內網(wǎng)安全管理系統(tǒng)解決方案目錄方案概述1TOC\o"1-5"\h\z\o"CurrentDocument"需求分析1\o"CurrentDocument"1.1.1流量控制2\o"CurrentDocument"1.1.2IP地址管理2\o"CurrentDocument"1.1.3進程防護21.1.4防病毒防護3\o"CurrentDocument"1.1.5補丁安裝防護3\o"CurrentDocument"1.1.6網(wǎng)頁過濾3\o"CurrentDocument"1.1.7計算機資產管理3\o"CurrentDocument"1.1.8移動存儲介質4\o"CurrentDocument"1.1.9計算機接入控制4\o"CurrentDocument"1.1.10終端計算機系統(tǒng)帳戶監(jiān)控5\o"CurrentDocument"1.1.11計算機的遠程維護5\o"CurrentDocument"I/O接口管理5\o"CurrentDocument"1.1.13文件安全共享管理6\o"CurrentDocument"1.1.14安全管理軟件卸載控制6\o"CurrentDocument"1.1.15靈活的系統(tǒng)部署6\o"CurrentDocument"1.2方案目標和內容6\o"CurrentDocument"桌面內網(wǎng)安全管理產品解決方案7\o"CurrentDocument"流量控制7\o"CurrentDocument"IP地址綁定7\o"CurrentDocument"2.3進程控制7\o"CurrentDocument"2.4防病毒控制8\o"CurrentDocument"2.5補丁管理8\o"CurrentDocument"2.6網(wǎng)頁過濾控制8\o"CurrentDocument"2.7資產管理8\o"CurrentDocument"2.8終端移動存儲介質管理9\o"CurrentDocument"2.9終端接入控制9\o"CurrentDocument"2.10系統(tǒng)賬號監(jiān)控10\o"CurrentDocument"2.11終端行為監(jiān)控10\o"CurrentDocument"2.12終端配置管理11\o"CurrentDocument"2.13終端遠程維護11\o"CurrentDocument"2.14I/O接口管理12\o"CurrentDocument"2.15軟件安裝審計12\o"CurrentDocument"2.16系統(tǒng)部署12\o"CurrentDocument"內網(wǎng)安全管理系統(tǒng)設計概述12\o"CurrentDocument"3.1產品設計思路13\o"CurrentDocument"3.2產品的設計原則14\o"CurrentDocument"3.3產品的功能14\o"CurrentDocument"3.4產品的組成15\o"CurrentDocument"3.4.1系統(tǒng)部署結構16\o"CurrentDocument"3.4.2產品模塊組成圖163.5產品一體化設計183.5.1統(tǒng)一用戶權限管理18\o"CurrentDocument"3.5.2系統(tǒng)分權管理18\o"CurrentDocument"3.5.3統(tǒng)一資產管理18\o"CurrentDocument"3.5.4策略集中部署18\o"CurrentDocument"3.5.5統(tǒng)一預警平臺19\o"CurrentDocument"3.5.6可快速恢復的產品部署結構193.6系統(tǒng)安全性設計193.6.1系統(tǒng)代碼安全19\o"CurrentDocument"3.6.2客戶端進程防關閉20\o"CurrentDocument"3.7客戶端防卸載20\o"CurrentDocument"3.8系統(tǒng)部署設計20\o"CurrentDocument"報價221方案概述1.1需求分析榆次市XX酒店有限公司作為高品質的涉外酒店,是榆次市重要企業(yè)。隨著信息化建設的深入發(fā)展，單位部門內部，單位部門之間，單位與公眾，單位部門與企業(yè)等的溝通越來越緊密，因此，需要通過搭建穩(wěn)定可靠的信息化溝通平臺，以數(shù)字化系統(tǒng)為建設目標，全面提升公司的辦公效率，提升系統(tǒng)整體的信息化競爭實力。