网络准入控制和桌面安全管理系统整体解决方案建议书Word格式文档下载.docx
- 文档编号:16293698
- 上传时间:2022-11-22
- 格式:DOCX
- 页数:61
- 大小:4.22MB
网络准入控制和桌面安全管理系统整体解决方案建议书Word格式文档下载.docx
《网络准入控制和桌面安全管理系统整体解决方案建议书Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《网络准入控制和桌面安全管理系统整体解决方案建议书Word格式文档下载.docx(61页珍藏版)》请在冰豆网上搜索。
5.1.7.未注册设备及注册程序卸载告警33
5.1.8.客户端组件在线升级34
5.1.9.Web方式客户端注册35
5.2.安全策略管理37
5.2.1.管理员权限管理和分组37
5.2.2.客户端流量异常管理控制38
5.2.3.客户端流量明细统计39
5.2.4.客户端安全漏洞检查40
5.2.5.软件许可监控(黑白名单)41
5.2.6.违规客户端远程阻断43
5.2.7.非授权外连43
5.2.8.终端的网络访问行为审计与控制44
5.2.9.支持穿透客户端防火墙44
5.2.10.报表和数据备份44
5.3.防止文件非法外传控制46
5.3.1.U盘/软盘控制46
5.3.2.MSN/QQ文件外传控制46
5.3.3.电子邮件方式外传控制47
5.3.4.WebMail方式外传控制47
5.3.5.文件共享方式外传控制47
5.3.6.离线控制47
5.4.补丁分发管理48
5.4.1.补丁断点续传48
5.4.2.补丁测试48
5.4.3.客户端用户手工安装补丁49
5.4.4.补丁自动分发安装50
5.5.软件分发管理51
5.5.1.断点续传51
5.5.2.分发模式52
5.5.3.软件分发过程监控52
5.6.远程协助与维护53
5.7.客户机软件部署54
5.7.1.UniAccessTM的客户机软件部署技术54
5.7.2.客户机软件部署建议55
6.服务器配置与系统安装、部署建议56
6.1.UniAccessTM安全接入管理系统的部署优势56
6.2.服务器部署建议56
6.2.1.UniAccessTM服务器硬件(1台,必选项目)58
6.2.2.Radius服务器(2台,必选1台)58
6.2.3.补丁下载服务器(1台,可选)59
6.2.4.探测器(1台,可选)59
6.3.UniAccessTMAgent的特点及其部署方法59
6.4.系统部署时间61
1.建设网络准入控制和桌面安全管理系统的必要性
随着证券行业信息化的飞速发展,业务和应用完全依赖于计算机网络和计算机终端。
但是计算机病毒、黑客木马、间谍件进入桌面计算机,在计算机上安装非法软件,私自拨号上网,外来电脑接入XXXX计算机网络,这些行为非常容易导致桌面计算机和计算机网络系统的瘫痪。
尤其是,最近几年来,网络安全威胁愈演愈烈,网络攻击工具越来越多样,越来越容易获得,所需要的技能越来越低,只需下载一个黑客程序就可以进行攻击,漏洞利用的时间越来越短。
攻击的目的性,过去纯粹为了比技术,现在商业目的越来越明显。
下面有一组数据,说明当前网络安全的严峻形势:
据公安部2005年度针对1.2万家信息网络使用单位,涉及政府机关、电信广电、能源交通、金融证券、教育科研、商业和制造业等领域的全国信息网络安全状况暨计算机病毒疫情调查结果显示:
●2005年,感染过计算机病毒的用户数占被调查总数的80%
●多次感染计算机病毒的比率为54.7%
●2005年中国有将近90%的用户遭受间谍软件的袭击
另根据中国国家计算机网络应急技术处理协调中心公布的数据:
