XX市供电局桌面安全管理系统.docx
- 文档编号:30058519
- 上传时间:2023-08-04
- 格式:DOCX
- 页数:86
- 大小:909.62KB
XX市供电局桌面安全管理系统.docx
《XX市供电局桌面安全管理系统.docx》由会员分享,可在线阅读,更多相关《XX市供电局桌面安全管理系统.docx(86页珍藏版)》请在冰豆网上搜索。
XX市供电局桌面安全管理系统
XX市供电局桌面安全管理系统
技术方案书
终端安全,轻松掌控!
BewisetochooseLCMS,berelaxedtomasterendpointsecurity!
杭州市盈高科技有限公司
©Copyright2008ByInfogoCo.,Ltd
二〇〇八年五月
声明:
本文档是杭州市盈高科技有限公司(简称盈高科技)解决方案的一部分,版权归盈高科技所有,任何对文档的修改、发布、传播等行为都需获得盈高科技书面授权,盈高科技保留对违反以上声明的组织或个人追究责任,直至诉诸法律的权力。
目 录
1建设目标4
2桌面安全管理系统特点4
2.1产品成熟稳定4
2.2产品完备,快速实施4
2.3实施方便,维护管理简单5
2.4一致性原则5
2.5易操作性原则5
2.6可扩展性5
2.7模块化系统功能,真正按客户所需提供服务5
2.8具有较高的系统性能6
3桌面安全管理系统简介6
4系统架构及功能介绍7
4.1系统架构说明7
4.2系统主要功能介绍8
5产品经典应用19
5.1LCMS独立部署19
5.2客户端部署方式19
5.3产品部署环境要求20
功能、技术偏差表22
网控大师软件测试方案35
1测试环境35
2测试项目36
2.1系统架构和整体安全性36
2.2系统管理员的安全性36
2.3管理方式36
2.4客户端注册36
2.5安全模式下正常运行37
2.6客户端对CPU、memory的资源占用37
2.7离线管理模式37
2.8基础平台知识产权风险性37
2.9策略管理要求37
2.10IP地址综合管理38
2.11资产管理38
2.12设备维护管理38
2.13自动识别隔离非法设备39
2.14计算机及组树形管理39
2.15外设管理39
2.16软件分发39
2.17客户端进程查看40
2.18共享信息查看并管理40
2.19远程修改计算机名40
2.20黑白进程管理40
2.21端口统一管理41
2.22消息群发41
2.23远程协助41
2.24屏幕快照41
2.25远程操作客户端42
2.26安全补丁统一分发42
2.27程序运行统计42
2.28资产统计、日志管理和数据备份43
2.29全网PC设备扫描43
2.30非法接入控制43
2.31穿透XP自带防火墙43
2.32离线策略是否生效可选择44
2.33打印审计44
2.34文档操作行为审计44
2.35网站浏览记录44
2.36即时消息内容记录44
2.37屏幕跟踪及录像45
2.38邮件内容、附件记录45
2.39程序运行统计45
2.40客户端防病毒软件的检测45
2.41上网行为控制46
2.42违规外联审计46
2.43涉密文件内容检查46
2.44定位ARP欺骗问题源46
2.45流量异常监控及预警47
2.46私自代理上网行为监控47
2.47杀毒软件版本检测47
2.48主机资源管理48
3测试人员及时间安排48
网控大师系统软件兼容性测试报告50
1操作系统50
2安全软件50
2.1国产著名杀毒软件50
2.2国外著名杀毒软件50
2.3防火墙软件51
2.4应用软件51
计算机软件著作权登记证书53
软件产品登记证书53
公安部计算机信息系统安全专用产品销售许可证53
公安部检验报告53
1建设目标
以XX市供电局网络中心为中枢建立主控计算机网络系统,在下属各地下属机构、营业厅用户安装客户端,将全市各个下属机构、营业厅的工作情况,资产信息,通过网络来实现与总部网络中心互通,公司总部可以通过该软件对全市各个下属机构、营业厅办公人员的PC、笔记本实现统一管理。
