某公司内网安全管理解决方案基本准入.docVIP

目 录 1 XX公司内网管理需求分析 1 1.1 XX公司信息系统现状 1 1.2 终端管理中存在的问题 1 1.2.1 IT资产管理问题 1 1.2.2 移动电脑的接入管理 1 1.2.3 终端行为管理与审计 2 2 北信源内网安全管理解决方案 3 2.1 系统概述 3 2.2 桌面安全管理 4 2.2.1 IT资产管理 4 2.2.2 终端安全检查策略 5 2.2.3 防病毒策略 6 2.2.4 软件和进程黑、白名单监控功能 6 2.2.5 IP/MAC绑定策略 7 2.2.6 防火墙策略 7 2.2.7 终端密码策略 7 2.2.8 注册表加固：注册表监护功能 8 2.2.9 违规外联策略 8 2.2.10 终端安全运维管理 8 2.3 网络接入管理 10 2.3.1 终端接入控制 11 2.3.2 基于802.1X协议的交换机端口接入认证 12 2.3.3 基于业务服务器的接入认证 13 2.4 档案、报警和日志管理功能 14 2.4.1 详尽的档案管理功能 14 2.4.2 日志管理功能 15 2.4.3 报警管理 15 2.5 系统具备的接口和强大的可扩展性 16 2.5.1 接口描述 16 2.5.2 系统具有良好的可扩展性 16 XX公司位于XX公司 北信源内网安全管理解决方案 为了应对以上内网安全管理的问题，北信源通过多年为国家机关、大型企业网络安全服务的实践，研发了内网安全管理系统，这套系统可以很好的解决大型网络面临的内网安全管理问题。 系统概述 北信源终端安全管理产品采用C/S与B/S混合模式设计，支持分布式部署，并具有模块化软件定制、支持标准API、无缝功能扩展与升级等优点。对于不同类型的网络，从终端状态、行为、事件三个方面来进行防御。整个系统具有以下特点： 统一的策略管理：软件采用统一的策略管理中心实现对内网终端的管理。策略具有多种类型，针对多个不同的终端区域，在多个不同的时间段，以及不同的网络中生效，方便于管理员进行灵活的控制。 分级管理：系统支持对管理员分级管理，实现不同管理员管理不同内容，可分为授权、管理和审计等多种角色划分，适合集中授权、多角色参与监控的管理模式。 通信保护：系统的组件间通信时，数据传输是经过加密的，客户端和服务器端相互通信使用双向认证机制，防止已安装同类客户端的非本网络计算机非法进入网络，同时也防止模拟的假客户端和服务器进行通信。 客户端软件：系统客户端运行有四个进程：vrvedp_m.exe, vrvrf_c.exe, vrvsafec.exe, watchclient.exe，在不分发安装补丁或软件时，占用物理内存25M左右，占用虚拟内存30M左右，在分发补丁或软件时，管理员可自定义对网络资源的占用。系统客户端具有自我保护机制，防止用户随意停止、卸载。 服务器安全性：服务器系统具备保护服务器的功能。保证管理系统服务器使用的安全性，保证其受到恶意修改IP地址的方式攻击时仍可正常工作，网络中出现IP地址甚至MAC地址冲突等现象时，管理服务器不会被阻断出网，只有发起恶意攻击的设备会被自动阻断。 提供系统审计员、系统管理员、系统操作员三权分立的权限管理体系。 系统日志：系统提供运行审计和操作审计机制，保证系统的稳定运行。 系列产品组成图 北信源内网安全管理系统主要包括以下几个功能模块：桌面安全管理系统、补丁管理系统、网络接入管理系统、移动存储管理系统、主机行为强审计系统、安全U盘（硬件）等。 下面主要详细介绍桌面安全管理系统和网络接入管理系统两个系统功能模块的作用。 桌面安全管理 桌面安全管理以内网终端为核心，通过安全策略应用，加强终端自身的安全性，防止因终端配置或使用者疏忽造成终端安全故障，进一步影响整个网络的安全性。内网安全管理包括以下功能策略： IT资产管理 IT资产管理管理接入内网的众多IT设备，通过软硬件管理策略的应用，加强对众多终端设备的数量、状态的统计和运维的日常管理。防止因软硬件配置的变化，造成单位资产的流失以及给终端带来安全故障，甚至进一步影响整个网络的安全性。IT资产管理包括以下功能策略： 终端注册管理 终端注册管理可以对接入内网并且注册的终端设备进行软硬件资产的统计和管理，主要包一下几个方面的内容： 硬件资产统计管理 统计终端设备，如终端主机CPU的厂商、频率，内存、硬盘的大小，光驱，USB接口等基本硬件信息，通过硬盘以及IP、MAC地址标识内网中设备的唯一性。对网络中存在的交换机、路由器、打印机等网络设备进行信息的统计和做相应的记录。 软件资产统计管理 对已经注册的客户端，进行对操作系统版本以及杀软厂商的识别，对已安装的应用软件进行统计。对于系统可能存在的漏洞，以及杀软没有及时的更新，进行补丁的下载安装，杀软的自动升级。 资产变更管理 对已