《阿尔西IT外包规划方案设计.docx》由会员分享,可在线阅读,更多相关《阿尔西IT外包规划方案设计.docx(72页珍藏版)》请在三一办公上搜索。
1、n更多企业学院: 中小企业管理全能版183套讲座+89700份资料总经理、高层管理49套讲座+16388份资料中层管理学院46套讲座+6020份资料国学智慧、易经46套讲座人力资源学院56套讲座+27123份资料各阶段员工培训学院77套讲座+ 324份资料员工管理企业学院67套讲座+ 8720份资料工厂生产管理学院52套讲座+ 13920份资料财务管理学院53套讲座+ 17945份资料销售经理学院56套讲座+ 14350份资料销售人员培训学院72套讲座+ 4879份资料n更多企业学院: 中小企业管理全能版183套讲座+89700份资料总经理、高层管理49套讲座+16388份资料中层管理学院46
2、套讲座+6020份资料国学智慧、易经46套讲座人力资源学院56套讲座+27123份资料各阶段员工培训学院77套讲座+ 324份资料员工管理企业学院67套讲座+ 8720份资料工厂生产管理学院52套讲座+ 13920份资料财务管理学院53套讲座+ 17945份资料销售经理学院56套讲座+ 14350份资料销售人员培训学院72套讲座+ 4879份资料阿尔西IT外包规划方案上海宝信软件股份有限公司2008年7月28日目 录第一章、 阿尔西调研1.需求分析宝信已经拜访过阿尔西两次,第一次拜访时了解到了阿尔西内网桌面安全管理方面的实际需求;宝信的内网安全解决方案得到阿尔西梁总的认可,第二次拜访阿尔西时,
3、了解到阿尔西需要IT外包的远期规划方案,通过这两次的拜访和了解,宝信有这样的实力,可以提供给阿尔西一个当前和远期需求的规划方案。宝信的规划方案中包括内网安全解决方案、网络优化规划方案、网络安全规划方案、关键数据备份规划方案、计算机系统运维规划方案、员工IT素质培训规划方案,共五大项的整体外包方案。2.整体外包规划方案宝信根据阿尔西整体外包项目规划方案,共分为五期完成:第一期、内网安全解决方案(今年8-9月份实施)从信息安全的发展趋势来看,内部网络安全的重要性日益凸显,已成为信息安全体系中最重要的一环。根据公安部以及美国FBI/CSI等权威机构的调查:超过85%的安全威胁来自组织内部,有16%来
4、自内部未授权的存取,因此,内部网络的运行存在着很大的一个安全管理盲区。第二期、网络优化规划方案&网络安全规划方案根据阿尔西外网业务和功能的后续不断扩充,建议划分为五大区域: 用户接入区、安全管理区、对内服务区、对外服务区、Internet连接区,各区域之间通过防火墙隔离。从安全防护的角度来看,当前的安全系统建设已经取得了一定的成效,为阿尔西信息系统的正常运行提供了较好的支撑,在本期项目中将从整体安全保障的角度进行规划和设计,使系统更加符合国家相关政策要求。第三期、关键数据备份规划方案阿尔西系统中的数据目前主要集中存储于基于单机的磁盘阵列中,包括了所有的业务数据。这些数据通常是以数据库和文件的形
5、式保存在磁盘阵列中。对于这些数据而言,对它们进行科学合理的日常数据备份以及在条件具备的情况下分期是现数据级的以及应用级的远程容灾保护是实现业务应用信息安全的重要保障和满足灾难发生后及时恢复日常工作的基础,因此该系统的数据备份及荣在今后将会逐步成为整个信息系统中的最主要的组成部分之一,因此我们需要充分全面地考虑系统的数据备份容灾保护问题。第四期、计算机系统运维规划方案 计算机系统运维是计算机管理的核心和重点部分,也是内容最多、最繁杂的部分,该阶段主要用于IT部门内部日常运营管理和专业维护。第五期、员工IT素质培训规划方案 对非IT工作员工做应知应会的计算机使用常识培训,对IT工作员工和高级管理人
6、员可进行计算机运维管理能力的专门培训,包括主机系统、网络系统、安全系统、应用系统、桌面系统全方面。第二章、 内网安全解决方案1.内网安全管理概述1.1什么是内网安全管理国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由此可以将内网安全管理理解为:通过采用各种技术和管理措施,使内部网络系统正常运行,从而确保网络数据的可用性、完整性和保密性,建立一个可信、可控的内部安全网络。可信可控的内部网络架构应该具有如下特征: 网络中的行为和行为中的结果总是可以预知与可控的; 网内的系统符合指