网络安全建设是一项系统工程,网络系统安全体系建设应按照“统一规划、统筹安排,统一标准、相互配套”的原则进行,采用先进的“平台化”建设思想,避免重复投入、重复建设,充分考虑整体和局部的利益,坚持近期目标与远期目标相结合。
2桌面安全管理系统特点
2.1产品成熟稳定
“网控大师”联网桌面安全管理系统(以下同称网控大师)主要核心技术,都是基于多年自主独立开发完成,并且融合了多家供电局桌面安全管理系统建设的成功经验。
实践证明网控大师桌面安全管理系统的技术和产品都具有良好的可用性、可靠性以及实用性。
2.2产品完备,快速实施
网控大师联网桌面安全管理系统方案不是停留在概念和规划阶段,在本方案中提供的技术和功能,都是以成熟的产品化软件提供,并且经过了众多大型应用的检验,包括萧山市供电局、临安市供电局和海盐试供电局都已经在实际应用了很长时间。
完备的产品,可以无需或较少地进行项目开发,有效降低系统建设费用和建设周期,降低项目实施风险。
2.3实施方便,维护管理简单
从底层的数据管理到应用层各种产品的管理维护,界面友好,操作简单,对使用人员或管理人员的计算机要求不高,一般经过简单培训即可胜任。
2.4一致性原则
一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。
安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有安全的内容及措施,实际上,在网络建设的开始就考虑网络安全对策,比在网络建设好后再考虑安全措施,不但容易,且花费也小得多。
2.5易操作性原则
安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。
其次,措施的采用不能影响系统的正常运行。
2.6可扩展性
由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。
一劳永逸地解决网络安全问题是不现实的。
同时由于实施信息安全措施需相当的费用支出。
因此充分考虑系统的可扩展性,根据资金情况分步实施,既可满足网络系统及信息安全的基本需求,亦可节省费用开支。
2.7模块化系统功能,真正按客户所需提供服务
网控大师TMLCMS管理套件采用模块组件化设计,优秀的可堆叠的系统架构,实现功能无缝升级,主要功能模块是全独立,可以分离、可以集成。
完全按照用户的网络现状、实际信息化管理需求进行选择组合,真正做到按客户所需提供合适服务。
2.8具有较高的系统性能
网控大师TMLCMS一般情况下占用cpu正常情况下<=3%;内存占用在5M以内,尽可能对桌面终端用户透明,不影响用户的正常工作。
很好地做到不影响原有网络和系统的性能,造成工作的瓶颈。
后台数据库支持各类高性能数据库,同时也具有快速发现客户端注册机制。
采用三权分立的管理体系,网控大师TMLCMS提供了授权管理者、系统管理员、日志管理员三个相互独立和制约的角色,避免了权力过度集中。
3桌面安全管理系统简介
网控大师桌面管理系统专为大型企事业单位、政府解决数量众多的桌面电脑安全管理维护问题而设计,可以很好地解决系统管理员面临众多问题,解决数量众多的桌面电脑批量安全管理,行为审计和远程维护等难题。
网控大师TM在设计时参考了国际上信息安全管理最佳实践BS7799规范。
整体系统架构图如下:
具体来说网控大师TM采用C/S、B/S混合架构,通过集中式WEB管理平台,主要提供了包含传统桌面管理功能,还提供了符合中国企事业单位信息化管理实际需求的桌面安全类功能,并且还包含了快速解决影响网络行为的桌面安全问题功能。
4系统架构及功能介绍
4.1系统架构说明
LCMS基本系统由三个不同的模块组成:
代理模块(Agent)、服务器模块(Server)、WEB管理与控制平台模块(WebConsole)。
用户可以根据具体需要将它们安装在网络中的计算机上。
代理模块安装在每一台需要被监视的计算机上。
服务器模块用来存储和管理所有安装有代理模块的计算机,用于管理监视所产生的资料,一般安装在一台具有大容量内存的用作服务器的计算机上。
