電子政務易管理解決方案
隨著電子政務信息化進程的不斷深入,各種網絡產品及應用系統分步建設,同時引發了管理上的難題,一種網絡設備需要一種管理軟件,一套服務器或應用系統需要一種管理軟件,多套管理系統的運行維護給網絡及應用管理人員帶來了極大的工作壓力和難度。在金稅三期網路擴容、數據集中的大背景下,如果沒有一套全方位的管理系統,那么對信息中心的技術管理人將是一場工作上的災難。
神州數碼網絡深知信息化建設的進程,急用戶所急,經過多年的開發,推出了神州數碼Linkmanager5.0網絡管理軟件。神州數碼網絡管理軟件集合了大管理的概念,能夠對多種網絡產品、服務器、服務進程、中間件、數據庫等進行全方位、多角度的管理,真正實現了一套管理軟件管理整個網絡軟硬件系統的功能,將極大的解決管理員的工作難題。
Linkmanager5.0分為兩個管理套件:網絡管理平臺和應用&服務器管理平臺。
1、網絡管理平臺
網絡管理平臺可以支持對大多數國內外主流廠商的網絡設備的管理,主要實現基于網絡設備的各種管理、監控及報表功能。
1)設備管理:查看所有設備列表、按類型查看設備列表、按子網查看設備列表、設備列表查詢結果過濾、設備列表導出、設備列表打印、設備信息發現、設備概況、基本信息查看與配置、端口信息查詢、網管信息查詢、查找設備、設備備份、IP地址占用情況、端口管理。
2)拓撲管理:網絡發現、縮放拓撲、排列拓撲、鷹眼導航、顯示與標注、拓撲屬性修改、拓撲位置保存、手工添加網絡、手工添加設備、手工添加線路、設備CPU性能展現、設備內存性能展現、線路速率展現、線路包速展現、線路帶寬展現、建立與編輯子圖、設備節點與線路復制、節點子圖關聯、節點超鏈接設置、節點瀏覽器腳本設置、設置默認拓撲。
3)性能管理:設備CPU監測、設備內存監測、設備端口監測、設備負荷快照、設備負荷統計、終端活動快照、終端活動統計、查詢結果過濾、列表導出、列表打印、監測器選擇、監測器參數配置、監測頻率間隔設置、監測時間段設置、告警內容設置。
4)故障管理:故障節點列表查詢、告警事件查詢、確認告警事件、查詢結果過濾、列表導出、列表打印、告警通知策略配置、通知動作配置。
5)流量分析:全局流量統計、終端流量統計、所有協議統計、IP協議統計、ICMP插件、NetFlow插件、sFlow插件。
6)報表展現:網絡運行統計、節點延時統計、節點端口流量統計、設備CPU負載統計、設備內存占用統計、查詢結果導出。
7)安全管理:合法終端地址查詢、登記與撤消記錄、手工編輯記錄、安全檢查手段、非法終端查詢、重新登記、手工攔截、手工放行、列表導入、列表導出、列表打印。
8)系統管理:系統信息統計、CPU使用率TOP10、內存使用率TOP10、速率速率TOP10、最新事件列表、性能趨勢添加、發現向導、系統配置、密碼修改、用戶管理。
2、應用&服務器管理平臺
1)細顆粒度系統管理:服務器管理、數據庫管理、J2EE管理、MQSeries管理、Lotus Domino/Notes管理、存儲備份管理、應用服務管理。
2)運行維護管理:運行值班管理、告警事件管理、用戶申告、告警與通知、值班日志、交接班管理、故障處理流程管理。
3)全面的資源管理:設備管理、合同管理、知識庫管理。
4)豐富的報表與運行考核:提供打印和以多種格式的數據導出、可由用戶靈活定制報表、提供日報、周報、月報、年報報表生成、提供圖形方式(包括曲線圖、直方圖和餅圖)的呈現。
可信終端管理安全現狀 終端作為電子政務信息系統的基本組成單位,擁有多種角色屬性,承載著傳輸、處理、存儲等復雜的業務應用。因此終端所面臨的安全問題是紛繁多樣的,并且由于網絡應用的大規模普及,導致存在于任何一個終端節點的安全問題都可能威脅到整個電子政務信息網絡的安全。然而長時間以來,各類已有的信息安全產品始終無法有效應對龐雜的終端安全威脅。
在一個已經部署防毒軟件、防火墻、IDS、VPN等傳統信息安全產品的企業,卻依然會不斷上演以下場景
場景一
未經許可而接入到電子政務網絡的計算機非法訪問電子政務信息資源
場景二
未執行電子政務安全策略的染毒計算機在網絡內傳播病毒
場景三
由于存儲有重要數據的便攜計算機丟失所導致的政府機密泄露
場景四
