内网安全管理系统解决方案.docx

内网安全管理系统解决方案.docx

《内网安全管理系统解决方案.docx》由会员分享，可在线阅读，更多相关《内网安全管理系统解决方案.docx（20页珍藏版）》请在冰豆网上搜索。

内网安全管理系统解决方案

内网安全管理系统解决方案

1方案概述

1.1需求分析

榆次市XX酒店有限公司作为高品质的涉外酒店,是榆次市重要企业。

随着信息化建设的深入发展，单位部门内部，单位部门之间，单位与公众，单位部门与企业等的沟通越来越紧密，因此，需要通过搭建稳定可靠的信息化沟通平台，以数字化系统为建设目标，全面提升公司的办公效率，提升系统整体的信息化竞争实力。

网络稳定性是单位网络建设的基础保障，而网络安全是保障网络系统稳定性的前提。

同时，网络安全问题也是造成单位内部信息泄漏的主要原因，因此，针对公司的信息化建设，网络安全需要从网络系统的保障、用户的入网行为控制、网络病毒和攻击防护等几个方面充分考虑公司网络安全的建设。

有调查显示，各单位中超过85%的管理和安全问题来自终端。

因此，网络安全呈现出了新的发展趋势，安全战场已经逐步由核心与主干的防护，转向网络边缘的每一个终端。

目前，90%以上的终端用户使用的是windows2000,XP或以上的操作系统，而这几种系统的安全漏洞又非常多，微软公司会通过定期发布安全补丁的方式来弥补这些漏洞，但由于终端用户缺乏相关知识，导致补丁安装的不完全，不及时，这就会严重影响终端计算机的安全，从而导致更严重的整个内网安全问题。

计算机终端作为信息存储、传输、应用处理的基础设施，其自身安全性涉及到系统安全、数据安全、网络安全等各个方面，任何一个节点都有可能影响整个网络的安全。

而计算机终端广泛涉及每个计算机用户，由于其分散性、不被重视、安全手段缺乏的特点，已成为信息安全体系的薄弱环节。

作为计算机内网安全管理方案而言，其需要解决如下安全问题：

1.1.1流量控制

单位内部网络环境中不可能所有的交换机全部都是可网管的，所以不能完全依赖交换机进行流量管理；而且管理员不可能时刻关注每台机器的流量状况，除非是出现异常的网络攻击和拥塞时，才会采取如此非常手段。

因此对于日常的控制来说，最有效的方法是通过控制每个终端设备的网卡流量，如果能将设备的流量控制在一定的范围内，既保证了设备的正常工作使用，又可以防范在非法使用P2P下载软件抢占带宽和病毒爆发时给网络速度带来的拥塞，这对于管理来说才是实用的管理手段。

1.1.2IP地址管理

为了便于管理，出现问题能够及时追查，网络建设时管理员通常使用静态IP地址，这对于管理来说确实是一个有效可行的措施。

但是由于员工的计算机操作水平不同，很可能造成随意修改IP地址带来的内网地址冲突，这给内网管理带来很繁琐的问题。

虽然通过在核心或二层交换机上，可以通过命令来绑定IP/MAC地址从而消除上述问题，但是工作量庞大，因此彻底屏蔽IP地址冲突的问题是网络管理必须要做的。

1.1.3进程防护

由于当前大量病毒以及恶意程序的存在，而这些程序对于普通用户而言并不知情，甚至有些恶意程序通过技术手段使得用户无法通过任务管理器看到其工作进程；另一方面，有些用户可能有意或无意地运行一些可能会影响他人或自己工作的软件（如网络嗅探器）。

公司采购机器目的是提高员工的生产效率，充分利用上班时间来服务于工作，但是某些娱乐性软件严重影响了员工的工作效率，某些下载软件造成网络速度减慢，影响了内网的正常办公。

因此通过制定策略，实现对非法进程的监控并阻止，能够大大减少由内部引起的网络安全事件，提高我们的工作效率。

1.1.4防病毒防护

员工由于防范病毒意识较淡薄，没有安装防病毒软件；或者由于个人对防病毒品牌的倾向性，从而发生没有安装防病毒软件，甚至意外卸载，或防病毒软件没有运行，这样不仅使单台PC机受到病毒侵害，而且一旦感染病毒，可能回向内网的其他机器传播，导致整个内网病毒泛滥，甚至网络拥塞。