7、定的安全策略,相对于安全策略是可信的、安全的; 可信可控网络架构的推出,可以有效地解决用户所面临的如下问题,如设备接入过程是否可信;设备的安全策略的执行过程是否可信;安全制度的执行过程是否可信;系统使用过程中操作人员的行为是否可信等。符合“可信可控”理念的内网安全管理体系可以实现用户网络安全资源的有效整合、管理与监管,实现用户网络的可信扩展以及完善的信息安全保护;解决用户的现实需求,达到有效提升用户网络安全防御能力的目的。1.2内网安全管理的意义与重要性长期以来由于媒体报道的侧重点以及生产商的广告宣传等多种因素的影响,国内公众对网络安全的认识被广泛误导。认为全面系统的安全解决方案就是部署反病毒
8、软件、防火墙、入侵检测系统,这种看法对用户实施有效的信息安全保护带来了不良影响。信息安全的建设是一个系统工程,它要求对信息系统的各个环节进行统一的综合考虑、规划和构架,并要兼顾用户环境不断发生的变化,任何环节上的安全缺陷都会对系统构成威胁。从信息安全的发展趋势来看,内部网络安全的重要性日益凸显,已成为信息安全体系中最重要的一环。根据公安部以及美国FBI/CSI等权威机构的调查:超过85%的安全威胁来自组织内部,有16%来自内部未授权的存取,因此,内部网络的运行存在着很大的一个安全管理盲区。以下是几个真实案例: 西安某研究所核心技术资料失窃案,损失3000万; 国务院领导到某国营单位视察,员工在
9、内部论坛发布不合适信息造成不良影响; 云南某公司服务器IP地址被非法盗用,导致公司业务中断四小时,损失巨大; 苏州某化工公司技术泄密案,损失1亿元; Google内部文件不慎泄露股价再度受挫下滑。由此可见内网安全隐患是真正使组织面临实际的威胁。若是忽略了其内网安全防范措施,将损失许多宝贵的核心数据、专利技术信息,多年累计的技术资产和研发投入成为他人的嫁衣,甚至可能因此失去竞争力。组织还可能丧失的是其声誉,以及员工、合作伙伴与客户的信赖。在网际网络更加普及化之际,组织将面临以下的重要课题:1、核心技术专利数据:如何保护这些核心机密不受到内部或外部的恶意威胁,例如人员跳槽或是违规泄露、拷贝等等;2
10、、业务流程:如何保护组织正常业务活动不致因为内网网络与资源受到不当或非法使用而遭受损害; 4、效能损失:如何确保员工的网络行为是最大服务于组织的发展;5、声誉损害:如何保障不致因内网防护不当、传输效率过低等因素而造成组织的信用及声誉的损害。大多数组织重视提高网络的边界安全,但是其网络的核心内网还是非常脆弱的。实践证明,很多成功防范网络边界安全的技术对保护组织内网却没有效用。1.3宝信内网安全管理方案特点简述本方案系对阿尔西的整体内网安全管理体系提出建议,采用基于业界最领先的内网安全管理产品宝信软件的网络巡警eCop和解决方案。1.3.1宝信内网安全管理方案的技术优势1、功能全面性、领先性:宝信
11、网络巡警eCop从内网安全的各个环节入手,提供了全面、完善的功能模块,特别是在接入安全管理、补丁管理等方面的技术优势,为用户提供完整的内网安全解决方案,保障信息安全体系的建设。2、软硬件一体化设计:eCop采用先进的软硬件一体化的功能控制器设计理念,并针对产品功能进行优化设计,实现了硬件平台与软件系统的无缝整合,保证整个系统安全性与稳定性。3、功能模块化:eCop采用功能模块化的设计理念,使得其产品功能可以灵活组合,有效的节省用户投资,升级也可以做到新功能的“即插即用”。4、兼容性: eCop是一款旁路设备,使用时将其接入网络即可管理,不会影响用户现有网络及应用环境,与其它信息安全产品也可以很
12、好的协同工作。5、适应性: eCop可以适应不同规模和复杂度的网络。对于中小型的局域网,仅使用一台或几台eCop即可进行管理;而对于5000个节点以上的大型的网络,可以使用分级管理,集中汇总的协同工作模式实现对全网的管理。1.3.2宝信内网安全管理方案的核心优势1、软件成熟度5级认证(简称CMM5):宝信软件是国内为数不多通过CMM5级认证的软件企业,拥有成熟的软件开发过程管理和工程能力。2、管理体系:宝信软件拥有一套完整的信息安全体系建设流程,方案注重安全策略的引入,通过管理策略与技术的有机结合搭建有效内网安全架构。3、产品成熟度:宝信公司于2002年5月份就推出了内网安全管理产品eCop。
