VRV内网安全管理基本技术白皮书 - 图文

1

一、引言........................................................................................................................................... 3 二、背景........................................................................................................................................... 4 三、系统架构 ................................................................................................................................... 6

3.1产品部署和管理构架 ......................................................................................................... 7

3.1.1局域网构架 .............................................................................................................. 7 3.1.2广域网构架 .............................................................................................................. 8 3.2系列产品统一策略管理中心 ............................................................................................. 9 3.3系统自身安全设计 ........................................................................................................... 10 四、功能模块介绍 ......................................................................................................................... 12

4.1终端基本管理功能 ........................................................................................................... 12 4.2 IT资产管理功能 .............................................................................................................. 14 4.3终端桌面管理功能 ........................................................................................................... 15 4.4终端安全管理功能 ........................................................................................................... 23 4.5主机运维管理功能 ........................................................................................................... 28 4.6非法外联管理功能 ........................................................................................................... 32 4.7补丁分发管理功能 ........................................................................................................... 33 4.8文件分发管理功能 ........................................................................................................... 39 4.9安全监控审计功能 ........................................................................................................... 41 4.10移动存储介质使用管理功能 ......................................................................................... 45 4.11 802.1x网络接入控制管理功能 ..................................................................................... 47 4.12接入认证网关 ................................................................................................................. 49 4.13存储介质信息粉碎功能 ................................................................................................. 55 4.14 Intel vPro (AMT) 管理功能 .......................................................................................... 56 4.15报表管理功能 ................................................................................................................. 56 4.16事件报警管理中心 ......................................................................................................... 58 4.17安全管理通告平台 ......................................................................................................... 60 4.18第三方接口管理功能 ..................................................................................................... 65 五、系统所需软、硬件配置要求 ................................................................................................. 65

2

一、引言

终端桌面安全管理技术的兴起是伴随着网络管理事务密集度的增加，作为网络管理技术的逐步发展的产物而衍生的，它同传统安全防御体系的缺陷相关联，是传统网络安全防范体系的补充，也是未来网络安全防范体系重要的组成部分。因此，终端桌面安全管理技术无论在现在还是未来都应当归入基础体系网络安全产品之列。

现代网络安全管理体系的日臻完善，使得对网络终端桌面安全管理的需求强烈凸现出来。正确、全面地认识终端管理产品的发展趋势和技术特点，是IT研发厂商面临的发展抉择，同时也是企、事业IT管理人员和高层决策人员在进行终端桌面安全防护部署时必须考虑的议题。

近两年的安全防御调查也表明，政府、企业以及金融证券等单位中超过80%的管理和安全问题来自终端，计算机终端广泛涉及每个用户，由于其分散、不被重视、安全手段缺乏的特点，已使得终端安全成为信息安全体系的薄弱环节。因此，网络安全呈现出了新的发展趋势，对于各政府企业网络来说，安全战场已经逐步由核心与主干的防护，转向网络内部的每一个终端。

3

二、背景

提起网络安全，人们自然就会想到网络边界安全，但实际情况是网络的大部分安全风险均来自于内部。常规安全防御理念往往局限在网关级别、网络边界（防火墙、IDS、漏洞扫描）等方面，重要的安全设施大致集中于机房或网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。相反，来自网络内部计算机终端的安全威胁却是众多安全管理人员所普遍面临的棘手问题。

自2003年来，从相继爆发的SQL蠕虫、“冲击波”、“震荡波”、“熊猫烧香”等病毒，到在各地网络中频繁发生的计算机文件泄密、口令泄漏、硬件资产丢失、服务器系统瘫痪等诸多终端安全事件，让政府机关和企业单位的网络管理人员头痛不已。总结起来，政府机关和企业单位的内部网络管理大致面临着以下一些常见问题：

? 如何发现终端设备的系统漏洞并自动分发补丁; ? 如何有效解决移动存储介质使用管理问题; ? 如何有效解决终端随意接入网络问题; ? 如何防止U盘造成的病毒传播和信息泄漏; ? 如何防范内网设备非法外联;

? 如何管理终端资产，保障网络设备正常运行; ? 如何在全网制订统一的安全策略;

? 如何及时发现网络中占用带宽最大的终端; ? 如何方便地进行远程点对点维护; ? 如何防范内部涉密重要信息的泄露;

? 如何对原有终端应用软件进行统一监控、管理;

? 如何快速有效地定位网络中病毒、蠕虫、黑客的引入点，及时、准确地

切断安全事件发生点和网络;

? 如何构架功能强大的统一网络安全报警处置平台，进行安全事件响应和

4

事件查询，全面管理网络资源。 ??

