报警精灵(另称AlarmGenius)
用户能够在一般的客户计算机上安装报警精灵,以获取系统发出的管理员报警信息。 远程桌面管理(另称Lanseeker)
如有远程桌面管理的需求,可在管理员计算机上安装Lanseeker监控端,在需被控制的计算机上安装Lanseeker客户端。
3.3.2eCop部署建议
根据阿尔西内部网络潜在的威胁分析,结合宝信eCop网络巡警的特性,由点及面,全方位部署,彻底截断病毒入侵的所有途径。
1、在阿尔西总部中心机房部署一台eCop5 CMI型中央控制器,支持最多250个客户端。该中心配置可以解决内网安全中的终端接入控制、终端健康体检、终端运行维护、审计报表等所有模块的策略配置和数据汇总功能。
2、将中央控制器接在核心交换机上,用eCop5 CMI内置的控制代理和扫描代理来管理3个VLAN网段。内网分配IP地址如果是采用动态分配的方式,同时还需要在动态分配IP地址服务器上安装DHCPSniffer监控端,从而完成IP地址管理总体配置和部署实施问题。
3、在内网各计算机上安装客户端程序,来保证客户端管理策略的实现。客户端程序采用了多线程保护等多种手段,保证驻留程序不被卸载和停用。从而完成整体的内网安全解决方案的部署。
4、在总部中心架设一台监控管理服务器,包括远程桌面监控、更新管理监控、实时报警监控。
3.4内网安全管理体系架构
基于上述安全策略及对该领域技术发展前景、产品的性价比等综合因素,宝信软件建议阿尔西采用网络巡警eCop搭建内网安全管理架构:
3.4.1eCop简要说明
上图中各子系统的功能如下:
1、终端接入控制
是用户构建“可信”内网环境的稳固基石。管理和控制接入内网的各类网络设备,包括计算机、服务器、交换机等具有独立IP和网络接口的设备,设定接入策略,不符合策略的终端不能入网。该功能综合了eCop系列产品的3种技术:基于ARP原理的IP地址阻断与保护、基于交换机端口控制的管理功能,基于客户端自检的网络访问控制功能,高效的扫描引擎快速并准确的扫描到节点,形成灵活多样的网络设备接入控制功能; 2、终端健康体检
是用户构建“可控”内网环境的中流砥柱。监控安装Microsoft Windows操作系统(除Win98/Vista)的计算机、服务器,能够监控windows补丁和防病毒软件安装运行情况,做好终端安全防护;监控计算机外设使用、外联拨号、USB设备使用,并增强了USB设备文件加密功能,防止机密信息泄露;监控计算机软硬件安装和变更、进程运行情况,提高内网资源使用效率。发现不符合“健康”标准的终端,则可以采取警告、隔离、阻断等措施,直到恢复要求才许入网; 3、终端运行维护
通过系统的自动搜集和更新功能,并辅助以手工添加的形式,逐渐形成按照组织机构的IT资产信息,包括计算机、网络节点信息等。若与管理制度相结合,提高资产利用率,使管理更规范快捷。提供终端截屏功能、远程桌面监控功能,减轻管理员远程维护的工作困难,是实现“可管”内网环境的有力辅助;
4、审计中心
完全用户自定义的审计功能,按用户需要记录用户最关心IT资产的使用、变化和违规信息,为用户合理规范地使用IT资源以及事件故障的追溯提供有力依据,数据有统一的图表展示和分析,并且可以支持长期保存; 5、系统管理
完成对安全管理及监控系统自身的管理和配置功能,该子系统划分为运行环境配置、用户机构管理、管理权限维护和系统运行维护四个模块。
3.4.2eCop优势特点
1、系统运行稳定,可靠性高
专业软硬一体的监控设备,采用专门定制的并经严格测试硬件设备,保证了内网安全管理系统可以长期、稳定运行。旁路接入设计,当产品发生故障时适时断开网络,不会影响到企业主营业务的开展。客户端目前支持Windows主流操作系统,运行稳定,占用系统资源很低。
2、准确并高效的网络扫描机制
通过TCP扫描、交换机扫描、ARP扫描3种引擎以及安装的安全客户端对节点进行接入检查和健康体检,高效准确的组合扫描机制是确保整体系统可靠运行的保障,同时又是有效的网络接入控制手段。
3、丰富并可灵活组合的终端健康体检功能
为计算机维护和管理人员提供了有效的技术手段。健康体检功能涵盖了日常的终端运维和终端安全工作,从计算机使用的各个方面规范和监督用户,为组织的管理制度实施提供了有效的保障。用户可根据需要灵活组合各模块。 4、多层次管理和策略控制
可以按照不同的组织机构层级或者个人设定不同管理控制规则。根据组织机构和功能模块的两维授权体系,可以灵活应对不同组织内的授权管理要求。 5、自定义的审计中心和全面的报表功能
完全由用户自定义,避免大量无用数据,大大简化管理员的日常工作。用户可以定义报表模板和任务。
6、高度适应环境变化,不需对网络进行特殊配置
