商業(yè)銀行內(nèi)網(wǎng)安全管理技術(shù)方案

1、最新資料歡迎閱讀商業(yè)銀行內(nèi)網(wǎng)安全管理技術(shù)方案1、1方案概述31、2某商業(yè)銀行計算機終端安全管理需求31、2、1總體目標31、2、2建設(shè)與管理范圍41、2、3模塊功能要求41、3某商業(yè)銀行需求分析與難點分析91、3、1需求分析91、3、2面臨的技術(shù)和實施難點91、4總體體系架構(gòu)建議101、5接入控制101、5、1非法內(nèi)聯(lián)101、6資產(chǎn)管理191、6、1資產(chǎn)信息采集191、6、2硬件資產(chǎn)信息管理201、6、3軟件資產(chǎn)信息管理211、6、4基于網(wǎng)絡(luò)資源的管理221、6、5資產(chǎn)報表管理221、7設(shè)備管理221、8移動存儲介質(zhì)221、8、1注冊授權(quán)241、8、2訪問控制241、8、3數(shù)據(jù)保護251、8、

2、4自我保護251、8、5操作記錄251、8、6遵循的國家標準標準261、9安全監(jiān)控261、10網(wǎng)絡(luò)安全271、10、1防病毒軟件監(jiān)控271、最新資料歡迎閱讀10、2客戶端防卸載28T10、3斷網(wǎng)策略281、10、4離線策略281、10、5終端流量監(jiān)控281、10、6網(wǎng)頁過濾291、10、7端口控制291、11非法外聯(lián)291、12軟件管理建議291、12、1軟件分發(fā)291、12、2補丁管理301、13網(wǎng)絡(luò)管理311、14安全服務(wù)321、1、1、1、主機信息收集321、1、1、2、網(wǎng)絡(luò)參數(shù)配置321、1、1、3、遠程協(xié)助321、1、1、4、預(yù)警平臺331、15其他功能331、15、1軟件安裝監(jiān)控3

3、31、15、2報表管理341、16、ILanSecS產(chǎn)品構(gòu)架36U16、2LanSecS軟件模塊組成381、16、3系統(tǒng)內(nèi)部模塊數(shù)據(jù)處理流程圖381、16、4LanSecS系統(tǒng)管理流程簡介391、16、5系統(tǒng)安全示意圖401、16、6產(chǎn)品設(shè)計思路401、16、7產(chǎn)品的設(shè)計原則411、16、8產(chǎn)品的功能411、16、9產(chǎn)品一體化設(shè)計421、16、10關(guān)鍵技術(shù)441、17系統(tǒng)自身管理451、17、ILanSecS角色管理451、17、2LanSecS分級管理461、17、3LanSecS系統(tǒng)審計管理461、18系統(tǒng)安全方案461、18、1控制中心安全性設(shè)計4最新資料歡迎閱讀71、18、2主機代理安

4、全性設(shè)計471、18、3數(shù)據(jù)庫安全性設(shè)計481、18、4策略安全性設(shè)計481、18、5組件通訊安全性設(shè)計491、19系統(tǒng)功能清單491、20軟硬件配置方案551、21金融系統(tǒng)典型案例5613方案概述某商業(yè)銀行需要完整的計算機終端管理解決方案來解決運行維護中棘手的計算機終端管理問題，同時該解決方案應(yīng)考慮與未來不斷完善的IT管理體系的緊密集成，提高IT管理的規(guī)范化和自動化。計算機終端管理是一個復(fù)雜的管理范疇，它不僅包含我們常見的日常運行維護管理(如電話支持平臺和現(xiàn)場服務(wù)支持)而且包含了安全管理、資產(chǎn)管理以及運維管理等諸多管理內(nèi)容的綜合性管理，涵蓋了所有桌面設(shè)備的整個生命周期的管理。圣博潤公司在桌面

5、管理方面有著豐富的經(jīng)驗，不但為諸多國內(nèi)政府部門和大型企業(yè)提供整體的桌面管理建設(shè)方案，而且有著豐富的實際操作管理經(jīng)驗。1、2某商業(yè)銀行計算機終端安全管理需求1、2、1總體目標1)通過本項目建設(shè)構(gòu)建銀行桌面端安全管理軟件總體架構(gòu)集中管理，統(tǒng)一某商業(yè)銀行桌面終端運維流程，規(guī)范桌面端安全管理軟件功能，提高桌面終端用戶安全防護能力，提升某商業(yè)銀行桌面終端運行維護自動化程度，提高某商業(yè)銀行桌面終端服務(wù)水平，使日常的桌面終端由被動管理向標準化管理轉(zhuǎn)變。2)實施完成各項目單位桌面端安全管理軟件建設(shè)，滿足項目單位資產(chǎn)管理、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)控制、遠程控制、軟件分發(fā)等的需要。3)實現(xiàn)各級桌面端安全管理軟件數(shù)據(jù)的上下貫

6、通，建成統(tǒng)一監(jiān)視的桌面端安全管理軟件體系，實現(xiàn)終端的標準化運維工作，促進某商業(yè)銀行IT資產(chǎn)的精細化管理。4）試點實施具有良好的擴展性和適應(yīng)性，為桌面端安全管理軟件建設(shè)的全面推廣奠定基礎(chǔ)。1、2、2建設(shè)與管理范圍1、2、2、1建設(shè)與適應(yīng)范圍結(jié)合某商業(yè)銀行的運維現(xiàn)狀，桌面終端標準化擬采取集中管理模式。集中負責(zé)全行范圍內(nèi)桌面標準化的管理標準、技術(shù)規(guī)范及管理策略的制定，并負責(zé)本地桌面終端的管理1、2、2、2桌面端安全管理軟件管理范圍在本項目中，桌面終端的范圍包括信息內(nèi)網(wǎng)的所有桌面終端，包括所有個人桌面（臺式機、筆記本電腦等）及相關(guān)外設(shè)等桌面終端。桌面終端標準化管理的主要范疇包括資產(chǎn)管理、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)

