恒信移动商务股份有限公司终端安全解决方案

恒信移动商务股份有限公司终端安全解决方案2010-6-7目录一、项目背景.............................................................................................3二、项目建设目标....................................................................................42.1项目内容........................................................................................42.2项目目标........................................................................................4三、项目技术方案....................................................................................53.1系统架构........................................................................................53.1.1系统管理构架.......................................................................53.1.2系统模块组成.......................................................................53.2系统功能........................................................................................63.2.1系统管理功能.......................................................................63.2.2网络准入管理.......................................................................73.2.3移动存储介质使用管理.......................................................93.2.4终端安全防护.....................................................................103.2.5系统报表管理.....................................................................233.2.6事件报警管理中心.............................................................25四、产品优势...........................................................................................27一、项目背景恒信移动商务股份有限公司成立于2001年11月，主要从事移动信息产品的销售与服务。经过多年经营，目前是国内唯一一家同时拥有地面服务网络与运营商信息业务平台的公司，目前公司实现以信息交换为公司管理、领导决策提供先进的技术支持手段，但是当前网络中的各类恶意攻击、病毒、木马等日新月异、防不胜防，以及在系统中还有可能运行了各类非业务性软件的人为违规操作行为等，都是直接影响系统安全、稳定、高效工作的重要不良因素，使得加强系统内网的安全防护与企业网络系统运行稳定成为当前首要保障目标；另外，由于相关工作人员计算机使用水平、网络安全以及病毒防范的意识和能力不足，直接影响到信息系统和整体安全策略的制定与实施，因此，加强信息系统的安全防护势在必行。因此，为保障恒信移动商务股份有限公司内网的安全运行，确保企业网络系统的安全运行，亟待充分利用现有安全基础设施，采纳最新的终端安全管理的技术手段，最大程度地防范由于终端脆弱性而导致的网络信息安全隐患，力主完善安全运维管理制度，大力加强病毒防范和综合治理的力度，建立全网防御、整体作用的综合网络安全管理体系。1二、项目建设目标2.1项目内容在整个部署网以网络接入控制管理系统为核心的综合性内网终端安全管理系统，包括终端接入控制管理、移动存储介质使用管理、非法外联管理、终端安全监控及企业系统网络运维监控等，最大程度的保证恒信移动商务股份有限公司网络边界及内网终端安全，保障内网及企业网络系统的安全运行。2.2项目目标对网络节点进行有效监控管理和安全加固，从而对网络进行切实有效的防护和管理。1．解决网络安全的根本问题：提供从非法接入、违规外联发现阻断、移动存储介质使用管理、补丁加固、密码监控以及进程、端口、访问区域、流量、注册表、安装软件的监控管理，全方位的监控终端使用的各个环节，最大程度上保证客户端系统的健壮性，保证网络终端的安全，从而保证网络的安全。2．解决网络运维安全管理问题：外部非授权用户不得拥有访问公司内部信息的权限，针对用户和系统应用资源的，必须确保合法用户对信息的合法存取，所有网络活动应该有记录，这种记录要针对用户来进行，可以实现统计、审计记录等功能；3．保障企业系统安全运维：此系统的使用可在增强网络统一管理和安全管理的同时，保证网络的边界安全，又保证了网络的内部安全，同时实现系统安全和数据安全。2三、项目技术方案3.1系统架构3.1.1系统管理构架系统管理采用B/S构架，管理员可在网络的任何客户端通过登录内网管理服务器的管理页面进行管理和各种信息查询；所有的网络客户端需要安装客户端程序以对其进行监控和管理。