内容区上边框

东华桌面安全管理系统解决方案

1.关于东华桌面安全管理系统

桌面安全管理系统(Desktop Security Manage System简称DSMS)是东华合创经过多年经验积累、维护实践,针对企业用户的IT桌面安全需求,自主研发的基于B/S结构的分级多服务器架构,其后台采用可拆分的独立功能模块形式,把实用、易用、便捷、灵活的系统特点;该系统融合了IT资产管理、补丁管理、远程桌面管理、进程管理、桌面设置管理、非法外联管理、外设管理等各种IT桌面因素的统一管理平台。

DSMS产品包括4个子模块,分别为:

Desktop Manage Service Software(DMSS):该模块为软件系统服务器端,提供服务器端后台服务管理,该模块安装在桌面管理服务器端。

Desktop Manage System(DMS):该模块安装在被管PC桌面上,对所有计算机进行软硬件IT资产管理、应用程序管理、远程桌面管理、桌面设置管理、软件分发、外设管理等。

Desktop Security Control System(DCS):该模块安装在被管PC桌面上,对所有计算机进行软硬件IT资产管理、应用程序管理、补丁管理、接入安全控制管理、网络访问管理、外设管理等。

Desktop Audit System(DAS):该模块安装在被管PC桌面上,对所有计算机进行软硬件IT资产管理,对终端有互联网访问、外设访问审计功能。

使用该系统,企业运维人员能实现对网络终端进行集中统一的管理,使得对企业IT桌面管理从被动分散的维护转变为主动集中的控制和管理;使用此软件,企业运维人员能实现从业务角度来管理IT桌面的安全,使IT桌面安全真正成为保障业务服务水平的、可管理、可控制的系统平台,从而搭建起PC使用人员和IT管理人员的沟通桥梁。

2.总体方案建议

2.1.1.系统部署

下图是系统部署方案:

其中黄色部分为DSMS需要部署的模块和位置,包括两部分服务器端和客户端,服务器端需要部署在单独的PC服务器上,主要运行服务端服务和数据库服务;客户端部署在被管理的PC桌面上,用来对PC进行监控和管理。

2.2.系统功能方案

2.2.1.资产管理

资产管理是对企业内部计算机软件和硬件的统计、查询,以及对软硬件资产变动的跟踪等。

对于硬件资产信息,所有客户端的CPU型号、硬盘型号、内存大小等等信息,都可以通过DSMS硬软件统计模块非常快速地查看,并且对其变动情况一目了然。

对于软件资产信息,哪些客户端安装了哪些软件,如KB823980冲击波升级程序是否安装,哪些机器安装,哪些没有安装,DSMS都会统计出来,供系统管理员随时了解。

IT资产管理是所有管理功能的基础。DSMS管理解决方案基于查询的库存分组功能能够任意组合查询。可以实现以行政机构类型或操作系统类型划分群组,甚至可以以CPU类型或IP段进行分组,从而实施不同的应用策略或管理任务。

2.2.2.应用程序进程管理

进程管理主要是为IT经理提供管理客户端的应用程序进程的手段,使IT经理能够根据企业整体计算机的管理需要、各单位内部的管理需要,制订出多层次的管理方案。

进程管理:可以使单位内部的计算机能够根据单位工作需要而发挥作用,杜绝不相干的应用程序运行,降低系统故障的概率,同时也对应用程序的合法性进行审查,避免其它程序对系统安全性造成负影响。

系统自动识别的进程:当客户端PC开启应用程序进程时,DSMS会把该进程信息自动登记到DSMS服务器上,如果同样类型的进程已经登记则不重复登记,已经登记的进程会记录该进程的如下信息:执行文件名称、执行文件大小、该进程对应产品名称、产品版本号、首次执行该进程的计算机名称、首次执行该进程的时间等,用户不可编辑;

为了保正进程正常运行、准确解决遇到的各种各样的系统问题,认真地读取日志文件是系统管理员的一项非常重要的任务。这里将简单介绍怎样定义策略、怎么部署、怎么查看与处理。

