内网信息安全集中管控系统的设计与实现.docVIP

内网信息安全集中管控系统的设计与实现 　　摘 要：本文主要是通过讲述从SEP（Symantec Endpoint Protect）防病毒系统，集团SOC（Security Operation Center）监控系统，内网安全管控系统采集数据，从办公网OA流程系统以及管理界面等接受数据，通过短信中心或通过对内网IP地址管理，实现对安全及病毒信息安全的管理与控制。 　　关键词：SEP；SOC；内网信息安全 　　中图分类号：TP393.1 　　随着计算机技术的飞速发展，企业办公自动化和信息化，提高了办公效率，创造了更多经济效益，但随之而来的是计算机信息安全问题也越来越突出，现在公司有7000多台设备使用内部网络IP地址，网络设备众多，访问方式多样化，经常出现终端主机遭受病毒入侵，内部主机非法访问未经过授权的集团主机，终端主机用户使用拨号、快带等方式非法外联，内网用户私自未经允许在终端上接入移动设备，误用，滥用、恶用内网资源等危害公司信息安全的事件。 　　1 数据处理及设计原则 　　企业终端用户由于安全意识、安全知识、安全技能的匮乏，导致企业安全政策不能真正得到很好的落实，开放的网络给企业的信息安全带来巨大的威胁。为了实现对内网信息管控，通过采集SEP防病毒，集团SOC系统，内网安全管控系统及办公流程及管理界面的数据到集中管控系统数据库，通过后台脚本进行发送三层交换或手机短信告警处理实现内网信息安全集中管控，通过对IP地址资料库的管理，实现对信息安全威胁的信息处理功能。通过IP地址分配和回收的流程化，使内网的IP地址管理效率和准确性得到很大的提升。整个系统数据处理过程见图1。 　　图1 　　由于病毒和入侵的不确定性和随时性，因此数据处理要能够实现全天候监控集团SOC、SEP防病毒系统和内网管控平台，能够及时接受处理流程接口及WEB管理输入的数据。按照规则定义数据处理频次，提取济南公司管辖的出现病毒终端、入侵事件和不经允许的安全事件，进行预警短信发送和按照规则选择性的对出现安全事件的主机进行封堵。 　　2 结构模块功能 　　按照各数据处理流程，内网信息安全集中管控系统采用根据数据来源及数据处理分为七个功能模块，每个模块处理不同的数据，完成相应的功能，通过后台脚本按照自定义规则处理集中管控数据库相应的数据。如图2。 　　图2 　　3 模块功能 　　3.1 SEP防病毒采集模块。通过SEP管理端统计病毒与风险摘要报告，按照一定频率通过web抓取受感染和有风险的计算机的报告，包括已安装SEP客户端的主机信息，包括IP地址，sep状态，sep安装，登录时间等，收集周期内防病毒软件防止微机感染病毒次数，病毒类型，并将这些信息分拣入集中管控数据库。 　　3.2 集团SOC监控系统采集模块。通过集团SOC平台，按照一定的频率筛选并记录济南市所辖范围内IP的可疑网络攻击事件、利用漏洞类攻击以及拒绝服务的DOS攻击等入侵攻击事件，并将这些信息分拣入集中管控数据库。 　　3.3 内网安全管控采集模块。通过内网安全管控系统收集信息入集中管控数据库，采集的信息包括终端用户属于哪个策略组，策略组的权限，以及实现的用户终端外联控制，远程维护，外设控制（U盘，光驱，软驱等移动设备），补丁管理，软件控制等安全策略。 　　3.4 OA流程系统接口模块。通过办公网OA统一流程中的“济南办公网IP地址申请和变更”，员工可以进行自助IP地址操作。可以申请新IP地址并回收旧IP地址。OA流程中提供的数据包括新办公地点的网关，公务手机号，办公位置，MAC等等信息，通过与办公流程数据库的接口导入集中管控系统数据库中的IP地址资料信息表，实施对数据库资料的更改。 　　3.5 WEB管理界面。采用IIS WEB服务对无法安装杀毒软件的终端以及出现病毒不能进行封堵的服务器实施白名单等级管理，提供IP地址临时使用管理、对该系统的用户权限等管理、创建后台脚本处理处理的各项规则、根据三层交换机loopback地址确定各区县分公司三层交换机各自管理的IP地址段等WEB管理录入界面。 　　3.6 WEB页面查询。WEB页面提供根据各种条件的查询功能以及自动工单生成处理状态的自助界面，使系统管理界面自助化。通过页面查询，可以查看哪些IP地址可以使用，系统对IP地址做了哪些处理，IP地址使用人，IP登录情况，杀毒软件安装等等信息资料。 　　3.7 后台脚本处理模块。作为系统的核心模块，对收集的病毒事件、入侵事件以及不符合要求的管控事件，按照已定义的规则及白名单原则进行短信通知，严重的利用IP地址与MAC地址的绑定技术，直接进行交换机IP封堵。针对不同厂家，不同批次的三层交换机采用不同的工单生成模块。对流程申请的，按流程要求进行，成功的直接发短信通知用户。对