網(wǎng)絡穩(wěn)定性是單位網(wǎng)絡建設的基礎保障，而網(wǎng)絡安全是保障網(wǎng)絡系統(tǒng)穩(wěn)定性的前提。同時，網(wǎng)絡安全問題也是造成單位內部信息泄漏的主要原因，因此，針對公司的信息化建設，網(wǎng)絡安全需要從網(wǎng)絡系統(tǒng)的保障、用戶的入網(wǎng)行為控制、網(wǎng)絡病毒和攻擊防護等幾個方面充分考慮公司網(wǎng)絡安全的建設。有調查顯示，各單位中超過85%的管理和安全問題來自終端。因此，網(wǎng)絡安全呈現(xiàn)出了新的發(fā)展趨勢，安全戰(zhàn)場已經(jīng)逐步由核心與主干的防護，轉向網(wǎng)絡邊緣的每一個終端。目前，90%以上的終端用戶使用的是windows2000,XP或以上的操作系統(tǒng)，而這幾種系統(tǒng)的安全漏洞又非常多，微軟公司會通過定期發(fā)布安全補丁的方式來彌補這些漏洞，但由于終端用戶缺乏相關知識，導致補丁安裝的不完全，不及時，這就會嚴重影響終端計算機的安全，從而導致更嚴重的整個內網(wǎng)安全問題。計算機終端作為信息存儲、傳輸、應用處理的基礎設施，其自身安全性涉及到系統(tǒng)安全、數(shù)據(jù)安全、網(wǎng)絡安全等各個方面，任何一個節(jié)點都有可能影響整個網(wǎng)絡的安全。而計算機終端廣泛涉及每個計算機用戶，由于其分散性、不被重視、安全手段缺乏的特點，已成為信息安全體系的薄弱環(huán)節(jié)。作為計算機內網(wǎng)安全管理方案而言，其需要解決如下安全問題：1.1.1流量控制單位內部網(wǎng)絡環(huán)境中不可能所有的交換機全部都是可網(wǎng)管的，所以不能完全依賴交換機進行流量管理；而且管理員不可能時刻關注每臺機器的流量狀況，除非是出現(xiàn)異常的網(wǎng)絡攻擊和擁塞時，才會采取如此非常手段。因此對于日常的控制來說，最有效的方法是通過控制每個終端設備的網(wǎng)卡流量，如果能將設備的流量控制在一定的范圍內，既保證了設備的正常工作使用，又可以防范在非法使用P2P下載軟件搶占帶寬和病毒爆發(fā)時給網(wǎng)絡速度帶來的擁塞，這對于管理來說才是實用的管理手段。1.1.2IP地址管理為了便于管理，出現(xiàn)問題能夠及時追查，網(wǎng)絡建設時管理員通常使用靜態(tài)ip地址，這對于管理來說確實是一個有效可行的措施。但是由于員工的計算機操作水平不同，很可能造成隨意修改ip地址帶來的內網(wǎng)地址沖突，這給內網(wǎng)管理帶來很繁瑣的問題。雖然通過在核心或二層交換機上，可以通過命令來綁定IP/MAC地址從而消除上述問題，但是工作量龐大，因此徹底屏蔽IP地址沖突的問題是網(wǎng)絡管理必須要做的。1.1.3進程防護由于當前大量病毒以及惡意程序的存在，而這些程序對于普通用戶而言并不知情，甚至有些惡意程序通過技術手段使得用戶無法通過任務管理器看到其工作進程；另一方面，有些用戶可能有意或無意地運行一些可能會影響他人或自己工作的軟件（如網(wǎng)絡嗅探器）。公司采購機器目的是提高員工的生產效率，充分利用上班時間來服務于工作，但是某些娛樂性軟件嚴重影響了員工的工作效率，某些下載軟件造成網(wǎng)絡速度減慢，影響了內網(wǎng)的正常辦公。因此通過制定策略，實現(xiàn)對非法進程的監(jiān)控并阻止，能夠大大減少由內部引起的網(wǎng)絡安全事件，提高我們的工作效率。員工由于防范病毒意識較淡薄，沒有安裝防病毒軟件；或者由于個人對防病毒品牌的傾向，性，從而發(fā)生沒有安裝防病毒軟件，甚至意外卸載，或防病毒軟件沒有運行，這樣不僅使單臺pc機受到病毒侵害，而且一旦感染病毒，可能回向內網(wǎng)的其他機器傳播，導致整個內網(wǎng)病毒泛濫，甚至網(wǎng)絡擁塞。因此一定要保證防病毒軟件的安裝、正常運行、及時升級。1.1.5補丁安裝防護目前在制造業(yè)的單位中，承載各種應用的操作系統(tǒng)90%以上的端終用戶使用的都是windows2000,XP或以上的操作系統(tǒng)，但是這幾種操作系統(tǒng)的安全漏洞非常多，很容易收到攻擊。