出现概率:低 影响程度:高
处理建议:对外围设备的使用进行控制,不允许随意地使用外围设备拷贝机密数据。内网安全管理系统应该实现对各客户机外围设备的集中监视和控制,通过在管理端进行设置,可禁止和启用各客户机的外围设备,有效地保护计算机上的信息。
2.3.4缺少对客户端进程的监控措施
阿尔西内部存在违规使用软件的行为。员工在计算机上安装使用游戏软件、盗版软件,不但引入了潜在的安全漏洞,降低了计算机系统的安全系数,还有可能惹来版权诉讼的麻烦;这些行为不仅降低员工的工作效率,且对内网构成重大的安全威胁。
出现概率:低 影响程度:高
处理建议:内网安全管理系统应能自动搜集各计算机所有的软件信息,形成内网计算机的软件资产报表,从而使管理员全面了解各计算机安装软件的信息,及时发现安全隐患并予以解决。同时,管理员可以在管理端配置软件运行预案,指定内网计算机必须运行的软件和禁止运行的软件,从而对计算机的软件运行情况进行检查,对未运行必须软件的情况发出报警,终止已运行的禁用软件的进程。
2.3.5是否拥有完整的补丁管理策略
操作系统补丁管理始终都是有必要的,是个不容忽视的重要任务。如果不实施全面的补丁策略,则后果可能会很严重:关键任务生产系统会失败,安全性敏感系统会受到恶意利用,从而导致时间和相关业务收入的损失。组织应该采取以下步骤:正确地配置系统,使用最新的软件,以及安装建议的有效性和安全补丁。
出现概率:低 影响程度:高
处理建议:阿尔西内网安全管理系统应具有补丁管理功能应该帮助组织对产品环境中的内部操作系统软件进行部署和维护控制,帮助组织保持运作效率和有效性,克服安全漏洞并保持生产环境的稳定性。通过成熟稳定的补丁管理程序在网络环境中评估并保持系统软件的完整性,也是成功实施信息安全程序的首要关键步骤。
2.3.6缺少有效的终端远程管理措施
随着网络规模的日益扩大,工程人员对网内客户端进行管理和维护工作时,如果全部对
现场机器直接操作,需要花费大量的时间和精力。这就需要一种安全可靠的远程控制解决方案,它可以使管理员通过网络远程进行连接、安装、配置和排除故障。
出现概率:低 影响程度:高
处理建议:内网安全管理系统应该提供一种集中的手段来部署、监视并且管理分散的IT设备。工程师不再需要到每一台客户端所在的现场进行操作,坐在一台安装有管理器的计算机前,就可以方便、快速地完成维护、配置、重启机器的工作。
2.3.7是否拥有完整的身份认证与授权策略
身份认证服务是帮助系统识别用户的身份,决定并控制他们在网络上能干什么工作,即所谓的授权管理。组织内多套信息系统的多帐号身份认证和权限管理将会带来管理上的重复和不一致性,也可能导致管理混乱,带来安全漏洞。
出现概率:低 影响程度:高
处理建议:内网安全管理系统应该实现多信息系统的统一用户身份认证和授权管理,为实现阿尔西统一门户、单点登录提供手段。
3.阿尔西内网安全管理解决方案
3.1内网安全策略
3.1.1内网信息登记策略
通过自动收集以及注册登记相结合的方式,收集全网设备信息(如终端IP/Mac地址、服务器、软硬件信息等),并按照组织机构归类。这样在发生安全事件后,可迅速确定安全事件源,采取有效措施。
3.1.2内网管理责任制度
本方案基于阿尔西组织结构管理,可在各管理节点分别设立专门的工作人员-部门管理员,对所管理范围内的内网进行日常的维护。他们的工作职责是:
? 与内网安全管理中心沟通; ? 内网的日常维护;
? 接收所管理范围内的违规报警信息;
? 处理产生的安全事件,确定事件源; ? 定期的安全评估;
? 提交可疑的事件样本、日志。
同时在阿尔西内网安全管理中心设立一名全网管理员,他的工作职责是: ? 收集各部门管理员提交的事件样本、日志及产品使用过程中遇到的问题,提交给宝
信软件或集成商,作为三方沟通的窗口; ? 制定并推行内网管理策略;
? 实时了解全公司范围内网防护状况,并作出安全评估,对出现管理漏洞的管理节点
提出相应的改进建议;
? 了解最新的产品信息,发布给各部门管理员。
设立独立的审计帐号,记录全网管理员与部门管理员的操作日志,因此建议在阿尔西管理部门设立一名审计员,他的工作职责是:
? 审计全网管理员操作日志; ? 审计部门管理员操作日志;
3.1.3定期安全事件评估
部门管理员将每周发生的安全事件汇总并进行详细评估,查找安全事件原因,并将此报告提交至该部门管理人员,督促该人员增强自身管理。
