信息安全建设方案建议书(五).pdf

《信息安全建设方案建议书(五).pdf》由会员分享，可在线阅读，更多相关《信息安全建设方案建议书(五).pdf（31页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第1 1章章 信息安全解决方案设计信息安全解决方案设计在第 2 章里，我们分别从网络网络、应用应用、终端终端及管理管理四个方面对公司的信息系统安全建设进行了风险及需求的分析。 同时根据第 3 章的安全方案设计原则， 我们将公司网络安全建设分为以下几个方面进行了详细的方案设计：边界安全解决方案；边界安全解决方案；内网安全解决方案；内网安全解决方案；应用安全解决方案；应用安全解决方案；安全管理解决方案；安全管理解决方案；安全服务解决方案。安全服务解决方案。下面我们分别针对这 5 个安全解决方案进行详细的描述。1.11.1边界安全解决方案边界安全解决方案在第 2 章的网络安全风险及需求分析中， 我

2、们主要从外部网络连接及内部网络运行之间进行了风险的分析。边界安全解决方案就是针对与外部网络连接处的安全方面。网络是用户业务和数据通信的纽带、 桥梁， 网络的主要功能就是为用户业务和数据通信提供可靠的、满足传输服务质量的传输通道。就公司网络系统来讲，网络边界安全负责保护和检测进出网络流量； 另一方面，对网络中一些重要的子系统，其边界安全考虑的是进出系统网络流量的保护和控制。针对公司网络系统，来自外部互联网的非安全行为和因素包括：未经授权的网络访问身份（网络地址）欺骗黑客攻击病毒感染针对以上的风险分析及需求的总结， 我们建议在网络边界处设置防火墙系统防火墙系统、 安全网关安全网关及远程访问系统远程

3、访问系统等来完善公司的边界网络安全保护。1.1.11.1.1 防火墙系统防火墙系统为在公司网络与外界网络连接处保障安全， 我们建议配置防火墙系统。 将防火墙放置在网络联结处，这样可以通过以下方式保护网络：为防火墙配置适当的网络访问规则， 可以防止来自外部网络对内网的未经授权访问；防止源地址欺骗， 使得外部黑客不可能将自身伪装成系统内部人员， 而对网络发起攻击；通过对网络流量的流量模式进行整型和服务质量保证措施， 保证网络应用的可用性和可靠性；可以根据时间定义防火墙的安全规则， 满足网络在不同时间有不同安全需求的现实需要；提供用户认证机制， 使网络访问规则和用户直接联系起来， 安全更为有效和针对

4、性；对网络攻击进行检测，与防火墙内置的 IDS 功能共同组建一个多级网络检测体系。目前新型状态检测的防火墙有效的解决并改善了传统防火墙产品在性能及功能上存在的缺陷，状态检测防火墙具有更高的安全性、 系统稳定性、更加显著的功能特性和优异的网络性能，同时具有广泛的适应能力。 在不损失网络性能的同时， 能够实现网络安全策略的准确制定与执行， 同时有效地抵御来自非可信任网络的攻击， 并具有对防火墙系统安全性能的诊断功能。 其内置的入侵检测系统， 可以自动识别黑客的入侵， 并对其采取确切的响应措施，有效保护网络的安全，同时使防火墙系统具备无可匹敌的安全稳定性。我们可以根据业务模式及具体网络结构方式，不仅

5、仅在内部网络与外部网络之间，同我们可以根据业务模式及具体网络结构方式，不仅仅在内部网络与外部网络之间，同时在内部网络与内部网络之间和各子业务系统之间，考虑采用防火墙设备进行逻辑隔离，时在内部网络与内部网络之间和各子业务系统之间，考虑采用防火墙设备进行逻辑隔离，控制来自内外网络的用户对重要业务系统的访问。控制来自内外网络的用户对重要业务系统的访问。1.1.1.11.1.1.1 防火墙技术部署说明防火墙技术部署说明（根据具体的网络情况描述）1.1.1.21.1.1.2 产品选型及功能介绍产品选型及功能介绍（根据具体产品描述）1.1.21.1.2 安全网关安全网关由于考虑到公司与互联网（Intern

6、et）进行连接，所以我们建议在系统网络与 Internet接入处配置“安全网关” ，部署位置灵活，可放置在接入路由器与防火墙之间，也可部署在防火墙与内部网络之间。随着互联网的飞速发展和应用， 计算机病毒已将互联网作为其一种主要的传播途径。 其中利用电子邮件传播病毒是最直接的方式，统计显示邮件传播方式占全部病毒传播的 90%以上。在过去一段时间内所发生的几起影响较大的计算机病毒事件中，以Internet 为主要传播途径的病毒占大多数，如Nimda、Code Red 等，以及近几年爆发的 Sobig.F、Swen、冲击波、振荡波等等。同时，由于病毒的泛滥， 垃圾邮件也越来越成为大家头痛的问题。 根