2005年6月-9月国内发现较大规模僵尸网络59个,平均每天有3万台电脑被控制。
XXXX计算机数量多,特别是员工个人使用的计算机,管理难度很大。
计算机感染病毒,计算机被安装木马,部分员工使用BT下载工具等情况时有发生。
由于难以发现有问题的电脑,难以对这些电脑进行定位,这些问题一旦发生,往往故障排查的时间非常长。
如果同时有多台计算机感染网络病毒或者进行非法操作,非常容易导致网络拥塞,导致我单位的业务无法正常开展。
由于缺乏技术和管理手段,许多管理规定也难以执行。
例如:
在个人使用的计算机内安装BT下载软件,安装网络游戏软件,私自更改电脑的安全设置,将外部的电脑接入单位的内部网络等行为。
这些行为违反了单位的管理规定,也影响的计算机网络的安全性,如果情况严重可能会导致网络瘫痪。
由于桌面计算机的数量非常多,地理位置分散,给日常的管理维护带来了很大的困难,这些困难包括:
●难以对计算机的资产、配置进行统计;
●由于补丁、漏洞、升级等问题频繁,维护工作量很大;
●计算机的使用人员技能不一,有些很小的问题都需要维护人员现场解决,降低了维护的效率;
●无法对计算机进行批量维护,例如:
批量安装软件、批量打补丁、批量设置计算机的安全设置。
建立网络准入控制和桌面安全管理系统的意义在于:
解决大批量的计算机安全管理问题。
具体来说,这些问题包括:
●实现对网络内部所有的计算机接入网络进行准入控制,防止外来电脑或者不符合规定的电脑接入内部网络中;
●实时、动态掌握网络整体安全状况,建立实时安全评估体系,掌握内部各种接入设备(包括网络设备、安全设备、服务器、桌面电脑)的安全运行状况,为领导决策、部署安全工作任务提供支持,为安全维护工程师的提供管理维护便利;
●建立桌面电脑的集中式快速安全管理体系,对数量众多,最难以管理、监控的桌面电脑建立完善的安全评估、安全加固、集中维护体系,以提高桌面电脑的安全性及降低桌面电脑的日常维护工作量;
●确保单位的计算机使用制度得到落实,例如:
拨号上网,使用外部邮箱,访问非法网站,将单位机密COPY、发送文件到外部等;
●资产管理和控制,实现对所有个人用计算机的资产管理和控制。
2.解决方案总体设计思路方案设计原则
2.1.方案设计原则
首先,某认为有必要参考国际、国内的安全管理经验,来设计XXXX的“网络准入控制与终端安全管理系统”解决方案。
BS7799作为英国政府颁发的一项信息系统安全管理规范,目前已经成为全球公认的安全管理最佳实践,成为全国大型机构在设计、管理信息系统安全时的实践指南。
BS7799认为,设计信息安全系统时,必须掌握以下安全原则:
☐相对安全原则
Ø
没有100%的信息安全,安全是相对的,在安全保护方面投入的资源是有限的
保护的目的是要使信息资产得以有效利用,不能为了保护而过度限制对信息资产的使用
☐分级/分组保护原则
对信息系统分类,不同对象定义不同的安全级别
首先要保障安全级别高的对象
☐全局性原则
解决安全问题不只是一个技术问题
要从组织、流程、管理上予以整体考虑、解决
在设计XXXX“网络准入控制与终端安全管理系统”解决方案时,非常有必要参考BS7799中的有关重要安全原则。
BS7799中,除了安全原则之外,给出了许多非常细致的安全管理指导规范。
在BS7799中有一个非常有名的安全模型,称为PDCA安全模型。
PDCA安全模型的核心思想是:
信息系统的安全需求是不断变化的,要使得信息系统的安全能够满足业务需要,必须建立动态的“计划、设计和部署、监控评估、改进提高”管理方法,持续不断地改进信息系统的安全性。
以下是图1PDCA安全模型。
图1PDCA安全模型
