摘要: 系统背景: 传统的信息安全产品模型都是侧重于边界安全,却忽视了内网的安全,但根据权威机构统计85%以上的信息安全事件是由内部网络中终端的安全问题引起的。本系统从终端安全入手,提出了一个解决内网安全的全新概念: 终端是组成网络的重要要素,是网络安全防护的源头...
系统背景:
传统的信息安全产品模型都是侧重于边界安全,却忽视了内网的安全,但根据权威机构统计85%以上的信息安全事件是由内部网络中终端的安全问题引起的。本系统从终端安全入手,提出了一个解决内网安全的全新概念:
终端是组成网络的重要要素,是网络安全防护的源头,也是防护的难点和重点,它既是安全防护的对象,又是需要防范的对象,只有接入内网的终端安全和行为是可控的,才能保证整个网络的安全。
基于这一思想开发的“安全专家”内网安全集中管理系统通过自动检测、修复系统安全漏洞,安全策略和安全设置自动优化等方式进行安全的主动防御。对不符合安全要求的设备,通过网络隔离,锁定设备和后台强制执行等手段来确保所制定的安全策略有效地执行。为防止信息泄露,对所有可能的信息泄露途径进行功能上的限制和审计,以便即时发现和事后的跟踪和取证。
本系统已经在多个行业和领域得到广泛应用,为企业建立了一个主动与强制相结合的综合防护体系,提高了企业的整体安全水平。
系统组成:
系统主要由安全防护、网络接入控制和安全审计三个解决方案组成,用户可以根据自己的实际情况灵活选择和部署。
1 安全防护解决方案
主要突出主动防护的特点,强调系统自身的安全免疫力;整体思路是功过三层防护来保障终端的安全:
一级防护主要通过对发现的系统安全漏洞进行自动修复,增强系统自身安全免疫能力;
二级防护是在一级防护不到位的情况下,通过服务器对各终端强制安全检测,及时发现安全漏洞和隐患,对终端进行加固处理,提高终端的安全防护能力;
三级防护是针对突发的安全事件,如突发的蠕虫等病毒,采取隔离、屏蔽端口等技术措施,防止安全事件
防护功能:
弱口令检测
如果口令设置得过于简单,黑客通过一些专业的暴力破解工具和口令字典,就可以很容易破解登录口令。并且,目前很多网络蠕虫也是根据简单口令进行传播的。本系统可以对指定机器,或IP地址段内每台机器进行弱密码的检测,以便发现系统存在的弱口令安全隐患。
端口、网络连接状态检测/控制
相应端口对应相应的服务,相应的服务可能存在相应的安全缺陷。并且相应端口有可能是黑客远程控制目标机器的木马程序通讯端口。本系统可以对指定机器,或IP地址段内每台机器进行开放端口和网络连接状态的检测,以便发现系统存在的安全隐患。作为预防,还可以强制封锁指定机器,或IP地址段内每台机器的指定通讯端口。
系统进程检测/控制
管理员通过查看客户端计算机进程信息,并判断其是否具破坏性。还通过检测和控制客户端进程,要求必须安装哪些软件、禁止使用哪些软件。本系统可以对指定机器,或IP地址段内每台机器进行系统进程的检测和控制。
服务检测/控制
相应的服务可能存在相应的安全缺陷,管理员通过查看客户端启动的服务信息,并判断其是否存在安全缺陷。本系统可以对指定机器,或IP地址段内每台机器进行系统服务的检测和控制。
自启动项检测
自启动项的检测也是安全检测的重要手段,管理员通过查看客户端计算机自启动信息,判断其合法性。本系统可以对指定机器,或IP地址段内每台机器进行自启动项的检测和控制。
共享检测
本系统可以对指定机器,或IP地址段内每台机器进行网络共享项的检测。
安全策略检测/修复
在实际网络安全项目中,系统的安全策略优化是一项极其重要、有效的安全防御手段。它弥补了传统安全产品被动防御的不足,但是系统安全策略的优化对于普通用户来说就显得过于专业化了。在本系统中,常用的有效安全策略已全部列出,管理员可根据自己网络的实际环境制定几个缺省的模板,供普通用户自己选择或指定强制选择。在普通用户的客户端程序中,用户只要按下“执行”按键即可自动完成。
系统漏洞检测/修复
对于有效防止黑客攻击和病毒感染来说,给系统和应用程序漏洞打上补丁是一道必须的流程。本系统可自动轮循检测所有终端漏洞修复情况,对仍旧存在安全漏洞的主机可集中在后台强制安装补丁文件
病毒和木马的检测/查杀
