军工行业网络监控系统方案
1.前言
军工企业担负着国家绝密的武器生产任务,其网络中的数据必须处于高度的保密状态,在网络系统安全和数据安全方面需要特别加强。在网络系统安全方面要防止网络系统遭到没有授权的存取或破坏以及非法入侵;在数据安全方面要防止机要、敏感数据被窃取或非法复制、使用等。如何搭建安全的网络架构,将非法入侵者拒之门外,防止内部信息外泄,这些是军工企业在网络建设时必须解决的问题。
在军工企业网络当中存在着很多不当使用造成的安全隐患,例如:
内部用户非法拨号访问Internet的问题,电话拨号上网可以轻易地从涉密网络的内部网络撕开一条通向外部的秘密通道,绕过防火墙、基于网络的入侵检测系统的监控。由于在这种方式下没有任何的安全防护,可能对涉密局域网的安全构成极大的影响。
有时会有一些人员通过一些存储设备(如USB硬盘、软盘、光盘等)或是输出设备(如打印机等)将重要的信息资料带走。
内部用户随意将不安全的软件带到涉密网中运行,可能带来病毒或木马程序,另外,内部用户用涉密网中的计算机玩游戏和看电影,也影响正常的工作。
因此必须考虑这些信息的泄露问题,做好终端的防护。一些涉密单位的做法就是在工作站上不安装任何的存储设备,一旦需要的时候再进行安装,这样非常不方便。比较好的解决措施就是安装终端防护系统,保证重要信息的安全,防止内部人员泄密。
2.军工行业内网安全解决方案
2.1.安全区划分
为了对网络内部大量的、分散的主机进行有效的管理,就要进行安全区的划分。将大量的分散主机安置在不同的安全区,每个安全区只包括可管理数量的主机,使内部安全管理具有可操作性。
2.2.主机资源审计与保护
采用剑鱼网络安全监控审计系统收集内网所有主机的相关信息,指导管理人员根据不同主机的资源现状制定不同的保护手段和管理制度。主机系统计算机资源的审计和管理包括:操作系统信息管理;设备信息管理;用户和组信息管理;系统进程信息管理;系统窗口程序信息管理;已安装的Windows程序信息管理,以及已安装Windows程序的远程管理能力;网络连接状态信息管理;远程截屏能力等。
2.3.网络行为和数据传输监控
采用剑鱼网络安全监控审计系统通过IP地址监控、网络端口监控、网站访问监控、邮件监控、文件传输监控、拨号连接监控等技术手段,防止机密信息通过各种网络应用泄漏出去,以满足客户内部信息管理的需求。
2.4.存储设备访问复制监控
采用剑鱼网络安全监控审计系统通过对泄密途径的管理,最终实现存储设备防泄密管理需求,例如:移动硬盘、移动U盘、SCSI硬盘、软盘、光盘等。
2.5.漏洞扫描与补丁分发
通过漏洞检测发现网络中的安全隐患,从软件厂家获取系统修补程序,以便及时安装到相应的计算机设备上,提高系统防护能力。
2.6.管理和配置
有效的管理和配置内部安全系统是有效运营整个内部安全体系的重要前提,除了安全策略的管理,系统配置的管理,还有其他诸多的控制和管理,包括:安全策略配置和管理;多样化的安全策略优先级别;系统登录控制;远程安装、升级、卸载,不需要用户参与进一步的管理和设置;系统可用性、易用性保证。
3.剑鱼网络安全监控审计系统的部署与实施方案
剑鱼网络安全监控审计系统是一个解决信息泄密问题的有力工具。它能严格监控和记录企业内部各台计算机的使用情况,具有强大的屏幕快照、网络管理、实时跟踪、运行统计、历史归档,设备管理等功能。根据管理员事先的设定,自动截取工作站的屏幕快照、应用程序运行和浏览互联网的情况,并可以根据用户需要回播这些记录来报告工作站的工作状况,让管理者随时了解企业计算机用户的资源利用情况。
剑鱼网络安全监控审计系统主要实现以下目标:对内网用户进行安全监视和行为审计;从网络通信和外接设备等方面进行信息传输复制限制;管理系统资源防止受到攻击;加固系统,分发补丁。
3.1.剑鱼网络安全监控审计系统主要功能
① 安全监视审计功能
硬件配置监视。可以查看指定的计算机或组的硬件配置信息。它包括用户的处理器,内存,磁盘等硬件信息,也有目前正在使用的操作系统信息。
安装软件监视。可以查看指定的计算机或组的应用软件安装信息,不仅包括当前安装的应用软件信息,也包括系统启动时自动运行的软件信息。
系统进程监视。可以查看指定计算机或组当前正在运行的进程信息,包括模块的名称和具体的路径。可以根据需要强行终止非法进程。
共享目录监视。可以查看指定的计算机的共享目录情况。
文件操作监视。可以查看指定的计算机或组的用户对文件或目录进行的操作,包括访问、创建、复制、移动、改名、删除、恢复以及文档打印、计算机远程访问等操作。
屏幕监视。可以查看屏幕给用户进行查看。
应用程序监视。可以查看用户使用应用程序的情况。
网站监视。在浏览网站报告里显示的是用户所浏览的网站,活动时间和百分比。
网络通讯监视。在监视报告里显示的是用户使用通讯协议的状况,包括HTTP、HTTPS、FTP、TELNET、SMTP、POP3等协议。可以很方便地查看用户使用协议的情况。
应用程序统计。可以查看该在某一段时间内用户的程序使用情况。
网站访问统计。可查看用户浏览网站情况。
历史屏幕纪录。可以查看指定计算机的历史屏幕记录。
操作日志查询。可以查看剑鱼系统管理员在控制台操作的事件记录,防止监守自盗。包括计算机基本信息设置,计算机操作,计算机控制,数据查询,输出及图像查询,规则设置,数据清除,参数设置等一系列的操作。
系统日志查询。可以指定起始与终止的时间段,在列表框中会显示系统日志信息。
② 防止信息泄露
网站访问规则。可以指定允许或禁止访问的网站。
应用程序规则。可以指定允许或禁止运行指定的应用程序。
设备规则。可以针对单个计算机进行设备的禁用和开放操作。可禁止的设备类型包括:软驱、光驱(包括刻录机)、磁带驱动器、USB存储设备、串/并口、SCSI、IEEE1394总线、调制解调器、红外通讯设备、USB、以及笔记本电脑使用的PCMCIA卡接口。
禁止非法接入。禁止没有安装客户端的计算机访问当前的计算机或计算机组,从而达到保护网络的目的。
报警与响应。可以针对组或单个计算机进行设置报警与响应操作,对违反安全策略的行为进行报警。
③ 系统资源管理
系统信息统计。可以对用户计算机中的安装程序、启动项目、硬件配置、IP/MAC地址等信息进行统计。
