个人利益或者发泄不满情绪,有意识的收集和窃取机密信息。由于电子信息文档不像传统文档那样直观,极易被复制,且不会留下痕迹,所以窃取秘密也非常容易。电子计算机操作人员徇私枉法,受亲友或朋友委托,通过计算机查询有关案情,就可以向有关人员泄露案情。计算机操作人员被收买,泄露计算机系统软件保密措施,口令或密钥,就会使不法分子打入计算机网络,窃取信息系统、数据库内的重要秘密。 对于制造业单位来说,涉密终端计算机作为涉密信息处理的工具,在其上存储、传输和处理的涉密信息的安全性保护相当重要。任何一个环节的疏漏均可导致涉密信息的丢失。因此,必须加强对涉密信息的防护。当前,对涉密
19、信息的防护需求主要包括如下几个方面: 1.3.1. 终端登录安全认证 终端用户当前通过用户名/口令方式进行计算机本地/域登录,然而用户名/口令方式虽然简单,但是存在很大的安全隐患: l 密码管理复杂 l 密码容易泄漏 l 存在暴力破解的可能性 l 无法阻止他人恶意非法盗用 因此,作为终端安全管理的第一步,首先需要解决终端登录安全认证的问题。 1.3.2. I/O接口管理 随着计算机外设的增多,各种各样的输出设备(软驱、刻录机、打印机、绘图仪、移动存储设备、红外、蓝牙、无线网络设备)为信息处理和传输提供极大便利的同时,也为机密信息的扩散和泄露带来了可能。尤其是USB接口的计算机
20、周边设备的丰富,使得计算机与其他外部设备,如U盘,USB打印机等连接十分方便,并能轻而易举地通过USB设备将外部数据导入或者内部数据导出,为重要数据的保护带来了巨大的安全隐患。 1.3.3. 桌面文件安全管理 作为数据最终处理的计算机终端,存储着大量的业务数据。由于Windows操作系统默认将数据以明文方式存储于磁盘上,因此一旦其他未被授权用户能够进入操作系统,都能非常方便地实现对磁盘数据的访问和阅读。 因此,如何确保数据信息在计算机终端的安全,也是计算机终端安全管理必须考虑的问题。 1.3.4. 文件安全共享管理 由于计算机终端大多使用Windows操作系统,而该操作系统安装后即开
21、放了部分共享目录,同时由于许多用户并未采用安全的访问密码,造成其他用户能够较为方便地通过远程网络实现对他人网络共享数据的访问。 因此严格控制终端的文件共享,尤其是涉密终端的文件共享,也是桌面系统安全管理的重要内容。 同时,作为常见的文件共享,应能提供安全的用户身份认证机制、完善的共享授权以及详细的访问日志信息。 1.3.5. 网络外联控制 涉密内网虽然不与互联网直接连接,但是内部人员可能会出于各种原因通过Modem拨号、ADSL上网、无线上网等技术手段将个人终端计算机接入互联网。这种行为带来的危害不仅包括内部员工通过主动的邮件发送、即时通讯等手段将机密信息发送到内网之外,也为内网增加了
22、来自互联网上的攻击和破坏的风险,从而导致由互联网入侵或者木马程序等方式造成内网机密信息的被动泄密。 因此对终端计算机的网络外联控制是防泄密管理的重要内容之一。 1.4. 移动存储介质的管理 移动存储介质已经得到普及应用,移动存储介质使用灵活、方便,使它在各个单位的信息化过程中迅速得到普及,越来越多的敏感信息、秘密数据和档案资料被存贮在移动存储介质里,大量的秘密文件和资料变为磁性介质、光学介质,存贮在无保护的移动存储介质中,这给企业涉及设计、研发信息资源带来相当大的安全隐患。存储介质作为企业核心商业机密和敏感信息的载体,实现对它们安全、有效的管理是保证企业信息安全的重要手段。 移动存储
23、介质使用过程中常见的风险包括: 1) 非法拷贝敏感信息和涉密信息到磁盘、U盘或其他移动存储介质中; 2) 企业外部移动存储介质未经授权在内部使用; 3) 企业内部移动存储介质及信息资源被带出,在外部非授权使用; 4) 使用过程的疏忽; 5) 存贮在媒体中的秘密信息在联网交换时被泄露或被窃取,存贮在媒体中的秘密信息在进行人工交换时泄密; 6) 处理废旧移动存储介质时,由于磁盘经消磁十余次后,仍有办法恢复原来记录的信息,存有秘密信息的磁盘很可能被利用磁盘剩磁提取原记录的信息—这很容易发生在对磁盘的报废时,或存贮过秘密信息的磁盘,用户认为已经清除了信息,而给其他人使用; 7) 移动存储
