内网安全解决方案

用以指导我们快速、合理、全面的建设内部安全系统，同时我们所规划和实现的内部安全策略本身又是可扩展的，随着时间的不断推移和内部安全需求的进一步变化，我们都是根据调整企业的内部安全策略来更好的指导我们建设内部安全系统。

我们认为，内部安全策略分为： （1） 主机资源审计与保护策略

主机资源审计策略是对主机资源进行收集、并现在统一管理的内部安全策略，它指导如何准确、便捷的收集企业内网内所有主机的相关信息，同时指导我们根据不同主机的资源现状制定不同的保护手段和管理制度。

（2） 在线信息保护策略

在线信息保护策略是指根据企业的实际情况，并结合相关的法规政策、企业制度，对企业内部暴露在网络上面的重要信息进行保护的内部安全策略，它指导企业如何定义重要信息、区分不同的信息的重要程度、并根据不同信息的重要程度制定不同的保护方案和访问控制规则，同时也保证了我们企业的内部网络资源得到最大化的合理应用。

（3） 离线信息保护策略

离线信息保护策略是指根据企业的实际情况，并结合相关的法规政策、企业制度，对企业内部可以通过可以离线方式（包括移动存储设备、打印设备等等）传递的重要信息进行保护的内部安全策略，它指导企业如在学会了定义重要信息以及信息的密级后，同时可以有效的将各种离线的信息传递设备（方式）进行统一的规划和控制。

3.2 内网安全系统的建设

一套统一的、安全的、可扩展的内部安全系统是我们构建整个安全目标的重要因素，内部安全系统是我们整个内部安全体系的基础框架，通过我们的内部安全系统，我们可以

● 具体完成我们的安全管理工作，使我们的管理电子化、自动化； ● 实现安全策略，把安全策略作为系统配置的形式下发到所有终端主机； ● 科学的划分安全域，我们的管理工作趋于统一化、合理化、高效化。

3.2.1 智能安全网管

智能安全网管模块提供强大的内网网络管理和维护功能，是系统管理员理

想的安全故障管理系统。主要功能包括：

? 自动发现网络内所有网络设备（包括三层和二层设备），通过系统提供的智能学习功能，自动识别网络的物理拓扑结构，生成网络物理连接拓扑图；

? 可以方便地查看可管理设备的配置信息，如System、Interface、IP Address、Routing、ARP、MAC Address、Flow等；

? 动态显示交换机端口状态、流量等信息，可以设置端口流量阀值，当端口流量超过阀值时自动报警，帮助系统管理员监视、分析网络性能；

? 提供未知（未登记）IP地址、MAC地址列表,自动发现有未知受控终端接入的交换机端口，方便系统管理员发现非法入侵者；

? 实现交换机端口的打开和阻断控制；

? 自动识别网络中所有设备的IP地址、MAC地址、设备名称等基本设备信息； ? 动态显示受控终端的当前状态，对各种不正常状态(如IP和MAC地址随意更改、关机、受控终端Ping不通、未知设备接入等)均提供声音报警和屏幕显示报警；

? 可以按设备类型（如服务器、主机、打印机、交换机、路由器、网关）、vlan、子网、部门等方法对设备进行分类管理，列表显示出设备的名称、所属部门、IP地址、MAC地址、发现时间等信息；

? 可以根据交换机端口连接的工位对计算机进行管理,方便网络管理员迅速定位出现故障的计算机连接的交换机端口；

? 可以方便地查看受控终端的配置信息、审计日志信息，对受控终端进行屏幕监控；

? 自动生成网络拓扑图（该网络的真实物理连接结构图），并能动态显示当前的网络状态，可以对自动生成的网络拓扑图进行简单编辑；

? 既可以在网络拓扑图中显示所有设备（交换机、路由器、受控终端、打印机等）及其连接关系，也可以只显示所有交换机及其连接关系。

3.2.2 内网审计

在拥有了有效的防止内部信息泄漏的方式后，对计算机资源的审计和管理也变的同样重要，如何有效的、最大化的掌握每一个主机的资源状态，对统一的安全管理尤为重要！

通过实时审计网络数据流，根据用户设定的安全控制策略，对受控对象的活动进行审计。采用基于主机和基于网络相结合的控制机制和技术手段，可以多层次、多手段地实现对网络的控制管理。通过集中管理、自我防护机制，全面体现了管理层对内网关键资源的全局控制、把握和调度能力，为网络管理人员提供了一种审计、检查当前系统运行状态的有效手段。

对受控终端进行审计是通过规则进行的。审计规则设置的是对服务器规则控制下的行为的记录和统计。在服务器设置相应的审计规则后，如果客户端所在的设备有符合规则的行为发生，则在服务器的日志中会有相应记录。可以根据需要配置受控终端的文件操作、进程、网络访问等事件的规则。系统根据规则自动记录安全审计日志并存入系统日志信息库，这些信息是事后了解和判断网络安全事故的宝贵资料。

审计功能包括：

? 自动登记受控终端的硬件配置（包括CPU、内存、硬盘、显示卡、网卡等等），当受控终端的硬件发生变动时能自动向安全管理核心系统发出报警信息；

? 自动记录受控终端操作系统配置的用户、工作组、逻辑驱动器，当其发生变化时，自动向安全管理核心系统发出报警信息；

? 对受控终端安装的系统服务进行审计，自动记录系统服务的启动和停止； ? 自动记录受控终端上应用程序的安装与卸载情况；

? 对受控终端上运行的进程进行审计，自动记录进程的启动和停止； ? 对文件操作进行审计，记录用户对规则指定文件进行的各种操作； ? 对网络访问进行审计，记录用户对规则指定网址进行的访问操作； ? 对本地打印机使用情况进行审计；

? 对受控终端的可移动存储设备的使用情况进行审计； ? 对拨号访问情况进行审计。

3.2.3 内网监控

对受控终端进行监控是通过监控规则进行的。安全管理核心系统负责集中配置监控规则，下发到受控节点。可以根据需要设置规则，系统根据规则自动阻止非法操作，并且向控制台发出报警信息。内网监控模块功能包括：

? 对受控终端进行屏幕监视或控制（可选）；

? 允许或阻断用户对受控终端的各种输出设备进行访问，包括USB可移动存储设备、打印机、DVD/CD-ROM、软盘、磁带机、PCMCIA设备、COM/LPT端口、1394设备、红外设备等；

? 对受控终端进行IP地址和MAC地址的绑定，防止用户随意更改网络配置； ? 对受控终端上运行的进程进行控制，允许或禁止某些进程的启动； ? 对网络访问进行控制，允许或阻断对某些网络地址的访问； ? 允许或阻断用户通过拨号访问Internet； ? 允许或阻断用户对本地打印机进行访问。

3.2.4 详细的审计、分析与报告

审计统计报表为系统管理员分析诊断网络故障提供了数据分析的基础。可以根据部门、设备、事件类别等多种条件进行查询统计，生成各种审计统计报表。包括：

? 安全事件分析报告 ? 计算机配置报告 ? 计算机运行状况报告 ? 系统进程审计监控报告 ? 系统服务审计监控报告 ? 系统日志审计监控报告 ? 打印输出审计报告

? 文件存储、传输审计监控报告 ? 网络访问监控报告

对生成的审计统计报表（或审计日志报表、系统事件报表），可以通过系统提供的“报表查看器”进行浏览，同时提供打印预览功能，支持报表打印。