4)远程管理功能:包括屏幕监控和远程控制功能。
以上1、2、4点NSM5.2都可以满足,由于新版本设计时的产品理念和技术发展方向上有所改变,取消了上面的第3项文件记录功能模块。但如果必须用到这个功能,建议用户采购宝信的NSM3.0版本。
2.1.3 NSM5.2版本新增和更新升级功能
2.1.3.1 NSM5.2版本的新增功能如下:
软件的扫描代理(简称SA,Scan Agent,又称IPA):
NSM3.0版本的IPA是部署在宝信核心处理器(CM)后的硬件设备,当管理网段超过3个时,进行扩充网段使用,当然会相应增加硬件成本。NSM5.2版本软件的扫描代理(SA)可以降低其硬件成本。 客户端非法隔离:
在更新管理监控和防病毒软件监控模块,支持对非法终端的隔离。在更新管理监控模块和防病毒软件监控模块,管理员可以针对组织机构配置对应的更新服务器IP地址和防病毒软件的服务器IP地址,当终端隔离后,就只能访问配置的IP地址(与核心处理器(CM)永远保持通讯状态)。
防病毒软件监控模块服务器地址配置
更新管理监控模块服务器地址配置
控制代理(MA)模块
没有部署SA的网段,可以由MA负责扫描,但是由于SA是利用ARP包方式进行扫描,MA是利用TCP进行扫描,两者存在区别,导致用MA扫描只能发现在线节点的IP地址,而不能获取到MAC地址,所以,用MA扫描方式就无法进行接入控制了,只能进行健康体检。 数据优化
对CM上各种数据(报表文件,定期截屏文件,数据库归档文件,数据库中各种审计、报警和日志信息)进行定期的清理或者备份,防止由于磁盘空间满造成问题,同时提高数据库查询的速度和数据的安全性。用户可以配置磁盘报警阈值,在磁盘使用率到达阈值后会启动报警告知管理员;支持FTP外传备份文件机制;支持对历史数据的查询。 分布式部署支持-数据中心(DC)
开发了eCop数据中心,可以管理CM和数据中心,从而可以实现CM和DC的多级部署和管理。
2.1.3.2 NSM5.2版本的更新升级功能如下:
更新管理优化
弱化了和WSUSSERVER的关系,原来是等待WSUSSERVER汇报各个客户端更新安装情况,现在客户端主动调用WSUSSERVER的接口,及时了解更新安装情况,并根据管理员的配置进行合法性判断。支持对一般更新的时间策略监控(在更新审批后一段时间内安装即可)和重要更新的截止时间测试监控(一定要在某个时间点之前安装好配置的更新)。 防病毒监控优化
改进了原有防病毒软件特征项需管理员频繁维护的不足;新增了客户端防病毒软件安装情况查看功能和基于防病毒软件信息的综合查询功能;同时在设计上允许客户端多个防病毒软件的可选择性安装,拓展了防病毒软件检测使用的灵活性;支持对不同操作系统配置不同的特征值,以满足不同防病毒软件对操作系统支持的变化。
按照接入控制和健康体检调整
系统围绕接入控制和健康体检两条主线进行重新规划,使得重点更新突出。特别提醒的是原有底帐管理现在改成了接入控制中的接入准则配置。 手工添加交换机
有些交换机在不能自动扫描出来情况下,可以通过手工添加后识别。
SA自动升级
本模块可以按照不同的需求对每个控制代理配置对不同SA是否开启升级功能,以保证SA可以在版本更新时自动完成更新。同时可以针对急需升级的SA进行立即升级。
硬件变更监控中去掉了鼠标和键盘的监控
考虑到实现复杂,而实际上用户需求很小,所以从这个版本去掉了此功能。 jakaMonitor监控程序
增加jakaMonitor监控程序,在tomcat异常后会自动重启,提高系统可用性。
增加公司情况描述和系统版本介绍
在系统管理的系统运行维护菜单下,增加了系统信息页面,来描述有关系统的基本信息。
系统管理-->系统运行维护-->系统信息 页面
2.2内网安全运行管理风险分析
基于上述对内网现状的分析,评估阿尔西目前内网管理是否存在以下不足:
2.2.1安全策略
是否拥有一套面向网络的建设者、管理者和使用者的适合组织的安全管理策略和管理规范,为内网安全提供管理性的指导和支持。
2.2.2员工安全意识风险
组织内员工是否意识到信息安全的威胁和利害关系,并在日常工作过程中支持组织的安全策略。
2.2.3信息资源的访问控制风险
是否拥有完善的访问控制策略以防止对信息系统的未授权访问;防止未授权用户的访问;保护网络服务;防止未授权的计算机访问;防止对信息系统内信息的未授权访问;探测未经授权的活动;确保移动办公和远程工作的安全。
2.2.4资产管理风险
是否拥有完整的资产管理策略以确保信息处理设备正确、安全的运行;将系统故障的风险降到最低;保护软件和信息的完整性;维护信息处理和通信服务的完整性和可用性;防止资产损坏、业务活动的中断。
2.3阿尔西内网潜在风险评估
2.3.1是否拥有完善的节点接入管理策略
节点接入安全常见问题主要表现为以下两方面:
1、IP地址盗用:恶意的盗用可能基于不可告人的目的,如:逃避服务器的记录、让服务器或某些重要主机无法上网;而非恶意的改动也会造成同样的后果。
2、外来设备的非法接入:将非法计算机接入网络,盗窃网上的资源,甚至对主机发动攻击。
出现概率:低 影响程度:高
处理建议:通过浏览器方式实现远程异地管理整个内网的IP地址资源,监视IP地址的使用情况。并有相应的技术手段来实现对IP地址盗用、非法节点接入等违规行为的自动发现、阻断、报警和日志记录策略。
2.3.2是否有适用的资产信息管理手段
目前,管理人员对所管辖网络的资源占用和用户情况难以准确掌握,对实际接入的计算机数量难以进行精确的统计,对面临的危害难以做出动态的评估和有效的防范。
出现概率:中 影响程度:高
处理建议:阿尔西的内网安全管理系统应该帮助管理人员建立起台帐信息,对所有接入计算机的用户信息进行登记注册。在发生安全事件时能够以最快速度定位到具体的用户,对于未进行登记注册的微机,能自动将其隔离在系统之外;同时,内网安全管理系统也应该能够自动搜索各微机的软硬件信息,并能够对这些信息进行统计和分析,生成相应报表;另外,内网安全管理系统还应该与安全策略紧密结合,自动收集与安全相关的一些系统信息,包括:操作系统版本、操作系统补丁、软硬件变动等信息,同时针对这些收集的信息进行统计和分析,给出安全状况报告。
2.3.3对外围设备的使用能否有效管理
计算机的外围设备为各种信息在不同的计算机设备之间交流提供了一个方便的途径,通过它们可以将各种信息复制到不同的计算机中,也包括病毒、木马等。与此同时,内网中的主机上保存着一些涉密的内部信息,这些信息不能够随意地被传播。