这些终端安全隐患随时随地都可能威胁到用户网络的正常运行。针对如上系列问题北信源提供领先业界的终端安全管理产品及应用解决方案。

5

三、系统架构

网络终端安全是一个综合的系统问题，涉及管理计算机本身、计算机应用、计算机操作者、计算机使用单位管理规范等多个方面。

北信源通过对近年来国内外终端安全管理技术和发展趋势的研究，将政府和企业内部网络终端安全管理概括地从终端状态、行为、事件三个方面来进行防御，管理手段大致包括如下内容：

系列产品组成图

北信源终端安全管理产品采用C/S与B/S混合模式设计，支持分布式部署，并具有模块化软件定制、支持标准API、无缝功能扩展与升级等优点。产品针对政府、金融证券、电信、能源以及各大中型企业等网络专门研制，已通过国家保密局、公安部、国家信息安全评测中心、解放军信息安全评测中心、质量管理体系认证等多项权威认证。经业界权威机构CCID统计北信源终端安全管理产品在中国终端安全管理及审计市场占有率持续保持第一。

北信源终端安全管理产品遵循网络防护和端点防护并重理念，对网络安全管

6

理人员在网络管理、终端管理过程中所面临的种种问题提供解决方案，实现内部网络终端的可控管理，并能够支持多级级联广域网构架，达到最佳的管理效果。

北信源终端安全管理产品强化了对网络计算机终端状态、行为以及事件的管理，它提供了防火墙、IDS、防病毒系统、专业网管软件所不能提供的防护功能，对它们管理的盲区进行监控，扩展成为一个实时的可控内网管理平台，并能够同其它安全设备进行安全集成和报警联动。

3.1产品部署和管理构架 3.1.1局域网构架

对于一般网络（例如1个C类地址或若干个C类地址的局域网范围），可使用一套本系统软件，集中管理所属区域内的所有设备。

本系统在网络中安装数据库，用于存储网络客户端设备信息。当上述系统数据库、网页管理平台、区域管理器安装完毕后，即可对网络中客户端进行注册。用户在取得注册程序，执行后添加计算机使用信息，如使用人姓名、单位、联系方式等，注册程序自动采集系统的硬件设备信息，经过区域管理器处理后存入数据库，同时区域管理器将代理驻留程序发送到计算机终端，实时运行。通过探头、区域扫描器等对计算机的网络连接行为实施探测，根据需要发送本机缺少的相关系统补丁、安全策略、命令或文件等，在遇到数据库中定义的非法行为时实施阻断。

系统正常运行后，主要通过网页WEB管理平台来对整个计算机设备信息系统进行配置管理，在网络内设置区域管理器、扫描器IP地址。对于一般网络(如1个C类地址或若干个C类地址的局域网范围)适用一套本系统，集中管理所属区域内的设备。对于大规模的多个局域网或者跨地域的广域网，提供多区域集中管理模式，即下级管理系统可将本级所有设备信息再传递给上级管理数据库，使得上一级管理人员对整个网络的设备状况能够完全掌握。

设备管理信息系统的配置，要根据网络客户端规模、网络管理实际情况来选择。可以在网络中安装多个区域管理器，区域管理器只负责一定范围内的客户端，对于该范围以外的客户端，不予以处理；每个区域管理器下属多个扫描器，提供

7

对本区域网络的分段扫描，及时检查该网络客户端注册情况。

Internet补丁下载服务器物理隔离中央管理配置平台数据交换指令下达数据交换补丁增量导入管理信息库补丁分析模块指令、策略获取状态、数据上报补丁获取区域扫描器指令下达数据交换区域管理器A.注册B.验证C.管理D.补丁获取级联A.扫描发现B.阻断违规客户端（安装客户端程序）系统逻辑图

下级区域管理器3.1.2广域网构架

对于大规模的多个局域网或者跨地域广域网（包括基于国家、省、市、县等多级管理模式的网络结构），可使用本系统提供的多区域级联集中管理构架，即一个或多个网段各拥有一套独立的北信源终端安全管理产品的同时，将本级的统计和报警信息转发给上级管理系统，上一级管理人员对整个网络的状况也能够完全掌握。

8

多级级联集中管理构架

3.2系列产品统一策略管理中心

北信源终端安全管理产品采用统一策略管理中心实现对内部网络终端的统一安全管理。策略管理中心内置终端安全防护需要的所有安全管理参数，提供对计算机终端的安全规则配置、安全功能策略开启/关闭、安全策略执行范围/周期设定等一系列安全措施的管理。

北信源终端安全管理产品内置安全策略分为全局策略、本地策略、备份策略三种，管理员通过属性设置决定其类型。

9

系列产品统一策略管理中心

3.3系统自身安全设计

1．分级管理：系统支持对管理员分级管理，实现不同管理员管理不同内容,可分为授权、管理和审计等多种角色划分，具有安全性高、可靠性强的特点，适合集中授权、多角色参与监控的管理模式。

2．通信保护：系统的组件间通信时，数据传输是经过加密的，客户端和服务器端相互通信使用双向认证机制，防止已安装同类客户端的非本网络计算机非法进入网络，同时也防止模拟的假客户端和服务器进行通信。

3．客户端软件强保护机制：系统的客户端系统具有自我防护机制，防止用户随意停止、卸载。

4．服务器安全设计：服务器系统具备保护服务器功能。保证管理系统服务器端使用的安全性，保证其受到恶意修改IP地址的方式攻击时仍可正常工作,网络中出现恶意修改成与管理服务器相同属性（如相同的IP地址、相同的MAC地址等）的机器时，出现IP地址或MAC地址冲突等现象时，管理服务器将不会