微軟公司會通過定期發(fā)布安全補丁的方式來彌補這些漏洞，但由于某些員工用戶缺乏相關知識，或者處于研發(fā)部門的設計網(wǎng)是和單位局域網(wǎng)物理隔離的網(wǎng)絡，從而導致補丁安裝的不完全，不及時，這就會嚴重影響終端計算機的安全，一旦發(fā)生針對微軟操作系統(tǒng)漏洞的攻擊，就會導致整個網(wǎng)絡受到威脅。1.1.6網(wǎng)頁過濾某些員工訪問Internet時，由于安全防范意識不夠，登陸惡意網(wǎng)站，造成機器受到攻擊，從而產生病毒感染、機器不能正常使用，注冊表被修改、瀏覽器無法正常的訪問網(wǎng)絡；嚴重的甚至會植入木馬，造成機器重要數(shù)據(jù)的網(wǎng)絡泄密。因此必須對內網(wǎng)機器的網(wǎng)絡訪問進行必要的過濾。1.1.7計算機資產管理對于規(guī)模較大的用戶，由于終端計算機眾多，依靠傳統(tǒng)的資產登記管理辦法，根本無法做到對計算機配置信息的準確掌握，對計算機配置的變化也無法及時跟蹤。例如，要準確掌握每臺計算機的軟硬件配置信息，通過手工方式將是非常耗時和繁瑣的工作。當內網(wǎng)終端計算機的硬件資產發(fā)生變化后，管理員是無法進行追查，不能找到具體什么時間、發(fā)生什么事情？只能是在很久的時間后，或者在現(xiàn)場維護時才能發(fā)現(xiàn)，但是為時已晚。所以對于內部資產的流失要進行有效的管理和統(tǒng)計，避免內部的資產不明和流失。必須通過技術手段和工具來輔助實現(xiàn)，才能有效節(jié)省成本和資源，提高內網(wǎng)管理的效率。1.1.8移動存儲介質系統(tǒng)網(wǎng)絡化的飛速發(fā)展和高新技術設備的應用，作為網(wǎng)絡系統(tǒng)重要組成部分的移動存儲介質的安全和保密問題開始顯著的突現(xiàn)出來。以u盤為代表的移動存儲介質的出現(xiàn)和普及，極大方便了數(shù)據(jù)交換和存儲便利性，但是與此同時也給內網(wǎng)帶來了巨大的隱患。由于移動存儲設備小型化、形式多樣化和存儲量大的特點，使得文件管理、信息管理、和行為管理變成了難上加難。個人移動存儲設備在內網(wǎng)的隨意應用首先就成了機密外泄的重要途徑之一，設備的遺失、監(jiān)管的不嚴都可能造成存儲在里面的大量單位敏感數(shù)據(jù)失控。而且對于懷有惡意的內部人員或外部人員都可以將單位的敏感信息隨意復制出去進行傳播。其次移動存儲設備也是內網(wǎng)病毒泛濫的罪魁禍首之一。移動存儲設備在無限制隨意使用的情況下，可以在極短的時間內使病毒源擴散到全部網(wǎng)絡。造成內網(wǎng)的大面積癱瘓。再有就是對于移動存儲設備的行為控制。傳統(tǒng)模式下很難做到對于移動存儲設備進行明確的權限劃分，如一個設備能夠應對哪些部門、能夠做何種操作等。一旦當問題出現(xiàn)時管理員很難對事故源頭進行追查。因此移動存儲介質在帶來方便性和快捷性的同時，如何同時達到保密性、安全性、可控性等要求，成為每個IT管理人員極為關注的問題1.1.9計算機接入控制隨著信息化建設發(fā)展，內網(wǎng)計算機數(shù)量與日俱增，同時各個單位之間的合作日益頻繁，經(jīng)常有不屬于本單位或者本企業(yè)的終端計算機連接到內網(wǎng)。在這種情況下，IT管理人員很難統(tǒng)計內網(wǎng)計算機的確切數(shù)量，也無法區(qū)分哪些是內網(wǎng)授權使用的計算機，哪些是外來的非授權使用的計算機。這種狀況下，對于未授權使用的計算機接入不能進行控制，當系統(tǒng)感染了病毒和木馬后，接入內網(wǎng)，病毒會在整個內網(wǎng)進行快速傳播和擴散，給內部網(wǎng)絡帶來嚴重的安全威脅。同時對外來人員隨意的計算機接入無法控制，很容易導致企業(yè)內網(wǎng)機密信息的泄漏，往往等泄密事件發(fā)生了，卻還無法判斷到底是哪一個環(huán)節(jié)出了差錯。當安全事件發(fā)生過程中，IT管理人員也無法及時定位和自動阻斷該計算機的破壞行為。往往需要花費很長的時間才能判斷和定位該計算機，然后再通過手動的方式斷網(wǎng)。對安全強度差的終端計算機缺乏有效的安全狀態(tài)檢測和內網(wǎng)接入控制，是IT管理人員比較頭疼的問題之一。1.1.10終端計算機系統(tǒng)帳戶監(jiān)控現(xiàn)在很多黑客工具、木馬及病毒都具備弱口令猜解的功能，如果系統(tǒng)口令設置過于簡單，一旦被惡意猜解，黑客或木馬會立即提升自身賬戶的運行權限，達到完全控制主機的目的，在無AD域的環(huán)境中，如何強制終端用戶采用符合一定強度要求的口令，是需要IT管理人員迫切解決的問題。