×××单位内网行为管理应用案例
1.1 项目背景
×××单位在信息化建设过程中,遇到以下问题:
- 单位内计算机使用行为复杂而不可控制,网络管理员对单位内员工具体的软件使用行为一无所知。无法杜绝大量不合理软件的使用。
- 网络管理手段缺乏,没有可靠的技术管理方式可以使用。
- 单位员工工作用计算机使用方式随意,且资产管理混乱,很多计算机零部件存在缺失行为。
- 涉密计算机行为不可控制,无法在技术手段上保证涉密信息的本地安全和数据通过公网向上级单位申报过程中的安全。
- 内部网络服务器资源使用无序,存在大量的单位外无关人员登陆行为。用户名和密码易泄露。
1.2 项目需求
针对存在的这些问题,结合×××单位信息网络规模大、使用部门多和应用系统复杂且有特殊保密要求的现状,主要提出了以下需求:
- 加强用户身份管理,确认每台工作电脑的使用者身份;
- 实现工作机在不同网段或者不同网络资源间的访问控制;
- 对用户电脑行为加强管理,避免在工作时间进行游戏之类私人行为;
- 能够自动统计内网所有计算机的硬件配置情况,并提出统计报告,对硬件变化能及时通知管理员;自动统计内网计算机的软件安装和使用行为,分析软件使用频率,发现潜在问题。
- 能够对应用程序的使用和安装进行的授权和审计,能够区分应用程序的版本,可以针对不同版本制定不同的授权策略;
- 支持用户不同策略部署;
- 针对涉密计算机的公网数据申报行为,能提出简单而有效的解决方式来保证数据的安全。
1.3 项目实施内容
1.3.1 简要说明
根据所存在的问题,我们选择了SC-500B,加载上网行为管理模块(FW)来进行内网行为的监控。并且采用两台SC互为热备的部署方案,保证了在网络发生问题时,能在最短时间内恢复网络的使用。同时,SC-FW对轻量级目录技术的支持,使×××单位能继续维持原有的利用AD对用户的身份管理进行用户控制的方式,最大限度保持了运行的一贯性和延续性。
1.3.2 主要功能说明
1. 服务器资源访问控制
所有在SC设备经过合法注册的用户,才能正常访问单位内的服务器资源,包括内部OA,MAIL服务,WEB服务,数据库资源使用等。除此之外的的任何试图连接内部资源的行为都将被实时拒绝。且用户的合法性注册与本地计算机的MAC地址,CPU的ID等将进行捆绑,使非法用户通过窃取登陆名和密码进行登陆行为方式的不可行。
2. 机密数据申报计算机网络行为控制
凡存有机密数据的计算机,在向上一级管理机构进行数据申报时,该计算机只能向事先管理员设定的上一级管理机构目标公网IP地址发起数据交换行为,该地址以外的任何IP地址目标数据包,均将被完全阻止,使数据在公网传输过程中不被泄露。
3. 进程安全控制
所有内网计算机的后台运行进程,都将在第一时间被管理设备监视,并且可根据管理员事先设定的管理策略,允许或者终止某一个具体的运行进程。这样就可以使工作用计算机只能运行管理员允许的软件,保证了使用的合理性。同时进行字长数、MD5值等多种对比分析,在进程名被恶意篡改的情况下,仍能对进程的合法性进行有效验证。
4. 网络资源安全控制
所有内网计算机的网络IP地址,在经过管理员的设定后,用户均不能进行修改,杜绝了用户自主发起盲目的IP地址修改行为。且所有用户初始化网络身份过程中均必须进行合法的身份登记,并经过管理员的审定才能进行网络行为操作。保证了网络资源使用的安全性。
5. 主机软硬件资产管理
SC设备能自动收集和统计内网所有的计算机硬件配置情况,并且提出相应的报表。同时若发现原始报表与实际设备配置对比情况发生变动时,第一时间向管理员进行提醒。同时还能自动统计内网所有计算机的软件安装情况,使管理员能在第一时间对非法软件的安装行为发现和禁止。
6. 桌面资源管理
设备可以实时查看任何一个管理范围内的客户端桌面情况并进行截图保留记录;实时查看客户端系统启动软件信息,判断启动软件的范围和合理性;查看内网计算机的共享目录信息,及时通知不合理共享的关闭;查看操作系统补丁信息,及时通知有关计算机用户情况。
7. 用户和管理员的交互沟通
针对管理员在日常工作中,管理手段和管理信息的实时同步性不强的问题,SC设备可在任意时间,根据管理员的意志,进行强行的通知推送,保证了管理员在实施管理手段的过程中,也能同步将管理信息第一时间推送给具体的用户。同时用户也可以主动推送软件安装及使用申请给管理员,加强了使用者和管理员之间的交互性。提高了管理员的工作效率。也增强了管理的实时有效性。
8. 多种外围安全设备的协同
网关处的防火墙,原本是孤立的设备。现在可与SC设备进行同步数据交换,针对SC设备中不认可的非法用户,防火墙同时在网关处对该用户的网络行为进行限制和禁止。若内网存在多级SC,即中心级SC和分布式部门级SC,还可以进行多级SC的协同策略管理,多样化部署等功能实现。同样,SC也可以支持相应的VPN设备,IPS/IDS设备等,并且与这些设备进行同步的数据交换和功能支持。(该功能所支持设备均应事先经过SC原厂方认可)
1.4 项目建设成效
1、 建立起内部网络资源访问和控制的管理机制,保证了内部资源的优化使用和控制
内部数据资源(OA、MAIL、WEB等)因采取了可靠的用户管理方案而变的可靠和可信。同时内部网络资源,在管理模式下也变的规则,包括IP地址的分配等,MAC地址和CPU的ID等计算机标识和用户行为的绑定也使所有对内部资源的访问行为都是在可控制的范围内,且访问行为的发起人的合法性均经过了事先验证。
2、建立起机密数据存放和使用计算机的使用规则,并且在技术上保证了规则实施
根据计算机使用软件具体进程的监视和控制策略及网络数据包目标上行地址的限制。最大限度的保证了涉密计算机的本地行为可控性和网络行为的可控性。
3、 内网计算机的软件使用行为规则的建立和执行
建立起了完整的进程管理和限制策略,使管理员能第一时间监视和控制所有内网计算机的软件使用行为。并且根据管理规定可以对具体的某一个进程作出允许或者禁止的决定。比如针对某个游戏,某个聊天或者视频播放软件。
4、 采用热备方式,保证管理服务的不间断
两台SC设备间采用无缝实时热备方式,在主SC发生故障的情况下,备用SC能实时切换到主SC的服务地位,保证网内安全服务不终止。
5、 建立起管理员和使用者之间的互信沟通机制
管理员能实时发送通知给具体的用户或者是群体用户,(该通知针对用户系统,是强制推送必须可见的)。同时用户也可以就软件安装和使用,及其他问题向管理员发送请求或者询问。该类型消息交换均被记录在SC设备中,以备事后查询。
