收藏本站|在線留言|聯系我們
服務熱線:
路邦遠大,您身邊的網絡專家!

apex英雄价格:內網安全管理系統

作者:admin  來源:本站  發表時間:2012/9/5 14:03:16  熱度:5928℃

方案概述

apex英雄幻象技巧 www.smxzl.icu 網絡穩定性是單位網絡建設的基礎保障,而網絡安全是保障網絡系統穩定性的前提。同時,網絡安全問題也是造成單位內部信息泄漏的主要原因,因此,針對公司的信息化建設,網絡安全需要從網絡系統的保障、用戶的入網行為控制、網絡病毒和攻擊防護等幾個方面充分考慮公司網絡安全的建設。

有調查顯示,各單位中超過85%的管理和安全問題來自終端。因此,網絡安全呈現出了新的發展趨勢,安全戰場已經逐步由核心與主干的防護,轉向網絡邊緣的每一個終端。

目前,90%以上的終端用戶使用的是windows2000,XP或以上的操作系統,而這幾種系統的安全漏洞又非常多,微軟公司會通過定期發布安全補丁的方式來彌補這些漏洞,但由于終端用戶缺乏相關知識,導致補丁安裝的不完全,不及時,這就會嚴重影響終端計算機的安全,從而導致更嚴重的整個內網安全問題。

計算機終端作為信息存儲、傳輸、應用處理的基礎設施,其自身安全性涉及到系統安全、數據安全、網絡安全等各個方面,任何一個節點都有可能影響整個網絡的安全。而計算機終端廣泛涉及每個計算機用戶,由于其分散性、不被重視、安全手段缺乏的特點,已成為信息安全體系的薄弱環節。

作為計算機內網安全管理方案而言,其需要解決如下安全問題:

1.1.1 流量控制

單位內部網絡環境中不可能所有的交換機全部都是可網管的,所以不能完全依賴交換機進行流量管理;而且管理員不可能時刻關注每臺機器的流量狀況,除非是出現異常的網絡攻擊和擁塞時,才會采取如此非常手段。因此對于日常的控制來說,最有效的方法是通過控制每個終端設備的網卡流量,如果能將設備的流量控制在一定的范圍內,既保證了設備的正常工作使用,又可以防范在非法使用P2P下載軟件搶占帶寬和病毒爆發時給網絡速度帶來的擁塞,這對于管理來說才是實用的管理手段。

1.1.2 IP地址管理

為了便于管理,出現問題能夠及時追查,網絡建設時管理員通常使用靜態IP地址,這對于管理來說確實是一個有效可行的措施。但是由于員工的計算機操作水平不同,很可能造成隨意修改IP地址帶來的內網地址沖突,這給內網管理帶來很繁瑣的問題。雖然通過在核心或二層交換機上,可以通過命令來綁定IP/MAC地址從而消除上述問題,但是工作量龐大,因此徹底屏蔽IP地址沖突的問題是網絡管理必須要做的。

1.1.3 進程防護

由于當前大量病毒以及惡意程序的存在,而這些程序對于普通用戶而言并不知情,甚至有些惡意程序通過技術手段使得用戶無法通過任務管理器看到其工作進程;另一方面,有些用戶可能有意或無意地運行一些可能會影響他人或自己工作的軟件(如網絡嗅探器)。

公司采購機器目的是提高員工的生產效率,充分利用上班時間來服務于工作,但是某些娛樂性軟件嚴重影響了員工的工作效率,某些下載軟件造成網絡速度減慢,影響了內網的正常辦公。

因此通過制定策略,實現對非法進程的監控并阻止,能夠大大減少由內部引起的網絡安全事件,提高我們的工作效率。

1.1.4 防病毒防護

員工由于防范病毒意識較淡薄,沒有安裝防病毒軟件;或者由于個人對防病毒品牌的傾向性,從而發生沒有安裝防病毒軟件,甚至意外卸載,或防病毒軟件沒有運行,這樣不僅使單臺PC機受到病毒侵害,而且一旦感染病毒,可能回向內網的其他機器傳播,導致整個內網病毒泛濫,甚至網絡擁塞。因此一定要保證防病毒軟件的安裝、正常運行、及時升級。

