终端安全解决方案

基于“金财工程应用支撑平台”构建财政一体化信息系统终端安全建设项目实施方案长沙艾灵信息技术有限公司2011年11月基于“金财工程应用支撑平台”构建财政一体化信息系统——终端安全建设项目实施方案2目录_________________________________________________________________________________________________________________________________________________________1终端安全管理概述..................................................11.1终端安全概述................................................12风险与需求分析....................................................22.1网络资源的非授权使用或者授权滥用............................22.2因安全管理不善，引发的IT资源不可用或者资源损失.............22.3非法接入带来的网络安全威胁..................................32.4移动介质和外设端口的管理....................................32.5终端行为控制与上网行为监控..................................32.6客户机自身存在安全缺陷，导致网络内部安全隐患................43终端安全管理需求..................................................44终端安全管理发展趋势..............................................65终端安全产品选型..................................................75.1选型原则....................................................75.2系统功能介绍................................................95.2.1桌面安全管理..........................................95.2.2存储、外设管理.......................................115.2.3安全准入管理.........................................125.2.4非法外联监控.........................................135.2.5补丁分发管理.........................................135.3系统组成...................................................156系统部署.........................................................156.1部署位置...................................................156.2部署方式...................................................157系统功效.........................................................167.1接入控制...................................................167.2存储、外设管理.............................................177.3非法外联...................................................177.4终端使用行为...............................................177.5补丁分发...................................................188成功案例.........................................................188.1典型应用...................................................18基于“金财工程应用支撑平台”构建财政一体化信息系统——终端安全建设项目实施方案11终端安全管理概述终端安全，分为桌面安全、内网安全、准入控制，随着安全技术和攻击技术的发展，越来越被网络管理者所重视。方案从桌面安全的必要性出发，论述终端安全的建设方法，并给出建议的产品选型和系统建设方案，为财政局安全建设提供完善的解决方案。1.1终端安全概述信息技术发展到今天，人们的工作和生活已经越来越依赖于计算机和网络；然而，自网络诞生的那一天起，它就存在着一个重大隐患——安全问题，使人们在一边享受着网络所带来的便捷，一边又不得不承受着网络安全问题带来的隐痛。2006年公安部公共信息网络安全监察局对7072家政府、金融证券、教育科研、电信、能源交通、国防和商贸企业等部门和行业的重要信息网络、信息系统使用单位进行了调查，其中发生网络安全事件的比例占58%。从这些数据我们看到，网络安全已成为阻碍网络应用的关键所在，要使企事业的IT资源能够得到有效的利用，首先需要解决的是基本的网络安全威胁。值得欣喜的是，网络安全得到越来越多人的重视，已经有许多企业在网络边界部署了防火墙，网络中安装了杀病毒软件，部署了入侵检测、身份认证、漏洞扫描等系统来防止外界威胁。