项目建设背景
上海联通采用以太网络,总部与全市二十多个营业厅和客服中心路由连接,成“一个中心、多个分支机构”的典型星型结构。整个网络按照业务分为OA和营帐两大网,网间物理隔离,共有终端约2000多台,VLAN划分约50多个。
上海联通内网管理的特点:
1、涉密等级:上海联通对内网安全要求较高,特别是对于营帐网计算机的管理。
2、涉密单位结构:总部与营业厅的安全都很重要,营业厅的安全管理更困难。
3、信息化程度:上海联通信息化程度比较高。所有网络基本设施均已建成,防火墙等基本网络安全设施也已经具备。
上海联通内网资源的特点:
1、终端分散程度:营业厅众多,内网节点总数大,位置比较分散。
2、软件自动分发:无自动分发工具,无域管理策略。
3、是否允许使用个人防火墙:不允许。
4、终端计算机性能:上海联通计算机大多性能良好;
5、常用软件:
(1)使用操作系统:Windows2000系列,Windows XP,Windows2003 Server
(2)常用的软件没有特殊的设备管理软件。
问题与需求分析
上海联通内网信息安全的基本需求如下:
1 、节点接入控制
企业规模化的网络接口方便了员工接入网络,同时也方便了外来计算机接入网络,管理人员对此类情况难以判定并加以监视和控制,特别是下属营业厅地域分散,监控更加困难。且因现缺乏严格的管理策略,员工随意设置IP地址,可能造成IP地址冲突,甚至导致关键设备的工作异常。
希望能对未登记注册的计算机进行快速隔离和阻断,对于内部非法修改终端计算机网络设置的计算机能进行验证,即节点验证的需求。
2 、资产管理
由于各营业厅使用的计算机比较分散,台帐难以管理,对“基础信息”和“资产信息”集中管理的需求比较强烈,希望及时掌握用户和资源现状与变更情况,发生违规事件时及时将问题定位到具体用户。希望对内网计算机的运行软件和外设使用进行集中控制。
3 、外联监控
电信企业内网中用于营帐和办公的计算机信息要求严格保密,禁止与国际互联网直接或间接发生连接。特别是对于营业厅的计算机,地域分散,控制更困难。
4 、补丁管理
每隔一段时间微软发布修复系统漏洞的补丁,但很多用户不能及时使用这些补丁修复系统,造成重大损失。现在电信网络结构庞大,网管要保证每台终端及时全面的安装相应补丁,工作量很大,且很难实现。
方案设计
针对上海联通的实际需求,eCop内网安全管理方案设计如下:
1 、在总部中心机房的服务器网段内按照0A 网和营帐网部署2 台eCop中央控制服务器,在营帐网各营业厅机房部署IP管理代理,实现整个网络的节点接入控制与IP变更管理。
2 、在总部和营业厅各个被管理的终端计算机上安装客户端程序,根据各自所属的业务网向不同中央控制服务器汇报信息和获取管理策略,实现网络各终端资产信息收集与变更管理、外联监控等。
3 、在企业内网中部署补丁服务器,安装eCop的监控插件,协同中央控制服务器实现补丁管理的功能。
整个实施方案工作的示意图如下:
 |
具体实现功能如下:
节点接入控制与IP 违规变更
该功能专注于网络接入安全,解决了内网中计算机设备非法接入、IP 地址违规变更的问题,提高网络的可用性和可靠性。
eCop的该项功能可以实时扫描与分析在线计算机的IP 、MAC地址信息,管理员可验证各项信息,通过IP-MAC 绑定、DHCP-MAC 绑定和特权MAC 配置三种方式将接入设备设定为合法,而对于非法机器则进行警告并实现隔离阻断。
这里的“非法机器”含两种情况:一是外来接入的新机器,未经过管理员验证绑定过的;二是经过管理员验证的原合法机器,因更改了IP或DHCP 地址使原合法绑定失效的。如此,不仅控制了新节点的非法接入,也对内部IP 地址的违规变更、冒用、盗用提供有力的解决方案。
资产管理
该功能可按组织结构管理,实现设备信息的注册和审批,自动收集终端的系统、硬件、软件信息;信息变更时,自动记录,并可根据策略向管理员发送报警,信息可搜索查询,可以定位到人,还可以根据需要对信息进行选择查询,形成的统计数据,为单位硬件升级、信息上报等提供方便。
管理人员可在服务器上设定启用或禁用各终端计算机的外设和端口,包括软驱、光驱、U盘、MODEM 、串口、并口、红外接口、1394 口等外围设备和接口,即使断开内网,客户端程序照样具有控制作用。该功能的最大特点就是启用与关闭的方便与灵活,且对U盘的禁用不会影响到USB键盘、鼠标的应用。
管理人员还可在服务器上设定内网计算机要求运行和禁止运行的进程列表,客户端程序对终端计算机进行监控,发现的违规进程进行报警,发现禁止进程可自动停止其运行。
非法外联监控
该功能可定周期检测终端计算机的网络连接情况,记录下其违规外联的信息并向服务器发送违规记录和报警,对于发生非法外联行为的计算机,客户端可自动断开其各种网络连接,包括网卡连接、拨号连接、无线连接等。
客户端程序运行于终端计算机的后台,即使断开内网而外联,客户端程序也可检测到。另外,非法外联监控策略可灵活配置,无须外网监控服务器。
系统补丁管理
该功能通过内网补丁服务器提供一个集中的补丁分发点,在内网终端计算机上实现系统补丁的更新管理。可实现终端计算机补丁的查询、报警和及时自动更新。
可按照组织机构灵活配置客户端补丁管理策略。
方案实施与效果
整个方案的实施大致分为三个阶段:
1 、联通信息中心工作人员试用的阶段。产品安装到位后,信息中心的人员先在自己部门小范围内试用,积累初步经验。
2 、在各营业厅全面部署IP管理代理,实现全网接入安全管理。
3 、部署安装客户端阶段。在客户端功能特点试用比较成熟后,信息中心工作人员全面部署客户端管理程序,采用在单位内部网站上发布安装手册的方法进行部署,再对少数安装有问题的主机进行排查。
4、安装相应补丁服务器,完成全网计算机终端的补丁管理功能。
eCop的成功实施和稳定运行,减少了技术管理人员的工作量,提升了内网安全管理的水平,达到如下效果:
1 、全面有效杜绝了外来非法节点的接入,控制并规范了内部IP地址的使用与变更;
2 、加强了对内部计算机的资产、外设等管理,杜绝了终端违规外联事件;
3 、实现了内网计算机的补丁自动更新,减轻了管理员工作量,杜绝了因补丁未能及时安装导致的病毒传播;
4 、充分实现“以人为本”的理念,实现信息安全工作齐抓共管;
5 、为设备维护人员提供了有效的管理平台。
|