1.1.5 補丁安裝防護

目前在制造業的單位中,承載各種應用的操作系統90%以上的端終用戶使用的都是windows2000,XP或以上的操作系統,但是這幾種操作系統的安全漏洞非常多,很容易收到攻擊。微軟公司會通過定期發布安全補丁的方式來彌補這些漏洞,但由于某些員工用戶缺乏相關知識,或者處于研發部門的設計網是和單位局域網物理隔離的網絡,從而導致補丁安裝的不完全,不及時,這就會嚴重影響終端計算機的安全,一旦發生針對微軟操作系統漏洞的攻擊,就會導致整個網絡受到威脅。

1.1.6 網頁過濾

某些員工訪問Internet時,由于安全防范意識不夠,登陸惡意網站,造成機器受到攻擊,從而產生病毒感染、機器不能正常使用,注冊表被修改、瀏覽器無法正常的訪問網絡;嚴重的甚至會植入木馬,造成機器重要數據的網絡泄密。因此必須對內網機器的網絡訪問進行必要的過濾。

1.1.7 計算機資產管理

對于規模較大的用戶,由于終端計算機眾多,依靠傳統的資產登記管理辦法,根本無法做到對計算機配置信息的準確掌握,對計算機配置的變化也無法及時跟蹤。例如,要準確掌握每臺計算機的軟硬件配置信息,通過手工方式將是非常耗時和繁瑣的工作。當內網終端計算機的硬件資產發生變化后,管理員是無法進行追查,不能找到具體什么時間、發生什么事情? 只能是在很久的時間后,或者在現場維護時才能發現,但是為時已晚。所以對于內部資產的流失要進行有效的管理和統計,避免內部的資產不明和流失。必須通過技術手段和工具來輔助實現,才能有效節省成本和資源,提高內網管理的效率。

1.1.8 移動存儲介質

   系統網絡化的飛速發展和高新技術設備的應用,作為網絡系統重要組成部分的移動存儲介質的安全保密問題開始顯著的突現出來。以U盤為代表的移動存儲介質的出現和普及,極大方便了數據交換和存儲便利性,但是與此同時也給內網帶來了巨大的隱患。由于移動存儲設備小型化、形式多樣化和存儲量大的特點,使得文件管理、信息管理、和行為管理變成了難上加難。

個人移動存儲設備在內網的隨意應用首先就成了機密外泄的重要途徑之一,設備的遺失、監管的不嚴都可能造成存儲在里面的大量單位敏感數據失控。而且對于懷有惡意的內部人員或外部人員都可以將單位的敏感信息隨意復制出去進行傳播。

其次移動存儲設備也是內網病毒泛濫的罪魁禍首之一。移動存儲設備在無限制隨意使用的情況下,可以在極短的時間內使病毒源擴散到全部網絡。造成內網的大面積癱瘓。

再有就是對于移動存儲設備的行為控制。傳統模式下很難做到對于移動存儲設備進行明確的權限劃分,如一個設備能夠應對哪些部門、能夠做何種操作等。一旦當問題出現時管理員很難對事故源頭進行追查。

因此移動存儲介質在帶來方便性和快捷性的同時,如何同時達到保密性、安全性、可控性等要求,成為每個IT管理人員極為關注的問題

1.1.9 計算機接入控制

隨著信息化建設發展,內網計算機數量與日俱增,同時各個單位之間的合作日益頻繁,經常有不屬于本單位或者本企業的終端計算機連接到內網。在這種情況下,IT管理人員很難統計內網計算機的確切數量,也無法區分哪些是內網授權使用的計算機,哪些是外來的非授權使用的計算機。這種狀況下,對于未授權使用的計算機接入不能進行控制,當系統感染了病毒和木馬后,接入內網,病毒會在整個內網進行快速傳播和擴散,給內部網絡帶來嚴重的安全威脅。同時對外來人員隨意的計算機接入無法控制,很容易導致企業內網機密信息的泄漏,往往等泄密事件發生了,卻還無法判斷到底是哪一個環節出了差錯。

當安全事件發生過程中,IT管理人員也無法及時定位和自動阻斷該計算機的破壞行為。往往需要花費很長的時間才能判斷和定位該計算機,然后再通過手動的方式斷網。對安全強度差的終端計算機缺乏有效的安全狀態檢測和內網接入控制,是IT管理人員比較頭疼的問題之一。

1.1.10 終端計算機系統帳戶監控

    現在很多黑客工具、木馬及病毒都具備弱口令猜解的功能,如果系統口令設置過于簡單,一旦被惡意猜解,黑客或木馬會立即提升自身賬戶的運行權限,達到完全控制主機的目的,在無AD域的環境中,如何強制終端用戶采用符合一定強度要求的口令,是需要IT管理人員迫切解決的問題。

