XX单位内网安全管理系统解决方案北京北信源自动化技术有限公司2008年04月2目录目录...............................................................................................................................2一、系统需求分析.......................................................................................................31.1网络管理中面临的问题...................................................................................31.1.1终端安全管理问题.................................................................................31.1.2IP地址管理问题....................................................................................41.1.3非法外联问题.........................................................................................41.1.4IT资产管理问题....................................................................................4二、内网安全解决方案...............................................................................................52.1系统部署和管理构架......................................................................................52.2系统部署时的硬件配置..................................................................................62.3终端节点加固..................................................................................................72.3.1可统一配置的主机防火墙(网管控制包过滤)..............................72.3.2弱口令监控..........................................................................................82.3.3用户权限变化监控..............................................................................82.3.4关键进程加固......................................................................................92.3.5注册表加固..........................................................................................92.4终端全面管理.................................................................................................102.4.1IP地址管理.......................................................................................102.4.2IP、MAC地址绑定.............................................................................122.4.3禁止修改网关、禁用冗余网卡.........................................................122.4.4IT资产管理.......................................................................................132.4.5终端桌面管理.....................................................................................172.4.6终端安全管理.....................................................................................252.4.7网络主机运维监控.............................................................................272.4.8非法外联行为监控.............................................................................282.4.9普通文件分发.....................................................................................28三、预计可达到的效果.............................................................................................293一、系统需求分析网络管理中面临的问题随着信息技术的发展,网络安全问题已不再只是外部攻击和简单的病毒防护。当企业花费大量资金和精力构建起庞大的网络架构和安全防护体系时,殊不知,威胁企业生存和发展的是来自内部网络的安全隐患,而且其危害远大于一次黑客攻击或一次病毒骚扰。据FBI和CSI曾对484家公司进行的网络安全调查结果显示:超过85%的安全威胁来自公司内部,由于内部人员泄密所导致的资产损失高达6000多万美元,它是黑客所造成损失的16倍、病毒所造成损失的12倍。XX单位已经建立了比较完善的网络管理行政制度,但是以往在网络管理工作因为缺少相对应的技术手段,网络管理制度无法得以落实,致使管理员的日常维护工作繁琐,同时还有信息泄密的风险。一个成熟的网络安全管理理念应该是全方面的主动防御,而不是事后责任追查。网管人员在多年的管理中总结出以下有待解决的需求:1.1终端安全管理问题计算机病毒是目前对网络及计算机安全最大的威胁,目前XX单位内部虽然已经统一配置安装了杀毒软件,能够对病毒进行一定的防范,但是仍存在终端升级不及时,版本不统一,管理不规则等问题。在得不到有效的监控情况下,内网终端的密码经常被改动,其安全性(包括密码长度、弱口令等方面)得不到应有的保障,而且终端的注册表也经常被改动,不能够对其进行及时有效的发现与控制,这些都对内网的安全造成了威胁。XX单位内网终端IE安全性令人担忧,有些终端已经安装了不安全的插件和恶意软件,这是一个亟需解决的问题。网络的稳定性、可靠性和可用性是保障企业业务顺利进行的基础。然而,目前大部分企业没有合理利用网络资源的策略和机制,使得管理员无法控制员工的4上网行为,不仅浪费了大量的网络资源,甚至还可以导致网络瘫痪。比如,有很多员工在上班时间利用BT下载音乐、电影等。一些单位的内部网络经常会出现流量过大的问题,造成网络的不畅甚至拥塞,亟需对网络流量和上网行为进行监控和管理。办公环境的计算机不应安装使用与办公无关的软件,当发现有非法使用违规软件是应立即禁止,还需要对软件的安装过程及软件执行所启动的进程进行控制,对于其他不安全的进程以及服务也需要加以监控。1.2IP地址管理问题以往对网络内IP地址分配和管理都需要人工来进行操作,并且在IP、MAC绑定上需要网管型交换机来完成,前期网络管理员的工作量很大,在有新的设备入网时网络管理员需要再次对交换机进行操作,如果操作不当可能造成一个资源子网不能正常工作,影响业务系统正常高效工作;当没有进行IP、MAC绑定时会出现私自盗用他人IP地址的行为,造成合法的IP使用人不能正常入网工作,IP盗用成功后,如果有违规的网络行为时也不便于进行事件责任定位。所以,XX单位需要解决如何高效地管理IP地址的问题。1.3非法外联问题在现代信息社会中,企业之间竞争激烈,保密工作是一项非常重要的工作。内部人员非法连接外网会增大病毒渗入和黑客攻击的风险,更为严重的会导致内部资料的泄露,给XX单位造成无法逆转的严重损失。为了防范这些隐患,防止内部人员未经允许非法连接外网这个功能需求就突显出其重要性来。1.4IT资产管理问题对于XX单位的网络管理而言,软硬件资产的管理将是非常重要的一个组成部分。如果不能全面的掌握终端计算机的软硬件资产,那么对于终端上非法安装5的软件以及终端硬件的变化就无从知晓,这就可能造成单位硬件资产的流失,对网络的全面管理更无从谈起。二、内网安全解决方案2.1系统部署和管理构架VRV内网安全管理系统管理采用B/S构架,管理员可在网络的任何终端通过登录内网管理服务器的管理页面进行管理和各种信息查询;所有的网络终端需要安装客户端程序以对其进行监控和管理。具体的部署和管理构架如下(图2.1.1):图2.1.1系统部署和管理构架网络通过内网安全管理服务器对全网进行网络客户端的各种策略和配置补丁以及文件的下发,流量监控、违规联网监控、入网设备联网状况监控、终端软硬件管理、系统文件分发、消息分发等工作,并对客户端进行各种行为和状态的监控。网络终端上的客户端程序可将各种网络终端的状态信息、日志信息和报警6信息上报,可通过管理节点对异常计算机进行断网等处理,也可通过系统远程对客户端进行故障诊断和维护。本系统可以进行无限制的多级级联部署(如图2.1.2所示),各级网络独立安装相应的管理软件。下级管理节点统一汇总本级的报警信息和统计信息,统一上报管理节点;上级管理节点的管理策略、命令。系统将来可根据实际需要在客户端数量、管理层次和功能扩展上进行无缝平滑扩展。图2.1.2多级级联管理在同一级管理节点,可根据实际网络拓扑情况,安装多块网卡,满足对同级不同网段的管理。2.2系统部署时的硬件配置管理控制台:管理服务器1台:硬件需求:CPU至强2.8或以上,2*1G内存硬盘146GSCSI或以上软件需求:操作系统Win2000Server或Win2003Server数据库系统SQLServer200072.3终端节点加固2.3.1可统一配置的主机防火墙(网管控制包过滤)蠕虫病毒均是通过一定的端口进行传播和发包,如果网管可以统一控制网络中计算机的端口,关闭病毒使用的端口,进行端口加固,就可以有效阻止这些病毒的传播和破坏。系统具备可由网管根据需要统一配置的客户端主机防火墙,可按照策略控制客户端的特定端口的连接,包括禁用(开启)指定的端口,禁止Ping入(出),设定IP区域访问控制,进行包过滤控制等,也可禁止使用代理服务器,系统不管如何设置包过滤规则,均不会造成维系管理服务器对客户机管理的通信无法进行。当某些客户端临时