13、从软件的生命周期来看,一款软件产品通常需要两年以上的成长才能逐渐稳定、成熟。eCop经过4年以上的研发、实施,已经形成了完整、成熟的内网安全解决方案。4、应用案例:eCop在国内各行业均有高质量的成功案例,并且通过对这些案例的跟踪和调查,已经总结出成熟的行业解决方案与宝贵的实施经验。5、售后服务与支持:宝信公司通过四年多的努力,已经建立了三级eCop技术支持架构和完善的售后服务流程。并在全国各分机构、渠道代理商中培养了一大批eCop支持工程师,可以对客户的各种服务需求及时做出高质量的响应。2.阿尔西需求分析2.1阿尔西项目背景2.1.1阿尔西网络结构整个网络的拓扑如下图示:总部大楼网络属于阿尔
14、西内网的核心所在。大楼内有线网络共划分约6个网段和无线网络。各楼层接入交换机通过电缆直接接入核心交换机。目前共有150台左右的办公电脑。2.1.2阿尔西内网安全管理项目需求2.1.2.1项目范围项目范围包括VLAN4、VLAN5、VLAN6,共三个网段。2.1.2.2项目设计目标阿尔西内部网的安全建设总体目标是:在不影响阿尔西当前业务的前提下,根据计算机信息系统安全保护等级划分准则进行安全建设,从实际需求出发,实现网络信息严格保密的需要,同时系统应是一个具有灵活性,开放性,便于扩充升级的综合系统。阿尔西内网安全管理项目最终需要达到以下效果:1)终端资产管理:包括硬件信息和软件信息的快速全面收集
15、,并在此基础上记录变更信息。2)外设与端口管理:管理人员可在控制器端设定启用或禁用各计算机的外围设备,包括软驱、光驱、U盘等设备。3)文件记录功能:包括在打印机、服务器、U盘上文件存储的记录功能。4)远程管理功能:包括屏幕监控和远程控制功能。以上1、2、4点NSM5.2都可以满足,由于新版本设计时的产品理念和技术发展方向上有所改变,取消了上面的第3项文件记录功能模块。但如果必须用到这个功能,建议用户采购宝信的NSM3.0版本。2.1.3 NSM5.2版本新增和更新升级功能2.1.3.1 NSM5.2版本的新增功能如下:软件的扫描代理(简称SA,Scan Agent,又称IPA):NSM3.0版
16、本的IPA是部署在宝信核心处理器(CM)后的硬件设备,当管理网段超过3个时,进行扩充网段使用,当然会相应增加硬件成本。NSM5.2版本软件的扫描代理(SA)可以降低其硬件成本。客户端非法隔离:在更新管理监控和防病毒软件监控模块,支持对非法终端的隔离。在更新管理监控模块和防病毒软件监控模块,管理员可以针对组织机构配置对应的更新服务器IP地址和防病毒软件的服务器IP地址,当终端隔离后,就只能访问配置的IP地址(与核心处理器(CM)永远保持通讯状态)。防病毒软件监控模块服务器地址配置更新管理监控模块服务器地址配置控制代理(MA)模块没有部署SA的网段,可以由MA负责扫描,但是由于SA是利用ARP包方
17、式进行扫描,MA是利用TCP进行扫描,两者存在区别,导致用MA扫描只能发现在线节点的IP地址,而不能获取到MAC地址,所以,用MA扫描方式就无法进行接入控制了,只能进行健康体检。数据优化对CM上各种数据(报表文件,定期截屏文件,数据库归档文件,数据库中各种审计、报警和日志信息)进行定期的清理或者备份,防止由于磁盘空间满造成问题,同时提高数据库查询的速度和数据的安全性。用户可以配置磁盘报警阈值,在磁盘使用率到达阈值后会启动报警告知管理员;支持FTP外传备份文件机制;支持对历史数据的查询。分布式部署支持数据中心(DC)开发了eCop数据中心,可以管理CM和数据中心,从而可以实现CM和DC的多级部署