7、据国际领导的市场调查机构 Radicati Group统计，目前所有的邮件中，超过50是垃圾邮件，也就是说每天在国际上有超过 150 亿封垃圾邮件被发送出去， 使各类企业每年遭受到200 亿美元以上由于劳动生产率下降及技术支出带来的损失，到2007 年垃圾邮件数量将上升到惊人的2 万亿封一年。经过上述风险及需求的分析， 在Internet接入处对病毒、 垃圾邮件及恶意代码进行控制，是实现接入安全的最佳方案。通过配置“安全网关” ，我们可以实现：保证所有主要的 Internet 协议的安全，包括 HTTP、FTP、SMTP、POP3 等信息在进入内部网络前由安全网关进行查杀毒；过滤所有来自互联网

8、的垃圾邮件；通过 SMTP 认证保证邮件服务器不会被黑客当作攻击别人的跳板等。1.1.2.11.1.2.1 产品选型及功能描述产品选型及功能描述安全网关的目标是在网络边界或Internet 网关处提供全面的病毒防护， 而该病毒防护设备是即插即用的，不需要改变任何Internet 设置，并对所有应用及服务透明。通过全面阻截已知及未知病毒和防垃圾邮件功能和内容过滤功能达到针对企业网络环境的全面防护。 安全网关是一款高度可配置及提供负载均衡的产品， 为从中型到大型企业提供全面解决方案， 并对网络流量透明。主要模块主要模块防病毒模块防病毒模块能够扫描最常用的 6 种协议，阻止未知病毒和计算机蠕虫进入公

9、司网络防垃圾模块防垃圾模块安全网关通过其反垃圾邮件模块检查进入公司的所有邮件。 信息被扫描并且被划分成垃圾或非垃圾， 在未被请求的邮件到达用户信箱之前进行阻断或修改这些信息的主题内容过滤模块内容过滤模块网页过滤模块允许管理员限制因特网访问。 可以定义不受欢迎内容目录， 授权和非授权网页。允许管理员控制公司网络资源，并且阻断非法，黄色或暴力网站内容，或只是不受欢迎内容进入公司。 可以建立 VIP 用户列表，这些用户不需应用上述限制主要特点：主要特点：易于使用易于使用： 安全网关是目前世面上最易于安装及使用的硬件网关产品， 作为网络信息传递的桥梁而非需要重新路由网络流量。安全安全： 安全网关扫描

10、6 种网络协议， 而其他硬件网关产品仅能够扫描2 到 4 种网络协议。 在安全网关安装在企业边界上时， 它实时扫描所有收入及发出邮件及其他的网络传输信息，并且具有防垃圾邮件功能和内容过滤功能表现性能表现性能： 安全网关的最大性能是可以取得完全扫描及病毒防护。 安全网关的硬件及软件性能经过特殊优化处理， 能够同时扫描 6 种网络协议， 并且完全对企业网络透明。扩展性扩展性： 安全网关专门针对自动负载均衡设计， 使增加扫描的速度及增加网络防护可以随时达到。并可支持到百兆。功能及优势：功能及优势：性能高度优化的病毒防护性能高度优化的病毒防护整合最新硬件及软件技术，提供超乎寻常的优异性能，能够在一个小

11、时内扫描上万封邮件，完全对企业网络透明。性能高度优化的垃圾邮件防护性能高度优化的垃圾邮件防护整合最新硬件及软件技术，提供超乎寻常的优异性能，能够在一个小时内扫描上万封邮件，完全对企业网络透明。拓展性及负载均衡拓展性及负载均衡由于安全网关的高度可拓展性，安全网关适合中到大型企业，能够根据网络通讯流量调节扫描能力。 负载均衡是完全自动的， 允许工作负载量能够自动在不同工作单元间进行均衡， 良好地保障了产品的可拓展性及对企业边界的全面防护。易于安装及配置易于安装及配置 按照即插即用的设计思路，能够非常简便地安装在企业网络中，不需要重新配置或重新路由Internet 流量。一旦安装完成，就开始不知疲倦

12、地扫描所有网络流量，保障网络的100安全。保护所有广泛使用的网络协议保护所有广泛使用的网络协议保护所有可能的 Internet 相关威胁，完全扫描所有常用 Internet 协议，包括: HTTP, FTP, SMTP, POP3, IMAP, NNTP.内容过滤内容过滤内容过滤防止未知病毒及蠕虫进入企业网络，大幅减少整体网络资源占用及带宽，防止可能的恶意代码进入到企业网络。远程管理远程管理 可以通过一个简洁、 启发式的 WEB 管理控制台远程管理， 让企业网络管理员通过企业内部任何一台电脑管理该产品。每日自动病毒更新每日自动病毒更新 可以每日自动病毒更新，意味着安全网关始终可以防护所有最新病

