内网信息安全之二

内网安全管理系统的规划与部署
据多年为国家机关、大型企业网络安全服务的实践经验，天恩科技为客户提供的内网管理系统可以为用户网络系统建设一个完整的客户端防护体系，从外部对用户的网络边界的完整性进行有效监控（即网络隔离度监控），从内部通过补丁管理，防病毒软件管理，入网设备联网状况管理，软件安装状况管理，客户硬件状况管理等手段，完成对网络客户端的全面监控和管理，为用户网络建设一个完善的客户端防护体系，解决网络客户端安全管理的问题。
系统功能
主要功能可以综合为：九大子功能模块、一个策略中心模块、一个终端控制模块。
九大子功能
系统策略中心、数据查询、终端控制、补丁分发、运维信息、报警事件、级联总控、统计报表、系统维护等模块。
① 系统策略中心
区域划分与配置：对网络中的客户端进行区域划分管理，配置系统组件运行参数。临时组定义与管理：根据管理需要建立临时管理组对网络客户端进行管理。
策略中心：定义补丁管理系统各种安全策略。
② 数据查询：提供对网络设备信息、网络划分信息、网络中相关的设备安全状态信息的综合查询。
设备信息查询：查询信息包括计算机所属区域、部门、使用人、设备IP、MAC 、注册、重新注册、信任、保护 、阻断、开机、杀毒软件、杀毒厂商、系统等信息。
设备信息组态查询：依照下列属性进行计算机查询，包括使用人、联系电话、设备所在地、所属区域、设备名称、设备IP地址、设备MAC地址、操作系统、Servicepack号、IE版本、语言、使用人、是否注册、是否信任、是否为受保护、是否被阻断、开机状态、防范等级、运行状态等。
设备安装软件查询：对计算机安装的软件进行查询，如必须安装软件、禁止安装的软件。
设备运行进程查询：依照进程名称、文件大小、版本、进程所在路径、进程所打开的端口、进程运行次数等进行查询。
违规软件以及进程查询：查询事件内容包括软件违规方式（安装未禁止安装软件、未安装必须安装软件）、进程违规方式（运行禁止运行进程、停止必须运行进程）、进程类别（检索禁止执行的进程、非信任进程、信任进程、可疑进程、非可疑进程、所有进程）。
移动设备审计：查询事件内容包括设备接入，从移动设备拷入，拷出到移动设备。
安全策略违规查询：查询事件内容包括注册表键值检测、系统弱口令用户权限变化。
涉密检查：包括IE访问涉密检查（IE缓存、IE清单、cookie信息、收藏夹），文件内容涉密检查。
IP使用查询：注册IP、未注册IP 、空闲IP等。
③ 终端控制：补丁管理系统能够对网络中客户端终端信息进行点对点式的控制管理，这些管理的方式包括：客户端控制和连接阻断、消息通知、客户端注册以及升级管理、客户端安全属性管理。
具体功能模块包括终端点对点控制、消息通知、重新注册、终端升级、终端阻断、终端保护、终端信任。
④ 补丁分发：对补丁进行分类显示，设置补丁检测页面的运行参数；支持多种方式对补丁分发结果信息进行查询。
⑤ 运维信息：监测网络中客户端流量信息并进行排名，报警异常网络流量，能够对客户端进行流量报警。
⑥ 报警事件：提供网络设备信息非法外联、IP绑定等事件性安全信息进行报警统计，并支持级联方式下的报警数据查询。
⑦ 级联总控：支持多级补丁管理级联，上级管理系统能够查询下级补丁管理信息。
⑧ 统计报表：统计网络中设备硬件信息、系统信息、注册状态，以及级联系统数据信息。具体包括：本地设备注册情况统计、本地设备系统信息统计、本地设备硬件信息统计、级联设备注册情况统计、级联设备系统信息统计、级联设备硬件信息统计。
⑨ 系统维护：包括补丁管理系统数据库整理、用户权限管理、管理员登陆和操作管理。
策略中心
① 硬件资源管理:控制硬件外设的使用，启用或禁用光驱、软驱、USB移动设备、打印机、调制解调器、串、并行口。
② 进程及软件监控：包括软件安装监控、进程执行监控。
③ 客户端违规联网策略：监视违规网络连接，并对其它做出相应的处理。
④ 行为管理及审：移动设备审计：对移动设备的接入，接出，审计处理，记录其操作时间。文件审计：审计打印文件，电子邮件，以及对系统文件提供保护。进程审计(进程黑名单，白名单)：对违规启动或停止的进程报警或停止已启动进程，启动已停止进程等。对进程全路径审计，审计非特定目录的程序运行。
⑤ 软件分发执行策略：补丁文件分发：向客户端分发指定的补丁，提供补丁的运行参数和提供必要的运行控制。普通文件分发：向客户端分发指定的文件或安装软件，提供软件的运行参数和必要的运行控制。