18、和管理。2.1.3.2 NSM5.2版本的更新升级功能如下:更新管理优化弱化了和WSUSSERVER的关系,原来是等待WSUSSERVER汇报各个客户端更新安装情况,现在客户端主动调用WSUSSERVER的接口,及时了解更新安装情况,并根据管理员的配置进行合法性判断。支持对一般更新的时间策略监控(在更新审批后一段时间内安装即可)和重要更新的截止时间测试监控(一定要在某个时间点之前安装好配置的更新)。防病毒监控优化改进了原有防病毒软件特征项需管理员频繁维护的不足;新增了客户端防病毒软件安装情况查看功能和基于防病毒软件信息的综合查询功能;同时在设计上允许客户端多个防病毒软件的可选择性安装,拓展了防
19、病毒软件检测使用的灵活性;支持对不同操作系统配置不同的特征值,以满足不同防病毒软件对操作系统支持的变化。按照接入控制和健康体检调整系统围绕接入控制和健康体检两条主线进行重新规划,使得重点更新突出。特别提醒的是原有底帐管理现在改成了接入控制中的接入准则配置。手工添加交换机有些交换机在不能自动扫描出来情况下,可以通过手工添加后识别。SA自动升级本模块可以按照不同的需求对每个控制代理配置对不同SA是否开启升级功能,以保证SA可以在版本更新时自动完成更新。同时可以针对急需升级的SA进行立即升级。硬件变更监控中去掉了鼠标和键盘的监控考虑到实现复杂,而实际上用户需求很小,所以从这个版本去掉了此功能。jak
20、aMonitor监控程序增加jakaMonitor监控程序,在tomcat异常后会自动重启,提高系统可用性。增加公司情况描述和系统版本介绍在系统管理的系统运行维护菜单下,增加了系统信息页面,来描述有关系统的基本信息。系统管理-系统运行维护-系统信息 页面2.2内网安全运行管理风险分析基于上述对内网现状的分析,评估阿尔西目前内网管理是否存在以下不足:2.2.1安全策略是否拥有一套面向网络的建设者、管理者和使用者的适合组织的安全管理策略和管理规范,为内网安全提供管理性的指导和支持。2.2.2员工安全意识风险组织内员工是否意识到信息安全的威胁和利害关系,并在日常工作过程中支持组织的安全策略。2.2.
21、3信息资源的访问控制风险是否拥有完善的访问控制策略以防止对信息系统的未授权访问;防止未授权用户的访问;保护网络服务;防止未授权的计算机访问;防止对信息系统内信息的未授权访问;探测未经授权的活动;确保移动办公和远程工作的安全。2.2.4资产管理风险是否拥有完整的资产管理策略以确保信息处理设备正确、安全的运行;将系统故障的风险降到最低;保护软件和信息的完整性;维护信息处理和通信服务的完整性和可用性;防止资产损坏、业务活动的中断。2.3阿尔西内网潜在风险评估2.3.1是否拥有完善的节点接入管理策略节点接入安全常见问题主要表现为以下两方面:1、IP地址盗用:恶意的盗用可能基于不可告人的目的,如:逃避服
22、务器的记录、让服务器或某些重要主机无法上网;而非恶意的改动也会造成同样的后果。2、外来设备的非法接入:将非法计算机接入网络,盗窃网上的资源,甚至对主机发动攻击。出现概率:低影响程度:高处理建议:通过浏览器方式实现远程异地管理整个内网的IP地址资源,监视IP地址的使用情况。并有相应的技术手段来实现对IP地址盗用、非法节点接入等违规行为的自动发现、阻断、报警和日志记录策略。2.3.2是否有适用的资产信息管理手段目前,管理人员对所管辖网络的资源占用和用户情况难以准确掌握,对实际接入的计算机数量难以进行精确的统计,对面临的危害难以做出动态的评估和有效的防范。出现概率:中影响程度:高处理建议:阿尔西的内
23、网安全管理系统应该帮助管理人员建立起台帐信息,对所有接入计算机的用户信息进行登记注册。在发生安全事件时能够以最快速度定位到具体的用户,对于未进行登记注册的微机,能自动将其隔离在系统之外;同时,内网安全管理系统也应该能够自动搜索各微机的软硬件信息,并能够对这些信息进行统计和分析,生成相应报表;另外,内网安全管理系统还应该与安全策略紧密结合,自动收集与安全相关的一些系统信息,包括:操作系统版本、操作系统补丁、软硬件变动等信息,同时针对这些收集的信息进行统计和分析,给出安全状况报告。2.3.3对外围设备的使用能否有效管理计算机的外围设备为各种信息在不同的计算机设备之间交流提供了一个方便的途径,通过它
