无线网络及安全系统设计书(编辑修改稿)

无线网络及安全系统设计书(编辑修改稿)内容摘要：

查注册表发现是否有已知的间谍软件；是否安装了最新补丁包；是否安装了规 定的防病毒软件并及时更新了病毒特征库。  检测每个客户端的网络访问流量，确定是否有发送大量广播包、流量异常大、网络连接异常多的情况，对于这些异常情况及时向管理员报告，在大规模攻击出现之前找到根源。 3） 安全审计，对内部的桌面电脑的操作和网络访问行为进行审计。  审计客户端访问 Interent 网、 Email、文件拷贝、 FTP 等，防止企业机密信息泄漏。  审计 连接在内部网络的计算机是否同时打开一些组织不允许的方式，如 Modem 拨号、 USB 硬盘、同时跨内外网等。  审计内部的计算机是否运行非法软件，是否未经许可更改计算机上的 软件、硬件配置等。 最后，如果通过评估和审计发现问题，系统管理员可以通过集中式操作控制平台，对电脑终端进行集中式的管理和设置。 通过集中式控制平台，也可以对电脑终端进行各种批量的查询和统计。 例如： 1） 策略分发。 集中、批量、分组对桌面电脑进行安全设置、安全状态查询。 2） 软件分发 和补丁管理。 集中软件分发 和补丁管理 减轻管理员的日常维护工作量，提高效率。 如为某个部门的所有机器安装防病毒软件。 3） 远程控制。 远程控制可以让维护人员不用离开办公位置就能够维护远程计算机。 4） 设备定位。 对于不安全的接入网络的设备，管理员能够快速定位设 备是连接在哪个网络交换机的哪个端口，是在什么物理位置、谁的设备，这样可以做出相应措施来控制攻击的扩散，如直接从网络断开这台设备。 5） 资产管理。 管理员可以一目了然地知道连接到网络上的设备都是什么样的软硬件配置、有多少设备。 此外， LeagView UniAccess 安全接入管理系统可以对电脑终端分组进行管理，例如，将财务部门的电脑和其它部门的电脑区别对待，将总经理办公室的电脑和其它部门的电脑区别对待。 即：按组设置安全管理策略。 对于不同级别的安全事件，采取不同的处理流程，确保重要的安全事件能够得到快速、有效的处 理。 三、 UniAccess 的终端安全管理系统主要功能简介 具体来说， LeagView UniAccess 网络安全管理系统 采 用集中式管理方式，提供了以下几个方面的管理功能： 1) 网络准入控制，防止非法电脑接入 支持基于 的网络准入控制 以及 Cisco NAC 网络准入控制技术，防止非法的或者不安全的终端接入内部网络系统（非法终端或不安全终端接入一方面会产生信息安全行为，另一方面会破坏网络的正常稳定运行）； LeagView UniAccess 安全接入管理系统的准入控制解决方案，通过与网络设备的紧密集成（网 络交换机、路由器），在不改变网络结构（例如：路由调整）、不降低网络性能和可靠性的情况下，可以支持对总部局域网接入、远程分支机构接入、 VPN 接入、无线 AP 接入方式的准入控制。 由于和网络设备紧密集成， LeagView UniAccess 安全接入管理系统的准入控制解决方案的另外一个特点是，电脑终端一接入网络，立刻接受管理和控制，在通过准入控制认证之前，不能访问其它的网络资源或者破坏网络的性能和稳定性。 2) 防止文件非法外传及员工终端操作行为管理 防止保存于电脑终端上信息机密文件被员工非法外传出去，包括：禁止 /审计通 过软盘、 U 盘、网络共享等方式 COPY 出去。 对员工的各种不规范行为进行矫正，例如：使用非法软件、访问非法网站、改变电脑终端的硬件配置等。 3) 桌面终端的系统安全管理 对桌面终端的安全状态进行主动评估，及时发现终端的安全漏洞和不安全的设置；对终端进行安全加固，自动为桌面终端安装补丁和进行安全设置；例如：检查桌面终端上是否有设置屏幕保护、口令、加入 Windows 域，检查是否有木马的注册表项目，防病毒软件及病毒特征库检查，以及对桌面终端设置 Windows本地安全策略，打补丁等。 4) 设备自动发现与资产管理 自动发现网络上 的所有接入设备 ，实现对桌面终端资产的自动管理。 包括：软硬件资产统计，资产变更自动发现，资产的维护等。 5) 桌面终端的批量管理，提高管理效率 批量对桌面终端进行管理和维护，例如：集中式自动安装软件、远程监控和远程协助、快速设备定位，批量设置终端的安全选项等，可以提高终端的日常管理和维护效率。 此外， LeagView UniAccess 支持信息资产安全分级管理，各种安全管理 策略可以按照：部门、 IP 网段、 IP 范围、设备组、操作系统类型、操作系统语言等条件定义安全管理策略的应用范围。 综合运行监控系统架构 作为通用系统管理平台， UniMon 实现了网络、防火墙、 IDS、主机、数据库、应用系统等的运行状况监控。 UniMon 的统一运行监控体系如下图所示。 