接入内网终端管理制度

接入内网终端管理制度（精选6篇）

接入内网终端管理制度 第1篇

无忧在线终端与内网安全管理系统

无忧在线内网安全管理

用户手册

汕头市龙湖区长江路8号电信实业大厦17层

邮编：515041

公司电话：0754-88177799 服务热线：400-668-0255 传 真：0754-88177038

官网：http://

无忧在线终端与内网安全管理系统

用户手册

目 录 前言............................................................................................................................4

1.1 文档目的........................................................................................................4 1.2 读者对象........................................................................................................5 1.3 文档组织........................................................................................................5 1.4 技术支持........................................................................................................5 2 系统简介....................................................................................................................5

2.1 系统架构........................................................................................................6 2.2 系统功能........................................................................................................7 2.3 登陆账号........................................................................................................7 2.4 系统登陆........................................................................................................7 3 系统应用....................................................................................................................8

3.1 分组管理........................................................................................................8

3.1.1 客户端分组.........................................................................................8 3.1.2 自定义分组.......................................................................................10 3.1.3 自定义分组管理...............................................................................11 3.2 客户端维护..................................................................................................11

3.2.1 多机维护...........................................................................................11 3.2.2 单机维护...........................................................................................12 3.2.3 远程控制...........................................................................................13 3.2.4 远程维护...........................................................................................14 3.2.5 消息管理...........................................................................................14 3.3 策略配置......................................................................................................15

3.3.1 新建策略...........................................................................................15

3.3.1.1 资产策略................................................................................17 3.3.1.2 日志策略................................................................................19 3.3.1.3 通讯策略................................................................................20 3.3.1.4 外设控制................................................................................21 3.3.1.5 非法外联策略........................................................................22 3.3.1.6 服务进程管理........................................................................22 3.3.1.7 程序行为审计........................................................................23 3.3.1.8 存储控制................................................................................24 3.3.1.9 文件操作审计........................................................................26 3.3.1.10 上网行为控制......................................................................26 3.3.1.11 上网行为审计......................................................................27 3.3.1.12 ARP侦听策略........................................................................28 3.3.1.13 补丁分发..............................................................................30 3.3.1.14 屏幕控制..............................................................................32 3.3.1.15 软件分发..............................................................................33 3.3.1.16 802.1X....................................................................................34 3.3.1.17 防病毒..................................................................................35 3.3.1.18 客户端配置..........................................................................36

无忧在线终端与内网安全管理系统

用户手册

3.3.1.19 文件加密配置策略..............................................................37 3.3.1.20 流量控制与审计..................................................................39 3.3.1.21 客户端UI策略.....................................................................40 3.3.1.22 客户端漫游策略..................................................................40 3.3.2 策略管理...........................................................................................41 3.3.3 新建时间对象...................................................................................42 3.3.4 时间对象查询...................................................................................43 3.3.5 客户端策略查询...............................................................................43 3.3.6 节点策略查询...................................................................................44 3.3.7 统一认证用户配置...........................................................................44 3.3.8 自定义分组策略查询.......................................................................45 3.4 日志审计......................................................................................................45

3.4.1 网络行为审计...................................................................................45 3.4.2 程序行为审计...................................................................................46 3.4.3 文件访问审计...................................................................................46 3.4.4 报警日志...........................................................................................47 3.4.5 客户端系统日志...............................................................................48 3.4.6 服务器日志.......................................................................................48 3.4.7 补丁分发日志...................................................................................49 3.4.8 操作系统日志...................................................................................49 3.4.9 服务器级联日志...............................................................................50 3.4.10 移动存储日志.................................................................................50 3.5 数据查询......................................................................................................50

3.5.1 客户端查询.......................................................................................50 3.5.2 补丁库查询.......................................................................................55 3.5.3 补丁分组查询...................................................................................55 3.5.4 添加自定义软件...............................................................................56 3.5.5 查询自定义软件...............................................................................56 3.5.6 主机在线查询...................................................................................57 3.5.7 客户端综合查询...............................................................................57 3.5.8 客户端风险查询...............................................................................57 3.5.9 防病毒软件查询...............................................................................58 3.5.10 客户端流量查询.............................................................................58 3.6 查询统计......................................................................................................58

3.6.1 访问统计...........................................................................................58 3.6.2 操作系统统计...................................................................................58 3.6.3 补丁风险类型统计...........................................................................59 3.6.4 CPU类型统计.....................................................................................59 3.6.5 硬盘容量统计...................................................................................59 3.6.6 客户端内存统计...............................................................................59 3.7 服务器管理..................................................................................................60

3.7.1 服务器工作状态...............................................................................60 3.7.2 服务器配置.......................................................................................60 3.7.3 服务器参数配置...............................................................................61

无忧在线终端与内网安全管理系统

用户手册

3.7.4 本地升级...........................................................................................61 3.7.5 日志自动清除...................................................................................62 3.7.6 客户端卸载密码...............................................................................62 3.7.7 截屏路径设置...................................................................................63 3.8 服务器级联..................................................................................................63

3.8.1 上级服务器配置...............................................................................63 3.8.2 下级服务器配置...............................................................................63 3.8.3 登陆下级服务器...............................................................................64 3.8.4 策略分发...........................................................................................64 3.8.5 下级服务器策略查询.......................................................................64 3.9 用户管理......................................................................................................65

3.9.1 添加账户...........................................................................................65 3.9.2 账户管理...........................................................................................66 3.9.3 添加角色...........................................................................................67 3.9.4 角色管理...........................................................................................67 3.9.5 修改密码...........................................................................................68 3.10 下载............................................................................................................69

3.10.1 客户端管理.....................................................................................69 3.10.2 组态报表.........................................................................................70 3.11 帮助............................................................................................................75

3.11.1 激活产品.........................................................................................75 3.11.2 关于.................................................................................................76前言

本安装手册主要介绍无忧在线内网安全管理系统架构、配置、使用和管理。通过阅读本文档，用户可以了解无忧在线内网安全管理系统的基本设计思想，并配置和使用无忧在线内网安全管理系统。

本章内容主要包括：  本文档的用途 

阅读对象



本文档的组织结构  本文档的基本约定



如何联系无忧在线技术支持

1.1 文档目的

本文档主要介绍如何配置和使用无忧在线内网安全管理系统。通过阅读本文档，用户能够正确地部署和配置无忧在线内网安全管理系统。

无忧在线终端与内网安全管理系统

用户手册

1.2 读者对象

本安装手册适用于具有基本网络知识的安全管理员、系统管理员阅读，通过阅读本文档，他们

可以独自完成以下一些工作：

 无忧在线内网安全管理系统的功能使用

 无忧在线内网安全管理系统的策略配置下发与管理。

1.3 文档组织

本文档包括以下章节及其主要内容：

 前言。介绍了本手册各章节的基本内容、文档和技术支持信息。

 系统简介。介绍无忧在线内网安全管理系统 的系统组成、体系架构和一个简单的网络部署实例。

 系统应用。介绍如何配置使用无忧在线内网安全管理系统。

1.4 技术支持

启越科技对于生产的安全产品提供远程的产品咨询服务，广大用户和合作伙伴可以通过多种方式获取在线文档、疑难解答等全方位的技术支持。

1）在线支持

官方论坛bbs.wuyouonline.com提供交互网络服务，用户及合作伙伴可以在世界的任何地方，任何时候访问 bbs.wuyouonline.com技术支持中心，获取实时的网络安全解决方案、安全服务和各种安全资料。

 全国统一热线服务电话： 400-668-0255  传真: 0754-88177038  公司电话：0754-88177799  客服经理承接质量问题投诉邮箱：support@wuyouonline.com 2 系统简介

无忧在线终端与内网安全管理系统是无忧在线内网安全管理系统安全管理平台产品的重要组成部分，部署在企业的内部网络中，用于保护企业内部资源和网络的安全性。

无忧在线终端与内网安全管理系统

用户手册

无忧在线终端与内网安全管理系统可以对内部终端计算机进行集中的安全保护、监控、审计和管理，可自动向终端计算机分发系统补丁，禁止重要信息通过外设和端口泄漏，防止终端计算机非法外联，防范非法设备接入内网，有效地管理终端资产等。无忧在线终端与内网安全管理系统可以与防火墙、漏洞扫描设备进行有机联动，共同提供全网安全解决方案。

2.1 系统架构

无忧在线终端与内网安全管理系统由客户端模块、服务器模块、控制台三部分组成。客户端代理模块对终端计算机进行监控，需要部署于每台需要被管理的终端计算机上，用于收集数据信息，并执行来自服务器模块的指令。

服务器模块存储终端安全策略、终端计算机信息、漏洞补丁数据等等，并由服务器向终端计算机客户代理模块发送指令。此模块安装在具有高性能CPU和大容量内存的服务器上。

控制台采用B/S结构可以运行在网络中的任意一台计算机上，用来监控每台安装有代理模块的计算机，管理各类审计系统，制定安全策略。

系统结构如下图所示：

无忧在线内网安全管理系统子系统中各功能如下：

控制台：是对服务器进行操作的控制界面，用于监控每台安装有客户端的终端计算机，制定安全策略，下达对终端计算机的监控指令等。

无忧在线终端与内网安全管理系统

用户手册

服务器：用于管理终端计算机的资产和系统信息、漏洞补丁数据、所应用的安全策略等，并向终端计算机的客户端发送监控指令等。

客户端：安装在每台被管理的终端计算机上，用于收集终端计算机的数据信息，执行来自服务器模块的指令，完成对终端计算机的监控等。

2.2 系统功能

无忧在线内网安全管理系统桌面安全管理重点解决客户端计算机桌面安全管理和行为的审计。无忧在线终端与内网安全管理系统可以对客户端的防病毒软件的安装、运行及病毒库升级与否进行管理，可以对用户的文件、进程、上网行为等进行管理，并可以对客户端计算机上的文件、应用程序、上网行为等进行详细的审计。桌面安全管理可以分为桌面安全管理和桌面行为两个大的功能项。