10

被阻断出网（即不会出现地址冲突的现象），只有发起恶意攻击的设备才会被自动阻断，不会影响管理服务器的正常管理。

5．提供系统审计员、系统管理员、系统操作员三权分立的权限管理体系。 6．系统日志：系统提供运行审计和操作审计机制，保证系统的稳定运行。

11

四、功能模块介绍

4.1终端基本管理功能

1. 终端注册管理

系统采用C/S和B/S模式相结合的管理方式，在被管理的桌面计算机上安装VRVEDP客户端程序。在安装客户端程序需要填写当前计算机使用人的个人相关信息，如使用人、单位、部门、联系电话、邮件、所在地、计算机类型等，进行实名化的管理便于快速定位，无论是违规，还是网络安全事件发生时都可以快速定位到事件源。

个人信息填写

填写的个人相关信息会上报到服务器，保存在后台数据库里，供前台管理平台查询。

系统注册信息填写页可以由用户自己自由选择设定，可以设定显示的注册内容项、标题项、是否启用、是否必填、是否为选择性填充等，并可以设定扩充选项，提供给不用需求的用户进行选择性注册管理。

12

用户填写项自由设定页面

2. IP和MAC绑定管理

对固定IP网络的MAC和IP地址进行绑定管理，系统探测到IP变化后根据策略设置恢复其原有IP地址，或者阻断其联网。

（1）禁止修改网关、禁用冗余网卡管理 系统支持禁止修改网关、禁用冗余网卡等功能。 （2）未注册终端拒绝入网管理（软阻断技术）

系统采取对未注册终端Arp阻断管理：对于接入网络未注册终端进行Arp阻断，禁止其联网。

13

4.2 IT资产管理功能

1. 硬件资产管理

自动搜集包括CPU、内存、硬盘分区总和、设备标识的大小和其他详细信息以及其他如主板、光驱、软驱、显卡、键盘、鼠标、监视器、红外设备、键盘等所有的硬件信息。

网管可自主添加相关的附加信息。

2. 软件资产管理

自动发现识别客户端安装的所有软件信息（名称、版本、安装时间、发现时间等），将相关数据入库，检测客户端运行软件信息，供管理员在Web控制台查询。

14

软件资源统一监控：自动收集安装在每台计算机上的每种应用程序信息，包括安装的操作系统种类、版本号以及当前补丁情况、客户机安装的软件等信息和驱动程序情况，并进行汇总管理。

系统能够及时检测主机软件信息变化情况。

根据条件查询客户机安装的软件或指定软件被哪些客户端安装等信息。 3. 软、硬件设备信息变更管理

4.3终端桌面管理功能

1. 终端流量管理

? 流量采样阈值设定：用户自主设定采样阈值，当流量（含出、入或总流

量）超过一定限度并持续一定时间后，进行有关信息上报，防止上报数据过多给网络带来负担；

? 对上报当前流量进行汇总，并对当前的流量进行即时排序； ? 系统展示最大流量的同时显示该终端的流量排名前三名的进程； ? 可对网络客户端的历史流量进行统计和排序，并可生成报表； ? 对并发连接数设定阈值并进行采样；

? 对网络扫描的可疑行为进行阈值设定和报警； ? 对客户端大量发包的可疑行为进行阈值设定和报警；

15

? 对具备可疑行为的客户端进行报警上报、自动阻断、客户端提示等处理； ? 设定网络客户端流量上限阈值，对超过上限的进行报警上报、自动阻断、

客户端提示等管理。 2. 进程运行黑白名单控制

对进程执行进行黑白名单控制，即根据策略设定禁止执行的进程和必须执行的进程。

对违规的客户端进行客户端提示和断网处理等相应措施。

3. 进程保护管理

对重要的进程进行守护，防止由于意外或认为原因造成重要进程中断。

16

4. 进程执行汇总

统一汇总和监视网络各终端的进程，可以增量式的显示网络中新出现的进程，也可统计网络中最常运行的进程，从而统计出网络客户端软件的使用情况。此系统可对网络中出现的异常进程（很可能病毒进程）进行定位和报警，在必要时可直接阻断。

5. 终端服务管理

查询当前终端运行的服务，可以远程关闭或开启服务。

17

6. 软件黑白名单控制

对软件安装进行黑白名单控制，即根据策略设定禁止安装的软件和必须安装的软件。

违规软件禁止安装功能，禁止在注册表Run项里添加自启动项，禁止在注册表Services项里添加自启动项，禁止在程序启动项中添加项，禁止在程序项中添加快捷方式限制违规软件的安装，所有安装软件均可进行审计。

7. 软件安装汇总

系统能够对所安装的软件进行统计汇总，并能将汇总情况统计生成报表，支持多种报表导出方式。

18

8. 终端消息推送

可精确地对选定的对象或个人进行消息传送，而不依赖于Windows自身的信使服务功能，系统还提供多种策略模式传送消息。

9. 远程协助

当客户端用户以及服务器用户在使用计算机时遇到难以解决的问题，可以通过访问特定网页式，主动向多个网管工作台（可自主选择的）进行并发协助请求呼叫，呼叫网管对其进行远程协助。当管理员接收到客户端的请求可以后，调用远程客户端的桌面，帮助客户端用户解决相应的问题。

呼叫中心示意图

管理员是否接受请求示意图

19

管理员接收请求后，系统将自动调用远程计算机的桌面，就如同管理员亲自到现场，进行软件安装、软件调试、系统维护、打印机安装等工作，省去管理员 来回现场和办公室之间的时间，提高了系统维护的效率和管理员的工作效率。