因此一定要保证防病毒软件的安装、正常运行、及时升级。

1.1.5补丁安装防护

目前在制造业的单位中，承载各种应用的操作系统90%以上的端终用户使用的都是windows2000,XP或以上的操作系统，但是这几种操作系统的安全漏洞非常多，很容易收到攻击。

微软公司会通过定期发布安全补丁的方式来弥补这些漏洞，但由于某些员工用户缺乏相关知识，或者处于研发部门的设计网是和单位局域网物理隔离的网络，从而导致补丁安装的不完全，不及时，这就会严重影响终端计算机的安全，一旦发生针对微软操作系统漏洞的攻击，就会导致整个网络受到威胁。

1.1.6网页过滤

某些员工访问Internet时，由于安全防范意识不够，登陆恶意网站，造成机器受到攻击，从而产生病毒感染、机器不能正常使用，注册表被修改、浏览器无法正常的访问网络；严重的甚至会植入木马，造成机器重要数据的网络泄密。

因此必须对内网机器的网络访问进行必要的过滤。

1.1.7计算机资产管理

对于规模较大的用户，由于终端计算机众多，依靠传统的资产登记管理办法，根本无法做到对计算机配置信息的准确掌握，对计算机配置的变化也无法及时跟踪。

例如，要准确掌握每台计算机的软硬件配置信息，通过手工方式将是非常耗时和繁琐的工作。

当内网终端计算机的硬件资产发生变化后，管理员是无法进行追查，不能找到具体什么时间、发生什么事情？

只能是在很久的时间后，或者在现场维护时才能发现，但是为时已晚。

所以对于内部资产的流失要进行有效的管理和统计，避免内部的资产不明和流失。

必须通过技术手段和工具来辅助实现，才能有效节省成本和资源，提高内网管理的效率。

1.1.8移动存储介质

系统网络化的飞速发展和高新技术设备的应用，作为网络系统重要组成部分的移动存储介质的安全和保密问题开始显著的突现出来。

以U盘为代表的移动存储介质的出现和普及，极大方便了数据交换和存储便利性，但是与此同时也给内网带来了巨大的隐患。

由于移动存储设备小型化、形式多样化和存储量大的特点，使得文件管理、信息管理、和行为管理变成了难上加难。

个人移动存储设备在内网的随意应用首先就成了机密外泄的重要途径之一，设备的遗失、监管的不严都可能造成存储在里面的大量单位敏感数据失控。

而且对于怀有恶意的内部人员或外部人员都可以将单位的敏感信息随意复制出去进行传播。

其次移动存储设备也是内网病毒泛滥的罪魁祸首之一。

移动存储设备在无限制随意使用的情况下，可以在极短的时间内使病毒源扩散到全部网络。

造成内网的大面积瘫痪。

再有就是对于移动存储设备的行为控制。

传统模式下很难做到对于移动存储设备进行明确的权限划分，如一个设备能够应对哪些部门、能够做何种操作等。

一旦当问题出现时管理员很难对事故源头进行追查。

因此移动存储介质在带来方便性和快捷性的同时，如何同时达到保密性、安全性、可控性等要求，成为每个IT管理人员极为关注的问题

1.1.9计算机接入控制

随着信息化建设发展，内网计算机数量与日俱增，同时各个单位之间的合作日益频繁，经常有不属于本单位或者本企业的终端计算机连接到内网。

在这种情况下，IT管理人员很难统计内网计算机的确切数量，也无法区分哪些是内网授权使用的计算机，哪些是外来的非授权使用的计算机。

这种状况下，对于未授权使用的计算机接入不能进行控制，当系统感染了病毒和木马后，接入内网，病毒会在整个内网进行快速传播和扩散，给内部网络带来严重的安全威胁。

同时对外来人员随意的计算机接入无法控制，很容易导致企业内网机密信息的泄漏，往往等泄密事件发生了，却还无法判断到底是哪一个环节出了差错。

当安全事件发生过程中，IT管理人员也无法及时定位和自动阻断该计算机的破坏行为。

往往需要花费很长的时间才能判断和定位该计算机，然后再通过手动的方式断网。

对安全强度差的终端计算机缺乏有效的安全状态检测和内网接入控制，是IT管理人员比较头疼的问题之一。

1.1.10终端计算机系统帐户监控

现在很多黑客工具、木马及病毒都具备弱口令猜解的功能，如果系统口令设置过于简单，一旦被恶意猜解，黑客或木马会立即提升自身账户的运行权限，达到完全控制主机的目的，在无AD域的环境中，如何强制终端用户采用符合一定强度要求的口令，是需要IT管理人员迫切解决的问题。