2.3 登陆账号

用户使用不同的账号登陆，获得不同的用户操作权限，在用户登陆窗口输入默认的管理员账号、密码、验证码，三项输入正确无误后点击登陆进入相应的系统操作界面。

系统默认账号管理员：admin，密码：admin123； 系统默认系统操作员：operator，密码：operator123； 系统默认审计员账号：auditor，密码：auditor123； 系统默认一般用户账号：guest，密码：guest123；

2.4 系统登陆

管理员可以通过http协议以WEB访问的方式对无忧在线内网安全管理系统进行远程管理。在访问时，管理员需要在管理主机的浏览器上输入无忧在线内网安全管理系统服务器的管理URL加上端口号和路径。

http://服务器ip:8080/esms，弹出如下的登录页面：

无忧在线终端与内网安全管理系统

用户手册 系统应用

3.1 分组管理 3.1.1 客户端分组

点击“分组管理→客户端分组”会出现以下界面：

在这可以对客户端进行分组管理。选中父节点（全部分组）后，可以对组进行“新建分组”、“修改分组信息”、“删除分组”的操作。

无忧在线终端与内网安全管理系统

用户手册

选中分组时右侧会显示隶属于分组的客户端，选中右侧客户端后可以对其进行“移动”（更换到其他组）、点击“客户端自动分组”自动把“本地服务器”下的客户端分到相应ip段的新建分组里。

点击“分组管理→客户端分组→新建分组”会出现以下界面:

在“分组名称”中输入新建组的名称。

在默认分组中输入工作组所对应的起始IP到终止IP。新装的客户端会根据IP范围直接加入到指定的组中。描述中可以添加改组相应的备注。然后单击“确定”。

点击“分组管理→客户端分组→修改分组信息”会出现以下界面：

在这个界面内可以对已存在的分组信息，进行编辑、修改。

点击“分组管理→客户端分组→删除分组”（在删除前请选中要删除的分组）会出现以下对话框：

无忧在线终端与内网安全管理系统

用户手册

点击“确定”即完成删除操作。

点击“分组管理→自定义分组”会出现以下界面：

“自定义分组”中用户可以按照不用的搜索条件（如：主机名称、软件名称、操作系统类型等）对客户端进行筛选。然后对这些特殊的客户端进行查询和管理。

3.1.2 自定义分组

点击 “分组管理>>自定义分组”出现以下界面：

用户可以把用户保存不同分组，点击“保存到分组”—“选择已有分组”—“提交”，如果没有划分分组，可以先新建分组。

无忧在线终端与内网安全管理系统

用户手册

3.1.3 自定义分组管理

点击“分组管理→自定义分组管理”会出现以下界面：

用户可以在“自定义分组管理”中按照“组名”和“创建者”查询分组的情况。

3.2 客户端维护 3.2.1 多机维护

选择多个客户端点击“卸载客户端”，即可卸载安装客户端。

选择多个客户端点击“锁定”即可锁定多个客户机。

选择多个客户端点击“解锁”即可解除被锁定的多个客户机。选择多个客户端点击“断网恢复”即可使多个客户端网络恢复。

选择多个客户端点击“发送消息”。

无忧在线终端与内网安全管理系统

用户手册

发送消息时弹出如下页面：

在“主题”栏内填写要发送消息的题目，“内容”内填写要发送的内容。点击“提交”。客户端将提示：

3.2.2 单机维护

无忧在线终端与内网安全管理系统

用户手册

选择客户机点击“屏幕监视”按键即可看到客户机现在的屏幕操作。选择客户机点击“修改用户信息”，可直接对客户端的用户名进行修改。选择客户机点击“修改工作组”，可对客户端的工作组进行修改。选择客户机点击“修改主机名”

在“客户端主机名称”栏内从新给客户机命名点击“提交”按钮。

3.2.3 远程控制

选择客户机单击“远程控制”按钮即可控制客户端。

无忧在线终端与内网安全管理系统

用户手册

3.2.4 远程维护

选择客户机单击“远程维护”按钮，客户端会弹出对话框，选择允许即可控制客户端。

3.2.5 消息管理

选择，“客户端维护>>消息管理”，出现以下界面：

消息管理可以对客户端发送的消息进行查询，可以根据“客户端名称”或“消息标题”进行查询。

日志显示了，“客户端名称”、“消息标题”、“发送时间”、“状态”等。

选中要删除的消息单击“删除”按钮即可删除消息。点击消息可查看详细内容：

无忧在线终端与内网安全管理系统

用户手册

3.3 策略配置 3.3.1 新建策略

点击“策略配置→新建策略”会出现以下界面：

在“新建策略”中设置策略子项，这些子项都有一个属性的管理界面，如下图：

无忧在线终端与内网安全管理系统

用户手册

在这个属性界面中，用户可以自定义策略的名称，根据策略的具体内容做相关的描述。

策略优先级：

每条策略用户管理员都可以自定义其级别。级别越高需执行的力度越大。数字越大级别越高。默认级别为5。新建策略时必须填写策略级别。

是否启动：

这里的这个对勾是该策略的启动按钮。勾选上以后该策略才会生效。不勾选则该策略不生效。

时间对象：

用户可以根据自身的需求建立不同的时间范围。使策略在不同的时间范围内生效。可以通过“策略配置>>新建时间对象”来创建时间对象。详见1.3.3。用户场景→可启用种用户类型的管理

 本地认证用户：

基于本地用户登录时所用的账号。来控制策略所执行的用户范围。本地用户系指本地计算机上开设的账户。

 统一认证用户：

无忧在线终端与内网安全管理系统

用户手册

系指在网络内统一的账户服务系统，为每个用户开设一个唯一账户。例如微软的Active Directory（即常说的AD域）

本产品支持微软Active Directory和Novell的eDirectory两种LDAP账户系统。

网络场景：

设置策略在何种网络场景下生效，分为在线（和服务器联通）、离线（和服务器连接断开）、以及在线或离线的任意场景。

告警信息：

当策略被触发时可启动自动的报警与响应，管理员可以选择对客户端做如何的操作。具体的响应包括：发送消息；锁定计算机；断开网路(可设置断网时间和在断网情况下的可连接服务器IP地址)；向服务器发送邮件；在客户端弹出URL地址；若802.1X认证失败后的认证恢复时间。

策略设置完成后点击“保存”保存策略。“脚本查看”是管理员用来检验判断策略是否正确。点击“重置”重新来填写属性内容。

3.3.1.1 资产策略

点击“策略配置→新建策略→资产策略”右下角的新建策略会出现以下界面：

无忧在线终端与内网安全管理系统

用户手册

并可以根据用户自己的实际环境来选择上报时间和上报内容。此策略只是负责检测客户端的软件，硬件的变化情况，不具备控制和禁止的功能，当检测到变化后会以设置的报警方式产生报警响应。

上报方式：开机上报、有变化上报、定时上报用户可以根据自己的实际情况上报方式。定时间隔：勾选定时上报，可自定义上报间隔时间，上报后保存到数据库中，以便用户实时的查询。

软件变化和硬件变化都可分别选择是否记录和报警

资产类型：可选择记录核心资产、非核心资产，此两者的内容可在自定义资产中自行选择分类。

无忧在线终端与内网安全管理系统

用户手册

选取上报自定义资产选项后，客户机将上报指定的自定义资产信息

3.3.1.2 日志策略

“日志策略”用来设定客户端记录各种日志的参数，以及日志压缩和上报。点击“策略配置→新建策略→日志策略” 的“新建策略”按钮会出现以下界面

无忧在线终端与内网安全管理系统

用户手册

用户在“日志策略”中可以选择系统需要记录的日志。包括：系统日志、调试日志、报警日志、审计日志。以及这些日志的上报间隔和日志要保存的天数。日志若选择不记录，那么上报间隔和保存时间都可以不用填写。

注意：必须开启此策略，才可查看客户机的各种日志。

3.3.1.3 通讯策略

“通信策略”用来设置客户端和服务器之间通信的间隔、通信方式等参数。点击“策略配置→新建策略→通讯策略” 的“新建策略”按钮会出现以下界面：

无忧在线终端与内网安全管理系统

用户手册

心跳间隔时间：

指客户端和服务器通行的时间间隔。超时时间是指服务器判断客户端是否掉线的时间依据。若网络连接等待超过了设置的超时时间，则系统会认为连接失败，即心跳失败。这个功能用于一些大型的网络。终端过多或者网络慢有延时的情况下，为了缓解服务器的压力，适当的可以把心跳时间调大。

注意：通信策略是基础策略，必须启用。

3.3.1.4 外设控制

“外设控制”可以控制客户端外部设备的使用许可，对客户端的违规行为做出报警响应。

点击“策略配置→新建策略→外设控制” 的“新建策略”按钮会出现以下界面：

无忧在线终端与内网安全管理系统

用户手册

可以设置控制客户端外设的使用，启用或禁用光驱、软驱、USB移动存储设备、USB全部接口、打印机、调制解调器、串、并行口、1394控制器等红外设备。

禁用后，在接受策略的客户端的设备管理器中，对应设置禁止使用的设备出现红色的小叉。

3.3.1.5 非法外联策略

“非法外联策略”对要求物理隔离的内网客户端，可以实时监控其是否能够非法连接外部网络，并产生报警响应。

点击“策略配置→新建策略→非法外联策略” 的“新建策略”按钮会出现以下界面：

用户可以选择IP探测（192.168.1.1）、IP加端口探测（如192.168.1.1:80）、域名探测（）来检测客户端是否非法外联。

探测周期：指服务器多长时间对客户端进行一次探测。

探测方法：可单选也可复选，三种方式都有样例，照样例输入就可以。

3.3.1.6 服务进程管理

服务进程管理”可以控制终端的应用程序进程和服务的运行状态。建立应用程序和服务的黑白名单，可以对用户的违规行为进行报警。

点击“策略配置→新建策略→服务进程管理” 的“新建策略”按钮会出现以下界面：

无忧在线终端与内网安全管理系统

用户手册

针对进程的管理：

进程名：在这填写需要控制的进程名，不需要填写进程的安装路进。例如：针对迅雷的策略就填写“thunder.exe”

