全网行为管理系统
全网行为管理系统
1.1全网行为管理系统是什么
全网行为管理,包含本地局域网管理和VPN接入网管理两大区域,不仅管理上网的行为,也管理不上网的行为。除了在网络边界进行上网行为管理和安全防护外,还融入了主机行为管理和内网异常流量管理以及综合审计等功能,并可对异地通过VPN互联的局域网或移动用户进行统一的安全管理,因此称为全网行为管理。
1.2全网行为管理系统的主要功能
1.1.1 全网终端监控。系统自带的终端列表、IP管理以及终端扫描设置等功能。终端列表能通过终端扫描设置的条件自动扫描全网所有终端设备,按照办公设备、网络设备和安防设备来划分。其中办公设备又分为电脑PC端、移动设备、媒体设备和打印机设备,网络设备分为路由器、交换机、无线控制器和其他网络设备等,凡是接入网络的设备都能自动识别和自动分类,而PC端还可以识别出系统的类别,是windows、macos以及linux。IP管理界面,通过直观的IP顺序分布图,以不同颜色的方块来区分哪些IP地址正常使用,哪些长期离线,以及哪些未使用。
1.1.2 入网用户管理。在入网用户管理界面可以查看到终端是否安装了“准入插件”,安装了插件可实现更强大丰富的管理功能,针对我院实际情况,每台接入内网的PC机都需要安装此插件。
1.1.3 合规检查状态。这里能查看“终端检查”中设置好的检查策略的结果,例如我们设置了“U盘管控”,那这里就会出现所有符合这条设置的终端设备;如果设置了“禁止陌生终端访问数据中心服务器”,那没有安装准入插件的终端设备,包括电脑和移动设备,就无法访问数据中心服务器,这里显示的都是符合要求安装了准入插件的终端设备。
1.1.4 流量状态监控。可通过用户流量排名、应用流量排名以及业务流量排名当多种方式呈现流量的使用情况,通过排名可以知道哪些终端设备占据了更多的资源,从而判断是否合理,如不合理就要采取相应的措施。还可通过用户配额设置,来限制网络资源的占用情况,给某个用户相应的资源配额,一旦达到了配额值就自动断网。应用流量排名,分为SNMP、Oracle、P2P、访问网站和远程桌面等,通过流量走势来获悉哪种应用使用资源最多。
1.3全网行为管理系统的关键技术
接入管理技术。针对内网设备而言,接入管理是非常有必要的功能。凡是接入内网的设备都能通过网络扫描的方式识别出来,并自动分类。接入管理分为用户管理、接入认证和终端检查,这就为接入的用户提供了管理的策略,在终端检查下有意向检查策略功能,我们通过新增的方式来建立新的策略。针对我院实际情况,我们新增了“U盘管控”和“禁止陌生终端访问数据中心”两条策略。
1.3.1 U盘管控策略。针对内网终端的特殊性是不予许使用U盘、移动硬盘一类移动存储设备的。这些存储设备的使用有很大概率会带入木马、蠕虫甚至勒索病毒等有害程序进来,危害网络安全,破坏医院业务的正常开展。但如果有些数据需要从内网导出来,通过外网上报到上级单位的话,也需要U盘,为此我们采用专人专管的方式,等级专用U盘,仅为导数据用,且记录下该U盘设备的设备ID,通过设置白名单的方式开放该U盘,并签订了保密协议和承诺书。一旦发现病毒,将追溯设备ID,然后找到责任人,接受相应处罚。但是U盘管控的功能,是要针对终端安装了准入系统插件才能有效的。
1.3.2 禁止陌生终端访问数据中心。内部人员的安全措施到位,但无法阻止不法分子通过笔记本电脑把网线插入闲置的墙上网口或者破解内网无线网络,然后进入医院内网中,传播病毒和窃取机密数据。针对这种安全隐患,准入系统设置了“禁止陌生终端访问数据中心”的策略,一旦开启此策略,只有安装了准入系统插件的终端电脑,且在准入管理平台上批准通过了的终端,才允许访问数据中心的服务器,因为业务系统都需要连服务器才能正常运作,所以不安装插件和不通过允许,是不可能窃取到机密数据的。
1.4全网行为管理系统在拓扑图中是怎样部署的
全网行为管理系统一般情况下都是旁路接入到核心交换机中,通过在内网核心交换机中建立镜像,系统访问镜像中的数据来获取经过核心交换机的所有数据。读取镜像的好处是不影响核心交换机数据的正常流通,对业务运行是透明的,无性能影响。
我院的全网行为管理系统
2.1 我院的网络结构中,由于内外网都部署了威胁探针和安全感知平台,威胁探针同样是旁路部署在内网核心交换机上,同样需要核心镜像。当我们尝试建两个镜像时,发现性能不足,无法成功建立,所以我们把全网行为管理系统服务器旁路接入到数据中心交换机中,通过建立镜像,成功接入。由于重要业务的服务器都是从数据中心交换机中接入,所以也达到同样效果,设置也没变化。
结语
全网行为管理系统作为网络安全设备的重要组成部分,其“非批准不可进入”的管理策略消除了非法用户进入内网的隐患,同时管理平台对所有设备的管理更直观更可操控性,系统的功能还有很多,需要继续深入研究,结合我院实际,把功能发挥到最大。