某认为,XXXX的终端安全管理,也将是一个持续、动态、不断改进的过程,UniAccessTM安全接入管理系统将为XXXX提供统一的、集成化的平台和工具,帮助XXXX对其终端进行统一的安全控制、安全评估、安全审计及安全改进策略部署。
2.2.统一的集成化管理平台
XXXX的网络准入控制与终端安全管理系统必须提供统一的、集成化管理平台。
解决方案要向IT系统管理员提供一个统一的登录入口,有整体的终端安全视图,呈现整个计算机网络系统中所有终端设备的安全运行状况。
管理员不仅可以看到终端安全的运行状况,终端的安全设置,也能够看到终端的软件配置、硬件配置、终端的物理位置等信息。
通过统一的集成化的管理平台,管理员可以完成所有与终端安全管理维护相关的各种任务,具体包括:
●网络准入控制管理;
●设备快速定位;
●终端资产管理;
●终端的软件分发;
●终端安全补丁管理;
●终端的远程管理和维护;
●终端安全策略设置,包括:
主机安全漏洞策略、防病毒安全策略、非法外联策略、网络访问审计策略等的设置。
统一的集成化管理平台对管理员的各种操作,应提供审计功能,以备事后审计。
2.3.支持多厂商/多平台
解决方案设计的系统要能够实现对主流厂商的网络设备、多种桌面操作系统的支持,是一个采用国际、国家或者行业标准的开放系统,以便将来的网络扩容、系统升级。
3.UniAccessTM终端安全管理系统架构
3.1.UniAccessTM的终端安全管理总体思路
我们建议XXXX选择某公司研发的UniAccessTM安全接入管理产品作为XXXX的网络准入控制与终端安全管理系统。
UniAccessTM安全接入管理系统对电脑终端进行安全管理的总体思路是:
首先,通过网络准入控制技术,确保接入网络的电脑终端符合如下要求:
1)必须安装Agent,如果是未安装Agent的电脑终端接入网络,其打开WEB浏览器访问任何Website时,将被重定向到管理员指定的一个页面,提醒其安装Agent。
不安装Agent的电脑将无法访问内部网络(特殊电脑和访客电脑可以例外)。
2)必须符合网络接入安全管理规定,例如:
拥有合法的访问帐号、安装了指定的防病毒软件、安装了指定的操作系统补丁等。
如果不符合管理规定,将拒绝其接入,或者通过网络对该电脑进行自动隔离,并且指引其进行安全修复。
然后,对安装了Agent的电脑终端,进行进一步的管理控制,包括:
1)安全设置检查、加固,非法操作的管理、限制
2)防止文件非法外传(U盘/软盘/共享/E-mail/QQ/MSN等)
3)电脑终端的集中式管理,例如,资产管理、软件分发、远程控制、补丁管理、分组策略分发、集中审计。
再次,要防止电脑终端私自、非法卸载Agent或者停止Agent的运行,确保管理策略的执行。
1)Agent自带反卸载、反非法中止、非法删除功能;
2)如果电脑终端私自卸载Agent(如重新安装操作系统)或者中止Agent的运行,UniAccessTM后台系统可以及时发现这种行为。
企业可以依据有关安全管理规范对其进行警告或者处罚,防范这种行为的再次发生。
3.2.UniAccessTM的安全接入管理系统架构
下图是某公司的UniAccessTM安全接入管理系统架构。
图2网络准入控制与终端安全管理系统架构
首先,UniAccessTM安全接入管理系统,通过网络准入控制技术,对接入网络的电脑终端进行实时安全检查,检查的内容包括:
1)账户检查:
用户名和密码
☐防止外来人员私自安装一个相同的Agent后接入网络
2)安全设置规范检查:
终端的安全设置
☐检查系统账户,包括:
Guest账户和弱口令检查;
☐Windows域检查,检查终端是否加入指定的Windows域;
☐检查可写共享设置,检查终端是否设置了可写或者没有权限限制的可写共享;
