网络安全面临新挑战
随着计算机网络技术和数字通信技术飞速发展,计算机网络技术的应用不断深入到人们的日常工作、学习和生活中,应用领域也从传统的、小型的业务系统逐渐向大型、关键、综合的业务系统扩展,如电子政务、电子商务、CIMS、知识管理、电子金融、社会保障、GIS系统等。在二十世纪末信息安全的课题就被提升到日常应用的高度,在解决了网络之间的安全问题后,网络内部的安全问题作为新的技术问题被信息系统管理者所关注。
在大大降低网络攻击与破坏事件的发生概率后,网络内部大量的技术和业务机密一般存储在工作计算机或私有的网络环境中,一旦企业内部的管理制度不完善,内部工作人员将利用合法的身份非法获取机密信息,换言之内部管理漏洞将是泄密事件发生的重要前提条件。内部网络上大多数的应用,对企业是至关重要的,甚至是严格保密的。一旦出现涉密、破坏的事件,将产生严重后果。这些都使得内网安全问题变得越来越重要和突出。内网安全存在的安全隐患包括很多方面,重点问题如:没有内网管理和安全策略,系统环境主机和外设没有保护机制,导致内网的安全风险大大提高。为将安全风险控制在最小范围,必须在内网建立可靠、便捷的网络管理、安全审计和监控系统,以最小的投入保证内网获得最大的安全收益。
技术特色
●主动防御体系的理论
LanSecS内网安全管理系统将重点放在主动地(Actively)控制风险而不是被动地 (Passively)响应事件,提高整个信息安全系统的有效性和可管理性。以主动的安全管理和安全控制的方式,将内部网络的安全隐患以技术的手段进行有效的控制,全面保护网络、系统、应用和数据。通过对每一个网络用户行为的监视和记录,将网络的安全隐患可视化,提供实时监控,并形成完整的日志,为审计提供依据,从而大大提高内部专用网络的安全性,真正保障每一个网络用户都在授权的范围内合法地使用网络和数据。
●基于先进的网络安全理论模型
LanSecS内网安全管理系统在国际网络安全理论模型P2DR(安全策略、防护、检测、响应)基础上,采用系统工程学方法,把网络安全整体解决方案实施体系视为一个系统工程,形成特有的网络安全理论模型,以此模型为基础设计了专业的智能的LanSecS内网安全管理系统。既提供了对内网系统和网络的基本管理,也提供了对内网安全的监控和审计管理。
●网络拓扑自动学习原理
LanSecS内网安全管理系统通过控制台对核心数据服务进行一系列参数配置(如扫描IP范围、部门信息、支持SNMP协议网络设备的读写团体名称等)后,运行网络拓扑自动学习功能,自动对实际的网络结构进行学习,并映射成与真实网络拓扑结构相同的网络物理结构图。网络管理员可以对图上的设备进行操作,管理网络或进行网络故障的检测。在学习状态下,系统将按照人工智能的方法,自动学习网络拓扑结构,并且可根据实际情况,对图进行微调,修改其连接端口。
●采用标准的SNMP协议对网络实时监控
LanSecS内网安全管理系统采用了国际通用简单网络管理协议(SNMP)对网络上支持该协议的设备进行实时监控、自动学习和管理。SNMP是一种用于监视网络设备信息以及进行网络设备管理的协议,大多数主流交换机都支持SNMP协议。
●采用先进、灵活的管理理念
LanSecS内网安全管理系统在总结分析了MicroSoft的域的概念的基础上,将安全管理域的先进概念融入到产品,将管理的概念由面引申为点的管理,将平面化管理发展为立体方位的管理,缩小管理范围增强系统的管理能力。同时在安全通信方面进行了技术改善。例如在不同域之间的信任关系只能实现父层完全信任子层(充分的管理以及审计),子层与子层之间不能完全信任。
以上两种设计理念使得LanSecS内网安全管理系统在灵活管理与安全管理方面,实现了重大的技术突破,成为自身独有的一种技术特色。
●领先的安全监控和管理技术
LanSecS内网安全管理系统是一套集成了多项核心技术的实用安全系统。包含下列关键技术:
◆监控内网网络设备、计算机系统的稳定性和可靠性;
◆内网系统资源安全管理和监控;
◆阻止内网的信息通过网络向外泄漏;
◆防止内网中信息通过系统外设向外泄漏;
◆自动发现并阻止非法接入内网的计算机;
◆审计客户端安装后不能删除或中止,确保内网所有用户都受到安全策略控制。
系统简介
LanSecS内网安全管理系统是在LanSecS内网安全四要素的基础上,综合利用身份认证、文件系统监控、设备监控、网络监控、注册表监控、进程/服务监控、打印监控、共享监控、系统资源分析、用户网络行为分析等多种操作系统核心技术开发的新一代内网安全管理系统。