24、介质发生故障时,存有秘密信息的介质不经处理或无人监督就带出修理,或修理时没有懂技术的人员在场监督,而造成泄密; 8) 移动存储介质管理不规范,秘密信息和非秘密信息放在同一媒体上,明密不分,媒体介质不标密级,不按有关规定管理秘密信息的媒体,容易造成泄密; 9) 移动存储设备在更新换代时没有进行技术处理; 10) 媒体失窃,存有秘密信息的磁盘等媒体被盗,就会造成大量的国家或企业秘密信息外泄,其危害程度将是难以估量的,丢失造成后果非常严重。 综上所述,移动存储介质的管理对制造业来说,是一个必须关注的问题。 1.5. 网络接入控制 若不对接入网络的计算机设备进行认证,则每一台外来的计算机
25、设备只要通过涉密网内的任何一个端口连接,则整个网络都将向其开放,这显然对于内部网络安全而言是巨大的安全隐患。因此,需要对计算机终端的接入进行有效的监视和控制。通过提取接入计算机的物理特征,可以判断该计算机是否为企业内网上授权接入的计算机,如果为非授权计算机,则视为非法主机。对非法主机需要采取必要的方式进行阻断和隔离,从而保证该计算机无法访问内网的相关资源。 另外,对于内网授权使用的计算机,任何一台感染了病毒和木马,管理人员也无法及时定位和自动阻断该计算机的破坏行为。往往需要花费很长的时间才能判断和定位该计算机,然后再通过手动的方式断网。对安全强度差的终端计算机缺乏有效的安全状态检测和内网接入
26、控制,也是内网管理人员比较头疼的问题之一。要想对此类计算机进行接入的控制,首先应该对计算机的安全状态能够实时掌握,例如病毒库的升级情况和操作系统补丁的修补情况等。只有掌握了计算机的安全状态,才能根据其安全状态判断是否应该对其进行阻断和隔离。 1.6. 计算机终端管理与维护 对于制造业单位庞大的网络和众多的终端计算机来说,依靠传统的资产登记管理办法,根本无法做到对计算机配置信息的准确掌握,对计算机配置的变化也无法及时跟踪。例如,要准确掌握每台计算机的软硬件配置信息,通过手工方式将是非常耗时和繁琐的工作。要想实时并准确地掌握内网终端计算机的配置状况与配置变更状况,必须通过技术手段和工具来辅助实
27、现,才能有效节省成本和资源,提高内网管理的效率。 另外,由于终端计算机的数量众多,管理人员也无法实时掌握每台终端计算机的运行状态。当终端计算机出现故障需要维护时,管理人员如果采用现场维护的方式,一方面增加了人力成本,另外由于人力资源有限,也无法保证维护的及时性。如何实时监视终端计算机的运行状况,并且方便地对终端计算机进行远程维护,是制造业单位网络管理人员迫切需要解决的问题。 1.7. 分级分权管理 内网安全管理系统作为一个计算机终端防护、检测、维护和工具,其特点是管理的计算机数量众多。管理这么多的计算机,依靠某一位管理员是不现实的,另外,如果企业的部门设置较为复杂,分支机构多,则会加剧管
28、理的难度。因为一个管理员不可能了解所有计算机终端用户的计算机使用细节,所以对管理的深度和强度无法把握。 由于以上的原因,对以一个大型企业,从科学管理的角度来讲,必须采用分权管理的思想。所谓分权管理,包括两层含义。 l 是把所管理的计算机终端范围进行划分和分配,采取谁熟悉、谁管理的原则,不同管理员自己管理自己范围内的计算机、包括策略的设置和审计的查看等。 l 是把系统策略的配置进行划分和分配,采取谁适合、谁管理的原则,不同管理员有不同的策略配置权限。这样处理可以保证策略的配置不会违反单位的保密规定。例如,某管理员可以配置补丁分发的策略,而另一个管理员则可以配置安全审计的策略。 对于规模巨
