VRV内网安全管理基本技术白皮书

12一、引言...........................................................................................................................................3二、背景...........................................................................................................................................4三、系统架构...................................................................................................................................63.1产品部署和管理构架.........................................................................................................73.1.1局域网构架..............................................................................................................73.1.2广域网构架..............................................................................................................83.2系列产品统一策略管理中心.............................................................................................93.3系统自身安全设计...........................................................................................................10四、功能模块介绍.........................................................................................................................124.1终端基本管理功能...........................................................................................................124.2IT资产管理功能..............................................................................................................144.3终端桌面管理功能...........................................................................................................154.4终端安全管理功能...........................................................................................................234.5主机运维管理功能...........................................................................................................284.6非法外联管理功能...........................................................................................................324.7补丁分发管理功能...........................................................................................................334.8文件分发管理功能...........................................................................................................394.9安全监控审计功能...........................................................................................................414.10移动存储介质使用管理功能.........................................................................................454.11802.1x网络接入控制管理功能.....................................................................................474.12接入认证网关.................................................................................................................494.13存储介质信息粉碎功能.................................................................................................554.14IntelvPro(AMT)管理功能..........................................................................................564.15报表管理功能.................................................................................................................564.16事件报警管理中心.........................................................................................................584.17安全管理通告平台.........................................................................................................604.18第三方接口管理功能.....................................................................................................65五、系统所需软、硬件配置要求.................................................................................................653一、引言终端桌面安全管理技术的兴起是伴随着网络管理事务密集度的增加，作为网络管理技术的逐步发展的产物而衍生的，它同传统安全防御体系的缺陷相关联，是传统网络安全防范体系的补充，也是未来网络安全防范体系重要的组成部分。因此，终端桌面安全管理技术无论在现在还是未来都应当归入基础体系网络安全产品之列。现代网络安全管理体系的日臻完善，使得对网络终端桌面安全管理的需求强烈凸现出来。正确、全面地认识终端管理产品的发展趋势和技术特点，是IT研发厂商面临的发展抉择，同时也是企、事业IT管理人员和高层决策人员在进行终端桌面安全防护部署时必须考虑的议题。近两年的安全防御调查也表明，政府、企业以及金融证券等单位中超过80%的管理和安全问题来自终端，计算机终端广泛涉及每个用户，由于其分散、不被重视、安全手段缺乏的特点，已使得终端安全成为信息安全体系的薄弱环节。因此，网络安全呈现出了新的发展趋势，对于各政府企业网络来说，安全战场已经逐步由核心与主干的防护，转向网络内部的每一个终端。4二、背景提起网络安全，人们自然就会想到网络边界安全，但实际情况是网络的大部分安全风险均来自于内部。常规安全防御理念往往局限在网关级别、网络边界（防火墙、IDS、漏洞扫描）等方面，重要的安全设施大致集中于机房或网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。相反，来自网络内部计算机终端的安全威胁却是众多安全管理人员所普遍面临的棘手问题。自2003年来，从相继爆发的SQL蠕虫、“冲击波”、“震荡波”、“熊猫烧香”等病毒，到在各地网络中频繁发生的计算机文件泄密、口令泄漏、硬件资产丢失、服务器系统瘫痪等诸多终端安全事件，让政府机关和企业单位的网络管理人员头痛不已。总结起来，政府机关和企业单位的内部网络管理大致面临着以下一些常见问题：如何发现终端设备的系统漏洞并自动分发补丁;如何有效解决移动存储介质使用管理问题;如何有效解决终端随意接入网络问题;如何防止U盘造成的病毒传播和信息泄漏;如何防范内网设备非法外联;如何管理终端资产，保障网络设备正常运行;如何在全网制订统一的安全策略;如何及时发现网络中占用带宽最大的终端;如何方便地进行远程点对点维护;如何防范内部涉密重要信息的泄露;如何对原有终端应用软件进行统一监控、管理;如何快速有效地定位网络中病毒、蠕虫、黑客的引入点，及时、准确地切断安全事件发生点和网络;如何构架功能强大的统一网络安全报警处置平台，进行安全事件响应和5事件查询，全面管理网络资源。……这些终端安全隐患随时随地都可能威胁到用户网络的正常运行。针对如上系列问题北信源提供领先业界的终端安全管理产品及应用解决方案。6三、系统架构网络终端安全是一个综合的系统问题，涉及管理计算机本身、计算机应用、计算机操作者、计算机使用单位管理规范等多个方面。北信源通过对近年来国内外终端安全管理技术和发展趋势的研究，将政府和企业内部网络终端安全管理概括地从终端状态、行为、事件三个方面来进行防御，管理手段大致包括如下内容：系列产品组成图北信源终端安全管理产品采用C/S与B/S混合模式设计，支持分布式部署，并具有模块化软件定制、支持标准API、无缝功能扩展与升级等优点。产品针对政府、金融证券、电信、能源以及各大中型企业等网络专门研制，已通过国家保密局、公安部、国家信息安全评测中心、解放军信息安全评测中心、质量管理体系认证等多项权威认证。经业界权威机构CCID统计北信源终端安全管理产品在中国终端安全管理及审计市场占有率持续保持第一。北信源终端安全管理产品遵循网络防护和端点防护并重理念，对网络安全管7理人员在网络管理、终端管理过程中所面临的种种问题提供解决方案，实现内部网络终端的可控管理，并能够支持多级级联广域网构架，达到最佳的管理效果。北信源终端安全管理产品强化了对网络计算机终端状态、行为以及事件