【赛迪网-IT技术报道】

1.项目背景

随着银行系统信息化程度的提高,信息安全问题越来越成为一个突出的问题。目前银行系统已经拥有了防火墙、防病毒、补丁分发、入侵检测、非法外联监测、漏洞扫描等安全产品保障银行系统内联网信息安全。为了进一步加强安全管理，落实银办发[2008]89号文件关于“完善网络客户端安全系统，研究解决移动存储介质在内联网与互联网间交叉混用”的有关精神，要求银行系统配备内联网桌面安全管理系统，作为内联网的安全保障。

2.方案概述

银行需要完整的计算机终端管理解决方案来解决运行维护中棘手的计算机终端管理问题，同时该解决方案应考虑与未来不断完善的安全管理体系的紧密集成，提高安全管理的规范化和自动化。

计算机终端管理是一个复杂的管理范畴，它不仅包含我们常见的日常运行维护管理（如电话支持平台和现场服务支持）而且包含了安全管理、资产管理以及运维管理等诸多管理内容的综合性管理，涵盖了所有桌面设备的整个生命周期的管理。圣博润公司在桌面管理方面有着丰富的经验，不但为诸多国内政府部门和大型企业提供整体的桌面管理建设方案，而且有着丰富的实际操作管理经验。

3.需求分析

3.1.移动存储介质管理

能够对所有的移动存储介质进行编号注册（编号规则可以由系统管理员定义后由系统自行生成），能够在移动存储介质中登记使用人、用途的信息（如使用人单位、所在部门、所在办公室、姓名、联系电话；用途如互联网、内联网、涉密等信息）；在进行注册时可以对移动存储介质进行初始化操作，包括指定移动存储介质的分区、使用特定格式、加密方式、密级以及解密口令等移动存储介质的特性。

能够控制移动存储介质在计算机上的使用。可以分发安全策略指定某个（或某组）移动存储介质只能在某台（或某组）计算机上使用及使用方式。

能够对移动存储介质进行可读、可写操作的控制。

能够对移动存储介质在内联网上的使用日志进行查询，日志只能由系统管理员或授权人员删除。

3.2.网间数据交换

可以设置策略，内联网上的移动存储介质不能在其他网络上使用，其他网络的移动存储介质不能在内联网上使用。

可以指定某个或某些存储介质可以在指定的计算机上进行网络间的数据交换。

进行网络间数据交换时，从内联网向其他网络拷贝数据时，可以指定专用移动存储介质在内联网可读可写，在其他网络只读；当从其他网络拷贝数据到内联网时，可以指定专用移动存储介质在其他网络可读可写，在内联网上只读。

内联网的数据拷贝到移动存储介质上支持加密处理，支持以密码形式进行读取。

3.3.内联网终端安全管理

内网管理系桌面操作系统策略管理,包括：

A、可以指定客户端、客户端组的安全策略。

B、不允许终端系统用户空口令、可设置密码的复杂程度、更新周期,屏幕保护及口令等。

客户机硬件控制，包括：

A、能够对客户端使用策略定义光驱、软驱、硬盘、USB口、打印口、串口等的可用状态。

B、能够对客户端使用策略控制无线、蓝牙、红外、拨号等其他形式上网。

非法接入管理，包括：

A、对没有安装桌面安全管理系统客户机程序的客户机在桌面安全管理系统服务器上告警，以红色显示；可以按照标准格式生成syslog事件并发向监控服务器。

B、支持对没有安装桌面安全管理系统客户机程序的客户机实行阻断。

C、支持对没有安装桌面安全管理系统代理的客户机实行按MAC、主机名、IP地址等信息放行。

D、非法接入阻断支持多种形式的阻断(能支持对交换机端口操作的阻断)。

客户端进程管理，包括：

A、支持对客户端进程的白名单、黑名单管理。

B、能够自动汇总客户端上运行的进程，对所有进程进行白名单、黑名单的指派。

C、能够限制在客户机上安装黑名单列表中的进程。

客户端资产管理

A、能够统计安装了桌面安全代理软件的客户端的硬件、软件信息，硬件资产包括但不限于内存大小、CPU主频、硬盘、光驱、键盘、鼠标、主板等信息；软件资产包括但不限于操作系统类型、操作系统版本、操作系统序列号、IE浏览器及版本等信息。

