搜索
中软终端“一体化”安全解决方案2019/12/17内网安全管理终结者构筑互信网络、打造安全世界•中国软件与技术服务股份有限公司•通用产品研发中心•信息安全实验室一、公司概况及需求分析二、解决方案三、产品概述四、系统功能五、统计分析六、应急响应七、知识库八、系统部署提纲一、公司概况及需求分析公司概况中国软件与技术服务股份有限公司(简称:中国软件、中软)是中国电子信息产业集团公司(简称:中国电子,CEC)控股的国家重要软件骨干企业,是国内极具综合竞争优势的高科技软件上市企业。其前身是成立于1990年的中国计算机软件与技术服务总公司。注册资金2.26亿,总资产28亿元,员工近10000人总部设在北京,在国内其他主要省市设有分支机构,并在美国、日本、香港设有分公司。主营业务:软件与信息产品开发、应用软件开发与服务、软件与服务外包;产品范围:包括系统软件、平台软件、安全软件、政府信息化软件和企业信息化软件五大系列。上海A股上市公司,股票代码:600536(亿元)406812182003200420052006中国软件资产规模增长图(年)(亿元)061218242003200420052006中软系统资产规模增长图(年)(亿元)10357152003200420052006中国软件经营业绩增长图(年)91113(亿元)204812182003200420052006中软系统经营业绩增长图(年)原国家计委批准三大软件基地中的北方软件基地国家火炬计划北京软件产业基地中的中软软件园国家863成果产业化基地,国家规划布局内重点软件企业首批通过了全国“软件企业”认证通过了科技部和中科院组织的“双高认证”首批通过了国家计算机信息系统集成一级资质认证通过了涉及国家秘密的计算机信息系统集成资质认证通过了ISO9001质量体系认证及CMM5认证排名“2006中国软件产业最大规模前100家企业”第16位品牌优势安全产品科研力量雄厚产学研相结合的安全组织模式:信息安全事业部安全产品产业化市场推广安全系统集成信息安全博士后科研工作站教学/科研/基础研究信息安全实验室安全产品研究开发安全产品测试战略合作伙伴微软----开放win2000以上所有源代码中软昌平软件研发基地研发资质通过首批软件开发、系统集成和培训服务的ISO9001质量体系认证通过美国贝尔试验室关于软件开发成熟度CMMI5级评估产品资质中软安全实验室:国内最早内网安全理念的提出者国内最早内网安全产品推出者国内最早的信息安全博士后科研工作站一、需求概述[美国]结论:在全部的安全事件中,信息外泄这样的内部安全威胁占85%信息来源:CSI/FBI2005ComputerCrime&SecuritySurvey计算机安全损失85%020%40%60%80%100%黑客攻击内部安全威胁42%未授权服务16%内部未授权存取14%12%专利信息窃取5%内部人员财务欺骗2006年计算机安全事件2006年美国CSI/FBI调查情况…根据美国CSI/FBIComputerCrimeandSecuritySurvey,在计算机安全事件中信息泄露造成的经济损失连续5年排在第一位,同时中国的CNCERT也作了相关调查,结论基本一致。2004년매출및인원계획(chinasoft)安全事件损失程度1,000500外部安全事件内部安全事件400300防范手1,500关注程度防范手段调查表明内部信息泄漏灾难性不可挽回不完善成熟综合的安全系统有限可挽回较低较高黑客攻击目前多数企业的解决方案?有没有更好更科学的方法呢被动的安全方案禁止存有重要数据的电脑上网禁止使用移动存储设备(如U盘)拆除光驱、软驱贴封条,定期检查……人为控制,监督管理的安全管理方式人工填写日志相对松散的管理机制……风险和问题存在安全隐患--依靠员工的责任心,无法自觉杜绝失泄密,工作效率下降--本方案带来使用上的不便,……企业面临的问题如何保证关键数据不被木马、摆渡病毒窃取。