13、毒。详细报告及可客户化的报警详细报告及可客户化的报警安全网关提供完整的扫描报告， 并可以客户化在企业内部网络的病毒报警机制。实时系统监控实时系统监控 安全网关提供网络管理员对网络病毒行为及网络流量的实时监控。1.1.31.1.3 远程访问安全远程访问安全根据前面的风险及需求分析可知，公司在通过 Internet 互连及远程访问方面，主要存在着以下两种类型：公司总部与分支机构之间的远程访问及互连；公司与合作伙伴之间的远程访问及互连。在总部与分支之间的互连， 一般要求将分支机构的网络接入到总部网络。 而与合作伙伴的互连一般情况下合作伙伴访问企业固定的某些应用系统。 同时， 远程应用中还存在着一种情

14、况，即用户出差或移动状态中需要在远程访问安全方面， 我们分别针对这两类应用类型设计了相应的VPN远程访问系统。1.1.3.11.1.3.1 分支与总部的连接分支与总部的连接目前，由于VPN（虚拟专网）比租用专线更加便宜、灵活，所以有越来越多的公司采用VPN， 连接在家工作和出差在外的员工， 以及替代连接分公司和合作伙伴的标准广域网。 VPN建在互联网的公共网络架构上，通过“隧道”协议，在发端加密数据、在收端解密数据，以保证数据的私密性。如在企业分部与企业总部之间， 及企业员工与企业核心数据之间， 都可建立起端到端的逻辑隧道(Tunnel)，所谓“隧道”是指其中所传递的数据都经过特殊包装和加密处

15、理，从而能与同一物理链路中其它数据区别开来， 避免被不法用户所窃取， 只有在隧道的始末两端才可能添加和去除这些特殊包装以得到真实的数据。在通过公共网络(如 Internet)传递业务数据时，这项技术尤为必要。现在大多数远程安全访问解决方案是采用IPSec VPN 方式，应用最广泛的组网结构是在站点到站点的 VPN 组网方式。IPSec 是网络层的 VPN 技术，表示它独立于应用程序。IPSec以自己的封包封装原始 IP 信息，因此可隐藏所有应用协议的信息。 一旦 IPSec 建立加密隧道后，就可以实现各种类型的一对多的连接，如 Web、电子邮件、文件传输、VoIP 等连接。并且，每个传输必然对

16、应到VPN 网关之后的相关服务器上。在设计上，IPSec VPN 是一种基础设施性质的安全技术。这类VPN 的真正价值在于，它们尽量提高IP 环境的安全性。IPSecVPN 的诱人之处包括，它采用了集中式安全和策略管理部件，从而大大缓解了维护需求。1.1.3.21.1.3.2 应用系统的远程访问应用系统的远程访问信息技术发展到现在， Web成为标准平台已势不可挡， 越来越多的企业开始将 ERP、 CRM、SCM 移植到 Web 上。SSL VPN 将是 Web 应用热潮的直接受益者，它被认为是实现远程安全访问 Web 应用的最佳手段。很多情况下，如采用SSL VPN 的能够就是降低成本。虽然购

17、买软件或硬件的费用不一定便宜，但部署SSL VPN 很便宜。安装了这类软件或硬件，使用者基本上就不需要 IT 部门的支持了，只要从其 PC 机上的浏览器向公司网注册即可。SSL 连接也更稳定，据Infonetics最近发表的报告表明， SSL 将不断获得吸引力。到2006 年，74%的移动员工将依赖 VPN（比 2004 年增加 15%） ，预计增长率主要来自 SSL，这种 IPSec 以外的方案避开了部署及管理必要客户软件的复杂性和人力需求。 最终用户避免了携带电脑， 通过与因特网连接的任何设备就能获得访问，SSL 更容易满足用户对移动连接的需求。用户通过与因特网连接的任何设备实现连接， 并

18、借助于 SSL 隧道获得安全访问。 虽然这需要在企业防火墙后面增添硬件，但企业只要管理一种设备，不必维护、升级及配置客户软件。SSL VPN 将远程安全接入延伸到IPSec VPN 扩展不到的地方，使更多的员工，在更多的地方，使用更多的设备，安全访问企业网络资源，同时降低了部署和支持费用。SSL VPN 正在成为远程接入的事实标准。SSL VPN 可以在任何地点，利用任何设备，连接到相应的网络资源上。SSL VPN 通信运行在 TCP/ UDP 协议上，具有穿越防火墙的能力。这种能力使SSL VPN 能够从一家用户网络的代理防火墙背后安全访问另一家用户网络中的资源。 IPSec VPN 通常不

19、能支持复杂的网络，这是因为它们需要克服穿越防火墙、 IP 地址冲突等困难。 鉴于 IPSec 客户机存在的问题， IPSecVPN 实际上只适用于易于管理的或者位置固定的设备。SSL VPN 是基于应用的 VPN， 基于应用层上的连接意味着 （和 IPSec VPN 比较） ， SSL VPN更容易提供细粒度远程访问 （即可以对用户的权限和可以访问的资源、 服务、文件进行更加细致的控制，这是 IPSec VPN 难以做到的） 。IPSec VPN 和 SSL VPN 将在网络组网中发挥各自的优势。在公司的远程访问安全中，由于分别存在着这两种情况，因此我们建议在方案中采用IPSec 和 SSL