7、控制、遠程控制、軟件分發(fā)等。其中，資產(chǎn)管理主要針對桌面終端詳細的軟、硬件資產(chǎn)現(xiàn)狀及變更等進行管理；網(wǎng)絡(luò)安全管理包括對病毒防范、性能監(jiān)控等，從而支持對桌面終端完整的全生命周期管理。1、2、3模塊功能要求1、2、3、1接入控制要求能夠?qū)B接到網(wǎng)絡(luò)中的計算機進行注冊管理，只有注冊的計算機才可以接入網(wǎng)絡(luò)。要求支持計算機分組功能，按照不同的區(qū)域、部門進行劃分管理組。自動檢測網(wǎng)絡(luò)中計算機資源使用情況，列表注冊客戶端、客戶端工作狀態(tài)及機器在線情況，以取代原始的數(shù)據(jù)資料記載的手段，增強設(shè)備管理信息的實時性、準確性。要求對非法計算機的接入進行阻斷，發(fā)送阻斷包的終端計算機應(yīng)該能夠自動選舉，不應(yīng)該固定在某一臺主機。

8、要求能夠?qū)Ψ欠ń尤氲骄W(wǎng)絡(luò)中計算機進行報警，并能夠自動阻斷違規(guī)行為。要求支持對未授權(quán)的終端設(shè)備接入具有阻斷能力，可以通過交換機端口操作，也可以通過其他方式實現(xiàn)阻斷功能。要能夠在系統(tǒng)的管轄范圍內(nèi)，能夠跨越網(wǎng)段并可以跨VLAN對的計算機設(shè)備進行自動阻斷。支持特權(quán)地址設(shè)置功能，例如：IP和MAC地址綁定、特權(quán)IP、特權(quán)MAC等。支持802、IX認證方式進行訪問管理控制，可與網(wǎng)絡(luò)設(shè)備進行有機聯(lián)動，防止非法計算機接入網(wǎng)絡(luò)。1、2、3、2資產(chǎn)管理查看每臺電腦的相關(guān)硬件信息、可以禁用硬件設(shè)備、關(guān)鍵設(shè)備管理、能夠管理計算機信息?？梢圆殚喌矫颗_電腦所有的硬件以及外設(shè)，當(dāng)有外設(shè)接入時可隨時偵測。若有硬件變動，也可及

9、時發(fā)現(xiàn)。并建立數(shù)據(jù)庫，信息人為手動更改，防止自動更改無法控制。可以對每臺電腦的各項設(shè)備，端口實施禁用?？梢詫﹃P(guān)鍵設(shè)備進行管理，如服務(wù)器等。可以對它進行實時監(jiān)控，對各項性能參數(shù)進行記錄，并做出相應(yīng)表格?？梢栽O(shè)置閥值，當(dāng)性能參數(shù)超過這個閥值時，可以及時報警?？梢枣i定IP地址，使員工無法隨意更改。1、2、3、3設(shè)備管理隨著計算機外設(shè)的增多，各種各樣的輸出設(shè)備(軟驅(qū)、刻錄機、打印機、繪圖儀、移動存儲設(shè)備、紅外、藍牙、無線網(wǎng)絡(luò)設(shè)備)為信息處理和傳輸提供極大便利的同時，也為機密信息的擴散和泄露帶來了可能。尤其是USB接口的計算機周邊設(shè)備的豐富，使得計算機與其他外部設(shè)備，如U盤，USB打印機等連接分方便，并

10、能輕而易舉地通過USB設(shè)備將外部數(shù)據(jù)導(dǎo)入或者內(nèi)部數(shù)據(jù)導(dǎo)出，為重要數(shù)據(jù)的保護帶來了巨大的安全隱患。1、2、3、4移動存儲介質(zhì)管理移動存儲介質(zhì)已經(jīng)得到普及應(yīng)用，移動存儲介質(zhì)使用靈活、方便，使它在各個單位的信息化過程中迅速得到普及，越來越多的敏感信息、秘密數(shù)據(jù)和檔案資料被存貯在移動存儲介質(zhì)里，大量的秘密文件和資料變?yōu)榇判越橘|(zhì)、光學(xué)介質(zhì)，存貯在無保護的移動存儲介質(zhì)中，這給銀行涉及設(shè)計、研發(fā)信息資源帶來相當(dāng)大的安全隱患。存儲介質(zhì)作為銀行核心商業(yè)機密和敏感信息的載體，實現(xiàn)對它們安全、有效的管理是保證銀行信息安全的重要手段。移動存儲介質(zhì)使用過程中常見的風(fēng)險包括：I)非法拷貝敏感信息和涉密信息到磁盤、U盤或其

11、他移動存儲介質(zhì)中；2)銀行外部移動存儲介質(zhì)未經(jīng)授權(quán)在內(nèi)部使用；3)銀行內(nèi)部移動存儲介質(zhì)及信息資源被帶出，在外部非授權(quán)使用；4)使用過程的疏忽；5)存貯在媒體中的秘密信息在聯(lián)網(wǎng)交換時被泄露或被竊取，存貯在媒體中的秘密信息在進行人工交換時泄密；6)處理廢I日移動存儲介質(zhì)時，由于磁盤經(jīng)消磁余次后，仍有辦法恢復(fù)原來記錄的信息，存有秘密信息的磁盤很可能被利用磁盤剩磁提取原記錄的信息一這很容易發(fā)生在對磁盤的報廢時，或存貯過秘密信息的磁盤，用戶認為已經(jīng)清除了信息，而給其他人使用；7)移動存儲介質(zhì)發(fā)生故障時，存有秘密信息的介質(zhì)不經(jīng)處理或無人監(jiān)督就帶出修理，或修理時沒有懂技術(shù)的人員在場監(jiān)督，而造成泄密；8)移動

