摘 要:充分利用社会上现有的先进的网络管理工具,为路灯管理中心打造安全、健康、易于管理的网络环境。使路灯管理中心的内部网络成为高速、安全且具有管理中心自身特色的办公网络系统。
关键词:内网管理 信息化建设
在完成网络建设的基础工程以后,如何最大化的将现有设备利用起来,减少内外部的病毒入侵和网络管理的复杂程度,是我们要重点解决的首要问题。解决好这一问题,不仅能大幅度的提高我管理中心的办公效率,给员工创造更好的学习环境。还能够大大降低网络管理的复杂性,提高网管人员的管理效能。为了达到这一目的,在路灯管理中心的部分设备上尝试安装并使用了北信源内网安全管理软件,取得了较为满意的效果。
1 内网管理概述
调查显示,政府、企业单位中超过80%的管理和安全问题来自终端。因此,网络安全呈现出了新的发展趋势,安全战场已经逐步由核心与主干的防护,转向网络边缘的每一个终端。
1.1安全目光由外而内
从国内网络安全建设的实际情况看,传统的安全防护以企业网络边界和核心作为防护重点。但网络环境日趋复杂,随着以计算机终端为主要目标的蠕虫攻击、木马破坏、黑客入侵等各种安全事件的泛滥,以往围绕网络部署的安全措施已显得力不从心。
计算机终端作为信息存储、传输、应用处理的基础设施,其自身安全性涉及到系统安全、数据安全、网络安全等各个方面,任何一个节点都有可能影响整个网络的安全。而计算机终端广泛涉及每个计算机用户,由于其分散性、不被重视、安全手段缺乏的特点,已成为信息安全体系的薄弱环节。因此,有越来越多的用户和厂商开始调整安全防护战略,将着眼点重新回归到计算机终端安全上来,这使得终端安全成为市场上的热门话题。
对终端安全的关注,缘于以下几个方面的原因:
1.防病毒技术未能解决的问题,引发了终端安全领域的拓展。传统意义上的终端安全主要依赖于防病毒技术,而终端安全事件的屡屡发生导致了用户对防病毒软件的不信任,以至于引发了防病毒软件是否卖“过期药”的激烈讨论,这也推动了终端安全领域向更广泛的领域延伸。对企业级用户来说,防病毒软件已经满足不了他们的需求。如果客户端数量非常多的话,防病毒软件通常很难管理到桌面。而网管员们则越来越希望能进一步加强对桌面的控制,达到集中控管。
2.计算机终端拥有广泛的用户群。无论是企业级用户还是个人用户,绝大多数人都直接使用计算机终端(PC或笔记本电脑)进行办公、业务处理、个人事务处理、上网等。对终端安全关注的人数更为广泛,影响的范围也更大。
3.企业级用户计算机终端安全的涉及面广。企业级用户的计算机终端安全涉及到终端本身的系统安全使用、数据信息保护、应用正常运转,由于往往在网络环境中工作,还面临来自内部网络或Internet的安全威胁。此外,终端遭受病毒感染、蠕虫攻击、黑客入侵时,很容易通过网络进行扩散,从而影响到网络中其他终端和业务系统的安全。
4.面向终端的安全措施效果明显。传统的安全方案主要围绕网络实现,例如:在网络边界,采用防火墙对网络连接和访问的合法性进行控制;在网络传输上,采用入侵检测系统监视黑客攻击和非法网络活动; 在主机设备,采用主机加固措施加强主机防护能力,等等。但当我们的视角必须关注到计算机终端本身的安全时,发现面向终端的安全保护和控制措施来得更直接,效果也更好。计算机防病毒系统防止系统和数据遭受破坏,应用也最为广泛;补丁管理弥补系统漏洞,防止蠕虫、黑客攻击;终端访问控制防止网络入侵,避免黑客跳转攻击,防止网络资源滥用;资产管理可以让企业全面、及时掌握终端资产状况,便于管理;操作许可限制能够更好地通过技术控制贯彻IT制度的落实。
1.2 多种途径实现终端安全