市场上多数接入控制系统利用交换机VLAN分隔方式,或通过交换机的802.1X协议扩展主机名、MAC地址绑定的方式实现接入控制,这些方案配置管理不够灵活方便,对网络设备硬件要求高,对管理维护人员技术水平有较高要求,有些系统需要对现有网络环境进行较复杂的配置甚至是改造。而eCop支持各类网络环境,采用旁路接入的方式,不需要用户对网络环境做特殊修改。交换机扫描和端口管理支持当前大多数主流的交换机产品。 7、部署应用灵活
分布式架构,适应超大网络规模的部署和应用。B/S系统结构。整个系统的管理和设置全部基于Web方式,在Web上就可以直接管理内网安全管理的运行,监控整个网络的运行状况。通过对策略模板的集中管理和应用,保障了整体策略的贯彻实施;同时模板的灵活性又保证了安全策略针对不同的应用环境可以灵活定制。 8、可扩展性强
可开放标准接口与外部系统联动。另外,eCop-NSM V5 产品是宝信软件股份有限公司内网安全系列之一,同系列还包括宝信智能安全网关eCop-XSA等其他涉及边界安全、内部安全的产品。使用eCop内网安全系列产品,可以很方便的实现与eCop-XSA的联动,进而形成功能扩展。例如,可以通过eCop-XSA作为VPN的接入网关,同时通过与eCop-NSM V5联动形成VPN接入体检与健康体检系统。
3.5终端接入控制
网络接入控制已经日益得到企业用户的重视,因为只有确保内网接入的设备可信并受控,才能有效的保障内网安全。而接入设备如何才是可信,能够控制到何种程度,结合多年内网安全产品研发和市场推广经验,eCop-NSM V5提供如下功能:
3.5.1自定义的组合接入检查策略
节点MAC地址是否进行过登记,是否使用了合法绑定过的IP地址,是否从指定的交换机端口接入网络,是否安装并正常运行了安全客户端程序,都作为接入体检策略的备选项之一。不同的用户能够根据自己实际的网络环境和管理要求选择合适的接入策略。
3.5.2灵活的接入控制手段
支持主动扫描与被动侦听的管理方式,对于发现试图接入的不合法设备,能够采用IP地址保护、ARP阻断、关闭交换机端口、关闭违规计算机网络接口等方式对其进行控制,用户能够选择适合自己实际应用的方式进行控制。
3.5.3自定义接入策略模板
根据多年应用经验,为接入控制配置提供最大程度的灵活性,针对不同的应用类型提供了合理的参数范围和缺省值。用户可自定义接入策略模板,模板集中管理和应用,以保障组织的接入安全策略得到贯彻,同时减少重复的配置工作。
3.6终端健康体检
网络设备完成合法接入,只能保证接入设备初始是合法的,但是要保证在运行过程中
符合组织的安全使用规范,只能依靠在运行过程中持续的进行健康体检。对于安装了安全客户端的计算机,能够采用客户端网络访问控制的方式限制其网络访问范围,形成一个逻辑隔离区,体检未通过的计算机,能够在此中间层内进行更新以满足体检策略。
3.6.1安全客户端
采用windows驱动层和应用层相结合的技术实现,在保证实现管理功能的同时,架构设计保证能够占用尽量少的系统资源,并且运行稳定。客户端程序作为服务在操作系统启动时自动启动,具有防恶意卸载功能。支持在线安装、卸载和离线安装、卸载,中央控制器能够快速准确的检测安全客户端的运行状况。系统通过客户端完成对终端计算机的安全防护、健康体检、资产自动收集和维护。
3.6.2更新管理
与WSUS3.0相配合,能够在中央控制器上为每个组织机构设置适合的标准更新模板,客户端结合配置的策略进行本机更新检查,对于不满足更新策略的情况进行警告,并且提供手动和自动的方式进行更新的下载和安装。对于组织内计算机对于更新的安装情况进行统一管理,及时地发现组织内部的防御漏洞。
3.6.3防病毒软件检测
支持国内外当前主流的防病毒软件检查,能够及时查询防病毒软件引擎和病毒库版本,并且支持注册表方式扩展。能够针对不同的组织机构设置合适的标准防病毒软件模板,支持一个组织机构内安装多种防病毒程序,支持对不同的操作系统配置不同的特征项值。
3.6.4USB存储设备认证与加密
针对USB存储设备这种当前最常见的移动存储设备,制定了设备认证和文件加密相结合的保护方式,只有经过本组织机构认证后的USB存储设备,才能够在装有安全客户端的本组织主机上被启用。
可配置USB存储设备为加密设备,则写入该USB存储设备的文件将会自动被透明加密,只有装有安全客户端的计算机才能进行透明解密读取文件内容。U盘中的文件全部可见,加密文件打开为乱码。
加密和解密目前采用的是对称算法,写入U盘,加密,从U盘读,则会解密。设置为加密U盘前原有文件对不安装客户端的计算机来说是明文,安装了客户端的计算机读取时就有一次加密,因此读入为乱码。对USB存储设备有文件审计,记录文件的创建、修改和删除。
3.6.5外联监控