堆砌了不同品牌大量的安全設備卻始終無法智能、聯動地解決網絡內的安全問題
……
隨著安全技術的發展和安全管理模型的細構,以及電子政務信息安全從終端使用者角度“自愿安全”到電子政務信息資產角度的“強制安全”的觀念轉變,人們對信息安全的關注已經不僅僅局限于傳統的邊界安全和分散的端點安全,系統化的終端安全管理正在日益成為新的焦點。也正是這種切合實際的需求促使終端安全管理產品現身安全市場。
終端安全管理系統DCSM的產品理念體現在如下三個方面:
通過統一的終端安全平臺降低安全管理成本提高安全管理效率; 通過多安全功能模塊聯動來實現網絡安全策略的強制執行; 通過加密技術與細粒度的操作行為審計加強網絡的防信息泄露管理。 1) 通過統一的終端安全平臺降低安全管理成本提高安全管理效率
終端面臨的安全威脅是復雜的,如:病毒、木馬、蠕蟲、未授權訪問、信息泄露、間諜軟件、操作系統漏洞、系統資源誤用、系統資源濫用等。我們使用的終端安全防護軟件也是多樣的,如:主機防毒軟件、主機防火墻、主機入侵檢測系統、間諜軟件清除工具、操作系統補丁升級工具、文件加密系統等。而每一種終端安全產品都需要配置相應的策略才可以保證其作用得到有效發揮,這些情況導致產生了兩方面的主要問題:
高昂的終端安全產品擁有成本讓政府采購難度加大,從而難以擁有完整的全系列終端信息安全防護產品。 分散煩瑣的終端安全產品配置,在增加政府管理維護成本的同時,也令政府喪失了應對終端安全威脅的最佳時機。 改變這種現狀的解決辦法是:
統一終端安全產品平臺,將主要的終端安全管理產品整合為一個系統提供給用戶。其中產品模塊應是可選的,以利于保護用戶的前期終端安全產品投資,如防毒軟件。 統一終端安全管理平臺,在同一策略服務器制定所有終端安全產品的安全策略,并將策略下發到終端進行執行。 2)通過多安全功能模塊聯動來實現網絡安全策略的強制執行
目前的終端安全產品功能相對單一,且各自為政,無法智能有效地解決復雜安全問題,導致終端層面安全孤島的形成。面對這種挑戰我們需要的是多安全功能模塊依照安全策略進行聯動,從而使網絡的安全策略得到真正的強制執行。例如,未安裝關鍵更新的終端將被與其他終端隔離,只能訪問操作系統補丁升級服務器,并在完成關鍵更新安裝后,必須通過網絡安全策略的符合性檢測,才能恢復其內網資源訪問權限。并且,該產品還可以和802.1x交換機進行聯動,充分實現基礎網絡的安全準入。
3)通過外設控制技術與細粒度的操作行為審計,加強防信息泄露管理
在邊界安全為主的安全模型中,內部終端長久以來被當作潛在受害者進行保護,隨著硬件介質遺失和被竊事件的頻繁發生,我們需要為受保護的內部終端提供獨立于操作系統的加密工具,從而有效控制硬件介質遺失和被竊所造成的政府損失。同時我們也應該看到隨著各種內網安全事件帶來的損失越來越大,以及對內部終端防信息泄露的要求越來越高,內部終端作為潛在攻擊者的角色也必須受到我們的重視,于是針對內部終端的細粒度應用控制與操作行為審計勢在必行。例如終端應用進程的黑白名單控制;終端網絡行為審計;終端外設使用控制與審計等。
實現功能
DCSM 主要功能模塊
適用于多適配器環境,包括多條復雜的規則匹配條件。能夠保存應用程序網絡連接狀態表,提供雙向的狀態檢測功能。
主機IDS
安全代理中集成的入侵檢測引擎可捕獲進、出主機的網絡數據包,進行基于簽名的檢測,并根據檢測結果做出響應。
網絡區域自適應
安全代理可按照管理員預先設定的區域探測規則,實時檢測終端所處的網絡環境,并切換到相應的防火墻策略。
完整性檢查與自動修復
支持自定義的完整性檢查規則,可檢查進程、文件系統、注冊表等的完整性,保證企業的安全措施,例如防毒軟件安裝以及病毒庫更新。當某條規則規定的條件不滿足時將自動執行完整性修復,手段包括執行本地修復命令。
網關強制認證
強制認證模塊是運行在強制認證網關中的一個訪問控制模塊。它作為外部的安全強制手段,保證被保護信息資產的安全。該模塊根據安全代理提供的安全狀態,被訪問的地址及服務,及中心策略管理服務器提供的驗證信息決定采取通過或阻止網絡連接的動作。
安全策略管理
管理員通過策略中心,可以進行安全策略新增,修改和刪除等管理維護,包括全局策略,安全防護策略,安全防護策略模板,告警審計策略和文件審計策略等。