20、VPN 相结合的部署方式：总部与分支机构之间的需要通过现有的Internet 进行互连， 提供分支机构对总部网络的访问。 因此， 采用基于IPSec的站点到站点的VPN接入是比较理想的接入方式。出差用户及远程移动用户访问公司内部应用、 及合作伙伴访问某些特定的业务应用系统，采用 SSL VPN 方式更能有效的满足应用的需求。1.1.3.31.1.3.3 产品选型及功能说明产品选型及功能说明（根据具体的产品功能描述）1.1.41.1.4 入侵检测系统入侵检测系统根据之前的安全风险与安全需求分析， 在公司网络中，由于直接接入 Internet 及内部网络用户众多，可能面临的风险及威胁有：拒绝服务攻

21、击（拒绝服务攻击（DoSDoS） ：通过消耗网络带宽资源或网络设备处理能力资源，使正常的服务和数据通信对网络的传输质量要求得不到满足。尼姆达（ Nimda）病毒冲击波（Blaster, Nachi）病毒就是非常典型例子。信息窃听信息窃听资源滥用资源滥用：内部人员访问不当站点、玩网络游戏， 浪费网络资源，使正常的服务和数据通信得不到保障。管理失控管理失控：通过窃取网络设备的管理权而使网络失去安全性因此， 我们在方案中建议在网络中部署入侵检测系统来入侵及滥用行为进行检测及审计。通过在网络中部署入侵检测系统，可以在安全保障上做到：检测和发现针对系统中的网络攻击行为，如 DoS 攻击。对这些攻击行为可

22、以采取记录、报警、主动阻断等动作，以便事后分析和行为追踪。通过定义禁止访问网站，限制内部人员对不良站点的访问。对一些恶意网络访问行为可以先记录， 后回放， 通过这种真实地再现方式更精确的了解攻击意图和模式，为未来更有效地的防范类似攻击提供经验“入侵检测系统” 可以提供强大的网络行为审计能力， 让网络安全管理员跟踪用户（包括黑客） 、应用程序等对网络的使用情况，帮助他们改进网络规划。对“入侵检测系统”的使用和使用人员的管理一定要有专门的制度。IDS 最主要的功能是对网络入侵行为的检测，它包括普通入侵探测和服务拒绝型攻击探测引擎，可以自动识别各种入侵模式， 在对网络数据进行分析时与这些模式进行匹配

23、， 一旦发现某些入侵的企图，就会进行报警。IDS 也支持基于网络异常状况的检测方式。IDS 具有强大的碎片重组功能， 能够抵御各种高级的入侵方式。 为了跟踪最新的入侵方式和网络漏洞，IDS 提供大容量的入侵特征库以及方便的升级方式，每一个漏洞都提供了详细的说明和解决方法，并且给出了相关的Bugtraq、CVE 以及 CAI 等国际标准的编号。IDS 能够基于时间、地点、用户账户以及协议类型、攻击类型等等制定安全策略。通过对安全策略的调整， 用户能够很方便地将 IDS 自定义成为符合自己组织需要的入侵检测系统。而且，通过IDS 提供的正则表达式，用户能够方便地对入侵特征库进行扩充，添加需要的入侵

24、特征， 并且能够对入侵的响应过程进行自定义。 比如用户需要在发现某种特定类型的攻击方式的时候启动一段自己编写的程序以完成某项功能的时候， 就可以利用 IDS 提供的接口灵活而方便地进行配置完成。在抵御拒绝服务攻击的功能上，IDS 不仅仅能够进行攻击的报警，而且能够主动切断攻击。由此产生的大量日志能够通过IDS 具备的强大的工作区切换功能进行存储和转发， 大大提高了网络入侵检测系统本身的抗攻击能力。为了进一步提高IDS 的抗攻击能力，IDS 还支持 Stealth 模式的配置，就是无 IP 设置。这样攻击者就无法访问运行IDS 安全工作站，也就无法对 IDS 进行直接攻击。1.1.4.11.1.