24、们可以将各种信息复制到不同的计算机中,也包括病毒、木马等。与此同时,内网中的主机上保存着一些涉密的内部信息,这些信息不能够随意地被传播。出现概率:低影响程度:高处理建议:对外围设备的使用进行控制,不允许随意地使用外围设备拷贝机密数据。内网安全管理系统应该实现对各客户机外围设备的集中监视和控制,通过在管理端进行设置,可禁止和启用各客户机的外围设备,有效地保护计算机上的信息。2.3.4缺少对客户端进程的监控措施阿尔西内部存在违规使用软件的行为。员工在计算机上安装使用游戏软件、盗版软件,不但引入了潜在的安全漏洞,降低了计算机系统的安全系数,还有可能惹来版权诉讼的麻烦;这些行为不仅降低员工的工作效率,
25、且对内网构成重大的安全威胁。出现概率:低影响程度:高处理建议:内网安全管理系统应能自动搜集各计算机所有的软件信息,形成内网计算机的软件资产报表,从而使管理员全面了解各计算机安装软件的信息,及时发现安全隐患并予以解决。同时,管理员可以在管理端配置软件运行预案,指定内网计算机必须运行的软件和禁止运行的软件,从而对计算机的软件运行情况进行检查,对未运行必须软件的情况发出报警,终止已运行的禁用软件的进程。2.3.5是否拥有完整的补丁管理策略操作系统补丁管理始终都是有必要的,是个不容忽视的重要任务。如果不实施全面的补丁策略,则后果可能会很严重:关键任务生产系统会失败,安全性敏感系统会受到恶意利用,从而导
26、致时间和相关业务收入的损失。组织应该采取以下步骤:正确地配置系统,使用最新的软件,以及安装建议的有效性和安全补丁。出现概率:低影响程度:高处理建议:阿尔西内网安全管理系统应具有补丁管理功能应该帮助组织对产品环境中的内部操作系统软件进行部署和维护控制,帮助组织保持运作效率和有效性,克服安全漏洞并保持生产环境的稳定性。通过成熟稳定的补丁管理程序在网络环境中评估并保持系统软件的完整性,也是成功实施信息安全程序的首要关键步骤。2.3.6缺少有效的终端远程管理措施随着网络规模的日益扩大,工程人员对网内客户端进行管理和维护工作时,如果全部对现场机器直接操作,需要花费大量的时间和精力。这就需要一种安全可靠的
27、远程控制解决方案,它可以使管理员通过网络远程进行连接、安装、配置和排除故障。出现概率:低影响程度:高处理建议:内网安全管理系统应该提供一种集中的手段来部署、监视并且管理分散的IT设备。工程师不再需要到每一台客户端所在的现场进行操作,坐在一台安装有管理器的计算机前,就可以方便、快速地完成维护、配置、重启机器的工作。2.3.7是否拥有完整的身份认证与授权策略身份认证服务是帮助系统识别用户的身份,决定并控制他们在网络上能干什么工作,即所谓的授权管理。组织内多套信息系统的多帐号身份认证和权限管理将会带来管理上的重复和不一致性,也可能导致管理混乱,带来安全漏洞。出现概率:低影响程度:高处理建议:内网安全
28、管理系统应该实现多信息系统的统一用户身份认证和授权管理,为实现阿尔西统一门户、单点登录提供手段。3.阿尔西内网安全管理解决方案3.1内网安全策略3.1.1内网信息登记策略通过自动收集以及注册登记相结合的方式,收集全网设备信息(如终端IP/Mac地址、服务器、软硬件信息等),并按照组织机构归类。这样在发生安全事件后,可迅速确定安全事件源,采取有效措施。3.1.2内网管理责任制度本方案基于阿尔西组织结构管理,可在各管理节点分别设立专门的工作人员部门管理员,对所管理范围内的内网进行日常的维护。他们的工作职责是: 与内网安全管理中心沟通; 内网的日常维护; 接收所管理范围内的违规报警信息; 处理产生的
29、安全事件,确定事件源; 定期的安全评估; 提交可疑的事件样本、日志。 同时在阿尔西内网安全管理中心设立一名全网管理员,他的工作职责是: 收集各部门管理员提交的事件样本、日志及产品使用过程中遇到的问题,提交给宝信软件或集成商,作为三方沟通的窗口; 制定并推行内网管理策略; 实时了解全公司范围内网防护状况,并作出安全评估,对出现管理漏洞的管理节点提出相应的改进建议; 了解最新的产品信息,发布给各部门管理员。设立独立的审计帐号,记录全网管理员与部门管理员的操作日志,因此建议在阿尔西管理部门设立一名审计员,他的工作职责是: 审计全网管理员操作日志; 审计部门管理员操作日志;3.1.3定期安全事件评估部