12、存儲介質(zhì)管理不規(guī)范，秘密信息和非秘密信息放在同一媒體上，明密不分，媒體介質(zhì)不標密級，不按有關(guān)規(guī)定管理秘密信息的媒體，容易造成泄密；9)移動存儲設(shè)備在更新?lián)Q代時沒有進行技術(shù)處理；10)媒體失竊，存有秘密信息的磁盤等媒體被盜，就會造成大量的國家或銀行秘密信息外泄，其危害程度將是難以估量的，丟失造成后果非常嚴重。綜上所述，移動存儲介質(zhì)的管理對教育行業(yè)來說，是一個必須關(guān)注的問題。1、2、3、5安全監(jiān)控作為數(shù)據(jù)最終處理的桌面終端，存儲著大量的業(yè)務(wù)數(shù)據(jù)。由于Windows操作系統(tǒng)默認將數(shù)據(jù)以明文方式存儲于磁盤上，因此一旦其他未被授權(quán)用戶能夠進入操作系統(tǒng)，或者將磁盤取走，都能非常方便地實現(xiàn)對磁盤數(shù)據(jù)的訪問和

13、閱讀。同時，利用Windows的數(shù)據(jù)刪除方式并不能實現(xiàn)對數(shù)據(jù)的徹底刪除。當(dāng)前有越來越多的文件刪除/恢復(fù)工具能夠?qū)⒁褎h除的文件恢復(fù)出來，甚至完全還原。因此，如何確保數(shù)據(jù)信息在桌面終端的安全，也是內(nèi)網(wǎng)安全管理必須考慮的問題。1、2、3、6網(wǎng)絡(luò)安全可以實時監(jiān)控每臺電腦的流量，如發(fā)現(xiàn)不正常流量及時斷網(wǎng)，保證全行網(wǎng)絡(luò)正常運行。能隨時偵測網(wǎng)絡(luò)內(nèi)所有未管理的計算機。記錄客戶端文件操作、傳遞、拷貝、更名等信息，并可導(dǎo)出。系統(tǒng)資源占用要小，使員工不會覺得慢，不會影響工作。要求兼容性好，可以支持各種主流操作系統(tǒng)(包括服務(wù)器)。與各種使用軟件不會產(chǎn)生沖突，不影響其他軟件的正常使用。對用戶、組的網(wǎng)頁瀏覽進行記錄，并能

14、根據(jù)條件做策略控制。對客戶端的訪問端口進行控制，用策略模式進行端口控制。1、2、3、7非法外聯(lián)單位內(nèi)部的局域網(wǎng)會在網(wǎng)絡(luò)的出口上，增加相關(guān)的安全硬件防護設(shè)備，例如：防火墻、IDS、IPS、防病毒網(wǎng)關(guān)等設(shè)備來加強邊界的防護，保證內(nèi)網(wǎng)的安裝。但是員工由于好奇，或者厭煩上網(wǎng)出口的種種限制，通過Modem或ADSL撥號方式訪問Internet,極易受到外部網(wǎng)絡(luò)的攻擊；當(dāng)該機器一旦受到攻擊，回到內(nèi)網(wǎng)后很容易將相關(guān)病毒、木馬向內(nèi)網(wǎng)傳播。1、2、3、8軟件管理補丁分發(fā)、軟件分發(fā)功能需求?？梢酝ㄟ^掃描，即時或定時的計劃任務(wù)對客戶端補丁修復(fù)。能對客戶端進行即時或定時的漏洞掃描及修復(fù)。當(dāng)需要大量安裝軟件時，可以實現(xiàn)

15、分發(fā)功能，并不占用很大帶寬，不影響正常使用。當(dāng)有新電腦接入銀行網(wǎng)絡(luò)時，可以對單臺電腦進行軟件安裝。1、2、3、9網(wǎng)絡(luò)管理單位的內(nèi)部網(wǎng)絡(luò)是由網(wǎng)絡(luò)設(shè)備共同作用，協(xié)同工作建立起來的，主要設(shè)備有：路由器、交換機、HUB,而在局域網(wǎng)中對數(shù)據(jù)交互起核心作用的是交換機。目前的網(wǎng)管軟件可以對邏輯拓撲圖進行繪制，對交換機的面板信息進行提取和控制，但是無法看到終端設(shè)備和交換機端口的物理連接關(guān)系，無法從拓撲圖上看到下連設(shè)備的信息。如何建立起交換機端口和設(shè)備的連接關(guān)系是至關(guān)重要的，因為端口的流量信息其實就是設(shè)備的流量信息；想要掌控設(shè)備，只要對交換機端口進行控制就可以了。因此物理拓撲圖顯示設(shè)備與端口的物理連接關(guān)系會給管

16、理帶來極大的方便1、2、3、10安全服務(wù)對于規(guī)模較大的用戶，由于終端計算機眾多，依靠傳統(tǒng)的資產(chǎn)登記管理辦法，根本無法做到對計算機配置信息的準確掌握，對計算機配置的變化也無法及時跟蹤。例如，要準確掌握每臺計算機的軟硬件配置信息，通過手工方式將是非常耗時和繁瑣的工作。要想實時并準確地掌握內(nèi)網(wǎng)終端計算機的配置狀況與配置變更狀況，必須通過技術(shù)手段和工具來輔助實現(xiàn)，才能有效節(jié)省成本和資源，提高內(nèi)網(wǎng)管理的效率。對于大多數(shù)銀行用戶來說，由于技術(shù)的原因，IT管理人員無法實時掌握每臺終端計算機的運行狀態(tài)。當(dāng)終端計算機出現(xiàn)故障需要維護時，IT管理人員如果采用現(xiàn)場維護的方式，一方面增加了人力成本，另外由于人力資源有

