基于“金财工程应用支撑平台”构建财政一体化信息系统终端安全建设项目实施方案长沙艾灵信息技术有限公司2011年11月目录_________________________________________________________________________________________________________________________________________________________1 终端安全管理概述 01.1 终端安全概述 02 风险与需求分析 (1)2.1 网络资源的非授权使用或者授权滥用 (1)2.2 因安全管理不善，引发的IT资源不可用或者资源损失 (1)2.3 非法接入带来的网络安全威胁 (2)2.4 移动介质和外设端口的管理 (2)2.5 终端行为控制与上网行为监控 (2)2.6 客户机自身存在安全缺陷，导致网络内部安全隐患 (3)3 终端安全管理需求 (3)4 终端安全管理发展趋势 (5)5 终端安全产品选型 (6)5.1 选型原则 (6)5.2 系统功能介绍 (8)5.2.1 桌面安全管理 (8)5.2.2 存储、外设管理 (10)5.2.3 安全准入管理 (11)5.2.4 非法外联监控 (12)5.2.5 补丁分发管理 (12)5.3 系统组成 (14)6 系统部署 (14)6.1 部署位置 (14)6.2 部署方式 (14)7 系统功效 (15)7.1 接入控制 (15)7.2 存储、外设管理 (16)7.3 非法外联 (16)7.4 终端使用行为 (17)7.5 补丁分发 (17)8 成功案例 (17)8.1 典型应用 (17)1 终端安全管理概述终端安全，分为桌面安全、内网安全、准入控制，随着安全技术和攻击技术的发展，越来越被网络管理者所重视。

方案从桌面安全的必要性出发，论述终端安全的建设方法，并给出建议的产品选型和系统建设方案，为财政局安全建设提供完善的解决方案。

1.1终端安全概述信息技术发展到今天，人们的工作和生活已经越来越依赖于计算机和网络；然而，自网络诞生的那一天起，它就存在着一个重大隐患——安全问题，使人们在一边享受着网络所带来的便捷，一边又不得不承受着网络安全问题带来的隐痛。

2006年公安部公共信息网络安全监察局对7072家政府、金融证券、教育科研、电信、能源交通、国防和商贸企业等部门和行业的重要信息网络、信息系统使用单位进行了调查，其中发生网络安全事件的比例占58%。

从这些数据我们看到，网络安全已成为阻碍网络应用的关键所在，要使企事业的IT资源能够得到有效的利用，首先需要解决的是基本的网络安全威胁。

值得欣喜的是，网络安全得到越来越多人的重视，已经有许多企业在网络边界部署了防火墙，网络中安装了杀病毒软件，部署了入侵检测、身份认证、漏洞扫描等系统来防止外界威胁。

然而，这些安全措施并没有对内网，尤其是没有对各个计算机终端进行有效监控，从而无法避免内部IT资源滥用、内部网络信息泄露、内部员工的故意攻击等问题，更不能对各种因内部因素产生的网络安全问题进行有效的预防、监控和审计。

事实上，堡垒最容易从内部攻破！目前，比较流行或者说应用比较广泛的一些网络安全系统主要有：防火墙、杀病毒、入侵检测、身份认证、漏洞扫描等等，但这些网络安全系统基本都是专门针对某一类型网络安全威胁的工具，主要定位在防范来自外部网络的安全威胁，并不能够解决大部分内部网络安全问题：防火墙关注的是边界安全，对于内部的各种非法滥用和攻击行为无能为力；杀病毒的定位更为清晰和专业，就是针对病毒等恶意代码的攻击，而不能管理内部网络行为和设备的应用等等。

他们都不是专业的内网安全管理工具，不能解决综合性的、与网络使用者的行为密切相关的、与管理措施密切相关的、尤其关注内部泄密和网络效率的这样一款工具。

我们都知道，进行网络安全体系建设，要综合考虑、注重实效，在我们考虑防火墙、杀病毒、入侵检测，甚至身份认证等系统来解决有关外部黑客入侵、病毒困扰时，也要同时考虑来自内部网络的可信环境下的非授权网络行为和授权滥用行为，因为这些才是网络安全面临的最大威胁，也是网络安全的最大挑战。

最理想的状态是，我们能够有效的分析各内部网络环境下比较具体和重要的网络安全威胁，并组织相应的技术、产品以组合方案的方式，统一解决；既考虑到投入成本与效益之比，又能最大程度上避免“木桶原理”的安全诅咒。