25、4.1 产品部署说明产品部署说明（根据具体的网络情况描述）1.1.4.21.1.4.2 产品选型及功能描述产品选型及功能描述（根据具体的产品描述）1.21.2内网安全解决方案内网安全解决方案面对网络信息安全的各种风险， 我们在边界及网关处的安全解决方案解决了许多安全问题。例如： 在网络边界，通过防火墙对网络连接和访问的合法性进行控制，通过网关过滤设备对数据流非法内容进行控制； 在网络传输上， 通过入侵检测监视黑客攻击和非法网络活动等。但针对于内部网络我们仍然面临着诸多的安全问题。 传统上，我们通过漏洞扫描发现系统缺陷；在主机设备，通过主机加固加强主机防护能力， 通过防病毒、反间谍软件预防恶意代

26、码等。然而随着网络的发展，病毒及恶意代码本身的技术越来越先进，其防护也越来越复杂。而且随着计算机技术及应用的普及，桌面用户的行为也越来越超出网管员的管理能力范畴。因此，在考虑内部网络安全时，如果有效的管理网络及终端将是我们考虑的主要问题。在此我们通过以下三种手段来完成基于终端的安全管理：通过部署网络防病毒系统来完善企业整体防病毒及恶意威胁的能力；通过漏洞扫描或风险评估工具来发展漏洞、 脆弱性及威胁， 并通过补丁分发系统对漏洞及脆弱性进行及时的矫正及补充；通过终端安全管理系统对桌面设备及用户进行安全管理及规范， 有效保证终端的安全。1.2.11.2.1 企业防病毒系统企业防病毒系统目前公司网络系

27、统中并没有一套完整的防病毒策略和技术方案， 工作站安装的防病毒软件各种各样， 甚至有些服务器与工作站没有安装防病毒软件， 部分工作上使用的防病毒软件病毒特征代码没有及时更新， 没有对防病毒软件进行统一的管理。 鉴于防病毒的重要性和资源服务器系统网络的当前状况， 需要建立一套完整的防病毒系统， 把病毒对网络的威胁降到最低。目前企业整体防病毒解决方案均已比较成熟。 在此我们针对传统企业防病毒系统部署强调以下几点：全面性全面性：实施网络防毒系统时， 应当对网络内所有可能作为病毒寄居、 传播及受感染的计算机进行有效防护。避免有“遗忘的角落”造成病毒传播的源泉；功能及易用性功能及易用性：一方面需要对各种

28、病毒进行有效杀、防； 另一方面，也要强调网络防毒在实施、操作， 维护和管理中的简洁、方便和高效， 最大限度地减轻使用人员和维护人员的工作量；资源占用资源占用： 防毒系统和企业现行计算机系统的兼容性、 防毒软件的运行效率及占用资源等是企业防病毒系统必须考虑的问题。 部署时考虑到企业现有的计算环境及应用平台，是否与需求资源相匹配；管理体系管理体系：为了保证防病毒系统的一致性、 完整性和自升级能力， 还必须要有一个完善的病毒防护管理体系， 负责病毒软件的自动分发、 自动升级、 集中配置和管理、统一事件和告警处理、保证整个企业范围内病毒防护体系的一致性和完整性。防病毒策略防病毒策略： 这个是企业防病毒

29、系统最容易被忽略的地方。 系统必须明确地规定保护的级别和所需采取的对策， 并制定系统的防病毒策略和部署多层防御战略， 服务器防病毒、 个人桌面计算机防病毒以及所有防病毒产品的统一管理， 不要让网络系统中存在“木桶效应” 。一个良好的防病毒解决方案需要做到“层层防护，处处设防” ，全方位多层次部署防病毒体系。我们为公司网络中提供一个稳定高效、技术一流、方便管理、 服务周全的病毒防护解决方案， 满足网络系统对病毒防护系统设计的业务需求， 确保网络系统能有效抵御各种病毒和恶意程序的攻击。在公司网络中建立病毒防护管理服务器， 所有的防毒对象（工作站和服务器）均采用安装代理的方式来实现集中控管。防毒服务

30、器全面控制防毒代理的运行、升级和删除等权限。可以通过防毒服务器自动分发防毒策略和防病毒升级特征库， 而整个防毒体系只需要网管与网络安全管理中心的防毒服务器去Internet自动获取病毒库升级就可以自动完成全网的升级工作。 极大地提高了防毒工作的效率。 并且这种二层架构的网络防毒体系具有很好的扩展性。1.2.1.11.2.1.1 产品选型及功能描述产品选型及功能描述NOD32 企业级防病毒安全套装是一个高性能和稳定的防病毒解决方案，它方便了对网络中所有计算机的保护配置和更新，这些计算机包括：工作站，文件服务器，Exchange 和Domino 邮件服务器，SMTP 网关和边界服务器。它不仅抵御病

31、毒，蠕虫和特洛依木马，还防护新的英特网攻击，如垃圾邮件，间谍程序，拨号器，黑客工具和恶作剧，以及针对系统漏洞，并提供保护阻止安全冒险。入侵防护采用了新一代的防护技术， 它比传统的检测系统更加智能化， 能在第一时间发现新的威胁， 并阻断企图越过传统防病毒软件的未知病毒的攻击， 不管该未知病毒是以下列何种方式传播：外围设备、局域网共享资源、电子邮件E-mail、互联网。入侵防护是市场上唯一一款集已知和未知威胁防护于一身的入侵防护软件， 能最大程度地抵御病毒、 木马、蠕虫等网络威胁。入侵防护企业版主要特性包括：发现并清除未知病毒： 结合了多种恶意代码程序的检测及阻断技术， 能有效发现并清除未知病毒。