1.1.11 計算機的遠程維護

對于大多數企業用戶來說,由于技術的原因,IT管理人員無法實時掌握每臺終端計算機的運行狀態。當終端計算機出現故障需要維護時,IT管理人員如果采用現場維護的方式,一方面增加了人力成本,另外由于人力資源有限,也無法保證維護的及時性。如何實時監視終端計算機的運行狀況,并且方便地對終端計算機進行遠程維護,是IT管理人員迫切需要解決的問題。

1.1.12 I/O接口管理

隨著USB接口的計算機周邊設備的豐富,使得計算機與其他外部設備,如U盤,USB打印機等連接十分方便,并能輕而易舉地通過USB設備將外部數據導入或者內部數據導出,移動存儲介質體積輕巧,容易隱藏,使用方便,為重要數據的?;ご戳司藪蟮陌踩?/span>,因此針對移動存儲行為的有效管理成為我們面臨的重要課題。

1.1.13 文件安全共享管理

由于桌面終端大多使用Windows操作系統,而該操作系統安裝后即開放了部分共享目錄,同時由于許多用戶并未采用安全的訪問密碼,造成其他用戶能夠較為方便地通過遠程網絡實現對他人網絡共享數據的訪問。

因此嚴格控制終端的文件共享,尤其是涉密終端的文件共享,也是桌面系統安全管理的重要內容。同時,作為常見的文件共享,系統應能提供自動發現并且根據需求進行共享文件夾的屏蔽,及詳細的訪問日志信息。

1.1.14 安全管理軟件卸載控制

內網安全管理軟件安裝后,應能夠防止用戶有意/無意地對其卸載刪除,只有管理員通過專用工具才能夠實現對客戶端軟件的卸載。同時服務管理平臺能夠方便地獲悉當前網絡中有哪些桌面終端系統處于非受控狀態。

1.1.15 靈活的系統部署

內網安全管理系統能夠實現靈活的系統部署,能支持分級部署管理模式,要求能夠對系統的管理員進行分權處理。

1.1 方案目標和內容

北京圣博潤高新技術股份有限公司(以下簡稱“圣博潤”)作為國內領先的內網安全管理系統提供商,承建了國內多個省級、多個行業內網安全管理系統以及應用推廣,積累總結了大量的應用安全經驗。

本方案的目標為向提供一套內網安全管理系統的解決方案。

通過本方案,能夠實現對內網的計算機終端的統一安全管理,達到終端計算機的系統加固、進程控制、補丁及防病毒管理、資產管理、遠程維護等方面的管理。

桌面內網安全管理產品解決方案

內部網絡中大概有50個終端機器,局域網利用率較低,主要此用賬戶撥號方式到路由器,然后統一上到Internet進行辦公。交換機為不可網管交換機,機器間共享、數據交換不是很頻繁。但是信息中心的IT管理人員在實際工作中遇到了上面所說的許多問題,為了使用戶對內網終端計算機的管理逐漸形成了較為完善的、符合本行業特點的內網安全管理解決方案。我們提出了如下的解決方案:

2.1 流量控制

流量控制能夠實現對每個終端機器的網卡進行流量控制,對于超過指定閥值和并發連接數的設備進行自動的網絡阻斷,當網卡流量恢復到正常時,網卡自動開啟、恢復網絡連接,保證受控端在指定的流量范圍內進行網絡連通。由此既保證了終端的正常辦公流量需求,又可以杜絕由于未知的P2P等非法下載軟件的使用帶來的網速過慢、甚至斷網的問題。

2.2 IP地址綁定

通過使IP地址和每臺機器的ID號相對應,以一一對應的關系為依據,從而保證每個IP有一個唯一的標識與之對應。當客戶端程序檢測到IP地址進行修改時,IP地址會自動恢復到此前已經綁定了的IP值,保證IP地址不會被隨意修改。杜絕了單位內部的IP地址沖突問題,保證IP地址的唯一性。

2.3 進程控制

通過進程的控制,禁止已知的非法應用程序的使用,杜絕由于非法軟件的使用影響工作效率、BT軟件占用帶寬、危險軟件的隨意濫用給單位內網安全帶來隱患的問題。通過進程控制功能,可以有效控制終端機器的軟件使用,屏蔽掉無助于工作、單位網絡安全的應用程序的運行。