2风险与需求分析2.1网络资源的非授权使用或者授权滥用大部分单位都有管理制度来规范网络资源的使用，详细规定了某人或某机器在什么时间、什么地点做什么类型的事情。

也就是说，区分了授权和非授权操作。

但事实上实际情况往往不是这么简单。

众多内网用户，会探测、尝试进入非授权的领域。

例如某公司规定程序员在上班期间不许上网，但员工却能想出了很多办法，实现在上班期间也能上网；还比如，某员工无权访问单位的业务数据库，他通过攻击、欺骗等等手段，获得了访问数据库的机会；至于网络资源滥用的实例就不胜枚举了：有权上网的员工，没有利用互联网去开展业务，而是在下载电影、玩游戏等等，非工作需要拷贝、修改公司的关键数据等等。

大部分单位都想通过相应的制度来控制这些情况，然而实际效果却并不理想。

非授权使用或授权滥用依旧是我们最头疼的。

2.2因安全管理不善，引发的IT资源不可用或者资源损失这里的管理不善，主要是指没有一套科学的内部网络资源使用管理制度，或者制度执行不力。

比如，我们规定在某一些工作计算机上，不能安装运行某些软件，可是还是有人安装了；对内部网络的IP/MAC地址，做了统一的部署，可是还是有人任意的修改；任意的将非本网络的设备接入内部网络；任意添加或删除各种硬件设备、修改网络属性等等，这些行为都应该得到彻底的规范。

财政局网络信息网络中计算机数量众多，型号多样，各种计算机造成配置的多样性，对统一管理造成很大负担。

靠手工方式无法对上万台计算机进行有效管理。

疏于管理可能造成：●用户自行修改硬件配置，包括更改CPU、内存、安装未经授权的硬件设备等；●用户自行修改软件配置，包括操作系统、应用系统、私自安装软件等；●用户自行修改网络配置，包括修改IP地址、掩码等这些未经授权的改动轻则造成系统效率降低、挤占正常应用，严重的会造成教育应用系统的正常运行，更为甚者，修改IP地址可能对网内其他计算机造成威胁。

由此，分析出以下需求：●收集终端计算机资产信息，包括CPU、内存、网卡等硬件信息，以及操作系统、补丁版本、安装程序等软件信息●监控终端计算机资产变更情况，一旦与系统设置的基线不相符，即向网络管理员报警，并通过桌面管理系统其他模块对非法计算机进行网络阻断，阻止其接入网络，以免对网内其他计算机造成危害监控包括IP地址在内网络设置，保证终端计算机的IP地址等网络配置符合既定的安全策略。

一旦用户自行修改立即阻止，将IP地址等网络配置恢复为原有配置，并及时向网络管理员报警。

2.3非法接入带来的网络安全威胁财政局网络计算机众多，很多计算机没有及时及时安装系统关键补丁、防病毒系统等关键安全保障系统，存在极大安全隐患，更有一些用户私自进行一些非法的操作或设置，使计算机处于非常危险的状态，对这些计算机，应有一套自动的机制，在其准备接入网络的时候进行阻断，防止其接入网络、对网络内其他计算机造成损害。

阻断管理还可以帮助管理员对病毒暴发等事件的处理提供帮助，可以快速定位事故源头，及时解决问题。

完善的接入管理，可以对笔记本电脑这类移动办公用户进行很好的控制，防止笔记本电脑在不同网络环境中的使用，防止将外网等低安全区域内的危害带到内网。

2.4移动介质和外设端口的管理财政局网络情况复杂，用户情况参差不齐，U盘等移动介质可以在不同计算机之间进行数据传递，而同时会将病毒、木马等安全隐患带入网络中，并可能造成数据失密等安全性缺失。

因此，需要对U盘等移动介质进行管理，使其按照既定的安全策略进行访问，从而避免通过U盘等移动介质进行非法操作。

另外，光驱等外设和网络端口同样存在访问控制的需求，否则，对外设和端口的滥用可能导致系统失密甚至崩溃。

因此，同样需要对外设和端口进行访问控制，按既定安全策略进行访问，防止越权的不安全情况发生。

对网络端口的管理还可以对网络异常流量进行管理和控制，对一些异常的大网络流量的计算机，可以向管理中心报警，并根据安全策略通过阻断其接入网络的方法防止其对网络产生危害。

