一 前言

隨著網絡技術應用的不斷深入，信息安全發展也進入到一個全新的時代，傳統的安全解決方案都是把目標重點放到邊界上，往往忽略了內部網絡安全，特別在政府機關、保密部門、科研機構、銀

行與證券、企事業等單位的辦公網、內部業務網、涉密網中的終端設備安全管理非常薄弱，存在很大安全隱患。

現有的安全措施沒有發揮應有的作用，網絡管理人員無法了解每個網絡端點的安全狀況，疲于奔命也無法解決各種終端安全與管理問題。盡管有些單位制訂嚴格的安全管理制度，但是由于缺乏有效的技術手段，安全策略無法有效落實，導致機密信息泄露、黑客攻擊、蠕蟲病毒傳播等安全事件頻繁發生，對內網安全提出新的挑戰。

二 為什么需要內網安全管理系統

2.1 內網安全面臨挑戰

據IDC統計，一半以上的安全威脅來自于內部。企業內網所面臨的安全威脅主要表現在如下幾個方面：

.. 補丁升級與病毒庫更新不及時、蠕蟲病毒利用漏洞傳播危害大

由于網絡內的各種平臺的主機和設備存在安全漏洞但沒有及時打上最新的安全補丁，或者主機和設備的軟件配置存在隱患，殺毒軟件的病毒特征庫更新滯后于新病毒的出現或者未及時得到更新，給惡意的入侵者提供了可乘之機，使病毒和蠕蟲的泛濫成為可能。大規模的蠕蟲爆發可能導致企業內網全部陷于癱瘓，業務無法正常進行。

.. 非法外聯難以控制、內部重要機密信息泄露頻繁發生

員工通過電話線撥號、VPN撥號、GPRS無線撥號等方式繞過防火墻的監控直接連接外網，向外部敞開了大門，使得企業內網的IT資源暴露在外部攻擊者面前，攻擊者或病毒可以通過撥號線路進入企業內網；另一方面，

內部員工可能通過這種不受監控的網絡通道將企業的商業機密泄漏出去，給企業帶來經濟損失但又不易取證。

.. 移動電腦設備隨意接入、網絡邊界安全形同虛設

員工或臨時的外來人員所使用的筆記本電腦、掌上電腦等移動設備由于經常接入各種網絡環境使用，如果管理不善，很有可能攜帶有病毒或木馬，一旦未經審查就接入企業內網，可能對內網安全構成巨大的威脅。

.. 攻擊方法日新月異，內部安全難以防范

已經被攻破的內網主機中可能被植入木馬或者其它惡意的程序，成為攻擊者手中所控制的所謂“肉雞”，攻擊者可能以此作為跳板進一步攻擊內網其它機器，竊取商業機密，或者將其作為DDOS工具向外發送大量的攻擊包，占用大量網絡帶寬。員工瀏覽嵌有木馬或病毒的網頁、收看帶有惡意代碼的郵件，都可能給攻擊者帶來可乘之機。

.. 軟硬件設備濫用、資產安全無法保障

內網資產（CPU、內存、硬盤等）被隨意更換，缺乏有效的技術跟蹤手段；員工可以隨時更改自己所使用的機器的IP地址等配置，不僅難于統一管理，而且一旦出現攻擊行為或者安全事故，責任定位非常困難。

.. 網絡應用缺乏監控，工作效率無法提高

上網聊天、網絡游戲等行為嚴重影響工作效率，利用QQ，MSN，ICQ 這類即時通訊工具來傳播病毒，已經成為新病毒的流行趨勢；使用BitTorrent、電驢等工具瘋狂下載電影、游戲、軟件等大型文件，關鍵業務應用系統帶寬無法保證。

.. 管理制度缺乏技術依據，安全策略無法有效落實

盡管安全管理制度早已制定，但只能依靠工作人員的工作責任心，無法有效地杜絕問題；通過原始方式：貼封條、定期檢查等相對松散的管理機制，沒有有效靈活實時的手段保障，無法使管理政策落實。

2.2 傳統安全技術局限性

傳統的安全解決方案比如防火墻、入侵檢測、防病毒在網絡安全中起到非常重要的作用。由于現在網絡邊界的概念逐漸模糊，通過VPN、無線上網、遠程撥號等方式連接到內部網絡變得非常普遍，內網上各種信息濫用、誤用、惡用行為增加，嚴重影響內網安全。對于以上安全問題，傳統安全技術顯得力不從心。