17、限，也無法保證維護的及時性。如何實時監(jiān)視終端計算機的運行狀況，并且方便地對終端計算機進行遠程維護，是1T管理人員迫切需要解決的問題。1、2、3、11其他功能可以記錄并錄制下計算機的具體使用情況，并且合理占用服務(wù)器資源。提供自動統(tǒng)計分析某軟件合法使用的計算機及未授權(quán)使用的計算機分布狀況，有效的控管軟件的使用權(quán)、并加強管理。能夠提供事件、系統(tǒng)、策略、資產(chǎn)、歷史等的查詢、統(tǒng)計及導(dǎo)出，并能根據(jù)日、周、月自動生成報表，且能手動定制報表模板，數(shù)據(jù)準確。1、3某商業(yè)銀行需求分析與難點分析1、3、1需求分析某商業(yè)銀行的管理需求涉及到桌面端安全管理的主要功能,實現(xiàn)此管理需求可以解決絕大多數(shù)的管理問題。圣博潤公司

18、推薦某商業(yè)銀行采用LanSecS內(nèi)網(wǎng)安全管理系統(tǒng)實現(xiàn)集中管理，全面對終端計算機進行資產(chǎn)管理、軟件管理、補丁管理及安全管理。通過部署LanSecS內(nèi)網(wǎng)安全管理系統(tǒng)的不同功能包，可以有效解決滿足某商業(yè)銀行的計算機終端管理需求。1、3、2面臨的技術(shù)和實施難點圣博潤公司基于多年計算機終端管理的經(jīng)驗,認為實現(xiàn)某商業(yè)銀行全面的計算機終端管理，需要克服以下技術(shù)難點:1、IT終端標準化，這是企業(yè)信息化建設(shè)的重要基礎(chǔ)和組成部分，它包含硬件配置標準化、軟件配置標準化、安全管理標準化多個部分。2、某商業(yè)銀行的目標是建立全網(wǎng)統(tǒng)一的管理體系。3、系統(tǒng)部署后，如何進行管理與維護？全面的集中管理是存在困難的，因此，必須統(tǒng)籌

19、考慮何種信息需要集中管理、應(yīng)該具有何種權(quán)限。1、4總體體系架構(gòu)建議針對某商業(yè)銀行實際情況，我們建議某商業(yè)銀行采用分級部署管理模式。大體架構(gòu)示意圖如下：1、5接入控制1、5、1非法內(nèi)聯(lián)內(nèi)網(wǎng)安全管理系統(tǒng)將所有內(nèi)網(wǎng)的主機進行入網(wǎng)身份判斷，符合安全標準或合法的主機將允許運行在內(nèi)網(wǎng)中、正常使用。沒有在內(nèi)網(wǎng)安全管理系統(tǒng)中定義的合法的主機，系統(tǒng)將其阻斷或限制與內(nèi)網(wǎng)的通信。非法接入控制功能主要目的是保證內(nèi)網(wǎng)涉密信息及文件不受非法接入設(shè)備的探測、拷貝、刪除和修改等威脅。1、5、1、1非法主機所謂的接入控制，是指對接入內(nèi)網(wǎng)的計算機終端進行身份鑒別或者安全狀態(tài)檢查，阻止未授權(quán)或不安全的計算機終端接入內(nèi)網(wǎng)和訪問內(nèi)網(wǎng)資

20、源。通過接入控制，可以將外來計算機阻擋在內(nèi)網(wǎng)之外，也可以將內(nèi)網(wǎng)中安全性較差(未及時安裝補丁和防火墻軟件)的計算機隔離出內(nèi)網(wǎng)，保證內(nèi)網(wǎng)整體的安全性。對非法主機的定義，采取以下方式：1)主機系統(tǒng)存在嚴重漏洞，影響內(nèi)網(wǎng)整體安全；2)主機系統(tǒng)無反病毒軟件保護或反病毒軟件未運行；3)主機系統(tǒng)從未在內(nèi)網(wǎng)管理系統(tǒng)中注冊，不受審計、監(jiān)控的主機；4)管理員自定義的非法主機系統(tǒng)1、5、1、2網(wǎng)絡(luò)接入控制策略對非法主機的接入控制，應(yīng)有安全策略來指定。安全策略應(yīng)滿足一定的靈活性和簡單易用。1)非法接入控制策略靈活性：管理員可以靈活設(shè)定非法接入控制對象策略，選定不同的管理顆粒度；2)非法接入控制策略模版化：管理員可以設(shè)

21、置不同安全級別的非法接入控制策略,并且根據(jù)實際情況或意外情況修改或改變使用不同的策略模版。3)非法接入策略包括：注冊合法主機檢查策略；主機安全性檢查策略；管理員自定義策略。當(dāng)主機入網(wǎng)后，內(nèi)網(wǎng)管理系統(tǒng)按照非法接入策略進行檢查，同時對合法主機檢查入網(wǎng)身份，并驗證此主機是否已經(jīng)在身份數(shù)據(jù)庫中注冊。然后檢查主機的安全狀態(tài)是否符合策略要求。任何一項的不滿足均將導(dǎo)致該主機被阻止在xxxx之外。圖：非法接入控制示意圖1、5、1、3LanSecSNAC簡介LanSecSNAC接入控制解決方案，是一種基于“主動防護”+“動態(tài)監(jiān)測”的終端安全管理理念的接入控制解決方案。在保護用戶現(xiàn)有網(wǎng)絡(luò)投資的情況下，提供了適用于