10. 外设及端口控制

系统可以设置受控主机允许或禁止使用USB设备、串口、并口、软驱、光驱、 红外设备、蓝牙设备、网络设备（无线网卡、网卡、PCMCIA）、1394接口、打印设备。系统采用硬件设备驱动级的禁用方式实现对上述设备的禁用。

11. 垃圾文件清理

管理员可在Web控制台对终端用户某一文件夹下或全盘某些后缀的垃圾文件或临时文件进行集中清理。

目前的系统临时文件众多，而绝大部分业务用户均不会手动清除大量的临时文件，这样会占用大量的硬盘资源，因此需要靠第三方系统主动的对其加以清理。

系统可协助用户维护（指定目录下的）临时文件、备份文件、帮助的历史文件、IE临时文件、安装临时文件、异常临时文件等各种应删除的文件。

20

12. 终端点对点管理

系统管理员可通过系统以点对点的方式对客户端进行详细的监控审计，具体包括以下内容：

（1）硬件资产清单：自动搜集包括CPU、内存、硬盘分区总和、设备标识的大小和其他详细信息以及其他如主板、光驱、软驱、显卡、键盘、鼠标、监视器、红外设备、键盘等所有的硬件信息；网管可自主添加相关的附加信息。 （2）安装软件查询：查询设备所有安装的软件。

（3）终端进程管理：查询当前终端所有运行的进程，并可通过系统关闭非系统进程。

（4）终端服务管理：查询当前终端运行的服务，可以远程关闭或开启服务。 （5）终端流量查询：包括当前与网络连接的进程及其流量的统计。 （6）系统运行资源查看：具体包括：CPU频率和使用率、内存大小和使用率、系统各硬盘分区大小和使用情况。

（7）补丁查询：查看系统漏打的补丁。

（8）日志查询：查看终端的系统日志、安全日志和应用程序日志。 （9）终端安全审计：查看用户的登录、历史记录、下载信息等各种信息。 （10）消息通知：向用户发送消息，并可要求用户进行消息回馈。 （11）远程运行进程：可远程加载进程。 （12）共享目录检查：检查当前终端的共享目录。

21

（13）修改网络配置：可查看网络终端的IP、MAC、子网掩码和网关信息，并可远程修改用户的IP地址。 （14）远程卸载客户端程序。

（15）远程断开/恢复网络终端的网络。 （16）远程重新启动计算机。

13. 系统自动关机管理

22

当终端鼠标、键盘在规定时间内无动作时对系统进行关机。 14. 终端时间同步管理

可对所有终端使用时间进行同步管理。

4.4终端安全管理功能

1. 桌面密码权限管理

对终端的密码管理权限变化及使用状况（包括密码长度、安全性、弱口令等方面）进行审计检查及报警，同时对不符合要求的终端进行提示或强制修改等处置。达到防止病毒及黑客入侵的目的。

23

2. 终端统一防火墙

管理员在Web控制台对终端进行统一的防火墙设置，对网络IP及协议访问进行限制，在网络内建立虚拟的终端隔离区。

另外对于大型网络，网络客户端由于用户使用水平的差别，会出现用户卸载甚至退出统一安装的防病毒软件的情况，也会出现有个别用户被遗漏，未安装防病毒软件的情况。

管理员可利用Web控制台对终端所安装的杀毒软件情况进行监控和管理，并能够对终端杀毒软件实施远程操作（病毒查杀、升级、软件安装等）。还可统一监控网络内的防病毒软件（国内主流厂商的均可）安装情况和使用状态，了解网络中的病毒软件安装状况，必要时可通过此系统强制为客户端安装防病毒程序，如果需要，此系统也可监控终端软件的安装情况，并进行相应的管理（如安装杀毒软件软件，强行升级病毒库、自动分发并自动执行病毒专杀工具等）。

24

3. 基于网络的木马、网络攻击等行为的智能防御功能 ? 终端发送ARP欺骗攻击的智能防御

系统实时监控本机ARP缓存表，当监测到网关MAC被恶意篡改时，系统及时恢复绑定正确的网关MAC并向服务器报警。同时，在终端系统底层安装了一个核心驱动，通过这个核心驱动过滤所有终端向网络中发送的ARP数据包，只有符合规则的ARP数据包才会被发送出去，这样就实现了对发送攻击的拦截。因为系统既能拦截接收的应答，又能拦截发送的攻击，所以，对于安装了系统客户端的局

25

域网，攻击行为将被完全排除。

? 终端发送半连接攻击的智能防御

SYN攻击属于DOS攻击的一种，它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。攻击者利用TCP协议三次握手的原理，大量发送伪造源IP的SYN包，也就是伪造第一次握手数据包，服务器每接收到一个SYN包就会为这个连接信息分配核心内存并放入半连接队列，如果主机短时间内接收到的SYN太多，半连接队列就会溢出，操作系统会把这个连接信息丢弃造成不能连接，当攻击的SYN包超过半连接队列的最大值时，正常的客户发送SYN数据包请求连接就会被服务器或终端计算机丢弃，造成对网络中正常的数据传输或网络访问中断。

系统针对半连接攻击的攻击原理和行为特点，对每个终端的通讯进行实时数据包地址 、类型过滤，频率监控，提供给系统进行保存和分析，对分析结果中属于送半连接攻击行为的终端进行网络隔离并产生提示告警。