B、能够补充不在线设备的信息。

C、能够对设备进行统计，输出到电子表格和HTML、PDF等文件。

地址管理

A、能够自动对设备的IP地址、MAC地址、使用人姓名、主机名称等信息进行统计。

B、能够对客户端所在网段的IP地址进行管理（只要网段中安装了一台客户机，即能自动扫描IP地址的使用情况并与历史信息核对后进行保存，能够对IP地址按使用与否、使用部门、MAC地址、在线情况等信息进行多字段组合排序）。

C、能够输出地址管理相关的信息到电子表格、HTML、PDF等文件。

D、支持手动增加IP地址的管理功能（对不在管辖范围内的IP地址，如金融网IP地址，可以输入IP地址段，生成IP地址表的详细信息，并记录每个IP地址的使用人、用途、备注等信息，记录字段可以由系统使用者自行添加）。

E、提供IP/MAC地址绑定功能,除控制台授权外,不允许非法修改。

3.4.与综合信息管理平台的联动

A、桌面安全管理系统的告警信息集成。非法接入告警，客户违反安全策略、客户端违规使用移动存储介质的信息，直接以标准syslog信息发送给信息资产监控管理平台的事件集中管理平台进行处理。

B、桌面管理系统的资产管理与信息资产监控管理平台的设备管理系统实现同步，同步数据以桌面管理系统的数据为准，可以实现自动同步和手工同步。

C、桌面安全管理系统对交换机的管理操作直接使用信息资产监控管理平台在交换机上的设置。客户机直接与业务系统视图中的业务客户机对应。

D、能够监控客户端的补丁分发情况， 在补丁不是{zx1}时向信息资产监控管理平台报送事件。

E、能够监控客户端symantec的升级情况， 在病毒库不是{zx1}时向信息资产监控管理平台报送事件。

4.技术方案

4.1体系架构建设

针对银行实际情况，圣博润为用户部署了LanSecS内网安全管理系统2010版。系统采用分级部署，二级管理的体系架构，即“银行总部－地市分行”，在银行总部部署中心管理服务器，负责管理银行整个桌面终端系统，是所有的管理架构中心、数据汇聚中心以及整体策略安全权限制定中心及策略分派中心。在中心服务器上为各地市分行管理创建管理帐号，分配各自管理范围及权限，所有的下级管理员登录到中心服务器，对所辖终端进行管理。

4.2全局接入控制部署

为了全面解决银行内联网中存在的非授权主机接入网络问题，圣博润终端管理系统启用LanSecS NAC接入控制功能，在终端计算机接入内联网前，进行身份鉴别，如果是非授权主机，则拒绝其接入内联网。

4.3客户端安全策略配置

圣博润公司拥有多年内网安全服务经验，通过LanSecS内网安全管理系统2010版的部署，为客户设置了如下管理策略：

(1)移动存储介质管理策略，包含：使用范围，使用人，用途，模式，访问口令等。

(2)终端账户审计策略，包含：禁止账户空口令，预设口令强度，强制修改密码周期，强制启用带密码保护的终端屏保等。

(3)设备管理策略，包含：各类外设的停/启控制，设备操作权限等。

(4)未授权终端设备的准入控制：全院内网范围内进行未授权终端设备的发现、报警及阻断。

(5)防病毒软件监控策略：实时监控Symantec反病毒软件是否安装，是否及时更新病毒库。

(6)软/硬件资产审计策略：自动收集客户端软/硬件资产信息，自动监测硬件变化情况。

(7)禁止共享文件夹策略：策略中可选择定义禁止共享，禁止可写共享，强制只读共享。

(8)进程黑/白名单策略：协助银行科技处管理人员定制进程黑白名单，在黑名单中禁止运行包括QQ，BT，影视播放软件等与日常工作无关的进程。

5.产品部署效果

北京圣博润公司结合全国客户的使用经验，为银行量身定制了以日常运维及安全服务为基础的技术解决方案，日常运维方面包括：终端资产管理、终端行为管理，终端远程维护，软件分发，日志统计报表等。安全服务包括：移动存储介质管理、反病毒软件监控、补丁分发、终端接入控制、主机防火墙。圣博润公司将以上两方面为银行用户解决日常终端管理及维护中遇到的实际问题。

