大型公司内网与外网混用解决方案
郑罡 姚轲 王军亭 杨晓舟 网络
引言

随着科技的进步,目前大部分公司日常办公桌面终端主要是各类台式计算机和笔记本电脑 按照公司信息保密的要求,内部业务办公系统网络(内网)和能够与互联网相连的办公网络(外网)必须物理分离。在应用上外网主要为公司提供与外界进行信息交流的平台,而内网主要承担生产办公系统的内部数据交换 两套网络管理上有共性也有区别:外网主要是确保运行安全、畅通:而内网更加注重信息的安全性。确保业务数据安全,尤其关键业务数据不能泄漏。

虽然公司内部有内外网分离的种种管理制度,但并不能从根本上解决用户终端的内外网络混用问题 仍然有部分办公人员同时混用两个网络,大大增加了办公网络受蠕虫病毒攻击、黑客攻击或泄漏重要信息的风险桌面终端管理系统不仅从技术上解决桌面终端。

安全管理问题,保障办公内外网络的安全、稳定运行,还从信息管理角度解决了桌面终端计算机综合统计管理的问题,从而减少信息维护人员的工作,提高自动化水平和数据准确度。

1系统结构

桌面终端管理系统采用分级部署、多级管理、级联监控的运行方式。在各地分公司分别部署后,可以独立运行,同时也可以由上级公司系统级联,将数据信息向上汇报,由上级公司统一监控管理,形成多级级联的方式。系统结构如图1所示。

 

 

图1 系统结构

2功能

系统采用C/S模式,需要架设系统管理服务器,并在每台桌面终端部署终端管理程序,实现全部管理功能。终端管理程序可以根据需要采用强制安装的方式。

2.1软、硬件资产管理

2.1.1硬件资产统计功能

系统可自动探测并上报桌面终端计算机的硬件配置情况,提供对全网内终端硬件配置信息的统计和对某一终端硬件变更信息的审计功能。

用户可能会随意拆卸终端计算机的硬件,这会给计算机的管理带来混乱,甚至可能造成硬件资产的流失 系统能够全面监视终端硬件设备变更情况(In硬盘、内存容量的变化),及时生成报警信息并保存变更日志。

2.1.2硬件设备管理功能

系统可以对终端计算机的接口进行有针对性的控制,如启用或禁用软驱、光驱、USB接口、串口、并口、红外接口等,并对所有外设访问行为进行审计系统自动发现网络中的计算机,并为每台计算机建立档案。档案内容可以包括静态信息和动态信息(如硬件变更情况)。

2.1.3软件资产的统计及审计

系统可以自动收集安装在每台计算机上的每种应用程序信息,包括安装的操作系统种类、版本号以及当前补丁情况、客户机安装的软件等信息和驱动程序情况,进行汇总管理,并及时检测软件信息变化情况:可以根据条件查询统计终端安装的软件信息:系统还可以实现对软件安装进行黑白名单控制,即根据策略设定禁止安装的软件和必须安装的软件。

2.2终端准入管理

为了实现禁止终端计算机未经许可接入网络,系统进行终端准入管理。主要基于两种模式控制终端计算机的准入:

(1)所有连接网络的终端设备必须注册安装桌面终端管理系统客户端程序,即保证所有接入网络的终端都是可控的,这样才更能保证网络整体的安全性 对未注册的终端设备,系统采用超常规的ARP阻断技术和网关重定向技术,使其无法正常网络通信。这种方法与常规的封交换机端El模式相比更具可靠性和实用性

(2)系统还提供了802.1x认证功能,对于安装了桌面终端管理系统客户端程序的终端计算机,通过合法的口令验证,才能接入办公网络。但是这种方式要求网络交换机必须支持802.1x协议。

对于通过注册认证的终端计算机,系统还可以做安全健康性检查,如入网计算机是否安装运行规定的防病毒软件、是否安装指定的微软重要系统漏洞补丁等。只有通过该项安全检查的终端才可正常入网,否则该终端将限制为仅允许与安全认证服务器通信,并自动完善加固安全级别,自动完成健康入网。

2.3补丁分发功能

桌面终端管理系统支持补丁自动分发功能,通过建立补丁升级服务器,从互联网上自动识别然后采用增量技术下载更新的补丁,分类导入到系统补丁库中,然后在指定时间和指定网络范围内以不同方式(如推、拉)分发补丁。当系统监测到有客户端未打补丁时,可对漏打补丁客户端进行推送补丁。

系统的补丁查询统计功能,可以对网络范围内的计算机终端的补丁安装状况进行查询,根据相应的查询条件。能快速了解全网络补丁的安装状况、系统的薄弱环节,以促进补丁及时安装。

2.4防病毒管理

桌面终端管理系统可以统一监控网络内的防病毒软件安装情况和使用状态,了解网络中的病毒软件安装状况,必要时可通过文件分发等技术强制为客户端安装防病毒程序,以保证整体网络的安全。

2.5非法联网管理

虽然大型公司网络规划上分为内、外网两套网络,但在实际工作中经常有如下违规现象发生,对网络安全和内网业务数据造成严重威胁:

(1)内网计算机连接到外网 内部重要业务数据有可能通过外网泄漏到互联网上,造成严重的后果。

(2)外网计算机接入内网。由于外网计算机感染病毒的几率远远大于内网计算机,一旦随意接入到内网的计算机感染病毒,该病毒有可能在内网中大面积爆发。

桌面终端管理系统可以监控内网计算机网络信息,及时发现其中的互联网内容,无论通过拨号联网、无线网络(GPRS、CDMA)、蓝牙,红外或直接使用外网网线接入到internet,都可以在10s内迅速发现做出处理,同时把相应违规信息记录。处理方式包括:弹出提示警告;断开网络,重启计算机后恢复:断开网络,由管理员手动恢复。通过终端准入和非法联网管理相结合的方式,可以从根本上消除内网外联的问题。

3结语

桌面终端管理系统实现了对桌面终端网络访问控制。系统还具备软硬件资产管理、安全审计、补丁分发、接入控制等功能,大大提高了信息安全防范水平。

CIO之家 www.ciozj.com 公众号:imciow
关联的文档
也许您喜欢