29、大的制造业单位,往往都在管理层次上划分为多个垂直单位,如集团、所、部门等。考虑到制造业单位对管理上的需求往往希望能够由上级部门直接设定下级部门的安全策略和查看下级单位的审计信息。这就提出了分级管理的需求。 所谓分级管理,就是由上级机构对下级直接进行管理,管理上的控制力度可以由上级机构自主设定。例如可能上级机构希望取消下级机构的所有管理权限,或者希望为下级机构分配一定范围的管理权限,而关键策略的设置则由自己设定。 分级管理的主要需求分为如下两个方面: l 策略配置,上级机构可以直接接管下级的策略配置权限,上级设定的策略,下级无法更改。 l 审计报表查看,上级机构可以随时要求下级机构将上级
30、关心的报表传递上来,审查下级机构的策略执行情况以及违规事件等。 2. 计算机终端安全防护解决方案 2.1. 方案目标 本方案的目标是为延边天池工贸有限公司提供一套计算机终端安全管理解决方案。为机密信息的防护和计算机终端的运行维护提供有效的工具和手段。 通过本方案,能够实现对单位内部局域网进行网络的统一管理、检测局域网内计算机终端是否安装有杀毒软件,实现对内网终端计算机的流量控制、规范上网管理、安全管理、终端涉密信息防护、网络接入/外联管理、移动存储介质的管理、审计和计算机的日常运行维护。 2.2. 遵循标准 本设计方案的主要依据是国家保密局文件 《涉及国家秘密的信息系统分级保护技术
31、要求》 (BMB17-2006),同时,还参考了以下标准和法规、文件: l 国家标准GB/T 2887-2000《电子计算机场地通用规范》; l 国家标准GB9254-1998《信息技术设备的无线电骚扰限值和测量方法》; l 国家标准GB9361-1998《计算站场地安全要求》; l 国家标准GB/T 9387.2-1995 信息处理系统 开放系统互连 基本参考模型 第2部分:安全体系结构(idt ISO 7498-2:1989); l 国家标准GB17859-1999《计算机信息系统安全保护等级划分准则》; l 国家标准GB/T 18336-2001 信息技术 安全技术
32、 信息技术安全性评估准则(idt ISO/IEC 15408:1999); l 国家标准GB50174-1993《电子计算机机房设计规范》; l 国家军用标准GJB3433-1998《军用计算机网络安全体系结构》; l 国家公共安全和保密标准GGBB1-1999《信息设备电磁泄漏发射限值》; l 国家保密标准BMB2-1998《使用现场的信息设备电磁泄漏发射检查测 试 方法和安全判据》; l 国家保密标准BMB3-1999《处理涉密信息的电磁屏蔽室的技术要求和 测试方法》国家保密标准BMB4-2000《电磁干扰器技术要求和测试方法》; l 国家保密标准BMB5-2000《涉密信息
33、设备使用现场的电磁泄漏发射防 护要求》; l 国家保密指南BMZ1-2000《涉及国家秘密的计算机信息系统保密技术 要求》; l 国家保密指南BMZ2-2001《涉及国家秘密的计算机信息系统安全保密方案设计指南》; l 国家保密指南BM23-2000《涉及国家秘密的计算机信息系统安全保密测评指南》; l 《国家信息化领导小组关于加强信息安全保障工作的意见》 中共中央办公厅 国务院办公厅 中办发[2003]27号; l 国家保密局文件《计算机信息系统保密管理暂行规定》(国保发[1998]1号); l 中央保密委员会办公室、国家保密局文件《涉及国家秘密的通信、办公自动化和计算机信息
34、系统审批暂行办法》(中保办发[1998]6号); l 中共中央办公厅国务院办公厅关于转发《中共中央保密委员会办公室、国家保密局关于国家秘密载体保密管理的规定》的通知(厅字[2000]58号); l 《关于加强信息安全保障工作中保密管理的若干意见》 中共中央保密委员会 中保委发[2004]7号; l 《涉及国家秘密德信息系统分级保护管理办法》 国家保密局 国保发[2005]16号; l 《信息安全等级保护管理办法(试行) 》 公安部 国家保密局 国家密码管理局 国务院信息化工作办公室 公通字[2006]7号。 2.3. 方案内容 针对以上我们分析内网管理出现的实质问题,
