需求背景

提起网络安全，人们自然就会想到网络边界安全，但实际情况是网络的大部分安全风险均来自于内部。常规安全防御理念往往局限在网关级别、网络边界（防火墙、IDS、漏洞扫描）等方面，重要的安全设施大致集中于机房或网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。相反，来自网络内部计算机终端的安全威胁却是众多安全管理人员所普遍面临的棘手问题。

近几年的信息安全事件表明，政府、企业以及金融证券等单位中超过80%的管理和安全问题来自终端，计算机终端广泛涉及每个用户，由于其分散、不被重视、安全手段缺乏的特点，已使得终端安全成为信息安全体系的薄弱环节。因此，网络安全呈现出了新的发展趋势，对于各政府企业网络来说，安全战场已经逐步由核心与主干的防护，转向网络内部的每一个终端。

内网安全管理面临的问题

n  如何发现终端设备的系统漏洞并自动分发补丁;

n  如何有效解决移动存储介质使用管理问题;

n  如何有效解决终端随意接入网络问题;

n  如何防范内网设备非法外联;

n  如何管理终端资产，保障网络设备正常运行;

n  如何在全网制订统一的安全策略;

n  如何及时发现网络中占用带宽最大的终端;

n  如何方便地进行远程点对点维护;

n  如何防范内部敏感信息的泄露;

n  如何对原有终端应用软件进行统一监控、管理;

n  如何快速有效地定位网络中病毒、蠕虫、黑客的引入点，及时、准确地切断安全事件发生点和网络;

n  如何构架功能强大的统一网络安全报警处置平台，进行安全事件响应和事件查询，全面管理网络资源。

这些终端安全隐患随时随地都可能威胁到用户网络的正常运行。针对如上系列问题大连利贞提供领先业界的内网安全管理产品及解决方案。

内网安全管理解决方案

本方案通过终端准入控制管理、终端安全审计管理、桌面终端安全管理、补丁及软件自动分发管理和移动存储介质管理等五大部分，并由集中统一的管控和策略平台，完成对上述安全管理组件的统一策略配置与下发、集中管理与审计，最终形成联动化的、集成化的、完整的终端安全体系建设。

1.     准入控制管理

n  内网安全的主要威胁来自于网络内部：非授权主机或者权限不足的用户，甚至被植入病毒木马的高权限的主机，接入内网后可以方便的获得重要服务器，数据库和其他主机上的敏感内容并通过移动存储介质，3G无线网络等传出网外。因此，内网准入控制是一个系统工程，需要做好主机，网络和服务器区三重防护体系。

n  接入认证网关是一款部署简便、使用灵活的网络准入/准出控制产品。使网络管理员能在允许用户进入网络前、访问外部网络前，对有线、无线和远程用户及其机器进行验证、授权。能够阻止未授权计算机越权访问网络资源。

2.     终端安全审计管理

随着信息安全技术和理念的发展，安全监控的关注点已经从设备转向对于设备使用者的行为，用户对于设备使用人行为审计和行为控制的需求越来越明显，由此国内外均已有相关的政策和法规陆续出台，国内的《涉及国家秘密的信息系统分级保护技术要求》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》和国外的《萨班斯·奥克斯利法案》也均明确的提出了对主机行为的监控和审计要求。主机监控审计通过技术手段使各种管理条例落实，增强用户的安全和保密意识，保护内部的信息不外泄。

n  文件保护及审计

提供对终端的OS系统目录、软件目录和共享目录中的文件的保护功能，设定访问、删除、修改权限；支持对设定目录文件的操作审计，包括文件创建、打印、读写、复制、改名、删除、移动等的记录，同时将信息上报管理信息库供查询。

n  文件输出审计

对主机通过共享文件等方式进行的网络文件输出行为进行审计和记录。

n  打印审计

根据策略对主机打印行为进行监控审计，防止非授权的信息被打印，同时根据要求还可以备份打印内容。

n  敏感信息检查

根据用户自主设定的敏感信息查询条件，设定对指定目录或盘符下的指定类型文件进行内容检查，检查其是否包含敏感内容，支持进行包含“或”、“与”等多种逻辑的组合监测和模糊监测。