? 终端发送洪水攻击的智能防御

系统通过此项功能，可以对规则列表中出现的IP数据包洪水攻击、UDP洪水攻击、ICMP洪水攻击的终端计算机进行处理。当局域网内某台终端计算机所发送的IP数据包、UDP报文、ICMP报文超出此项设置中所规定的上限时，系统客户端将会按照预设值对其进行相应处理。对分析结果中属于洪水攻击行为的终端进行网络隔离并产生提示告警。

4. 终端杀毒软件管理

26

可统一审计网络内终端的防病毒软件（主流厂商的均可）安装和使用情况，必要时可强制为客户端安装防病毒程序。如果需要，也可监控终端防病毒软件的安装情况，并进行相应的管理（如安装杀毒软件软件，强行升级病毒库、自动分发并自动执行病毒专杀工具等）。

5. 注册表监控/保护

系统提供注册表检查功能，对于病毒行为修改的注册表，可以通过强制注册表策略对其进行操作，可以自动创建、删除、修改相应的注册表键值，实现注册表安全管理。

系统可屏蔽选定用户计算机的一些程序进程对注册表的使用，通过该策略可以有效的防止违规进程对用户注册表的破坏。

27

6. 终端在线/离线策略管理

系统可以针对不同的网络接入情况，设定终端的在线、离线策略。当终端处于不同的网络中，可以实现不同的执行策略。

4.5主机运维管理功能

1. 运行资源监控

在Web控制台对终端的CPU、内存、硬盘的资源占用率和剩余空间进行监控，

28

设定危险等级报警阀门。

2. 流量管理和控制

蠕虫病毒和BT下载等行为在很多情况下会严重占用网络带宽，造成网络的拥塞甚至瘫痪，对此可利用本系统进行流量的管理与监控。 主要功能：

? 流量采样阈值设定：用户自主设定采样阈值，当流量（含出、入或总流

量）超过一定限度并持续一定时间后，进行有关信息上报，防止上报数据过多给网络带来负担。

? 上报的当前流量进行汇总，对当前的流量进行时实排序，以便网络管理

人员进行快速分析是否是网络安全事故。

? 对网络客户端的历史流量进行统计和排序，并可生成报表。 ? 对并发连接数设定阈值并进行采样。

? 对网络扫描的可疑行为进行阈值设定和报警。 ? 对客户端大量发包的可疑行为进行阈值设定和报警。

? 对具备可疑行为的客户端进行报警上报、自动阻断、客户端提示等管理。 ? 设定网络客户端流量上限阈值，对超过的进行报警上报、自动阻断、客

户端提示等管理。

29

3. 流量异常监控

在Web控制台对终端的网络流入、流出和总流量进行监控和管理。并能够对产生总流量过大、分时段瞬时流量过大的进程进行统计，辅助分析产生流量过大的原因。

4. 进程异常监控

在Web控制台对终端未响应窗口进行监控并结束或重启该进程，对意外退出的进程进行监控和保护。

30

5. 客户端文件备份

针对终端计算机进行数据实时备份，将本机计算机目录文件数据实时或定时备份到数据服务器或其它计算机上存储。针对局域网服务器数据存储等提供安全数据同步备份解决方案。

31

4.6非法外联管理功能

1. 网络内部终端非法外联互联网行为监控

终端非法外联互联网行为监控：对于已注册的设备，通过不同方式（如双网卡、代理等）连接互联网进行的通讯，系统能够自动阻断其连接行为并报警。

2. 网络内部终端非法接入其它网络行为监控

对于已注册的设备，监控其网络连接行为，根据接入网络环境因素判定其是否非法接入其它网络（同上图）。

3. 离网终端非法外联互联网行为监控

对于已经注册的计算机，非法带出到另外一个网络的行为进行监控，发现有外联互联网行为时可以采取警告、阻断、自动关机等操作（同上图）。

4. 非法外联行为告警和网络锁定

如果终端非法入网，可以在报警平台和报警查询处获知信息，并且可以对终端提示信息，自动关机，阻断联网等处理（同上图）。

5. 非法外联行为取证

对于非法外联行为进行实时告警功能，同时记录该行为发生的事件、IP地址、MAC地址、使用人等相关信息上报到服务器进行记录取证。

32

4.7补丁分发管理功能

系统功能概述

北信源补丁分发管理系统是北信源公司在为国家各大部委机关、各大行业网络用户进行病毒安全服务、总结安全运营保障经验的基础上，分析当前网络客户端实际安全管理要求研发的，系统支持推、拉两种方式自动下载补丁。整个补丁管理运行平台构架是：通过北信源外网补丁下载服务器及时从补丁厂商网站获取最新补丁；补丁安全测试后，通过补丁分发管理中心服务器对网络用户进行分发安装；补丁安装支持自动和手动两种方式。

......北信源补丁管理中心(二级)级联同步补丁增量导入北信源补丁管理中心(二级)级联同步北信源补丁中心(一级)补丁库分类补丁测试策略控制推拉分发控制流量控制补丁分发检索多级级联控制客户补丁查询动态下载转发代理自动测试组(真实环境)客户端 补丁自动识别客户端策略报表中心补丁监控功能

