北信源内网安全管理及补丁分发系统方案

客户端桌面安全管理技术的兴起是伴随着网络管理事务密集度的增加，作为网络管理技术的边缘产物而衍生的，它同传统安全防御体系的缺陷相关联，是传统网络安全防范体系的补充，也是未来网络安全防范体系重要的组成部分。因此，客户端桌面安全管理技术无论在现在还是未来都应当归入基础体系网络安全产品之列。

现代网络安全管理体系的日臻完善，使得对网络客户端桌面安全管理的需求强烈凸现出来。正确、全面的认识客户端桌面管理产品的发展趋势和技术特点，是IT研发厂商面临的发展抉择，同时也是企、事业IT管理人员和高层决策人员在进行客户端桌面安全防护部署时必须考虑的议题。

近两年的安全防御调查也表明，政府、企业、以及金融证券等单位中超过80%的管理和安全问题来自客户端，计算机客户端广泛涉及每个用户，由于其分散性、不被重视、安全手段缺乏的特点，已成为信息安全体系的薄弱环节。因此，网络安全呈现出了新的发展趋势，对于各政府企业网络来说，安全战场已经逐步由核心与主干的防护，转向网络边缘的每一个客户端。

二、内部网络面临的安全问题

提起网络安全，人们自然就会想到网络边界安全，但是实际情况是网络的大部分安全风险均来自于内部。常规安全防御理念往往局限在网关级别、网络边界（防火墙、IDS、漏洞扫描）等方面的防御，重要的安全设施大致集中于机房或网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。相反，来自网络内部的计算机终端的安全威胁却是众多安全管理人员所普遍面临的棘手问题。

自2003年来，以SQL蠕虫、“冲击波”、“震荡波”、“熊猫烧香”等病毒的连续性爆发为起点，到计算机文件泄密、口令泄漏、硬件资产丢失、服务器系统瘫痪等诸多终端安全事件在各地网络频繁中发生，让政府机关和企业单位的网络管理人员头痛不已。总结起来，政府机关和企业单位的内部网络管理大致面临着以下一些常见问题：

n 如何发现终端设备的系统漏洞并自动分发补丁。

n 如何防范移动电脑和存储设备随意接入内网。

n 如何防范内网设备非法外联。

n 如何管理终端资产，保障网络设备正常运行。

n 如何在全网制订统一的安全策略。

n 如何及时发现网络中占用带宽最大的终端。

n 如何点对点控制异常终端的运行。

n 如何防范内部涉密重要信息的泄露。

n 如何对原有终端应用软件进行统一监控、管理。

n 如何快速有效的定位网络中病毒、蠕虫、黑客的引入点，及时、准确的切断安全事件发生点和网络。

n 如何构架功能强大的统一网络安全报警处置平台，进行安全事件响应和事件查询，全面管理网络资源。

这些终端安全隐患随时随地都可能威胁到用户网络的正常运行。

三、VRVEDP系统概述

网络终端安全是一个综合的系统问题，涉及管理计算机本身、计算机应用、计算机操作者、计算机使用单位管理规范等多个方面的要求性因素。

北信源通过对国内外近年终端安全管理技术和发展趋势的研究，将政府和企业内部网络终端安全管理概括的从终端状态、行为、事件三个方面来进行防御，管理手段大致包括如下内容：

图-1 内网管理核心功能

北信源内网安全管理及补丁分发系统遵循网络防护和端点防护并重理念，对网络安全管理人员在网络管理、终端管理过程中所面临的种种问题提供解决方案，实现内部网络终端的可控管理，并能够支持多级级联广域网构架，达到最佳的管理效果。

北信源内网安全管理及补丁分发系统强化了对网络计算机终端状态、行为以及事件的管理，它提供了防火墙、IDS、防病毒系统、专业网管软件所不能提供的防护功能，对它们管理的盲区进行监控，扩展成为一个实时的可控内网管理平台，并能够同其它安全设备进行安全集成和报警联动。

3.1 管理构架

局域网构架：对于一般网络（例如1个C类地址或若干个C类地址的局域网范围），可使用一套本系统软件，集中管理所属区域内的所有设备。

广域网构架：对于大规模的多个局域网或者跨地域广域网（包括基于国家、省、市、县等多级管理模式的网络结构），可使用本系统提供的多区域级联集中管理构架，即一个或多个网段各拥有一套独立北信源内网安全管理及补丁分发系统的同时，将本级所有设备信息再转发给上级管理系统，上一级管理人员对整个网络的状况也能够完全掌握。

图-2 多级级联集中管理构架

3.2 统一策略管理中心

北信源内网安全管理及补丁分发系统采用统一策略管理中心实现对内部网络终端的统一安全管理。策略管理中心内置终端安全防护需要的所有安全管理参数，提供对计算机终端的安全规则配置，安全功能策略开启/关闭，安全策略执行范围/周期设定等一系列安全措施的管理。