35、结合信息化安全建设已经从最初的网络安全焦点互联网边界防护向单位的内网转移,因此我们必须认识到内网安全管理的重要性,对内网安全进行全面防护,“防患于未燃”。 为了加强延边天池工贸有限公司的内网安全防护,防止设计部门机密数据的泄漏,加强内网的健壮性,同时根据延边天池工贸有限公司提出的一些新的方案功能需求,我们提出如下内网安全管理解决方案。 2.3.1. 网络管理 网络管理是建立在内网中支持SNMP协议的可网管交换机,自动进行拓扑图的学习,从而生成物理网络拓扑图。在此基础上实现对交换机流量的控制、设备故障定位,结合客户端控制软件的IP地址管理功能、网卡流量控制功能,全面实现对内网从网络设备到终
36、端机器的控制。既保证了网络的正常运行,又可以在出现问题时能够尽快解决。 2.3.1.1. 物理网络拓扑图 在支持公有SNMP协议的交换机上,能够自动发现网络内所有网络设备(包括三层和二层设备),通过系统提供的智能学习功能,自动识别网络的物理拓扑结构,生成网络物理连接拓扑图。 物理拓扑图包括两种:链路拓扑和全局拓扑图。链路拓扑图只显示交换机之间的端口连接关系;全局拓扑图显示所有的网络设备和客户端主机,可以直观查看客户端主机与网络设备之间的端口连接关系。 拓扑图可以进行编辑、保存,并可以通过参数设置,按设置好的时间段对拓扑图上的合法接入设备进行实时更新。在拓扑图上可以方便地查看可管理设备的
37、配置信息,如System、Interface、IP Address、Routing、ARP、MAC Address、Flow等。 物理网络拓扑图便于管理员掌握内部网络的分布情况,机器连接链路的变化情况,使整个网络了然于胸。 2.3.1.2. 流量控制 流量控制包括两个方面,既可以通过控制交换机的端口,使用端口的打开和闭合功能实现对下连设备的链路流量的开启和关闭,也可以通过客户端程序对每个终端机器的网卡流量进行设置,对于超过指定阀值的设备进行自动的网络阻断,当网卡流量恢复到正常时,网卡自动开启、恢复网络连接,保证受控端在指定的流量范围内进行网络连通。既保证了其正常工作,又不会影响
38、网络带宽。 2.3.1.3. IP地址绑定 通过使IP地址和每台机器的ID号相对应,以一一对应的关系为依据,从而保证每个IP有一个唯一的标识与之对应。当客户端程序检测到IP地址进行修改时,IP地址会自动恢复到此前已经绑定了的IP值,保证IP地址不会被随意修改。杜绝了单位内部的IP地址冲突问题。 2.3.1.4. 故障定位 通过物理网络拓扑图显示的物理网络链路连接关系,可以得到设备和交换机的物理连接链路。一旦设备或链路出现故障,可以通过直观的图象信息,准确定位故障点,对问题进行及时排查、处理。配合交换机端口流量阀值设置,一旦某条链路出现流量超限的事件,相应链路连接会产生颜色的变化,便于管
39、理员及时掌握内网链路流量状况。 2.3.2. 终端安全控制 通过对补丁分发、防病毒控制、进程监控、网页过滤控制,来尽最大程度保证内网机器的安全性和健壮性,避免由于自身安全性不完善而造成的系统崩溃,抵御已知的一切外部攻击。 2.3.2.1. 补丁管理 通过补丁管理,能够对内网终端计算机缺失补丁进行定期检测和自动安装与更新,保证系统与软件缺陷一经发现便可及时修补。通过补丁分发管理,大大减少了操作系统和应用软件漏洞被利用所造成的安全隐患和经济损失。同时,管理人员还可以实时统计当前各终端计算机的补丁缺失情况、补丁安装情况以及补丁安装的进度等,得到全网的终端计算机补丁安装快照。方便了对补丁分发过