系统可监控管理网络补丁状况，其具体功能如下： 1. 补丁索引的适应和扩展性

内网安全管理系统具有良好的兼容性，支持农业银行主流操作系统，如Windows2003、Windows2000 Pro、Windows 2000 Server、Windows Pro、Windows XP home、Windows、Windwos9X等。

因为补丁索引文件为北信源自主开发，补丁索引的结构具备可扩展性和可编辑性，索引的结构和定义除了可以支持微软补丁外，还可以支持非微软系统补丁、各种数据库补丁，甚至可以支持各种用户应用程序的更新补丁。

33

补丁索引编辑界面

2. 补丁下载检测和增量式导入功能

对于物理隔离的内部网络，其内部的补丁升级服务器中的补丁数据必须从外部导入，巨大的补丁数据库使得每次补丁导入相当烦琐。为此，北信源使用增量式补丁分离技术，在外网导出补丁时，可分离出内网已经安装的补丁，只导入内网尚未安装的系统补丁，即仅对内网的补丁进行“增量式”的升级，以提高效率。

当有新的计算机补丁公布可以下载后，北信源公司由专门的人员在第一时间内获得，并进行相应的分析，更新补丁索引文件。

系统拥有专门的外网补丁下载服务器，能根据索引自动下载新增的计算机补丁，补丁校验功能对所下载的补丁进行校验，保证计算机补丁的可靠性、完整性、安全性。

补丁在导入时并具有病毒检测功能，保证导入到补丁库中的补丁不被病毒感染。

3. 补丁安全自动测试功能

用户的真实环境中，可能会包含特殊的应用或特殊的软件版本，在这些环境中，有时会出现打补丁后系统或应用异常的情况，所以在大规模补丁分发前需要

34

进行真实环境的补丁测试。北信源系统独创了真实环境闭环测试技术，具体的流程是首先由网管选定某些计算机作为测试计算机作为测试组，每次补丁导入后内网后，首先自动分发至这些选定计算机进行新补丁的安装测试，从而自动地进行非模拟性自动测试。如果补丁安装后对测试计算机未产生影响，被测试计算机能正常运行，网管员便可根据相应得策略对网络内的计算机进行大面积的推送。此技术可以很好的减轻网管的测试工作量，并提高补丁安装的安全性。

补丁自动测试图

4. 补丁库自动分类功能

系统对存放到服务器上的计算机系统补丁能进行相应的分析，自动得出补丁属性、类型和与之相关的补丁说明，并在网页中进行清晰明了的显示。可以方便管理人员根据相应的需求，高效快捷定义补丁分发策略，及时地针对不同的系统和需要分发计算机补丁。

系统同时提供管理员自定义补丁类别的补丁管理方式，如果需要也可由相关的管理人员自行设定相应的自定义补丁类别以符合其管理的需要。

5. 补丁库的级联和同步功能

系统可以针对补丁进行级联式的分发和管理，在级联级数没有任何限制并在三级的基础上进行无缝平滑扩展。

可定期进行同步校验，也可自主设定同步校验周期和时间。在有新补丁导入时，也可以自动触发与下级服务器间的同步操作。

所有的同步过程均可自动完成，上级服务器可以了解下级服务器补丁库是否同步成功。

6. 补丁安装检测、自动分发补丁功能

北信源补丁管理依据自身注册客户端优势，为网络用户提供强大的系统补丁检测、分发、安装等远程控制功能。网络管理人员通过本模块全面检测网络系统

35

终端补丁的安装状况，并通过此模块，对没有安装补丁的设备进行远程补丁安装,可将最新补丁升级包及时分发到终端计算机，并提示安装修补，在客户端有明显提示，通知用户打补丁。

系统可以对客户端安装的系统的版本，IE版本的补丁安装情况进行自动探测和维护（客户端计算机的补丁安装情况包括Windows、Office、IE、微软媒体播放器等），自动搜集客户端系统资料和安装补丁资料，以根据客户端系统的实际状况自动分发所需的补丁。

客户端程序安装检测：网络中的客户端访问本地的WEB网站进行自动注册。注册后客户端检测程序将在系统中实时运行，检测补丁安装状况，并上报给补丁管理中心。用户WEB网页自动探测提示，支持大面积用户快速安装。客户端部署：在系统内部网络中，未注册客户端访问本地网站、以及访问上级网站均会出现提示用户注册窗口。

补丁推送安装：当系统检测到有客户端未打补丁时，可对漏打的补丁进行推送式的安装。同时，通过推送安装，也可以为客户端安装应用软件。

补丁推送分发可以跨网段，跨VLAN,补丁分发支持断点续传功能。补丁下发过程中，如遇到特殊事件造成网络中断，则在下次网络连通时通过校验得出已传输的数据和断点位置，进行续传。

系统补丁报表：监控程序将网络客户端补丁信息上报管理中心后写入数据库，在WEB管理平台可进行补丁报表察看，统计网络客户端补丁安装状况。

7. 补丁策略制定功能

包括补丁应用策略制定、补丁文件分发任务制定。

可以根据要求按照不同的区域进行划分，可按照IP地址、部门、操作系统、用户自定义等方式进行区域划分。

补丁策略制定：具体可支持定时、定周期、分类、分部门、分范围、客户机状态和用户自定义等策略。

补丁策略分发：具备详尽的补丁分发策略，补丁可以定时、定周期、分类、分范围、分部门、分范围、客户机状态和用户自定义等进行分发。

补丁文件任务制定：针对特定的一个补丁或多个补丁，对指定计算机或者计算机网络进行补丁自动分发安装。

36

补丁中心将网络客户端分类，设置测试类客户端，补丁在测试类机器上经过严格测试后，再正式对其他类网络机器进行分发。

此外，内网安全管理系统还提供补丁下载流量控制功能，补丁管理中心区域管理模块能够对网络不同网段、不同区域的终端补丁升级进行流量、数量控制，避免造成对网络的流量影响，合理控制网络带宽。