本软件客户端内置防病毒模块,该模块的结构和“词汇”是为满足病毒检测和清除病毒的特定要求而优化过的。这样,扫描程序将避免检查整个文件是否有病毒代码,而改为在该文件中严格定义的位置进行取样,以查找表明病毒感染的病毒代码识别标志。未知病毒行为检测引擎,根据病毒特征智能识别并清除电脑中的各种未知有害程序。包括引导型、文件型、复合型和变型病毒,以及各类宏病毒和各种新型病毒。
黑客扫描防护
黑客在进行任何攻击之前,总要事先通过扫描来刺探企图攻击对象的安全情况。
本系统能智能识别黑客的恶意扫描,并有效地阻断或欺骗恶意扫描者。对目前已知的扫描工具如ISS、SSS、NMAP等扫描工具,可以防止被扫描。并可有效地解决恶意代码的恶意扫描攻击。对外来非法扫描,自动阻断、告警,并写入日志,便于日后分析。对诸如“冲击波”、“震荡波”等恶意程序的攻击,通过异常分析程序自动阻断,并查封指定 IP 地址和端口,提供多层保护。
安全预警通告
当出现新的安全问题,或网络管理员需要向客户端发送一些其他通告时,可以非常方便地在控制台将自己编辑后的通告发送所有客户端或指定客户端。
并且考虑到大型网络机构如果需要提供对众多Agent用户的支持,所以客户端和服务器之间的通讯用的都是udp协议,且客户端和服务器之间的心跳连接间隔可自定义,以保证不会同时占用过多网络资源,但这样一来由控制台通过服务器向客户端发送消息、指令,或客户端向服务器上传扫描报告和病毒信息都不会对网络带宽造成任何影响。
2.网络接入控制解决方案
主要是通过身份认证和安全策略检查的方式,对未通过身份认证或不符合安全策略(终端防护策略、安全监控策略)的用户终端进行网络隔离,并帮助终端进行安全修复。 
接入控制功能:
网络资产管理
扫描网络中包括计算机、网络设备等所有硬件信息。并可设定时间间隔,调度扫描硬件信息,一旦发现硬件信息被更改,立即向控制台告警,通知网络管理员。
新接入计算机的阻断
对未经注册的新接入网络的计算机,服务端会及时发现并对其阻断。在没有注册的情况下,计算机是无法进入网络的。此项功能是通过IP地址和MAC地址的绑定来实现的。
未运行客户端程序自动阻断/锁定
管理员可要求内网中所有机器必须安装本系统客户端程序。如果没有安装,将把该机器从
网络中隔离出来,或锁定该计算机的鼠标和键盘,或只是发送告警信息。
不安全机器自动阻断/锁定
管理员可参照安全防护功能中的安全检测项,制定一个安全策略的模板。如果内网中任意机器没有达到安全策略模板要求的安全标准,则认为是不安全的机器。并把该机器从网络中隔离出来,或锁定该计算机的鼠标和键盘,或只是发送告警信息。
MODEM上网控制
实时检测到客户端是否使用MODEM连接因特网,并能禁止客户端使用MODEM拨号上网。客户端软件将自动扫描客户端是否有拨号连接的情况。若存在活动的拨号连接,则对照预定义规则判断该连接是否允许存在;若不允许,则马上挂断该连接并发送报警信息,即使在离线的状态下,仍能保持该规则的实现。
USB存储设备控制
管理员可以给每台机器设置一定的权限,规定哪些机器可以使用USB设备,哪些机器不可以使用,以防资料通过USB设备泄露出去。该操作结果将被记录到日志中。此功能可以规范USB设备的使用。
光驱/软驱/打印机设备控制
管理员可以给每台机器设置一定的权限,规定哪些机器可以使用软驱、光驱和打印机设备,哪些机器不可以使用,这样可以规范软驱、光驱和打印机设备的使用,防止资料通过软驱、光驱和打印机设备泄露出去。
网关/IP地址控制
对客户端网关IP地址进行控制,客户端用户不能随意修改网关IP地址。网关IP地址的修改必须通过服务器端来控制,进而使管理员能够统一管理客户端的网关IP地址。
远程控制
管理员可对运行了客户端软件的机器进行远程操作控制,一种方式是通过客户端主动发起请求,请求管理员协助;另外一种方式是管理员强制远程控制。
安全审计解决方案
主要是通过从系统的底层WMI(Windows 2K/XP管理系统的核心),对Windows的所有事件(如文件拷贝、外设使用、打开窗口等)进行监控和记录,并且可以综合利用密码、访问控制和审计跟踪等技术手段,对涉密信息、重要业务数据和技术专利等敏感信息的存储、传播和处理过程实施安全保护与监控,以达到防范因终端用户信息输出带来安全威胁的目的。