2.4 防病毒控制

通過防病毒軟件監測,可以判斷終端計算機是否安裝了防病毒軟件、防病毒軟件運行是否正常以及病毒庫是否保持最新等情況。如果上述條件不滿足設定的策略要求,監測系統可以向管理人員發送報警信息。另外,監測系統還可阻斷終端計算機的內網接入和內網訪問,確保易被感染的終端計算機無法使用內網。未安裝防病毒軟件的計算機進行網絡訪問控制和隔離,使其形成內網中的“孤島”。避免該終端計算機對內網其它主機造成安全威脅。

2.5 補丁管理

通過補丁管理,能夠對內網終端計算機缺失補丁進行定期檢測和自動安裝與更新,保證系統與軟件缺陷一經發現便可及時修補。通過補丁分發管理,大大減少了操作系統和應用軟件漏洞被利用所造成的安全隱患和經濟損失。同時,管理人員還可以實時統計當前各終端計算機的補丁缺失情況、補丁安裝情況以及補丁安裝的進度等,得到全網的終端計算機補丁安裝快照。方便了對補丁分發過程的監控。

2.6 網頁過濾控制

通過網頁過濾,可以有效屏蔽掉管理員禁止訪問的網站,避免誤入已知的非法或易受攻擊的網站,在事前保證機器訪問網站的合法性。從而有效保障了機器的網絡訪問安全,降低了機器意外染毒的可能性。

2.7 資產管理

LanSecS內網安全管理系統自動登記終端計算機的硬件配置(包括CPU類型、主頻、內存、硬盤、顯示卡、網卡等等),這樣可以使得網管人員在控制臺的機器上,可以觀察到各個機器的配置信息,方便了網管人員的操作管理。

能夠自動將終端計算機的操作系統、安裝的軟件、運行的程序和服務、系統日志、共享資源、以及補丁、端口等信息統計匯總,可以按設備類型、部門等方法對設備進行分類管理,使得系統管理員能夠輕松自如地管理著整個網絡的軟件資源,及時洞察系統配置的變動。

2.8 終端移動存儲介質管理

通過移動存儲介質管理,IT管理人員可以對諸如:U盤、移動硬盤以及其他移動存儲卡進行保密性、安全性、可控性的管理。從而保證了內網機密信息和內部網絡環境的安全性。

介質初始化

     對于想要在內網中進行使用的移動存儲設備。必須經過一個格式化的過程重新寫入一個隱藏加密信息。通過策略的下發,客戶端主機在工作時只會對能夠讀取到加密信息的移動存儲設備進行掛載。而且已注冊過的移動存儲設備在未安裝客戶端的主機上不能夠進行使用。從而保證了內部機密信息不能通過移動存儲設備外泄,并且外部的病毒也不能通過移動存儲設備進入內網。大大加強了內網的保密性和安全性。

注冊管理

通過注冊管理,管理人員可以很便捷的對移動存儲設備進行相應的授權。如:該設備可以在哪些部門使用,工作的權限為只讀還是讀寫,工作周期為多少等等。此種機制即保證了管理人員對移動存儲介質的可操控性,而且在事故發生時可追訴的目標范圍大幅度縮減。從而解決了許多IT管理人員以前為之頭疼的問題。

2.9 終端接入控制

所謂的接入控制,是指對接入內網的終端計算機進行身份鑒別或者安全狀態檢查,阻止未授權或不安全的終端計算機接入內網和訪問內網資源。通過接入控制,可以將外來計算機阻擋在內網之外,也可以將內網中安全性較差(未及時安裝補丁和防火墻軟件)的計算機隔離出內網,保證內網整體的安全性。

與交換機聯動阻斷(支持802.1X)

通過與交換機的聯動,自動判斷接入計算機的交換機接口,如果發現接入計算機未經過授權或者安全性較差,則通知交換機禁用該計算機所在的端口。徹底阻斷計算機的接入。

IP通訊加密

由客戶端代理程序,對所有通訊數據包進行加密/解密,確保沒有安裝代理程序的系統無法與內網合法主機進行數據通訊。

ARP欺騙阻斷

對于非授權計算機和不安全的計算機可以采用ARP欺騙的方式,用虛假的MAC地址刷新目標計算機的ARP緩存,導致該計算機無法與內網其它設備通訊,達到阻止其訪問網絡資源的目的。