全网管理员收集各部门管理员提交的安全评估报告,进行总结,并提交给领导。
3.2内网安全域的划分
安全域是指根据一定的分类方法,将一定数量的主机划分在同一个范围,使这些主机
从逻辑上是在同一个安全区域。对网络内部的主机进行安全域的划分,主要考虑。
3.2.1安全管理的需要
管理者需要对网络内部大量的、分散的主机进行有效的管理,就需要进行安全域的划分。按照一定的分类方法,管理者可以将“大量的、分散的”主机安置在不同的安全域,每个安全域都只是包括了可管理数量的主机,使得每个安全域的内部安全管理都变得切实可行!而不是使安全管理变得复杂而不具可操作性,也不会使安全管理变成了整个内网安全体系的瓶颈。
3.2.2安全策略的需要
安全域的划分为安全策略的制定提供了基础,管理者可以根据不同安全域的不同安全需
求,并结合相关管理制度,为每个安全域都制定相应的安全策略,使得网络的内部安全管理可以有层次的,同时也是全面的安全管理。
内网安全域的划分通常有两种方法:
? 按照主机安全级别。根据主机可能接触信息的安全级别来进行划分;
? 按照机构内的行政范围。根据机构内部的行政范围来进行划分,如:财务科(安全
域)、生产科(安全域)等。
3.3宝信内网安全产品部署与建议
3.3.1eCop部署拓扑
如上图示,宝信网络巡警eCop主要由如下部分组成:
eCop中央控制器、控制代理、扫描代理、eCop客户端、更新管理监控端、DHCP代理、
报警精灵、远程桌面管理。 部署说明:
eCop NSMI型共三个网口LAN1、LAN2和LAN3,三个网口全部接入到核心交换机上,分别管理内网中的VLAN4、VLAN5和VLAN6,共3个网段。当这3个网段中有违反策略的
客户端时,可以将其放到虚拟隔离区中,客户端只能访问指定的服务器,升级到符合接入策略后才能允许访问局域网内相关权限的资源。
宝信软件eCop产品是基于B/S结构进行管理,任意一台网内计算机都可作为管理控制台,输入相应的用户名和帐号即可进入管理界面。 中央控制器(简称CM,Central Manager)
中央控制器是eCop产品体系的管理核心,采用B/S模式、软硬件一体化设计,实现对全网数据的收集统计和分析,是数据存储和提供用户交互接口的设备,通过升级包升级。根据启用的管理功能和管理的网络规模、终端数量,有5个级别的设备可供选择,针对多个中央控制器,还能够架构一个上层控制中心,汇总多个中央控制器的数据。 控制代理(简称MA,Manage Agent)
控制代理完成对扫描结果的逻辑处理,以及获取中央控制器的指令,对管辖内的扫描代理发布控制指令和配置信息,同时负责扫描关联的交换机,以获取交换机端口与接入设备的MAC地址对应关系,实现对交换机端口接入的控制。中央控制器内置一个控制代理。 扫描代理(简称SA,Scan Agent,又称IPA)
接入控制功能启用需配置中央控制器、扫描代理和控制代理。每个扫描代理管理一个物理网段(主动扫描模式一个网段不超过1024个节点),能够为软件形式(安装在98/NT/vista外的windows系统上),也能够是软硬件一体化的设备(内置3个扫描代理),主要取决于对安全级别和部署成本的要求。在运行过程中,硬件设备与软件部署对于控制代理是透明的,一个网段内最多安装3个代理,会按照启动顺序自动选举一个处于活动状态,其他代理处于休眠状态。中央控制器内置一个扫描代理。 安全客户端(另称LsAgent)
终端健康体检功能依靠安装在每个终端上的安全客户端来实现。安全客户端直接与中央控制器通过https通道进行通讯。当相应客户端的配置发生变更时,中央控制器会主动通知客户端,客户端会根据中央控制器负载情况主动获取新的配置;当客户端监测到有配置的审计事件发生,会根据中央控制器负载情况,向服务器发送审计记录。 更新管理监控端(另称WSUSMonitor)
配合WSUS Server进行windows更新管理,需要在WSUS Server上安装监控程序WSUSMonitor。
DHCP代理(另称DHCPSniffer)
为支持DHCP的IP接入控制,需要在DHCP Server上安装DHCPSniffer。如果使用非windows系统的DHCP服务器,则无法安装DHCPSniffer,同样也无法启用eCop系统在相应网络范围内的动态IP地址管理功能。