北信源内网安全解决方案

北信源内网安全解决方案内容摘要：

il： MSN： Phone： 02035839471 Mobile： 15876574377 ： 1356694220 16866027 第 11 页 共 44 页 、 方式 1）、 认证 在支持 功能的交换机上开启认证功能，已经安装了北信源软件的终端可以自动同认证服务器做认证，未安装的终端会被交换机自动隔离到指定区域。 认证过程： 更多技术方案、产品资讯或渠道共赢请联络： 深圳市纳思科技有限公司广州分公司 曾常飞 广州市天河区石牌东路商贸大厦 910B Mail： MSN： Phone： 02035839471 Mobile： 15876574377 ： 1356694220 16866027 第 12 页 共 44 页 内 部 网 络接 入 网 络 合 法 用 户 合 格 者身 份 认 证安 全 检 查修 复 区非 法 用 户拒 绝 入 网不 合 格 者进 入 修 复 区 域 步骤：（ 1）、用户接入进来，首先进行身份认证 ，即检查是否安装 Agent，是否网内用户。 身份认证失败则定义为非法用户拒绝入网或到访客区。 如果身份认证通过，则接收策略，进行安全检查。 （ 2）、安全检查未通过，则定义为不合格用户，进入修复区进行安全修复。 （ 3）、安全修复完成进行安全检查，安检通过，则定义为合格用户，可访问工作区。 2）、终端安全检查策略 终端安全检查策略可 对接入内网的终端的自身安全性做检查，主要包 括 以下几个 方面内容： （ 1）、 杀毒软件检查 ）、 是否安装杀毒软件，未安装则自动安排指定的杀毒软件。 ）、 杀毒软件是否最新版本，不是最 新版本则自动运行指定的升级包。 （ 2）、 系统补丁检查 是否指定的系统补丁，未安装则自动安装。 （ 3）、 访问资源限制 在终端未完成以上检查项目前，只能访问指定的网络资源，如：防病毒服务器。 更多技术方案、产品资讯或渠道共赢请联络： 深圳市纳思科技有限公司广州分公司 曾常飞 广州市天河区石牌东路商贸大厦 910B Mail： MSN： Phone： 02035839471 Mobile： 15876574377 ： 1356694220 16866027 第 13 页 共 44 页 、接入控制网关 （硬件） 在 VPN 环境中，通过接入控制网关可以实现对接入设备的身分识别，防止未经授权的非法设备接入。 详细说明附 《 方案二 》 、内网安全管理系统 终端安全管理以内网终端为核心，通过安全策略应用，加强终端自身的安全性，防止因终端配置或使用者疏忽造成终端安全故障，进一步影响整个网络的安全性。 内 网安全管理包括以下功能策略： 、终端注册管理 可 以 通过图表直观地查看到设备总数、应注册计算机数、已注册计算机数，在线设备数、安装杀毒软件数 ，也可通过数据表查看到用户实名登记情况，单位、部门、使用人、 IP 地址、 MAC 地址一一对应。 有利网管员进行管理、统计等作用。 更多技术方案、产品资讯或渠道共赢请联络： 深圳市纳思科技有限公司广州分公司 曾常飞 广州市天河区石牌东路商贸大厦 910B Mail： MSN： Phone： 02035839471 Mobile： 15876574377 ： 1356694220 16866027 第 14 页 共 44 页 、 IP/MAC绑定策略 通过 IP/MAC 绑定策略，可以防止用户乱改 IP 地址导致 IP 冲突的故障，影响业务系统的正常运行。 终端管理系统在发现用户更改 IP 地址的行为后，可以通过自动恢复、报警提示、断开网络等方式进行处理。 主机 IP 保护功能： 可以强制被保护主机始终拥有该 IP 的使用权。 同时还具有主机防 ARP 欺骗等功能。 禁止修改网关功能 ：可以强制终端仅使用此网关 IP，防止用户通过其他网关进行互联网访问，以导致违规外联行为。 禁止冗余网卡功能： 防止用户通过冗余网卡进行互联网访问，以导致违规外联行为。 