5.1.终端安全服务

用户应用场景：

随着USB存储设备技术的成熟，U盘的使用越来越多，使终端用户之间的数据交换非常方便，但同时也带来一定的问题，如：文件泄密、病毒交叉感染等。

解决方案：

对网内的移动存储设备正常使用必须经过服务器的加密授权。授权包括该设备可以应用的部门、次数、时间等。并且经过加密授权的移动存储设备只能在内网中进行使用。从而保护了单位的敏感信息，以及内网不会受到病毒的交叉感染。

用户应用场景：

银行用户已经统一采购防病毒软件，但终端用户可能由于某种原因将防病毒软件停用或卸载，造成单点计算机易被病毒感染，从而对全网用户造成威胁。

解决方案：

对终端防病毒软件的是否安装、是否正常运行、病毒库更新周期是否符合要求进行全方位的监测。对于违规主机，会根据设置的响应方式进行预警、断网或关机的处理。

用户应用场景：

对于关键的windows系统安全，只能依靠微软的自动更新和用户报修维护时人为升级补丁,如果终端用户安装的不全或不及时，很可能不仅影响自身系统的安全性，而且对其它内网计算机造成威胁。

解决方案：

对客户端操作系统的补丁进行管理，自动发现已安装补丁和未安装补丁，并可以手动或自动的对系统补丁进行安装。 另外LanSecS系统支持对于补丁的测试功能，以防止由于补丁与软件相互冲突所引发的不安定因素。

用户应用场景：

某些外来或外部门人员私自将自带的笔记本电脑接入用户内网，造成未授权访问，引起病毒传播或内网文件泄密。

解决方案：

自动发现网内是否有非法主机的接入，产生相应的预警信息，禁止其对网内资源的访问。并且LanSecS系统提供{zxj}的802.1X技术，通过和交换机的802.1X协议进行交互，验证每台联入交换机的终端的身份信息。从而保证xx隔离非法主机对内网资源的威胁。

5.2.日常运维方面

用户应用场景：

银行用户环境中计算机数量比较多，信息中心不能及时掌握终端计算机的硬件配置信息和软件信息，更无法发现软硬件变更情况。

解决方案：

自动登记受控终端的硬件配置（包括CPU、内存、硬盘、显示卡、网卡等等）和软件信息（包括补丁信息、开机启动程序、系统程序组、已安装软件等等），当受控终端的软硬件信息发生变动时能自动向安全管理核心系统发出报警信息。

用户应用场景：

银行用户环境中的终端、网络设备较多，虽然有专业的网管软件，但仍无法直观了解各交换设置与终端的连接联系。

解决方案：

直接读取交换机MIB信息库，配合先进算法，为用户绘制直观、准确的物理拓扑图，并提供设备连接路径，使终端设备与交换机的连接关系一目了然，并且可在我们的网管控制台上直接对交换机端口采取启用、禁用操作，减少用户使用环节。

用户应用场景：

.银行用户某些终端用户自行安装聊天、影视、下载等应用软件，不仅影响工作效率，而且像BT等多线程下载工具还会造成核心交换及路由阻塞，严重影响全体用户正常工作。

解决方案：

通过应用软件查询手段，作到对违规安装的软件进行检查，采取进程的黑白红三种名单方式，自动阻止违规软件的运行。

用户应用场景：

多个客户端用户都有安装同一个应用软件的需求，如果都采用上门服务安装的方法，信息中心工作人员工作量太大，重复劳动过多。

解决方案：

通过远程软件安装或软件推送等形式，实现管理员在线维护。支持多种软件格式如EXE、MSI、MSP、BAT以及文档程序。并可以对软件的运行目录和运行参数进行自定义设置。

用户应用场景：

随着信息化建设不断开展，银行用户环境中各种信息化应用不断增多，如：办公OA，电算化系统，身份认证及其它业务系统。这么多应用系统会使终端工作人员（特别是非计算机专业人员）使用起来非常吃力，但由于工作需要，又必须要学会使用，这样，信息中心的工作人员每天都需要跑到最终用户的计算机面前，去解决或指导终端用户解决遇到的问题，经常造成信息中心无人可调，耽误工作的情况。

解决方案：

在经过终端用户许可后，实现管理员在线维护，提高信息中心人员工作效率，并减轻了工作量。在不接管桌面的情况下就可以对终端进行如进程、服务、连接状态、端口、安装程序等信息的实时查看和操作。

---