内网安全解决方案

第五章 内网安全管理系统解决方案设计

5.1 简述

运行本方案的目的是对XXX的主要信息进行审计和监控，以达到地对重要信息高效安全地保护，防止关键信息和数据的外传和泄密。从而保证内部网络能够高效、安全地运作，保证信息化XXX系统高效安全可靠地运行。

本方案钍对XXX的内网安全管理的需求进行了需求分析，分绍了当前的主要的技术，提出了内网安全管理系统以及LanSecS内网安全管理系统的基本要求，给出具体的产品部署和系统实施建议。

LanSecS内网安全管理系统将重点放在主动地（Actively）控制风险而不是被动地(Passively)响应事件，提高整个信息安全系统的有效性和可管理性。LanSecS就是要让更多的企业理解一点，在保护企业安全的战役中，与被动的防御方式相比，以LanSecs解决方案为代表的内网安全与管理软件，可超越传统的\堵漏洞\方式来帮助企业实现基于角色的安全管理，从打被动的防御战变为主动出击。以主动的安全管理和安全控制的方式，将内部网络的安全隐患以技术的手段进行有效的控制，全面保护网络、系统、应用和数据。通过对每一个网络用户行为的监视和记录，将网络的安全隐患可视化，提供实时监控，并形成完整的日志，为审计提供依据，从而大大提高内部专用网络的安全性，真正保障每一个网络用户都在授权的范围内合法地使用网络和数据。

5.2 内网安全管理系统设计思路

针对XXXXXXXX客户对内网安全提出的功能和性能要求，圣博润公司为了有效的满足局域网环境下实现(具体的客户的需求说明)的要求，故提出以圣博润产品《莱恩赛克内网安全管理系统》软件作为基础建设安全管理系统的构想。

圣博润公司利用公司自有产品《莱恩赛克内网安全管理系统》建立起的内网安全管理系统的基本组成部分包括：

如上图所示，LanSecS内网安全管理系统着重于内网的安全管理和监控，以系统网络运营管理为基础，以防内网泄密为目标，其核心功能由设备智能探测器、审计监控客户端、安全管理核心平台（包括内网管理、安全审计）协同完成。 ? 设备智能探测器

设备智能探测器能自动搜索内网中所有网络设备（包括三层和二层设备），识别网络中的SNMP设备。 并阻止非法内联。 ? 审计监控客户端

审计监控客户端负责采集受控终端的软、硬件配置信息，当受控终端的软件、硬件配置发生变动时能自动向安全管理核心平台发出报警信息。同时，审计监控客户端能够对用户在受控终端上进行的文件、网络操作进行审计，自动安装系统补丁，控制用户对网络和各种外设的操作，当发生非法操作时，能够及时向安全管理核心平台发出报警信息 ? 安全管理平台

安全管理核心平台是整个系统的控制中心。其主要功能是通过搜索网络中的交换

机、路由器、PC、服务器等各种设备后，收集交换机基本配置信息和各种动态信息，动态生成网络物理连接拓扑图；对各种事件通过声音报警和屏幕提示报警进行响应；对客户端设备实行屏幕监控；定制客户端的审计、监控、补丁分发、软件分发等规则；采集受控终端的各种配置信息和审计日志，生成丰富实用的统计报表和图表，为系统管理员维护监控网络及其设备的正常运行提供了方便实用的工具。

5.3 内网安全管理系统工作模块功能分析

本章将针对内网安全管理系统的监控管理控制中心模块、客户端管理模块、客户端工作引擎模块进行具体的功能分析。

5.3.1 监控管理控制中心功能实现描述

监控管理控制中心是内网安全管理系统的核心管理组件，他负责协调下属各工作模块，为其定制工作状态和工作策略.

监控管理控制中心从功能上讲可以分为用户界面接口模块，引擎管理模块，监控信息管理模块。

? 监控管理控制中心组件用户界面接口模块

监控管理控制中心本身在设计上就是为用户提供一个C/S的接口模式，用户通过专用的管理接口登陆到管理界面,对服务器和监控客户端进行配置管理.

用户界面接口模块提供给用户客户端工作引擎等的工作模式和策略的定制接口，用户通过图形界面对客户端机器进行管理。

? ?

用户界面接口模块安全考虑

IP地址限制+用户名+口令认证机制：圣博润公司设计的用户界面接口

模块提供的一个安全认证机制是，初始管理用户对监控管理控制中心的访问列表进行定制，指定的IP地址.但是，如果只有IP地址符合要求，仍然不能实现正常的管理，圣博润公司设计的用户界面接口模块还要求提供用户名+口令，只有当用户名和口令都满足时，管理人员才能实现正常的登陆管理。所以，当IP地址+用户名+口令都同时满足，管理人员才能实现正常的登陆管理。

? 监控管理控制中心组件引擎管理子模块

该模块的作用主要是对系统中的工作引擎进行监控和管理。它包含，策略和状态定制等工作。

?

引擎的安装：

? 域安装方式：通过域的安装方式，登陆到域进行自动安装。 ? 网页安装方式：通过网页下载客户端程序进行安装。 ? 本机安装方式：该引擎也可以由工作人员到客户端直接安装。 ?

策略和状态定制：

监控引擎工作策略（行为监控和报警策略）的唯一定制途径，工作引擎的策略执行和工作状态不受目标计算机管理员的干扰，它所执行的策略来源就是监控管理控制中心的引擎管理模块。

安全监控管理员可以通过引擎管理子模块将被监控的计算机进行逻辑分组管理，即相同监控内容的注册计算机分为一个组，然后统一的为该组制定监控策略，统一下发和执行。同样，针对这个逻辑组，引擎管理子模块也可以批量改变组内工作引擎的工作状态（停止，生效）。

? 监控管理控制中心组件监控信息管理子模块

监控信息包含设备管理信息和报警信息等，由客户端管理模块和客户端工作引擎产生的监控信息存储在数据库中.

监控信息管理模块主要职能：按管理员提交的要求整理分析监控信息数据，并返回给管理员分析查询结果。

?

整理分析监控信息数据：

针对监控信息的分类分析，然后将分析结果提交给查询的安全监控管理员用户。

? 定义监控信息的分类：由监控信息管理子模块负责对监控信息进行分类定义，简单的可以分为设备信息类和报警信息类。报警信息类则是由监控审计工作引擎产生，主要是当前网络中用户计算机的操作信息。 ?

产生报警信息文件：