是否报警：勾选上；在用户违反策略的时候客户端会报警信息。不勾选，客户端则不会弹出报警信息。

控制状态：必须运行、禁止运行、允许运行。

填写好相关信息后点击添加。在下方的列表中可以查看、删除设置。

针对服务的管理：

服务名：填写需要控制的服务名。

是否报警：勾选上；在用户违反策略的时候客户端会报警信息。不勾选，客户端则不会弹出报警信息。

填写需要控制服务的启动类型：禁止、手动、自动。

填写需要控制服务的控制状态：必须运行、禁止停止、允许运行。填写好相关信息后点击添加。在下面的列表中我们查看、删除信息。

3.3.1.7 程序行为审计

点击“策略配置→新建策略→程序行为审计”右下角的新建策略会出现以下界面：

无忧在线终端与内网安全管理系统

用户手册

审计系统进程：勾选则记录系统进程日志。不勾则不记录。

信任程序名称：系统默认记录所有进程的相关日志。在信任程序名称中填写不需要做审计的进程名。建立信任进程列表。列表内程序将不被记录。其他所有程序的运行情况将记入日志。

设置策略后，可以在软件的日志审计—程序行为中看到审计结果。

3.3.1.8 存储控制

点击“策略配置→新建策略→存储设备管理”

点击“增加新的移动设备”出现以下界面：

无忧在线终端与内网安全管理系统

用户手册

客户端接受服务器发来的经过认证的U盘列表。移动存储首先要把服务器的ip地址设置为信任站点，然后点表格中的“添加新的移动存储”，在弹出的页面中点“注册码”，在出现如下页面后再插入U盘，读取出U盘的注册码拷贝到前一个页面的注册码中，然后点提交。

点击“策略配置→新建策略→存储控制策略”右下角的新建策略会出现以下界面：

禁止的固定盘符：可直接禁止指定的盘符。

无忧在线终端与内网安全管理系统

用户手册

仅允许使用授权设备：被下发策略的客户端只允许使用授权设备，其他移动存储设备不允许使用。

移动存储设备只读：被下发策略的客户端在使用注册的存储设备时，只有只读权限。在限制使用的同时，还可以对存储设备进行审计： 审计授权设备：对指定授权的存储设备进行审计；

审计非授权设备：对非授权设备进行日志审计，在列表中可设置免于审计的设备。将策略保存后下发给相应客户端即可。

3.3.1.9 文件操作审计

点击“策略配置→新建策略→文件操作审计”右下角的新建策略会出现以下界面：

对预先指定的文件或者指定后缀的文件的复制、打开、读取、写入、删除、移动、共享、打印等事件进行监控当事件发生时，进行报警。

可以填写指定的文件名，填写的文件的全称加文件的后缀，并写入文件的绝对地址。例如：C:文档.doc；也可以用通配符*.面加要审计的文件的后缀.例如：*.doc 操作：选上是指当对文件执行选中的操作时，服务器将报警。

3.3.1.10 上网行为控制

点击“策略配置→新建策略→上网行为控制”右下角的新建策略会出现以下界面：

无忧在线终端与内网安全管理系统

用户手册

控制客户端的上网行为，可以对网站、IP地址、本地端口、远程端口做控制。并且在客户端产生报警。

标志类型：用户根据实际情况选择对终端的域名、IP地址、本地端口、远程端口做出控制。在下面的内容中填写相应的信息。在控制类型选择允许访问或者禁止访问。可在一个输入框中填写多条记录，以分号分隔。

是否报警：勾选上；在用户违反策略的时候客户端会报警信息。不勾选，客户端则不会弹出报警信息。

注意：客户端对域名进行解析后得到的IP可能不相同，如有可能，在客户端上禁止此URL的解析。例如，在hosts文件中强行写入此域名，并不得更改。支持通配符。

网页：指定网页URL。不含域名或IP地址，只包含访问路径。支持通配符。网络访问模式：指定目标IP地址、端口。以上均可定义多组。

3.3.1.11 上网行为审计

点击“策略配置→新建策略→上网行为审计”右下角的新建策略会出现以下界面：

无忧在线终端与内网安全管理系统

用户手册

该功能界面可以对终端的上网行为做审计。记录对网站和网页的访问记录。还可以自定义终端上网行为的黑白名单。1.客户端不下发本策略,则不记录上网行为;2.客户端下发列表为空的策略,则记录在案所有上网行为(仅审计HTTP协议);3.下发有列表的策略列表客户端,则记录除列表之外的其它上网操作。

标识类型：单选框，用户可以自定义域名和IP。

内容：根据选择的标识类型进行相匹配的设置。选择域名 例如：;选择IP 例如：202.130.196.116；

添加完的内容要点增加按钮添加到列表中。该列表为终端上网行为的白名单，即不做审计的上网行为。

策略应用成功后，可以在日志审计→程序行为中直接看到结果。

3.3.1.12 ARP侦听策略

点击“策略配置→新建策略→ARP侦听策略”会出现以下界面：

无忧在线终端与内网安全管理系统

用户手册

使用者须先了解以下概念“合法主机”、“非法主机”、“信任主机”、“超级主机”。 “合法主机”是指安装过客户端且客户端处于运行状态的终端。 “非法主机”是指客户端未运行或没有安装过客户端的终端。

 “信任主机”是对于没有安装客户端或者没有执行安全策略的主机，如想不被干扰，则可以将该主机在阻断组中设置为信任主机。

IP地址和掩码配置正确的情况下，添加信任主机才有效。信任主机可以和同一子网内的合法主机相互通信，但是不能和非法主机互相通信。

“超级主机”是可以和任意的主机互相通信（包括非法主机）。

安全接入服务器自动成为超级主机。如果设置网关为信任主机，则非法主机不能连接内网，也不能和合法主机通信。如果这时网关为超级主机，则非法主机虽然不能和合法主机通信，但是可以通过网关连接外网。选项说明：

 在“工作时间”处填入一个时间段，用来指定阻断生效的时间范围；

 设置“干扰服务器每次发包个数”、“干扰时间”、“持续干扰时间”，可以指定

无忧在线终端与内网安全管理系统

用户手册

干扰强度，发包数越大、干扰时间越短、持续时间越长，则干扰效果越明显，但占用资源也随之增大；

 只扫描：只进行对在线主机的扫描，通过扫描可以查看主机的合法性，但不进行干扰。

 是否启用全网络干扰：启用全网络干扰后，非法用户将无法与合法用户进行通信，即使在干扰后安装了客户端也会永远被干扰下去。（此设置非常严格，请慎用） “主机上线不干扰时间”是指刚开机的计算机在未安装客户端程序的情况下，留出一个缓冲时间，供其到服务器上下载安装客户端，成为合法主机。超过此时间而未完成客户端程序安装的即视为非法主机予以阻断；

 设置好“合法主机”、“非法主机”、“信任主机”、“超级主机”，这些主机不予阻断；

 干扰未安装防病软件配置是指开启阻断后如果不安装用户指定的杀毒软件则对其进行阻断。

点击“保存”就完成该策略的新建。重要说明：

此策略使用ARP协议进行阻断，与网络环境密切相关。如果交换机上开启MAC地址与IP地址绑定或其他非MAC地址自学习方式，或者网络内部署了ARP防火墙，则此策略无法生效。

详情请向厂商工程师咨询。

3.3.1.13 补丁分发

根据客户端的补丁安装情况。用户可以自定义给客户端进行补丁的下发。还可以根据补丁的风险级别，自定义补丁的下发时间、补丁安装时间以及补丁的处理时间。

点击“策略配置→新建策略→补丁分发”会出现以下界面：

无忧在线终端与内网安全管理系统

用户手册

启用微软自动更新选项，如果选用则不用设置其他选项，因为您已经选择了使用微软的自动更新进行补丁的下载和安装。

推荐：建议不启用微软自动更新，设置以下选项，具体含义：

 补丁分析频率：客户端分析服务器补丁更新的时间，已决定是否更新。 补丁下载时间：发现客户端如果需要更新的话，补丁什么时间下载。 补丁安装时间：是指补丁下载后具体的安装时间。

 安装方式：对于不同风险级别的补丁，有四种安装方式可以选择：A强制 B通知 C不操作 D 静默安装。

 下载方式：针对您的实际情况，我们提供三种下载方式: HTTP，FTP，FTP。 过滤选项：可设定过滤组，组内的补丁将不安装客户机上。

 补丁回退分组：设定回退分组，可将已安装在客户机上的补丁进行回退（须补丁支持）；

无忧在线终端与内网安全管理系统

用户手册

 允许从微软下载：本产品支持从服务器上下载补丁，也可从微软网站上下载补丁。 报警风险值设定：可根据客户机上缺少补丁的风险级别决定采用什么措施。例如可设定紧急风险补丁的权重值为80%、高风险为40%、中风险为20%、低风险为10%，每种补丁的个数乘以权重值并累加，即可得知客户机的漏洞与补丁的风险总值。本策略可在输入框内输入一个风险阈值，当超出此阈值时可触发自动报警，帮助管理掌握客户机上的漏洞与补丁风险。

3.3.1.14 屏幕控制

点击“策略配置→新建策略→屏幕监控”会出现以下界面：

用户可以在“屏幕监控”中开启屏幕监控策略。可以根据实际情况来设置上报屏幕的抓图。

具体内容：

 记录方式：我们提供两种：有变化记录屏幕和定时记录屏幕两种。 记录间隔：我们以秒进行设定。

 上报时间：是只客户端多长时间上传一次保存图象。

 图象压缩比： 结合客户端的硬盘空间和上述设置可以选择不同三种方式：高，中，低三种。

无忧在线终端与内网安全管理系统

用户手册

 磁盘空间超过30MB后：在客户端上的屏幕截图存储超过30MB后，可选择删除部分最早期的图片文件或者不保存新的图片两种模式。

3.3.1.15 软件分发

点击“策略配置→新建策略→软件分发”会出现以下界面：

用来给客户端下发用户自定义软件类型、软件的分发时间以及软件的安装时间和目标存储路径。点击“保存”即完成了该策略的建立。

选择软件：所选择的软件必须是先添加到自定义软件中的，添加过程可从数据查询－>添加自定义软件。具体详看相应操作。

软件下载时间：指软件具体的下发时间。

软件安装时间：指软件下发后安装的时间。

目标存放路径：如果选择默认目录或者桌面，您就不用进行其他的路径选择，如果您选择的是用户自定义的路径，则您需要手动输入路径。

软件安装方式：提供强制和通知两种，强制是不需要用户干预的（须软件本身支持）。下载方式：提供四种：HTTP，P2P，FTP，共享服务器。

无忧在线终端与内网安全管理系统

用户手册

共享目录：当下载方式选择“共享服务器”时，在这里输入共享服务器的共享目录的绝对路径地址，客户机收到软件分发策略时，可自动去指定地址寻找并下载软件，并在客户机上安装。