32、缓冲区溢出防护：不仅能抵御已知的安全漏洞攻击， 而且能防护未知的攻击。 能在第一时间保护系统内的缓冲区溢出漏洞不会被恶意代码利用作为攻击的手段， 即使还没有任何针对该漏洞的资料和补丁程序。防护性的阻断感染：可以在网络层防止病毒和蠕虫在企业网络中传播。安全政策定义： 通过建立安全政策来控制计算机上运行的程序可执行的操作， 使网管人员能对企业网络内所有的计算机进行整体控制管理、 定义并干预正当的及被禁止的操作。新一代的防护技术，能抵御所有类型的互联网威胁：包括病毒、木马、蠕虫等。无可比拟的集中式部署： 能不受地域限制， 对企业组织中所有的工作站进行客户端分发和集中管理。占用资源最小化：是在低带宽环

33、境下保护笔记本电脑的理想方案。基于通用标准的技术：优化网络内的防病毒更新速度。友好直观的用户界面：避免混淆和误操作。1.2.21.2.2 终端安全管理终端安全管理在第 2 章里我们针对终端的安全进行了详细风险及需求的分析。 终端安全是我们整体解决方案里不可或缺的部分， 因为终端安全是我们日常安全工作是最重要也是需要关注最多的部分。因此相应的终端安全的解决方案必须做到：统一、灵活的安全策略统一、灵活的安全策略所有的安全管理都是通过策略集的定制和分发来完成的， 支持集中的安全管理， 便于整个系统的统一管理。安全策略分为用户策略和全局策略两类。 一般情况下，用户终端工作在网络环境下，接受在线环境下用

34、户策略的控制； 对于移动办公的笔记本电脑等移动终端， 接受脱机情况下全局策略的保护。管理员可根据组织机构划分管理权限， 不同的管理者具有不同的权限和管辖范围， 支持系统清晰的职权划分。 安全策略可以分组分类， 不同的策略组所起的控制作用和使用范围也不同。为了简化策略的管理， 我们将用户按照角色来管理； 对不同的角色实施不同的安全策略。策略涉及多个层次：物理和环境、链路和操作、网络、设备、系统、应用、数据、人员等各个层面的安全策略制定、 部署和实施，帮助客户有效实现网络安全建设。 策略层次如下图所示：多层面、全方位保护多层面、全方位保护系统的保护覆盖了“系统内核 - 系统设备 - 应用程序”三个

35、层面，提供了全方位的保护。在系统内核层面，可自动、透明地帮助用户加固操作系统、降低 IT 资源风险。终端用户勿需具备专业安全知识便可将自己的计算机终端加固到专家级程度， 从而将精力关注于核心业务。在系统设备层面， 严格限定用户对硬件设备 （例如： 磁盘驱动器、CD-ROM、USB 设备、打印机、网卡等）的使用权限和网络传输控制， 保证该主机遭受攻击或发起对外攻击的可能性都极大降低，同时也防止数据信息泄露。在应用程序层面， 严格限定用户在指定电脑上的合法行为和禁止行为， 保证了用户只能在合法范围内正常使用电脑， 避免了用户对资源的滥用， 也避免了由此造成的维护成本升高。智能化分析和异常检测机制智

36、能化分析和异常检测机制系统通过特有的环境因子和用户因子生成报警因子， 并结合策略因子和历史数据， 共同输入到决策引擎中；该引擎采用专有的安全算法，综合分析判断得出对某个事件是否报警。这样就避免了大量误报给管理员带来的工作量。安全和管理相结合安全和管理相结合计算机终端的生命周期管理过程中， 既涉及到安全保护，也涵盖终端管理， 这两项工作内容都服务于业务目标，目的是保证 IT 业务和办公的正常运行和健康发展。安全和管理的完善结合，正是终端管理系统设计的重要思想。1.2.2.11.2.2.1 产品选型与功能介绍产品选型与功能介绍IP-GUARD 终端安全管理系统是为了应对目前终端面临的众多安全威胁而

37、设计的一种安全管理产品，也是实现 ELM 策略的重要技术手段。提供了对终端生命周期管理（ELM）策略的全面技术支撑，涵盖了资产管理、终端保护、应用监管、审计分析等功能模块。以计算机终端为核心， 通过完整、 灵活、 适应用户需求的措施， 提供终端安全解决方案。KSMS 面向企业级用户，它部署在网络中每一台计算机终端，实现对终端的全面保护，并且强调对网络终端的统一控制管理。 象一个时刻守卫在用户身边的安全管理员， 提供有效的安全保护，确保计算机安全使用和企业级的统一管理。1.2.2.1.11.2.2.1.1 系系统体系和结构统体系和结构由三个部分组成：策略服务器（KPS） 、管理控制台（KMC）