1.1.11计算机的远程维护

对于大多数企业用户来说，由于技术的原因，IT管理人员无法实时掌握每台终端计算机的运行状态。

当终端计算机出现故障需要维护时，IT管理人员如果采用现场维护的方式，一方面增加了人力成本，另外由于人力资源有限，也无法保证维护的及时性。

如何实时监视终端计算机的运行状况，并且方便地对终端计算机进行远程维护，是IT管理人员迫切需要解决的问题。

1.1.12I/O接口管理

随着USB接口的计算机周边设备的丰富，使得计算机与其他外部设备，如U盘，USB打印机等连接十分方便，并能轻而易举地通过USB设备将外部数据导入或者内部数据导出，移动存储介质体积轻巧，容易隐藏，使用方便，为重要数据的保护带来了巨大的安全隐患，因此针对移动存储行为的有效管理成为我们面临的重要课题。

1.1.13文件安全共享管理

由于桌面终端大多使用Windows操作系统，而该操作系统安装后即开放了部分共享目录，同时由于许多用户并未采用安全的访问密码，造成其他用户能够较为方便地通过远程网络实现对他人网络共享数据的访问。

因此严格控制终端的文件共享，尤其是涉密终端的文件共享，也是桌面系统安全管理的重要内容。

同时，作为常见的文件共享，系统应能提供自动发现并且根据需求进行共享文件夹的屏蔽，及详细的访问日志信息。

1.1.14安全管理软件卸载控制

内网安全管理软件安装后，应能够防止用户有意/无意地对其卸载删除，只有管理员通过专用工具才能够实现对客户端软件的卸载。

同时服务管理平台能够方便地获悉当前网络中有哪些桌面终端系统处于非受控状态。

1.1.15灵活的系统部署

内网安全管理系统能够实现灵活的系统部署，能支持分级部署管理模式，要求能够对系统的管理员进行分权处理。

1.2方案目标和内容

北京圣博润高新技术股份有限公司（以下简称“圣博润”）作为国内领先的内网安全管理系统提供商，承建了国内多个省级、多个行业内网安全管理系统以及应用推广，积累总结了大量的应用安全经验。

本方案的目标为向提供一套内网安全管理系统的解决方案。

通过本方案，能够实现对内网的计算机终端的统一安全管理，达到终端计算机的系统加固、进程控制、补丁及防病毒管理、资产管理、远程维护等方面的管理。

2桌面内网安全管理产品解决方案

内部网络中大概有50个终端机器，局域网利用率较低，主要此用账户拨号方式到路由器，然后统一上到Internet进行办公。

交换机为不可网管交换机，机器间共享、数据交换不是很频繁。

但是信息中心的IT管理人员在实际工作中遇到了上面所说的许多问题，为了使用户对内网终端计算机的管理逐渐形成了较为完善的、符合本行业特点的内网安全管理解决方案。

我们提出了如下的解决方案：

2.1流量控制

流量控制能够实现对每个终端机器的网卡进行流量控制，对于超过指定阀值和并发连接数的设备进行自动的网络阻断，当网卡流量恢复到正常时，网卡自动开启、恢复网络连接，保证受控端在指定的流量范围内进行网络连通。

由此既保证了终端的正常办公流量需求，又可以杜绝由于未知的P2P等非法下载软件的使用带来的网速过慢、甚至断网的问题。

2.2IP地址绑定

通过使IP地址和每台机器的ID号相对应，以一一对应的关系为依据，从而保证每个IP有一个唯一的标识与之对应。

当客户端程序检测到IP地址进行修改时，IP地址会自动恢复到此前已经绑定了的IP值，保证IP地址不会被随意修改。

杜绝了单位内部的IP地址冲突问题，保证IP地址的唯一性。

2.3进程控制

通过进程的控制，禁止已知的非法应用程序的使用，杜绝由于非法软件的使用影响工作效率、BT软件占用带宽、危险软件的随意滥用给单位内网安全带来隐患的问题。

通过进程控制功能，可以有效控制终端机器的软件使用，屏蔽掉无助于工作、单位网络安全的应用程序的运行。

2.4防病毒控制