LanSecS根据系统提供安全服务的不同,划分为五个安全组件:安全审计、安全服务、安全加固、安全网管、资产管理。这五个服务组件有机结合,依靠统一的安全管理中心共同完成全方位的内网安全管理。组件化的产品架构可最大限度地满足内网的精细安全管理。从而使得LanSecS内网安全管理系统不仅适用于单个独立内网的安全管理,更适用于大型广域网络的分级安全管理(级数不限)。
LanSecS内网安全管理系统除了结构化的分级管理框架设计思路外,还采用了用户角色的设计思路。内网中所有人员均分配一定的角色(管理员、操作员、审计员、普通用户),不同的角色具有不同的系统权限。便于LanSecS内网安全管理系统系统的分权管理,增强了系统应用和管理的灵活性。
各安全组件提供的服务内容如下:
Ø 安全审计:提供内网主机安全事件的审计功能,包括文件操作、文档打印、共享访问、服务与进程活动、系统日志、注册表操作、系统帐户变更等。提供终端计算机用户行为的监控与审计,包括信息泄密、资源滥用、即时通讯、邮件收发和网站访问行为等。
Ø 安全网管:提供交换机的运行管理、网络资源的合法使用、网络拓扑的展现以及内网的接入控制和管理;提供内网网络设备、服务器的运行状态监控;提供主机网络参数的配置和监控等。
Ø 安全服务:通过预警平台和远程协助功能提供终端计算机用户和安全管理员之间方便、快捷、实时的交互平台。不但可向管理人员发送实时的报警信息,也便于安全管理员通过管理中心统一发布相关安全管理规范、安全组织体系、安全宣传资料以及最新安全动态等信息。另外,通过软件分发服务和时间同步服务可为内网用户提供方便的软件分发和时间同步服务。
Ø 安全加固:提供强大的补丁自动分发机制、病毒库自动下载机制、终端计算机用户登录身份认证管理、本地文件安全存储以及移动存储介质的认证与注册管理等功能,保证终端运行环境的安全可控,保障内网运行的可靠性。另外,还提供主机安全策略和IE安全策略的统一设置,加强主机的安全性。
Ø 资产管理:提供对内网资产和资源的集中管理能力,包括:计算机、交换机、操作系统、软件、硬件。并对资产和资源的变更进行监控和预警。
系统功能
LanSecS内网安全管理系统着重于内网的安全管理和监控,以系统网络运营管理为基础,以防内网泄密为目标,其核心功能由设备智能探测器、审计监控客户端、安全管理核心平台(包括内网管理、安全审计)协同完成。
●内网安全管理
◆外设、硬件设备控制
从操作系统驱动层上实现强制管理控制计算机的设备。包括USB可移动存储设备、打印机、DVD/CD-ROM、软盘、磁带机、PCMCIA设备、COM/LPT端口、1394设备、红外设备等。一旦出现违规事件,将会产生警报信息并以审计信息的形式记录。
◆IP/MAC地址绑定
对受控终端进行IP地址和MAC地址的绑定,防止用户随意更改网络配置,增加网络环境的健壮性。
◆打印控制
通过控制台制订策略控制用户对打印机的使用。可以避免网内用户通过打印的途径达到机密信息外泄的目的。
◆拨号访问的控制
允许或阻断用户通过拨号访问Internet,从拨号连接的手段上控制内网计算机连接Internet。
◆个人防火墙的控制
通过控制台制订的策略可以控制客户端个人防火墙的应用,如果客户端启用个人防火墙进行端口阻断,就及时将计算机断开网络连接。这样防止用户通过技术手段进行恶意的破坏。
◆杀毒软件的检测与控制
对客户端杀毒软件的安装情况进行检测,一旦发现未安装杀毒软件,客户端程序会自动断开网络连接,减少病毒扩散的概率。
◆进程管理与控制
检测客户端上运行的进程状态,并对受控终端上运行的进程进行强制控制,允许或禁止某些进程的启动。方便网络管理人员从专业人员的角度对应用者提供安全建议。
◆网络访问控制
允许或阻断客户端对某些网络地址或是网段的访问。在网络访问控制上,策略还可以细化到针对特定的协议、特定的网络端口以及在特定的时间段允许或是阻断网络连接。
◆补丁管理
利用准确的检测机制来判断被控制计算机上补丁程序安装的情况,可以检测出已安装的补丁和未安装的补丁。可以从程序提供的补丁安装包中自动检测到适合的补丁程序进行自动或手动进行客户端的补丁分发,并对补丁安装结构有详细的跟踪。
◆远程控制计算机
远程管理控制计算机使网络管理人员可以通过桌面快照查看当时计算机的操作状态,同时可以控制鼠标与键盘的使用。同时提供网络管理人员在远程对计算机进行关机、重启或是锁定的具体操作的功能。使管理人员在第一时间控制非法的计算机或是非法的操作。
●智能网络管理
◆网络探测引擎准确探测网络信息
网络探测器基于SNMP协议自动探测网络中的支持SNMP协议的网络设备,准确读取网络设备的信息库。