38、、安全客户端（KSA） 。分布式的体系结构分布式的体系结构系统采用分布式体系结构， 部署在网络内所有需要保护的计算机终端， 通过集中的管理中心进行控制管理。KSMS 提供灵活的部署能力，具有良好的扩展性。KSMS 体系结构如下图所示：在上图中，安全管理中心包括策略服务器、管理控制台、日志和审计数据库。其中，日志和审计数据库可采用独立服务器， 也可安装部署在管理控制台。 需要保护管理的计算机终端包括企业网络环境中工作的各种PC、笔记本电脑、PC 服务器等。接受保护和管理的终端节点会产生各种安全审计信息， 可集中传输并存放到日志审计数据库，管理控制台可以访问和管理审计信息并进行统计分析。系统组成系

39、统组成策略服务器策略服务器保存并分发安全策略。KPS 负责系统的认证授权、策略管理的后台支持，负责整个系统策略的发布和保存。支持分布式部署，能够适用于大规模网络环境的应用。管理控制台KSMS 管理控制台实现系统的集中管理控制。负责用户终端管理、策略定义和应用、系统设置、日志查询和报表分析，为系统的管理提供统一的平台，并支持用户分权管理。安全客户端安全客户端接受控制台的管理，执行安全策略。KSA 部署在需要保护的用户 PC 和服务器上，保护计算机终端安全使用、 约束用户操作行为，系统将各种安全信息和日志传递到控制台供管理员统一分析处理。1.2.2.1.21.2.2.1.2 主主要功能要功能资产管

40、理资产管理企业级的资产管理功能， 帮助管理员和信息主管充分掌握企业范围内IT信息资产情况，为加强 IT 管理提供依据。设备管理管理员可充分掌握分散的计算机终端硬件配置及其变更情况（例如主板、CPU、内存、硬盘等） ，统筹管理，避免资产流失。软件管理管理员可及时掌握客户端安装软件及变化情况 （例如操作系统、版本、 补丁、所安装的应用软件等） ，便于监督管理。用户管理员工用户是企业资产的重要组成部分。 提供基于按组织划分的用户角色的管理， 管理员可在线查询用户终端操作系统、进程、设备情况、性能状态等多种信息。资产识别对非法终端、设备资产的真实性识别可通过绑定IP、MAC、用户的方式实现。终端保护终

41、端保护KSMS 企业级的强制安全策略，提供基础架构保护和资产保护功能，通过多种手段全方位保护计算机终端安全使用。 基础架构保护主要包括： 终端网络访问控制、 恶意程序综合防范；资产保护主要包括：设备使用限制、数据文件保护。终端网络访问控制通过 IP 地址、 IP/TCP/UDP/ICMP/IGMP协议、 服务端口等控制， 防止遭受外来黑客攻击，并且防止内部终端对外（或内部网络其它终端）发起攻击。恶意程序综合防范采取多种方式综合防范恶意程序破坏。 通过端口控制，可阻止特定蠕虫攻击；通过限制程序执行，控制未知病毒发作；通过注册表保护，防止恶意代码篡改；通过补丁管理，可及时通知补丁信息，弥补漏洞；通

42、过与 KILL 及各种主流防病毒软件联动，集成实现防病毒管理。设备使用限制通过限制串口/并口、软驱/光驱、USB 磁盘、各种形式打印机、PCMCIA 卡、红外、1394接口、多网卡/无线网卡、Modem/ADSL 等设备使用，有效防止设备滥用、一机多网使用、信息通过设备泄露现象的发生，同时为加强IT 制度管理提供技术保障。数据文件保护通过数据访问权限控制等方式，保护数据、防止破坏和信息泄露。应用监管应用监管通过多种方式对计算机终端应用状况和用户行为进行监控管理。非法外联控制通过网络设备限制、网络程序/连接控制等手段，限制终端非法外联，对员工随意访问外部网络的行为进行管理， 同时避免从不安全网络

43、引入安全风险。 此外， 还可通过联动方式，控制终端必须经过统一认证才能经过滤网关连接到外部网络。网络准入控制可通过检测发现并防止非法终端 （非 KSMS 客户端） 接入网络， 以此保护企业网络资源；此外，还可与交换机联动，通过802.1x 协议方式将非法终端隔离在网络之外。程序限制可限制网络程序，对 QQ、MSN、网络冲浪等行为进行管理；对游戏及业务无关行为进行技术限制；保证工作效率。网页过滤预置上百万条分类的 URL 网站（暴力、色情、赌博、邪教等）黑名单，可完全禁止访问； 另外可通过自定义黑白名单、 关键字方式过滤非法网站和网页， 限制对禁止网页的访问。远程维护当终端计算机用户需要现场技术

44、支持时， 管理员可通过的远程协助功能帮助用户解决技术问题，在特权许可情况下对客户端进行远程维护和屏幕监控，大幅提高工作效率。审计分析审计分析提供系统日志、认证日志、报警日志等等多种水晶报表格式的统计分析报告， 为管理员提供安全分析依据。日志划分为7 个级别（紧急、警报、严重、错误、警告、 通知、提示） ，可选择多种告警方式（声音、邮件、Windows 消息等） 。1.31.3应用安全解决方案应用安全解决方案在第 2 章里， 我们对应用安全的风险及需求进行了详细的分析与定义。 在我们整体解决方案中从以下的两个方面来完善应用安全解决方案。1.3.11.3.1 身份认证身份认证1.41.4安全管理解