WEB管理与控制平台主要用于监视每台安装有代理模块的计算机、查看历史记录及查询统计,一般是给公司管理人员使用,由于采用WEB浏览器的模式,所以无需安装模块程序只需使用IE浏览器就可以使用功能。
其中,WEB控制管理中心WEBConsole是管理员进行策略配置、系统配置、下发命令、监控工作站点,即可以单独使用一台PC,也可以和其他系统共用。
应用服务器LCMSServer是系统的核心,在后台常驻运行,负责执行管理员提交的策略配置、系统配置、指令等,完成和数据库的交互,将管理员的指令下达到被管终端的LCMSAgent。
应用服务器和数据库可以使用两台不同的计算机,也可以共同使用一台计算机。
网控大师桌面管理系统基于ApacheWEB服务器,MYSQL数据库。
管理平台基于B/S结构,管理员可以从任何一台安装了浏览器的终端进行登录管理,后台应用服务器实现基于C/S结构。
客户端具有强大的自主防护功能,没有使用界面后台运行。
4.2系统主要功能介绍
网控大师桌面管理系统采用模块组件化设计,主要功能模块是全独立,可以分离、可以集成。
完全按照用户的网络现状、实际信息化管理需求进行选择组合,真正做到按客户所需提供合适服务。
IT资产分级安全管理
由于不同信息资产其安全等级不同,在安全管理上必须采用不同的安全管理策略。
BS7799作为全球安全管理的最佳实践规范,也强调要对不同安全要求的信息资产采取不同的安全管理策略。
网控大师桌面管理系统参考BS7799的资产分级管理要求,可以实现非常灵活的资产分组、分级,对不同组别的资产,可以采取不同的安全管理策略。
包括硬件设备信息统计、软件资产统计、设备变更信息统计,要求能够自动探测当前网络中的所有机器,记录各计算机的IP地址、计算机名、MAC地址、网卡型号和生产厂商、计算机所在域、操作系统、主要硬、软件信息、物理位置,IT资产从采购时输入一直到接入网络、日常维修、一直到报废。
一般按照部门、IP地址范围、MAC地址、设备类型、操作系统类别、操作系统语言、资产各种配置、设备在线状态等等方式分类。
硬件资产管理为IT管理员提供便捷的查看全网桌面终端硬件分布情况的有效手段。
网控大师LCMS利用先进的自动硬件信息收集技术,及时全面地获取硬件信息,并以WEB报表有效地体现给管理员。
桌面设置及运维
系统管理员可以通过WEB管理平台,远程管理桌面终端的进程、共享文件夹、远程重启、注销、锁定、解锁、关闭甚至卸载终端,还可以获取远程桌面屏幕。
可以通过WEB平台进行桌面网络属性设置,比如修改网络参数、修改计算机名称、工作组名称等等。
安全补丁检测管理
自动补丁包含两个主要功能,自动补丁漏洞检测安装,网络内所有计算机补丁安装情况浏览。
网控大师LCMS的自动补丁模块最基本的功能就是按照即定的策略对桌面终端进行补丁的自动检测、服务器对所需的补丁下载和自动安装。
通过LCMS的自动补丁模块,系统管理员可以对已知和未知的补丁制定下载和安装策略,可以定义是否需要人工审核还是自动安装,如补丁是否安装、安装是否有提示进度条、安装的条件、安装的时间等等,并可跟踪各终端的补丁安装记录。
LCMS的策略都可以针对单台终端,也可以采用继承上级组的机制对一组或多台终端生效。
LCMS将自动检测每个桌面终端的补丁现状,下载企业需要的还未安装的补丁,并以服务器为中心,进行策略控制下的推送安装,确保所有网络桌面终端能在最短时间内按即定的策略完成所需的补丁安装,减少黑客或病毒攻击的机率,提高网络及终端的安全性和可用性。
◆支持人工审核的流程
如果需要人工审核的补丁,必须经过管理员的审核,通过审核的客户端才会自动安装。
否则不安装这个补丁。
主要解决有些企业特殊的业务软件需要,会与个别补丁安装之后有冲突,当然可以默认自动审核。
◆支持补丁类型
网控大师LCMS不仅支持WINDOWS的补丁,还可以支持OFFICE、SQLSERVER及所有微软发布的补丁类型。
◆多种更新时间与安装方式
可以当客户空闲时安装,也可以显示安装的进度条,都能够有效支持,可以根据企业内部的需要定义适合方式。