30、门管理员将每周发生的安全事件汇总并进行详细评估,查找安全事件原因,并将此报告提交至该部门管理人员,督促该人员增强自身管理。全网管理员收集各部门管理员提交的安全评估报告,进行总结,并提交给领导。3.2内网安全域的划分 安全域是指根据一定的分类方法,将一定数量的主机划分在同一个范围,使这些主机从逻辑上是在同一个安全区域。对网络内部的主机进行安全域的划分,主要考虑。3.2.1安全管理的需要管理者需要对网络内部大量的、分散的主机进行有效的管理,就需要进行安全域的划分。按照一定的分类方法,管理者可以将“大量的、分散的”主机安置在不同的安全域,每个安全域都只是包括了可管理数量的主机,使得每个安全域的内部安
31、全管理都变得切实可行!而不是使安全管理变得复杂而不具可操作性,也不会使安全管理变成了整个内网安全体系的瓶颈。3.2.2安全策略的需要安全域的划分为安全策略的制定提供了基础,管理者可以根据不同安全域的不同安全需求,并结合相关管理制度,为每个安全域都制定相应的安全策略,使得网络的内部安全管理可以有层次的,同时也是全面的安全管理。内网安全域的划分通常有两种方法: 按照主机安全级别。根据主机可能接触信息的安全级别来进行划分; 按照机构内的行政范围。根据机构内部的行政范围来进行划分,如:财务科(安全域)、生产科(安全域)等。3.3宝信内网安全产品部署与建议3.3.1eCop部署拓扑如上图示,宝信网络巡警
32、eCop主要由如下部分组成:eCop中央控制器、控制代理、扫描代理、eCop客户端、更新管理监控端、DHCP代理、报警精灵、远程桌面管理。部署说明: eCop NSMI型共三个网口LAN1、LAN2和LAN3,三个网口全部接入到核心交换机上,分别管理内网中的VLAN4、VLAN5和VLAN6,共3个网段。当这3个网段中有违反策略的客户端时,可以将其放到虚拟隔离区中,客户端只能访问指定的服务器,升级到符合接入策略后才能允许访问局域网内相关权限的资源。宝信软件eCop产品是基于B/S结构进行管理,任意一台网内计算机都可作为管理控制台,输入相应的用户名和帐号即可进入管理界面。中央控制器(简称CM,C
33、entral Manager)中央控制器是eCop产品体系的管理核心,采用B/S模式、软硬件一体化设计,实现对全网数据的收集统计和分析,是数据存储和提供用户交互接口的设备,通过升级包升级。根据启用的管理功能和管理的网络规模、终端数量,有5个级别的设备可供选择,针对多个中央控制器,还能够架构一个上层控制中心,汇总多个中央控制器的数据。控制代理(简称MA,Manage Agent)控制代理完成对扫描结果的逻辑处理,以及获取中央控制器的指令,对管辖内的扫描代理发布控制指令和配置信息,同时负责扫描关联的交换机,以获取交换机端口与接入设备的MAC地址对应关系,实现对交换机端口接入的控制。中央控制器内置一
34、个控制代理。扫描代理(简称SA,Scan Agent,又称IPA)接入控制功能启用需配置中央控制器、扫描代理和控制代理。每个扫描代理管理一个物理网段(主动扫描模式一个网段不超过1024个节点),能够为软件形式(安装在98/NT/vista外的windows系统上),也能够是软硬件一体化的设备(内置3个扫描代理),主要取决于对安全级别和部署成本的要求。在运行过程中,硬件设备与软件部署对于控制代理是透明的,一个网段内最多安装3个代理,会按照启动顺序自动选举一个处于活动状态,其他代理处于休眠状态。中央控制器内置一个扫描代理。安全客户端(另称LsAgent)终端健康体检功能依靠安装在每个终端上的安全客
35、户端来实现。安全客户端直接与中央控制器通过https通道进行通讯。当相应客户端的配置发生变更时,中央控制器会主动通知客户端,客户端会根据中央控制器负载情况主动获取新的配置;当客户端监测到有配置的审计事件发生,会根据中央控制器负载情况,向服务器发送审计记录。更新管理监控端(另称WSUSMonitor)配合WSUS Server进行windows更新管理,需要在WSUS Server上安装监控程序WSUSMonitor。DHCP代理(另称DHCPSniffer)为支持DHCP的IP接入控制,需要在DHCP Server上安装DHCPSniffer。如果使用非windows系统的DHCP服务器,则无
