全網(wǎng)行為管理系統(tǒng)

全網(wǎng)行為管理系統(tǒng)

1.1全網(wǎng)行為管理系統(tǒng)是什么

全網(wǎng)行為管理，包含本地局域網(wǎng)管理和VPN接入網(wǎng)管理兩大區(qū)域，不僅管理上網(wǎng)的行為，也管理不上網(wǎng)的行為。除了在網(wǎng)絡(luò)邊界進(jìn)行上網(wǎng)行為管理和安全防護(hù)外，還融入了主機(jī)行為管理和內(nèi)網(wǎng)異常流量管理以及綜合審計(jì)等功能，并可對(duì)異地通過VPN互聯(lián)的局域網(wǎng)或移動(dòng)用戶進(jìn)行統(tǒng)一的安全管理，因此稱為全網(wǎng)行為管理。

1.2全網(wǎng)行為管理系統(tǒng)的主要功能

1.1.1 全網(wǎng)終端監(jiān)控。系統(tǒng)自帶的終端列表、IP管理以及終端掃描設(shè)置等功能。終端列表能通過終端掃描設(shè)置的條件自動(dòng)掃描全網(wǎng)所有終端設(shè)備，按照辦公設(shè)備、網(wǎng)絡(luò)設(shè)備和安防設(shè)備來劃分。其中辦公設(shè)備又分為電腦PC端、移動(dòng)設(shè)備、媒體設(shè)備和打印機(jī)設(shè)備，網(wǎng)絡(luò)設(shè)備分為路由器、交換機(jī)、無線控制器和其他網(wǎng)絡(luò)設(shè)備等，凡是接入網(wǎng)絡(luò)的設(shè)備都能自動(dòng)識(shí)別和自動(dòng)分類，而PC端還可以識(shí)別出系統(tǒng)的類別，是windows、macos以及l(fā)inux。IP管理界面，通過直觀的IP順序分布圖，以不同顏色的方塊來區(qū)分哪些IP地址正常使用，哪些長(zhǎng)期離線，以及哪些未使用。

1.1.2 入網(wǎng)用戶管理。在入網(wǎng)用戶管理界面可以查看到終端是否安裝了“準(zhǔn)入插件”，安裝了插件可實(shí)現(xiàn)更強(qiáng)大豐富的管理功能，針對(duì)我院實(shí)際情況，每臺(tái)接入內(nèi)網(wǎng)的PC機(jī)都需要安裝此插件。

1.1.3 合規(guī)檢查狀態(tài)。這里能查看“終端檢查”中設(shè)置好的檢查策略的結(jié)果，例如我們?cè)O(shè)置了“U盤管控”，那這里就會(huì)出現(xiàn)所有符合這條設(shè)置的終端設(shè)備；如果設(shè)置了“禁止陌生終端訪問數(shù)據(jù)中心服務(wù)器”，那沒有安裝準(zhǔn)入插件的終端設(shè)備，包括電腦和移動(dòng)設(shè)備，就無法訪問數(shù)據(jù)中心服務(wù)器，這里顯示的都是符合要求安裝了準(zhǔn)入插件的終端設(shè)備。

1.1.4 流量狀態(tài)監(jiān)控?？赏ㄟ^用戶流量排名、應(yīng)用流量排名以及業(yè)務(wù)流量排名當(dāng)多種方式呈現(xiàn)流量的使用情況，通過排名可以知道哪些終端設(shè)備占據(jù)了更多的資源，從而判斷是否合理，如不合理就要采取相應(yīng)的措施。還可通過用戶配額設(shè)置，來限制網(wǎng)絡(luò)資源的占用情況，給某個(gè)用戶相應(yīng)的資源配額，一旦達(dá)到了配額值就自動(dòng)斷網(wǎng)。應(yīng)用流量排名，分為SNMP、Oracle、P2P、訪問網(wǎng)站和遠(yuǎn)程桌面等，通過流量走勢(shì)來獲悉哪種應(yīng)用使用資源最多。

1.3全網(wǎng)行為管理系統(tǒng)的關(guān)鍵技術(shù)

接入管理技術(shù)。針對(duì)內(nèi)網(wǎng)設(shè)備而言，接入管理是非常有必要的功能。凡是接入內(nèi)網(wǎng)的設(shè)備都能通過網(wǎng)絡(luò)掃描的方式識(shí)別出來，并自動(dòng)分類。接入管理分為用戶管理、接入認(rèn)證和終端檢查，這就為接入的用戶提供了管理的策略，在終端檢查下有意向檢查策略功能，我們通過新增的方式來建立新的策略。針對(duì)我院實(shí)際情況，我們新增了“U盤管控”和“禁止陌生終端訪問數(shù)據(jù)中心”兩條策略。