45、决方案安全管理解决方案在第 2 章的安全管理的风险及需求分析中， 我们主要从技术层面和行政层面两个方面来进行了阐述。实际上，安全管理是一个复杂而渐进的过程，因为作为管理能力，是需要通过不断的改进和提高。 在公司的安全管理解决方案中， 我们先从技术和行政这两个层面对的安全管理进行一个基本设计， 先建立一个基础的安全管理平台， 然而我们会进一步如何建立有效的安全管理体系（SOC） ，实现可管理的安全进行初步的论述。1.4.11.4.1 安全管理平台的建立安全管理平台的建立1.4.1.11.4.1.1 技术层面技术层面作为信息安全管理平台所要求的高效和安全应用， 是离不开尖端的计算机技术作为基础，当

46、然也离不开企业的行政管理手段， 因为没有系统的管理措施， 那么再新的技术也无法在系统中得到更好的应用。在技术方面通过专业的网络综合管理系统来建立一个基本安全管理中心的技术平台。 通通过专业的网络综合管理系统来实现对过专业的网络综合管理系统来实现对网络设备网络设备、主机设备主机设备、安全设备安全设备和和应用系统应用系统的安全管的安全管理。理。由于公司的信息系统建设是分步进行的， 网络设备、应用系统以及安全设备、 用户平台等具有多样性， 因此对管理平台或系统的要求也比较高， 必须采用专业的网络综合管理系统，对网络中的所有设备以及系统平台都能够统一集中管理， 获取所有设备的工作状态和网络负载状态，同

47、时可以看到网络活动的日志信息， 用它来对网络状态进行分析， 提供更有效的安全策略，同时网管系统能够监测客户端系统状态， 能够接管客户端系统，当网络中的么一用户系统出现问题而自己却无法诊断， 这时可以通过网管系统进行远程接管， 来协助用户解决问题。1.4.1.21.4.1.2 行政层面行政层面在行政层面公司必须成立信息安全管理小组， 通过小组会议确立信息安全政策总则、 信息安全管理政策、信息安全审计考核及信息安全政策。信息安全政策总则信息安全政策总则主要是确定公司信息安全总体原则， 明确今后的安全目标， 有组织、有计划的为信息安全建设给出总体方向，是其它政策和标准的依据。信息安全管理政策信息安全

48、管理政策主要是制定信息安全政策和标准流程、管理规范、 推广实施、定期维护；设置安全组织管理体系的结构；规定领导层对信息安全的责任、考核。信息安全策略信息安全策略主要是明确公司内部所有用户、 所有应用的明确的安全细则， 它是作为公司领导对所有用户考核的依据。其具体信息安全政策应包括以下内容：安全事件监测和响应员工信息安全管理开发维护内部软件数据和文档管理商业软件的购买和维护网站、电子邮件硬件设备和物理安全信息系统的访问控制网络、系统操作和管理防御病毒和防御攻击信息安全审计信息安全审计指定审计和考核标准的目的是为了考察信息安全政策和标准的执行情况， 及时发现问题，纠正问题。这有助于信息安全政策的改

49、进和完善。 政策中应该包含审计考核的标准、 审计考核时间、方法、结果的处理。在行政层面部分内容， 如信息系统安全策略设计、 详细的安全策略制订等可以通过外部专业的安全咨询公司进行咨询， 然后结合企业的信息安全建设来制订。 此部分内容我们将在下一部分安全服务解决方案里进行进一步的阐述。1.4.21.4.2 安全运营中心（安全运营中心（SOCSOC）信息安全管理的发展，随着安全需求的提升也不断的发展。 近几年以来，安全运营中心（SOC）的概念及技术发展的也越来越成熟。部分涉足比较早的企业和服务商已经有了比较成功的实施案例。在公司的安全管理解决方案中， 我们在基础的安全管理平台之上， 也提出关于建立

50、有效的安全运营中心（SOC） ，实现可管理的安全服务。1.4.2.11.4.2.1 SOCSOC 基础基础传统的安全管理方式是将分散在各地、 不同种类的安全防护系统分别管理， 这样导致安全信息分散互不相通， 安全策略难以保持一致， 这种传统的管理运行方式因此成为许许多多安全隐患形成的根源。安全运营中心（Security Operation Center）是针对传统管理方式的一种重大变革。它将不同位置、不同安全系统中分散且海量的单一安全事件进行汇总、过滤、收集和关联分析， 得出全局角度的安全风险事件， 并形成统一的安全决策对安全事件进行响应和处理。 总体来说SOC的根本模型就是PDR模型， 而S