36、法安装DHCPSniffer,同样也无法启用eCop系统在相应网络范围内的动态IP地址管理功能。报警精灵(另称AlarmGenius)用户能够在一般的客户计算机上安装报警精灵,以获取系统发出的管理员报警信息。远程桌面管理(另称Lanseeker)如有远程桌面管理的需求,可在管理员计算机上安装Lanseeker监控端,在需被控制的计算机上安装Lanseeker客户端。3.3.2eCop部署建议 根据阿尔西内部网络潜在的威胁分析,结合宝信eCop网络巡警的特性,由点及面,全方位部署,彻底截断病毒入侵的所有途径。1、在阿尔西总部中心机房部署一台eCop5 CMI型中央控制器,支持最多250个客户端。
37、该中心配置可以解决内网安全中的终端接入控制、终端健康体检、终端运行维护、审计报表等所有模块的策略配置和数据汇总功能。2、将中央控制器接在核心交换机上,用eCop5 CMI内置的控制代理和扫描代理来管理3个VLAN网段。内网分配IP地址如果是采用动态分配的方式,同时还需要在动态分配IP地址服务器上安装DHCPSniffer监控端,从而完成IP地址管理总体配置和部署实施问题。3、在内网各计算机上安装客户端程序,来保证客户端管理策略的实现。客户端程序采用了多线程保护等多种手段,保证驻留程序不被卸载和停用。从而完成整体的内网安全解决方案的部署。4、在总部中心架设一台监控管理服务器,包括远程桌面监控、更
38、新管理监控、实时报警监控。3.4内网安全管理体系架构基于上述安全策略及对该领域技术发展前景、产品的性价比等综合因素,宝信软件建议阿尔西采用网络巡警eCop搭建内网安全管理架构:3.4.1eCop简要说明上图中各子系统的功能如下:1、终端接入控制是用户构建“可信”内网环境的稳固基石。管理和控制接入内网的各类网络设备,包括计算机、服务器、交换机等具有独立IP和网络接口的设备,设定接入策略,不符合策略的终端不能入网。该功能综合了eCop系列产品的3种技术:基于ARP原理的IP地址阻断与保护、基于交换机端口控制的管理功能,基于客户端自检的网络访问控制功能,高效的扫描引擎快速并准确的扫描到节点,形成灵活
39、多样的网络设备接入控制功能;2、终端健康体检是用户构建“可控”内网环境的中流砥柱。监控安装Microsoft Windows操作系统(除Win98/Vista)的计算机、服务器,能够监控windows补丁和防病毒软件安装运行情况,做好终端安全防护;监控计算机外设使用、外联拨号、USB设备使用,并增强了USB设备文件加密功能,防止机密信息泄露;监控计算机软硬件安装和变更、进程运行情况,提高内网资源使用效率。发现不符合“健康”标准的终端,则可以采取警告、隔离、阻断等措施,直到恢复要求才许入网;3、终端运行维护通过系统的自动搜集和更新功能,并辅助以手工添加的形式,逐渐形成按照组织机构的IT资产信息,
40、包括计算机、网络节点信息等。若与管理制度相结合,提高资产利用率,使管理更规范快捷。提供终端截屏功能、远程桌面监控功能,减轻管理员远程维护的工作困难,是实现“可管”内网环境的有力辅助;4、审计中心完全用户自定义的审计功能,按用户需要记录用户最关心IT资产的使用、变化和违规信息,为用户合理规范地使用IT资源以及事件故障的追溯提供有力依据,数据有统一的图表展示和分析,并且可以支持长期保存;5、系统管理完成对安全管理及监控系统自身的管理和配置功能,该子系统划分为运行环境配置、用户机构管理、管理权限维护和系统运行维护四个模块。3.4.2eCop优势特点1、系统运行稳定,可靠性高专业软硬一体的监控设备,采
41、用专门定制的并经严格测试硬件设备,保证了内网安全管理系统可以长期、稳定运行。旁路接入设计,当产品发生故障时适时断开网络,不会影响到企业主营业务的开展。客户端目前支持Windows主流操作系统,运行稳定,占用系统资源很低。2、准确并高效的网络扫描机制通过TCP扫描、交换机扫描、ARP扫描3种引擎以及安装的安全客户端对节点进行接入检查和健康体检,高效准确的组合扫描机制是确保整体系统可靠运行的保障,同时又是有效的网络接入控制手段。3、丰富并可灵活组合的终端健康体检功能为计算机维护和管理人员提供了有效的技术手段。健康体检功能涵盖了日常的终端运维和终端安全工作,从计算机使用的各个方面规范和监督用户,为组
