安全专家内网安全管理系统教案.doc

安全专家内网安全管理系统 功能简介 目 录 第一章 概述 3 第二章 设计思想和依据 4 2.1 设计思想 4 2.2 设计依据 4 第三章 系统结构及部署 5 3.1 系统结构 6 第四章 产品功能 6 第五章 关键技术 9 第六章 产品特性 11 第七章 技术参数及环境要求 12 7.1技术参数 12 7.2环境要求 12  第一章 概述 随着信息化的快速发展，信息技术的应用也越来越广，已经成为现代企业不可缺少的重要支撑平台，但是随之产生的信息安全问题也越来越突出。系统漏洞、蠕虫感染、黑客攻击、非法接入等网络终端安全问题无时无刻不在威胁企业的信息安全，信息安全造成的损失也日益加大。漏洞的不断被发现，蠕虫的大规模爆发，黑客技术的不断提高，WLAN，PDA等新技术的广泛使用也增加了企业的网络安全风险。 然而，传统的信息安全模型都是侧重于边界安全，却忽视了内网的安全，但根据权威机构统计85%以上的信息安全事件是由内部网络中终端的安全问题引起。本系统提出了一个解决内网安全的全新概念： 终端是组成网络的重要要素，是网络安全防护的源头，也是防护的难点和重点，它既是安全防护的对象，又是需要防范的对象，只有接入内网的终端安全和行为是可控的，才能保证整个网络的安全。 基于这一思想开发的“安全专家”内网安全系统要求通过自动修复系统安全漏洞，安全策略和安全设置自动优化等方式进行安全的主动防御。对不符合安全要求的设备，通过网络隔离，锁定设备，和后台强制执行等网络手段来确保所制定的安全策略有效地被执行。为防止信息泄露，对所有可能的信息泄露途径进行功能上的限制和审计，以便于日后的跟踪和取证。 本系统从酝酿到正式发布，经过了几十次反复设计、改进、试验。目前，已经在多个行业和领域得到广泛应用。我们的用户一致认为本系统真正地为他们的企业建立了一个主动自我防御、自我安全加固的自免疫安全系统，提高了企业的整体安全水平，为企业的长期稳定发展提供了有力保障。 第二章 设计思想和依据 2.1 设计思想 针对现在的内网安全威胁和传统安全产品的安全缺陷，我们提出了一个解决内网安全的全新概念： 终端是组成网络的重要要素，是网络安全防护的源头，也是防护的难点和重点，它既是安全防护的对象，又是需要防范的对象，只有接入内网的终端安全和行为是可控的，才能保证整个网络的安全。 基于这一思想开发的“安全专家”内网安全管理系统要求通过自动修复系统安全漏洞，安全策略和安全设置自动优化等方式进行安全的主动防御。对不符合安全要求的设备，通过网络隔离，锁定设备和后台强制执行等网络手段来确保所制定的安全策略有效地被执行。为防止信息泄露，对所有可能的信息泄露途径进行功能上的限制和审计，以便于日后的跟踪和取证。 2.2 设计依据 “安全专家”内网安全管理系统主要是通过安全防护、网络接入控制和安全审计三大功能模块来保证整个内网的安全。 1.安全防护 模块主要突出主动防护的特点，强调系统自身的安全免疫力；整体思路是通过三层防护来保障终端的安全： 一级防护主要通过对发现的系统安全漏洞进行自动修复，增强系统自身安全免疫能力； 二级防护是在一级防护不到位的情况下，通过服务器对各终端强制安全检测，及时发现安全漏洞和隐患，对终端进行加固处理，提高终端的安全防护能力； 三级防护是针对突发的安全事件，如突发的蠕虫等病毒，采取隔离、屏蔽端口等技术措施，防止安全事件的扩大。 2.网络接入控制 主要是通过身份认证和安全策略检查的方式，对未通过身份认证或不符合安全策略（终端防护策略、安全监控策略）的用户终端进行网络隔离，并帮助终端进行安全修复。 3.安全审计（防信息泄露） 主要是通过从系统的底层WMI(Windows 2K/XP管理系统的核心)，对Windows的所有事件（如文件拷贝、外设使用、打开窗口等）进行监控和记录，并且可以综合利用密码、访问控制和审计跟踪等技术手段，对涉密信息、重要业务数据和技术专利等敏感信息的存储、传播和处理过程实施安全保护。 以达到防范不安全网络用户终端给安全网络带来安全威胁的目的。 第三章 系统结构及部署 3.1 系统结构 “安全专家”内网安全管理系统的系统架构采用控制台－服务器－客户端代理三层结构。 该结构除了能实现集中式的管理、分布式的防护外，而且使得控制台和客户端之间无需再实时地直接建立连接。 3.2 系统部署 第四章 产品功能 分类 小类 软件界面功能体现 对客户的价值 在线安全策略 个人防火墙策略 基于灵活的协议和端口访问控制 基于 Netbios 的文件共享控制 客户端之间通信保证 入侵防御与检测 防止网络黑客的攻击 防止未授权的访问 保护终端主机的安全 网络应用程序策略 IE、Outlook 等应用软件版本控制、完整性校验 自定义特定网络程序文件版本控制、完整