计算机终端安全是指围绕桌面台式电脑、笔记本电脑等终端设备而实行的安全保护技术和管理控制措施,目的是保障桌面计算机系统安全、数据安全、网络安全、应用安全。
终端安全产品的属性非常多,包括:管理(网管软件、单机版的系统管理、补丁管理等等)、保护(个人防火墙、单机版防病毒、主机IDS等等)、监控审计(拨号监控、上网监控、网页内容浏览监控等等)、网络准入。根据这些属性,终端安全产品可以分为管理类产品、保护类产品、监控审计类产品和网络准入类产品。有的终端安全产品重点解决病毒、蠕虫、木马危害;有的着重分析系统漏洞和弥补漏洞;有的强调个人防火墙防护和网络访问控制;有的强调行为控制和应用监管。
按照终端生命周期管理(Endpoint LifecycleManagement, ELM)模型,终端管理可以分类为:资产管理、终端保护、应用监管和审计分析。资产管理用于在企业范围内收集终端硬件信息、软件信息、用户信息等,实现企业级全面实时的资产管理;终端保护用于控制来自终端以外的安全威胁,通过恶意代码防范、个人防火墙技术、设备使用控制、数据文件保护等措施对终端的安全使用提供保护;应用监管用于对终端用户的行为进行监视和控制,比如终端准入控制、非法外联控制、网络滥用控制(上网、网络聊天、游戏等)、应用程序使用限制等;良好的审计分析机制是确保策略得到有效执行的保障手段。在终端的使用、管理、保护以及监管的过程中,需要有一套行之有效的审计措施,并且由专门人员进行日志的分析整理,发现违反策略的行为,或者策略需要改进的地方。
在可信计算环境的体系结构中,整个系统分别从被保护的终端安全引擎代理、下发各种安全策略的中心策略管理服务器、管理员直观可视的管理员控制台、内网隔离策略强制访问控制系统、各种终端升级与补丁管理系统等五部分组成,这五部分共同协作,构成了可信终端保护的安全体系。
同时,如果安装Terminal Guard的客户端程序,则可以收集到各种信息资产,存放在服务器的数据库中,并不断跟踪终端的变化,从而保证管理员随时得到最新的信息,资产管理收集的信息包括各种硬件信息(IP地址、MAC地址、CPU、内存等)和软件信息(安装的软件产品、补丁等)。
1.3 化解企业安全困境
客户端桌面安全管理技术的兴起是伴随着网络管理事务密集度的增加,作为网络管理技术的边缘产物而衍生的,它同传统安全防御体系的缺陷相关联,是传统网络安全防范体系的补充,也是未来网络安全防范体系重要的组成部分。因此,客户端桌面安全管理技术无论在现在还是未来都应当归入网络安全产品体系之列。客户端桌面安全管理强化了对网络计算机终端的控制,对计算机终端的管理包括:资源资产、终端安全策略、桌面风险控制、补丁分发、终端运行状态监控以及终端涉密审计等。客户端桌面安全管理系统提供了防火墙、IDS、防病毒系统、专业网管软件所不能提供的防护功能,对它们管理的盲区进行监控,扩展成为一个实时的安全监控系统,并能够同其它网络安全设备进行安全集成和报警联动。
客户端桌面安全管理技术近几年来逐渐被网络管理者和机构管理决策者们所重视。对于那些机器数量庞大,几百台甚至几千、几万台设备终端的网络,网络管理人员面临的不仅仅是处理繁杂的终端安全管理事务,还要从事基础的网络运行维护。2003~2004年,“冲击波”、“震荡波”在互联网、企事业网络猖獗传播的时候,也正是网络管理人员忙于对众多计算机进行病毒查杀、升级操作系统补丁的时候,同时爱情后门变种病毒在网络中此起彼伏的传播,可谓让网络管理人员费尽脑力。国家安检、军机、政务等涉密机构部门也面临着内务专网中的客户端用户进行不规范或违规操作所带来的危害威胁,如黑客入侵、病毒入侵、资料泄密等危险性行为。
2 我中心现有网络情况