.. 網關防護技術

對于防火墻、病毒網關、網閘等網關產品是網絡邊界訪問控制技術，關注重點是防止外部病毒、外部攻擊，缺乏對內網終端的攻擊防護。

.. 審計檢測技術

對于網絡入侵檢測、主機入侵檢測、安全審計等系統網絡審計類產品，通常采用的監測技術，關注重點是發現記錄攻擊、非法訪問等安全事件發生；需要與其它安全產品聯動才能阻斷攻擊行為。 #p#分頁標題#e#

.. 防病毒技術

至于防病毒軟件，經常出現軟件被隨意卸載、病毒庫沒有及時更新情況，無法遏制蠕蟲病毒傳播。

現有的安全解決方案都把防御重點放到外網攻擊上，在內網保護上只有防病毒軟件，安全體系有很大的缺陷。無法防止蠕蟲病毒利用漏洞傳播、無法限制內網資源濫用，無法防止非法外聯行為。

解決這些矛盾需要內網安全管理系統才能很好滿足以上要求。

三 如何評價內網安全管理系統

由于內網安全面臨很大的安全挑戰，而針對外網攻擊的網關安全設備不能滿足新的安全需求，我們需要新一代安全技術解決內網管理出現的問題。新的解決方案應該以內網安全為核心，通過主機防火墻、主機入侵保護、補丁分發、防非法外聯、資產管理等技術為新的內網安全管理體系。

內網安全管理系統將在新的安全形勢下擔任重要的角色，應該如何考慮內網安全系統，我們認為一個完善內網安全管理系統應該能實現如下目標：

.. 阻止各種內網攻擊

防止黑客、木馬、間諜軟件攻擊、蠕蟲病毒爆發、非法探測掃描等攻擊企圖與攻擊行為；對終端設備實施強制網絡接入控制。

.. 提高內網資源使用效率

遠程策略管理、資產管理與控制、防止內網資源的濫用行為，限制應用軟件的濫用（BT、P2P、即時通訊軟件）。

.. 防止商業機密泄露

限制非法外聯行為，防止商業機密泄漏；實時監控各種網絡連接行為，發現并且阻斷可疑上網行為，保護內網資產。 為了達到安全管理的目標，內網安全管理產品應該具備如下功能：

.. 桌面安全防護

.. 內網資產管理

.. 行為管理監控

除了滿足如上功能外，為了保證系統的可靠性、可用性、可擴展性：內網安全管理系統還應該具備如下特征：

.. 安全策略制定靈活、管理方便；

.. 支持大規模、分布式集中部署；

.. 系統可靠穩定、占用系統資源少；

.. 易于擴展，支持與其它安全管理產品聯動；

四 綠盟內網安全管理系統

面對各種蠕蟲病毒、黑客攻擊越來越猖獗，針對目前安全新形勢，綠盟科技本著“客戶至上、質量為本、專業服務、面向國際“的公司管理方針，把客戶安全放到首要的位置考慮，經常多年研究積累，結合客戶安全新的需求，推出一款專門針對內網安全而研制的安全產品-“矩陣”內網安全管理系統。本系統整合最新的內網安全相關技術，以內網安全為中心出發點，從桌面安全管理、內網行為監控、資產與補丁管理等多個角度構建一套完整的內網安全防護體系，防御各種內部攻擊行為，通過技術手段全面貫徹落實各單位的安全管理策略。

4.1 系統功能

4.1.1 終端保護

.. 網絡接入控制

能夠按照指定的策略控制機器對網絡的接入，保證只有認證通過的機器才能夠接入網絡，防止存在安全隱患或未經授權的機器接入內網，在網絡接入層控制非法終端連接，支持IEEE802.1x端口認證的工業標準。對于不支持IEEE802.1x交換環境，采用軟件控制的方式實現對終端設備的安全接入控制。根據網絡環境，用戶可以選擇在不同網段分別啟用802.1X認證、非802.1X認證、不啟用網絡準入認證組合。

