内网安全管理系统设计方案
......北信源补丁管理中心(二级)级联同步补丁增量导入北信源补丁管理中心(二级)级联同步北信源补丁中心(一级)补丁库分类补丁测试策略控制推拉分发控制流量控制补丁分发检索多级级联控制动态下载转发代理自动测试组(真实环境)客户端 补丁自动识别客户端策略客户补丁查询报表中心补丁分发管理体系
网络应用对象:○1连通互联网的网络:直接通过补丁下载服务器将补丁下载至补丁分发服务器;○2物理隔离网络:在互联网连通网络上安装补丁下载服务器模块,通过补丁下载增量分离工具,区分内网已导入和未导入的补丁,将最新补丁导入到内网补丁分发服务器。
补丁及软件自动分发管理包括:补丁下载、补丁分析、补丁策略制订、补丁文件分发、终端计算机补丁漏洞检测、补丁安全性测试、补丁分发控制、普通文件自动分发等,包括功能如下:
1. 终端计算机漏洞自动侦测
终端计算机补丁自检测,在内网中建立补丁检测网站,终端计算机用户访问网站后,Web网页自动检测显示客户段补丁安装信息,用户可进行补丁下载安装;管理员还可以在管理控制台上远程检测终端计算机补丁安装状况。
16
内网安全管理系统设计方案
补丁自动检测
2. 补丁下载
增量式补丁自动分离技术在外网分离出已安装、未安装补丁,分类导入系统补丁库,仅对内网的补丁进行“增量式”升级,以减少拷贝工作量;互联网补丁自动实时探测,支持补丁导出前病毒过滤。
3. 补丁分析
自动建立补丁库,支持补丁库信息查询。针对下载的补丁进行归类存放,按照不同操作系统、补丁编号、补丁发布时间、补丁风险等级、补丁公告等进行归类,帮助管理人员快速识别补丁。
4. 补丁策略制订(分发)
支持用户自定义补丁策略并自由配置分发,基于终端计算机网络IP范围、操作系统种类、补丁类别(系统补丁、IE补丁、应用程序补丁以及网管自定义补丁类等)等制订策略,发送至终端计算机后统一按策略执行应用。
17
内网安全管理系统设计方案
补丁分发策略
5. 补丁自动修复
在指定时间、指定网络范围内以不同方式(如推、拉)分发补丁,或者根据脚本策略统一控制终端计算机下载补丁,当监测到有终端计算机未打补丁时,可对漏打补丁终端计算机进行推送补丁。补丁分发支持流量和连接数控制,以免占用太大带宽,影响网络正常工作。
6. 补丁下载转发代理
提供补丁自动代理转发功能,提高补丁下发效率,减少网络带宽的占用率,节省网络资源。
7. 补丁安全性测试
补丁分发前闭环自动测试,对下载的补丁进行自动测试(建立测试网络组),测试完成后将其存入补丁库,以提高打补丁的成功性、安全性、可靠性。
8. 普通文件分发及文件自动执行
18
内网安全管理系统设计方案
可以提供分发普通文件也可以分发可执行文件及MSI等形式的压缩文件并自动执行。
文件分发策略
3.4.3. 移动存储介质管理设计实现 3.4.3.1. 移动存储介质管理概述
该设计针对内网移动存储介质管理的特点进行,以移动数据生命周期为主导,紧扣其存储和交换的安全需求,针对移动数据全生命周期各个环节潜在的安全隐患,综合运用各种安全技术和手段,进行有效全程防护的安全产品。设计时考虑到了区域访问控制,信息保密、文件走查审计等方面,确保单位内网的信息不因使用移动存储而造成威胁,做到事前有保护,事后可追查,提供安全、简单易用的数据交换安全解决方案。
该设计以数据为中心,用户作为数据的使用者,主机作为数据的存储者,移动存储介质作为数据的迁移者,在管理范围内均赋予唯一的标识,三者进行相互
19
内网安全管理系统设计方案
认证。只有经认证和授权成功后,才保证合法的用户在合法的机器上访问合法存储介质上的数据,并形成详尽的日志供审计。
移动数据安全访问模型
3.4.3.2. 移动存储介质管理方案及思路
体系设计对移动存储介质安全管理范围应该包括U盘、移动硬盘、MP3、手机、智能卡设备等移动存储介质,以及打印机等外设,体系设计与利用移动存储设备或其他方式进行数据交换的相关终端计算机接口管理,包括光驱、软驱、USB移动存储接口、USB全部接口、打印机接口、红外设及蓝牙设备等。
因此,体系技术设计主要包括5类的USB设备控制问题,包括存储类(Mass Storage)、打印机类(Printer Class)、智能卡类(Smart Card Class)、图像类(Imaging Class)、HID设备类等,并通过相关的技术手段提供统一的管理平台及适用于各类存储介质的应用管理策略,确保提供完整有效的移动存储环境和移动存储设备的安全使用方案。移动存储设备接入管理具体功能如下: 1. 移动存储设备(分设备、网段等的)接入认证管理,保障指定设备读写指定
移动存储设备的访问控制管理; 2. 移动存储数据读写控制管理; 3. 移动存储设备标签认证管理;
4. 移动存储设备分区(普通区和加密区)管理;
20