2.5终端行为控制与上网行为监控互联网的快速发展极大地方便了人们对信息的访问需要，但同时互联网上存在有大量不良信息。

而且，滥用外网可能挤占网络带宽，降低内网正常应用对网络带宽的需要，极大影响教育网络的工作效率。

为此，有必要对财政局网络内用户的上网访问行为进行有效控制，对其访问外网的访问请示进行甄别，对正常的应用访问予以放行，而对不良信息的访问则予以拒绝，并进行记录。

这些记录可做安全审计的数据源。

另外，用户私自在计算机中运行一些与业务无关的程序，也会对正常应用造成挤占、降低效率，应该通过桌面安全管理系统对终端计算机运行的所的程序进行检测，并根据既定安全策略判断所运行的程序是正常程序还是非法程序，正常程序可予以放行，而拒绝非法程序的运行，从而最大程序保障业务系统的效率。

2.6客户机自身存在安全缺陷，导致网络内部安全隐患财政局网络中大部分计算机采用微软操作系统。

随着微软漏洞的不断被发现，可能会引发蠕虫病毒等威胁，病毒和攻击者可能利用这些漏洞对计算机和网络造成攻击，严重者可获得网络内较高权限，造成系统的信息失窃、被破坏、可用性降低等危害，具有极大的威胁性。

漏洞的及时修补是提高系统安全性必须要保证的。

为此，需要在系统中建设一套有效的补丁分发机制：●发现终端计算机系统中未打补丁情况，及时上报管理中心，可形成统计报表供管理员整体管理●建立补丁自动更新机制，自动从包括微软在内的系统厂商获得补丁信息和补丁文件，在终端计算机需要进行补丁分发时及时提供下载安装●根据补丁分发管理的策略，自动安装系统中缺失的补丁，并根据补丁分发情况自动或手动重启计算机●向管理中心报告补丁分发过程和记录，并形成报表●为了有效保证补丁分发，系统还应考虑：●补丁安装失败后，应有回退机制，将指定的补丁卸载，使系统回复到未安装补丁时的状态，以保证系统正常运行●进行大规模补丁分发时，考虑到补丁分发的网络流量对系统的冲击，应采用有效的流量控制机制减少对网络的负荷●补丁分发应支持断点续传3终端安全管理需求本方案将财政局网络中存在的内网安全管理需求归结为六大类：●保护机密文档资料⏹详细记录文件操作（打开、修改、删除等），提供给网络管理员进行审计监控，必要时制定安全策略阻止用户对文件的访问⏹记录文件操作时的屏幕，提供给网络管理员进行审计监控⏹限制使用移动存储设备，防止通过移动存贮设备进行信息泄密⏹限制网络接口的使用●防止滥用局方电脑⏹限制与工作无关应用程序的使用⏹禁止对特定资源的访问⏹禁止浏览工作无关网站⏹客观评估员工工作态度⏹详细记录员工使用应用程序⏹详细记录员工浏览网页⏹员工使用电脑情况图表分析●方便的电脑资产管理⏹自动获取电脑硬件设备清单⏹自动获取电脑安装的应用程序●协助管理者管理员工⏹完善丰富的报表功能⏹自动生成、发送邮件报告●远程协助⏹定时记录电脑屏幕，直观察看员工的电脑操作记录，解决问题⏹导出重要屏幕画面到文件中⏹远程桌面连接，直接由管理员解决员工计算机上的问题⏹以上功能同时可提供客户机监控管理的功能⏹软件分发●维护客户机自身的安全性⏹自动对客户机上存在的安全漏洞进行检测，根据安全策略上报安全状态4终端安全管理发展趋势本方案以业界较为流行的终端（桌面）五步安全法（PTRRM）为代表，简述如下：➢定义安全策略终端五步安全法的第一步是制定安全策略，安全策略反映了一个组织管理层对信息安全的认识，是组织安全建设的最高纲领，是一切信息安全保障活动的基础和出发点，一个组织的安全策略可能包括很多层次，覆盖组织安全体系建设的方方面面，如标识与鉴别策略、访问控制策略等等，终端安全策略在其中占有重要的位置，是组织终端安全建设的基础，终端安全策略包括：终端资产命名与统计策略、终端系统补丁管理策略、终端用户访问控制及行为监控策略、终端入侵防护策略、终端用户完整性检查策略、移动用户及第三方远程接入安全检查策略、终端用户安全状态强制认证及网络准入控制策略等等；➢选择使用工具有了安全策略后，如何有效的贯彻执行，而不使策略成为一纸空文，这就需要选择和使用适当的工具，作为信息策略的载体和强制执行的手段；工具应该能够进行集中管理，从一个点集中管理全网所有终端用户，并采用强制的手段来贯彻执行安全策略。