.. 病毒庫同步

通過與常用防病毒軟件的聯動，實現及時可靠的病毒庫分發，強制病毒庫與病毒引擎的升級，統一終端最新的防病毒策略，阻止各類病毒和蠕蟲的發作。

.. 主機入侵保護

基于綠盟科技強大研究能力，精選WINDOWS主機類入侵保護規則，對進、出機器的流量進行分析檢測，防御各種針對主機的黑客攻擊行為。

除了入侵保護規則，還內嵌入Sniffer檢測模塊與Flood檢測模塊，能檢測內網機器的Sniffer行為以及終端流量異常行為。

.. 主機防火墻

截取網絡連接嘗試，使用預先定義規則允許和禁止其連接，通過端口、協議、IP、時間等條件限制終端對網絡安全訪問控制。

.. 異常端口監聽

通過設置端口黑白名單，對特定的端口進行監控，并可以在出現異常時告警和限制端口連接。

4.1.2 桌面管理

.. 資產管理

自動收集計算機的硬件資產信息和軟件資產信息，硬件資產信息包括：網卡、內存、硬件、主板等；軟件資產信息包括：操作系統、殺毒軟件、應用軟件信息、計算機系統摘要、終端代理相關信息、當前策略信息、補丁信息；可以自動發現以上各類軟硬件資產的變化情況，靈活生成各種告警圖形報表，及時掌握每個終端用戶資產最新狀態，避免資產流失，方便企業資產的統一管理。 #p#分頁標題#e#

.. 補丁管理

通過與微軟WSUS的聯動，完成安全補丁的自動分發，保證機器及時打上最新的安全補丁，防止安全漏洞被利用。

.. 軟件分發

用戶可以將應用軟件的安裝包（EXE/MSI格式）分發到指定的機器上并執行安裝操作。

.. 交換機管理

自動收集交換機端口信息，提供方便的IP/MAC/機器名/交換機端口的互查功能，能夠打開或關閉指定的交換機端口，通過Web可以查看網絡中的交換機信息，例如端口、流量等。

.. 系統性能監測

實時監測終端CPU、內存、硬盤性能，發現系統超出設置的占用率，及時告警通知。

4.1.3 行為管理

.. 非法外聯檢測

針對企業內網可能存在的通過撥號連接外網的行為進行管理；可以對Modem撥號、VPN連接、PPPoE等撥號方式進行控制，根據需要可以自動切斷撥號并告警。

.. 應用軟件監控

可以監控指定軟件的安裝使用行為，通過軟件名稱關鍵字，對非法安裝使用的軟件實時監控告警。

.. 上網監控

自動記錄員工的上網歷史，包括HTTP上網URL連接信息以及其它非HTTP上網信息，比如Telnet、Ftp等行為，發現異常上網行為；另外可以檢測出通過代理上網的行為，并能按照預設的關鍵字對網頁內容進行告警。

.. 網絡配置強制

可以防止任意修改機器的IP、機器名、MAC等信息，根據安全策略設置自動恢復默認的配置信息；可以針對重點服務器IP采用特殊保護，保證重點服務器IP優先權，避免地址沖突，提高內網管理效率。

.. 強制域登錄

強制終端登錄到指定的域，可以設置多個登錄域；針對登錄到其它域、或者不以域身份登錄的行為，可以采用告警、強制注銷WINDOWS方式響應限制登錄。

4.1.4 綜合管理

.. 策略管理

可以針對不同的機器組制定不同的安全策略，策略類型包括:病毒更新策略、補丁管理策略、入侵保護策略、主機防火墻策略、非法軟件控制策略、非法撥號策略、網絡配置強制策略、異常端口偵聽策略、強制域登錄策略。

.. 查詢與報表

可以方便查看各種安全告警事件、網絡訪問事件；通過報表可以了解最新的補丁、反病毒軟件安裝情況；可以根據資產構成、變更、網絡告警等條件生成豐富詳細的圖形報表并支持多種文件格式的下載。

.. 集中升級

分布在各個節點的安全代理軟件統一從服務器進行升級，大大減小了部署的工作量。

 

