网御星云ISM行业应用典型案例精粹

　　编者按：北京网御星云信息技术有限公司是由联想网御科技（北京）有限公司更名而来，其前身为联想集团信息安全事业部。在过去的十多年里，网御星云始终坚持以“让用户放心地使用互联网”的企业宗旨，坚持“以核心技术和专业服务成就客户事业”的经营理念，得到了广大客户和众多合作伙伴的大力支持与高度认可，成为唯一一家在所有安全网关类细分市场（FW/UTM/IPS/VPN）中都名列前茅的中国信息安全领军企业。

　　网御星云内网安全管理系统（ISM）用于对内网终端主机进行集中的安全保护、监控、审计和管理，可自动向终端计算机分发系统补丁，禁止重要信息通过外设和端口泄漏，防止终端计算机非法外联，防范非法设备接入内网，有效地管理终端资产等。同时，可协同网御星云FW/UTM/IDS/IPS/SAG/King Guard等产品进行协同防护，整体提高内网防御威胁的能力。以下案例是网御星云公司众多ISM产品行业应用案例中的很少一部分，旨在为大家提供一些ISM行业应用案例借鉴，也希望通过这些案例与读者进行更加深入的探讨。

　　网御星云ISM特色描述：

　　·管理方法科学实用

　　系统采用目前先进可靠的P2DR安全机制，（Policy安全策略、Protection防护、Detection检测和 Response响应）在整体的安全策略的控制和指导下，综合运用防护工具的同时，利用检测工具了解和评估终端主机的安全状态，通过适当的安全响应，将终端隐患调整到“最安全”和“风险最低”的状态。

　　·全网产品协同防护

　　系统根据对网络威胁获取的实时性、准确性，处理威胁的及时性、响应机制的多样性，产品协同的廉价性要求，遵循CSC网关联动安全标准，与FW/UTM/IDS/IPS/SAG/King Guard等网关产品进行技术整合，共同防御网络内部和边界的安全威胁，实现全网安全的统一防护。

　　·终端保护全面专业

　　系统包括终端的安全及审计和管理与运维两部分。采用COM组件技术，以强制执行内部安全策略为核心，实现对终端用户的网络接入、程序使用、文件访问、上网行为、端口通信、网络共享、外设端口、移动介质、访问流量、文件加密、资产变更等行为进行强制管理与实名审计，最终全面提高终端环境自身的安全性。

　　·系统补丁统一分发

　　系统通过对终端主机进行自动漏洞分析，统一向终端下发所需系统补丁，确保终端计算机方便快捷地修补系统漏洞，增强终端安全性。系统支持补丁分发策略管理、分发流量控制、级联分发、自定义补丁管理、补丁增量更新、补丁回退等功能，帮助客户省时、省力、省带宽地完成对终端的"查遗补漏"。

　　典型案例之一：网御星云ISM向工商企业提供全面专业保障

　　A.背景与需求

　　某市工商内部网络较为复杂，总共划分有24个网络区域，并都需要进行终端的可信接入检查与管理。

　　·如何最大地适应用户的网络环境，来实现终端主机的可信接入。

　　·如何保证这些业务系统的安全，保证业务的不中断。

　　B.解决方案

　　第一步，终端初始化。要求终端主机安装ISM客户端程序。

　　第二步，终端用户认证。拒绝非法（未安装ISM客户端程序）用户接入网络。

　　a)远程接入用户认证。SSL VPN产品可检查远程终端主机是否安装ISM客户端程序，拒绝未安装ISM客户端程序的终端主机接入网络

　　b)内网接入用户认证。在防火墙（UTM）防护区域，可进行终端主机认证，杜绝未安装ISM客户端程序的终端主机接入。

　　c)终端修复。利用802.1X协议控制可对未安装ISM客户端程序的终端主机进行修复。

　　第三步，认证合法，终端检查。

　　a)认证合法的终端主机自动根据网络管理员定制的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单、是否有非法外联等内容的主机合规性检查。

　　b)隔离修复区。启动该区后，ISM系统将未安装防病毒程序、病毒库未更新、系统补丁未安装的终端主机置于此区，并提示终端进行相应系统修复，此时终端只能访问病毒服务器、补丁服务器，禁止访问其它网络应用。