1.1.11計算機的遠程維護對于大多數(shù)企業(yè)用戶來說，由于技術的原因，IT管理人員無法實時掌握每臺終端計算機的運行狀態(tài)。當終端計算機出現(xiàn)故障需要維護時，IT管理人員如果采用現(xiàn)場維護的方式，一方面增加了人力成本，另外由于人力資源有限，也無法保證維護的及時性。如何實時監(jiān)視終端計算機的運行狀況，并且方便地對終端計算機進行遠程維護，是IT管理人員迫切需要解決的問題。1.1.12I/O接口管理隨著USB接口的計算機周邊設備的豐富，使得計算機與其他外部設備，如U盤，USB打印機等連接十分方便，并能輕而易舉地通過USB設備將外部數(shù)據(jù)導入或者內部數(shù)據(jù)導出，移動存儲介質體積輕巧，容易隱藏，使用方便，為重要數(shù)據(jù)的保護帶來了巨大的安全隱患，因此針對移動存儲行為的有效管理成為我們面臨的重要課題。1.1.13文件安全共享管理由于桌面終端大多使用Windows操作系統(tǒng)，而該操作系統(tǒng)安裝后即開放了部分共享目錄，同時由于許多用戶并未采用安全的訪問密碼，造成其他用戶能夠較為方便地通過遠程網(wǎng)絡實現(xiàn)對他人網(wǎng)絡共享數(shù)據(jù)的訪問。因此嚴格控制終端的文件共享，尤其是涉密終端的文件共享，也是桌面系統(tǒng)安全管理的重要內容。同時，作為常見的文件共享，系統(tǒng)應能提供自動發(fā)現(xiàn)并且根據(jù)需求進行共享文件夾的屏蔽，及詳細的訪問日志信息。1.1.14安全管理軟件卸載控制內網(wǎng)安全管理軟件安裝后，應能夠防止用戶有意/無意地對其卸載刪除，只有管理員通過專用工具才能夠實現(xiàn)對客戶端軟件的卸載。同時服務管理平臺能夠方便地獲悉當前網(wǎng)絡中有哪些桌面終端系統(tǒng)處于非受控狀態(tài)。1.1.15靈活的系統(tǒng)部署內網(wǎng)安全管理系統(tǒng)能夠實現(xiàn)靈活的系統(tǒng)部署，能支持分級部署管理模式，要求能夠對系統(tǒng)的管理員進行分權處理。1.2方案目標和內容北京圣博潤高新技術股份有限公司（以下簡稱“圣博潤”）作為國內領先的內網(wǎng)安全管理系統(tǒng)提供商，承建了國內多個省級、多個行業(yè)內網(wǎng)安全管理系統(tǒng)以及應用推廣，積累總結了大量的應用安全經(jīng)驗。本方案的目標為向提供一套內網(wǎng)安全管理系統(tǒng)的解決方案。通過本方案，能夠實現(xiàn)對內網(wǎng)的計算機終端的統(tǒng)一安全管理，達到終端計算機的系統(tǒng)加固、進程控制、補丁及防病毒管理、資產管理、遠程維護等方面的管理。2桌面內網(wǎng)安全管理產品解決方案內部網(wǎng)絡中大概有50個終端機器，局域網(wǎng)利用率較低，主要此用賬戶撥號方式到路由器，然后統(tǒng)一上到Internet進行辦公。交換機為不可網(wǎng)管交換機，機器間共享、數(shù)據(jù)交換不是很頻繁。但是信息中心的IT管理人員在實際工作中遇到了上面所說的許多問題，為了使用戶對內網(wǎng)終端計算機的管理逐漸形成了較為完善的、符合本行業(yè)特點的內網(wǎng)安全管理解決方案。我們提出了如下的解決方案：2.1流量控制流量控制能夠實現(xiàn)對每個終端機器的網(wǎng)卡進行流量控制，對于超過指定閥值和并發(fā)連接數(shù)的設備進行自動的網(wǎng)絡阻斷，當網(wǎng)卡流量恢復到正常時，網(wǎng)卡自動開啟、恢復網(wǎng)絡連接，保證受控端在指定的流量范圍內進行網(wǎng)絡連通。由此既保證了終端的正常辦公流量需求，又可以杜絕由于未知的P2P等非法下載軟件的使用帶來的網(wǎng)速過慢、甚至斷網(wǎng)的問題。2.2IP地址綁定通過使IP地址和每臺機器的ID號相對應，以一一對應的關系為依據(jù)，從而保證每個IP有一個唯一的標識與之對應。當客戶端程序檢測到IP地址進行修改時，IP地址會自動恢復到此前已經(jīng)綁定了的IP值，保證IP地址不會被隨意修改。杜絕了單位內部的IP地址沖突問題，保證IP地址的唯一性。