我中心的内部网络系统经过上一次的改造,在数据传输上形成了以光纤传输为骨干,千兆集联,百兆接入的传输格局。全面解决了过去在网络传输上形成的瓶颈。在网络设备配置上采用了目前国际上较为先进的星型拓扑结构,形成了以三层交换为核心的单星型网络网络拓扑结构。提高了网络传输的稳定性和故障排查的简便性。在局域网安全上,采用了划分子网、防火墙和杀毒服务器等多种目前国际上流行的局域网安全策略,保证内部网络的安全与稳定。在内网安全管理上,由于各种外部环境的原因,一直没有安装内网安全管理软件,安全管理主要依靠局域网出口的硬件防火墙和终端软件个人防火墙来防护,因此给内网管理带来了许多不便,特别是当爆发ARP病毒和多台终端同时爆发病毒时,网络管理人员往往顾此失彼。
 |
3 北信源内网管理软件简介
北信源内网安全管理及补丁自动分发系统由8部分组成:SQLserver管理信息库(安装包:环境初始化程序)、Web中央管理配置平台(安装包:网页管理平台)、区域管理器(安装包:Region Manage)、设备扫描器(安装包:Region Scan)、客户端注册程序(安装包:注册程序)、WinPcap程序、补丁下载服务器等。
环境初始化程序:SQLserver管理信息库,建立北信源内网安全管理及补丁自动分发系统的初始化数据库。包括:网络客户端设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、注册(未注册)机器信息、设备属性变化信息、报警信息等。扫描器将设备最新状态信息同数据库中原有信息进行遍历搜索对比,根据规则要求在管理平台上报警。
网页管理平台:Web中央管理配置平台,本系统的管理配置中心。包括区域管理器、扫描器、注册客户端的功能参数设定,网络设备信息发现、系统应用策略制订、报警信息显示、定义任务功能制订、系统用户维护等配置操作。
Region Manage:区域管理器,系统数据处理中心。与管理信息数据库通讯,接收注册程序提供的用户信息,将用户信息(用户填写的物理信息和系统自动采集的硬件信息)并行存入数据库;接受来自控制台的命令操作,发送到客户端、扫描器执行。
Region Scan:设备扫描器,扫描网络中主机状态。查看是否已经安装注册程序,巡检网络设备状态变化信息,及时通知客户端驻留程序更新应用参数。对客户端违规行为的阻断也是由扫描器在接收控制台命令后执行。(注:扫描器已集成至区域管理器内,功能不变)扫描器配合区域管理器进行工作,可以在分级模式下使用。扫描器只依据Web管理平台中配置的工作范围进行扫描,超越其范围,将不负责执行操作。
WinPcap程序:嗅探驱动软件,监听共享网络上传送的数据。
客户端注册程序:用户访问指定网站自动获得,用户填写本机信息,填写必要信息后上报区域管理器。注册程序自动探测系统硬件信息,连同用户填写的信息一同上报区域管理器。用户将本机注册信息发送到区域管理器后,区域管理器自动将客户端驻留程序应用策略发送给用户,并自动更新。
客户端驻留程序功能:
1. 进行本机硬件属性信息变化监视;
2. 进行本机IP、MAC地址变化审计;
3. 本机系统补丁、软件安装、运行进程状况监测;
4. 探测本机是否有违规联网行为,在内网管理中心或外网报警平台报警;
5. 接受Web管理平台的管理命令;
6. 阻断本机非法外联行为;
7. 执行Web管理平台下发的各种策略操作。
补丁下载服务器:安装在与Internet网络连接的机器上,用于实时下载补丁厂商发布的补丁。
4 内网管理软件在路灯中心的应用
4.1应用框架
北信源内网安全管理及补丁自动分发系统应用于局域网、广域网构架,支持跨网段、跨地域的内网远程客户端管理及非法移动设备接入检测、网内计算机违规联网监视、网络安全隔离度监控等。