更多技术方案、产品资讯或渠道共赢请联络： 深圳市纳思科技有限公司广州分公司 曾常飞 广州市天河区石牌东路商贸大厦 910B Mail： MSN： Phone： 02035839471 Mobile： 15876574377 ： 1356694220 16866027 第 15 页 共 44 页 、 IT 资产管理 1）、硬件资产管理 系统在终端安装完客户端后，客户端会自动收集终端所有硬件信息。 有利于管理员对网内所以硬件资产进行良好管理。 2）、软件资产管理 系统在终端安装完客户端后，管理员 可对需要了解软件信息的终端 发布收集软件信息 策略 ， 客户端收到策略后会自动将软件信息上报。 有利于管理员 了解终端运行软件情况。 更多技术方案、产品资讯或渠道共赢请联络： 深圳市纳思科技有限公司广州分公司 曾常飞 广州市天河区石牌东路商贸大厦 910B Mail： MSN： Phone： 02035839471 Mobile： 15876574377 ： 1356694220 16866027 第 16 页 共 44 页 3）、硬件设备信息变更管理 系统会自动发现各个终端硬件变化情况，防止硬件发生变更事故后得不到取证，有利于管理员统计 硬件 变更情况。 、终端流量管理 可通过设定的流量阀、并发连接数、发包可疑数对终端进行安全威胁的判断。 提前预 警病毒的传播，有利协助网管员工作。 更多技术方案、产品资讯或渠道共赢请联络： 深圳市纳思科技有限公司广州分公司 曾常飞 广州市天河区石牌东路商贸大厦 910B Mail： MSN： Phone： 02035839471 Mobile： 15876574377 ： 1356694220 16866027 第 17 页 共 44 页 、进程限制策略 监控网络客户端软件的违规使用情况，控制禁止启用的程序，如 聊天、 MSN聊天、炒股票等，搜索病毒、木马等可疑程序，可直接关闭终端的违规进程。 并可对违规的终端进行报警提示、终端提示、阻断联网等措施。 网络进程管理功能： 1）、统一汇总和监视全网主机的进程运行情况，并生成报表。 2）、对进程进行黑白名单控制，即根据策略设定禁止运行的软件和必须运行的软件。 3）、自动停止或启动被黑白名单监控的进程。 4）、根据进程出现的时间进行排序，显示网络中最新出现的进程，以便发现新的可疑的进程。 5）、此系统可对网络中出现的 异常进程（很可能病毒进程）进行定位和报警。 6）、对违规的客户端进行客户端提示和断网处理等相应措施。 更多技术方案、产品资讯或渠道共赢请联络： 深圳市纳思科技有限公司广州分公司 曾常飞 广州市天河区石牌东路商贸大厦 910B Mail： MSN： Phone： 02035839471 Mobile： 15876574377 ： 1356694220 16866027 第 18 页 共 44 页 、互联网访问控制 可以通过黑白名单（ RUL 管理），可以指定的终端只能访问哪些网站或不能访问哪些网站。 、防病毒策略 对于大型网络，网络客户端由于用户使用水平的差别，会出现用户卸载甚至退出统一安装的防病毒软件的情况，也会出现有个别用户被遗漏，未安装防病毒软件的情况。 同样也会出现个别客户胡乱安装非可靠软件，甚至黑客扫描软件的情况。 这些均只有依靠技术手段才可以解决。 可统一监控网络内的 防病毒软件（国内外主流厂商的防病毒产品）安装情况和使用状态，了解网络中的病毒软件安装状况，必要时可通过软件分发强制为客户端更多技术方案、产品资讯或渠道共赢请联络： 深圳市纳思科技有限公司广州分公司 曾常飞 广州市天河区石牌东路商贸大厦 910B Mail： MSN： Phone： 02035839471 Mobile： 15876574377 ： 1356694220 16866027 第 19 页 共 44 页 安装防病毒程序，如果需要，此系统也可监控终端软件的安装情况，并进行相应的管理（如安装软件，强行升级、禁止使用特定软件，删除软件等）。 、软件安装限制 可对终端软件安装情况进行黑白名单控制，可制定软件安装黑白名单，指定禁止安装和必须安装的软件，并可对违规的终端进行报警提示、终端提示、阻断联网等措施。 、多线程计算机远程维护平台 当客户端用户以及服务器用户在使用计 算机时遇到难以解决的问题，可以通过访问特定网页方式，主动向多个网管工作台（可自主选择的）进行并发协助请求呼叫，呼叫网管对其进行远程协助。 