审计功能:
文件操作记录
对每个文件的新建、改名、删除、拷贝和移动等操作全部进行统计并形成报表,通过报表订制成自己需要的查询表单。
网页浏览记录
对所有浏览过的网页地址进行日志记录。通过报表订制成自己需要的查询表单。
窗口打开记录
对所有打开过的窗口及对应的路径进行日志记录。通过报表订制成自己需要的查询表单。
光盘刻录记录
对所有光盘刻录操作进行日志记录。通过报表订制成自己需要的查询表单。
打印记录
对所有本地或网络打印操作进行日志记录。通过报表订制成自己需要的查询表单。
邮件收发记录
对使用WEB方式、第三方软件收发邮件进行日志记录。通过报表订制成自己需要的查询表单。
系统结构和部署:
“安全专家”内网安全集中管理系统的架构采用控制台-服务器-客户端代理三层结构。
该结构除了能实现集中式的管理、分布式的防护外,而且使得控制台和客户端之间无需再实时地直接建立连接。
控制台(console):
控制台可安装在内网中任意可以访问到后台服务器的机器上。
根据其功能可分为管理(SecConsole)和审计(RecordView)两部分。
管理控制台(SecConsole)
●用户信息:查看客户端程序注册状态,对用户进行分组
●资产变更检测:查看内网中主机的系统硬件配置信息,检测硬件资产变更情况
●软件资产检测:查看内网中主机的系统软件安装信息,检测系统软件安装情况
●系统检测:全面检测系统安全状态;安全策略修复/优化
●病毒检测:手动和调度扫描内网中各系统病毒感染情况
●策略发布:网络和安全策略定制和发布(禁止拨号、禁用外设、禁用端口/服务/程序等)
●策略管理:对以发布的策略进行修改、删除等操作
●软件分发:统一进行软件安装,规范软件安装
●用户咨询中心:查看注册用户上传的咨询、反馈信息
●信息发布中心:向用户发送文本消息通告和补丁/病毒库强制升级指令
●参数设置:控制台连接参数设置
●网络接入控制:连接/隔离/锁定内网中指定计算机;查看内网中主机屏幕
●操作日志:查看控制台操作记录
审计控制台(RecordView)
●安全审计主要是通过从系统的底层对Windows上的事件进行监控和记录,全程记录内网中所有客户端的操作事件,主要有以下
●文件操作(文件的建立、删除和更改)
●USB操作(移动硬盘的接入和操作)
●网页访问(机器上所有的网页访问记录)
●打印操作(机器上的打印文件和时间)
●软件运行记录(机器上运行的软件记录)
●邮件收发记录(机器上邮件收发记录)
管理服务器(server):
管理服务器我们建议旁接在内网中的核心交换机上。它是控制台和各客户端之间通讯的桥梁,同时也是身份验证/用户管理、信息收集、策略制定和软件升级中心。其根据功能可分为升级服务器、接入控制服务器、数据库三个模块(三个模块可安装在一台服务器上,也可分别安装在不同主机)。
升级服务器:是控制台同客户端,以及数据库、接入控制服务器通讯的桥梁。同时系统负责用户的身份认证和安全策略检查,对于身份认证不通过的终端,通知安全控制服务器对该终端进行隔离,只开放外部客人访问区域的权限,对于安全策略不符合企业安全标准或发现病毒的终端,通知安全控制服务器对用户终端进行隔离。
接入控制服务器:对所有的安全事件进行处理等,同时控制终端的网络访问权限,对不同的用户,不同安全状况的用户开放不同的权限。防止外部用户访问内部网络,防止内部合法但不安全的用户进一步感染网络,对于连接到网络没有进行验证的用户也进行隔离(每个子网部署一套内网安全管理系统)。
数据库服务器:存储所有的系统信息,主要有系统信息(硬件和软件)、系统安全状况信息(补丁、口令、系统安全策略),系统安全事件信息(外设使用、文件拷贝和传输等)。
客户端代理软件(Agent):
Agent安装在网络终端上,负责用户的身份输入和安全策略检查。在用户使用网络前,必须启动Agent,然后输入身份信息进行登录,在登录过程中,Agent同时收集客户端的安全信息和进行病毒扫描,把相关信息发送到安全防护服务器进行检查。如果身份合法,同时安全策略符合要求,则开始使用网络。如果身份不合法,则不能接入网络,如果身份合法,