◆补丁更新与下载机制
网控大师LCMS针对微软的各类补丁,采用增量下载和自动下载机制,按客户所需进行补丁管理。
所有网络桌面终端的补丁直接来源于网控大师LCMS服务器端,这就意味着只有服务器从外网下载补丁,这样子可以节约很大的外网出口带宽。
同时网控大师LCMS开发的增量补丁下载机制更进一步节约了外网出口带宽,LCMS服务器只下载所缺少的补丁,而不是全部的补丁。
同时,LCMS发行包里提供了所有微软补丁光盘。
共享文件夹管理
网络管理员能够通过安全管理组件的共享文件夹管理功能对客户端和服务器打开的共享文件夹进行实时地检测和控制。
不仅可以掌握目前网络所有计算机已经开启共享文件夹的详细情况,而且可以根据需要控制文件夹共享功能的打开或关闭,从而有效地防止因文件夹共享而造成的安全隐患。
黑白进程管理
通过策略中心的黑白进程策略,网络管理员能够对网络中所有客户端主机中当前运行的所有进程进行实时监控,网络管理员可以根据需要直接终止非法进程(如木马程序、QQ、MSN和网络游戏以及蠕虫病毒等)的运行,并能在一些非法及非正常运行的进程时,根据网络管理员的安全策略自动报警或中止这些非法进程的运行。
网站访问规则有效安全控制
尤其是可定义在上班时间只允许访问一些安全、工作需要的等网站,其他网站一律无法打开浏览,做到有效的控制,并且支持休息时间或者离开网络时可以不受控制。
全天或指定的时间对指定的网站域名进行禁止,或者采取反选。
还可以定义星期几受控以及如果离线是否有效。
同时系统支持进行所有客户机与服务器进行时间同步、离开网络是否策略生效的设置。
这样有效地防止了终端私自修改时间达到违规行为。
外接设备管理
策略中心的设备策略能够对所有安装客户端主机的外接设备进行统一的管理,网络管理员只需在控制中心进行相应的配置即可控制这些主机是否允许其使用诸如USB接口、并口、串口、光驱、软驱等外接设备。
该功能最大的特色是在对USB接口进行管理时,若用户使用USB键盘和鼠标时是不会限制的,只有用户使用USB硬盘和优盘等存储设备时才会被禁止。
便捷的远程协助维护
网控大师LCMS主要提供两种远程维护方式,远程桌面查看、远程终端控制,并且配合消息交换功能,可以很好地让IT管理员进行远程故障诊断和排除,很好地提高工作效率。
并且支持可以让客户端确认的过程。
如果没有用户的确认则无法接管终端。
终端远程服务只是在需要的时候开启,使用动态密码方式保证远程服务的安全性。
非法接入有效控制管理
能够提供了安全接入控制功能,通过采用安全接入控制功能可以保证一些非法的或者外联的新机器无法接入到内部网络或者只有在经过信息安全管理人员的许可之后,才可以访问内网的内部网络资源,降低外来非法机器导致的内网信息安全风险。
总结需求重要一点:
所有经过身份认证的MAC地址并且安装了客户端软件的机器可以接入网络,其他机器一律不能接到网络中来。
可以指定特殊网段范围进行非法接入监测及控制。
各种员工行为审计
通过桌面代理终端对审计项的信息统一采集,企业管理者可以通过这一平台对所有员工的各种行为做出相应的审计,达到规范员工的行为操作。
应用程序报告审计,可按日和分时间段查看某个员工打开某个应用程序的全部时间和活动的时间,以及所占的百分比。
可以很容易、客观的评估出员工使用程序的工作情况和效率,方便进行员工的网络行为管理。
应用程序审计,可以按应用程序名称和时间段来统计这些程序分布在网内哪些计算机中,以及这些程序的活动总时间。
浏览网页审计,可以按时间审计用户浏览网页地址及标题。
可以很直观地了解员工浏览网页行为。
聊天内容审计,对像QQ、MSN、SKYPE等聊天内容进行监控,方便管理者对员工互联网聊天行为进行管理与审计,避免员工上班时间过度聊与工作无关的内容。
邮件内容审计,支持POP3、SMTP等协议方式实现邮件收送,附件、发送者、标题内容等等监控。
防止员工将敏感信息乱发出去。
打印文件的监视与审计,解决企业内部员工乱打印,浪费纸张的现象。
可以了解每个员工在什么时候,在哪台打印机上,打印过什么文档,打印的文档纸张数量有多少?
