内网主机监控与审计系统解决方案_信息安全_基础信息化_1666.docVIP

内网主机监控与审计系统解决方案_信息安全_基础信息化_1666 内网主机监控与审计系统解决方案_信息安全_基础信息化 1 背景 网络安全主要分为内网安全和外网安全，其中内网安全是网络安全的核心。随着信息化建设的不断推进，很多企业都组建了内网，以实现资源共享，提高工作效率。内网已经成为了企业内部交流、信息数据传递的主要渠道和工作之中必不可少的重要部分。因此，使内网保持在安全、可靠的环境下运行，帮助企业规范管理各类业务，从内部源头上提高企业信息的保护力度，已经成为企业安全管理中的焦点问题。 计算机终端是内网的主要成分，也是各种安全事件发生的主要地点，所以主机安全管理已经成为内网安全管理的重要组成部分。在计算机终端较多的情况下，网络管理人员往往无法及时了解每个主机的当前运行状况，更不能有效地监控和管理这些主机的安全状况与使用策略，即使有完备的主机管理制度，但是缺少有效的方法，安全制度还是成为了摆设。因此，如何加强对主机的安全监控和管理，成为了企业内网安全建设的关键之一。 2 使用内网主机监控与审计系统的必要性 2(1 内网主机主要面临的安全威胁 当前内网主机主要面临的安全威胁有如下几条: (1)资产管理混乱造成的安全威胁。网络中主机用户随意调换硬件配备、更换操作系统及各类应用软件、无节制使用各种外设而引发的主机性能降低、病毒传播和机密外泄等。 (2)外部非法接入造成的安全威胁。移动设备和新增设备未经过检查和处理，违规接人内部网络，引起的病毒传播和机密外泄等。 (3)内部非法外联造成的安全威胁。用调制解调器、双网卡、无线网卡等网络设备私自建立网络连接，通过在线违规拨号上网、违规离线上网等方式，非法连接外部网络，从而造成的机密信息泄露和病毒攻击。 (4)网络资源滥用造成的安全威胁。非法变更主机IP地址或者MAC地址，造成公司内部网络混乱，一旦出现安全事故，网管人员无法准确定位责任主机;上网行为混乱，无法进行有效监督，工作时间上网聊天、游戏等行为不但影响工作效率和网络带宽的正常使用，而且经常造成病毒的传播。 (5)系统补丁升级与病毒库更新不及时造成的安全威胁。由于主机存在安全漏洞，没有及时更新安全补丁，导致的系统漏洞攻击;杀毒软件的病毒特征库没有及时升级，导致计算机病毒发作，主机不能正常工作，甚至病毒大肆传播，整个企业内网陷入瘫痪。 2(2 传统安全技术对内网主机保护的不足 传统的安全技术主要采用防火墙部署在网络边界，防止来自外部的攻击t采用杀毒软件查找、消除来自病毒的攻击;甚至采用物理隔离系统的方式，阻断网络间的通信，达到防止外来攻击的目的。但是，这些传统安全技术主要是针对来自外部的安全威胁，对于内部网络尤其是内网中的各个主机却无法做到统一监控、保护和管理，进而造成内网安全管理的极大缺失和不足。无法利用传统安全技术做到主机资产监控、非法接入监控、非法外联监控、网络资源使用监控以及系统补丁统一分发等。因此，内网主机监控与审计系统在这种需求下诞生了。 3 内网主机监控与审计系统的要求 目前各软件企业推出的主机监控与审计系统一般都由3部分组成:客户端、服务器端和管理端。客户端，即安装在计算机上的代理软件，用来收集主机数据信息，并接收从服务器端发出，由管理员配置的安全策略和指令。其最终目的是对主机行为进行监控，当有非法行为发生时，客户端可以中断非法行为，保护主机和各种软、硬件资源及机密信息的安全。同时还能够产生相应的报警日志，方便管理者进行追查、处理。 服务器端，一般安装在内网中一个具有较高性能的平台上，用于接收受控主机客户端发送的各类信息，进行存储、管理。管理端，通常是一个Web服务或者其他应用程序。经过用户登录后，管理者能够进入对应的管理界面，配置和下发适当的安全策略，查询和分析客户端日志，以及统计和管理各种主机资产信息。 一个成熟的内网主机监控与审计系统主要具有以下几个方面的功能: (1)桌面管理与主机行为监控 对安装了客户端的受控主机可以进行分组管理，帮助管理员对主机进行监控、掌握。获取受控主机上的各种详细信息，如用户名、运行时间、IP、MAC地址、策略应用情况等;支持资产管理，提供软硬件资产统计和资产变更管理;并按照收到的下发策略对受控主机的行为进行监控，例如，通过设置相应安全策略禁止修改某文件，当违反策略的行为发生时，系统能有效地阻止此行为，并产生相关日志。 (2)上网行为管理和非法主机接入阻断 对内网中各主机用户的上网活动可以进行监控、管理。通过设置禁止或只允许浏览的指定网站和使用的网络程序，进行上网行为的管理，同时，记录员工的上网历史，及时发现异常行为。对其他非法主机的接入进行阻断。 (3)终端设备和存储介质安全管理 提供对各种终端设备和移动存储介质的安全管理，可以对U盘等移动存储介