40、程的监控。 2.3.2.2. 防病毒控制 通过防病毒软件监测,可以判断终端计算机是否安装了防病毒软件、防病毒软件运行是否正常以及病毒库是否保持最新等情况。如果以上几条不满足设定的策略要求,监测系统可以向管理人员发送报警信息。另外,监测系统还可阻断终端计算机的内网接入和内网访问,确保易被感染的终端计算机无法使用内网。未安装防病毒软件的计算机进行网络访问控制和隔离,使其形成内网中的“孤岛”。避免该终端计算机对内网其它主机造成安全威胁。 2.3.2.3. 进程监控 通过进程的黑、白名单对机器上运行的应用程序进行控制,黑名单与白名单是一种“或”的关系,可以同时配合使用,不同于以往同时只能有一个
41、处于工作状态。被列入黑名单的进程是无法在系统中运行的;而列入白名单的进程,在系统启动后必须运行,否则会强制断网,直到开启了该程序,网络才会恢复连接。 2.3.2.4. 网页过滤控制 通过网页过滤,可以有效屏蔽掉管理员禁止访问的网站,避免误入已知的非法或易受攻击的网站,在事前保证机器访问网站的合法性。 2.3.2.5. 非法外联控制 通过禁用设备的Modem、ADSL拨号、双网卡、代理上网等方式,禁止工作于内网的设备与外网连通,发生数据泄密和被攻击的事件,保证仅允许工作于内网的设备的纯粹性、安全性、机密性。而且一旦产生相关的事件,会产生相关的预警信息,及时同时管理员。 2.3.3.
42、 终端安全审计 终端计算机的防泄密解决措施对计算机终端进行安全审计,如网络接入、网络外联、文件操作、共享访问、设备使用、进程活动等,通过安全审计可以实时掌握用户的计算机使用行为。这类措施主要是应对恶意用户的主动泄密行为。这类措施主要是应对合法用户由于疏忽导致的被动泄密行为。 计算机终端的安全审计包括了事前控制、事中监控和事后审计在内的一系列安全管理策略。通过安全审计,可以有效的控制、监视和追踪计算机终端用户的行为,一旦用户有违保密规定的行为发生,管理员能够快速得到报警信息。 对受控终端进行审计是通过规则进行的。审计规则设置的是对服务器规则控制下的行为的记录和统计。在服务器设置相应的审计规
43、则后,如果客户端所在的设备有符合规则的行为发生,则在服务器的日志中会有相应记录。可以根据需要配置受控终端的文件操作、进程、网络访问等事件的规则。系统根据规则自动记录安全审计日志并存入系统日志信息库,这些信息是事后了解和判断网络安全事故的宝贵资料。 安全审计应包括如下几个方面: ² 涉密审计:涉密文件被操作使用、存储和传输审计功能; ² 入网审计:非法设备接入审计功能; ² 资产审计:自动登记受控终端的硬件配置(包括CPU、内存、硬盘、显示卡、网卡等等),当受控终端的硬件发生变动时能自动向安全管理核心系统发出报警信息; ² 系统审计:自动记录受控终端操作系统配置的用户、工作组、逻辑驱动
44、器,当其发生变化时,自动向安全管理核心系统发出报警信息; ² 加载服务审计:对受控终端安装的系统服务进行审计,自动记录系统服务的启动和停止; ² 安装和卸载审计:自动记录受控终端上应用程序的安装与卸载情况; ² 文件审计:对文件操作进行审计,记录用户对规则指定文件进行的各种操作; ² 网络访问审计:对网络访问进行审计,记录用户对规则指定网址进行的访问操作; ² 打印机操作审计:对本地打印机使用情况进行审计; ² 移动存储设备审计:对受控终端的可移动存储设备的使用情况进行审计; ² 非法外联审计:对拨号、无线网卡、手机红外等访问情况进行审计。 ² 进程审计:通过对终端计算机运行的
45、进程进行审计,可以发现用户正在运行的程序。可以通过进程黑名单的方式限制用户运行某些程序,例如游戏、攻击工具、视频播放器、MP3播放器等。限制用户利用计算机进行与工作无关的操作。 2.3.4. 移动存储介质管理 可信移动介质解决方案,主要是实现如下目标: 1) 通过移动介质交换的数据必须是密文,保证数据离开应用环境后不可用; 2) 数据交换前必须通过正确的身份认证,包括密码认证或USB KEY等授权硬件的身份认证; 3) 记录数据交换过程的工作日志,便于以后进行跟踪审计; 4) 未经授权的移动介质,在工作环境中不可用,只有经过企业授权的移动介质才能进入到企业的办公环境; 5) 工作
