1、北信源內網安全管理系統方案 1XX 單位 內網安全管理系統解決方案 北京北信源自動化技術有限公司 2008年 04 月2目錄目錄 (2)一、系統需求分析 (3)1.1 網絡管理中面臨的問題 (3)1.1.1 終端安全管理問題 (3)1.1.2 IP 地址管理問題 (4)1.1.3 非法外聯問題 (4)1.1.4 IT 資產管理問題 (4)二、內網安全解決方案 (5)2.1 系統部署和管理構架 (5)2.2 系統部署時的硬件配置 (6)(7)2.3 終端節點加固 (7)2.3.1 可統一配置的主機防火墻(網管控制包過濾)2.3.2 弱口令監控 (8)2.3.3 用戶權限變化監控 (8)2.3.4

2、 關鍵進程加固 (9)2.3.5 注冊表加固 (9)2.4 終端全面管理 (10)2.4.1 IP 地址管理 (10)2.4.2 IP 、MAC 地址綁定 (12)2.4.3 禁止修改網關、禁用冗余網卡 (12)2.4.4 IT 資產管理 (13)2.4.5 終端桌面管理 (17)2.4.6 終端安全管理 (25)2.4.7 網絡主機運維監控 (27)2.4.8 非法外聯行為監控 (28)2.4.9 普通文件分發 (28)三、預計可達到的效果 (29)一、系統需求分析網絡管理中面臨的問題隨著信息技術的發展， 網絡安全問題已不再只是外部攻擊和 簡單的病毒防護。 當企業花費大量資金和精力構建起龐大

3、的網絡 架構和安全防護體系時， 殊不知， 威脅企業生存和發展的是來自 內部網絡的安全隱患， 而且其危害遠大于一次黑客攻擊或一次病 毒騷擾。據 FBI 和 CSI 曾對 484 家公司進行的網絡安全調查結 果顯示： 超過 85%的安全威脅來自公司內部， 由于內部人員泄密 所導致的資產損失高達 6000 多萬美元，它是黑客所造成損失的 16 倍、病毒所造成損失的 12 倍。XX 單位已經建立了比較完善的網絡管理行政制度， 但是以 往在網絡管理工作因為缺少相對應的技術手段， 網絡管理制度無 法得以落實， 致使管理員的日常維護工作繁瑣， 同時還有信息泄 密的風險。一個成熟的網絡安全管理理念應該是全方面

4、的主動防 御，而不是事后責任追查。 網管人員在多年的管理中總結出以下 有待解決的需求：1.1終端安全管理問題計算機病毒是目前對網絡及計算機安全最大的威脅，目前 XX 單位內部雖然已經統一配置安裝了殺毒軟件， 能夠對病毒進 行一定的防范，但是仍存在終端升級不及時，版本不統一，管理 不規則等問題。在得不到有效的監控情況下，內網終端的密碼經常被改動，其安全性（包括密碼長度、弱口令等方面）得不到應有的保障， 而且終端的注冊表也經常被改動， 不能夠對其進行及時有效的發 現與控制，這些都對內網的安全造成了威脅。XX 單位內網終端 IE 安全性令人擔憂，有些終端已經安裝 了不安全的插件和惡意軟件，這是一個亟

5、需解決的問題。網絡的穩定性、 可靠性和可用性是保障企業業務順利進行的 基礎。然而，目前大部分企業沒有合理利用網絡資源的策略和機 制，使得管理員無法控制員工的4上網行為， 不僅浪費了大量的網絡資源， 甚至還可以導致網 絡癱瘓。比如，有很多員工在上班時間利用 BT 下載音樂、電影 等。一些單位的內部網絡經常會出現流量過大的問題， 造成網絡 的不暢甚至擁塞，亟需對網絡流量和上網行為進行監控和管理。辦公環境的計算機不應安裝使用與辦公無關的軟件， 當發現 有非法使用違規軟件是應立即禁止， 還需要對軟件的安裝過程及 軟件執行所啟動的進程進行控制， 對于其他不安全的進程以及服 務也需要加以監控。1.2 IP

6、 地址管理問題以往對網絡內 IP 地址分配和管理都需要人工來進行操作， 并且在 IP 、 MAC 綁定上需要網管型交換機來完成，前期網絡 管理員的工作量很大， 在有新的設備入網時網絡管理員需要再次 對交換機進行操作， 如果操作不當可能造成一個資源子網不能正 常工作，影響業務系統正常高效工作； 當沒有進行 IP 、MAC 綁 定時會出現私自盜用他人 IP 地址的行為，造成合法的 IP 使用 人不能正常入網工作， IP 盜用成功后，如果有違規的網絡行為 時也不便于進行事件責任定位。 所以， XX 單位需要解決如何高 效地管理 IP 地址的問題。1.3非法外聯問題在現代信息社會中， 企業之間競爭激烈

7、， 保密工作是一項非 常重要的工作。 內部人員非法連接外網會增大病毒滲入和黑客攻 擊的風險，更為嚴重的會導致內部資料的泄露，給 XX 單位造 成無法逆轉的嚴重損失。為了防范這些隱患， 防止內部人員未經允許非法連接外網這 個功能需求就突顯出其重要性來。1.4 IT 資產管理問題對于 XX 單位的網絡管理而言，軟硬件資產的管理將是非 常重要的一個組成部分。 如果不能全面的掌握終端計算機的軟硬 件資產，那么對于終端上非法安裝5的軟件以及終端硬件的變化就無從知曉， 這就可能造成單位 硬件資產的流失，對網絡的全面管理更無從談起。二、內網安全解決方案2.1 系統部署和管理構架VRV 內網安全管理系統管理采用 B/S 構架，管理員可在網絡的任何終端通過登錄內網管理服務器的管理頁面進行管理和 各種信息查詢； 所有的網絡終端需要安裝客戶端程序以對其進行 監控和管理。具體的部署和管理構架如下（圖2.1.1）：圖 2.1.1 系統部署和管理構架網絡通過內網安全管理服務器對全網進行網絡客戶端的各