一種內(nèi)網(wǎng)終端安全管理的實現(xiàn)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計算機終端安全技術(shù)領(lǐng)域�,具體地說是一種實用性強、內(nèi)網(wǎng)終端安全管理的實現(xiàn)方法���。
【背景技術(shù)】
[0002]提起網(wǎng)絡(luò)安全,人們自然就會想到網(wǎng)絡(luò)邊界安全,但實際情況是網(wǎng)絡(luò)的大部分安全風(fēng)險均來自于內(nèi)部����。常規(guī)安全防御理念往往局限在網(wǎng)關(guān)級別、網(wǎng)絡(luò)邊界(防火墻����、IDS、漏洞掃描)等方面�����,重要的安全設(shè)施大致集中于機房或網(wǎng)絡(luò)入口處��,在這些設(shè)備的嚴密監(jiān)控下,來自網(wǎng)絡(luò)外部的安全威脅大大減小����。相反,來自網(wǎng)絡(luò)內(nèi)部計算機終端的安全威脅卻是眾多安全管理人員所普遍面臨的棘手問題�。
[0003]近兩年的安全防御調(diào)查表明,政府�、企業(yè)以及金融證券等單位中超過80%的管理和安全問題來自終端,計算機終端廣泛涉及每個用戶��,由于其分散����、不被重視、安全手段缺乏的特點����,已使得終端安全成為信息安全體系的薄弱環(huán)節(jié)。因此��,網(wǎng)絡(luò)安全呈現(xiàn)出了新的發(fā)展趨勢�,對于各政府企業(yè)網(wǎng)絡(luò)來說,安全戰(zhàn)場已經(jīng)逐步由核心與主干的防護���,轉(zhuǎn)向網(wǎng)絡(luò)內(nèi)部的每個終端�。
[0004]終端桌面安全管理技術(shù)的興起是伴隨著網(wǎng)絡(luò)管理事務(wù)密集度的增加,作為網(wǎng)絡(luò)管理技術(shù)的逐步發(fā)展的產(chǎn)物而衍生的���,它同傳統(tǒng)安全防御體系的缺陷相關(guān)聯(lián)�����,是傳統(tǒng)網(wǎng)絡(luò)安全防范體系的補充���,也是未來網(wǎng)絡(luò)安全防范體系重要的組成部分��。
[0005]基于此�,現(xiàn)提供一種實時可控的內(nèi)網(wǎng)終端安全管理的實現(xiàn)方法。
【發(fā)明內(nèi)容】
[0006]本發(fā)明的技術(shù)任務(wù)是針對以上不足之處����,提供一種實用性強、內(nèi)網(wǎng)終端安全管理的實現(xiàn)方法�����。
[0007]一種內(nèi)網(wǎng)終端安全管理的實現(xiàn)方法�,其具體實現(xiàn)過程為:
設(shè)計終端基本管理、資產(chǎn)管理�����、終端桌面管理、終端安全管理����、主機運維、補丁分發(fā)���、安全監(jiān)控審計�、報表管理����、事件報警管理、第三方接口管理十大模塊�,實現(xiàn)內(nèi)部網(wǎng)絡(luò)終端的可控管理,其中:
終端基本管理模塊用于終端注冊管理��、IP和MAC綁定管理����;
資產(chǎn)管理模塊負責(zé)硬件資產(chǎn)管理和軟件資產(chǎn)管理;
終端桌面管理模塊負責(zé)進程運行黑白名單及端口控制����、應(yīng)用程序黑白灰名單控制�����、進程管理保護及外設(shè)和非法外聯(lián)控制�;
終端安全管理模塊負責(zé)桌面密碼權(quán)限管理���、終端殺毒軟件管理和終端統(tǒng)一防火墻設(shè)置���;
主機運維管理模塊用于資源監(jiān)控和流量異常監(jiān)控;
補丁分發(fā)模塊中的補丁安裝支持自動和手動兩種方式���,通過外網(wǎng)補丁下載服務(wù)器及時從補丁廠商網(wǎng)站獲取最新補丁��;補丁安全測試后�,通過補丁分發(fā)管理中心服務(wù)器對網(wǎng)絡(luò)用戶進行分發(fā)安裝;
安全監(jiān)控審計模塊負責(zé)上網(wǎng)審計����、系統(tǒng)日志審計、文件保護及審計���;
報表管理模塊提供報表功能�����,按不同部門�、不同操作系統(tǒng)提供軟硬件資產(chǎn)、審計信息����、報警、狀態(tài)及其他情況匯總報表��,提供多種報表格式���,這里的報表格式包括H)F�、HTML�、XML、CSV ��;
事件報警管理模塊匯總所有內(nèi)外安全管理事件的報警信息���,并將報警按種類�����、級別分類�,進行短信、聲音����、郵件、圖形的報警方式�����;
第三方接口管理模塊�����,提供第三方接口����。
[0008]所述終端基本管理模塊進行終端注冊管理的過程為:采用C/S和B/S模式相結(jié)合的管理方式,包括客戶端和集中管理平臺���,在被管理的桌面計算機上安裝客戶端程序時,客戶端程序注冊到集中管理平臺����,通過集中管理平臺對該終端進行管理,并對于接入網(wǎng)絡(luò)未注冊終端進行Arp阻斷��,禁止其聯(lián)網(wǎng);
進行IP和MAC綁定管理的過程為:對固定IP網(wǎng)絡(luò)的MAC和IP地址進行綁定管理���,該終端基本管理模塊探測到IP變化后根據(jù)策略設(shè)置恢復(fù)其原有IP地址�,或者阻斷其聯(lián)網(wǎng)��。