系统通过内网安全管理服务器对全网进行网络客户端的各种策略的配置下发，入网设备监控、移动存储介质监控、流量监控、违规联网监控、客户端软硬件管理等工作，并对客户端进行各种行为和状态的监控。网络终端上的客户端程序可将各种网络终端的状态信息、日志信息和报警信息上报，可对异常计算机进行断网等处理，也可通过系统，对客户端进行远程故障诊断和维护。3.1.2系统模块组成终端安全管理系统采用C/S与B/S混合管理设计，前台使用Web浏览方式对用户进行管理和注册，后台通过SQL数据库对用户数据加以统计和存储。此系统主要由以下几个模块组成。具体如下：1.管理信息库：管理信息库用来存放和管理各种策略、参数配置、网络客户端设备软硬件属性和状态信息、补丁及相关信息、报警信息、日志信息等各种信息。2.中央管理配置平台（Web方式管理）：本系统的管理配置中心。可以进行系统应用策略制订，配置系统的各项功能参数，进行系统用户维护等配置操作、并显示状态信息、报警信息和各种日志记录等。所有操作的过程和结果均存储在管理信息库中。3.区域管理器：区域管理器是系统数据处理中心。从管理信息库获取来自控制台的各种策略和命令操作，发送到客户端程序和扫描器执行。区域管理器同时接收扫描器的信息和客户端程序提供的各类状态和报警信息，发送至管理信息库，以备管理人员通过中央管理配置平台查阅。上级区域和下级区域之间的命令和数据均通过上下级区域管理器传达。4.设备扫描模块：扫描网络中设备及其状态，巡检网络设备状态变化信息，并将这些信息通过区域管理器上报至管理信息库；并将部分控制信息传递给客户端。5.客户端程序：可按策略自动探测系统软硬件相关信息和状态并上报给区域管理器，然后入库；可通过区域管理器接收策略并执行对应动作。区域管理器中央管理配置平台级联管理信息库区域扫描器客户端（安装客户端程序）指令下达A.扫描发现B.阻断违规指令、策略获取状态、数据上报数据交换指令下达数据交换A.注册B.验证C.管理D.补丁获取下级区域管理器数据交换补丁获取补丁下载服务器补丁增量导入物理隔离Internet补丁分析模块系统工作流程图3.2系统功能3.2.1系统管理功能1.策略集中管理功能：系统把所有和客户端安全控制和运行维护有关的控制功能分类地集中在一个WEB管理中心完成，所有的配置均在此中心完成，以方便用户的使用。2.级联管理功能：可进行多级级联管理，支持多级管理方式，上级管理区域可进行统一的状态和报警信息，各级子管理节点能够与根管理节点进行策略同步，各级管理员管理辖区内的有关事件。3.策略级联和分发功能，可根据情况需要将策略下发至本区域、下一级区域和所有区域。4.系统可以灵活的按照用户需要制定策略触发条件：可根据时间段和时间点定制策略使用或禁止使用的触发条件。并可根据创建区域、自定义组、操作系统、IP范围和按照条件搜索的设备进行策略分组分发管理。5.系统可以精细的划分用户的权限，可以规定每个用户管理的区域、可以使用的策略种类和控制菜单种类；各项策略和功能可根据需求按不同登陆用户进行屏蔽或开放。6.支持全网统一升级功能，客户端软件可从互联网自动下载到服务器（或手动下载到服务器升级），服务器端升级后全网客户端软件可自动统一升级。3.2.2网络准入管理系统将采用802.1X接入控制结合虚拟隔离技术对纵向网的接入终端进行准入控制。3.2.2.1802.1X接入管理通过对支持802.1X协议的交换机进行管理，配合以RADIUS服务器和客户端程序，可以实现设备的身份认证访问功能，从而实现对内网终端的接入管理。802.1X接入管理模块包括以下几部分：1.客户端。安装在用户的终端上（集成在EDPAgent里），当用户有网络访问需求时，EDPAgent自动激活客户端程序通过认证，或由用户手动输入必要的用户名和口令通过认证。2.认证系统。在以太网系统中指认证交换机，其主要作用是完成用户认证信息的上传、下达工作，并根据认证的结果打开或关闭端口。3.认证服务器。通过检验客户端发送来的身份标识（用户名和口令）来判别用户是否有权使用网络系统提供的网络服务，并根据认证结果向交换机发出打开或保持端口关闭的状态。802.1x接入管理的设备接入效果图具体功能如下：1）准入控制未注册终端会因认证不成功进入访客隔离区，在隔离区中终端只可以与服务器通信只有在终端注册成功后方可以通过认证。2）自定义终端安全接入必须的桌面运行安全环境；用户可结合自身的需求自定义终端安全策略，也可按照用户现实环境的需要个性化搭配各个安全检查策略组合，对没有安装杀毒软件或其他安全要求不符的终端进行限制。3.2.2.2虚拟隔离接入管理系统通过虚拟隔离技术，可以在纵向网络系统划分一个只能与服务器通讯的VLAN——访客隔离区。已注册的终端发送数据包中会被加入注册标识，没有注册标识的终端会被强制划入访客隔离区。被隔离的未注册终端只能与注册服务器通信，而无法访问纵向网的其他任何资源，如Web服务器、邮件服务器、FTP服务器和打印机服务器等。对于不支持802.1X的交换机，系统虚拟隔离技术对纵向内网终端进行准入控制。3.2.2.3强制重定向接入纵向网的未注册终端如果试图访问纵向内网资源将会被强制重定向到注册页面，方便新入网计算机的注册。强制重定向的方式主要有以下两种：1、选择系统内经常需要访问的内部web网络应用服务。例如：门户站点、mail、OA应用程序。对于其web首页进行修改，嵌入北信源提供的注册程序是否存在的判别代码，当用户访问这些页面时，如果计算机已经安装客户端程序，则可以正常使用服务，否则会强制重定向的注册页面。2、在DNS（域名解析）服务器上使用特定的重定向软件或接入网关，在未注册客户端进行DNS服务器访问时强制重定向到注册页面。重定向注册页面上会提示用户被重定向的原因等消息，并提供注册客户端下载。3.2.2.4注册程序加密为防止未授权用户非法注册，系统提供注册程序加密功能，密码由系统