定义进程日志策略:可根据策略名称和备注进行查询,可设置策略名称,备注,策略条件,可对已存在的策略进行修改更新,可以对策略进行删除。

进程运行日志:可根据查询条件进行数据导出。主要是针对进程的运行时间从开始时间,关闭时间,总运行时间的记录。

统计报表是记录进程总的运行时间和运行次数。

2.2.3.补丁管理

DSMS软件分发主要是为IT经理提供对客户端PC安装系统补丁、升级应用程序、安装软件、统一执行计算机指令等功能,使IT经理不用每台机器都亲自动手,以最省时省力的方法来完成那些烦琐的批量任务。

具体的功能可以分成如下几类:

  • 自动更新Microsoft发布的重要和关键补丁,包括Windows操作系统补丁,IE补丁,office补丁,SQL补丁等。
  • 分发MSI应用程序包,升级、安装或卸载应用程序;
  • 分发应用程序和数据到客户端PC并统一执行;
  • 通过预定执行时间、执行具体时段、对于当天没有分发到位的安排后面几天执行、未开机的唤醒等多种策略来确保分发任务执行的有效性。

2.2.4.软件分发

软件批量安装,指的是IT经理可以通过DSMS为客户端PC统一安装软件。通过软件批量安装功能,IT经理可以避免为安装同一软件而需要进行的大量的重复性工作。软件批量安装功能可以批量安装的软件包括MSI程序包、应用软件和数据文件,DSMS通过软件分发的功能,把需要安装的软件通过FTP下发到客户端PC本地运行。

大部分正规软件的安装文件中都包含了一个后缀名为.MSI的文件,这个文件就是MSI程序包,利用MSI程序包安装软件的好处是我们可以对软件的安装过程进行配置。DSMS通过分发这个MSI包来实现软件的批量安装。

2.2.5.远程桌面管理

DSMS远程桌面管理主要是协助IT经理遥控远端PC,当远端PC发生一般故障,如发生显卡驱动不正确或者打印机无法打印等问题的时候,IT经理可以不用到该PC所在地,而只需要远程接管这台PC的桌面到本地PC,然后进行必要的配置。这样做的好处是不需要IT经理亲赴现场,从而不需要为一个3分钟就可以搞定的问题,而花20分钟在途中。

系统提供远程支持功能,直接访问终端PC,可以操作或查看终端PC的桌面,并可以切换到管理员桌面,对其进行配置。

PC访问模式设置,是否使用中继服务器,是否需要终端PC用户确认(同意或拒绝),在访问期间,终端PC用户是否可以同时操作键盘鼠标。

授权支持帐号,可以授予不同用户针对不同PC,不同的访问权限。

DSMS系统的管理员admin具有创建远程支持功能模块用户的权限,并对创建的权限,授予其相应对终端PC的访问权限,如操作还是查看等。如果DSMS管理员admin授予某用户对所有客户端具有远程支持或远程桌面管理功能,那么,这个用户就是该模块的管理员,同时具有像其他远程桌面管理员授权的权限。

2.2.6.网络访问管理

DSMS网络访问管理主要是针对终端PC,通过网络访问管理策略的部署,可以针对不同的PC,授予不同的网络访问权限,从而达到管理PC网络行为的目的。

DSMS网络访问管理提供“时段定义”、“策略定义”、“策略部署”,“端口查询”等功能。

定义网络访问策略:通过对访问目标IP地址范围、目标主机的哪些应用服务端口、在什么时间段等进行定义,形成一个关于PC访问端口的策略。

可以定义多套策略,用来分别针对不同的管理需求。定义策略分两部分,第一部分为增加一个新的策略,并给这个策略起个名称,同时把相应的描述信息输入;第二部分为给一个策略设置详细的访问权限和访问对象。

访问策略部署:将已经定义好的策略,部署到不同的终端PC上,进而通过策略的启动和停止,使策略在什么样的终端PC上及在什么时间范围发挥作用。

2.2.7.接入安全控制

东华合创科技有限公司的接入控制解决方案通过行业标准IEEE802.1X,能够在整个网络上实时执行动态策略管理,将用户身份、端点完整性及定位信息与接入控制捆绑起来,解决了平衡接入和安全控制的问题。