然而，这些安全措施并没有对内网，尤其是没有对各个计算机终端进行有效监控，从而无法避免内部IT资源滥用、内部网络信息泄露、内部员工的故意攻击等问题，更不能对各种因内部因素产生的网络安全问题进行有效的预防、监控和审计。事实上，堡垒最容易从内部攻破！目前，比较流行或者说应用比较广泛的一些网络安全系统主要有：防火墙、杀病毒、入侵检测、身份认证、漏洞扫描等等，但这些网络安全系统基本都是专门针对某一类型网络安全威胁的工具，主要定位在防范来自外部网络的安全威胁，并不能够解决大部分内部网络安全问题：防火墙关注的是边界安全，对于内部的各种非法滥用和攻击行为无能为力；杀病毒的定位更为清晰和专业，就是针对病毒等恶意代码的攻击，而不能管理内部网络行为和设备的应用等等。他们都不是专业的内网安全管理工具，不能解决综合性的、与网络使用者的行为密切相关的、与管理措施密切相关的、尤其关注内部泄密和网络效率的这样一款工具。我们都知道，进行网络安全体系建设，要综合考虑、注重实效，在我们考虑防火墙、杀病毒、入侵检测，甚至身份认证等系统来解决有关外部黑客入侵、病毒困扰时，也要同时考虑来自内部网络的可信环境下的非授权网络行为和授权滥用行为，因为这些才是网络安全面临的最大威胁，也是网络安全的最大挑战。最理想的状态是，我们能够有效的分析各内部网络环境下比较具体和重要的网络安全威胁，并组织相应的技术、产品以组合方案的方式，统一解决；既考虑到投入成本与效益之比，又能最大程度上避免“木桶原理”的安全诅咒。基于“金财工程应用支撑平台”构建财政一体化信息系统——终端安全建设项目实施方案22风险与需求分析2.1网络资源的非授权使用或者授权滥用大部分单位都有管理制度来规范网络资源的使用，详细规定了某人或某机器在什么时间、什么地点做什么类型的事情。也就是说，区分了授权和非授权操作。但事实上实际情况往往不是这么简单。众多内网用户，会探测、尝试进入非授权的领域。例如某公司规定程序员在上班期间不许上网，但员工却能想出了很多办法，实现在上班期间也能上网；还比如，某员工无权访问单位的业务数据库，他通过攻击、欺骗等等手段，获得了访问数据库的机会；至于网络资源滥用的实例就不胜枚举了：有权上网的员工，没有利用互联网去开展业务，而是在下载电影、玩游戏等等，非工作需要拷贝、修改公司的关键数据等等。大部分单位都想通过相应的制度来控制这些情况，然而实际效果却并不理想。非授权使用或授权滥用依旧是我们最头疼的。2.2因安全管理不善，引发的IT资源不可用或者资源损失这里的管理不善，主要是指没有一套科学的内部网络资源使用管理制度，或者制度执行不力。比如，我们规定在某一些工作计算机上，不能安装运行某些软件，可是还是有人安装了；对内部网络的IP/MAC地址，做了统一的部署，可是还是有人任意的修改；任意的将非本网络的设备接入内部网络；任意添加或删除各种硬件设备、修改网络属性等等，这些行为都应该得到彻底的规范。错误!未找到引用源。信息网络中计算机数量众多，型号多样，各种计算机造成配置的多样性，对统一管理造成很大负担。靠手工方式无法对上万台计算机进行有效管理。疏于管理可能造成：用户自行修改硬件配置，包括更改CPU、内存、安装未经授权的硬件设备等；用户自行修改软件配置，包括操作系统、应用系统、私自安装软件等；用户自行修改网络配置，包括修改IP地址、掩码等这些未经授权的改动轻则造成系统效率降低、挤占正常应用，严重的会造成教育应用系统的正常运行，更为甚者，修改IP地址可能对网内其他计算机造成威胁。由此，分析出以下需求：收集终端计算机资产信息，包括CPU、内存、网卡等硬件信息，以及操作系统、补丁版本、安装程序等软件信息监控终端计算机资产变更情况，一旦与系统设置的基线不相符，即向网络管理员报警，并通过桌面管理系统其他模块对非法计算机进行网络阻断，阻止其接入网络，以免对网内其他计算机造成危害基于“金财工程应用支撑平台”构建财政一体化信息系统——终端安全建设项目实施方案3监控包括IP地址在内网络设置，保证终端计算机的IP地址等网络配置符合既定的安全策略。一旦用户自行修改立即阻止，将IP地址等网络配置恢复为原有配置，并及时向网络管理员报警。2.3非法接入带来的网络安全威胁错误!未找到引用源。计算机众多，很多计算机没有及时及时安装系统关键补丁、防病毒系统等关键安全保障系统，存在极大安全隐患，更有一些用户私自进行一些非法的操作或设置，使计算机处于非常危险的状态，对这些计算机，应有一套自动的机制，在其准备接入网络的时候进行阻断，防止其接入网络、对网络内其他计算机造成损害。阻断管理还可以帮助管理员对病毒暴发等事件的处理提供帮助，可以快速定位事故源头，及时解决问题。完善的接入管理，可以对笔记本电脑这类移动办公用户进行很好的控制，防止笔记本电脑在不同网络环境中的使用，防止将外网等低安全区域内的危害带到内网。2.4移动介质和外设端口的管理错误!未找到引用源。情况复杂，用户情况参差不齐，U盘等移动介质可以在不同计算机之间进行数据传递，而同时会将病毒、木马等安全隐患带入网络中，并可能造成数据失密等安全性缺失。因此，需要对U盘等移动介质进行管理，使其按照既定的安全策略进行访问，从而避免通过U盘等移动介质进行非法操作。另外，光驱等外设和网络端口同样存在访问控制的需求，否则，对外设和端口的滥用可能导致系统失密甚至崩溃。因此，同样需要对外设和端口进行访问控制，按既定安全策略进行访问，防止越权的不安全情况发生。对网络端口的管理还可以对网络异常流量进行管理和控制，对一些异常的大网络流量的计算机，可以向管理中心报警，并根据安全策略通过阻断其接入网络的方法防止其对网络产生危害。2.5终端行为控制与上网行为监控互联网的快速发展极大地方便了人们对信息的访问需要，但同时互联网上存在有大量不良信息。而且，滥用外网可能挤占网络带宽，降低内网正常应用对网络带宽的需要，极大影响教育网络的工作效率。为此，有