绿盟内网安全管理系统产品白皮书

绿盟终端管理系统产品白皮书©2011绿盟科技-II-■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，并受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。■商标信息绿盟科技、NSFOCUS、EPS是绿盟科技的商标。-III-目录一.前言......................................................................................................................................................1二.终端管理面临的挑战...........................................................................................................................1三.终端管理的必要性...............................................................................................................................2四.终端管理的基本要求...........................................................................................................................3五.绿盟终端管理系统...............................................................................................................................45.1体系架构...........................................................................................................................................45.2产品功能...........................................................................................................................................65.2.1终端准入控制...........................................................................................................................75.2.2终端数据保护...........................................................................................................................85.2.3主机审计.................................................................................................................................105.2.4终端安全管理.........................................................................................................................105.2.5桌面管理.................................................................................................................................105.2.6综合管理.................................................................................................................................115.3部署方式.........................................................................................................................................125.4系统特性.........................................................................................................................................13-IV-插图索引图5.1NSFOCUSEPS系统架构图...............................................................................................................5图5.2NSFOCUSEPS管理模型图...............................................................................................................6图5.3NSFOCUSEPS移动存储设备管理架构图.......................................................................................9图5.4单独部署拓扑图...........................................................................................................................12图5.5分级部署拓扑图...........................................................................................................................13-1-密级：完全公开©2011绿盟科技绿盟终端管理系统产品白皮书一.前言随着网络技术应用的不断深入，信息安全发展也进入到一个全新的时代。传统的安全解决方案把重点放在网络边界，往往忽略了来自网络内部的安全威胁。特别是在政府机关、保密部门、科研机构、银行与证券、企事业机构等单位的办公网、内部业务网、涉密网中的终端设备，安全管理较为薄弱，存在较大安全隐患。现有的安全措施没有发挥应有的作用，安全管理人员无法了解每个终端的安全状况，虽疲于奔命仍无法有效解决各种终端安全与管理问题。尽管有些单位制订了严格的安全管理制度，但是由于缺乏有效的技术手段，安全管理制度形同虚设，机密信息泄露、黑客攻击、蠕虫病毒传播等安全事件频繁发生，对内网安全提出了新的挑战。二.终端管理面临的挑战随着各行各业信息化建设的推进，内部泄密已经成为威胁企业信息安全的最大隐患。FBI和CSI对全球484家公司的信息安全作了调查，结果显示超过85%的安全威胁来自于企业内部，内网安全面临前所未有的挑战。我们将内部网络面临的挑战归纳为以下几个方面：移动电脑随意接入、边界安全岌岌可危员工或临时的外来人员所使用的笔记本电脑、掌上电脑等移动设备由于经常接入各种网络环境使用，很有可能已经成为携带有病毒或木马的感染源，当其未经审核直接接入企业内部网络时，会对内部网络的安全构成巨大威胁。补丁升级与病毒库更新不及时、蠕虫病毒利用漏洞传播危害大由于网络内各种平台的主机和设备存在安全漏洞却没有及时安装最新的安全补丁，软件配置存在隐患，杀毒软件的病毒特征库更新滞后于新病毒的出现，都给恶意入侵者提供了可乘之机，使病毒和蠕虫的泛滥成为可能。大规模的蠕虫爆发可能导致企业内部网络全部陷于瘫痪，业务无法正常进行。缺乏有效的外设管理手段，数据泄密、病毒传播无法控制随着U盘、光盘、无线、蓝牙等外设的广泛使用，外部设备已经成为数据交换的主要途径，与此同时也成为近几年数据泄密、病毒感染的主要途径。已经感染病毒、木马的U盘随-2-密级：完全公开©2011绿盟科技绿盟终端管理系统产品白皮书意插入终端、内部存有敏感数据的移动介质毫无保护地拿到外部使用，都给内部安全管理带来极大的挑战，单纯地封贴端口、制度要求均无法同时满足安全性与业务便利性的要求。违规外联难以控制、信息泄露事件频繁发生员工通过3G上网卡、电话线拨号、VPN拨号、GPRS无线拨号等方式绕过防火墙的监控直接连接外网，向外部敞开了大门，使得企业内部的IT资源暴露在外部攻击者面前，也为病毒、木马攻击内网提供了理想的通道。在终端用户擅自拨号进行互联网访问、随意浏览网站、随意下载网站软件的过程中，病毒或木马乘虚而入，攻入内网，严重威胁到内网的稳定运行和内网中内部数据的安全。更有甚者，借助终端提供的多种外联通道，越权进行非法网络外联，随意外发内部涉密资料，给企业带来不可估量的经济损失但又无法取证。软硬件设备滥用、资产安全无法保障终端资产（CPU、内存、硬盘等）被随意更换，缺乏有效的技术跟踪手段；员工可以随时更改办公终端的IP地址等配置；安装并运行与工作无关甚至严重影响网络运行的软件，这些操作不仅难于统一管理，而且一旦出现攻击行为或者安全事故，责任定位非常困难。桌面应用缺乏监控，工作效率无法提高上网聊天、网络游戏等行为严重影响工作效率，病毒利用QQ、MSN、ICQ等即时通讯工具进行传播，已经成为一种趋势；使用BitTorrent、电驴等工具疯狂下载电影、游戏、软件等大型文件，关键业务应用系统的带宽无法保证。管理制度缺乏技术依据，安全策略无法有效落实尽管安全管理制度早已制定，但很大程度上只能取决于工作人员的责任心，无法有效地杜绝安全问题；通过原始方式如贴封条、定期检查等相对松散的管理机制，已经无法有效落实管理制度。三.终端管理的必要性随着办公终端、业务终端数量的不断增加，终端引入的安全问题日益严重，仅凭传统的安全解决方案已经无法全面、系统化地降低安全风险，无法彻底规避由终端引入的各类安全事件。因此，终端管理是当前企业进行信息化安全建设时不可或缺的一个重要组成部分。相对于传统的边界架设防火墙、终端安装反病毒软件的安全解决方案，终端管理能够从根本上解决以下难题：加强终端管控-3-密级：完全公开©2011绿盟科技绿盟终端管理系统产品白皮书终端管控是企业信息化安全建设的基础和前提，只有从微观上对每台终端进行细粒度的管理和控制，才有可能做好宏观上整体的信息安全。试图接入内部网络的终端是否安全、终端能否使用某一外部设备、终端上能否运行某一应用程序、终端用户能否修改终端系统的相关配置等，这些问题均能在终端管控这一环节得到解决。防御数据泄露近几年数据泄密的安全事件频繁发生，给政府部门、企事业单位带来不可估量的经济损失和严重的声誉危机，是目前信息安全建设面临的一个新难题。从数据泄露的途径来看，可以分为两种途径，网络泄密和物理外设泄密。网络泄密的堵和防在终端侧、网络侧都能够实现，区别在于粒度和