1.3.1 U盤管控策略。針對(duì)內(nèi)網(wǎng)終端的特殊性是不予許使用U盤、移動(dòng)硬盤一類移動(dòng)存儲(chǔ)設(shè)備的。這些存儲(chǔ)設(shè)備的使用有很大概率會(huì)帶入木馬、蠕蟲甚至勒索病毒等有害程序進(jìn)來，危害網(wǎng)絡(luò)安全，破壞醫(yī)院業(yè)務(wù)的正常開展。但如果有些數(shù)據(jù)需要從內(nèi)網(wǎng)導(dǎo)出來，通過外網(wǎng)上報(bào)到上級(jí)單位的話，也需要U盤，為此我們采用專人專管的方式，等級(jí)專用U盤，僅為導(dǎo)數(shù)據(jù)用，且記錄下該U盤設(shè)備的設(shè)備ID，通過設(shè)置白名單的方式開放該U盤，并簽訂了保密協(xié)議和承諾書。一旦發(fā)現(xiàn)病毒，將追溯設(shè)備ID，然后找到責(zé)任人，接受相應(yīng)處罰。但是U盤管控的功能，是要針對(duì)終端安裝了準(zhǔn)入系統(tǒng)插件才能有效的。

1.3.2 禁止陌生終端訪問數(shù)據(jù)中心。內(nèi)部人員的安全措施到位，但無法阻止不法分子通過筆記本電腦把網(wǎng)線插入閑置的墻上網(wǎng)口或者破解內(nèi)網(wǎng)無線網(wǎng)絡(luò)，然后進(jìn)入醫(yī)院內(nèi)網(wǎng)中，傳播病毒和竊取機(jī)密數(shù)據(jù)。針對(duì)這種安全隱患，準(zhǔn)入系統(tǒng)設(shè)置了“禁止陌生終端訪問數(shù)據(jù)中心”的策略，一旦開啟此策略，只有安裝了準(zhǔn)入系統(tǒng)插件的終端電腦，且在準(zhǔn)入管理平臺(tái)上批準(zhǔn)通過了的終端，才允許訪問數(shù)據(jù)中心的服務(wù)器，因?yàn)闃I(yè)務(wù)系統(tǒng)都需要連服務(wù)器才能正常運(yùn)作，所以不安裝插件和不通過允許，是不可能竊取到機(jī)密數(shù)據(jù)的。

1.4全網(wǎng)行為管理系統(tǒng)在拓?fù)鋱D中是怎樣部署的

全網(wǎng)行為管理系統(tǒng)一般情況下都是旁路接入到核心交換機(jī)中，通過在內(nèi)網(wǎng)核心交換機(jī)中建立鏡像，系統(tǒng)訪問鏡像中的數(shù)據(jù)來獲取經(jīng)過核心交換機(jī)的所有數(shù)據(jù)。讀取鏡像的好處是不影響核心交換機(jī)數(shù)據(jù)的正常流通，對(duì)業(yè)務(wù)運(yùn)行是透明的，無性能影響。

我院的全網(wǎng)行為管理系統(tǒng)

2.1 我院的網(wǎng)絡(luò)結(jié)構(gòu)中，由于內(nèi)外網(wǎng)都部署了威脅探針和安全感知平臺(tái)，威脅探針同樣是旁路部署在內(nèi)網(wǎng)核心交換機(jī)上，同樣需要核心鏡像。當(dāng)我們嘗試建兩個(gè)鏡像時(shí)，發(fā)現(xiàn)性能不足，無法成功建立，所以我們把全網(wǎng)行為管理系統(tǒng)服務(wù)器旁路接入到數(shù)據(jù)中心交換機(jī)中，通過建立鏡像，成功接入。由于重要業(yè)務(wù)的服務(wù)器都是從數(shù)據(jù)中心交換機(jī)中接入，所以也達(dá)到同樣效果，設(shè)置也沒變化。

結(jié)語(yǔ)

全網(wǎng)行為管理系統(tǒng)作為網(wǎng)絡(luò)安全設(shè)備的重要組成部分，其“非批準(zhǔn)不可進(jìn)入”的管理策略消除了非法用戶進(jìn)入內(nèi)網(wǎng)的隱患，同時(shí)管理平臺(tái)對(duì)所有設(shè)備的管理更直觀更可操控性，系統(tǒng)的功能還有很多，需要繼續(xù)深入研究，結(jié)合我院實(shí)際，把功能發(fā)揮到最大。

本文來源：《魅力中國(guó)》：http://m.k2057.cn/w/wy/25805.html