北信源内网安全管理及补丁分发系统内置安全策略分为全局策略、本地策略、备份策略三种，管理员通过属性设置决定其性质。

图-3　统一策略管理中心

3.3信息安全管理通告平台

在上述功能、构架和统一策略中心基础上，北信源内网安全管理及补丁分发系统还可以扩展建立信息安全管理通告模块（量身定制），提供统一的内部网络安全信息公布平台。

图-4 信息安全管理通告平台

信息安全管理通告平台是为大型分布式网络安全管理所设计，该平台以图形化的方式汇总多级北信源内网安全管理及补丁分发系统的安全信息，统一监测与查询网络全部注册设备的安全状态及运行信息，其主要功能有：

1、安全预警功能：根据实时监测到的网络中所有节点设备的安全信息，预警网络安全事件发生（病毒、蠕虫、木马等事件）。

2、安全监测功能：根据策略中心设置的安全策略，实时显示安全策略的应用状态与执行结果，如设备变更、流量统计、违规信息、IP绑定变化、终端运维异常、未安装杀毒软件、漏打补丁等。

3、安全管理功能：统一发布管理中心的相关安全管理规范、安全组织体系、安全宣传资料以及最新安全动态等信息。

4、违规信息通报功能：针对整个网络中违规的客户端进行全网通报，并下发通知。

5、安全服务功能：提供补丁下载、病毒库下载以及一些常用的工具下载。

四、系统功能描述

北信源内网安全管理及补丁分发系统采用C/S与B/S混合模式设计，支持分布式部署，并具有模块化软件定制、支持标准API、无缝功能扩展与升级等优点。产品针对政府、金融证券、电信以及各大中型企业等网络专门研制，已通过国家保密局、公安部、国家信息安全评测中心、解放军信息安全评测中心等多项权威认证，经业界权威机构统计北信源终端管理产品中国市场占有率第一。

北信源内网安全管理及补丁分发系统可分为五个软件包组合销售，同时更拥有接入认证网关（硬件）及安全U盘等多款产品，全方位的为网络用户提供安全管理功能。这五个软件包具体为：基本产品包、安全监控强审计产品包、补丁及文件分发管理产品包、移动存储管理产品包、网络接入控制管理产品包。

4.1基本产品包

终端基本产品包主要包含终端基本管理、IT资产管理、终端桌面管理、终端安全管理、网络主机运维、非法外联行为监控、Intel vPro (AMT) 管理支持、事件报表及报警处置、第三方接口联动（可扩展）等功能。

