XX单位内网安全管理系统解决方案.docx

XX单位内网安全管理系统解决方案 目录 目录 2 一、系统需求分析 3 1.1网络管理中面临的问题 3 1.1.1终端安全管理问题 3 1.1.2 IP地址管理问题 4 1.1.3非法外联问题 4 1.1.4 IT资产管理问题 4 二、内网安全解决方案 5 2.1 系统部署和管理构架 5 2.2 系统部署时的硬件配置 6 2.3 终端节点加固 7 2.3.1 可统一配置的主机防火墙（网管控制包过滤） 7 2.3.2 弱口令监控 8 2.3.3 用户权限变化监控 8 2.3.4 关键进程加固 9 2.3.5 注册表加固 9 2.4终端全面管理 10 2.4.1 IP地址管理 10 2.4.2 IP、MAC地址绑定 12 2.4.3禁止修改网关、禁用冗余网卡 12 2.4.4 IT资产管理 13 2.4.5终端桌面管理 17 2.4.6终端安全管理 25 2.4.7网络主机运维监控 27 2.4.8非法外联行为监控 28 2.4.9普通文件分发 28 三、预计可达到的效果 29 一、系统需求分析 网络管理中面临的问题 随着信息技术的发展，网络安全问题已不再只是外部攻击和简单的病毒防护。当企业花费大量资金和精力构建起庞大的网络架构和安全防护体系时，殊不知，威胁企业生存和发展的是来自内部网络的安全隐患，而且其危害远大于一次黑客攻击或一次病毒骚扰。据FBI和CSI曾对484家公司进行的网络安全调查结果显示：超过85%的安全威胁来自公司内部，由于内部人员泄密所导致的资产损失高达6000多万美元，它是黑客所造成损失的16倍、病毒所造成损失的12倍。 XX单位已经建立了比较完善的网络管理行政制度，但是以往在网络管理工作因为缺少相对应的技术手段，网络管理制度无法得以落实，致使管理员的日常维护工作繁琐，同时还有信息泄密的风险。一个成熟的网络安全管理理念应该是全方面的主动防御，而不是事后责任追查。网管人员在多年的管理中总结出以下有待解决的需求： 1.1终端安全管理问题 计算机病毒是目前对网络及计算机安全最大的威胁，目前XX单位内部虽然已经统一配置安装了杀毒软件，能够对病毒进行一定的防范，但是仍存在终端升级不及时，版本不统一，管理不规则等问题。 在得不到有效的监控情况下，内网终端的密码经常被改动，其安全性（包括密码长度、弱口令等方面）得不到应有的保障，而且终端的注册表也经常被改动，不能够对其进行及时有效的发现与控制，这些都对内网的安全造成了威胁。 XX单位内网终端IE安全性令人担忧，有些终端已经安装了不安全的插件和恶意软件，这是一个亟需解决的问题。 网络的稳定性、可靠性和可用性是保障企业业务顺利进行的基础。然而，目前大部分企业没有合理利用网络资源的策略和机制，使得管理员无法控制员工的上网行为，不仅浪费了大量的网络资源，甚至还可以导致网络瘫痪。比如，有很多员工在上班时间利用BT下载音乐、电影等。一些单位的内部网络经常会出现流量过大的问题，造成网络的不畅甚至拥塞，亟需对网络流量和上网行为进行监控和管理。 办公环境的计算机不应安装使用与办公无关的软件，当发现有非法使用违规软件是应立即禁止，还需要对软件的安装过程及软件执行所启动的进程进行控制，对于其他不安全的进程以及服务也需要加以监控。 1.2 IP地址管理问题 以往对网络内IP地址分配和管理都需要人工来进行操作，并且在IP、MAC绑定上需要网管型交换机来完成，前期网络管理员的工作量很大，在有新的设备入网时网络管理员需要再次对交换机进行操作，如果操作不当可能造成一个资源子网不能正常工作，影响业务系统正常高效工作；当没有进行IP、MAC绑定时会出现私自盗用他人IP地址的行为，造成合法的IP使用人不能正常入网工作，IP盗用成功后，如果有违规的网络行为时也不便于进行事件责任定位。所以，XX单位需要解决如何高效地管理IP地址的问题。 1.3非法外联问题 在现代信息社会中，企业之间竞争激烈，保密工作是一项非常重要的工作。内部人员非法连接外网会增大病毒渗入和黑客攻击的风险，更为严重的会导致内部资料的泄露，给XX单位造成无法逆转的严重损失。 为了防范这些隐患，防止内部人员未经允许非法连接外网这个功能需求就突显出其重要性来。 1.4 IT资产管理问题 对于XX单位的网络管理而言，软硬件资产的管理将是非常重要的一个组成部分。如果不能全面的掌握终端计算机的软硬件资产，那么对于终端上非法安装的软件以及终端硬件的变化就无从知晓，这就可能造成单位硬件资产的流失，对网络的全面管理更无从谈起。 二、内网安全解决方案 2.1 系统部署和管理构架 VRV内网安全管理系统管理采用B/S构架，管理员可在网络的任何终端通过登录内网管理服务器的管理页面进行管理和各种信息查询；所有的网络终端需要安装客户端程序以对其进行监控和管理。具体的部署和管理