Sensor Agent探測、Sensor Agent阻斷
Sensor Agent可以根據策略對企業網絡中未安裝安全代理的非法終端進行探測,并對非法終端試圖在企業網絡內建立網絡連接的行為進行阻止,從而避免非法終端的未授權接入給企業網絡帶來的安全威脅和隱患。
資產管理
安全代理安裝后,可以收集到各種資產信息,存放在服務器的數據庫中。收集的信息包括各種硬件信息,如網卡信息、CPU、內存、硬盤等配置;各種軟件信息,如操作系統版本、已安裝的軟件產品、補丁等;資產的財務屬性,如資產編號、使用者信息等。
安全代理會不斷跟蹤終端軟、硬件配置的變化,從而保證管理員隨時得到最新的信息。終端的硬件改變還會在管理服務器上生成告警,使管理員及時了解資產的變化,也可查看資產硬件變化的歷史。
文件分發
支持從管理員控制臺將各種文件上傳至服務器,客戶端可以檢測并選擇需要下載的文件。可支持多個從分發服務器,減少文件分發帶來的帶寬占用。
補丁分發
采用微軟的WSUS補丁更新機制,管理員通過策略中心設置補丁更新模板,強制終端執行對應的補丁更新策略。
代理查詢
提供豐富的查詢條件,以便在大面積部署后準確查詢某一代理。
代理密碼卸載
代理除了通過管理頁面進行卸載外,還可以通過密碼進行自卸載,但密碼必須有管理員提供。
IP/MAC綁定
可對安裝安全代理的終端提供IP與Mac地址鎖定功能,可以防止其他設備使用與本機相同的IP地址而造成地址沖突,同時防止終端隨意改變IP地址。一旦發現終端計算機的IP與Mac地址不匹配,將采取相應的處理措施,保證IP與Mac地址的一致匹配。
進程/服務/共享監控
通過進程/服務/共享 監控,管理員可以實時查看終端的進程/服務運行狀態以及文件共享設置,并可以根據需要立即結束終端的進程/服務/共享,或修改終端服務的啟動設置。
資源利用監控
安全代理可以監控終端的CPU、內存、磁盤、網絡等系統資源的利用情況,并根據設置的告警閥值進行記錄,便于管理員掌握企業中終端系統資源的異常利用情況。
策略模板
策略管理提供策略模板的編輯方式,支持導入、導出功能。管理員可以將通用的管理策略編輯成策略模板,從而在設置代理組策略時能夠方便的引用,提高系統管理的工作效率。
審計中心
通過審計中心,可以查看當天實時的告警審計信息和告警審計信息的統計分析結果,并能夠針對全部的告警審計信息進行查詢與輸出,同時還可以查看系統自身的運行審計記錄和管理員的系統操作審計記錄。
報表中心
報表中心為用戶提供方便、快捷的模塊化報表輸出模板,只需簡單的設置報表輸出條件,即可獲得所關注內容的統計分析報告,并提供Top10柱型圖和分布統計餅狀圖以便于更直觀的展現統計分析結果。
遠程消息
管理員在控制臺可以對單個、多個安全代理或指定代理組發送消息。可以編寫消息內容,并設置發送消息的等級,從而使消息以不同的方式在終端顯示,提醒終端用戶查看發送的消息內容。
遠程控制
經過授權的管理員能夠對終端進行遠程控制管理,可以實現終端計算機的實時屏幕查看監視、詢問接管遠程控制和強行接管遠程控制,方便管理員遠程幫助終端進行故障診斷和管理監控。
外設控制
可以對安全代理所在主機的輸入輸出設備進行控制,如在高度涉密的部門禁止使用U盤、打印機、無線網卡、紅外接口等可能泄露企業機密的設備。
進程/服務審計
通過制定進程、服務審計規則,對終端運行的進程和服務進行審計,當終端運行非法的進程或服務時會觸發報警日志,方便管理員掌握非法應用情況。支持告警級別和審計時間段的設置。
URL審計
通過制定URL審計規則,對終端的網頁訪問行為進行審計,當URL中存在非法關鍵字時將觸發報警日志。支持告警級別和審計時間段的設置。
系統管理三權分立
提供三權分立的管理體系,設定三類系統管理角色:安全員、系統管理員和審計員。安全員負責審批新增系統管理員和審計員德操作權限,系統管理員負責對整個終端安全管理系統日常的運行維護,審計員負責審查安全員和系統管理員對整個終端安全管理系統的操作行為。
方案特點
1、提供給用戶設備、應用、終端全方位的易管理、統一管理方案,即使在異構網絡中,也能做到對網絡狀況了如指掌,對各種突發情況輕松應對;
2、可視化管理和可視化安全融合,降低網絡運維成本,構建高價值的電子政務網絡。