22、大部分網(wǎng)絡(luò)環(huán)境下的終端計算機的接入控制能力。與當(dāng)前其它主流接入控制解決方案相比，不僅彌補了其它接入控制方案的漏洞，又有效的保護了用戶現(xiàn)有網(wǎng)絡(luò)投資，從而具有較高的性價比。利用LanSecSNAC接入控制方案，可以實現(xiàn)如下功能：1維護全網(wǎng)統(tǒng)一的安全策略，利用LanSecSNAC的策略服務(wù)器，可以為全網(wǎng)終端計算機制定統(tǒng)一的基線安全策略，并且根據(jù)網(wǎng)絡(luò)環(huán)境的變化動態(tài)修改這一基線策略，保證基線策略能夠反應(yīng)最新的安全管理需要;1在終端計算機接入網(wǎng)絡(luò)之前，對接入計算機的身份進行認證，身份信息既可以是用戶名/口令，也可以是硬件唯一標識。如果計算機無法提供正確的身份信息，則禁止計算機接入網(wǎng)絡(luò)；1在終端計算機接入網(wǎng)

23、絡(luò)之前，對接入計算機的安全狀態(tài)進行認證,這些安全狀態(tài)包括：是否啟用了防火墻、是否安裝了防病毒軟件以及防病毒軟件的病毒庫是否更新到最新、是否受到惡意軟件的感染、是否安裝了要求的操作系統(tǒng)安全補丁、是否運行了未授權(quán)的進程和服務(wù)等等。這些條件可以由管理員在策略中統(tǒng)一設(shè)置，如果計算機不滿足策略中規(guī)定的條件，則禁止計算機接入網(wǎng)絡(luò)；1對于未能提供合法身份信息以及安全狀態(tài)不符合要求的計算機，自動將其隔離到獨立的網(wǎng)絡(luò)中并完成修復(fù)工作。在該網(wǎng)絡(luò)中，計算機僅能訪問有限的網(wǎng)絡(luò)資源。包括安裝LanSecS代理程序、訪問補丁服務(wù)器、防病毒軟件服務(wù)器等。在該區(qū)域中，計算機可以根據(jù)修復(fù)策略進行手動或者自動的修復(fù)工作；1對接入

24、網(wǎng)絡(luò)的計算機，根據(jù)其身份信息和安全級別，動態(tài)授予其對核心網(wǎng)絡(luò)保護區(qū)域的訪問權(quán)限。例如，安全級別較高的計算機可以訪問所有核心網(wǎng)絡(luò)保護區(qū)域的資源，而安全較差的計算機則僅允許訪問部分資源，該功能可以對核心網(wǎng)絡(luò)區(qū)域?qū)嵤└行У谋Ｗo；1對接入網(wǎng)絡(luò)的計算機持續(xù)的監(jiān)控其身份信息和安全狀態(tài)信息，一旦發(fā)現(xiàn)計算機無法再次提供有效的身份信息或者安全狀態(tài)發(fā)生變化，可立即再次將其進行隔離，直至其再次修復(fù)完成為止；1對接入網(wǎng)絡(luò)的計算機，在其與其它合法計算機進行IP層通訊之前，要求提供有效的身份信息，并對通訊過程進行加密；從而有效的規(guī)避了假冒計算機的非授權(quán)網(wǎng)絡(luò)訪問，這也是該解決方案的最大特色。1、5、1、4LanSecSN

25、AC架構(gòu)LanSecSNAC采用四層體系架構(gòu)，從外圍到核心層依次是訪問請求者、策略執(zhí)行者、策略決策者和策略制定/發(fā)布者。如下圖所示：訪問請求者策略執(zhí)行者策略決策者網(wǎng)絡(luò)邊界核心保護區(qū)域策略執(zhí)行者策略制定/發(fā)布者1訪問請求者：是發(fā)起網(wǎng)絡(luò)訪問請求的主體，可以是安裝或者未安裝LanSecS代理程序的計算機。訪問請求負責(zé)向策略執(zhí)行者發(fā)起網(wǎng)絡(luò)接入請求，并根據(jù)策略執(zhí)行者的要求提供響應(yīng)的身份信息和安全狀態(tài)信息。1策略執(zhí)行者：是將訪問請求者的身份信息和安全狀態(tài)信息轉(zhuǎn)發(fā)給策略決策者，并根據(jù)策略決策者的結(jié)果決定是否允許訪問請求者接入網(wǎng)絡(luò)的主體。一般地，策略執(zhí)行者是網(wǎng)絡(luò)設(shè)備，如交換機、路由器、防火墻、專用網(wǎng)關(guān)等。策略

26、執(zhí)行者要求訪問請求者提供身份信息證明自己的身份，也要求訪問請求者提供自己的安全狀態(tài)。策略執(zhí)行者并不對這些信息進行檢查，而是直接將其轉(zhuǎn)發(fā)給策略決策者，由決策者對其進行驗證，并得到一個最終的驗證結(jié)果。1策略決策者：策略決策者是對接入請求者提供的身份信息和安全信息進行認證的主體。在LanSecS解決方案中，它是一個集成化Radius認證服務(wù)。該服務(wù)將認證的結(jié)果轉(zhuǎn)發(fā)給策略執(zhí)行者，然后由策略執(zhí)行者決定是否允許計算機的接入。1策略制定/發(fā)布者：策略制定/發(fā)布者負責(zé)維護全網(wǎng)統(tǒng)一的安全策略，存儲和更新策略請求者的所有相關(guān)信息，如安全狀態(tài)、系統(tǒng)信息、身份信息、資產(chǎn)狀況等。這些信息可以為策略決策者的認證過程提供必