当管理员接收到客户端的请求以后，调用远程客户端的桌面，帮助客户端用户，解决相应的问题。 更多技术方案、产品资讯或渠道共赢请联络： 深圳市纳思科技有限公司广州分公司 曾常飞 广州市天河区石牌东路商贸大厦 910B Mail： MSN： Phone： 02035839471 Mobile： 15876574377 ： 1356694220 16866027 第 20 页 共 44 页 工作方式：客户端一般可主动呼叫要求远程协助；服务器端一般使用被动的方式，管理员可在控制端采用输入密码等方式，接管服务器端。 、防火墙策略 蠕虫病毒均是通过一定的端口进行传播和发包，如果网管可以统一控制网络中计算机的端口，关闭病毒使用的端口，就可以有效阻止这些病毒的传播和破 坏。 具备可由网管根据需要统一配置的客户端主机防火墙，可按照策略控制客户端的特定端口的连接，包括禁用（开启）指定的端口， 禁止 Ping 入 （出），设定 IP 区域访问控制，进行包过滤控制等，也可禁止使用代理服务器，系统不管如何设置包过滤规则，均不会造成维系管理服务器对客户机管理的通信无法进行。 当某些客户机临时离开内部网络安装到其它网络时，客户机端软件的包过滤功能和禁止使用代理服务器功能可根据管理员的预设策略自动关闭或继续工作。 、违规外联策略 XXXX 内网的终端系统是禁止同其它网络接入的，通过违规 外联策略可以自动检测终端是否有同其它网络连接，发现违规外联的行为及时断开其网络连接，保护更多技术方案、产品资讯或渠道共赢请联络： 深圳市纳思科技有限公司广州分公司 曾常飞 广州市天河区石牌东路商贸大厦 910B Mail： MSN： Phone： 02035839471 Mobile： 15876574377 ： 1356694220 16866027 第 21 页 共 44 页 内网的安全运行。 终端安全系统可以检测到终端的多种外联行为，包括无线网络（ GPRS、CDMA），蓝牙，红外等。 另外还可以检测到内网的终端是否离开网络单独接入其它网络的行为。 对于这些行为可能采取提示报警、阻断网络、提示进行安全检查等方式处理。 、终端密码策略 目前很多病毒已经可以“猜”出用户机的口令，如果计算机使用弱口令，病毒将会通过这些弱口令获得计算机的控制权，并进行传播。 这类病毒的传播行为靠杀毒软件或者 补丁加固均无法进行控制。 系统可以检查开机密码、屏幕保护密码以及其它应用的密码（如 SQL 数据库）是否为弱口令，以保障系统不因为弱口令被病毒和黑客攻击。 更多技术方案、产品资讯或渠道共赢请联络： 深圳市纳思科技有限公司广州分公司 曾常飞 广州市天河区石牌东路商贸大厦 910B Mail： MSN： Phone： 02035839471 Mobile： 15876574377 ： 1356694220 16866027 第 22 页 共 44 页 、终端资源监控 硬件运行资源管理功能：检测终端设备的ＣＰＵ、硬盘 (含每个硬盘分区 )、内存等的资源占用情况，可自主设定阈值 ,以确定终端系统资源占用是否达到上限，是否应该升级； 重要进程异常报警和自动恢复：对未响应进程和意外退出进程进行（如退出、退出并重起等）处理。 异常流量监控：基于主机方式对网络中客户端流量、分支网络带宽流量进行分析，防止非法 入侵、滥用网络资源。 当流量（含出、入或总流量）超过一定限度并持续一定时间后，进行有关信息上报，以便网管了解客户端流量异常，从而快速分析是否是网络安全事故。 更多技术方案、产品资讯或渠道共赢请联络： 深圳市纳思科技有限公司广州分公司 曾常飞 广州市天河区石牌东路商贸大厦 910B Mail： MSN： Phone： 02035839471 Mobile： 15876574377 ： 1356694220 16866027 第 23 页 共 44 页 、硬件设备禁用功能 1）、硬件设备禁用功能： 控制外设的使用， 如启用或禁用 软驱 、 光驱 、 U 口、打印机 、 Model、 串口 、 并口 、 1394 火线口、红外接口等。 其中 US。