3.3.1.16 802.1X 点击“策略配置→新建策略→802.1X”会出现以下界面：

这个功能界面能实现，已经安装客户端程序的主机（受控主机、受信主机）允许接入网络，否则交换机将其阻断在网络之外。网络中的交换机和终端与内网安全管理系统联动，在交换级上设置好802.1X的认证服务端，账号密码，客户端通过交换机传输数据来访问网络。

交换机型号：软件支持交换机的型号。

用户名、口令：是交换机登陆时使用的用户名和口令。检测连接间隔：交换机检测客户端在线的时间间隔。

认证失败后提示：当交换机和客户端尝试建立连接失败以后，客户端会提示连接失败。重复认证次数：是指客户端与交换机断开连接之后。客户端主动和交换机进行建立连接的次数。

重复认证间隔：是指客户端交换机间隔多时间后和客户端进行连接。

无忧在线终端与内网安全管理系统

用户手册

3.3.1.17 防病毒

点击“策略配置→新建策略→防病毒软件” 的“新建策略”按钮会出现以下界面：

客户端应该安装杀毒软件来防止病毒。用户可以在这个功能界面设置相应的策略来检测客户端防毒软件的安装情况，以实现强制使用杀病毒软件来保护内网不受病毒侵袭。

检测间隔：隔多长时间服务器会对客户端的防病毒软件安装情况进行检测。

报警类型：选择“未安装——任意”客户端没有安装任何杀毒软件就会报警；“未启动”客户端没有启动任何杀毒软件

病毒库不是最新就会报警：是只要程序检测到客户端装的不是最新的防病毒软件的版本就会报警。

检测内容：.1.“检测内容”当中的“任意”,表示只要安装一种防病毒软件即可.；2.“检测内容”当中的“指定列表”,表示必须至少安装指定列表当中的一种防病毒软件。最小版本可是制定软件的具体版本号。

上报防病毒软件信息：可选择启动上报和有变化上报两种。

无忧在线终端与内网安全管理系统

用户手册

3.3.1.18 客户端配置

在“禁止修改主机ip”和“禁止修改主机名”对话框打勾，即可禁止用户本机IP地址以及主机名的修改；

启动“禁止修改主机名”，客户端将无法自行修改自己的主机名； 启用“禁止网络连接”可阻止所有网络通讯（服务器除外）； 启用“禁止IE选项”可禁止用户自行修改IE属性； 启用“锁定设备管理器”可禁止用户使用设备管理器； 启用“关闭默认共享”可以关闭系统开启的网络共享； 启用“禁止发送到”可禁止在桌面菜单上使用“发送到”功能； 启用“禁用网上邻居”可禁止网上邻居的访问； 启用“禁用打开控制面板”可禁止控制面板的访问；

无忧在线终端与内网安全管理系统

用户手册

启用“禁用运行”可禁止开始菜单中的“运行”菜单；

启动“禁止非与服务器通信网卡”可禁止除与服务器通信的网卡以外的所有网卡驱动； 启用“IE设置代理服务器”可禁止客户端在IE浏览器的选项中设置代理服务器； 启动“认证失败账户锁定”，客户端进行安全接入认证失败后将被锁定，（可设置账户锁定时间、阀值和账户复位时间）；

启动“同步客户端时间”，客户端的时间强制与服务器的时间同步；

防范ARP病毒，选择“绑定指定ip和mac” 和“绑定所有客户端IP和MAC”即可防止ARP病毒的干扰。前者绑定指定的主机，后者绑定网内所有合法机的IP与MAC。

3.3.1.19 文件加密配置策略

点击“策略配置—新建策略—文件加密配置策略”会出现以下界面：

用户可以根据需要设定加密密钥的方式，有以下选项“密码加密”，“硬盘特征加密”，“密码及硬盘特征加密”。

 密码加密：用户设定的加密口令进行加密，只要有解密密码在任何机器都可以解开加密文件。 硬盘特征加密：根据用户硬盘特征值进行加密，此文件只能在本机解密，拿到其他机器不能解密文件。

无忧在线终端与内网安全管理系统

用户手册

 密码及硬盘特征加密：前两种方式的结合，只能在本机解密，并需要密码。管理员设定用户密码加密的长度，最小长度8-30.客户端操作：

策略下发到已安装客户端机器后，根据管理员设置不同加密方式进行加密，下图使用口令加密操作方式。

用户在文件点击右键，选择加密文件，打开加密界面，用户设置加密密码，输入两次，加密长度根据管理员设定。

小提示：密码长度至少8位，请妥善保管您的密码，遗失密码可能导致改文件无法恢复，请用户设定密码时一定要记住使用的密码。

加密后的文件后缀默认为JDE。

用户根据需求一次可以选择多个文件，点击右键进行加密。

在已经加密后的文件上点击右键，在弹出的菜单上点击解密菜单项，如果该文件在加密时使用了密码，那么就弹出一个要求用户输入密码的窗口，在密码校验正确后，开始还原流程。

无忧在线终端与内网安全管理系统

用户手册

3.3.1.20 流量控制与审计

点击“策略配置→新建策略→流量控制与审计”打开配置页面。

1.用户选择“启动流量审计”，勾选后开启终端的流量审计功能。

检测间隔：终端每隔多少时间对流量进行一次审计,以每分钟做计量单位。上报间隔：终端每隔多少时间对审计过的流量对服务器上报一次。2.用户选择“启动流量控制”，勾选后开启终端的流量控制功能。

检测间隔：终端每隔多少时间对流量进行一次审计,以每分钟做计量单位。统计间隔：终端多少时间内对流量进行一次统计，如果在一定统计周期内流量超过预设的阀值，则会对终端发送告警消息，或锁屏，中断网络等行为。

流量类型：可选择上行、下行和总量。流量峰值：设置达到流量的上限。

说明：1.流量控制中的统计间隔最好为检测间隔的倍数。

4.告警消息可在“属性”中，其中有以下功能选项“弹出消息”，“锁定计算机”，“断开网络”，“服务器发送邮件”

无忧在线终端与内网安全管理系统

用户手册

3.3.1.21 客户端UI策略

点击“策略配置→新建策略→客户端UI策略”打开配置页面。

启动“主动上报自定义资产”，客户端会自动弹出收集自定义资产对话框，客户端用户根据要求输入即可； 启动“消息自动弹出”，消息下发给客户端后会在屏幕中间自动弹出，时效性高。

3.3.1.22 客户端漫游策略

点击“策略配置→新建策略→客户端漫游策略”打开配置页面。

无忧在线终端与内网安全管理系统

用户手册

IP地址：这里输入多个服务器IP地址A、B、C，将策略下发给指定客户端，当客户端在A服务器管理范围内的时候，将受到A的管理；当客户端脱离A服务器进入B服务器管理范围内时，受到B的管理。

3.3.2 策略管理

点击“策略配置→策略管理”，会出现以下界面：

用户在点击“策略管理”可以查看策略名称、创建者、策略类型、描述、最后修改时间，用户还可以在这对策略进行删除、修改和分发的操作。

点击“删除策略”即删除该条策略。

无忧在线终端与内网安全管理系统

用户手册

点击“修改策略”可以对已经建立的策略进行重新的编辑修改。点击“分发策略”会出现以下的对话框：

可指定此策略下发到哪些客户机上和哪些计算机分组上。

用户在这个界面可以再次审查策略的内容。选择要执行该策略的客户端点击“提交”即完成了该条策略的下发。

3.3.3 新建时间对象

点击“策略配置→新建时间对象”会出现以下的界面：

用户在“策略对象管理”添加时间的场景，设置“时间场景”的具体名称、描述、包含的时间段，然后点击“增加”完成“时间场景”的添加。

“增加”完成后，会直接跳转到“时间对象查询”。用户可以通过点击“对象名”对建立好的时间场景进行编辑、修改、删除。

无忧在线终端与内网安全管理系统

用户手册

3.3.4 时间对象查询

点击“策略配置→时间对象查询”会出现以下界面：

用户可以按照“对象名”、“ 创建者”、“创建时间”来查询用户已经建立的时间对象。

3.3.5 客户端策略查询

点击“策略配置→客户端策略查询”会出现以下界面：

管理员可以在“客户端策略查询”处查看每个客户端的执行策略。点击客户端名称可进入如下页面，对已经建立好的策略进行修改、删除的操作。

每个客户端所执行的策略是其组以及其组所属的根组加上客户端本身的策略。如果客户端本身和上级组的策略级别一致，则按照上级组的策略执行。

无忧在线终端与内网安全管理系统

用户手册

如果上级组的策略优先等级低于客户端本身的策略优先等级则执行最小授权。

3.3.6 节点策略查询

点击“策略配置→节点策略管理”会出现以下界面：

用户在“节点策略查询”处查看客户端组的执行策略。点击自定义的节点名称还可以对已经建立好的策略进行修改、删除的操作。

3.3.7 统一认证用户配置

如启用统一认证用户管理，须在本菜单设置统一用户服务器的相关信息。

 “同步间隔”输入间隔时间如“1”小时。

 “统一用户认证类型”选择novell 或者windows 域模式。 “统一用户认证服务器ip”填写域服务器的ip地址。

 “统一用户认证服务器端口”题写默认的与服务器端口如：“389”。 “服务器登陆用户名”填写登陆域用户名。 “服务器登陆密码”填写登陆域用户密码。

无忧在线终端与内网安全管理系统

用户手册

3.3.8 自定义分组策略查询

点击“策略配置→自定义分组策略查询”会出现以下界面：

点击自定义分组，即可看到分组被下发的策略。

3.4 日志审计

日志审计使用“日志审计账户“登陆，用户名auditor 密码：auditor 123.3.4.1 网络行为审计

点击“日志审计→网络行为审计”会出现以下界面:

无忧在线终端与内网安全管理系统

用户手册

当用户设置并开启关于“网络规则”的策略后，系统会实时记录客户端登录网站地址、登录网站的具体时间等一些相关信息。用户管理员可以在“网络行为”中进行查询。

用户还可以根据时间情况进行有条件搜索，点击“重置”用户可以重新输入新的查询条件。可直接将结果导入导出，支持EXCEL、TXT等报表格式。

3.4.2 程序行为审计

点击“日志审计→程序行为审计”会出现以下界面:

当用户设置并开启关于程序的策略后，系统会实时记录客户端使用应用程序的相关信息。用户管理员可以在“程序行为”中做相关查询。

用户还可以根据时间情况进行有条件搜索，点击“重置”用户可以重新输入新的查询条件。可直接将结果导入导出，支持EXCEL、TXT等报表格式。

3.4.3 文件访问审计

点击“日志访问→文件访问审计”，会出现以下的界面：

无忧在线终端与内网安全管理系统

用户手册

用户对于指定文件进行修改、复制、移动、访问、恢复、创建、删除、打印、改名、共享操作的记录。可直接将结果导入导出，支持EXCEL、TXT等报表格式。

3.4.4 报警日志

点击“日志审计→报警日志”会出现以下界面：

当用户设置了“报警策略”后，系统会实时的记录客户端的每次触发报警策略时的日志。用户管理员可以在“报警日志”中查询客户端具体触发了什么报警策略，以及触发报警策略的时间等。

用户还可以根据时间情况进行有条件搜索，点击“重置”用户可以重新输入新的查询条件。可直接将结果导入导出，支持EXCEL、TXT等报表格式。

无忧在线终端与内网安全管理系统

用户手册

3.4.5 客户端系统日志

点击“日志审计→客户端系统日志”会出现以下界面：

“系统日志”记录了每个客户端登录无忧在线内网安全管理系统的时间以及客户端实时的操作日志。用户管理员可以根据不同的需要按照客户端名称、时间、日志的内容来进行有条件的查看。

点击“重置”用户可以重新输入新的查询条件。可直接将结果导入导出，支持EXCEL、TXT等报表格式。

3.4.6 服务器日志

无忧在线终端与内网安全管理系统

用户手册

“服务器日志”记录了对控制台的操作记录、消息记录例如：新建用户，建立用户时间日期，登陆、登出时间日期等。可直接将结果导入导出，支持EXCEL、TXT等报表格式。

3.4.7 补丁分发日志

记录了对客户机补丁安装的结果。可直接将结果导入导出，支持EXCEL、TXT等报表格式。

3.4.8 操作系统日志

操作系统系统日志、安全日志的详细记录。可直接将结果导入导出，支持EXCEL、TXT等报表格式。

无忧在线终端与内网安全管理系统

用户手册

3.4.9 服务器级联日志

在服务器级联配置完成后，这里就会显示服务器的级联日志。可直接将结果导入导出，支持EXCEL、TXT等报表格式。

3.4.10 移动存储日志

给客户端下发了移动存储策略后，在这里可以查看客户端使用存储日志的情况，可根据条件查询。可直接将结果导入导出，支持EXCEL、TXT等报表格式。

3.5 数据查询 3.5.1 客户端查询

点击“数据查询→客户端查询”会出现以下界面：

接入内网终端管理制度 第2篇

荣昌区数字化城管运行以来，一直在市政局试运行，采集的案件信息仅仅局限于市政局职能职责范围，由于城市管理涉及部门较多，对于信息采集员巡查发现的非市政局管理范围内的问题，数字化城管终端未延伸到相关单位，采集的信息无法通过数字化城管系统派遣处置,而通过电话方式通知相关单位,由于处置单位看不到现场照片的前后比对以及详细的地址相关信息，为及时有效地处置带来一定难度，处置效果不是很理想。根据渝市政委〔2015〕89号文件要求，2016年全面完成系统升级，拓展延伸“纵到街道、横到部门、外延公共、统筹直管单位”的处置终端，切实提升市政管理数字化工作效率。下一步荣昌区数字化城管平台将接入市级数字化城管平台,市级数字化城管平台将对发展新区数字化城管平台全面进行监管、考评，直接关系到市对我区的城市目标考核。区市政园林局负责将数字城管系统专线接入到各处置单位，各处置单位需要配备1台电脑和1名系统操作人员进行案件处置。终端接入部门涉及的部件事件（立案标准：缺失、破损、脱落等；结案标准：修复、拆除等）

交巡警大队：部件（交通设施类）：交通标志牌、交通信号灯、交通信号设施；监控电子眼（公用设施类）等。

环保局： 部件（市容环境设施类）：环保监测站、污水口监测站、污水监测器、噪声显示屏等

交 委：事件（市容环境类）道路破损—昌州大道及城区范围外的道理

规划局： 事件（市容环境类）私搭乱建等

建 委：部件：未移交给市政局的市政设施部件。

工业园区：部件：园区范围内的未移交给市政局的设施部件及事件。

黄金坡管委员：未移交给市政局的市政设施部件。区消防大队：事件（突发事件类）火灾

通讯公司（移动、电信）：部件（公用设施类）通信井盖，通信交接箱；事件（突发事件类）架空线脱落

重庆市电力公司荣昌供电局：部件（公用设施）电力井盖，电力设施，电力设施标示牌，电力立杆，高压线铁塔、变压箱 ；事件（突发事件类）架空线脱落

众友天然气公司：部件（公用设施类）燃气井盖，燃气调压箱；事件（突发事件类）燃起管道破裂

渝荣水务： 部件（公用设施）上水井盖，消防设施

昌元、昌州街道：涉及街道管理范围的部件：市政设施等相关部件：

接入内网终端管理制度 第3篇

当前, 电力企业构建了内部网络以支持自身的信息化建设, 内部网络与互联网物理隔离, 随着内网建设规模的扩大, 信息安全问题也越来越突出[1,2]。目前大部分的网络安全防范重点来自于外部网络, 人们开发应用了防火墙、入侵检测系统 (Intrusion Detection System, IDS) 、入侵防御系统 (Intrusion Prevention System, IPS) 、虚拟专用网 (Virtual Private Network, VPN) 、杀毒软件等软硬件技术, 虽然这些技术部署耗资巨大, 但这些防范措施不足以应对来自企业内部网络的安全问题。而事实证明, 企业内部的不安全因素是影响电网稳定运行的最大威胁, 也是电力企业内部安全管理人员所面临的棘手问题[3]。

内部网络安全的研究, 应回归于终端这个危害信息安全的源头。电网终端的重点终端类型包括:配电网子站终端;信息内、外网办公计算机终端;移动作业终端;信息采集类终端等。对于接入内网的终端, 应阻止非法终端接入内部网络、限制用户的安全行为、加强终端的接入控制。

1 终端接入的现状分析

目前, 对于电力企业内部网络而言, 虽然基本上与互联网隔开, 但仍会受到病毒、漏洞等网络危害的影响, 而且一旦内网受到破坏, 产生的经济效益、社会影响相当巨大。

1.1 常见的终端安全问题[4,5]

1) 没有通过身份认证的终端接入到内网, 并对外进行非法访问;

2) 符合安全策略的内网终端被非法占用, 对信息内网进行非授权的访问;

3) 符合安全策略的内网终端访问了非法网段;

4) 符合安全策略的内网终端在不符合安全评估结果的状态下, 仍然对互联网进行访问;

5) 内网终端访问非法网站, 受到病毒、木马、蠕虫的威胁, 造成恶意代码的传播;

6) 内网终端进行P2P下载, 对带宽造成无效浪费, 影响其他正常应用;

7) 内网终端窃听到其他合法终端的认证信息, 并在获得信息后伪造成合法终端, 非法访问应用系统;

8) 内网终端任意修改IP地址, 躲避审计。

1.2 安全问题原因分析

1.2.1 缺乏统一管理

缺乏统一高效的管理是当前终端面临的重要问题, 在大规模建设内网、大批量终端接入内网的形势下, 如果缺乏统一高效的管理手段, 对内网终端问题进行安全管理和统一维护, 安全管理人员被动地解决终端安全问题, 在高成本进行管理和维护的同时, 这种处理方式效率也较低。

1.2.2 违规接入

违规接入是指终端在未经过安全检查和过滤的情况下接入内网。这种情况是对内网安全极大的威胁存在, 当带有病毒等恶意代码的移动终端接入, 会造成恶意代码肆意传播、内网机密信息泄漏等严重后果。另外缺乏精确统计、设备的混乱使用也是造成违规接入的重要诱因。

1.2.3 非法外联

非法外联是指内网终端在非授权的情况下与外部网络建立连接, 通过网络接入设备进行违规上网, 避开内部网络的审计, 这给内网安全带来了极大的风险, 会导致网络机密信息泄漏、恶意代码入侵、网络瘫痪等严重后果。

1.2.4 滥用移动存储设备

移动存储设备因体积小、容量大、携带方便等特点, 正成为数据和信息的重要载体。同时, 越来越多涉及网络机密的信息存储在移动介质中, 移动介质通常处于无保护的状态, 这给安全工作带来了不少隐患[6]。如外网计算机使用处理存储内网机密信息的移动介质;需要接入内网的移动介质在不通过安全检测的情况下接入内网;移动介质成为恶意代码传播的途径等问题。

1.2.5 利用系统漏洞

蠕虫病毒和木马病毒的频繁爆发给全球网络运行乃至经济都造成了严重影响[7,8,9], 这些病毒就是利用系统漏洞进行攻击, 这种攻击模式简单、危害极大。消除漏洞的根本办法是安装补丁, 网络攻击的日益频繁、大量终端接入内网, 这些给补丁的安装提出了挑战, 需要制定统一的补丁分发策略, 包括补丁自动修补、补丁分发控制、补丁安装检测等手段, 对抗利用系统漏洞的攻击。

2 安全接入控制方法

终端安全接入控制结合终端安全评估、终端安全监控、终端安全加固等终端安全防护措施与身份认证、接入控制等网络准入控制手段, 具有主动防御的防护特点[10]。其主要思路是:终端在请求接入内部网络之前根据预先制定的安全策略进行检测, 必须先接受终端安全状态评估, 只有符合安全策略的终端才能允许访问网络, 不符合策略的终端将拒绝接入。同时, 不符合安全策略的终端将进入安全修复区, 或根据检测结果决定访问权限。网络接入控制方法如图1所示。

2.1 终端安全

2.1.1 终端安全评估

随着电网建设的发展, 电力物联网的应用形式多种多样, 在发电、输电、变电、配电、用电、电网资产管理等各个环节都有不同的典型应用。每个环节都有多种多样的终端需要接入电力信息网络, 与主站系统进行数据交互, 形成海量终端接入电力信息网络的局面。面对海量异构终端的接入, 为了确保终端在接入后, 终端的使用不影响内网的安全, 除了对终端进行身份认证之外, 还需要对终端进行安全评估和监控。

设计终端安全评估模型, 通过对终端进行安全评估, 获得对终端的安全评价, 能够及时了解终端的安全性。

2.1.2 终端安全监控

随着电网和SG-ERP互动化应用的不断建设, 各类业务系统穿透隔离装置的日志信息的数据量急剧增加, 产生的日志数据具有海量、高维及复杂等特征, 这对传统的日志数据预处理方法提出了新的要求和挑战。为了加强边界的安全, 防护边界上各种网络的入侵, 保护整个电网环境下的边界安全状况, 有必要在海量日志数据的基础上对电网互动化环境下边界安全进行综合审计关键技术的研究。

电网互动化环境下边界安全综合审计提供一种集中式、有组织的, 能够更好地进行监测、综合审计、和显示的框架式系统。电网互动化环境下边界安全综合审计通过利用各种监视与审计工具, 包括自己研发的特定的监控程序, 和已有的丰富且强大的各种开源监控系统安全软件, 如Snort、Rrd、Nmap、Nessus以及Ntop等[11], 将它们的原有功能在开放式架构体系环境下集成, 通过综合关联分析各监控和审计工具提供的信息, 主动预防和警告危险和威胁的存在。通过关联程序将各软件提供的监控信息进行关联分析、综合审计, 能够得到更有说服力和证明力的综合审计结果。

2.1.3 终端安全加固

与USB Key、电子钥匙等一样, 数据防泄漏系统也可标识终端用户身份。如果终端身份认证合法, 安全策略由策略管理服务器下发至终端, 终端根据安全策略决定内网应用的访问权限, 防止越权访问、数据泄露等安全问题发生。

数据防泄漏系统可以对终端进行加固, 防止网络机密信息泄露, 保证数据安全。数据安全通常包括本地存储数据安全、移动存储数据安全、临时数据安全[12]。

2.2 安全接入控制方法设计原则

设计适用于电力内网终端的安全接入控制方法, 应在安全性和可用性之间达到平衡, 对内网信息处理做到优化。同时, 安全接入控制方法的设计应遵循国际、国内的安全管理经验, 设计的安全方法要“与时俱进”, 关键技术要“保障到位”。安全接入控制方法的设计应围绕终端安全状态检测展开, “Request-Do-Decision”周期如图2所示。

该方法的周期包括请求接入 (Request) 、策略实施 (Do) 、策略决定 (Decision) 3个方面。在终端请求接入后, 结合终端安全评估、终端安全监控和终端安全加固等方面, 对终端的安全状态进行检测, 然后依据检测结果和安全策略对终端进行策略决定, 并实施该决策, 只有符合安全策略的终端才允许接入内网, 从而获得内网访问权限。对终端的检测需要周期性地进行, 以确保已接入内网的终端始终处于安全状态。这是一个不断循环并持续改进的过程, 当周期时间到或者终端的安全状态发生改变时, 该过程就会被激发。

2.3 安全接入控制方法设计

2.3.1 逻辑结构

在本方法的设计中, 终端和受保护的内网服务器通过接入设备隔离, 只有终端满足安全策略后, 才能访问内网资源。内网逻辑上分为3个区域:正常工作区、访问隔离区和安全修复区。终端接入内网逻辑结构如图3所示。

1) 应用层:包括注册用户数据库、病毒数据库、补丁数据库、信息处理中心等。

2) 接入层:终端通过接入设备接入内网应用, 可以为符合系统的具体模块而设计。

3) 终端层:自动探测并采集终端安全状态信息, 同时负责接收安全策略并执行对应动作。

2.3.2 运行流程

终端安全接入首先对终端的身份进行合法认证, 不能通过身份认证的终端不能访问内网, 进入访问隔离区, 相应服务器端口关闭。若通过身份认证, 对终端进行安全性评估, 符合安全策略要求的终端允许接入内网, 反之将其放入安全修复区, 进行终端安全加固, 直至满足安全策略要求后重复上述过程。终端接入内网运行流程如图4所示。

2.3.3 接入步骤

本文设计的终端安全接入控制方法, 通过对终端接入的检查、隔离、修复、管理和监控, 加强接入内网的终端安全, 保证内网信息安全的可信可控, 具有主动防御的特点。终端接入步骤如图5所示。

3 结语

为了更好地解决现有的电力企业内部网络安全问题, 必须从源头开始做好终端接入控制。本文设计了一种终端安全接入控制方法, 从终端层、接入层、应用层对终端进行安全接入控制, 以终端安全为根本, 网络准入控制为手段, 具有主动防御的特点, 更好地实现了内网的可控可管性。

摘要：随着电力信息化建设的加快, 对内网安全建设的需求也日益突出, 如何构建可信可控的信息内网已成为当前的研究热点。文章将内网的安全问题回归于源头终端, 提出了一种电力内网终端的安全接入控制方法, 结合终端安全评估、终端安全监控、终端安全加固等终端安全防护措施与接入控制、身份认证等网络准入控制手段, 更好地实现了内网的可信可控性。

关键词：终端安全,接入控制,身份认证

参考文献

[1]K ADRICH M S.终端安全[M].北京:电子工业出版社, 2009.

[2]董文生.如何构建可信并可控的内网[J].信息安全与通信保密, 2004 (12) :25–27.

[3]梁志龙, 张志浩.企业信息安全访问体系的实现[J].计算机工程与应用, 2002, 36 (4) :56–58.

[4]LAWRENCE A G, MARTIN P L, WILLIAM L, et al.2004 CSI/FBI computer crime and security survey[M].Computer Security Institute Publication, 2004.

[5]戴飞军, 凤琦, 姚立宁, 等.新型终端安全接入技术对比分析[J].信息工程大学学报, 2008, 9 (3) :344–347.DAI Fei-jun, FENG Qi, YAO Li-ning, et al.Comparative analysis of new technology for secure endpoint access[J].Journal of Information Engineering University, 2008, 9 (3) :344–347.

[6]郭海琼, 吴世忠.补丁分发与管理系统的设计和实现[J].信息安全与保密通信, 2008 (5) :63–66.GUO Hai-qiong, WU Shi-zhong.Design and implementation of patch distribution and management system[J].Information Security and Communications Privacy, 2008 (5) :63–66.

[7]RFC2865.Remote Authentication Dial In User Service (RADIUS) [S].2000.

[8]任海翔.内网安全解决方案经验谈[J].信息安全与通信保密, 2007 (1) :164–165.

[9]HAM L, LIN H Y.Integration of user authentication and access control[J].Computers and Digital Techniques, 1999, 139 (2) :139–143.

[10]丁振国, 陈陆艳.一种安全的身份认证模型的研究与实现[J].航空计算技术, 2010, 40 (1) :131–134.

[11]彭华熹.一种基于身份的多信任域认证模型[J].计算机学报, 2006, 29 (8) :1272–1281.PENG Hua-xi.An identity-based authentication model for multi-domain[J].Chinese Journal of Computer, 2006, 29 (8) :1272–1281.

异构多模终端的接入选择功能架构 第4篇

关键词：异构无线网络；异构多模终端；终端管理系统；接入选择；中间件

下一代移动通信系统由各种无线网络组成，每种无线接入技术在容量、覆盖、数据速率和移动性支持能力等方面各具特色，任何一种无线接入都不可能满足所有用户的要求。随着已有的无线接入技术不断演进，新型无线接入技术也不断出现，它们相互补充、融合和集成。这些融合与互通涉及网络的方方面面，实现方案多种多样，其中终端的作用和功能始终最为关键。未来的移动终端将拥有多个无线接口，具有接入不同网络的能力。设计异构多模终端接入选择的功能架构，保持用户接入最优的网络，有效利用全网的无线资源，整合不同无线接入技术到一个统一的网络环境[1]，成为异构网络融合领域研究的热点之一。

1 异构多模终端的研究现状

业内针对异构网络终端的接入选择机制展开了广泛研究。在欧洲IST第六代Ambient Network项目的研究框架中，研究人员提出了“总是最佳连接”(ABC)的概念[2]，目的是使异构多模移动终端始终无缝连接到最适合应用需求的接入。ABC系列解决方案包括：接入发现、接入选择、认证鉴权和计费(AAA)支持、移动性管理、档案处理和内容适配。作为核心问题之一，接入选择针对应用业务流，选择最合适的接入网络。IST 计划下Moby Dick项目提出了基于终端的端到端重配置方案[3]，阐述了网络融合环境中异构多模终端的概念架构，对异构网络融合中解决终端问题提供了新的思路，但整体架构功能设计和实施方式还有待于研究，机制、算法和接口的定义还有待于完善。在3GPP R7规范中，关于系统架构演进(SAE)的研究中，已经明确提出未来的异构网络场景，必须具备在异构接入网络之间支持无缝移动性，多接入选择算法问题作为重要的开放课题被提出。在对B3G以及4G的愿景描述中，WWRF论坛[4]提出了未来无线通信系统的发展趋势是宽带化、泛在化、协同化，多种制式的网络共存、相互补充、协同工作、支持终端移动性，并逐步演化成为一个异构互联的融合网络。

在异构融合网络环境中，无论何种无线网络都能够提供无所不在的最优服务。移动用户根据需要和要求，控制网络的接入。具有挑战性的问题就是异构多模终端的管理系统和接入选择功能架构的设计。

2 异构多模终端的管理功能架构

在异构网络条件下，终端的工作环境将产生巨大的变化，但终端的基本组成不变，只是网络的互通和融合对终端性能提出了更高的要求。在没有用户干预的情况下，移动终端能够综合考虑多种无线接入技术的能力、网络覆盖情况、网络使用情况、业务需求、资费和用户的偏好，自主地完成网络感知，选择最优的网络接入。在异构网络环境中，融合的无线网络架构需要全新的终端管理架构作为支撑[5]；在实现异构网络融合的过程中，需要设计一种全新的异构多模终端管理架构。如图1所示，异构多模终端管理架构通过与各协议层的有效交互，可以适应多种接入标准与技术的要求，实现多模异构终端的无缝接入和移动。

在异构多模终端管理功能架构的主要设计思想中，逻辑上将所有可用的无线资源看作一个整体，根据各业务流或会话的服务质量(QoS)要求，动态地分配各业务流到不同的无线网络中，实现可靠的QoS保证和优化的无线资源利用。异构多模终端管理系统的主要功能有接入发现、接入选择、移动性管理和垂直切换、档案管理等。

3 异构多模终端接入选择功能架构设计

在异构多模终端管理功能架构设计中，接入选择是核心研究问题之一。考虑将接入选择的功能分散到移动终端中，简化网络侧处理。在用户终端和网络支持的情况下，使终端具有智能选择接入网络的能力[6]。

3.1 接入选择功能架构

在异构网络环境下，为了支持终端接入选择的功能，一种异构多模终端接入选择功能架构被提出来。如图2所示，接入选择功能架构主要包含3个模块：接入适配、移动管理、用户偏好，分别负责从不同接入网络的附着点获取链路层参数、处理用户的需求和执行接入选择。

(1) 接入适配模块

负责确认终端上不同的接入网络接口，监视它们的状态，从各接口收集参数，并在接口上执行选择或撤销选择。接入适配模块的主要作用有：

在切换过程或者移动终端的开机过程中，在合适的接入网络接口进行连接或断开连接的操作。

在接入网络接口上获得链路层参数，使用抽象的方法反映各接入网络接口的信号质量或者连接状态。

接入适配模块能够向终端提供关于可用接入网络附着点的信息列表，每个列表包括各附着点的信号强度、有效带宽、技术类型以及网络运营商等等。接入适配模块也可以通过特定的网络发现协议判断是否有新的接入网络出现，或者终端已选择的网络接入是否满足要求，并将这些信息通知移动性管理中的接入选择模块，触发新的接入选择过程。

(2) 移动性管理模块

负责处理所有与移动性管理和接入网络选择相关的事件。移动性管理模块负责向接入选择提供所需要的输入参数(从用户偏好模块和接入适配模块获得)，触发接入选择判决过程，并且最终将决定发送给接入适配模块，执行接入选择过程。移动性管理模块与会话启动协议(SIP)[7]和移动IP[8]的功能相结合，目的是提供合适的判决算法，用于选择最优的可用网络接入。

(3) 用户偏好模块

负责存储、接入和编辑用户档案资料。在接入网络选择算法中，不同用户对网络选择判决参数表现出不同的偏好。通过图形用户接口，针对判决参数设定不同优先级，度量偏好程度，从而影响接入选择过程。

在异构多模终端功能架构的设计中，接入选择功能将实现动态选择合适的接入网络，使终端感知周围环境中不同的接入技术、接入网络的可用性，根据用户的偏好和要求，动态地改变选择目标。

3.2 接入选择过程

在移动性管理模块中，接入选择功能基于用户业务、应用需求、用户偏好和当前网络的可用性等等，负责接入选择的判决。移动性管理模块负责向接入选择功能提供需要的输入参数，触发接入选择的执行过程，并将最终判决结果发送给接入适配模块，执行具体的接入选择过程。接入选择过程如图3所示。

3.3 接入选择功能的实现

中间件是位于平台(硬件和操作系统)和具体应用之间的通用服务，用来屏蔽分布环境中异构的操作系统和网络协议，具有标准的程序接口和协议[9]。在异构多模终端的设计中，接入选择功能可以利用中间件技术实现。如图4所示，接入选择采用分布式中间件架构，从硬件层面自适应用户应用业务流，自动协调管理。在接入选择功能实现中，网络接口卡感知不同可用接入网络的条件参数，通过操作系统传送到接入发现模块中，作为接入选择模块的输入。按照既定的接入选择策略，接入选择优化机制折中判决参数、网络条件和用户应用需求，选择最优的接入目标。接入选择判决结果被送到的操作系统中，控制不同的接入网络，分配业务流到不同的接口或具体执行业务流在不同接口之间无缝切换过程。

4 结束语

在异构无线网络环境中，为了实现多模移动终端总是无缝连接到最适合应用需求的接入网络，本文提出了一种异构多模终端接入选择功能架构，赋予多模终端选择接入不同网络的功能，能够使终端用户在任何时间、地点接入最合适的网络，为研究接入选择算法提供了功能上的承载。下一步的研究工作是基于异构多模终端接入选择功能架构，设计切实可行的接入选择算法，使异构多模终端能够选择最佳的接入网络，达到无缝集成多种无线接入技术，为用户提供最优业务体验的目标。

5 参考文献

[1] 李军,宋梅,宋俊德.下一代移动通信网中一种新的移动性管理模型[J].山东大学学报,2005, 40(Sup):9-12.

[2] Fodor g, Eriksson a, Tuoriniemi a. Providing quality of services in always best connected networks[J].IEEE Communications Magazine,2003, 41(7):154-163.

[3] Olaziregi N, Niedermeier C, Schmid R, et al. Overall system architecture for reconfigurable terminals[C]//Proceedings of 1st Mobile Communication Summit, Jun 27-30, 2001, Lyon, France.

[4] World Water Rescue Foundation[EB/OL].http://www.wwrf.org.

[5] 张轶凡.异构网络条件下终端发展趋势[J].现代电信科技,2006(7):41-44.

[6] Murray k, Pesch d. Intelligent network access and inter-system handover control in heterogeneous wireless networks for smart space environments[C]//Proceedings of 6th International Symposium on Wireless Personal Multimedia Communications(WPMC'03):Vol 1, Oct 19-22, 2003, Yokosuka, Japan. Piscataway, NJ, USA: IEEE, 2003:325-329.

[7] SCHULZRINNE H, WEDLUND E. Application layer mobility using SIP[J].Mobile Computing and Communications Review, 2000, 4(3): 47-57.

[8] 裘晓峰.移动IP[M].北京：机械工业出版社, 2000.

[9] 陈勇,蒋泽军,异构数据库集成中间件的设计[J].科学技术与工程,2007, 17(18): 1755-1758.

收稿日期：2007-12-02

内网边界管理系统 第5篇

一、网络边界背景

早期的网络只是为了使分布在不同区域的人们资源共享和通信而建立的。网络发展到今天，全世界的计算机联成了网络。而网络安全也随之而来。信息泄密、外来攻击、病毒木马等等，越来越多的网络安全问题让网络管理者难以应对，而如将内网与外网完全隔开，就会形成信息的“孤岛”，业务无法互通，资源又重复建设，并且随着信息化的深入，在各种网络上信息共享需求也日益强烈。

二、网络边界防护手段

不同安全级别的网络相连，就产生了网络边界。一般来说，防止来自网络外界的入侵，就需要在网络边界上建立可靠的安全防御措施。

从防火墙技术的到多重安全网关技术，再到不同时连接两个网络的网闸技术，都是采用的关卡方式，“检查”的技术各有不同，但对黑客的最新攻击技术都不太好用，也没有监控的手段，对付“人”的攻击行为来说，只有人才是最好的对手。

三、现有边界防护技术的缺陷

面对各种各样包含新技术的攻击手段，现有的防护产品以及其附带的防护技术是否能实现预定功能。现有的安全管理员还不能对这些防护产品性能足够了解，就谈不上正确使用，把产品功能发挥出来。

再说网络边界防护是一个长期需要大投入的工程，一般的主管安全的领导及安全管理员根本不清楚遭受攻击的一些细节，安全管理员根本不知道该怎么防，往哪里防。

购买最新的安全防护产品，或是花大量的时间、资金培养几个资深的安全管理员，且不说两者能不能配合，能不能防住，使边界安全防护达到预期的目标，单单投入方面也不是现有的企业目前所能够承受的。

根据我国现阶段现状，政府和企业不可能在网络安全方面大量投入，而有限的资金又不能投入到最需要的地方去，造成大量的资金浪费。该防的没建设，目前不用防的反而建设了。

对于公开的攻击，只有防护一条路，比如对付DDOS的攻击；但对于入侵的行为，其关键是对入侵的识别，识别出来后阻断它是容易的，但怎样区分正常的业务申请与入侵者的行为是边界防护的重点与难点。

四、符合中国特色的边界管理

面对上述种种问题，现有边界防护技术和产品远远不能满足我国机构和企业的需要。那么我们必须转变思想，找出路！

既然我们现阶段有资金，人员及技术各方面的限制，不可能把网络边界打造成“钢墙铁壁”。没钱修“城墙”，守卫又不合格，那么只能多装摄像头，对所有的边界监控起来，达到不留“死角”的程度。一旦发现有攻击、入侵行为马上报警，马上处置，然后针对被攻击或入侵的薄弱地点，修一段“城墙”，重点防御。较低的投入，把现阶段安全问题管起来，最后达到一个可控可管，齐抓共管的局面。

网络边界安全问题主要可以分为两个方面，一个是由于外网接入到内网中，从而带来的网络安全问题，另一个是内网内部产生的网络安全问题。对于外网的接入，一般网络上都增加了防火墙、VPN路由器等来保证网络的安全，对于在内网出现的问题就没有设备来保证网络的安全问题了。浙江远望电子有限公司的内网边界检查系统出现就解决这个问题，从内部网络开始检查，查找相关的问题，找到问题的源头，进行预警，预警提示后在进行技术或人工手段来阻断相关的问题。远望内网边界检查系统也可以对外网的接入进行监测，通过预警把相应的情况报告给管理员，由管理员进行手动直接断开外来接入或通过网络上技术的手段进行网络断开。并且远望内网边界检查系统可以实现多级级联，逐级对网络进行安全管理。