42、织的管理制度实施提供了有效的保障。用户可根据需要灵活组合各模块。4、多层次管理和策略控制可以按照不同的组织机构层级或者个人设定不同管理控制规则。根据组织机构和功能模块的两维授权体系,可以灵活应对不同组织内的授权管理要求。5、自定义的审计中心和全面的报表功能完全由用户自定义,避免大量无用数据,大大简化管理员的日常工作。用户可以定义报表模板和任务。6、高度适应环境变化,不需对网络进行特殊配置市场上多数接入控制系统利用交换机VLAN分隔方式,或通过交换机的802.1X协议扩展主机名、MAC地址绑定的方式实现接入控制,这些方案配置管理不够灵活方便,对网络设备硬件要求高,对管理维护人员技术水平有较高要求
43、,有些系统需要对现有网络环境进行较复杂的配置甚至是改造。而eCop支持各类网络环境,采用旁路接入的方式,不需要用户对网络环境做特殊修改。交换机扫描和端口管理支持当前大多数主流的交换机产品。7、部署应用灵活分布式架构,适应超大网络规模的部署和应用。B/S系统结构。整个系统的管理和设置全部基于Web方式,在Web上就可以直接管理内网安全管理的运行,监控整个网络的运行状况。通过对策略模板的集中管理和应用,保障了整体策略的贯彻实施;同时模板的灵活性又保证了安全策略针对不同的应用环境可以灵活定制。8、可扩展性强可开放标准接口与外部系统联动。另外,eCop-NSM V5 产品是宝信软件股份有限公司内网安全
44、系列之一,同系列还包括宝信智能安全网关eCop-XSA等其他涉及边界安全、内部安全的产品。使用eCop内网安全系列产品,可以很方便的实现与eCop-XSA的联动,进而形成功能扩展。例如,可以通过eCop-XSA作为VPN的接入网关,同时通过与eCop-NSM V5联动形成VPN接入体检与健康体检系统。3.5终端接入控制网络接入控制已经日益得到企业用户的重视,因为只有确保内网接入的设备可信并受控,才能有效的保障内网安全。而接入设备如何才是可信,能够控制到何种程度,结合多年内网安全产品研发和市场推广经验,eCop-NSM V5提供如下功能:3.5.1自定义的组合接入检查策略节点MAC地址是否进行过
45、登记,是否使用了合法绑定过的IP地址,是否从指定的交换机端口接入网络,是否安装并正常运行了安全客户端程序,都作为接入体检策略的备选项之一。不同的用户能够根据自己实际的网络环境和管理要求选择合适的接入策略。3.5.2灵活的接入控制手段支持主动扫描与被动侦听的管理方式,对于发现试图接入的不合法设备,能够采用IP地址保护、ARP阻断、关闭交换机端口、关闭违规计算机网络接口等方式对其进行控制,用户能够选择适合自己实际应用的方式进行控制。3.5.3自定义接入策略模板根据多年应用经验,为接入控制配置提供最大程度的灵活性,针对不同的应用类型提供了合理的参数范围和缺省值。用户可自定义接入策略模板,模板集中管理
46、和应用,以保障组织的接入安全策略得到贯彻,同时减少重复的配置工作。3.6终端健康体检 网络设备完成合法接入,只能保证接入设备初始是合法的,但是要保证在运行过程中符合组织的安全使用规范,只能依靠在运行过程中持续的进行健康体检。对于安装了安全客户端的计算机,能够采用客户端网络访问控制的方式限制其网络访问范围,形成一个逻辑隔离区,体检未通过的计算机,能够在此中间层内进行更新以满足体检策略。3.6.1安全客户端采用windows驱动层和应用层相结合的技术实现,在保证实现管理功能的同时,架构设计保证能够占用尽量少的系统资源,并且运行稳定。客户端程序作为服务在操作系统启动时自动启动,具有防恶意卸载功能。支持在线安装、卸载和离线安装、卸载,中央控制器能够快速准确的检测安全客户端的运行状况。系统通过客户端完成对终端计算机的安全防护、健康体检、资产自动收集和维护。3.6.2更新管理与WSUS3.0相配合,能够在中央控制器上为每个组织机构设置适合的标准更新模板,客户端结合配置的策略进行本机更新检查,对于不满足更新策略的情况进行警告,并且提供手动和自动的方式进行更新的下载和安装。对于组织内计算机对于更新的安装情况进行统一管