详细记录网内计算机的操作窗口、报警记录、控制台发出的控制信息、浏览的网页、启动和关闭的应用程序、软件的添加与删除、系统的启动与关闭、应用程序的启动与关闭、硬件的添加与删除。
让IT管理者从多个角度来了解网络内每台计算机的全面的日志信息,为故障排除和网络管理提供有力支持。
文件操作监控与审计
网控大师LCMS提供对特定文件操作的监控与阻断功能,为实现对企业核心、机密资料的保护提供了可能,主要是通过策略中心制定的文件操作策略并部署到终端上,终端代理根据策略进行智能审计,对于不符合策略的文件操作,网控大师LCMS将依据策略规则做出阻断或备份或记录。
软件分发与安装
网控大师LCMS提供了客户很方便的像可执行程序、MSI安装包或者文档数据文件自动下发与安装的功能。
支持参数方式增加软件分发时安装选项,这一功能可以使得IT管理员很方便快速部署软件,极大地降低了IT管理员的工作强度,提高工作效率。
并且可以按照部署范围进行分发,不会影响企业整体网络带宽。
客户端端口策略统一管理
近年来,以“冲击波”、“振荡波”为代表的木马蠕虫型病毒在网络上的肆虐,在网络中发送海量的垃圾数据包,并通过感染其它的机器来扩大传播源,如此往往造成网络阻塞,给用户带来了巨大的损失。
通过网控大师的安全管理组件,网络管理员可以用流量分析初步判定传播源和攻击端口后,配置这些主机的攻击端口为关闭状态,同时在正常主机上将被攻击端口关闭,从而根本上达到了预防木马型病毒的目的。
该功能还可以用来对重要主机或服务器的端口进行保护,只开放特定的服务端口完成必备的服务要求,而将其它端口关闭,从而降低了被攻击的风险。
涉密文件的管理
能够指定关键的检查内容,指定目录或者全盘的方式,去搜索所有包含涉密内容的文件。
并且可以将涉及到的文档上传备份到服务器以供审计。
违规外联处理
目前许多安全级别要求较高的网络都规定必须将内部网络与Internet物理隔离,然而网络中仍存在一些用户通过拨号或者加网卡的方式连接到Internet上,由于这种一机两用的非法外连方式隐蔽性非常高、对整个网络的危害性特别大,因此如何发现并杜绝网络中的一机两用现象是确保整个网络安全当务之急要解决的问题之一。
内部机器违规外联的及时发现、及时预警,当有不允许访问网络的情况发现时,系统能够及时发现并且预警采取措施。
可以指定设备的访问网段范围,当访问超过这些范围时,系统会根据策略执行相应的处理操作。
能够知道哪个进程在什么时间去访问远程的哪个IP主机的哪个端口。
具体策略如下图:
定位ARP欺骗问题源以及ARP攻击防护功能
将内网当中出现大量的ARP欺骗的病毒时,如何快速定位中病毒的问题源桌面终端?