以上三種方式配合使用,可極大提高計算機接入控制能力。通過接入控制,可最大限度地保證內網的整體安全性。

2.10 系統賬號監控

LanSecS提供對終端計算機的用戶的密碼長度、密碼周期、密碼復雜度檢查,并且可以對系統已有或者新建的用戶進行禁止使用。

2.11 終端行為監控

對于單位的實際辦公中,如何規范內網用戶行為,是節約成本、提高效率的關鍵因素之一。對用戶行為的監控,包括用戶網絡資源的使用是否合理、是否進行了與工作無關的網絡訪問等。如:BT下載、MSN/QQ聊天、瀏覽與工作無關的網站、玩電腦游戲、觀看視頻、聽音樂等。

軟件監控

通過對終端計算機運行的進程進行監控,可以發現用戶正在運行的程序??梢醞ü毯諉サ姆絞較拗樸沒г誦心承┏絳?,例如游戲、攻擊工具、視頻播放器、MP3播放器等。限制用戶利用計算機進行與工作無關的操作。

上網控制

通過對終端計算機的上網控制,可以限定終端計算機的網站訪問、網絡聊天和BT下載行為,使得終端計算機的用戶行為得到有效控制,既可避免用戶濫用網絡資源,又能降低隨意瀏覽互聯網帶來的安全隱患。

2.12 終端配置管理

配置管理主要完成終端計算機的各種信息的收集和系統參數的配置。通過配置管理,IT管理人員可以準確掌握每臺終端計算機的配置狀況和運行參數,并對批量地對終端計算機的運行參數進行遠程修改。

主機信息收集

收集終端計算機相關信息,如主機名、IP地址、網絡參數、帳戶信息、安裝軟件清單、硬件清單、驅動程序清單、服務清單、進程清單、系統日志等。為終端計算機的維護和故障診斷提供參考。

網絡參數設定

設置終端計算機的網絡參數,包括IP地址、網關、DNS、WINS等。當網絡結構發生變動時,可以快速重新變更計算機網絡參數。大大減輕IT管理人員的網絡管理壓力。

2.13 終端遠程維護

LanSecS內網安全管理系統遠程維護作為IT管理人員一項不可缺少的工作,如果沒有良好的技術手段做支撐,僅僅依靠電話、郵件等方式往往無法解決問題。從而加重了IT管理人員的負擔。遠程維護就是依靠技術手段和工具,遠程對終端計算機進行故障診斷、系統修復和日常維護等。

遠程協助

通過遠程協助,IT管理人員可以響應遠程終端計算機的協助請求,臨時接管遠程終端計算機,進行本地化操作。例如:開關機、搜索可疑文件、服務/進程查看、系統配置查看、資源使用監視等。IT管理人員完成維護操作后,釋放對終端計算機的接管。

預警平臺

預警平臺可以為IT管理人員與終端用戶建立一個即時通訊的平臺,通過該平臺,IT管理人員可以接受和回復終端用戶的咨詢,可以得到終端計算機的安全告警,也可以定期向終端用戶發布安全預警信息和安全管理策略等。方便了IT管理人員與用戶的交流和交互。

2.14 I/O接口管理

LanSecS內網安全管理系統自動登記受控終端的硬件配置(包括CPU、內存、硬盤、顯示卡、網卡等等),當受控終端的硬件發生變動時能自動向安全管理核心系統發出報警信息;

允許或阻斷用戶對受控終端的各種輸出設備進行訪問,包括USB可移動存儲設備、打印機、DVD/CD-ROM、軟盤、磁帶機、PCMCIA設備、COM/LPT端口、1394設備、紅外設備等;對本地打印機使用情況進行審計;對受控終端的可移動存儲設備的使用情況進行審計;對撥號訪問情況進行審計。

2.15 軟件安裝審計

對受控終端計算機上安裝的軟件進行控制,可以通過預警平臺實施查看,終端計算機的違規行為,并且可以在安全事件中進行查詢。

對于軟件的安裝部署情況,可以通過資產管理進行在線軟件安裝情況檢索。

2.16 系統部署

LanSecS內網安全管理系統能提供多種產品部署方式,可以進行統一的集中管理,也可以進行分級的管理模式??突Ф說牟渴鷸С止蠶矸絞槳滄?、網頁點擊下載安裝、域分發安裝、郵件群發安裝、客戶端本地安裝等模式。