.. 用戶管理

采用B/S瀏覽器管理方式，管理人員可以方便登錄到服務器進行管理，用戶可以指定管理機器的IP地址，保證只有授權IP才能訪問。

.. 管理審計

系統對管理人員的登錄行為、操作行為、以及任務的下發情況進行全面的審計。

4.2 系統特性

4.2.1 先進模型、縱深防護體系

循環監控

綠盟科技基于先進的安全策略保護模型，從安全策略定義、探測發現、 掃描檢查、強制接入、自動修復五個階段，全方位、全自動實現對內網安全威脅的循環監控保護。在內網管理過程中，企業必須定義安全策略，矩陣內置十多種安全策略，用戶可以根據企業的安全需求，選擇啟用相應的策略；在探測發現階段，通過多種接入發現技術，自動發現所有終端接入行為；在掃描檢查階段，循環掃描內網終端安全狀態，實時發現各種違規安全事件；結合強制接入階段中多種準入控制機制，阻斷安全事件發生，并且隔離不安全終端；最后采用自動安全同步技術全面提升系統安全等級。通過安全保護模型，構建內網安全循環監控閉環，全天候、實時保證內網安全。

 

圖表1：矩陣安全保護模型圖

縱深保護

由于單一的安全產品、安全技術不能確保整個內網系統的安全，矩陣系統采用縱深化的安全保護技術，應對各種混合類型的攻擊。一個系統涵蓋終端安全、桌面管理、行為監控3大領域，在終端安全方面提供系統級安全保護，整合主機防火墻、主機入侵保護、防病毒軟件同步監控、補丁自動升級、網絡安全準人控制、域登錄控制、配置強制等安全技術全方位保護終端系統安全；各種主機安全技術融合、同步、聯動、在系統核心構造嚴密的安全防線，再加上網絡層與應用層的準入控制，強制隔離不符合策略的終端接入網絡。

4.2.2 靈活內網行為管理

智能化行為監控

內部員工可以通過不受監控的網絡通道將企業的商業機密泄漏出去，給企業帶來經濟損失但又不易取證。矩陣采用最嚴謹的防泄密手段，通過對上網行為、非法外聯行為、應用軟件使用行為的分析，提供靈活方便的行為策略管理界面，從信息傳輸源頭采取智能化行為控制技術，對違反企業策略的行為進行告警與阻斷。其中包括上網行為監控技術（記錄上網內容，關鍵字報警）、軟件行為監控技術、非法外聯監控，有效防止各種非法外聯行為以及泄密事件的發生。 #p#分頁標題#e#

高效可控內網安全管理

用戶隨意修改IP地址、隨意拆卸電腦設備，造成網絡管理混亂，為管理人員帶來很大工作負擔。矩陣系統采用資產自動收集、系統性能實時監控、網絡配置強制技術、軟件分發技術提高內網管理效率；通過策略管理中心及時了解內網終端資產現狀，對資產的變更進行報告與記錄，避免硬件資產流失；通過網絡配置強制技術對IP/MAC地址進行綁定，防止內網資產誤用與濫用發生；通過交換機管理遠程關閉受病毒感染設備所接的端口，及時避免蠕蟲病毒的擴散。

4.2.3 集中統一策略強制控制

集中統一策略強制

面對數以千計的終端電腦，僅僅通過管理制度無法落實有效集中的安全管理，管理人員迫切希望通過技術手段解決存在的問題。矩陣采用靈活的策略樹結構，擴展性強，安全策略隨需而動；隨著時間、地點場所改變，系統自動切換安全策略，及時應對不同終端安全要求。系統內置十多種安全策略，包括補丁管理、病毒庫同步、主機防火墻、主機入侵保護、網絡配置強制、非法外聯監控、異常端口監測、強制域登錄、應用軟件監控、上網監控、系統性能監測等策略，用戶按需配置，集中下發管理。

全面安全準入控制

移動電腦設備隨意接入內部網絡，如果管理不善，很有可能將病毒、木馬帶入網絡，管理人員無法通過有效的技術手段發現并且控制外來接入行為。矩陣系統通過全面網絡接入強制技術（802.1X認證、非802.1X控制、強制域登錄、主機防火墻），從網絡層到系統層接入都可以實現強制控制，保證可管理的終端（安裝安全代理）或者是不可管理的終端（未安裝安全代理）接入安全，有效拒絕未知設備接入。針對國內網絡環境，矩陣在接入控制方面的設計考慮地非常周到，用戶可以在不同網段采用不同的網絡準入認證機制，保證無論在802.1X交換環境或者非802.1X交換環境都能得到有效控制。在802.1X認證方面，矩陣全面兼容思科、華為、港灣等交換機，能很好地適用于國內網絡現狀的要求。