3.     桌面终端管理

桌面终端管理需从使用人的基本信息开始记录，同时包括IP地址、MAC地址、软硬件资产、进程信息、软件信息、密码信息、杀毒软件、计算机资源、流量信息等方面进行统计，形成立体式数据库，当发生信息改变或资源报警时，能够第一时间通知管理人员，便于排查错误，并能够提供给管理人员相应的应急措施与手段，帮助管理人员迅速解决问题。

n  终端注册管理

该设计采用C/S和B/S模式混合管理方式，在被管理的桌面计算机上安装客户端程序。在安装客户端程序需要填写当前计算机使用人的个人相关信息，如使用人、部门、联系电话、邮件、所在地、计算机类型等，进行实名化的管理便于快速定位，无论是违规，还是网络安全事件发生时都可以快速定位到事件源。

n  IP和MAC绑定管理

对固定IP网络的MAC和IP地址进行绑定管理，当探测到IP变化后根据策略设置恢复其原有IP地址，或者阻断其联网，同时禁止修改网关、禁用冗余网卡。

n  硬件资产管理

自动搜集包括CPU、内存、硬盘分区总和、设备标识的大小和其他详细信息以及其他如主板、光驱、软驱、显卡、键盘、鼠标、监视器、红外设备、键盘等所有的硬件信息。 

n  软件资产管理

自动发现识别客户端安装的所有软件信息（名称、版本、安装时间、发现时间等），将相关数据入库，检测客户端运行软件信息，供管理员在Web控制台查询。

软、硬件设备信息变更管理

报警未注册设备、注册程序卸载行为，实时检测硬件设备变化情况（如设备硬件变化、网络地址更改、USB设备接入等）。

终端杀毒软件管理

可统一审计网络内终端的防病毒软件（主流厂商的均可）安装和使用情况，必要时可强制为客户端安装防病毒程序。如果需要，也可监控终端防病毒软件的安装情况，并进行相应的管理（如安装杀毒软件软件，强行升级病毒库、自动分发并自动执行病毒专杀工具等）。

n  非法外联管理功能

Ø  网络内部终端非法外联互联网行为监控

终端非法外联互联网行为监控：对于已注册的设备，通过不同方式（如双网卡、代理等）连接互联网进行的通讯，能够自动阻断其连接行为并报警。

Ø  网络内部终端非法接入其它网络行为监控

对于已注册的设备，监控其网络连接行为，根据接入网络环境因素判定其是否非法接入其它网络。

Ø  离网终端非法外联互联网行为监控

对于已经注册的计算机，非法带出到另外一个网络的行为进行监控，发现有外联互联网行为时可以采取警告、阻断、自动关机等操作。

Ø  非法外联行为告警和网络锁定

如果终端非法入网，可以在报警平台和报警查询处获知信息，并且可以对终端提示信息，自动关机，阻断联网等处理。

Ø  非法外联行为取证

对于非法外联行为进行实时告警功能，同时记录该行为发生的事件、IP地址、MAC地址、使用人等相关信息上报到服务器进行记录取证。

4.     补丁及软件自动分发管理

补丁及软件自动分发管理能够自动识别终端计算机操作系统类型，并根据需求自动下载所需补丁，自动安装并提示。系统向指定终端计算机（用户组）分发文件或安装软件，分发时可提供软件的运行参数和必要的运行控制。该管理体系可减轻网络管理人员的工作负担，软件分发时可报告软件安装的状态，无论软件正确安装与否，管理员均可及时了解情况。

5.     移动存储介质管理

该设计针对内网移动存储介质管理的特点进行，以移动数据生命周期为主导，紧扣其存储和交换的安全需求，针对移动数据全生命周期各个环节潜在的安全隐患，综合运用各种安全技术和手段，进行有效全程防护的安全产品。设计时考虑到了区域访问控制，信息保密、文件走查审计等方面，确保内网的信息不因使用移动存储而造成威胁，做到事前有保护，事后可追查，提供安全、简单易用的数据交换安全解决方案。