当前位置： 首页 > 专题专栏 > 电子政务 > 技术方案

内网安全管理系统

2008年01月10日　　来源：北大电子政务研究院

    1、背景分析

    1）、网络安全核心已经从"外网"转向"内网"。如今的安全部署有个误区，一提到网络安全问题，人们总是习惯于倾向局域网外部入侵的防御，强化出口处安全设备如防火墙的部署和优化等，却往往忽视了来自内部网络的安全威胁。从目前的情况看，网络威胁绝大部分是来自内网，据美国CSI/FBI计算机安全调查的数据，虽然来自内部的攻击占总攻击次数的22％，但是破坏力却是外网攻击的10倍以上。

    2）、当前安全建设所面临的挑战。今天的安全产品和技术，既成熟又不成熟，成熟的是相对独立的几个方面，比如防病毒和防火墙，不成熟表现在缺乏整体安全解决方案，尽管部署了防火墙、防病毒和IDS等安全产品，但面临严重的网络攻击时依然损失惨重。因为每一种安全产品和技术看到的只是局部安全问题，缺乏安全管理和集中调度，就像盲人摸象，只是看到了问题的一角，而没有看到问题的全部。

    综上所述，目前传统的安全解决方案不能满足"全网安全"形势下的网络安全需求，安全技术必须随着网络的发展，不断完善和发展。从单机孤立、分散安全向集成化、立体化安全机制发展是安全技术发展的必然趋势。

    2、内网安全管理系统概述

   内网安全管理系统新一代软硬结合内网安全管理系统，通过ASIC芯片技术、SDS自防御系统、接入控制、流量整形、文档加密系统（DEMS）等多种领先技术解决了当今网络的"体系安全"问题。帮助用户应对来自网络的风险和挑战。

    功能体现：

    SDS网络管理平台，统一网络安全管理，防止网络中的威胁扩散。

    基于用户端区分内外网、上下行的细粒度流量控制；

    审计和控制上网行为，实时追踪记录；

    审计和控制外发数据内容，防止资料外泄；

    异常数据自动监测，异常终端自动隔离处理；

    减少用户因互联网活动所带来的法律责任风险；

    优化使用IT资源，包括带宽和计算机资源；

    实施因特网访问和应用程序使用策略；

    合理配置策略，禁止网络滥用，提高工作效率。

    3、系统组成

    安全网关：内网安全管理的核心，中央处理芯片内嵌了核心处理程序，避免了纯软件产品对内网安全监控数据遗漏、降低网络性能的缺点，确保内网安全管理的全面、可靠以及高性能的运转。通过专用的ASIC硬件处理芯片对全部数据包进行分析和执行匹配的安全策略，并在分析、处理后存储到日志记录服务器。

    控制台：提供可视化图形控制界面，是管理员配置管理策略和实施监控的窗口，可实现分级管理。提供对屏幕日志、访问日志、系统日志等查询，生成统计报表，提供安全策略配置管理环境，并对每个登陆控制台的管理员操作行为进行记录。

    日志记录服务器：提供监控日志和管理策略的存储。存储用户信息资料，记录终端的软硬件资产、带宽使用日志、屏幕日志、访问日志、系统日志和管理员操作日志等数据。负责安全策略的存储，并与安全网关配合进行策略控制。

    安全客户端：提供内网接入和安全控制，在设备接入内网的时候对其合法性及安全状态进行检查，仅允许满足安全要求的合法设备接入内网；安全客户端还实时采集计算机软硬件信息，发生变化及时报警。执行安全进程管理、窗体管理、软件下发以及系统监控等策略。

    4、系统功能

    4.1  SDS（Self-Detection-System）自防御系统

    自保护网络系统采用集成化网络安全防卫思想，遵循P4DR安全模型，应用集成防卫的理论与技术，采用分布式的体系结构，通过安全策略的设计及集中的安全控制管理平台，提供一套功能强大的安全管理控制系统；在降低网络安全管理成本的同时，能有效的保护网络和主机系统的安全，防止内部威胁计算机影响整个内部网络。

    SDS自防御系统实现了如下几大功能：

    1）强大的智能平台

    SDS安全解决方案能为网络提供高智能、高可用性、高安全性的安全平台，由他融合、指挥、调度以及保护现有网络，使网络自身具备免疫能力，自动智能化的控制中心，将现有网络中多种的防护措施有机的融合在网络中，采用"侦测-隔离-治愈-恢复"智能处理安全机制，能够有效的防御网络威胁，保证网络24小时运行；使网络和安全完美的结合形成立体的安全网络。

    2）基于用户节点的带宽控制

    从用户接入点进行控制网络带宽，真正做到根据每个单独用户的上、下行带宽进行限制。网络管理员能非常方便地对所配置的带宽限值进行更改，同时可设置多级告警机制，当用户带宽占用超过预先设置得阈值时，系统对用户进行自动提示，用户桌面上将显示警告信息或让客户端强制下线，或干脆将用户限制在指定阀值带宽内上网。

    3）实时监控网络的异常情况

    能实时监测主机流量，实时监控用户带宽，图形化显示当前每个在线用户的上传、下载带宽使用情况，给管理员合理分配、控制用户带宽提供第一手的信息。

    4）可限制用户使用有意或无意的不良程序

    提醒或强制用户安装必要的杀毒软件。有意或无意的不良程序会对网络资源造成意想不到的严重后果，集中控制能最有效的强制此种行为。同时可检测用户是否安装某些指定的杀毒软件，若没有安装，管理员可根据情况设置系统去提示用户或强制用户进行安装。

    5）自动软件分发功能

    系统可自动分发指定的软件，如杀毒软件，Windows补丁，或其他应用程序。系统提供客户端自动升级。

    6）实时的在线通知功能

    本系统克服了传统网络系统缺乏用户通知功能，本系统提供给网络管理员实时发布通知的手段，只要用户上线，可马上收到管理员所发布的通知。还有对存在危险的计算机进行时实的威胁提示，帮助用户解决问题。

    4.2  网络行为审计功能

    4.2.1主机行为审计功能

    实时监视用户进程

    实时记录并管理用户主机的进程

    应用程序使用审计

    记录用户使用应用程序的开始时间、结束时间、应用程序名称、机器名称、使用者。该功能也可以作为网络聊天（MSN、QQ、ICQ、YAHOO MESSENGER、网易泡泡）审计；

    4.2.2流量及带宽的监测管理功能

    实时显示各个监控对象的网卡实时流量。并可以基于每个客户终端做流量控制。

    4.2.3网络行为管理功能

    可以通过指定各种策略限制用户对某些网站的访问。

    4.2.4主机行为管理功能

    可以通过指定各种策略限制用户使用某些应用程序。

    4.2.5日志查询功能

    可以按多种条件对各种日志做查询，比如用户系统日志，网络日志和邮件日志。

    4.2.6用户权限及角色管理功能