2.3進程控制通過進程的控制，禁止已知的非法應用程序的使用，杜絕由于非法軟件的使用影響工作效率、BT軟件占用帶寬、危險軟件的隨意濫用給單位內網(wǎng)安全帶來隱患的問題。通過進程控制功能，可以有效控制終端機器的軟件使用，屏蔽掉無助于工作、單位網(wǎng)絡安全的應用程序的運行。2.4防病毒控制通過防病毒軟件監(jiān)測，可以判斷終端計算機是否安裝了防病毒軟件、防病毒軟件運行是否正常以及病毒庫是否保持最新等情況。如果上述條件不滿足設定的策略要求，監(jiān)測系統(tǒng)可以向管理人員發(fā)送報警信息。另外，監(jiān)測系統(tǒng)還可阻斷終端計算機的內網(wǎng)接入和內網(wǎng)訪問，確保易被感染的終端計算機無法使用內網(wǎng)。未安裝防病毒軟件的計算機進行網(wǎng)絡訪問控制和隔離，使其形成內網(wǎng)中的“孤島”。避免該終端計算機對內網(wǎng)其它主機造成安全威脅。2?5補丁管理通過補丁管理，能夠對內網(wǎng)終端計算機缺失補丁進行定期檢測和自動安裝與更新，保證系統(tǒng)與軟件缺陷一經(jīng)發(fā)現(xiàn)便可及時修補。通過補丁分發(fā)管理，大大減少了操作系統(tǒng)和應用軟件漏洞被利用所造成的安全隱患和經(jīng)濟損失。同時，管理人員還可以實時統(tǒng)計當前各終端計算機的補丁缺失情況、補丁安裝情況以及補丁安裝的進度等，得到全網(wǎng)的終端計算機補丁安裝快照。方便了對補丁分發(fā)過程的監(jiān)控。2.6網(wǎng)頁過濾控制通過網(wǎng)頁過濾，可以有效屏蔽掉管理員禁止訪問的網(wǎng)站，避免誤入已知的非法或易受攻擊的網(wǎng)站，在事前保證機器訪問網(wǎng)站的合法性。從而有效保障了機器的網(wǎng)絡訪問安全，降低了機器意外染毒的可能性。2.7資產管理LanSecS內網(wǎng)安全管理系統(tǒng)自動登記終端計算機的硬件配置（包括CPU類型、主頻、內存、硬盤、顯示卡、網(wǎng)卡等等），這樣可以使得網(wǎng)管人員在控制臺的機器上，可以觀察到各個機器的配置信息，方便了網(wǎng)管人員的操作管理。能夠自動將終端計算機的操作系統(tǒng)、安裝的軟件、運行的程序和服務、系統(tǒng)日志、共享資源、以及補丁、端口等信息統(tǒng)計匯總，可以按設備類型、部門等方法對設備進行分類管理，使得系統(tǒng)管理員能夠輕松自如地管理著整個網(wǎng)絡的軟件資源，及時洞察系統(tǒng)配置的變動。2.8終端移動存儲介質管理通過移動存儲介質管理，IT管理人員可以對諸如：U盤、移動硬盤以及其他移動存儲卡進行保密性、安全性、可控性的管理。從而保證了內網(wǎng)機密信息和內部網(wǎng)絡環(huán)境的安全性。?介質初始化對于想要在內網(wǎng)中進行使用的移動存儲設備。必須經(jīng)過一個格式化的過程重新寫入一個隱藏加密信息。通過策略的下發(fā)，客戶端主機在工作時只會對能夠讀取到加密信息的移動存儲設備進行掛載。而且已注冊過的移動存儲設備在未安裝客戶端的主機上不能夠進行使用。從而保證了內部機密信息不能通過移動存儲設備外泄，并且外部的病毒也不能通過移動存儲設備進入內網(wǎng)。大大加強了內網(wǎng)的保密性和安全性。?注冊管理通過注冊管理，管理人員可以很便捷的對移動存儲設備進行相應的授權。如：該設備可以在哪些部門使用，工作的權限為只讀還是讀寫，工作周期為多少等等。此種機制即保證了管理人員對移動存儲介質的可操控性，而且在事故發(fā)生時可追訴的目標范圍大幅度縮減。從而解決了許多IT管理人員以前為之頭疼的問題。2.9終端接入控制所謂的接入控制，是指對接入內網(wǎng)的終端計算機進行身份鑒別或者安全狀態(tài)檢查，阻止未授權或不安全的終端計算機接入內網(wǎng)和訪問內網(wǎng)資源。通過接入控制，可以將外來計算機阻擋在內網(wǎng)之外，也可以將內網(wǎng)中安全性較差（未及時安裝補丁和防火墻軟件）的計算機隔離出內網(wǎng)，保證內網(wǎng)整體的安全性。?與交換機聯(lián)動阻斷（支持802.1X）通過與交換機的聯(lián)動，自動判斷接入計算機的交換機接口，如果發(fā)現(xiàn)接入計算機未經(jīng)過授權或者安全性較差，則通知交換機禁用該計算機所在的端口。徹底阻斷計算機的接入。