27、要的決策依據(jù)。1、5、1、5接入層認證LanSecSNAC的接入層認證，是由訪問請求者、策略執(zhí)行者和策略決策者三者之間共同完成的。接入層認證的目的是判斷接入計算機是否可信，并決定其是否可以接入網(wǎng)絡(luò)。如果計算機是不可信的，在接入層就可將其阻隔在網(wǎng)絡(luò)外圍，從而較好的保護了網(wǎng)絡(luò)的安全性。LanSecSNAC的接入層認證包含兩個方面的工作：對接入計算機的合法身份進行認證和對接入計算機的安全狀態(tài)進行認證。為實現(xiàn)這兩個目標，LanSecSNAC采用了擴展的802、lx協(xié)議。接入層認證的結(jié)構(gòu)示意圖如下：PostureValidatorPostureValidator客戶端代理網(wǎng)絡(luò)訪問請求器網(wǎng)絡(luò)執(zhí)行控制點網(wǎng)絡(luò)

28、訪問授權(quán)器服務(wù)器端代理安全狀態(tài)檢驗12345678訪問請求者策略執(zhí)行者策略決策者PostureCollectorPostureCollector安全狀態(tài)收集LanSecSNAC的接入層認證的工作流程如下：1)當(dāng)訪問請求者收到網(wǎng)絡(luò)執(zhí)行控制點的要求認證的信息時，將由LanSecS安全代理收集本地的安全狀態(tài)。這些安全狀態(tài)信息包括防病毒軟件安裝與病毒庫更新狀況、防火墻啟用狀況、補丁修補狀況、進程運行狀況等等，收集何種安全狀態(tài)，是由策略發(fā)布者統(tǒng)一設(shè)定并下發(fā)至LanSecS安全代理的；2)LanSecS安全代理根據(jù)策略發(fā)布者的安全策略決定采用何種身份認證方式，LanSecSNAC支持用戶名/口令、PKI數(shù)

29、字證書以及設(shè)備特征標識三種身份信息，它們可以互相組合使用；3)LanSecS安全代理將收集到的安全信息連同身份信息一起發(fā)送給策略執(zhí)行者并等待回應(yīng)；4)策略執(zhí)行者收到安全狀態(tài)信息和身份信息后，將這些信息直接轉(zhuǎn)發(fā)給策略決策者中的Radius服務(wù)，然后等待回應(yīng)；5)策略決策者接受來自策略執(zhí)行者的安全狀態(tài)信息和身份信息，并進行解碼工作;6)策略決策者向策略制定/發(fā)布者要求與該請求者相關(guān)的安全狀態(tài)數(shù)據(jù)，并與策略決策者提供的安全狀態(tài)信息進行比較。確認安裝狀態(tài)是否達標；7)策略決策者通過Radius服務(wù)認證請求者的身份信息；8)策略決策者將身份認證結(jié)果和安全狀態(tài)認證結(jié)果返回給策略執(zhí)行者。策略執(zhí)行者根據(jù)認證結(jié)

30、果決定是否運行計算機接入。在接入層認證中，要完整地執(zhí)行認證過程，必須在接入計算機上安MLanSecS代理。代理負責(zé)收集計算機的安全狀態(tài)。如果僅需要驗證身份信息，則可以不必安裝LanSecS代理。對于新入網(wǎng)的計算機，LanSecSNAC提供了自動隔離自動修復(fù)的方案，來實現(xiàn)自動化的LanSecS代理安裝。該技術(shù)方案詳見4、2、3節(jié)。在某些特定的網(wǎng)絡(luò)環(huán)境中，如H3c網(wǎng)絡(luò)環(huán)境，LanSecS接入層可以實現(xiàn)基于MAC地址的身份認證，從而解決基于端口的認證模式帶來的身份假冒”問題。對于不支持基于MAC地址認證的環(huán)境，則需要依靠4、2、5節(jié)中的IP通訊控制技術(shù)來實現(xiàn)對一身份假冒”計算機的訪問控制。1、5、1

31、、61P通信認證雖然安全認證網(wǎng)關(guān)可以有效的對核心資源進行保護，杜絕非法接入主機的惡意攻擊和信息盜竊，但是卻無法阻止非法主機訪問其它資源。如網(wǎng)絡(luò)中的其它計算機和服務(wù)器，這也是眾多接入控制解決方案中最為缺失的一環(huán)。如果無法限制非法主機訪問網(wǎng)絡(luò)中的任意資源，接入控制也就失去了它的意義。LanSecSNAC通過采用IP通訊控制技術(shù)來解決上述問題。該技術(shù)的根本特點是當(dāng)非法主機與合法主機進行IP通訊時，合法主機會要求非法主機提供其身份證明，如果非法主機無法提供有效的身份證明，合法主機將拒絕與其建立通訊。合法主機之間由于相互可以驗證身份，因此合法主機之間的IP通訊是被允許的。合法主機之間的通訊采用PKI數(shù)字

32、證書來標識雙方的身份。另外，當(dāng)合法主機建立IP通訊時,LanSecSNAC還可以對通訊數(shù)據(jù)進行加密。從而保證了非法主機無法監(jiān)聽和竊取這些通訊數(shù)據(jù)。進一步保證了網(wǎng)絡(luò)的安全性。LanSecSNAC的IP通訊控制，提供兩種控制措施，一種是身份認證、一種是數(shù)據(jù)加密。LanSecSNAC采用了專有的協(xié)議，該協(xié)議負責(zé)對IP數(shù)據(jù)進行封裝。封裝后的IP數(shù)據(jù)攜帶有認證信息，并且IP數(shù)據(jù)被加密。封裝示意圖如下：認證頭的目的是用來增加IP數(shù)據(jù)包的安全性。認證頭提供無連接的完整性、數(shù)據(jù)源認證服務(wù)，認證頭提供IP數(shù)據(jù)報完整性和身份認證機制，但是不提供數(shù)據(jù)機密性保護。LanSecSNAC驗證頭提供了兩種認證算法：一種是基