支持终端与交换机端口绑定,避免随意更换接入点导致的IP地址冲突等问题。

  • 主机安全状态检测、接入状态自动切换、VLAN支持

DSMS终端准入控制系统旨在提供一个基础框架,为在内网网环境中实现基于准入控制模式的各种各样的安全应用扩展提供支持。系统的核心组成部分包括信任代理(安全客户端Client)、认证服务器(AAA Server)、策略服务器(Policy Server)、控制反馈机制(Control)以及其他安全服务服务器(比如应用补丁更新及安全公告分发服务器,主机安全状态自动分级系统)。

该系统是对传统访问控制的改进,它使用多因素授权判决,并能够动态反馈。同时,考虑到授权的连续性问题,允许访问的决策不仅在访问之前,也在访问的过程中及之后进行。

图  终端准入的基本原理

如图所示,该准入控制系统是一个内网环境中的多条件授权访问控制系统。它依赖访问主体、客体及选定的系统状态来进行策略判决,决定用户的接入请求被允许或是被拒绝,并通过控制反馈机制,调整访问主体或系统状态,从而保障服务可用和系统安全。其认证主流程如下。

  1. 首先,用户启动信任代理(安全客户端),客户端会依据本地当前安全策略检查本地安全状态(其中包含了所有指定的服务信任代理收集的状态,如补丁更新、病毒库等)、收集信息并编码安全状态信息,封装在802.1x_EAPOL协议报文中,向接入设备NAS发送EAPOL报文,开始802.1x认证过程。
  2. 接入设备NAS收到请求后,进行Radius协议封装,转发用户认证信息到认证服务器。
  3. 认证策略服务器收到用户接入请求信息后,首先对报文中的信息进行分离。对于用户身份认证信息(用户名、口令)进行传统的身份认证。对于用户安全状态信息,进行安全准入控制策略认证,如表1所示。
  4. 策略认证服务器综合两种认证产生的结果,生成认证结果,并触发相应的控制反馈机制。
  5. 接入设备转发认证结果,通知安全客户端。
  6. 客户端得知用户被划入隔离VLAN之后会自动(也可由用户手动)的与相应的安全服务器进行同步,如下载需要的安全补丁、更新反病毒软件病毒库等等,使有安全隐患的用户能够解决自身的安全问题,达到系统要求的安全状态。
  7. 用户在更新完毕后,通知策略认证服务器,申请重新认证。
  8. 策略认证服务器触发控制反馈机制,将申请用户端口初始化为802.1x端口,并划归初始默认VLAN。
  9. 重复步骤1,发起认证。
  10. 重复步骤2,进行身份认证和策略认证。
  11. 认证成功,系统打开1x端口,允许用户接入,提供正常的网络服务。
  12. 用户接入安全VLAN,系统保证VLAN内的所有用户都达到系统设置的安全要求。

另外,对于已接入用户,如果发生安全状态变迁,变为非安全状态,系统会依据策略触发控制反馈机制将用户连接断开,并重复步骤4。

  • 强大多厂商、多网络设备支持

DSMS终端准入安全和其他厂商的单一网络设备支持不同,其支持目前主流厂商的交换机设备,集线器设备,网关设备。

不同交换机支持的认证方法不一样,华为的交换机一般支持PAP,EAP,CHAP。这些认证方法,只有PAP的密码是明文的,是华为私有的,无法获得认证用户的密钥。

如果要集成LDAP服务器认证就一定要拿到认证用户的密钥或者LDAP服务器中用户的密钥。

RFC2251 文档中指出有的LDAP服务器对用户的密码属性允许比较操作而禁止读取操作,TIVOLI服务器中如果认证用户的密码以明文存储,那么使用其他拨号客户端是可以集成其认证的。

如果使用的其他客户端支持明文密码验证方式,那么配置交换机使用对应的明文密码验证方式,也可以集成TIVOLI认证。

如果使用的是客户端则没有这些限制,能兼容所有的认证方式, DSMS的802.1X的终端准入能管理H3C,HUWEI,CISCO,RUIJIE等主流设备的802.1X认证功能。

DSMS终端准入安全支持集线器,非802.1X交换机,仅需要一个前提条件:核心交换机的802.1X的端口认证支持MAC-BASE参数--这是目前几乎所有的交换机都支持的功能。

  • 多种接入认证方式和安全处理方式
    • 外来设备的处理

来自外部的PC 机试图接入网络,  (LAS)将采取如下措施:

      1. 拒绝未认证或非法的外部终端设备接入网络;
      2. 根据安全规则将审批通过的外部终端设备设置到对应的访客区中;
    • 内部设备的处理

如果是来自内部合法终端设备接入网络,  (LAS)将采取如下控制措施:

      1. 检查用户输入的用户名和口令是否合法;
      2. 检查客户端是否满足安全策略要求,只有合法身份的用户以及满足组织安全规范的终端设备才能接入到网络中,否则系统会将此终端设备自动切换到修复区中,终端设备在此修复区中访问修复安全漏洞必须的网络资源;
      3. 合法身份的用户以及满足组织安全规范的终端设备接入到网络时,系统会根据用户身份自动将终端设备切换到属于该用户的工作区中,从而实现不同权限的人可以访问不同的网络资源。
      4. 主动收集客户端的安全状态,建立有效的安全反馈及隔离机制,即用户终端的安全系数低于设置的安全标准时,系统自动修复或者提供手动修复的机制,来提高用户终端的安全系数
    • 终端准入安全提供多种认证方式:
      1. 账号密码认证方式:任何接入的PC都需要安装 DSMS终端准入客户端,并使用管理员提供的账号密码登录。
      2. 主机认证方式:任何接入PC的MAC地址都需要管理员审批,置为合法后才能正常接入网络。
      3. LDAP帐户结合方式:能结合Windows域等LDAP用户,实现了网络接入与LDAP账号单点登录,方便用户的使用与操作,减少用户同时记忆两套用户名与密码的烦琐,实现用户密码的统一、集中维护(由域控制器维护),提高了用户密码保护的安全性,方便用户修改密码。
      4. 支持接入时段限制、恶意帐户锁定。

2.2.8.桌面设置的管理

桌面设置管理主要针对终端PC的系统设置的管理。通过桌面设置管理,管理员可以修改客户端一些常用的系统配置,达到对客户端的操作系统进行统一的配置管理的目的。

桌面设置管理有如下功能:

功能名称 特性 功能描述
 服务设置 服务名称 显示的名称 服务的描述信息服务的状态-启动、停止启动类型-自动、手动、禁用服务对应的可执行文件路径服务的登陆身份信息启动服务-启动停止的服务停止服务-停止启动的服务更改启动类型 实时查看系统安装的所有服务,可以配置服务的启动类型并可以启动或停止选择的服务。
 磁盘分区分区性质-主分区还是逻辑分区 分区的卷名称-卷标是否为引导分区文件系统-ntfs、fat、fat32 空间容量(M字节)可用空间(M字节) 实时查看磁盘的逻辑配置信息:包括分区结构、分区的文件系统、分区的空间分配情况。
 本地帐户 帐户名称 帐户全名帐户描述帐户状态-启用、禁用隶属的组启/停所选择的帐户 实时查看桌面系统帐户信息并启用禁用非法的帐户
 共享资源  共享名称-共享资源的名称 共享路径-对应的本地路径说明禁用共享资源 实时查看客户端的所有共享资源并可以取消所选择的共享资源
 系统日志  事件管理器中系统日志部分,实时查看系统的日志,系统、安全、应用程序,包括错误、警告、信息类型
 IE设置绑定 主页设置-缺省的主页 代理设置-使用的代理服务器地址和端口号配置绑定-以策略的形式绑定配置 Internet控制面板中的主页设置、代理服务器设置
 网络配置绑定 客户端名称 所属的工作组信息网卡的名称 IP地址掩码网关 DNS地址配置客户端名称配置客户端组配置每个网卡的IP(两个)配置掩码配置网关配置DNS地址(两个) 实时查看桌面客户端的网络配置(ip地址、子网掩码、网关、dns地址),配置网络、绑定网络配置。目前不支持windows98系统。
 时区与日期 启用或者禁用与服务器的时间同步 设置客户端和服务器的时钟保持同步
 自启动设置 HKLM\SOFTWARE\ Microsoft\Windows\ CurrentVersion\Run 下的公用的开机启动项目 查看客户端的开机启动程序,(启动程序组、注册表的启动项),并取消选择的启动项。
 开关机设定 定时开机-需要网卡支持远程唤醒 定时关机-必须安装客户端立即开机-需要网卡支持远程唤醒立即关机-必须安装客户端 定时开关客户端;立即开关客户端
 计算机名称设置 计算机名称绑定后,用户无法通过我的电脑的属性方式修改计算机名称,对于windows98也无法通过网络属性来改变计算机的名称,这里的名称都是指Netbios名称。 可以防止用户更改计算机名称,并且指定用户的计算机名称。计算机名称绑定后,需要重新启动才能够生效。
 防病毒软件检查 查询 数据导出 诺顿/Symentec全系列(至2008、金山毒霸2/2007/2008、江民2007/2008、瑞星2007/2008、MCAFEE 8、趋势7.3、卡巴斯基6/7、 *均只支持网络版/服务器版 *金山毒霸、江民不能获取病毒库版本和病毒库升级日期
 防火墙软件检查 查询 数据导出 当前只支持Symentec   
 ARP防火墙 支持arp保险箱功能。 支持多种arp病毒的地防护。