IP通訊加密由客戶端代理程序，對所有通訊數(shù)據(jù)包進行加密/解密，確保沒有安裝代理程序的系統(tǒng)無法與內網(wǎng)合法主機進行數(shù)據(jù)通訊。ARP欺騙阻斷對于非授權計算機和不安全的計算機可以采用ARP欺騙的方式，用虛假的MAC地址刷新目標計算機的ARP緩存，導致該計算機無法與內網(wǎng)其它設備通訊，達到阻止其訪問網(wǎng)絡資源的目的。以上三種方式配合使用，可極大提高計算機接入控制能力。通過接入控制，可最大限度地保證內網(wǎng)的整體安全性。系統(tǒng)賬號監(jiān)控LanSecS提供對終端計算機的用戶的密碼長度、密碼周期、密碼復雜度檢查，并且可以對系統(tǒng)已有或者新建的用戶進行禁止使用。終端行為監(jiān)控對于單位的實際辦公中，如何規(guī)范內網(wǎng)用戶行為，是節(jié)約成本、提高效率的關鍵因素之一。對用戶行為的監(jiān)控，包括用戶網(wǎng)絡資源的使用是否合理、是否進行了與工作無關的網(wǎng)絡訪問等。如：BT下載、MSN/Q。聊天、瀏覽與工作無關的網(wǎng)站、玩電腦游戲、觀看視頻、聽音樂等。?軟件監(jiān)控通過對終端計算機運行的進程進行監(jiān)控，可以發(fā)現(xiàn)用戶正在運行的程序。可以通過進程黑名單的方式限制用戶運行某些程序，例如游戲、攻擊工具、視頻播放器、MP3播放器等。限制用戶利用計算機進行與工作無關的操作。?上網(wǎng)控制通過對終端計算機的上網(wǎng)控制，可以限定終端計算機的網(wǎng)站訪問、網(wǎng)絡聊天和BT下載行為，使得終端計算機的用戶行為得到有效控制，既可避免用戶濫用網(wǎng)絡資源，又能降低隨意瀏覽互聯(lián)網(wǎng)帶來的安全隱患。終端配置管理配置管理主要完成終端計算機的各種信息的收集和系統(tǒng)參數(shù)的配置。通過配置管理，IT管理人員可以準確掌握每臺終端計算機的配置狀況和運行參數(shù)，并對批量地對終端計算機的運行參數(shù)進行遠程修改。?主機信息收集收集終端計算機相關信息，如主機名、IP地址、網(wǎng)絡參數(shù)、帳戶信息、安裝軟件清單、硬件清單、驅動程序清單、服務清單、進程清單、系統(tǒng)日志等。為終端計算機的維護和故障診斷提供參考。?網(wǎng)絡參數(shù)設定設置終端計算機的網(wǎng)絡參數(shù)，包括IP地址、網(wǎng)關、DNS、WINS等。當網(wǎng)絡結構發(fā)生變動時，可以快速重新變更計算機網(wǎng)絡參數(shù)。大大減輕IT管理人員的網(wǎng)絡管理壓力。終端遠程維護LanSecS內網(wǎng)安全管理系統(tǒng)遠程維護作為IT管理人員一項不可缺少的工作，如果沒有良好的技術手段做支撐，僅僅依靠電話、郵件等方式往往無法解決問題。從而加重了IT管理人員的負擔。遠程維護就是依靠技術手段和工具，遠程對終端計算機進行故障診斷、系統(tǒng)修復和日常維護等。?遠程協(xié)助通過遠程協(xié)助，IT管理人員可以響應遠程終端計算機的協(xié)助請求，臨時接管遠程終端計算機，進行本地化操作。例如：開關機、搜索可疑文件、服務/進程查看、系統(tǒng)配置查看、資源使用監(jiān)視等°IT管理人員完成維護操作后，釋放對終端計算機的接管。?預警平臺預警平臺可以為IT管理人員與終端用戶建立一個即時通訊的平臺，通過該平臺，IT管理人員可以接受和回復終端用戶的咨詢，可以得到終端計算機的安全告警，也可以定期向終端用戶發(fā)布安全預警信息和安全管理策略等。方便了IT管理人員與用戶的交流和交互。I/O接口管理LanSecS內網(wǎng)安全管理系統(tǒng)自動登記受控終端的硬件配置（包括CPU、內存、硬盤、顯示卡、網(wǎng)卡等等），當受控終端的硬件發(fā)生變動時能自動向安全管理核心系統(tǒng)發(fā)出報警信息；允許或阻斷用戶對受控終端的各種輸出設備進行訪問，包括USB可移動存儲設備、打印機、DVD/CD-ROM、軟盤、磁帶機、PCMCIA設備、COM/LPT端口、1394設備、紅外設備等；對本地打印機使用情況進行審計；對受控終端的可移動存儲設備的使用情況進行審計；對撥號訪問情況進行審計。軟件安裝審計對受控終端計算機上安裝的軟件進行控制，可以通過預警平臺實施查看，終端計算機的違規(guī)行為，并且可以在安全事件中進行查詢。