8. 补丁下载流量控制功能

系统可以利用多种方式进行下载流量控制：

（1）系统能够根据网络的负载情况自动调整分发补丁时所占的网络带宽和并发连接数；

（2）根据手动设置允许的带宽或服务器并发连接数及每个连接所允许使用的带宽；

（3）系统同时支持客户端转发代理补丁下载，以减少网络带宽流量，提高效率。

代理转发技术说明：补丁分发时，先由部分客户端通过补丁分发系统下载服务器补丁，其他的计算机可不通过服务器，而是通过已下载补丁的客户端进行相应补丁下载。下载时客户端可自动搜索临近的IP地址，选择拥有此补丁文件并且下载速度最快的客户端，从此客户端上获取由系统服务器下发的相关的补丁，以保证网络的利用率，同时提高补丁分发效率。

9. 服务器端补丁查询功能

客户端软件实时监控客户端系统漏洞及补丁安装情况，服务器端补丁查询补丁可根据补丁名称、待查询IP范围、操作系统、待查区域，查询时间或其它条件对区域网络范围内的计算机终端进行补丁安装状况查询，通过网管设定的查询条件，能快速地获知所查询补丁的安装情况（如补丁发送是否成功，补丁安装是否成功，补丁是否已被安装等），以保证补丁及时的安装。

10. 客户端网页查询补丁安装信息功能

因为很多用户习惯通过访问微软的Update网页，检查自己漏打的补丁，并进行下载安装。作为物理隔离的网络，内网中的用户无法访问此网页，因此从用户的习惯角度出发，内网中也应该有类似的网页，以便用户访问和获知本机补丁安装情况，进行补丁下载安装。安装了系统客户端的计算机可以通过访问内网的

37

特定网页，对本机所缺少的计算机补丁进行查询，查询结果在网页上进行显示，计算机用户根据需要进行安装。

实例图

38

4.8文件分发管理功能

1. 普通文件分发及文件自动执行

系统向指定客户端（用户组）分发文件或安装软件，分发时可提供软件的运行参数和必要的运行控制。此功能可减轻网络管理人员的工作负担，软件分发时可报告软件安装的状态，无论软件正确安装与否，管理员均可及时了解情况。系统还提供人性化的软件安装过程录制工具，可以很方便的对软件和它的安装过程进行录制打包，软件分发至终端后，系统可在终端对软件安装过程进行回放，方便软件在客户端进行自动安装。

安装后的客户机端软件包括基本部分和用户工具，安装在客户机不同的目录中。

39

2. 文件分发安装结果统计

40

4.9安全监控审计功能

1．上网访问行为审计和控制：

系统以黑白名单的方式对用户的网页访问行为进行控制；可对用户上网访问的网页等进行审计和记录。

41

2. 文件保护及审计：系统提供对终端的系统、软件和共享等目录中的文件的保护功能，设定访问、删除、修改权限；支持对设定目录文件的操作审计，包括文件创建、打印、读写、复制、改名、删除、移动等的记录，同时将信息上报管理信息库供查询。

3. 网络文件输出审计：对主机通过共享文件等方式进行的网络文件输出行为进行审计和记录（同下图）。

4. 邮件审计：根据策略对主机发送的邮件及其附件进行控制审计和记录（同

42

下图）。

5. 打印审计：根据策略对主机打印行为进行监控审计，从而防止打印输出结果被非授权查看和获取。

6. 文件涉密信息检查：根据用户自主设定的涉密信息查询条件，设定对指定目录或盘符下的指定类型文件进行内容检查，检查其是否包含涉密内容，系统支持进行包含“或”、“与”等多种逻辑的组合监测和模糊监测。

7. 用户权限审计：审计用户权限更改及操作系统内用户增加和删除。

43

8. 各自独立的权限分配体系：提供系统管理员、系统审核员（安全员）和系统审计员和一般操作员权限，分别进行不同的管理操作。

44

9. 系统日志审计：不同权限管理员在Web控制台对终端用户的日志（系统日志、应用日志、安全日志等）进行远程读取查看。

4.10移动存储介质使用管理功能

1．分级权限控制

通过对移动存储介质写入两种不同权限及功能的标签，来实现分级权限的控

45

制。并以策略的形式分发给不同的域，实现对指定范围内的终端授权，并对写入标签移动存储介质的访问进行控制。另外，对移动存储介质格式化无法去除标签。

普通标签：写入普通标签后，在管理区域内根据策略的设置，来限制移动存储介质的读、写功能；如果在管理区域外使用移动存储介质认证，则不限制移动存储介质认证读、写功能。

加密标签：写入加密标签后将普通移动存储介质（U盘、移动硬盘等）分为二个区域：交换区、保密区。涉密网络可只生成保密区。交换区和保密区启动均需输入独立的密码，数据在二个区存储时均以加密方式存储，这两个区的具体应用如下：

