070823-天珣内网安全风险管理与审计系统技术白皮书

070823-天珣内网安全风险管理

与审计系统技术白皮书

D

天珣内网安全风险管理与审计系统

技术白皮书

1.

2. 背景

常规安全防御理念局限在防火墙、IPS、防病毒网关等网络边界处的防御，安全设施大都部属于网络入口处，在这些“铁将军”的严密把守之下，来自网络外部的安全威胁大大减小。但是，根据多数网络管理人员所反映的问题是，繁杂而琐碎的安全问题，大都来自网络内部。事实表明，解决了网络内部的安全问题，效果接近于排除了一半的安全忧患，因此，内部网络安全必须作为整体安全管理的一个重要组成部分来对待。

北京启明星辰信息技术有限公司针对政府机关、保密机构、军队、金融、企业网络等内部网络实际管理要求，在总结十多年对国家部委、集团、中小企业网络的安全管理、安全现场保障基础上专门研制开发了天珣内网安全风险管理与审计系统，并经严格测试通过公安部、国家保密局等相关主管部门的认证。

“震荡波”病毒爆发后，很多部委、企业单位所面临着6大突出问题：

1. 如何进行补丁自动分发部署和补丁控制(微软公司SUS/SMS存在功能不足)；

2. 如何进行外来笔记本电脑随意接入控制；

3. 如何防范网络物理隔离泄漏；

4. 如何对未安装防病毒软件的终端进行统计；

5. 如何对感染蠕虫病毒的计算机快速定位，并强制其断开网络连接；

6. 如何有效进行网络IP设备资源管理；

7. 如何对终端的安全策略进行统一配置管理；

8. 如何审计终端的各种违规行为。

天珣内网安全风险管理与审计系统全面提供针对上述问题的解决方案，协助网络管理人员全面实现网络资源、设备资源、客户端资源和应用资源等方面的管理控制，进行网络隔离度检测、入网设备监控、系统软件（补丁）自动检测分发和违规事件发现、安全事件源（病毒等）定位分析等操作。

3. 系统介绍

天珣内网安全风险管理与审计系统协助网络管理人员进行网络和设备资源、客户端软硬件资源、客户端行为和客户端病毒和补丁方面的管理控制，如网络隔离度检测、入网设备监

控、系统软件（补丁）检测和违规事件发现、安全事件源（网络病毒等）定位分析等，应用构架支持局域网、广域网，使用效果最佳。

真正意义上的解决：

1、移动设备（笔记本电脑等）和新增设备未

经过安全检查和处理违规接入内部网络，未经允许擅自接入电脑设备会给网络带来病毒传播、黑客入侵等不安全因素；

2、内部网络用户通过model、红外设备、

无线设备或蓝牙设备等进行在线违规拨号上网、违规离线上网等行为；

3、违反规定将专网专用的计算机带出网络

进入到其他网络；

4、网络出现病毒、蠕虫攻击等安全问题后，

不能做到安全事件源的实时、快速、精确定位、远程阻断隔离操作。安全事件发生后，网管一般通过交换机、路由器或防火墙可以进行封堵，但设置复杂，操作风险大，而且绝大多数普通交换机并没有被设置成SNMP可管理模式，因此不能够方便地进行隔离操作；

5、大规模蠕虫或木马病毒事件发生后，网管

无法确定病毒黑客事件源头、无法找到网络

中的薄弱环节，无法做到事后分析、加强安

全预警；

6、静态IP地址的网络由于用户原因造成使

用管理混乱、网管人员无法知道IP地址的

使用、IP同MAC地址的绑定情况以及网络

中IP分配情况；

7、自动检测网络计算机系统漏洞，弱口令等

问题，并能够自动将系统所需要补丁分发到

网络每一台计算机，为计算机自动打补丁。

8、各种软件自动分发功能，脚本定制开发；

9、大型网络系统中区域结构复杂，不能明确

划分管理责任范围，进行多用户管理；10、网络中计算机设备硬件设备繁多，不能做

到精确统计，实现节点桌面控制；

11、控制用户随意使用各种USB移动设备而

导致的机密文件外漏。

4. 功能简介

4.1 天珣内网安全风险管理与审计系统基本功能

客户端分组管理功能：可按客户端各种软、硬件特征、IP范围、注册信息等进行

进行分组管理。

⏹策略管理功能：可根据时间段和时间点定制策略使用或禁止使用的触发条件。并可根据创建区域、自定义组、操作系统、IP范围、和按照条件搜索的设备进行策略分组分发管理。

⏹日志功能：记录系统登陆、操作及客户端违规日志，可进行模糊查询，并支持按管理员自定义字段进行报表导出。

⏹全网统一升级：管理中心升级后，全网客户端程序即自动升级。

⏹转发代理功能：为在软件分发（或补丁分发）的过程，尽量减少消耗网络资源，保证客户端可从其他客户端下载分发软件。

⏹终端代理扫描功能：各个VLAN中的注册客户端可触发扫描功能发现网络中的设备信息，并上报到服务器，减小了网络复杂性带来的部署难度，并可发现安装个人防火墙的非法接入设备。

⏹多级部署：管理中心可多级部署，由上

级管理中心统一配置管理策略，由下级管理中心将违规报警信息的级联上报。

4.2 客户端软、硬件资产管理

⏹硬件资产管理功能：自动收集网络中各

种硬件设备的精确配置信息，包括CPU型号及主频、内存型号及大小、硬盘型号及大小、设备标识、主板信息等硬件信息，并可手工添加硬件设备的描述信息。

⏹硬件设备控制功能：控制外设的使用，

如对软驱、光驱、USB移动存储、USB全部接口、打印机、Model、串口、并口、1394控制器和红外设备进行启用或禁用等操作。

⏹软件清单管理：自动收集安装在每台计

算机上的每种应用程序信息，包括安装的操作系统和应用软件种类、版本号以及安装时间等信息。

⏹软件安装黑白名单控制：可制定软件安

装和进程的黑白名单，并对安装未经许可的应用软件的问题计算机进行告警、断网等处理，对运行未经许可的进程进行查杀，