2.2.9.外设管理

DSMS外设管理主要是针对终端PC的USB设备、串口设备、并口设备、PCMCIA设备、智能卡、光驱及软驱等外设的管理。通过外设管理策略的部署,授予不同PC不同的外设使用权限,达到对PC外设访问许可的统一策略化控制的目的。

外设策略定义包括“定义USB策略”、“定义串口策略”、“定义并口策略”、等绝大多数外设的控制策略,根据需要,可以定义多套策略,用来分别针对不同的管理需求。各种策略定义的模式和方法都是一样的。

  • U盘加密
    1. 对已经安装本产品客户端并且进行了u盘认证(启动数据加密)的pc,插入u盘后即对该u盘进行数据加密;加密后的u盘插入到未安装本产品客户端或者已安装本产品客户端但未对该u盘进行认证的pc,该u盘无法使用。插入该u盘后,系统提示“需要对该u盘进行格式化”;
    2. 已经加密后的u盘,如需对其进行解密,则只能到服务器控制台进行解密操作;解密后的u盘可以插入到未安装本产品客户端或者已安装本产品客户端但未对该u盘进行认证的pc上使用,如将该解密后的u盘插入到已经安装本产品客户端并且进行了u盘认证(启动数据加密)的pc上使用,则该终端又对其进行了加密。

2.2.10.预警管理

网络管理员的工作职责是维护网络际的正常运行秩序,出现异常情况能够及时处理。但是在实际的网络运行中,网络管理员缺乏实际的手段来获取网络和计算机运行情况。也就无法做到随时跟踪网络异常,更无法及时处理。

网络预警分析的目的就是通过客户端代理程序,获知网络的异常情况,并汇报给服务器。服务器转发给管理员,供管理员处理。

2.2.11.文件访问日志

随着现代移动设备技术的发展,移动设备的泛滥。企业很难有一个行之有效的办法来更好的管理移动式的存储、光碟和软驱的数据随意拷贝,从而不能够保证内部机密文件的安全性。如何保障数据的安全性对于企业来说是至关重要的大事,除了建设网络外部对内部的安全体系外,还需要建立一套具有审计功能的内部安全体系,加强内部文件安全管理是企业管理安全管理不可缺少的重要部分。

1、文件访问日志功能是基于文件访问的日志管理,是审计类管理需求的重要组成部分,其管理目标之一就是确保数据的安全性,对PC使用者在使用PC过程中的文件访问有历史记录,当发生数据流失等问题的时候,可以追溯到某一个历史的文件访问事件,找到真正导致数据安全性问题的原因,从而为以后提供相应保护策略。

2、屏幕记录及屏幕快照采用触发式记录方式,可以根据管理者设置的策略自动抓拍用户电脑屏幕的画面,并且可以看到连续的操作画面,支持多屏监控。方便管理者对各个PC机的屏幕进行巡查,及时地发现违规行为,对违反策略的的PC机做出快速的相应及时地进行控制。对已记录的屏幕录像和图片根据计算机名称或者IP地址等条件进行查询,可以作为对员工的绩效评估的依据。

3、打印审计记录,管理员可以通过制定策略对打印的文件和文件内容进行监控,可以定制打印监控时间,监控制定打印机,监控指定的文档名称、文档页数等。支持本地打印机记录,共享打印机记录和虚拟打印机记录。