☐检查终端操作系统补丁安装情况;
☐检查终端的防病毒安装情况及其病毒特征库是否及时升级;
☐检查终端是否有可疑的注册表项;
☐检查终端是否有可疑的文件存在;
☐检查终端是否安装了非法软件。
3)终端注册ID检查:
检查终端是否在内部网络注册登记过
网络准入控制确保接入网络的电脑终端是合法的、符合接入安全管理规范的电脑终端,而且是接受管理电脑终端。
其次,对接入网络的电脑终端,可以进行进一步的安全管理和控制,包括:
1)安全加固,安全加固可以实现:
对主机的账户口令、屏保口令、共享目录、自动运行的服务进行安全加固,如提示用户设置强口令、设置屏保口令,删除写共享目录,停止一些危险的服务进程等。
强制接入网络的主机设备安装规定的防病毒软件,并且强制这些防病毒软件及时更新最新病毒,以加强主机设备的自身抗病毒能力。
自动为客户端安装最新补丁包,加强客户端的抗攻击能力。
2)安全评估,对电脑终端的安全设置和运行状态进行评估。
管理员可以定义主机必须满足什么样的安全要求才能够具备较强的抗攻击能力,当不满足时就认为主机是有安全漏洞的,这样的主机是很容易受到安全攻击的。
比如账户口令是否是强口令;
目录是否有缺省可写共享;
是否运行了一些危险进程;
通过检查注册表发现是否有已知的间谍软件;
是否安装了最新补丁包;
是否安装了规定的防病毒软件并及时更新了病毒特征库。
检测每个客户端的网络访问流量,确定是否有发送大量广播包、流量异常大、网络连接异常多的情况,对于这些异常情况及时向管理员报告,在大规模攻击出现之前找到根源。
3)安全审计,对内部的桌面电脑的操作和网络访问行为进行审计。
审计客户端访问Interent网、Email、文件拷贝、FTP等,防止企业机密信息泄漏。
审计连接在内部网络的计算机是否同时打开一些组织不允许的方式,如Modem拨号、USB硬盘、同时跨内外网等。
审计内部的计算机是否运行非法软件,是否未经许可更改计算机上的软件、硬件配置等。
如果通过评估和审计发现问题,系统管理员可以通过集中式操作控制平台,对电脑终端进行集中式的管理和设置。
通过集中式控制平台,也可以对电脑终端进行各种批量的查询和统计。
1)策略分发。
集中、批量、分组对桌面电脑进行安全设置、安全状态查询。
2)软件分发和补丁管理。
集中软件分发和补丁管理减轻管理员的日常维护工作量,提高效率。
如为某个部门的所有机器安装防病毒软件。
3)远程控制。
远程控制可以让维护人员不用离开办公位置就能够维护远程计算机。
4)设备定位。
对于不安全的接入网络的设备,管理员能够快速定位设备是连接在哪个网络交换机的哪个端口,是在什么物理位置、谁的设备,这样可以做出相应措施来控制攻击的扩散,如直接从网络断开这台设备。
5)资产管理。
管理员可以一目了然地知道连接到网络上的设备都是什么样的软硬件配置、有多少设备。
此外,UniAccessTM安全接入管理系统可以对电脑终端分组进行管理,例如,将财务部门的电脑和其它部门的电脑区别对待,将总经理办公室的电脑和其它部门的电脑区别对待。
即:
按组设置安全管理策略。
对于不同级别的安全事件,采取不同的处理流程,确保重要的安全事件能够得到快速、有效的处理。
3.3.UniAccessTM安全接入管理系统主要功能简介
具体来说,UniAccessTM安全接入管理系统采用集中式管理方式,提供了以下几个方面的管理功能:
✓网络准入控制,防止非法电脑接入
支持基于802.1X的网络准入控制以及CiscoNAC网络准入控制技术,防止非法的或者不安全的终端接入内部网络系统(非法终端或不安全终端接入一方面会产生信息安全行为,另一方面会破坏网络的正常稳定运行);