I B M 大 机数 据 库 管 理系 统防 火 墙路 由 器I D S交 换 机应 用 服 务 器W e b 服 务 器其 它 应 用 程 序W i n d o w s 主机U n i x 主 机多 种 告 警系 统 配 置系 统 拓 扑 性 能 分 析故 障 诊 断1 2 34 5 67 8 9* 8 项 目 产 品基 于 W e b 的 操作 管 理 台综 合 监 控 中 心监 控 各 种 网 络 设 备 、 主机 、 数 据 库 、 应 用 系 统 图 1 UniMon 统一运行监控体系 UniMon 采用集中式管理方式，提供了以下 多 个方面的 运行监控 功能：  网络系统监控  支持主流网络设备监控，包括思科、华为、 3Com、北电 ；  支持二层网络拓扑自动发现；  监控网络设备 CPU、内存；  监控网络线路的连 通性、响应时间、流量、带宽利用率、广播包、错包率、丢包率等。  通过真实设备面板图查看网络设备的运行状态及端口情况。  主机系统监控  支持主流操作系统的主机监控，包括 Windows 服务器、 Linux 服务器、 AIX、 Solaris、 HPUX、 Sco Unix 等 ；  监控主机设备的 CPU、内存、磁盘、网络接口状态和流量、对外提供的服务状态和响应时间、进程的 CPU 和内存。  数据库系统监控  支持主流数据库系统的监控，包括 SQL Server、 DB Oracle、 Sybase；  监控数据库系统的服务状态，数据库服务主要 进程的状态、 CPU 利用率和内存大小，数据库表空间利用率、日志空间利用率、并发连接数，指定 SQL 语句的执行效率。  应用系统监控  支持主流应用系统的监控，包括 WebSphere、 Weblogic、 IIS、 Web 服务器、邮件服务器；  监控这些应用系统的主要进程 CPU、内存，应用系统的响应时间。  可自定义的监控画面  管理员可以根据实际系统和管理理念，自己定义和组织监控画面，包括监控画面之间的层次结构、监控画面内容、监控画面的访问权限。  统一日志监控  集中采集所有网络设备、主机设备的系统日 志，并将管理员需要关心的日志 信息通过告警事件方式及时通知管理员；  通过接收 SNMP Trap 实现对网络设备、主机及各种 IT 系统资源的实时监控；  丰富的无代理监控手段  通过 SNMP 对网络设备、安全设备及主机服务器实现监控；  通过 Tel/SSH 实现对 Linux、 Unix 系统的无代理监控；  通过 JDBC 实现对 Oracle、 SQL Server、 DB Sybase 等数据库监控；  通过 JMX 实现对 J2EE 等业务系统的无代理监控；  通过 HTTP、 POP3/SMTP、 MQ、 WMI、 Radius、 LDAP 等监控方式实现对相应的 IT 系统的无代理 监控  内置上千 种监控参数模板  为了方便管理员设置要监控的参数， UniMon 缺省带了上千 种监控参数的 配置模板，管理员只要选择要监控哪个设备的哪个参数。  智能化的故障处理  可以为每类故障事件定义处理流程， UniMon 根据这些流程自动处理故障，包括何时以什么方式将故障通知给哪些相关人员。  故障报警方式，支持邮件、自动电话拨号、手机短信、 TTS 语音报警方式，能将不同级别的告警通过邮件、电话、短信、 TTS 语音报警通知相关用户； 三门核电终端准入控制解决方案 一、 终端网络准入控制总体思路 UniAccess 网络准入控制的流程 部署准入控制系统后，改变了电脑终端接入网络的行为模式。 一般来说，电脑终端接入网络需要：  注册登记，内部终端要访问网络资源之前，需要在网络上注册登记（用户账户登记、终端 ID 注册等），取得接入网络的权限。  接入检查，终端在接入网络时，准入控制系统会检查其用户账户、安全设置状态、终端硬件合法性等。  安全隔离，如果在接入检查时，发现终端不符合安全规定，需要对终端进行隔离或拒绝其访问网络资源，例如：发现是外来终端则拒绝接入或进入“访客区”网段，或者是内部不符合安全规定的终端，则让其进入“ 修复区”。  安全通知，对被隔离的终端进行通知，告知其被隔离的原因。  安全修复，自动引导被隔离的终端，让其修复安全设置或者进行注册登记，使得其可以正常访问网络资源。 一个完整的网络准入控制系统，应该包括以上五个方面的内容，缺少其中一个或者两个方面的内容，就不是完善的解决方案，会给准入控制系统的部署和推广带来问题。 联软科技的 LeagView UniAccess 网络准入控制解决方案是一个完整的准入控制方案，可以提供以上五个方面的所有内容。 2. UniAccess 网络准入控制技术原理 联软科技网络准入控制的宗旨是 ：为防止非法用户、病毒、蠕虫、新兴黑客技术等对企业安全造成危害，采用 NAC，只允许合法的、安全的、值得信任的设备（如 PC、服务器、 PDA）。