[0009]所述資產(chǎn)管理模塊進行硬件資產(chǎn)管理的過程為:自動搜集包括CPU�、內(nèi)存、硬盤分區(qū)總和�����、設(shè)備標識的大小����,以及包括主板、光驅(qū)���、軟驅(qū)�����、顯卡�、鍵盤���、鼠標��、監(jiān)視器��、鍵盤的所有的硬件信息�����;
進行軟件資產(chǎn)管理的過程為:自動搜集和識別客戶端安裝的所有應(yīng)用程序信息�����,該信息包括名稱��、版本�����、安裝路徑��、校驗和���,將搜集到的信息上傳到集中管理平臺進行管理;同時還包括安裝的操作系統(tǒng)種類�����、版本號以及當(dāng)前補丁情況,并進行匯總管理��。
[0010]所述終端桌面管理模塊進行進程運行黑白名單及端口控制的過程為:設(shè)定禁止執(zhí)行的進程和允許執(zhí)行的進程�����,對違規(guī)的客戶端進行包括日志記錄����、報警和斷網(wǎng)處理的相應(yīng)措施;同時設(shè)定進程運行時允許訪問的端口��,記錄包括該行為發(fā)生的事件�����、IP地址��、MAC地址的相關(guān)信息上報到服務(wù)器進行記錄取證��;
進行應(yīng)用程序黑白灰名單控制的過程為:將搜集的應(yīng)用程序分為加入白名單庫�����、黑名單庫和灰名單庫;客戶端確保只有受信任的白名單中的應(yīng)用程序允許運行�����,防止動態(tài)鏈接庫文件在內(nèi)核中的加載��,進而防范零日威脅和高級持久性威脅且無需特征碼更新�;
進行進程保護管理的過程為:對重要的進程進行守護,防止由于意外或認為原因造成重要進程中斷�;
進行外設(shè)和非法外聯(lián)控制的過程為:采用硬件設(shè)備驅(qū)動級的控制方式實現(xiàn)允許或禁止主機使用USB設(shè)備、串口���、并口�����、軟驅(qū)�、光驅(qū)�、網(wǎng)絡(luò)設(shè)備、打印設(shè)備�;對于已注冊的設(shè)備,監(jiān)控其網(wǎng)絡(luò)連接行為����,根據(jù)接入網(wǎng)絡(luò)環(huán)境因素判定其是否非法接入其它網(wǎng)絡(luò),發(fā)現(xiàn)有外聯(lián)互聯(lián)網(wǎng)行為時采取警告��、阻斷���、自動關(guān)機操作���。
[0011]所述終端安全管理模塊進行桌面密碼權(quán)限管理的過程為:對終端的密碼管理權(quán)限變化及使用狀況進行審計檢查及報警,這里的使用狀況包括密碼長度����、安全性、弱口令方面��,同時對不符合要求的終端進行提示或強制修改處置�,達到防止病毒及黑客入侵的目的;
進行終端殺毒軟件管理的過程為:統(tǒng)一審計網(wǎng)絡(luò)內(nèi)終端的防病毒軟件安裝和使用情況�����,強制為客戶端安裝防病毒程序��,監(jiān)控終端防病毒軟件的安裝情況�,并進行相應(yīng)的管理����,這里的相應(yīng)管理包括安裝殺毒軟件�、強行升級病毒庫、自動分發(fā)并自動執(zhí)行病毒專殺工具;
進行終端統(tǒng)一防火墻的設(shè)置過程為:管理員在集中管理平臺對終端進行統(tǒng)一的防火墻設(shè)置對網(wǎng)絡(luò)IP及協(xié)議訪問進行限制�,在網(wǎng)絡(luò)內(nèi)建立虛擬的終端隔離區(qū)。
[0012]所述主機運維管理模塊進行資源監(jiān)控過程為:在集中管理平臺對終端的CPU�、內(nèi)存、硬盤的資源占用率和剩余空間進行監(jiān)控����,設(shè)定危險等級報警閥門;
進行流量異常監(jiān)控的過程為:在集中管理平臺對終端的網(wǎng)絡(luò)流入���、流出和總流量進行監(jiān)控和管理��,并能夠?qū)Ξa(chǎn)生總流量過大��、分時段瞬時流量過大的進程進行統(tǒng)計����,輔助分析產(chǎn)生流量過大的原因����,超過一定限度并持續(xù)一定時間后進行報警上報�����、自動阻斷�����、客戶端提示管理,防止上報數(shù)據(jù)過多給網(wǎng)絡(luò)帶來負擔(dān)��。
[0013]所述安全監(jiān)控審計模塊進行上網(wǎng)審計的過程為:進行上網(wǎng)訪問行為審計和控制��、系統(tǒng)以黑白名單的方式對用戶的網(wǎng)頁訪問行為進行控制���;對用戶上網(wǎng)訪問的網(wǎng)頁進行審計和記錄����;
系統(tǒng)日志審計過程為:不同權(quán)限管理員在集中管理平臺對終端用戶的日志進行審計�����;這里的日志包括操作日志��、威脅日志�����、系統(tǒng)日志;
文件保護及審計過程為:提供對終端的系統(tǒng)��、軟件和共享目錄中的文件的保護功能���,設(shè)定訪問�����、刪除�、修改權(quán)限�;支持對設(shè)定目錄文件的操作審計,包括文件創(chuàng)建���、打印�����、讀寫�、復(fù)制�����、改名、刪除���、移動的記錄����,同時將信息上報管理信息庫供查詢��。
[0014]所述第三方接口包括PKI/CA認證聯(lián)動接口���、防火墻聯(lián)動接口、網(wǎng)管