1.终端基本管理

1) 终端注册管理

2) 终端接入交换机拓扑管理

3) 终端带入带出网络监控管理

4) IP和MAC绑定管理

5) 禁止修改网关、禁用冗余网卡管理

6) 未注册终端拒绝入网管理（ARP阻断技术）

2.IT资产管理

1) 硬件资产

2) 软件资产

3) 软、硬件设备信息变更

3.终端桌面管理

1) 终端流量管理

2) 进程运行管理

3) 终端服务管理

4) 软件安装管理

5) 上网访问控制

6) 终端消息通知

7) 远程协助

8) 外设及端口控制

9) 垃圾文件清理

10) 终端点对点管理

11) 系统自动关机管理

12) 终端时间同步管理

4.终端安全管理

1) 桌面密码权限管理

2) 终端统一防火墙

3) 终端杀毒软件管理

4) 终端安全等级管理

5) IE安全设置

6) 恶意软件免疫

7) 注册表监控/保护

8) 终端连线/离线策略管理

5.网络主机运维

1) 运行资源监控

2) 流量异常监控

3) 进程异常监控

4) 客户端文件备份

6.非法外联行为监控

1) 终端非法外联互联网行为监控

2) 终端非法接入其它网络行为监控

3) 非法外联行为告警和网络锁定

7.Intel vPro (AMT) 管理支持

1) 硬件级别的客户端程序保护及变化报警

2) 带外终端软硬件资产管理

3) 资产变更报警

4) 带外状态下补丁分发

5) 远程开关机控制

6) 系统崩溃下的远程修复与协助

7) vPro设备扫描认证

8.事件报表及报警处置

1) 终端信息数据统计分类

2) 图形化信息数据输出

3) 组态报表输出及查询管理

4) 报警结果处置管理

5) 安全事件源远程阻断

6) 联动处置接口管理

9.第三方接口联动（可扩展）

1) PKI/CA认证联动

2) 防火墙联动

3) 网管软件联动

4) 安全管理平台联动

5) 其它第三方接口

4.2安全监控强审计产品包

1) 文件保护及访问审计

2) 文件网络输出审计

3) 注册表审计

4) 文件内容检查

5) 工作目录管理审计

6) 网络共享审计

7) 上网访问行为审计

8) 邮件审计

9) 打印审计

10) 系统日志审计

11) 键盘行为审计

12) 桌面窗口审计

4.3补丁及文件分发管理产品包

1) 补丁自动下载

2) 补丁完整性和安全性测试

3) 补丁增量更新导入

4) 补丁库建立和分类

5) 补丁策略定制订分发

6) 补丁代理转发

7) 补丁分发流量均衡

8) 终端漏洞自动检测

9) 补丁自动修复及查询统计

10) 漏洞情况汇总统计

11) 补丁安装情况汇总统计

12) 普通文件分发及文件自动执行

13) 未安装重要补丁终端接入控制

14) 终端数据备份

4.4移动存储管理产品包

1) 移动存储设备接入管理

2) 移动存储设备分组管理

3) 移动存储设备标签认证

4) 移动存储数据读写控制

5) 移动存储设备使用行为审计

4.5网络接入控制管理产品包

1) 802.1x接入认证管理

2) 未注册终端接入访问区域限制（vlan限制）

3) 未安装杀毒软件等必备软件自动安装下载管理

4) 未打补丁终端接入限制

5) 未达到预定义安全级别的终端接入访问区域限制

6) 自定义终端安全接入必须的桌面运行安全环境

4.6接入认证网关（硬件）

1) 与内网管理软件联动

2) 控制未注册终端接入网络

3) 终端访问认证

4) 终端网络资源接入访问控制

5) 未授权设备访问重定向

6) 支持关键区域接入控制模式

7) 支持两个网络间以及办公网访问互联网接入控制模式

8) 支持网络外终端接入内网的认证控制

4.7安全U盘（专利技术）

1、产品特点

1) 存储介质（数据）加密

2) U盘操作日志均记录在U盘硬件中

3) U盘日志不可能被用户采用任何方式删除或格式化

4) 防止介质非授权格式化

5) 支持普通模式：不需要加解密，任何用户可以访问U盘的公开区，但访问被记录到日志区(便于用户交换数据，关键重要数据可存储在加密区中。)

6) 支持加密模式：需要用户输入访问口令才能访问U盘的加密区，且加访问被记录到日志区(便于用户存储重要数据，即便用户在交换数据时或U盘丢失后重要数据都不会被越权访问。)

7) 从原理上杜绝病毒自动传播(无法利用操作系统直接对U盘存储区文件进行读写)

8) 一体化管理平台，便于集中分发和管理

9) 在未泄漏密码的情况下，即使U盘丢失也不会造成数据泄密

10) 在密码泄漏的情况下，即使数据泄漏也能进行审计和跟踪

2、加密

1) 加密算法：采用对称的AES(128bit)高强度加密算法；或可定制采用专用加密算法

2) 加密方式：按扇区进行加密，每次一密钥

3) TTDS：采用扇区映射方式进行二级抽象，完全打乱文件的存储位置，防止结构性破解

3、日志

1) 日志内容：记录用户的登录名、机器名、机器码（CPU ID、MAC）、访问时间、访问类型（读、写、删、创建），并采用Hash校验，以保证日志的完整性

2) 日志查看：允许用户输入口令进行日志查看，但不允许修改

3) 日志修改：允许安全管理员输入口令进行日志的查看和修改

五、系统安全

1）、分级管理：北信源内网管理安全及补丁分发系统支持对管理员分级管理，实现不同管理员管理不同内容,可分为授权、管理和审计等多种角色划分，具有安全性高、可靠性强的特点，适合集中授权、多角色参与监控的管理模式。

2）、通信保护：北信源内网管理安全及补丁分发系统的组件间通信时，数据传输是经过加密的，客户端和服务器端相互通信使用双向认证机制，防止已安装同类客户端的非本网络计算机非法进入网络，同时也防止模拟的假客户端和服务器进行通信。

3）、客户端保护：北信源内网管理安全及补丁分发系统的客户端系统具有自我防护机制，防止用户随意停止、卸载。

4）、系统日志：北信源内网管理安全及补丁分发系统提供局域网桌面安全防护产品运行审计和操作审计机制，保证系统的稳定运行。

5）、系统安全性设计：保证管理系统服务器端使用的安全性，保证其受到恶意修改IP地址的方式攻击时的仍可正常工作，保证其在遭受DDOS攻击时仍可正常工作。管理系统客户端不会被用户手动卸载或意外停止，仅能通过特殊工具卸载。要求客户端出现异常（如停止工作）时管理端可自动获知情况并可进行相应的处理。

6）、服务器安全设计：服务器系统具备保护服务器的功能。网络中出现恶意修改成与管理服务器相同属性（如相同的IP地址、相同的MAC地址等）的机器时，出现IP地址或MAC地址冲突等现象时，管理服务器将不会被阻断出网（即不会出现地址冲突的现象），只有发起恶意攻击的设备会被自动阻断，不会影响管理服务器的正常管理。