⑥ 自动补丁分发策略：提供客户端补丁的自动下载及安装，可设置补丁探测时间，运行参数及运行形式。
⑦ 客户端涉密安全检查：IE访问检查：检查访问某一特定网络的历史信息，如IE缓存，Cookie信息，收藏夹等。文件内容检查：对指定的某一文件夹或某一类型文件，检查是否有违规的信息。
⑧ 安全策略：注册表检查：检查系统注册表键或者键值是否符合某一条件。 用户密码策略：检测系统用户，网络共享，屏幕保护等密码是否符合规范。用户权限策略：监控系统用户及用户组的变化。
⑨ 流量管理策略：提供对系统网络流量的控制，并给出相应的处理方式，包括流量采样策略、流量控制策略。
⑩ 运行维护策略：运行资源监控策略（CPU信息、内存信息、硬盘信息等监控）、客户端流量异常监控、进程异常监控（未响应窗口监控、意外退出进程监控）。
消息推送策略：向客户端发送消息通知，请求重注册信息以及要求升级等消息。
脚本策略：向客户端分发用户脚本(该脚本通过脚本编辑器创建，可以控制客户端的进程启停，以及软件的下载，安装等)。 注册表脚本分发：向客户端分发注册表脚本(该脚本通过脚本编辑器创建，可对客户端的注册表进行新建修改，删除的操作)。
终端控制管理
①终端信息查看：包括设备基本信息；查看运行进程；查看安装软件；查看运行状态；查看漏打补丁；终端安全审计。
②终端行为控制：客户端消息通知；客户端重新注册；客户端网络配置修改；客户端运行程序监控、客户端网络连结断开；客户端计算机关闭。
一、系统需求分析
目前国内政府机关、军队、公安、保密部门、科研机构、金融、证券等企事业单位中的网络都具有相当的规模，网络中大量使用计算机及其它网络设备。这些设备带来高效应用的同时，由于自身确实存在着安全风险隐患，应该采用相关网络安全技术手段来保障整个网络运行的安全。
目前单位自身内部网络分为以下几种类型：
1、办公网：政府机关的普通办公网络、公司企业网，它们通过有限出口接入Internet网络;
2、 内部专网：政府办公网、金融运营网及各系统重要的实时网络，该种网络一般为内部专用网络，此类网络同外部网络采取物理隔离的方式实现相互独立;
3、 保密网：政府机关、军队、公安、保密部门的内部机密安全网络，一般采用专门的网络通道，要求具有绝对的内网隔离度。
尽管以上大多数用户采用了专门的网络通道技术、物理隔离技术、安全网段划分、安全防护设施(如防火墙、入侵检测、漏洞扫描)等方式保证自己的网络安全，但是，对类似下面的安全问题仍然无法做到真正意义上的解决：
目前大型网络主要面临着如下的桌面节点安全和管理问题：
1. 如何对补丁进行自动分发部署和监控，保障终端系统的健壮性，从而免受病毒的侵袭。
2. 如何实施有效的网络客户端通讯(包括流量)管理，防止计算机蠕虫。
3. 如何对登陆账号口令进行有效管理，防止病毒或黑客进行攻击。
4. 如何准确有效的定位网络中病毒的引入点，快速、安全的切断安全事件发生点和相关网络。
5. 如何进行外部(移动存储)设备(如笔记本u盘、移动硬盘等)的监控管理，并对与这些设备相关的数据交换进行审计、确保数据安全。
6. 如何对通过电子邮件、网络拷贝、打印输出的数据进行审计，保证其安全。
7. 如何进行有效的远程维护和接管，进行远程网络故障诊断，远程查看客户机屏幕，关闭、锁定或重起计算机，或禁用网络连接;
8. 如何对网络中的软件状态信息进行有效的查询和管理，以及时发现隐患;
9. 如何方便准确的对IP地址和MAC地址进行绑定，防止IP冲突、保障网络安全。
10. 如何重要IP进行保护，防止由于意外的IP接入或改变造成的IP冲突、保障重要设备的安全。
11. 如何安全、方便的将非安全计算机阻断出网。
12. 如何按照既定策略统一配置客户端端口策略、注册表策略等客户端安全策略。
13. 如何有效监控重要终端的运维信息，以便网管了解网络中的客户端是否已超负荷运转，是否需要升级。
14. 如何对硬件资产进行自动发现识别，并打印报表，以便对网络硬件资产进行电子化跟踪和管理，在提高工作精度的同时减少网络管理人员的工作量。
15. 如何对软件进行分发安装，以大幅度减少网管的工作量。
16. 如何有效进行网络资源管理和设备资产管理。
局域网速度快，信息容易快速被窃取、篡改，监控时机转瞬即失;