33、于對稱加密算法（如DES），另一種是基于單向哈希算法（如HD5或SHA-1）。LanSecSNAC驗證頭對上層協(xié)議數(shù)據(jù)（傳輸層數(shù)據(jù)）和IP頭中的固定字段提供認證保護。LanSecSNAC支持基于PKI數(shù)字證書的身份認證方式和共享密碼的認證方式。前者安全性更高。加密頭用于提高Internet協(xié)議（IP）協(xié)議的安全性。它可為IP提供機密性、數(shù)據(jù)完整性等安全服務(wù)功能。其中，數(shù)據(jù)機密性是加密頭提供的基本功能，數(shù)據(jù)完整性檢驗是可選的。加密頭將需要保護的用戶數(shù)據(jù)進行加密后再重新封裝到新的IP數(shù)據(jù)包中。從而保證了IP數(shù)據(jù)包網(wǎng)絡(luò)傳輸?shù)陌踩?。LanSecSNAC通過對IP層數(shù)據(jù)附加認證頭和加密頭的方式，將傳統(tǒng)

34、的IP協(xié)議的開放性變?yōu)樗接袇f(xié)議。這種協(xié)議只能被安裝了LanSecSNAC代理程序的計算機所識別。也就是說，所有安裝了LanSecSNAC代理程序的計算機之間都可以進行IP數(shù)據(jù)通訊，而未安裝LanSecSNAC代理程序的計算機則無法與安裝有LanSecSNAC代理程序的計算機通訊。這種機制，保證了接入計算機的通訊控制，如果接入計算機是非法的，可以通過安裝認證控制，保證接入計算機無法安裝LanSecSNAC代理程序，因而也就無法與接入網(wǎng)絡(luò)的合法計算機進行通訊。減少了“假冒身份”計算機給網(wǎng)絡(luò)帶來的安全風(fēng)險。1、5、1、7動態(tài)監(jiān)測與阻斷當(dāng)接入計算機通過了身份認證和安全狀態(tài)認證后，就獲得了接入網(wǎng)絡(luò)的許可

35、范圍網(wǎng)絡(luò)上任何授權(quán)的資源。但LanSecSNAC認為網(wǎng)絡(luò)安全是動態(tài)的，這包括兩層含義：一是接入計算機的身份，尤其是安全狀態(tài)是動態(tài)變化的；二是網(wǎng)絡(luò)管理人員可以根據(jù)最新的安全動態(tài)修改和發(fā)布新的安全策略。任何一項更改，都可以導(dǎo)致接入計算機的安全狀態(tài)與最新安全策略的要求相背。有鑒于此，LanSecSNAC實行的是對接入計算機進行動態(tài)監(jiān)測，監(jiān)測的內(nèi)容包括身份確認、安全狀態(tài)確認等。如果動態(tài)監(jiān)測的結(jié)果表明該計算機的身份和安全狀態(tài)等與安全策略的要求不符，LanSecSNAC會強制隔離該計算機，直至該計算機重新修復(fù)到與安全策略一致的狀態(tài)，方可再次接入網(wǎng)絡(luò)。LanSecSNAC的動態(tài)監(jiān)測示意圖如下：認證服務(wù)器工作

36、區(qū)修復(fù)區(qū)身份+安全狀態(tài)LanSecSNAC代理程序負責(zé)接入計算機的身份和安全狀態(tài)的重認證。重認證周期是由策略服務(wù)器指定的。LanSecSNAC根據(jù)策略服務(wù)器發(fā)布的重認證策略，周期性地提交計算機的身份信息和最新安全狀態(tài)信息，提交給認證服務(wù)器進行認證。當(dāng)認證成功時，保持計算機的接入，當(dāng)認證失敗時，則強制計算機進入修復(fù)區(qū)域。計算機在修復(fù)區(qū)域可以手動或者自動對計算機進行修復(fù)，修復(fù)完成，經(jīng)過再次認證后，可以再次接入網(wǎng)絡(luò)。LanSecSNAC會周期性的執(zhí)行上述過程，以保證接入計算機的可控性。1、6資產(chǎn)管理1、6、1資產(chǎn)信息采集LanSecS內(nèi)網(wǎng)安全管理系統(tǒng)支持自動和手動方式進行資產(chǎn)采集，自動方式：由客戶端

37、Agent自動讀取系統(tǒng)硬件驅(qū)動信息及軟件安裝信息，并將結(jié)果上傳至服務(wù)器。系統(tǒng)可全面的收集終端系統(tǒng)的網(wǎng)絡(luò)配置信息，不僅包括：IP地址、MAC地址、計算機名稱，還包括：網(wǎng)絡(luò)掩碼、DNSs網(wǎng)關(guān)地址等。LanSecS內(nèi)網(wǎng)安全管理系統(tǒng)對收集到的資產(chǎn)信息不會重復(fù)收集，只有新增的或者變化的資產(chǎn)信息才會重新上報到服務(wù)器。系統(tǒng)對上報過程可以控制，管理員可設(shè)定上報的周期（從秒級到數(shù)個小時），信息的上報采用序列化的數(shù)據(jù)組織方式，當(dāng)本次上傳失敗時，系統(tǒng)會自動記憶最后一次上報的記錄位置，下次上報則從斷點處繼續(xù)上報。系統(tǒng)支持對客戶端占用的網(wǎng)絡(luò)帶寬進行控制，客戶端只能在規(guī)定的帶寬范圍內(nèi)使用網(wǎng)絡(luò)資源。客戶端代理可通過直接讀取