系统应用在路灯管理中心的构架:
在中心原杀毒服务器上安装使用一套内网安全管理系统软件,集中管理所属区域内的所有设备。各终端分别安装软件客户端,各终端统一由杀毒服务器控制管理。
 |
4.2 系统应用
4.2.1 区域划分与配置
在网页平台安装完毕之后,访问http://Web服务器域名(IP)/VRVEIS访问WEB管理平台登录界面。如下所示:
在所处的IP地址段内,进行区域划分操作
首先进行区域添加和划分操作,
区域划分:单击系统首页面左侧“策略中心”的“区域划分与配置”,对网络中的客户端进行区域划分管理,按照提示依次添加区域、增加区域IP管理范围、分配区域管理器、分配区域扫描器,并完成系统组件运行参数配置。
区域描述配置:
填写好一些必要的与区域相关的信息。
本区域IP划分:根据用户实际需要在下图所示的文本框中填入需要管辖的IP地址。
下级区域划分:在已有区域页面中点击“增加下级区域”按钮进行下级区域添加,如路灯管理中心下属生技部、安监部等。
组件添加:对于网络规模大的管理,可以设置多个区域管理器对网络进行管理,不同的区域管理器共同使用一个数据库去管理不同范围的网络,并且,每个区域管理器下属可以使用多个区域扫描器,管理员根据管理需要设置区域管理器和扫描器。
组件参数配置
区域管理器:区域管理器为系统策略控制及数据接收处理中心,具有控制完成系统相关的动作行为处理功能;同时与本级数据库系统连接,统一接收注册程序提供的信息,将用户信息(填写的计算机使用人姓名、联系电话、E-mail等,计算机IP、MAC地址、硬盘、CPU、内存等其它硬件信息均为自动采集)存入数据库。
根据本区域客户端IP管理情况确定对IP地址的管理方式,若选择IP、MAC地址绑定,需要在静态IP环境下进行设置。
设置扫描器阻断管理:针对没有注册的机器自动阻断联网,设置持续阻断时间;设置客户端IP地址和MAC地址绑定变化行为自动阻断。
4.2.2 注册部门配置与管理
该模块在没有或由于网络IP规划凌乱而不方便划分区域的情况下,按部门名称注册。
客户端在注册时,就可以在对应的部门名称中填入对应的部门名称而注册到该部门所管辖的范围中去。并且在设备查询时,可以直接通过部门名称查询它下属的客户端。
4.2.3设备接入管理
当扫描器发现有外来设备接入内网时,该功能可以有效地控制外来设备接入内网而带来的安全威胁,通过选中“没有注册则阻断联网”复选框便可阻断该设备。
4.2.4策略管理中心
1、如何进行策略创建和分发
a、在“策略管理中心”中左边的策略项中可点击需要制定的策略,然后在右边的“新建策略名”中输入相应的策略名称后,单击“创建”按钮开始创建策略。
 |
 |
b、随后在具体的策略的配置中根据用户的实际需要配置好策略后,单击“保存策略”就完成了一条策略的创建。
c、接下来是下发策略,即指定策略的执行对象,可通过单击“对象”按钮后,可按界面的提示完成对象的分配。如下图所示:
d、如果需要让某一条策略暂时不使用,可按界面中对应的“停用”单选按钮使策略失效,需要使用的时候再单击“启用”按钮使策略生效。如果想要删除某一条策略,则直接按“删除”按钮即可。但在删除某策略之前最好先停用该条策略。
2、策略的高级设置
策略的高级设置用于客户端程序对策略的执行设置,包括策略状态(启动、停止)、策略存活时间(策略执行的起止时间)、策略执行触发条件(在何种条件下开始执行策略)、策略无效时间(规定时间内客户端不执行策略)、策略应用范围(本级区域、下级区域、所有区域)。
3、系统策略设定