46、配发的移动介质带出办公环境后变为不可用。 为满足以上要求,公司在原有产品内容安全监控系统的基础上,通过扩展,增加了可信移动介质管理子系统,该系统综合利用信息保密、访问控制、审计等技术手段,对企业移动存储设备实施安全保护的软件系统,使企业信息资产、涉密信息不能被移动存储设备非法流失,用技术的手段,实现移动存储设备信息安全的“五不”原则,即:“进不来、拿不走、读不懂、改不了、走不脱”。 “进不来”,是指外部的移动存储介质拿到单位内部来不能用;“拿不走”是指单位内部的存储介质拿出去使不了;“读不懂”是指只有授权的人才能解密阅读,任何未经授权的人均无法打开其中的文件,这意味着即使存储介质丢失也
47、不会造成泄密;“改不了”是指其中的信息篡改不了;“走不脱”是指系统具有事后审计功能,对违反策略的行为和事件可以跟踪审计。 可信移动介质管理模块的对象定位即移动存储设备,包括以下种类: 1) 软盘; 2) U盘; 3) 移动硬盘; 4) 各种移动存储卡。 可信移动介质管理模块的功能包括:首先,它可以集中管理移动存储设备;其次,要求对移动存储设备的使用之前进行认证;再次,对磁盘存储采用了加密方式,防止信息泄露;最后,实行数据加解密和操作行为的安全审计等。 可信移动介质管理模块可对移动存储介质统一注册,并可对移动存储介质设定密级。注册并设定密级的移动存储介质受以下保密原则约束: 1
48、) 高密级移动存储介质不能在低密或者普通计算机上使用; 2) 涉密移动存储介质不能在非涉密计算机上使用; 3) 低密级移动存储不能(或者只读)在高密级计算机上使用; 4) 非授权的移动存储介质不能在涉密计算机上使用; 5) 即使密级相同,也只能在用户或者计算机得到许可的情况下才能够使用。 可信移动存储管理模块提供了对可移动存储介质从购买、使用到销毁整个过程的管理和控制,借助于注册授权、身份验证、密级识别、锁定自毁、驱动级加密、日志审计等技术手段对可移动存储设备进行失泄密防护,真正做到了“拿进来的移动存储器使不了”、“拿出去的移动存储器不能用”。本系统的主要功能如下: 2.3.4
49、1. 注册授权 所有移动存储介质在使用前均要经过授权中心统一授权,授权内容包括密级(普通、秘密、机密、绝密)、主管部门、所属部门、责任人、使用人(可指定多人)、使用部门、使用周期、是否采用口令保护等等,并根据授权信息产生涉密移动存储器管理台帐。授权后的移动存储器才能发放到个人使用,未经授权的移动存储介质将被严格控制使用。 2.3.4.2. 访问控制 对于未注册授权的移动存储介质,称之为普通移动存储介质;注册授权过的称之为可信移动存储介质。对于普通移动存储介质,禁止在内网使用;对于可信移动存储介质,则依据其授权信息进行多层次的访问控制。 1) 口令保护:用户在使用可信移动存储介质的时候
50、首先会要求用户输入正确的访问口令,方可正常加载可信移动存储介质; 2) 密级识别:用户在使用可信移动存储介质的时候,需要与客户端主机密级相匹配。高密级的磁盘将被禁止在低密级的主机上使用;也禁止从高密级的主机上拷贝数据到低密级的磁盘上; 3) 身份验证:用户在使用可信移动存储介质的时候,需对其身份信息进行验证,不在使用许可范围的将禁止使用; 4) 使用限制条件:通过上述三个条件的检查后,系统还提供了对使用次数和使用日期的限制,超过使用限制条件后将禁止其使用。所有的使用过程,系统都会记录相应的使用日志。 2.3.4.3. 数据保护 所有写入移动存储介质的数据都会被自动加密;用户在读取文