如何发现终端设备的系统漏洞并自动分发补丁。如何防范移动电脑和存储设备随意接入内网。如何防范内网设备非法外联。如何管理终端资产,保障网络设备正常运行。如何在全网制订统一的安全策略。如何及时发现网络中占用带宽最大的终端。如何排查异常终端的运行。如何防范内部涉密重要信息的泄露。如何构架功能强大的统一网络安全报警处置平台,进行安全事件响应和事件查询,全面管理网络资源。业务目标内网终端安全一体化、平台化的需求越来越强烈,迫切需要“一体化”(“大、一、统”)的安全解决方案,该产品的主要目标:一、整合各种内网终端技术;二、清理桌面各种冗余的安全组件;三、统一内网终端安全管理;四、提供安全、高效、可信的终端运行平台。Firewall:阻止外部攻击的安全系统(象一扇门)IDS:阻止外部智能攻击(象一台安全摄象机)病毒防护:计算机病毒疫苗WaterBox:站在用户身边的保密员……InternetRouterIDS(入侵检测系统)PrintingPaperCD-R/RWE-Mail/Web-Mail/Web-HDDHDDtheftFD/ZIP/MOJAZZ/USB/1394Serial/ParallelFlashDevice/P2P/FTP安全解决方案内部信息安全漏洞防止内部信息泄漏病毒防护Firewall(防火墙)Waterbox(防水墙)二、解决方案一体化平台通过“安全管理中心”、“应急响应中心”、“统计分析中心”推动“防护、检测、响应”螺旋上升,达到持续改进的目的。安全防护模型--PDR行业标准国家法律企业规划技术方向支撑体系根据国家关于涉密系统安全管理的相关标准,综合平衡考虑系统安全要求、系统所面临安全风险和实施安全保护措施的成本,进行安全保护法规依据-保密规范网络管理介质管理笔记本管理密级管理积极防御综合防范加强领导三、产品介绍终端安全管理系统有三部分组成终端安全管理里系统客户端UNITIFIEDDESKTOPMANAGMENT安装在个人桌面系统的代理实现客户端安全策略合规性管理站在用户身边的安全管理员管理员的系统管理工具通过安全认证建立与防水墙服务器的连接实现策略的制定下发以及数据的审计管理终端安全管理里系统服务器UNITIFIEDDESKTOPMANAGMENT专业的数据服务器,通过级联实现大规模布控通过安全认证建立与多个客户端系统的连接实现客户端策略的配置下发、日志的上传审计平台组成终端安全管理里系统控制台UNITIFIEDDESKTOPMANAGMENT四、系统功能功能概述覆盖了终端安全的整个生命周期终端用户管理用户行为管理终端准入(健康检查)终端策略管理终端的数据管理补丁管理软件分发个人防火墙远程维护资产管理性能监控……终端安全管理网络进程访问控制终端准入(健康性检查)用户登录身份认证病毒软件监测系统补丁管理安全策略管理安全操作管理LINK/ACTIVITYDMZ2LINK/ACTIVITYUNTRUST1LINK/ACTIVITYTRUST3EMPTY4CONSOLEMODEM10/100MGTHA-1HA-2TOP=LINK/ACTIVITYBOTTOM=10/Mbps100PCMCIA1324SHAPESESSIONFWTEMPPWR2ALARMSTATUSPCMCIAVPNHAFANPWR1终端入网健康检查支持VPN、局域网、无线网不需要更换现有的交换机可以方便自定义策略支持802.1x,不需要增添任何软件用户身份认证1、登录系统身份认证,采用与格尔USBKEY相结合的认证方式,实现双因子认证提高系统登录的安全性。2、登录帐户权限监视,统一配置登录帐户的用户权限,有效地管理Windows用户。登录系统身份认证登录帐户权限监视安全策略管理统一配置Windows安全策略,监测策略执行情况,当监测到不符合安全策略要求的终端实时报警。