解决方案
内网行为安全管理系统
一.概述
内网系统在正常运行时有可能因为操作人员的行为给系统的安全造成威胁,诸如:
1. 擅自使用3G无线网卡插入到监控客户端或服务器中进行登录Internet;
2. 擅自使用带有Modem功能的智能手机插入到监控客户端或服务器中进行登录Internet;
3. 使用未经授权的且可能带有病毒的移动存储介质(U盘、移动硬盘)插入到监控客户端或服务器中进行数据的导入或导出,造成病毒进入内部系统。
因此,建设系统安全防御体系的同时,还须建设系统行为安全管理系统对系统的安全加以辅助监管。
二.系统结构
整个系统分为管理器和代理客户端两部分,整个管理器包括系统监管服务器和集中管理器,系统监管服务器是整个系统的后台管理程序,集中管理器是对系统进行集中管理的GUI接口,两者之间采用B/S模式进行交互;代理客户端部署在公安内网经注册的业务终端上,其通过C/S模式与系统的监管服务器进行交互。
1. 管理器
系统的管理器分为两部分,一部分是系统监管服务器模块,另一部分是集中管理器模块,两者之间通过Web方式为用户提供监控管理服务。
系统监管服务器通过数据库存储所有的安全策略信息和监控审计信息。
管理器的主要功能包括:
1) 终端管理:提供对监控终端的基本信息的采集和维护功能;
2) 终端监控:提供实时查看当前各在线终端的工作状态的功能;
3) 报警管理中心:提供报警管理的界面,能够对当前所有在线终端的非法操作进行实时报警;
4) 日志管理:记录终端的在线状态(登录帐号、登录时间、注销时间等),并对所有的违规操作进行记录。
5) 系统管理:提供系统设置的界面,包括账户管理和系统策略管理。账户管理是通过集中管理器对系统进行集中管理的账户,包括新建、修改和删除等功能;系统策略管理主要用于系统相关的策略设置,包括非法外联禁用策略和发现终端违规事件后的警告信息和行为策略。
2. 代理客户端
系统的代理客户端部署在各个监控设备上,负责收集本地设备的信息,提交给管理器;负责接受管理器下发的任务,并执行;当发现违规的用户操作后立即停止相应的操作。
三.部署方式
行为安全系统软件分为服务器端和客户端两部分,采用客户端/服务器模式部署。服务器端程序部署在内网的系统监管服务器上,管理员在内网任意计算机上使用IE浏览器即可对系统策略进行管理和配置;客户端程序部署在需要监控的业务终端上,负责对业务终端上网行为的监控。
四.系统功能
1. 终端管理功能
集中管理器提供终端设备管理功能,用户能够手工添加、删除、查看终端设备列表,同时监控服务器也能够采集来自代理客户端设置的设备基本信息,信息内容包括(终端基本信息和默认内网连接配置信息等)。
终端管理能够自动探测当前网络中的所有机器,记录各计算机的IP地址、计算机名、MAC地址、网卡型号和生产厂商、计算机所在域、操作系统、主要硬、软件信息等。
2. 终端监控功能
系统具备终端监控功能,可对所有登记在册的终端设备当前状态进行显示,实时获取终端设备的软硬件配置清单、系统负载、系统进程信息、网络连接信息等。
无论设备是否在线,客户端程序都可对终端设备所有可建立网络连接的接口按照系统策略进行全面网络监控,包括无线网络连接、红外接口、USB接口、串并口、蓝牙、有线网络等,一旦发现有非法操作就立即采取相应的阻止措施,确保不发生各种可能的内网安全事件。
3. 行为管理功能
代理客户端以系统服务方式运行,并提供简洁的GUI界面最小化运行于屏幕右下角图标通知区域,系统服务不能自行卸载或停止。
Agent启动后,将在第一时间按照管理策略对相应的网络连接端口进行检测,关闭不可用服务(弹出窗口报告使用者),并将此检测报告上报监管服务器;
Agent发现有不符合系统策略的非法操作企图时,会第一时间阻止其操作,同时弹出违规操作窗口报告使用者,并向监管服务器发送报告。
在行为管理中,针对终端上的软件资产特别提供软件黑名单策略管理功能。采用这种黑名单策略,凡是在名单中的软件都将在指定的终端上根据策略禁止运行,以确保在公安内网终端上禁止运行游戏等违规软件。
4. 报警管理功能
系统可对发生各种违规操作的设备进行报警,并按照以下两类对象进行展示,并对报警信息按照规则进行分类统计。其中包括:
1) 非法操作:包括执行非法操作的设备名称、使用者、操作类型、时间、是否成功拦截等;
2) 离线设备:设备名称、使用者、开始时间、结束时间、Agent是否工作等。
同时对所有的报警信息按照系统策略的设定,首先对非法操作进行阻止,然后以弹出警告窗口、发送邮件、手机短信等多种方式通知系统管理员及时进行相关确认处置。
5. 日志管理功能
系统对终端的在线状态、违规操作事件、系统管理员的操作记录及监管服务器运行记录等提供详细完善的日志记录、查询、删除、审计等功能。
6. 统计报表功能
系统支持按单位部门统计、按时间统计、按类型统计及组合条件统计自动生成各种统计图表。
系统实现信息安全简报的自动生成和导出固定格式功能。系统内置标准的简报模板,系统管理员可按照需要对内容进行调整,生成一段时间(日/周/月)内的安全简报,以便管理员更好的掌握系统安全事件的发展变化趋势。
7. 统计报表功能
系统对每个代理客户端提供授权,同时可以授权相应外部设备(如U盘设备)。只有被授权的设备(包括外部设备)可以接入到网络或终端,经过认证后才可使用。
一旦发生非授权设备接入网络或外设接入到终端,系统直接阻止该非授权设备接入到网络或终端。
8. 代理维护功能
代理客户端提供自动升级功能,在发现监管服务器有新版本可用时,可自动完成程序更新任务。