通过配置连接参考点和标准路由信息来对主机进行联网检测,以检测各种途径的非法外联事件、脱离内网的不安全操作等。
3.6.6外设控制
全面控制软驱、光驱、USB接口、Modem、并口、串口、1394口、红外口等常用外设接口能否使用,进而控制这些接口连接的外围存储设备、打印设备等,控制机密信息的泄漏途径。
3.6.7硬件变更监控
快速全面收集计算机的硬件信息,并在此基础上记录变更信息。能够定义规则以检测重要硬件的变更,以审计变更事件,并进行报警处理。硬件信息的变更直接更新资产信息。
3.6.8软件监控
监控计算机软件安装情况,设置“必须安装”和“禁止安装”的策略,对违规安装软件的计算机进行警告、记录、报警、阻断等操作。
3.6.9进程监控
监控计算机进程运行情况,设置“必须运行”、“禁止运行”、“监控运行”3种策略,控制指定进程的运行状态。
3.7终端运行维护
终端运行维护模块是实现“可管”内网环境的有力辅助。提供资产管理、远程截屏、远程桌面监控功能,减轻管理员远程维护的工作困难。
3.7.1资产管理
按组织机构管理,实现设备信息的注册和审批。计算机安装了安全客户端后,可以自动搜集系统、硬件、软件信息,并自动更新其变更情况。对于资产情况可进行用户自定义的组合查询。
3.7.2定时截屏功能
按组织机构设定截屏参数;
可对任意一台安装了eCop客户端且在线正常的机器进行实时截屏; 可任意选中一个或多个或一定范围的计算机进行定时截屏; 可定义时间段进行定时截屏,并设置图片大小、截屏周期;
可以查看客户端截屏画面,并可以通过幻灯片的方式循环播放
3.7.3客户端远程卸载管理
客户端卸载有页面卸载和远程卸载两种方式,通过该功能模块创建卸载许可证进行远程卸载。
3.7.4远程桌面管理Lanseeker
远程桌面管理LanSeeker用来在局域网中部署、监视并且管理分散的IT设备,诸如终端、服务器、和工作站,是eCop产品家族中的一款远程监控软件。Lanseeker主要功能有: 屏幕监视:实时获取客户端计算机上的屏幕图像,显示在监控端机器的画面上。开多个窗口能够同时监视多台计算机的画面。可以用于工程项目中实时查看现场终端的运行状况,也可以作为主管查看员工工作进度的工具。
远程控制:用户通过LanSeeker创建一个虚拟的网络计算机,可以使用客户端上允许使用的各种资源,对计算机进行远程控制,与直接操作客户端计算机没有区别。
3.8审计与报表
安全审计中心根据用户配置的审计策略和报警策略汇总各类审计信息和报警信息,提供丰富的查询功能,方面用户进行查询和问题追踪。
报表模块中内置了最常用的审计记录报表、报警信息报表和终端资产信息报表,用户可以进行实时报表浏览,或者定制报表模板,或者定义报表任务,报表任务支持日报表,周报表,月报表和定时报表;报表任务生成的报表文件提供下载列表。
系统对审计信息,报警记录,报表文件和终端截屏文件大数据量数据进行管理,以免
系统磁盘空间不足,导致系统不能正常运行。用户可以配置系统磁盘预警和阈值,当达到预警值后发送报警,达到阈值后,可以删除数据或者按照配置的ftp服务器,上传数据。
3.9配置与维护
系统配置中心完成运行环境的配置,创建用户、组织机构、群组,并可根据需求进行管理权限配置和下发。
系统维护中心完成系统升级、数据库备份、数据库清理、工具下载等功能。
4.成功案例
4.1典型用户列表
行业
客户名称
中国海关(含全国各分海关) 广东省进出口检验检疫局 政府机关
制造业
金融业
能源/电力
电信
科研院所
军队 教育
医疗卫生
其它 。。。。。。
上海市嘉定区政府
厦门市工商局 贵州安顺国税 宝钢集团
梅山钢铁集团 第二重型机械厂 中国建设银行
厦门市商业银行 秦山核电站
泉州电业
中石油上海销售公司
上海联通
中国航空工业第618所航天部第805所 航天部第802所
广州军区司令部通讯部北京房山区教委 中山大学附属第二医院广州军区武汉总医院
成都图书馆
上海市宝山区检察院
浙江省高级人民法院 湖南省水利厅 云南红塔集团
上广电NEC液晶显示器公司广西卷烟厂 无锡商行
徐州发电厂 无锡西姆莱斯 四川广旺能源发展集团 常州联通 航天部第804所 航天部第810所
陆军31集团军 广东佛山三中 上海海员医院
上海动力设备公司
4.2行业典型案例
4.2.1宝钢股份内网安全管理平台
4.2.1.1 项目建设背景
宝钢股份网络采用以太网络,其中各个办公地点之间使用光纤连接。网络设备使用Cisco系列产品。宝钢股份内网截至目前划分VLAN共计75个,后期可能增至85个。其中eCop中央控制服务器与其他监控设备单独部署在一个网段之中。
宝钢股份接入内部网络的计算机共有5000台左右,同属于一个网络安全范畴。IP地址采用静态指定的方式。
4.2.1.2 宝钢股份内网安全管理系统的特点:
1、全网部署eCop系统IP地址管理功能,解决IP地址滥用冒用和IP地址冲突的问题。 2、宝钢股份各个部门安全等级大多是统一的,没有重点和非重点之分。
3、宝钢股份有一个独立的信息化管理部门-宝钢股份设备部,负责宝钢股份网络管理的是通讯管理室,其中绝大部分的人为相关计算机专业出身,具备相关的理论水平和实践经验。 4、宝钢股份网络环境运行稳定性要求比较高。同时宝信软件系统服务部和智能化工程事业部提供专业的技术支持,有一定的运行维护经验和管理水平。
4.2.1.3 宝钢股份内网资源的特点:
终端分散程度:二级机构众多,内网节点总数大,位置相对比较分散;
问题与需求分析
宝钢股份是国内规模最大的制造型企业之一,由于网络环境规模较大、节点很多,管理起来由一定难度。主要有下列需求: 1、外联监控
涉密网内的计算机不让访问外部计算机或者Internet; 2、设备端口管理
不允许用USB等设备拷贝资料,特别是计算机的通讯端口,一般需要禁用掉。 3、资产管理
由于二级单位使用的计算机比较分散,台帐不好管理,对“基础信息”和“资产信息”的集中管理的需求强烈。 4、节点接入控制
对于不是该内网的计算机接入内网,希望能对该未登记注册的计算机进行快速隔离和阻断。
对于内部非法修改终端计算机网络设置的计算机能进行验证,即节点验证的需求。 对于大厦中裸露物理网口的保护。 5、访问权限控制
宝钢股份客户端数目众多,管理人员较多,需要准确分清“你是谁”“可以做什么”等权限问题。 6、服务监控
内网中的计算机是很多都是通过服务器来获取网络共享资源,如果服务器宕掉,或者其中运行关键服务关键进程出现问题,将影响到内网信息的可获得性,也是影响信息安全的一个重大问题。 方案设计
eCop中心控制服务器部署在宝钢指挥中心计算机中心机房的管理网段内。由于宝钢股份目前没有实施客户端安全管理模块,因此目前只部署了eCop中央控制服务器1台和IP地址管理代理31套。整个实施方案工作的示意图如下: