摘要：2004年公安部公共信息网络安全监察局对7072家政府、金融证券、教育科研、电信、广电、能源交通、国防和商贸企业等部门和行业的重要信息网络、信息系统使用单位进行了调查，其中发生网络安全事件的比例占58%。进行网络安全体系建设，要综合考虑、注重实效，在我们考虑防火墙杀病毒、入侵检测，甚至身份认证等系统来解决有关外部黑客入侵、病毒困扰时，也要同时考虑来自内部网络的可信环境下的非授权网络行为和授权滥用行为。下面就给大家详细讲述一下，某地税使用网御星云终端安全统一管理解决方案的典型应用情况。

　　一、 背景与需求

　　某地税省局对网络与信息安全的问题十分重视，目前已通过配置防火墙加强了基本边界保护;通过配置入侵检测系统加强了对网络安全环境的基本监测;通过配置网络防病毒系统加强了对网络计算机环境的基本保护。但还存在终端主机的违规接入和违规操作等问题，需要加强网络防病毒过滤、防垃圾邮件过滤、安全审计、终端桌面系统安全管理、病毒集中预警及信息系统安全等级保护评估与加固等系统建设，强化对网络终端主机状态、行为以及事件的管理，扩展成为一个实时的可控内网管理平台，并实现同其它安全设备的集成和报警联动，整体提高系统运行的安全性。

　　终端主机的违规接入和违规操作问题是内部网络安全的主要问题之一，目前某地税系统面对的相关威胁主要包括：

　　l 终端主机的进程与安装的软件不受控;

　　l 终端主机的I/O设备缺乏监测，导致违规外联，造成数据的泄露;

　　l 桌面终端配置系统杂乱，且经常变化，难以进行有效的终端的资产管理;

　　l 终端网络准入不受控，各种未授权的终端可任意接入内部网络;

　　l 终端安全策略管理混乱，缺乏统一终端行为监控管理;

　　二、 解决方案

　　在某地税系统部署网御星云桌面安全管理系统集中对终端主机可进行安全保护、监控、审计和管理，自动评估终端主机的安全状态，自动执行安全管理策略，强制规范员工对终端主机的行为操作，来保证地税系统的安全。

　　l 终端保护：外设管理、IP保护、端口保护、硬件保护、软件黑白名单管理、账户管理、资产管理、病毒库更新管理……

　　l 终端监控：文件监控、进程监控、服务监控、非法外联监控、资产变更监控、流量监控、邮件监控、系统漏洞扫面……

　　l 终端审计：文件操审计、进程审计、服务审计、资产审计、报警审计、流量审计、邮件审计、终端风险查询……

　　l 终端准入控制：采用802.1X协议、SNMP协议、网关联动协议准入控制,对没有安装内网安全管理客户端软件的终端，并支持终端主机的动态接入。

　　l 终端集中控制中心

　　Ø 统一部署

　　终端安全的策略由网络管理员通过管理服务器统一制定和下发，在终端上强制执行。统一设定的策略可以设定以下属性。时间：定义策略生效的时间。地点：定义策略生效的地点，即可同时制定在线和离线不同的安全策略。身份：针对用户名制定策略。支持多种身份管理系统，如Windows AD域、Novell Directory等LDAP系统，同时支持RADIUS账号管理。

　　Ø 统一策略下发

　　安全策略采用统一下发机制，所有策略均下发至终端主机。结合策略优先级，可以细粒度地进行策略下发，如实现内网全部禁止普通U盘使用后，可制定规则允许VIP终端用户使用。

　　Ø 统一响应

　　所有策略支持自动报警与响应。

　　Ø 统一审计

　　桌面管理系统可分别对报警响应、网络行为、程序行为、文件访问行为、邮件日志、服务器日志、补丁分发日志、服务器级联日志等终端全部行为进行审计。

　　地税省局作为一级控制中心，州、市局作为二级控制中心，在省局和各州、市局配置管理服务器，在省局和州、市局服务器上安装管理信息库、区域管理器、Web中央管理台等，在全省所有计算机上安装客户端程序。

　　三、 实施效果

　　安全产品部署说明：

　　在某省地方税务局的计算机网络系统部署防火墙和内网安全管理系统，防火墙进行访问控制与安全边界防护，并对内部服务器实施安全保护，网御星云桌面管理系统遵循CSC关联安全标准，通过和防火墙联动可阻止非法主机的网络通信。内网安全管理系统部署在内部局域网的终端上，实现对外联监控策略、程序审计、文件审计、网络行为审计、上网行为审计、服务进程控制策略、外设策略、移动存储远程协助、远程控制、消息管理等管理策略。

　　四、 特色描述

　　l 协同防护

　　内网安全管理系统协同其他网关产品可进行全网威胁的综合防护，主要包括：

　　Ø ISM协同FW产品防护可实现终端的准入控制

　　Ø ISM协同IDS/IPS产品可实现内网终端的入侵行为管理

　　Ø ISM协同SAG产品可实现远程用户的准入控制和身份的策略管理

　　l 级联部署

▲

　　图中终端与内网安全管理系统服务器可以进行级联设置，下级服务器能够自动从上级服务器获取最新的补丁和策略配置，因此对于大型网络，只要保证根服务器更新到最新状态，所有下级服务器都能够依次更新，从而方便管理员的管理。

　　下级网络中，可单独部署服务器模块，从上级服务器获取补丁文件并更新策略配置，并向局域网内终端计算机进行补丁和策略更新;也可以不部署服务器模块，终端计算机直接从上级服务器进行补丁和策略更新。

　　l 自动化管理

　　网御星云桌面管理系统可以帮助网络管理员对内网进行细粒度管理，通过统一策略制定、统一分发、统一响应，做到“一次设定、自动运行”的管理目标。网络管理员只需在系统建设时设定好策略，按照既定流程，系统可自动根据策略进行相应管理。自动响应终端出现违规的安全状态或安全事件，强制隔离达不到安全要求的终端，自动允许修复后或符号安全要求的终端重新接入网络。系统运行的全过程无需网络管理员介入，大大地节省了网络运维成本。