◆自动绘制网络拓扑图
在准确获得网络信息的基础上利用自有的技术对数据信息进行智能分析,最终将网络拓扑图在控制台显示出来。
◆非法计算机的接入阻断
自定义非法计算机,对非法计算机或未安装客户端的计算机进行非法接入阻断,以防止外来计算机随意接入内部网络,防止外界的恶意攻击对内部网络形成安全隐患。
◆SNMP设备的统计与管理
可以方便地查看SNMP设备的配置信息,如System、Interface、IP地址、ARP表和流量等综合信息,便于管理人员对网络状态进行综合分析。
◆网络设备流量的统计
以直方图或曲线图的方式动态显示交换机端口流量信息,可以设置端口流量阀值,当端口流量超过阀值时自动报警,帮助系统管理员监视、分析网络性能。
◆非法接入设备网络状态的检测与统计
提供未知(未登记)IP地址、MAC地址列表,自动发现有未知受控终端接入的交换机端口,方便系统管理员发现非法入侵者。
◆交换机的管理与控制
通过控制台可以实现交换机端口的打开或关闭的控制,增加网络管理的灵活性。
◆网络资产的统计
可以按设备类型(如服务器、主机、打印机、交换机、路由器、网关)、VLAN、子网、部门等方法对设备进行分类管理,列表显示出设备的名称、所属部门、IP地址、MAC地址、发现时间等信息。
●内网安全审计
内网审计模块是一种基于信息流的数据采集、分析、识别和资源审计的软件。通过实时审计网络数据流,根据用户设定的安全控制策略,对受控对象的活动进行审计。采用基于主机和基于网络相结合的控制机制和技术手段,可以多层次、多手段地实现对网络的控制管理。通过集中管理、自我防护机制,全面体现了管理层对内网关键资源的全局控制、把握和调度能力,为网络管理人员提供了一种审计、检查当前系统运行状态的有效手段。
对受控终端进行审计是通过规则进行的。审计规则设置的是对服务器规则控制下的行为的记录和统计。在服务器设置相应的审计规则后,如果客户端所在的设备有符合规则的行为发生,则在服务器的日志中会有相应记录。可以根据需要配置受控终端的文件操作、进程、网络访问等事件的规则。系统根据规则自动记录安全审计日志并存入系统日志信息库,这些信息是事后了解和判断网络安全事故的宝贵资料。
审计功能包括:
◆灵活的内部资产统计
自动登记受控终端的硬件配置(包括CPU、内存、硬盘、显示卡、网卡等),当受控终端的硬件发生变动时能自动向安全管理核心平台发出报警信息。
◆被控制系统的配置信息统计
自动记录受控终端操作系统配置的用户、工作组、逻辑驱动器,当其发生变化时,自动向安全管理核心平台发出报警信息。自动登记客户端补丁安装情况,已安装补丁和未安装补丁列表显示;
·对受控终端的系统服务、应用程序的安装与卸载情况及进程进行审计,自动记录其操作行为的变更;
·通过安全管理核心平台可以随时查看受控终端的系统日志,包括应用程序事件、安全性事件和系统事件;
·对网络访问进行审计,记录用户对规则指定网址进行的访问操作;
·对打印机使用情况进行审计;
·对受控终端的软盘、U盘等移动存储设备的使用情况进行审计;
·对拨号访问情况进行审计;
·对受控终端的共享文件夹设置进行审计,包括共享、会话和打开文件的信息;
·查看受控终端的TCP/UDP连接端口,及时掌握受控终端的网络连接情况。
●灵活的多级分布式管理
根据计算机网络应用范围的不断扩大,传统的单级C/S管理模式已经不能满足用户的需求。在经过充分的市场考察以及产品定位,LanSecS内网安全管理系统融合了先进的多层管理模式。可以根据用户的实际情况将复杂的网络环境按照管理的便捷性划分为多个安全管理区域,管理区域内的控制台除了负责管理控制自身范围的安全外,还保证同上级控制台的安全审计信息的交互。并且分析了MicoSoft公司的域概念的优势,将信任关系以及信任交互等先进的概念引入产品,进一步完善了产品的管理理念。
除此以外,本着用户的利益是我们所关注的重点的原则,在网络智能探测器的设计上也做了进一步的技术处理、改善,彻底解决了跨网段、跨广播域灵活部署网络智能探测器的问题。
●详细的审计、分析与报告功能
审计统计报表提供强大的报表机制,为系统管理员分析诊断网络故障提供了数据分析的基础。可以根据部门、设备、事件类别等多种条件进行查询统计,生成各种审计统计报表。包括:
◆安全事件分析报告
◆系统配置审计报告
◆系统所有软硬件资产信息审计报告
◆系统补丁查询报告
◆控制台操作行为规则审计报告
◆打印行为审计监控报告
◆拨号行为审计监控报告
◆网络访问审计报告
◆计算机信息综合查询报表
对生成的各种报表均提供打印预览功能,支持所见所得的报表打印。
|