UniAccessTM安全接入管理系统的准入控制解决方案,通过与网络设备的紧密集成(网络交换机、路由器),在不改变网络结构(例如:
路由调整)、不降低网络性能和可靠性的情况下,可以支持对总部局域网接入、远程分支机构接入、VPN接入、无线AP接入方式的准入控制。
由于和网络设备紧密集成,UniAccessTM安全接入管理系统的准入控制解决方案的另外一个特点是,电脑终端一接入网络,立刻接受管理和控制,在通过准入控制认证之前,不能访问其它的网络资源或者破坏网络的性能和稳定性。
✓防止文件非法外传及员工终端操作行为管理
防止保存于电脑终端上信息机密文件被员工非法外传出去,包括:
禁止/审计通过软盘、U盘、网络共享等方式COPY出去,或者禁止/审计通过Email、MSN/QQ等方式外传文件。
对员工的各种不规范行为进行矫正,例如:
使用非法软件(BT/e-Mule/MSN/QQ等)、访问非法网站、改变电脑终端的硬件配置等。
✓桌面终端的系统安全管理
对桌面终端的安全状态进行主动评估,及时发现终端的安全漏洞和不安全的设置;
对终端进行安全加固,自动为桌面终端安装补丁和进行安全设置;
检查桌面终端上是否有设置屏幕保护、口令、加入Windows域,检查是否有木马的注册表项目,防病毒软件及病毒特征库检查,以及对桌面终端设置Windows本地安全策略,打补丁等。
✓设备自动发现与资产管理
自动发现网络上的所有接入设备,实现对桌面终端资产的自动管理。
包括:
软硬件资产统计,资产变更自动发现,资产的维护等。
✓桌面终端的批量管理,提高管理效率
批量对桌面终端进行管理和维护,例如:
集中式自动安装软件、远程监控和远程协助、快速设备定位,批量设置终端的安全选项等,可以提高终端的日常管理和维护效率。
此外,UniAccessTM支持信息资产安全分级管理,各种安全管理策略可以按照:
部门、IP网段、IP范围、设备组、操作系统类型、操作系统语言等条件定义安全管理策略的应用范围。
4.UniAccessTM网络准入控制介绍及在XXXX部署建议
4.1.UniAccessTM网络准入控制技术总体介绍
UniAccessTM网络准入控制是UniAccessTM安全接入控制系统的一个管理组件。
借助UniAccessTM网络准入控制技术,可以对接入网络的客户机设备进行控制,只有合法身份和满足安全要求的客户机才允许接入网络。
UniAccessTM网络准入控制可以帮助用户很好地解决如下问题:
●防止非法的外来电脑接入网络,影响内部网络的安全;
●防止感染病毒、木马的桌面电脑和笔记本电脑直接接入内部网络,影响网络的正常运行;
●确保接入网络的客户机符合安全管理要求。
●帮助安全管理员解决内部用户私自接HUB、无线AP等不安全行为。
UniAccessTM网络准入控制杜绝非法外来电脑接入内部网络;
同时将有问题的客户机隔离或限制其访问,直到这些有问题的客户机修复为止,这样,一方面可以防止这些客户机成为蠕虫和病毒攻击的目标,还可以防止这些主机成为传播病毒的源头。
4.1.1.准入控制系统部署后终端接入网络的流程
部署准入控制系统后,改变了电脑终端接入网络的行为模式。
一般来说,电脑终端接入网络需要:
●注册登记
内部终端要访问网络资源之前,需要在网络上注册登记(用户账户登记、终端ID注册等),取得接入网络的权限。
●接入检查
终端在接入网络时,准入控制系统会检查其用户账户、安全设置状态、终端硬件合法性等。
●安全隔离
如果在接入检查时,发现终端不符合安全规定,需要对终端进行隔离或拒绝其访问网络资源,例如:
发现是外来终端则拒绝接入或进入“访客区”网段,或者是内部不符合安全规定的终端,则让其进入“修复区”。
●安全通知
对被隔离的终端进行通知,告知其被隔离的原因。