  • 我们的技术优势

利用Windows内核核心技术,在文件系统驱动中采用了智能过滤机制,有效避免对无效文件操作的审计记录,保证了文件审计记录的准确性、高效性和完整性。在保证文件操作审计的完整性的同时,有效地减少了审计的信息量,使得需要在网络上传送的数据大大减少,减轻了网络负担。

2.2.12.互联网访问日志

  • IM软件审计

监视常用IM软件的聊天记录和文件传输,基于底层的协议分析实现一个IM协议分析规范,以插件(DLL等方式)的方式装处多个IM协议分析模块,各个协议分据模块据根需要分自相应的数据,并且自已处理相应的信息输出与记录

  • FTP审计

支持对WIN自带的FTP以及其他以FTP协议以标准的上传工具进行上传文件的监视。分析FTP协议,对于FTP登陆服务器的记录,FTP上传,FTP下载的文件名,文件大小进行记录。

  • WEBMAIL和网络磁盘审计

支持在WEBMAIL或者是网络硬盘以及其他各类网站上的上传文件的监视(包括文件名,路径和数据)。

分析数据包中基于WEBMAIL或者网络硬盘采用的HTTP协议上传数据方式,并从中取出相应的数据部分,包括名称和文件内容,同时记录下相应的网址。

  • SMTP、POP3邮件审计

实现对以SMTP,POP3标准协议开发的各类邮件客户端(比如FOXMAIL,OUTLOOK等)的收发邮件的进行审计,审计内容包括发件人,收件人,时间,主题,正文以及附件等

  • WEB访问审计

提供对终端用户浏览网站的审计功能,支持对所有WEB访问的详细记录,审计内容网络地址、网络标题、浏览器(仅客户端代理方式支持),时间等等;同时支持对对网络访问的图片、声音、视频、脚本、网页等进行过滤。

3.产品技术特点

  • 管理平台为B/S结构,方便在任何时间地点登陆到管理系统
  • 对客户端的管理捆绑硬盘标签,保证客户机不管修改IP还是MAC地址都能接受DSMS中央管理,并且能够做到在拔了网线的情况下策略依然生效。
  • 通过标准的桌面协议WMI、DMI来获取所有的软硬件信息和软硬件变动信息,能够保证信息获取的更快,更完整。
  • 进程指纹识别技术,可以保证被封杀的程序不管如何改名字,或者更换物理路径都能被封杀。
  • BITS技术,做到补丁下载和推送过程中支持断点续传。并且能够做到自动识别网络带宽,自动调节带宽。起到网络带宽负载均衡的作用。
  • 网络访问管理,在各PC机形成统一的防火墙,可通过域名,IP地址,端口进行组合管理
  • 外设管理通过WMI的技术来进行底层中断来进行管理
  • 动态服务器管理技术
  • FACF(File Access Control Filtering,文件访问过滤)

FACF是北京东华合创数码科技股份有限公司基于操作系统内核,创建了一个对PC用户访问文件的过滤机制,这个过滤机制能够根据预先建立的规则,对于PC用户的磁盘进行读保护、写保护以及删除保护。通过建立这样一套机制,能够对PC用户使用PC的行为进行管理,该技术普遍用于DSMS中外设管理,以及桌面设置和文件系统审计等范围。

  • 优秀的并行处理能力,支持大数据量客户端
  • 统一化策略机制
  • 数据安全

由于本项目所涉及的是PC本身的管理,因此其权限要求非常高,所以需要对其所有通讯进行全程加密,通常TCP/IP作为明文协议,用Sniffer工具很容易获取其数据内容,这样就会对系统本身产生非常巨大安全隐患,一旦系统通讯被破解,就会涉及到众多PC的安全问题。因此,需要从四个方面进行安全性考虑:一对数据通讯进行全程加密,确保数据在网络传递过程中是密文;二服务器与客户机的存取,需进行身份验证;三是控制台对客户机的访问,需要采用动态Key加密技术,一次访问采用的key只能本次发挥作用,访问断开则key失效;四要求其服务器数据必须具有存取限制,控制台有密码保护,同时数据库支持大型数据库,确保安全。

 

内容区下边框