恒信移动商务股份有限公司终端安全解决方案.docVIP

恒信移动商务股份有限公司 终端安全解决方案 2010-6-7 目 录 一、项目背景 1 二、项目建设目标 2 2.1项目内容 2 2.2项目目标 2 三、项目技术方案 3 3.1系统架构 3 3.1.1系统管理构架 3 3.1.2系统模块组成 3 3.2系统功能 4 3.2.1系统管理功能 4 3.2.2网络准入管理 5 3.2.3移动存储介质使用管理 7 3.2.4终端安全防护 8 3.2.5系统报表管理 21 3.2.6事件报警管理中心 23 四、产品优势 28 一、项目背景 恒信移动商务股份有限公司成立于2001年11月，主要从事移动信息产品的销售与服务。经过多年经营，目前是国内唯一一家同时拥有地面服务网络与运营商信息业务平台的公司，目前公司实现以信息交换为公司管理、领导决策提供先进的技术支持手段，但是当前网络中的各类恶意攻击、病毒、木马等日新月异、防不胜防，以及在系统中还有可能运行了各类非业务性软件的人为违规操作行为等，都是直接影响系统安全、稳定、高效工作的重要不良因素，使得加强系统内网的安全防护与企业网络系统运行稳定成为当前首要保障目标；另外，由于相关工作人员计算机使用水平、网络安全以及病毒防范的意识和能力不足，直接影响到信息系统和整体安全策略的制定与实施，因此，加强信息系统的安全防护势在必行。 因此，为保障恒信移动商务股份有限公司内网的安全运行，确保企业网络系统的安全运行，亟待充分利用现有安全基础设施，采纳必威体育精装版的终端安全管理的技术手段，最大程度地防范由于终端脆弱性而导致的网络信息安全隐患，力主完善安全运维管理制度，大力加强病毒防范和综合治理的力度，建立全网防御、整体作用的综合网络安全管理体系。 二、项目建设目标 2.1项目内容 在整个部署网以网络接入控制管理系统为核心的综合性内网终端安全管理系统，包括终端接入控制管理、移动存储介质使用管理、非法外联管理、终端安全监控及企业系统网络运维监控等，最大程度的保证恒信移动商务股份有限公司网络边界及内网终端安全，保障内网及企业网络系统的安全运行。 2.2项目目标 对网络节点进行有效监控管理和安全加固，从而对网络进行切实有效的防护和管理。 解决网络安全的根本问题：提供从非法接入、违规外联发现阻断、移动存储介质使用管理、补丁加固、密码监控以及进程、端口、访问区域、流量、注册表、安装软件的监控管理，全方位的监控终端使用的各个环节，最大程度上保证客户端系统的健壮性，保证网络终端的安全，从而保证网络的安全。 解决网络运维安全管理问题：外部非授权用户不得拥有访问公司内部信息的权限，针对用户和系统应用资源的，必须确保合法用户对信息的合法存取，所有网络活动应该有记录，这种记录要针对用户来进行，可以实现统计、审计记录等功能； 保障企业系统安全运维：此系统的使用可在增强网络统一管理和安全管理的同时，保证网络的边界安全，又保证了网络的内部安全，同时实现系统安全和数据安全。 三、项目技术方案 3.1系统架构 3.1.1系统管理构架 系统管理采用B/S构架，管理员可在网络的任何客户端通过登录内网管理服务器的管理页面进行管理和各种信息查询；所有的网络客户端需要安装客户端程序以对其进行监控和管理。 系统通过内网安全管理服务器对全网进行网络客户端的各种策略的配置下发，入网设备监控、移动存储介质监控、流量监控、违规联网监控、客户端软硬件管理等工作，并对客户端进行各种行为和状态的监控。网络终端上的客户端程序可将各种网络终端的状态信息、日志信息和报警信息上报，可对异常计算机进行断网等处理，也可通过系统，对客户端进行远程故障诊断和维护。 3.1.2系统模块组成 终端安全管理系统采用C/S与B/S混合管理设计，前台使用Web浏览方式对用户进行管理和注册，后台通过SQL数据库对用户数据加以统计和存储。此系统主要由以下几个模块组成。具体如下： 管理信息库： 管理信息库用来存放和管理各种策略、参数配置、网络客户端设备软硬件属性和状态信息、补丁及相关信息、报警信息、日志信息等各种信息。 中央管理配置平台（Web方式管理）： 本系统的管理配置中心。可以进行系统应用策略制订，配置系统的各项功能参数，进行系统用户维护等配置操作、并显示状态信息、报警信息和各种日志记录等。所有操作的过程和结果均存储在管理信息库中。 区域管理器： 区域管理器是系统数据处理中心。从管理信息库获取来自控制台的各种策略和命令操作，发送到客户端程序和扫描器执行。区域管理器同时接收扫描器的信息和客户端程序提供的各类状态和报警信息，发送至管理信息库，以备管理人员通过中央管理配置平台查阅。 上级区域和下级区域之间的命令和数据均通过上下级区域管理器传达。 设备扫描模块：