4.2.4 實時豐富告警與報表

實時可靠安全告警

矩陣系統為客戶提供各種內網安全事件告警，告警信息詳細準確；通過豐富的圖形化報表以及實時告警信息，管理人員可以及時掌握最新的安全動態，安全管理變得由此簡單。

豐富精細報表分析

通過豐富分析，用戶可以了解最新的補丁、反病毒軟件安裝情況；可以根據資產構成、資產變更、網絡告警等條件生成豐富詳細的圖形報表并支持多種文件格式的下載。

4.2.5 核心防護引擎、自動修復機制

高效穩定安全防護引擎

現在終端用戶安裝的安全軟件越來越多，各軟件引擎相互影響，缺乏協調，無法統一保護系統安全。矩陣安全代理端采用最新的集中安全防護引擎，在一個核心引擎中同時整合包括入侵保護、主機防火墻、網絡接入、安全同步、非法外聯、行為監控等多種終端安全技術，在系統底層實現聯動統一防護。很好地解決了多個單一功能產品安裝在同一個終端中存在的兼容性與性能問題，大大提高了終端系統的穩定性。

安全基線自動修復機制

安全基線狀態主要是指補丁的安裝情況、防病毒軟件的安裝使用情況、以及最新的防病毒特征庫升級情況。矩陣通過實時監控終端的安全狀態，發現系統的安全基線沒有達到安全策略的要求，采用安全聯動同步技術，自動調用補丁升級程序、病毒庫升級程序，自動修復系統存在的安全漏洞、升級防病毒特征代碼，直到終端的安全狀態達到安全基線要求。采用此技術大大降低工作人員負擔，快速提高對安全事件的響應能力，提高系統安全等級。

4.3 系統構架

矩陣內網安全管理系統構架由安全策略中心、終端安全代理組成，管理者通過瀏覽器方式登錄到安全策略中心集中管理所有安全終端，統一實施企業網絡安全策略。系統構架如圖：

圖表2：系統架構

安全策略中心

安全策略中心由認證中心、策略中心、事件中心組成。認證中心負責終端安全策略認證、策略中心負責安全策略的制定與下發、事件中心負責所有安全事件、資產變更事件、非法外聯事件的查看與統計。

終端安全代理

終端安全代理隱含運行在所要監控的機器上，負責搜集信息、解釋執行安全策略中心下發的各種安全策略并實施強制措施和生成告警。

4.4 部署方式

綠盟科技矩陣內網安全管理系統安裝部署非常簡單方便，可以通過軟件分發、網絡共享、光盤、網站下載等方式靈活安裝。在內部網絡所有終端設備以及移動設備上安裝終端安全代理軟件，通過安全策略中心下發安全管理策略對整個網絡安全進行統一高效管理。

.. 在每臺需要監控的機器上安裝代理軟件

.. 配置一臺高性能服務器安裝安全策略中心軟件，通過瀏覽器控制臺遠程管理

圖表3：產品部署方式

五 結論

近幾年網絡安全事件頻繁發生，各種蠕蟲病毒（如“沖擊波”、“震蕩波”等） 利用系統漏洞傳播不斷爆發，嚴重影響企業網絡正確運營，甚至導致網絡與系統癱瘓、重要信息泄密。而傳統的安全技術與方案主要保證網絡邊界的安全，內網安全成為企業管理的隱患；僅僅依靠在終端電腦上安裝防病毒軟件，在網絡出口處部署防火墻、入侵檢測系統已經無法應對變化無窮的網絡攻擊；移動電腦設備隨意接入，網絡邊界安全產品形同虛設；安全管理無法有效落實，安全策略無法有效執行，僅僅靠安全意識提高、安全技術的培訓無法解決存在的問題。

綠盟科技通過多年對內網安全深入研究分析以及行業最佳實踐經驗，結合國際國內的最新安全標準（ISO-17799）、安全模型（P2DR）以及綠盟科技的信息系統安全體系框架（N-ISSF），新開發出一套安全可靠，功能全面的內網安全管理系統。很好地滿足了政府機關、保密部門、科研機構、銀行與證券、企事業單位對內網安全的迫切需求。 #p#分頁標題#e#

矩陣內網安全管理系統從終端安全、桌面管理、行為監控、網絡準入控制等多個角度構建一套完整的內網安全防護體系，貫徹“積極防御、綜合防范“的安全理念，通過集中管理、分層保護原則，全方位保證各單位內部網絡安全。