對于軟件的安裝部署情況，可以通過資產管理進行在線軟件安裝情況檢索。系統(tǒng)部署LanSecS內網(wǎng)安全管理系統(tǒng)能提供多種產品部署方式，可以進行統(tǒng)一的集中管理，也可以進行分級的管理模式。客戶端的部署支持共享方式安裝、網(wǎng)頁點擊下載安裝、域分發(fā)安裝、郵件群發(fā)安裝、客戶端本地安裝等模式。3內網(wǎng)安全管理系統(tǒng)設計概述桌面終端是網(wǎng)絡的基礎，其安全性將直接影響到本地安全、網(wǎng)絡環(huán)境的安全以及網(wǎng)絡應用的安全，桌面終端系統(tǒng)的安全在整體安全中占有重要的地位。在此方案中，我們采用由圣博潤公司自主研發(fā)的“LanSecS內網(wǎng)安全管理系統(tǒng)”產品實現(xiàn)桌面終端的統(tǒng)一安全管理。LanSecS內網(wǎng)安全管理系統(tǒng)產品是圣博潤將在網(wǎng)絡安全和信息安全行業(yè)長達7年的成長過程中研發(fā)的一系列產品集中整合的一個整體安全解決方案產品，其包含以下安全管理模塊，并能根據(jù)用戶需求添加更多的安全管理模塊：安全加固安全審計?安全服務?安全文檔安全網(wǎng)管資產管理3.1產品設計思路LanSecS內網(wǎng)安全管理系統(tǒng)產品，實現(xiàn)各種信息安全功能的一體化，不僅僅是將多個信息安全產品從物理上由多個合并成一個，還包括了其他更多的內涵：?立體的、全方位的網(wǎng)安全解決方案：涵蓋認證、加密、監(jiān)控、審計、管理信息安全需求的各個方面；?統(tǒng)一的權限管理：實現(xiàn)各個子服務器模塊的安全管理，并且確保系統(tǒng)管理員、安全管理員、審計管理員三權分離；?統(tǒng)一的審計平臺：實現(xiàn)用戶在終端的操作行為、用戶的網(wǎng)絡操作行為的集中審計，防止審計信息的篡改，以及快速定位安全事件的責任人和原因；?統(tǒng)一的管理界面：將各個子服務器端管理員頁面的風格統(tǒng)一，方便管理員的操作；?完善的功能整合：各子服務器采用統(tǒng)一的安全操作系統(tǒng)和數(shù)據(jù)庫，客戶端提供統(tǒng)一集成的客戶端；?松散的系統(tǒng)耦合：結合具體需求，系統(tǒng)各組件以及功能子模塊可靈活的組合，支持分布部署；?靈活的系統(tǒng)部署：LanSecS內網(wǎng)安全管理系統(tǒng)服務端系統(tǒng)可快速替換的事務處理器和需要定期做好備份，確保故障發(fā)生可快速修復。3.2產品的設計原則?安全性：系統(tǒng)支持采用PKI數(shù)字證書的身份認證管理；同時，系統(tǒng)能夠基于用戶關鍵行為提供詳盡的審計日志報告，為客戶端管理提供依據(jù)；?緊湊性：通過1臺安全設備以及配套的客戶端軟件即可解決北京市桌面內網(wǎng)安全管理問題；?部署簡易及快速：系統(tǒng)部署方便，對原有網(wǎng)絡架構無需改動；管理員無需太多的專業(yè)知識，即可快速完成部署；?簡單易用：對每一個終端用戶而言，非常的簡單實用，不會帶來麻煩，客戶端可通過安裝程序定制實現(xiàn)網(wǎng)絡配置信息設定，最大化減少客戶端的工作量；?維護方便：在系統(tǒng)故障的時候，管理員能夠快速定位故障，維護方便；3.3產品的功能LanSecS內網(wǎng)安全管理系統(tǒng)的產品功能包括：?認證：網(wǎng)絡接入認證一一〉各種移動存儲設備接入認證；?監(jiān)控網(wǎng)絡非法接入和外聯(lián)監(jiān)控一一〉設備監(jiān)控一一〉文件監(jiān)控一一〉打印監(jiān)控——〉進程服務監(jiān)控一一〉共享監(jiān)控一一〉軟件監(jiān)控；?存儲：文件的本地安全加密存儲一一〉USB存儲設備安全加密存儲一一〉文件網(wǎng)絡加密存儲一一〉文件授權使用；?審計用戶對應用訪問情況的審計一一〉網(wǎng)絡接入情況的審計一一〉移動存儲設備的接入審計一一〉各種監(jiān)控日志的審計?管理用戶管理一一〉資產管理一一〉軟件管理一一〉軟件補丁管理和下發(fā)一一〉分權管理?其他網(wǎng)絡管理一一〉拓撲繪制一一〉流量監(jiān)控一一〉系統(tǒng)報警客戶端消息發(fā)送等等。