　　第四步，认证通过并符合安全策略的终端将主机继续遵守网络管理员定制的访问权限规则。

　　典型案例之二：网御星云ISM在某医疗卫生行业的典型应用

　　A.背景与需求

　　某医院网络系统分为两个部分，用于日常医疗信息交换的业务网以及实时获取Internet信息资源的办公网。其中，医院业务网是医院业务开展的重要平台，与办公网进行了物理隔离。

　　·如何对终端主机进行安全保护、监控、审计和管理；

　　·如何保证业务系统的安全，保证业务的不中断。

　　B.解决方案

　　网御星云内网安全管理系统的终端运维管理功能模块对终端主机可进行安全保护、监控、审计和管理，自动评估终端主机的安全状态，自动执行安全管理策略，强制规范员工对终端主机的行为操作，来保证企业网络的安全。

　　a)保护模块：外设管理、IP管理、端口管理、硬件管理、软件管理、账户管理、资产管理、病毒库更新管理……

　　b)监控模块：文件监控、进程监控、服务监控、非法外联监控、资产变更监控、流量监控、邮件监控、系统漏洞扫面……

　　c)审计模块：文件操审计、进程审计、服务审计、资产审计、报警审计、流量审计、邮件审计、终端风险查询……

　　C.实施效果

　　·系统补丁管理；ISM系统对终端主机可自动检测和自动安装，并支持补丁分发策略管理、分发补丁流量控制、补丁级联分发、自定义补丁管理、补丁增量更新、补丁回退等功能。网络管理员可自行维护系统补丁库，对于系统配置漏洞，可自定义脚本加以解决。

　　·防病毒程序管理；ISM系统可监测终端主机防毒程序的安装、启用、特征库更新等情况，并可强制终端安装和启用防病毒程序、更新病毒特征库。

　　·终端资产管理；ISM系统自动可收集终端的固定资产、自定义资产、资产变更等信息，并可对收集结果提供统计报表和图形分析输出，资产包括软件资产和硬件资产。

　　·服务、进程监控；ISM系统可设置黑白名单，来监控终端主机服务和进程。对违规终端可实施消息通知、锁定主机、断网和隔离等控制手段。

　　·终端配置管理；ISM系统可对终端主机统一设置配置管理策略，管理的内容包括禁止修改IP、禁止修改主机名、禁止网络连接、禁止IE设置代理服务器等等。

　　·全面终端审计；ISM系统分别对报警响应、网络行为、程序行为、文件访问行为、邮件日志、服务器日志、补丁分发日志、服务器级联日志等终端全部行为进行审计。

　　典型案例之三：网御星云ISM在某集团企业的典型应用

　　A.背景与需求

　　由于某集团企业业务的扩展、伴随着终端用户数量不断的增大，对其业务系统带来了安全隐患，如何合理的应用网络安全技术，来保障正常的业务应用安全成为企业首要的目标。

　　·如何实现“策略到人，控制到人，审计到人”的管理目标；

　　·如何保证业务系统的安全，保证业务的不中断。

　　B.解决方案

　　网御星云实名制管理解决方案是以内网安全管理系统中的实名制管理功能为核心，与防火墙、VPN等安全设备配合，同时结合安全准入控制、上网行为管理、数据防泄漏、资产管理功能等功能模块，实现员工在使用网络用户身份访问业务应用过程中的身份管理、认证管理、授权管理，以及综合审计。从而，实现了“策略到人，控制到人，审计到人”的管理目标。

　　a)身份管理：对已有用户身份管理体系的企事业单位，ISM系统可与第三方身份管理系统融合。（包含使用windows域的企事业单位）。对无用户管理系统的企事业单位，ISM系统内嵌RADIUS用户管理系统。

　　b)认证管理：ISM系统兼容各种认证系统，可以实现无缝结合，如需变更现有认证体系。员工启动终端，提示输入认证信息（账号），根据认证信息（账号）进行管理策略匹配和执行。

　　c)授权管理：终端系统启动，员工如不输入认证信息（账号），安全策略定义的授权范围为最小，只能进行受限的主机操作。员工登陆终端主机输入认证信息（账号）进行管理策略的匹配，强制员工遵守此安全策略授权的行为权限。

　　d)综合审计：终端审计可实现全部操作事件与用户身份的一一对应，并可按用户查询审计记录。

　　C.实施效果

　　·一机多人；不同用户使用同一终端主机时，不同用户受到不同的安全策略的限制和管理。

　　·一人多机；同一用户使用不同终端主机时，受到相同的安全策略的限制和管理。