五、远望内网边界检查管理系统

远望内网边界检查管理系统，通过对内网边界安全监测和管理，防止外来计算机、网络等通过非法手段接入内网，防止因内网边界问题而导致信息泄密，病毒木马入侵，带宽资源因没有注册的设备增加而被严重胡乱占用。通过违规外联和线路边界的发现和监测技术，配置网络边界发现策略，全面发现网内的设备边界和线路边界的异常情况，实现对违规行为的阻断，确保内网的安全。

通过技术手段对网内的设备边界和线路边界的异常情况进行实时扫描、自动检测，及时发现线路边界问题，把相关信息反映到管理员控制页面上。同时在规定时间内对通过非法接入内网等边界问题进行阻断。

浅谈内网终端安全管理 第6篇

关键词：内网安全,终端,管理

0 引言

在现实中,办公网络经常会存在个别计算机终端疏于更新操作系统安全补丁、防病毒软件未及时升级、防火墙规则设置过于宽松、可以随意下载和安装不明软件、滥用网络资源等现象,这使得计算机终端自身存在大量的安全漏洞和管理真空地带。

事实上,如果能够通过科学完善的技术管理手段,将企业已经制定的内网安全管理制度与流程在每一台计算机终端都有效贯彻和执行,及时修复计算机终端存在的安全漏洞,并实现计算机终端本地行为与网络行为的可控制、可管理和可审计,内网各项安全指标就可以达到企业所期望的安全管理目标和效果。

1 内网终端安全管理的必要性

员工如果通过不受监控的网络通道将企业的商业机密泄漏出去,会给企业带来经济损失。员工所使用的笔记本电脑等移动设备如果管理不当,很有可能携带有病毒或木马,一旦未经审查就接入企业内网,可能会对企业内网安全构成巨大的威胁,甚至使内网瘫痪,所有终端机不能正常使用。没有内网管理平台,员工可能会在工作时间上网聊天、玩网络游戏,使用电驴等工具下载电影、游戏、软件等大型文件,这些行为即影响自身的工作效率,又占用资源影响单位网络的正常应用。

不能对行为进行监控,那么随时都可能引入风险,威胁便有了可乘之机。内网资产(CPU、内存、硬盘等)被随意更换,计算机数量越来越多,无法集中管理软、硬件数量无法精确掌握,盘点困难。内部人员进入共享文档服务器,窃取机密文件,通过存储设备和通讯设备进行外泄,比如:USB存储;通过MAIL、FTP、BBS等途径将单位内部信息泄密到外网。同时硬件及管理上的安全漏洞随时会被作为内网攻击的入口或跳板,不仅计算机终端自身会遭受到攻击和破坏,更为严重的攻击,会造成内网阻塞并瘫痪、内网关键数据失窃,给企业带来巨大的经济损失。

2 内网终端安全管理的操作性

客户端准入在终端访问网络时检查自身是否符合安全策略,如果不符合,则阻断自身应用程序的网络访问;在终端接受访问时,必须确认对端是否是接受管理的终端,否则拒绝对方的访问,接受访问时也检查自身是否符合安全策略。ARP准入是有客户端的终端对未装客户端的终端进行ARP欺骗,阻扰其正常的网络访问,直到该终端正确安装了客户端软件。ARP准入因有较大的网络副作用,比如广播风暴,而且效果不理想,用户对它的使用也越来越少了。此外,客户端准入如果配合网络层准入或应用层准入一起使用,可使准入控制更加灵活和强大。

内网安全问题,实质上并不是因为威胁高深莫测,而是在于内网安全管理有章可循,如果内网安全管理制度能够科学有效执行下去,内网安全问题将得到根本解决。终端作为内网安全管理的主体,是否达到内网安全管理的目标要求,将是内网安全问题真正解决的关键,因此内网安全管理的核心是针对计算机终端的合规管理。合规管理主要包括以下几个方面的内容。

(1)准入控制

一般情况都是通过部署在网络关键路径(如网络出口等)的终端安全管理系统或其他安全设备来实现准入控制。准入控制划分为网络准入、应用接入、终端准入等多层控制。如图1所示网络准入主要采用基于802.1X和CISCO Eo U的方式对有线及无线方式网络接入进行控制;应用准入则是根据用户账户、访问设备所具备的访问权限和相关的访问策略,来判断某个网络应用是被允许或拒绝的控制手段;终端准入是指对接入网络的终端设备进行检查,如果没有安装终端安全管理客户端软件,则不允许接入(拒绝访问任何网络资源)。

系统对于非法进入企业内网的终端进入进行监控与管理。在安全接入管理方面,系统可以通过监听和主动探测等方式检测内部网络中所有在线的主机,并判别在线主机是否是信任主机,然后,对于探测到的非法主机,系统可以主动阻止其访问任何网络资源,从而保证非法主机不对网络产生影响,无法有意或无意的对网络进行攻击或者试图窃密。

(2)终端安全检查

通过安装在终端上的终端安全管理客户端来实现,监控计算机终端的操作系统补丁、防病毒软件、软件进程、登录口令、注册表等方面的运行情况。同时,提供操作系统补丁自动下载和升级。

基于角色的访问控制提供了一种简单灵活的访问控制机制,只给角色分配权限,用户通过成为角色的成员来获得权限。这与过去系统中直接给用户授权的管理模型相比更灵活方便。同时,管理人员可以通过控制台远程取得客户机的控制权,身临其境般进行操作。对于远端客户机出现的问题,管理人员能够即时、方便的解决。在远程维护或者远程操作业务系统中发挥多方面的作用。

(3)进程管理

实时检查终端上运行的进程,如果发现黑名单进程(不允许运行的进程)则自动杀掉,发现没有运行的白名单进程(规定必须运行的进程),则自动启动,从而有效地确保终端主机不会存在违规进行聊天、游戏、炒股、视频等活动,也不会存在未启动防病毒、防火墙接入网络的不安全行为。

(4)外设监控

可以对MODEM、红外、蓝牙、无线、USB、打印机等进行控制,有效杜绝终端重要信息泄密的隐患。在外部存储设备的禁用方面,可以在禁止使用通用移动存储设备的同时,对经过认证的移动存储设备允许使用。同时实现对终端用户的文件操作控制和文件加密等功能,彻底解决在信息访问过程中,每个能导致安全问题的隐患。

(5)终端审计

对终端进行安全策略事件、文件操作、打印、网络访问、一场路由、系统登录等操作进行审计。同时,计算机硬件技术发展迅速,经常需要进行更新和淘汰,或者配合软件的升级进行硬件的升级。财务或资产管理部门对企业的计算机的管理和统计经常处于一种无序及手工统计的状态,当设备更新频繁时,原本的资产记录往往会出现管理滞后和与实际情况不相符的情况,从而造成设备管理的混乱。

3 内网终端安全管理的硬件设备

内网终端安全管理除了需要完善的管理制度,也需要一些硬件管理产品有很多,叫法也多样,比如非法外联监控系统、内网安全管理系统、内网安全风险管理与审计系统和合规管理系统等。产品一般由以下几部件组成:

(1)客户端代理

客户端代理从管理服务器获取策略规则,在计算机终端执行策略规则,检查终端安全状态,执行终端综合防护,并将终端安全状态报告给管理服务器。客户端代理包含多种模块化的组件,以满足用户以一个客户端完成多种安全管理的需求。如图2所示,客户端是使用代理服务器来访问,那取到的是代理服务器的IP地址,而不是真正的客户端IP地址。高匿名代理服务器的PHP获取客户端IP情况,REMOTE_ADDR=代理服务器IPHTTP_X_FORWARDED_FOR=没数值或不显示,无论是REMOTE_ADDR还是HTTP_FORWARDED_FOR,这些头消息未必能够取得到,因为不同的浏览器不同的网络设备可能发送不同的IP头消息。因此PHP使用$_SERVER["REMOTE_ADDR"]、$_SERVER["HTTP_X_FORWARDED_FOR"]获取的值可能是空值也可能是“unknown”值。

(2)管理服务器

管理服务器用于配置管理计算机终端安全策略,下发策略给客户端代理及策略网关,分发补丁、病毒定义码或软件以修补计算机终端安全漏洞,并可通过管理控制中心查询企业网络任何一个计算机的安全状态。通过公钥基础设施促进安全行业各个部门致力于维护和改善与PKI技术相关的方方面面。从根证书颁发机构到X.509认证,都证明了其在保护服务器基础设施及数据方面的成功。

(3)策略网关

策略网关是执行应用准入的强制组件,策略网关从管理控制中心获取策略规则,以准入控制手段强制执行内网安全策略,拒绝不符合安全策略的计算机终端访问企业的关键系统及应用。通过Web访问过滤、网络应用控制、带宽流量管理、外发信息监控、互联网活动审计等功能,实现细化、量化的上网行为管理效果。网络安全同设备和邮件服务器组件一样,对移动安全同等重要。

(4)桌面虚拟化

桌面虚拟化是指将计算机的桌面进行虚拟化,类似Vmware,F5,以达到桌面使用的安全性和灵活性。可以通过任何设备,在任何地点,任何时间访问在网络上的属于我们个人的桌面系统。桌面虚拟化依赖于服务器虚拟化,在数据中心的服务器上进行服务器虚拟化,生成大量的独立的桌面操作系统(虚拟机或者虚拟桌面),同时根据专有的虚拟桌面协议发送给终端设备。用户只需要记住用户名和密码及网关信息,即可随时随地的通过网络访问自己的桌面系统,从而实现单机多用户。而远程桌面连接功能后我们就可以在网络的另一端控制这台计算机了,通过远程桌面功能我们可以实时的操作这台计算机,在上面安装软件,运行程序,所有的一切都好像是直接在该计算机上操作一样。这就是远程桌面的最大功能,通过该功能网络管理员可以在家中安全的控制单位的服务器,而且由于该功能是系统内置的所以比其他第三方远程控制工具使用更方便更灵活。远程桌面是桌面虚拟化的前身,远程桌面技术加上操作系统虚拟化技术之后形成了桌面虚拟化技术。

4 结束语