帐户密码策略监视帐户锁定策略监视审核策略监视屏保策略监视共享策略监视病毒软件监测对终端安装的病毒软件进行监测,及时报告软件的安装、升级、病毒库版本等相关信息。一、病毒软件监测,支持自定义病毒软件特征。二、病毒软件的安装统计,病毒库版本统计。序号计算机名病毒软件名称安装时间病毒库版本备注1SECPATRON瑞星200520050201060801No2COMPUTORNON/AN/ANo3WATERBOX毒霸200620050201060910No4PROGRAMTEAMNorton9.020050201060321No5ASSESSMacfee20050201061102No小于1G大于3G其它系统补丁管理•降低带宽消耗软件包就近下载采用“扇出”技术进行软件包分发软件包压缩传输支持断点续传•安全保证终端接入认证软件包下载前进行有效身份认证软件包数据签名终端和管理点之间的通信信息加密和签名OFFICE终端用户Window2000终端用户windows2003终端用户WindowXP终端用户补丁状况统计补丁安装情况扫描统计报表自定义报表网络进程控制对主机的网络服务和网络连接进行管理,控制非授权或禁止的网络服务和网络连接,实现黑客和病毒“进不来、出不去”。一、禁止未授权网络进程访问网络,黑、白名单控制方式有:1、禁止所有2、开放所有3、禁止黑名单4、开放白名单二、网络访问进程的端口绑定,包括本地监听端口和远程连接端口。三、动态监测网络连接状况网络进程连出绑定端口黑白名单检测进程名黑白名单检测动态监测网络并记录日志网络监听进程绑定端口黑白名单检测进程名黑白名单检测动态监测网络并记录日志安全操作管理能够自动清理系统在处理敏感信息所遗留的临时文件,如:Word等通用办公软件所产生的临时文件。能够对指定文件或文件夹进行安全擦写,安全擦写遍数可自定义。处理敏感信息的临时文件文件安全擦写涉密文件临时文件临时文件上网临时文件终端运维管理资产管理远程帮助运行监控软件分发远程管理运行维护管理软件分发通过程序化的软件自动分发方式,简化企业大规模软件部署的复杂度,缩短软件部署时间。资产管理建立终端主机上的软硬件资产的运行基线;根据“软硬件黑白名单”,发现非授权的软硬件时告警;支持自定义的硬件黑名单配置,发现黑名单硬件能够实时阻止黑名单硬件的启动,“软硬件黑白名单”可配置。形成企业资产信息报表;运行监控及时报告客户端的运行情况和资源使用情况,为管理员的远程监控提供帮助.系统资源占用情况监控,包括CPU、MEM、硬盘占用情况等,超出门限值告警;监测网络流量情况,包括静态获取终端主机网络实时流量;实时监控终端主机网络流量,当前终端主机网络实时流量超过了报警阀值设定的值,就向服务器报警;网络共享文件夹监控,静态获取终端主机共享信息;管理员能够远程取消客户端的共享文件夹;对共享文件夹的增加、删除等变化进行监控。监控计算机名称、IP地址、系统服务、用户和组的变化情况;获取系统日志,跟踪系统运行状况。远程管理通过远程管理的方式对特定的系统资源进行控制,维护远程计算机:系统信息,硬件、驱动信息,系统进程、CPU、内存状态,网络连接,用户和组,服务信息,程序窗口,数据共享,安装程序,硬盘信息,系统日志,实时截屏,会话信息,鼠标键盘监控。Internet关闭端口停止服务查杀进程关闭共享管理员求助计算机远程帮助1、服务器-客户端远程消息控制,通过控制台向客户端发送消息通告,接收消息的客户端可以是一个人、几个人或一个群体。支持客户端通过消息传递方式实现客户端和服务器一对一的消息交流.2、支持管理员对远端主机进行远程控制,实现远程技术支持和问题解决帮助。管理员实现远程控制需要得到主机本地用户的许可确认,管理员能够通过NetMeeting方式连接终端主机,进行远程故障诊断与恢复请升级病毒库192.168.0.11远程帮助安全通道211.157.248.123远程协助管理员故障终端用户行为管理网络控制网络层控制,IP/TCP/UDP/ICMP以及PORT应