发布时间 : 星期四 文章电力信息网络安全防护系统设计方案更新完毕开始阅读
存大小、磁盘容量、剩余空间、网卡型号等;对Win32系统,可收集的软件信息包括计算机安装的操作系统,计算机安装的软件清单等;基本信息包括IP地址、MAC地址、计算机所在位置、使用人、所属单位等。在软硬件信息发生变化后,提醒管理部门作出相应的管理措施。
9.1.3软硬件违规行为监控
计算机的外围设备(包括软驱、光驱、USB盘、并行、串行口、红外口、1394端口、Modem等)为各种信息在不同的计算机设备之间交流提供了一个方便的途径,通过它们可以将各种信息(包括病毒、木马等)复制到不同的计算机中。但是内网中的主机上保存着一些涉密的内部信息,这些信息不能够随意地传播,因此有必要对外围设备的使用进行控制,不允许随意地使用外围设备拷贝机密数据。安全管理及监控系统应该实现对各客户机外围设备的集中监视和控制,通过在管理端进行设置,可禁止和启用各客户机的外围设备,有效地保护计算机上的信息。
另外,内部存在违规使用软件的行为。有些人员在计算机上安装使用盗版软件,不但引入了潜在的安全漏洞,降低了计算机系统的安全系数,还有可能惹来版权诉讼的麻烦;而一些内部人员出于好奇心或者恶意破坏的目的,在计算机上安装使用一些黑客软件,从内部发起攻击;还有一些内部人员安全意识淡薄,不安装指定的防毒软件等等。这些行为都对内网构成了重大的安全威胁。
要解决这个问题,可以通过安装在各计算机上的代理终端自动搜集各计算机所有的软件信息,并汇总到控制台,形成内网计算机的软件资产报表,管理员可以全面了解各计算机所安装软件的版本信息,及时发现安全隐患并升级系统。同时,管理员可以在管理控制台上配置软件预案,指定内网计算机必须运行的软件或禁止运行的软件,由代理终端对计算机上的软件运行情况进行比对检查,对未运行必备软件的情况发出报警,终止已运行的禁用软件的进程。
9.1.4网络拓扑查看与安全事件定位困难
在安全事件发生时,往往管理人员最初仅能获取到事故计算机的IP地址和MAC地址等基本信息,无法迅速定位到其实际物理位置和用户,从而延误对重要安全事件的处理。内网安全系统应能提供根据计算机的基本信息,迅速定位物理位置和用户的手段。当网络不通时,可以查看网络拓扑中的交换机该端口的状态,端口工作正常,则说明是网络完好,是主机自身系统或网卡驱动问题;若端口工作异常或不工作,则说明网络存在问题,可以继续排查。
44
目前,绝大多数的网络设备都能够支持简单网络管理协议(SNMP),所以可以通过SNMP协议,达到自动网络拓扑功能,实现网络拓扑结构的自动发现,从而实现对实际物理位置的迅速定位,同时辅以设备信息管理功能,实现具体用户的定位。自动网络拓扑是系统依据网络的路由信息,自动查找整个网络的路由设备、网络交换机以及主机,根据这些网络设备信息生成并以直观的图形方式显示网络的拓扑结构。当网络管理员已经知道了某台或多台设备的IP地址,可以用单个网络拓扑或多个网络拓扑功能,直接拓扑发现设备。网络拓扑结构的显示方式可以按照用户的爱好自行拖拽编排,从而以最方便直观的方式展示网络结构。
9.1.5 缺乏完整的用户授权认证系统
身份认证服务是帮助系统识别用户的身份,决定并控制他们在网络上能干什么工作,即所谓的授权管理。
本内网安全管理系统在信息系统中实现对用户的身份鉴别、实现信息的保密性、完整性、真实性和抗抵赖性等保护,采用当今流行的高强度安全策略——我国自主知识产权的PKI技术为基础的数字证书技术。应用系统可以基于数字证书以及相关的经国家有关部门认可的密码算法认证登录系统的用户的真实身份,进行数字签名和验证签名,采用数字签名技术解决抗抵赖性和数据完整性的问题,利用安全系统提供的加密算法,解决信息的保密性问题。
9.2系统主要功能模块
内网安全管理系统的主要功能模块如下:
一.
IP地址管理子系统完成对网内计算机IP地址信息的实时扫描和比
对,发现非法
接入的计算机,并采取手段将其隔离在网络之外;
二.