至少要保证在安装有客户端代理软件的终端上可以快速定位是否有中ARP欺骗病毒,并且能保证安装了网控的客户端代理程序的终端能有效防护ARP的攻击。
网控大师首先会建立网络内的可信的MAC对应计算机设备信息数据库,把企业内所有网卡的MAC地址记录下来(采用自动采集与手工核对结合方式),每个MAC和IP、地理位置统统装入数据库,以便及时查询备案。
并且会利用代理客户端软件监听每台机器的网卡数据分析ARP数据包,ARP欺骗攻击的包一般有以下两个特点,满足之一可视为攻击包报警:
第一以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配。
或者,ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内,或者与自己网络MAC数据库MAC/IP不匹配。
这些统统第一时间报警,查这些数据包(以太网数据包)的源地址(也有可能伪造),就大致知道那台机器在发起攻击了。
采用基于每台机器的网络数据包分析网格技术,对网络影响极少,同时与边界安全相结合最有效地防护整体内网安全。
在解决防护ARP恶意攻击的解决方案中,网控首先会将网关、文件服务器等关键服务器的IP、MAC地址对登记,然后可以定制策略部署终端采取启用ARP防护功能,所有安装有代理软件的客户端会设定静态的MAC地址,从而免受ARP的欺骗攻击。
流量异常监控及预警
现对系统网络流量的控制,并给出相应的处理方式,包括流量采样策略、流量控制策略。
流量采样策略:
管理员可根据所属单位的具体情况来配置流量采样阈值和并发连接数量,如有符合条件者将可以在“客户端流量统计”中查询到。
同时监控客户端的流量异常情况,一旦有异常情况发生,第一时间通知管理员。
在做到第一时间可疑情况预警的同时做到流量控制,实现对流量可疑、发包数可疑、并发连接数可疑的客户端进行阻断、提示、上报给上级区域管理器操作。
私自代理上网行为监控
从目前主流的代理方式协议而言,主要是采用HTTP代理,通过分析HTTP请求的协议可以获知代理服务器的IP以及使用的端口。
系统自动将记录代理上网的相关信息并向信息安全管理员预警,信息包括有部门、使用者、IP地址、计算机名、代理服务器IP、代理端口、使用时间、当天使用次数、当天使用明细等等。
杀毒软件版本检测
网控大师LCMS提供了对主机的杀毒软件的检测功能,可检测主机运行的杀毒软件版本和杀毒软件病毒库版本及升级时间等,目前支持检测国内外绝大多数流行的杀毒软件,包括:
瑞星、诺顿、MacAfee、卡巴斯基等
主机资源管理
目前支持查看单个终端的主机资源信息,并且可以远程做一定的控制,比如远程查看或关闭进程信息、远程查看或关闭共享文件夹信息、远程查看或关闭\启动服务信息、远程查看网络连接状态信息(netstat–an的查看结果)、同时可以预定如果系统盘低于一定值时预警等等。
5产品经典应用
5.1LCMS独立部署
LCMS独立部署方式如下图所示:
Agent安装和部署在被监管的设备上;Manager通过Agent实现对被监管设备进行监管外;部署在网络中的数据库系统,为Manager提供数据存储和备份等功能;而用户则可以通过internet上部署的ConsolePortal程序,对整个LCMS系统进行控制和管理。
5.2客户端部署方式
LCMS桌面安全管理套件客户端支持四种部署方式:
采用WEB方式部署,远程推送工具方式部署,采用域脚本方式部署及直接客户端安装。
上图为:
远程推送界面
WEB部署方式,直接输入WEB平台的URL,点击客户端工具部署,即可实现客户端安装。
5.3产品部署环境要求
服务器端
Ø硬件配置
⏹最低配置:
CPU主频1.8GHz/内存1G/硬盘容量120G
⏹推荐配置:
CPU主频2.0GHz/内存2G/硬盘容量240G
Ø软件环境
⏹适用操作系统:
Windows2000SP4/Windows2000ServerSP4/Windows2003Server
⏹推荐系统:
Windows2003Server
⏹数据库:
MySql5.0以上或Oracle
客户端
Ø最低硬件配置:
CPU600MHz/内存128M/硬盘容量10G
Ø可支持操作系统:
Windows2000/XP/Widows2003
功能、技术偏差表
投标方名称(盖章):
序号
系统名称
功能技术条目号
招标要求
投标建议
偏差
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- XX 供电局 桌面 安全管理 系统