文档介绍:优秀设计
优秀设计
北信源内网安全及补丁分发系统解决方案建议书
北京北信源自动化技术有限公司
2008年4月
目录
一、 前言 1
二、 系统需求分析 2
、客户网络现状 2
、客户端管理需求 2
三、 北信源内网安全管理系统解决方案 3
、功能实现方式 3
、系统构架图 4
、系统管理结构建议 4
、产品基本功能 5
、安全监控强审计功能 5
、文件保护及访问审计 5
、桌面文件输出审计 7
、打印审计 7
、系统日志审计 8
、文件内容检查 9
、特殊行为审计 9
四、 具体实施方案 9
、部署的主要组建 9
、实施建议 10
、系统部署时软硬件配置 13
、系统部署时网络环境准备 14
前言
随着XXXX单位信息化工作建设的推进,目前XXXX单位的IT系统的建设已经具备了相当的规模,已经具有了自己的信息操作平台,业务系统也越来越依赖于IT系统。但由于网络终端分布非常广泛,计算机的操作者使用水平参差不齐,员工对系统的滥用、错误配置以及恶意访问导致业务面临很多现实的安全威胁。网络中大多数的系统是完全不受控的,底下用户随意访问互联网上的网站,随时可能感染病毒木马,甚至被黑客控制。这会导致单位容易遭受网络攻击,引起机密信息的泄露,以及其它的代价高昂的损失。再者,非合法办公软件及其他软件的使用,不但造成了生产效率的低下,也给单位的形象造成了极差的影响。
《北信源主机安全监控强审计系统》作为《北信源内网安全管理系统》的分支,主要涉及上网访问审计及控制,邮件审计及控制,文件审计及控制等功能。可以有效防止客户端用户因乱访问互联网网站造成内部网络安全问题。同时掌握知道各分公司机构的员工在上班时间的访问记录。
北信源内网安全管理及补丁分发系统采用C/S与B/S混合模式设计,支持分布式部署,并具有模块化软件定制、支持标准API、无缝功能扩展与升级等优点。产品针对政府、金融证券、电信以及各大中型企业等网络专门研制,已通过国家保密局、公安部、国家信息安全评测中心、解放军信息安全评测中心等多项权威认证,经业界权威机构统计北信源终端管理产品中国市场占有率第一。
系统需求分析
、客户网络现状
XXXX单位拥有多个分公司机构,但分布在全国各地,而且各个分公司都使用ADSL方式上网,外网地址无法固定,无法进行统一规范的管理,迫切需要一种全面的解决方案来实现科学化、规范化的管理。
、客户端管理需求
首先,结合各分公司采用ADSL方式上网的情况,要进行有效的管理,需要一个VPN系统,把所有分公司的都连接起来,类似于一个大型的局域网,方便管理。
其次,不希望各分公司用户在上班时间访问公司网站外的其他网站,下班之后允许他们随意访问。
北信源内网安全管理系统解决方案
、功能实现方式
本系统在网络中安装数据库,用于存储网络客户端设备信息。当上述系统数据库、网页管理平台、区域管理器安装完毕后,即可以对网络中客户端进行注册。用户在取得注册程序,执行后添加计算机使用信息,如使用人姓名、单位、联系方式等,注册程序自动采集系统的硬件设备信息,经过区域管理器处理后存入数据库,同时区域管理器将代理驻留程序发送到计算机终端,实时运行。通过探头、区域扫描器等对计算机的网络连接行为实施探测,根据需要发送本机缺少的相关系统补丁、安全策略、命令或文件等,在遇到数据库中定义的非法行为时实施阻断。
系统正常运行后,主要通过网页WEB管理平台来对整个计算机设备信息系统进行配置管理,在网络内设置区域管理器、扫描器IP地址。对于一般网络(如1个C类地址或若干个C类地址的局域网范围)适用一套本系统,集中管理所属区域内的设备。对于大规模的多个局域网或者跨地域的广域网(例如将来也许可能的各行之间的互相联网和上下级联网),提供多区域集中管理模式,即一个或多个网段拥有独立设备管理系统的同时,将本级所有设备信息再传递给上级管理数据库,使得上一级管理人员对整个网络的设备状况能够完全掌握。
设备管理信息系统的配置,要根据网络客户端规模、网络管理实际情况来选择。可以在网络中安装多个区域管理器,区域管理器只负责一定范围内的客户端,对于该范围以外的客户端,不予以处理;每个区域管理器下属多个扫描器,提供对本区域网络的分段扫描,及时检查该网络客户端注册情况。
系统逻辑图
、系统构架图
、系统管理结构建议
某单位是一个多网络连接方式的分散式网络,同时客户端用途具有多样性,所以我们建议采用单服务器/多分区的构架。
此外,如果某单位网络因为业务的需要进行了改动或客户端数据增加,