客户端管理子系统完成对网内各专用微机的信息收集、管理、监视
和控制功能,
该子系统划分为资产信息管理、客户端监控二个功能模块。其中,资产信息管理模块负责登记专用计算机用户信息,自动收集各计算机设备的硬件信息、软件信息和系统信息,将这些信息保存到数据库中,提供友好的查询、统计和分析界面。
三.
系统管理子系统完成对安全管理及监控系统自身的管理和配置功
能,该子系统划
分为身份认证与授权模块、报警与日志管理和系统备份三个模块。身份认证与授权
45
模块完成对登录用户的身份确认,对不同用户授予相应的系统操作权限,管理和控制用户在系统中的行为;报警与日志管理模块完成对系统报警条件、报警方式的配置,在报警条件触发时按照指定的方式进行报警,并记录报警信息,提供方便的查询和归档功能;对系统运行日志和用户操作日志的记录、查询和归档功能;系统备份模块完成对系统自身的配置信息和用户数据的备份和恢复功能。
9.3内网管理解决方案
通过对省公司和各地市公司内网现状以及需求进行认真的分析和研究后,提出如下解决方案:对于省公司和各地市公司内网安全,在省公司和各地市公司中心机房分别设立控制中心。
9.4方案实现功能
9.4.1 IP地址管理 ? ?
实时扫描获取与分析在线计算机的IP、MAC地址信息
IP地址、MAC地址的合法性判定, 支持IP-MAC绑定、特权MAC地址合法性
管理方式
? ? ?
警告和阻断不满足合法性判定的计算机 统计分析非法IP地址使用的历史情况
支持主动探测和被动侦听等多种扫描方式,采用特定算法对扫描过程进行
控制,避免对网络流量造成明显负荷
?
灵活的部署方式,可以适应不同网络环境的需要,通过在各网段部署IP地
址管理代理,使IP管理目标和部署成本达到最优比例
?
灵活的配置,可以以图形化方式配置每一台代理的监控参数,并查询各个
网络接口的扫描结果
?
对于监视到的违规信息,调用报警模块向管理员进行报警
9.4.2客户端管理
9.4.2.1客户端的安装、卸载和升级 客户端程序的安装可以通过以下多种方式实现: ? ? ? ?
通过客户机浏览器连接控制中心下载安装; 在采用域管理策略的网络中,通过域登录脚本安装; 采用软件分发服务进行分发安装。 使用安装光盘安装
46
系统可自动发现接入内网但未安装客户端程序的计算机,并提示管理人员,由管理人员对其进行警告或者阻断其接入网络。
客户端程序使用进程保护和文件保护技术,使用户无法在其计算机上停止或者卸载客户端程序,只能通过专用的卸载工具来完成客户端程序的卸载。
客户端程序的升级完全自动完成,各微机上安装的客户端程序将在每次微机启动时自动检测其版本是否与控制中心版本一致,发现控制中心版本更新时,自动连接控制中心下载最新的客户端程序,并自动完成客户端程序的更新。
9.4.2.2客户端资产信息管理 ?
用户信息登记注册管理
接入到内网中的计算机,要求必须安装客户端程序,安装完成后在客户机填写用户登记注册信息。
客户机用户填写完这些信息之后,将其提交到控制中心,等待管理人员进行审批确认。客户机一旦提交这些信息后,系统将锁定这些信息,不允许再次填写,仅当管理人员通过在控制中心进行解锁后,才能再次填写并提交。
控制中心接收从客户机提交的这些信息,将其保存在数据库中,等待管理人员进行审批确认。在管理人员对信息确认之后,该客户机即被认为是合法接入内网的计算机。
在用户的登记注册过程完成之后,系统将自动把该计算机设备分类到用户填写的单位下,系统采用组织机构层次结构图的方式作为向导,使管理人员能够方便快速地查找到某台计算机。
?
计算机硬件信息管理
客户端程序自动完成对计算机硬件设备信息的收集,并将这些信息汇报到控制中心,控制中心将它们保存在数据库中。同时客户端程序会自动将硬件设备信息与该计算机的历史硬件信息情况进行比对,发现信息变更时,向控制中心发送变更通知消息。
客户端程序收集的硬件信息包括:CPU型号、CPU主频、内存大小、硬盘序列号、磁盘容量、磁盘剩余空间、网卡型号、网卡物理地址、显卡型号、声卡型号、键盘型号、鼠标型号。
?
计算机系统信息管理
客户端程序自动完成对计算机系统信息的收集,并将这些信息汇报到控制中心,控制中心将它们保存在数据库中。同时客户端程序会自动将部分系统信息与该计算机的历史信息进行比对,发现信息变更时,向控制中心发送变更通知消息。
47