3.4產品的組成產品按照物理部署來分包括如下三部分：LanSecS客戶端軟件（圣博潤提供）LanSecS控制臺和服務器（圣博潤提供）LanSecS服務器：文件、數(shù)據(jù)庫、日志的統(tǒng)一存儲服務器；注：LanSecS服務器一般由用戶提供，并且按照產品的要求安裝完操作系統(tǒng)（建議Windows2000/2003）和SQL數(shù)據(jù)庫即可°LanSecS服務器的數(shù)量可由用戶數(shù)據(jù)存儲量來定至少1臺。此設備可由圣博潤負責采購，也可由用戶自行采購產品的模塊組成分為四部分：?系統(tǒng)總控中心組件?系統(tǒng)控制臺組件?客戶端代理組件?文件加密存儲組件3.4.1系統(tǒng)部署結構斧理員斧理員圖中LanSecS標注部分就是本技術方案的所要安裝部署的內容。3.4.2產品模塊組成圖1，客戶端模塊組成以服務的形式運行于終端計算機，負責功能模塊管理、策略管理、審計事件報告等基本功能。安全審計、安全服務、安全加固、資產管理以及部分網(wǎng)管功能均以模塊的方式由安全代理加載、維護和管理，安全代理的設計充分考慮了穩(wěn)定性、安全性和兼容性要求。代理服務可防止惡意停止；全面兼容防病毒軟件、防火墻軟件、設計開發(fā)軟件、業(yè)務軟件、辦公軟件；安全代理不受個人防火墻約束的限制；并可提供準確的代理狀態(tài)。安全代理支持Windows2000、XP、2003操作系統(tǒng)。2,總控中心模塊組成2,總控中心模塊組成總控中心由策略中心服務器、審計中心服務器、安全網(wǎng)管服務器、預警平臺服務器、證書/認證服務器以及補丁/軟件分發(fā)服務器組成。這些服務器可分別部署在不同的硬件平臺上，也可部署在同一個硬件平臺上，視內網(wǎng)規(guī)模不同可采用不同的部署方式。?策略中心服務器：安全代理策略管理中心，提供安全管理員安全策略模版的管理、實時策略的管理、策略群發(fā)、策略查詢等功能。?審計中心服務器：接收安全代理發(fā)送的審計事件，并提供安全管理員統(tǒng)計查詢以及手動報表、自動報表的功能。?安全網(wǎng)管服務器：提供網(wǎng)絡拓撲發(fā)現(xiàn)、地址綁定、流量統(tǒng)計、交換機運行狀態(tài)管理、流量控制及報警等功能。?預警平臺服務器：提供網(wǎng)絡管理員和終端用戶實時交互的機制，統(tǒng)一發(fā)布相關安全管理規(guī)范、安全組織體系、安全宣傳資料以及最新安全動態(tài)等信息。?證書/認證服務器：提供系統(tǒng)內部使用證書的自動簽發(fā)、用戶身份認證以及授權的功能。?補丁/軟件分發(fā)服務器：提供補丁/軟件下載策略管理的功能以及補丁/軟件下載服務。?時間服務器：提供內網(wǎng)標準的時間服務，用于內網(wǎng)主機的時間同步。3，系統(tǒng)控制臺模塊組成LanSecS系統(tǒng)管理入口，管理和維護總控中心服務器的運行狀態(tài)；負責總控中心的策略配置、補丁部署、審計查看和預警響應；負責安全代理的運行策略設置。4，身份認證模塊組成用于存儲受控計算機終端用戶以及管理員登錄認證的數(shù)字證書。其中管理員證書用于LanSecS內網(wǎng)安全管理系統(tǒng)的登錄認證，用戶證書用于系統(tǒng)的文件加密功能。3.5產品一體化設計3.5.1統(tǒng)一用戶權限管理LanSecS提供統(tǒng)一的用戶管理模塊，網(wǎng)絡終端計算機權限劃分和移動存儲設備管理各組件可共享統(tǒng)一的用戶信息來為用戶分配使用權限；管理員能夠通過LanSecS提供的用戶管理模塊實現(xiàn)LanSecS各組件的用戶統(tǒng)一注冊、管理，并根據(jù)用戶具體應用需求情況進行不同權限的劃分。3.5.2系統(tǒng)分權管理LanSecS服務器端將各個組件分散的管理員權限管理模塊集中起來，提供了一個集中的權限管理模塊，并且按照權限分離原則，定義多種角色的管理員：?系統(tǒng)管理員：負責生成系統(tǒng)操作員，并對系統(tǒng)操作員的權限進行設置；并且對整個系統(tǒng)的單位、部門進行規(guī)劃；?安全管理員：負責生成安全操作員，并對安全操作員的權限進行設置；?審計管理員：負責生成審計操作員，并對審計操作員進行權限設置；每種角色的管理員權限都互不交叉，管理員在進行業(yè)務操