(1)硬件资源管理:控制硬件外设的使用,启用或禁用光驱、软驱、USB移动存储设备、USB全部接口、打印机、调制解调器、串、并行口、1394控制器、红外设备。
控制各种硬件设备及接口的启用或禁用,如果只想禁止使用移动存储设备,通过“行为管理及审计”策略来实现,设置后保存策略。
(2)进程及软件监控:包括监控已经安装的软件、监控正在运行的进程两个策略子项。软件安装监控:输入禁止安装软件、必须安装软件的主程序名称,并分别配置违规处理措施,高级策略项,最后保存策略。如下图所示:
进程执行监控:在“进程名”中输入进程名称,然后设置好“控制状态”后,单击“添加控制”按钮即可完成禁止或必须的进程。
(3)软件分发策略
普通文件分发:提供服务器向客户端分发各种文件、如可执行文件并可以自动运行,服务器端可以选择分发的目标路径、设定运行参数、是否后台运行,同时向客户端发送提示信息。
具体操作:点击“浏览”选择需要分发的文件后,单击“开始上传”按钮,待上传完毕后即可在“文件名”处的下拉框中选择欲分发的文件。(也可以一次上传多个文件)最后单击“保存策略”按钮,待依次指定对象和启用策略后,该策略则开始生效。 文件完全分发到客户端需依照文件大小决定。
(4)自动补丁分发策略:包括补丁自动分发和人工选择布丁分发补丁自动分发:提供客户端补丁的自动下载及安装,可设置补丁探测时间,运行参数及运行形式。基于分发时间、补丁检测周期等进行策略制订,策略发送到网络客户端后,客户端注册程序统一执行补丁应用策略。
如:在WindowsXP中运行“WindowsXP-KB825119-x86-CHS.exe”补丁为例,首先进入命令提示符窗口。接着在进入系统补丁所在目录后,按“补丁名称+/?”的方式来查看一下该补丁支持的命令行参数。
人工选择补丁分发:该功能可以根据人工选择特定的补丁下发给客户端。
5结论
5.1使用后的效果
这次在路灯管理中心全网试用北信源内网管理软件,使我们深切感觉到了内网管理软件的易用性和方便性,不但大幅度地减少了网管人员的劳动强度,也大幅度的降低了网络故障的处理时间,使原来许多需要到故障现场处理的终端问题,可以通过服务器进行远程处理。此次添加的桌面安全管理软件使我中心的网络安全更向前迈进了一步,使网络安全管理由过去的网络管理延伸到了客户的终端管理,在全中心实现了终端-终端的全面管理和控制。
在计算机管理上,我们用该软件将所有的计算机的MAC地址与IP地址进行绑定,使非法计算机无法进入网络,同时通过策略设置,杜绝了内网人员使用未经网管确认的U盘传入病毒的危险。最主要的是我们通过该软件对内网所有计算机的操作系统全都打了最新补丁,关闭了可能存在的后门危险。在防止目前网络中广泛存在的ARP病毒方面,该软件虽然能够通过流量监控功能分析出可能的攻击主机,但却无法确定(无法直观地显示出攻击主机)。需要与ARP防毒软件配合使用,这是该软件的不足。
5.2结束语
内网安全管理及补丁分发系统是继软硬件防火墙之后又一安全防护管理软件,它是对网络杀毒、防火墙产品的一个无缝补充。这一产品的使用把网络管理的概念由过去的路由交换延伸到了终端,为局域网管理人员提供了一个综合性的管理工具。以前,路灯管理中心存在内部网络滥用、笔记本电脑、内部非授权访问等安全隐患,各部门均受到不同程度及特点的网络安全困扰。在安装了北信源终端安全产品后,终端安全产品不但很好的保护了PC和笔记本电脑,网络安全也得到了很大的加强。现在,中心借助封闭端口和终止服务等手段,阻塞了部分病毒传播途径,补丁发布和漏洞公布之间的响应时间窗口迅速缩小,既保证了终端安全,也成为应急响应和临时变通方案的重要手段。
参考文献
[1]《北信源VRVEDP内网安全管理系统手册》