●安全修复
自动引导被隔离的终端,让其修复安全设置或者进行注册登记,使得其可以正常访问网络资源。
一个完整的网络准入控制系统,应该包括以上五个方面的内容,缺少其中一个或者两个方面的内容,就不是完善的解决方案,会给准入控制系统的部署和推广带来问题。
某科技的UniAccessTM网络准入控制解决方案是一个完整的准入控制方案,可以提供以上五个方面的所有内容。
4.1.2.准入控制系统部署后的影响
部署网络准入控制服务之后,所有的桌面电脑接入计算机网络之前,都必须经过如下认证:
1.检查该电脑是否有合法的用户名密码(通过微软AD服务器验证)
2.检查该电脑是否是本单位内部的合法终端(检查电脑的硬件ID),合法的电脑硬件ID保存在管理服务器的数据库中。
3.检查该电脑是否符合安全管理规定:
例如操作系统补丁是否安装、防病毒软件是否安装等。
这些管理规定产生的安全策略保存在管理服务器的数据库中。
网络交换机将准备接入网络的电脑终端所上传的以上各种信息转发给Radius服务器,由Radius服务器再去查询AD服务器和数据库服务器并将查询分析的结果返回给网络交换机。
由于网络准入控制服务一旦发生故障,会导致电脑终端无法接入网络,因此必须保障网络准入控制的高度可靠。
某科技提供的准入控制系统部署方案具有如下特征:
●和认证过程相关的设备和系统,不存在单点故障。
单台服务器或者设备的暂时性故障,不会导致整个网络接入服务不可用;
●和准入控制系统相关的网络设备、服务器、数据库和软件故障,系统能够实现自动报警,向相关管理员发送手机短信息等;
●在特殊紧急情况下(例如:
双机故障,或分支机构到总部的广域网线路中断)
1)网络管理员可以通过执行脚本的方式,快速将网络接入设置为“不设防”状态(临时撤销所有准入控制措施),使得所有电脑终端能够正常接入网络。
2)如果执行网络准入控制的网络设备是Cisco的交换机或者路由器,可以在网络设备上配置紧急模式。
在紧急模式下,可以指定电脑终端可以访问哪些资源。
通过以上手段,UniAccessTM可以保障网络接入服务的高度可用性。
4.1.3.UniAccessTM网络准入控制技术
在UniAccessTM的网络准入控制解决方案中,管理员可以将网络资源划分为不同的区域以便不同的终端访问不同区域的网络资源:
访客区、修复区和正常工作区。
划分方式可以是VLAN或者基于IP的访问控制列表。
图3网络准入控制原理
一般来说,访客区的网络资源是可以被任何用户的终端访问的,如Internet资源。
一般外来用户的终端设备被限制只能访问访客区的网络资源。
修复区网络资源是用来修复安全漏洞的,如补丁服务器、防病毒服务器、软件安装包服务器等,不符合组织安全策略要求的终端被限制在修复区中,强制它们进行安全修复。
当终端设备被接入网络时,会被要求进行身份认证和安全策略检查。
如果是来自外部的PC机试图接入网络,UniAccessTM将采取如下措施:
(1)拒绝外部终端设备接入网络,或者
(2)将外部终端设备设置到访客区中。
如果是来自内部合法终端设备接入网络,UniAccessTM将采取如下控制措施:
(1)检查用户输入的用户名和口令是否合法;
检查客户端是否满足安全策略要求。
(2)只有合法身份的用户以及满足组织安全规范的终端设备才能接入到网络中,否则系统会将此终端设备自动切换到修复区中,终端设备在此修复区中访问修复安全漏洞必须的网络资源;
(3)合法身份的用户以及满足组织安全规范的终端设备接入到网
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 准入 控制 桌面 安全管理 系统 整体 解决方案 建议书