38、系統(tǒng)硬件驅(qū)動信息及已安裝的軟件信息，硬件驅(qū)動信息不僅包括：CPU、內(nèi)存、主板、物理磁盤、網(wǎng)卡、顯卡、顯示器、外設(shè)、IDE通道、網(wǎng)絡(luò)配置等信息，還包括：USB移動存儲設(shè)備、軟驅(qū)、光驅(qū)、打印機、撥號連接設(shè)備、串并口、1394通信端口、紅外及PCMCIA口等。已安裝的軟件信息是通過直接讀取系統(tǒng)注冊表中“安裝/刪除程序”所列部分，包括：已安裝軟件的軟件名稱、版本、安裝時間、最后使用時間、使用頻率及發(fā)現(xiàn)時間等。對桌面終端的軟件資產(chǎn)信息采集后，將相關(guān)數(shù)據(jù)分類存放到數(shù)據(jù)庫系統(tǒng)，不僅提供IP/MAC地址綁定功能，可綁定內(nèi)容還包括：網(wǎng)絡(luò)掩碼、網(wǎng)關(guān)地址、DNS及IP地址方式等?？蛻舳舜碓诮邮盏浇壎ú呗院?，先將需

39、要綁定的參數(shù)進行加密存儲，然后實時檢測策略中需綁定項，一旦發(fā)現(xiàn)變更，立即將原數(shù)據(jù)還原。1、6、2硬件資產(chǎn)信息管理LanSecS系統(tǒng)根據(jù)管理員下發(fā)的資產(chǎn)管理策略中定義的時間周期，會定期將檢測到的終端設(shè)備硬件信息上傳至服務(wù)器，服務(wù)器中間件會根據(jù)不同終端將資產(chǎn)信息對應(yīng)存入數(shù)據(jù)庫。系統(tǒng)提供硬件信息快速檢索功能，用戶管理員可根據(jù)檢索條件，查詢到符合條件的終端主機列表，雙擊主機列表，可跳轉(zhuǎn)到該主機的基本情況頁面，并可查詢該主機相關(guān)的策略、資產(chǎn)、事件等信息。LanSecS系統(tǒng)可實時檢測終端計算機硬件變化，包括新硬件的啟用、已注冊硬件的停用及已注冊硬件型號（品牌、數(shù)量等）變更，不僅可詳細記錄變更情況（審計日志

40、上傳至服務(wù)器），還可根據(jù)報警策略，通過客戶端本地消息，在第一時間進行報警。LanSecS系統(tǒng)提供實時預(yù)警平臺，可實時檢測終端硬件變化情況，可對資產(chǎn)變更信息作詳細記錄，包括：檢測變更時間、變更部件名稱、變更前類型、變更后類型等，針對不同報警項，可設(shè)置報警策略、報警級別、報警方式等。1、6、3軟件資產(chǎn)信息管理LanSecS系統(tǒng)根據(jù)管理員下發(fā)的資產(chǎn)管理策略中定義的時間周期，會定期將檢測到的終端設(shè)備軟件信息上傳至服務(wù)器，服務(wù)器中間件會根據(jù)不同終端將軟件資產(chǎn)信息對應(yīng)存入數(shù)據(jù)庫。LanSecS系統(tǒng)提供軟件信息快速檢索功能，用戶管理員可根據(jù)檢索條件（軟件名稱、部門），查詢到符合條件的終端主機列表，雙擊主機列

41、表，可跳轉(zhuǎn)到該主機的基本情況頁面，并可查詢該主機相關(guān)的策略、資產(chǎn)、事件等信息。LanSecS系統(tǒng)根據(jù)管理員下發(fā)的資產(chǎn)管理策略中定義的時間周期，會定期將檢測到的終端設(shè)備最新的軟件資產(chǎn)信息（包括軟件的新安裝、卸載、版本變更等）上傳至服務(wù)器，服務(wù)器中間件會根據(jù)不同終端將軟件資產(chǎn)信息的更新至數(shù)據(jù)庫。LanSecS系統(tǒng)可實時檢測終端計算機軟件變化，包括新軟件的安裝、已注冊軟件的卸載及已注冊軟件信息（版本、安裝位置等）變更，不僅可詳細記錄變更情況（審計日志上傳至服務(wù)器），還可根據(jù)報警策略，通過客戶端本地消息，在第一時間進行報警。系統(tǒng)具有統(tǒng)一的報警管理中心，所有報警信息均統(tǒng)一由報警管理中心處理。所有報警信息均存儲到數(shù)據(jù)庫中，當(dāng)新的報警事件產(chǎn)生時，系統(tǒng)將根據(jù)管理員的設(shè)置，采取下列報警方式提醒用戶：1）界面報警：以動態(tài)列表的方式顯示新的報警信息;2）郵件報警：根據(jù)管理員設(shè)定的郵件地址，將報警信息發(fā)送給郵件接收人；3）短信報警：根據(jù)設(shè)定的短信參數(shù)，將報警信息發(fā)送到指定的手機；另外，系統(tǒng)還支持與第三方的短信平臺的集成，將報警信息直接發(fā)送到第三方短信平臺處理。1、6、4基于網(wǎng)絡(luò)資源的管理系統(tǒng)不僅提供IP/MAC地址綁定功能，可綁定內(nèi)容還包括：網(wǎng)絡(luò)掩碼、網(wǎng)關(guān)地址、DNS及IP地址獲取方式等?？蛻舳薃gent在接收到綁定策略后，先將需要綁定的參數(shù)進行加密存儲，然后實時檢測策