（1）在涉密网络中或高要求的办公网络中，可只生成保密区一个区。该保密区只能在有对应安全策略的主机上通过认证标签后、同时输入正确密码才能访问，同时有安全策略的主机可以根据策略控制未经标签认证的移动存储介质的使用。

（2）在普通办公网络中，可生成交换区、保密区二个区。保密区的使用方法，可与上述涉密网络或高要求的办公网络相同。交换区的使用方法，可以根据用户需要，在内部网络中通过策略限制使用方式，交换区在外网使用时同样要输入密码方可使用，保密区在外网不可见。

2．审计功能

46

（1）提供移动存储介质上所有文件操作的详细记录

包括文件的创建、复制、删除、读写和重命名等操作，具体包括文件名、审计描述、时间、用户名、计算机IP地址和其他必要的信息。

（2）提供移动存储介质的插入和拔出动作的详细记录

具体包括事件类型、移动存储介质的名称、用户、计算机IP地址、事件时间等。

? 移动存储设备（分设备、网段等）接入认证管理，保障指定设备读

写指定移动存储设备的访问控制管理； ? 移动存储介质数据读写控制管理； ? 移动存储介质标签认证管理；

? 移动存储介质分区（交换区和保密区）管理；

? 移动存储介质的加密管理，防止保密区的敏感信息外泄； ? 移动存储介质接入行为审计；

? 移动存储介质数据交换行为审计管理，可针对文件后缀名等条件； ? 移动存储介质接入时进行病毒木马检查；

? 提供详细的文件操作详细审计记录：包括文件的创建、复制、删除、

修改和重命名等操作，（包括文件名、审计描述、时间、用户名、计算机IP地址和其他必要的信息）；

? 提供详细的移动存储设备的插入和拔出动作的详细记录，具体包括

事件类型、移动存储介质的名称、用户、计算机IP地址和事件时间。

4.11 802.1x网络接入控制管理功能

1. 网络接入控制管理系统功能描述 （1）802.1x接入认证管理；

（2）未注册终端接入访问区域限制（vlan限制）； （3）未安装杀毒软件等必备软件自动安装下载管理； （4）未打补丁终端接入限制；

（5）运行不可信进程、服务、注册表终端接入限制；

47

（6）未达到预定义安全级别的终端接入访问区域限制； （7）自定义终端安全接入必须的桌面运行安全环境。 2. 系统管理构架

北信源网络接入控制管理系统由以下几部分组成：

（1）策略服务器（VRVEDP Server）：系统策略管理中心，提供系统的参数配置和安全策略管理。

（2）认证客户端(VRVEDP-Agent)：安装在终端计算机，根据用户名和密码向认证服务器发起认证，配合交换机认证系统，实现正常工作区、访客隔离区、安全修复区的自动切换。

（3）Radius认证服务器：接收客户端认证请求信息数据包并进行验证。 （4）Radius认证系统 (交换机) ：可网管支持802.1x的网络设备（交换机），接收认证客户端的认证请求数据包与Radius认证服务器完成认证过程。 （5）可选配强制注册网关（硬件）：在不完全支持802.1x的网络中可选装强制注册网关，完成未注册计算机访问网页时被进行DNS重定向或HTTP重定向，以达到强制注册目的。

48

4.12接入认证网关

1. 工作模式

接入网关可以串在（骨干）网络出入口处进行访问过滤或置于DNS服务器前进行访问过滤，从而达到网络准入控制的目的。具体工作模式如下（以DNS为例）：

● 客户端程序对DNS包对已注册计算机的DNS数据包进行重新封装，加入注册认证标识。

● 网关处理DNS协议：接入网关监测内网终端通过接入网关请求的DNS解析服务。当接收到未认证客户端DNS解析服务请求（即该数据包没有注册认证标识）时，重定向该请求。

● 网关处理改造过的DNS协议：接入网关监测内网终端通过接入网关向DNS服务器的DNS解析请求。当DNS请求包具有DNS包注册标识是放行，不具有DNS认证标识时重定向DNS请求。

DNS数据包已注册客户端程序带有认证标识的注册数据包普通DNS数据包接入网关正常放行DNS服务器重定向注册服务器 49

网关接入控制逻辑图

未注册接入报警网中网报警是比对相同IP是否还发送有包标识请求设备入网注册界面否DNS解析请求管理和发布策略制定平台区域管理器网关判定是否有包标识是系统数据库DNS服务器是否访问网页 设备接入后网关控制整体流程图

2. 功能特点

? 多种身份验证服务

北信源接入认证网关具备终端特征验证、用户名口令验证、混合身份验证等多种身份验证机制。管理员通过策略方便设定。能维护具有不同许可级别的用户群体。

? 集中管理

北信源接入认证网关基于Web的管理控制台允许管理员为每个用户定义所需的策略类型，一个区域管理器可以管理多个接入网关。

? 灵活的部署模式

北信源接入认证网关提供了最广泛的部署模式，能适用于任意客户网络。客户能将该产品作为虚拟或实际IP网关，部署在边缘或中央，提供第二层或第三层客户端接入，或部署在DNS服务器前作为强制注册用的DNS网关。

50

本文来源：https://www.bwwdw.com/article/ff1r.html