全網(wǎng)行為管理系統(tǒng)

全網(wǎng)行為管理系統(tǒng)

1.1全網(wǎng)行為管理系統(tǒng)是什么

全網(wǎng)行為管理，包含本地局域網(wǎng)管理和VPN接入網(wǎng)管理兩大區(qū)域，不僅管理上網(wǎng)的行為，也管理不上網(wǎng)的行為。除了在網(wǎng)絡邊界進行上網(wǎng)行為管理和安全防護外，還融入了主機行為管理和內網(wǎng)異常流量管理以及綜合審計等功能，并可對異地通過VPN互聯(lián)的局域網(wǎng)或移動用戶進行統(tǒng)一的安全管理，因此稱為全網(wǎng)行為管理。

1.2全網(wǎng)行為管理系統(tǒng)的主要功能

1.1.1 全網(wǎng)終端監(jiān)控。系統(tǒng)自帶的終端列表、IP管理以及終端掃描設置等功能。終端列表能通過終端掃描設置的條件自動掃描全網(wǎng)所有終端設備，按照辦公設備、網(wǎng)絡設備和安防設備來劃分。其中辦公設備又分為電腦PC端、移動設備、媒體設備和打印機設備，網(wǎng)絡設備分為路由器、交換機、無線控制器和其他網(wǎng)絡設備等，凡是接入網(wǎng)絡的設備都能自動識別和自動分類，而PC端還可以識別出系統(tǒng)的類別，是windows、macos以及l(fā)inux。IP管理界面，通過直觀的IP順序分布圖，以不同顏色的方塊來區(qū)分哪些IP地址正常使用，哪些長期離線，以及哪些未使用。

1.1.2 入網(wǎng)用戶管理。在入網(wǎng)用戶管理界面可以查看到終端是否安裝了“準入插件”，安裝了插件可實現(xiàn)更強大豐富的管理功能，針對我院實際情況，每臺接入內網(wǎng)的PC機都需要安裝此插件。

1.1.3 合規(guī)檢查狀態(tài)。這里能查看“終端檢查”中設置好的檢查策略的結果，例如我們設置了“U盤管控”，那這里就會出現(xiàn)所有符合這條設置的終端設備；如果設置了“禁止陌生終端訪問數(shù)據(jù)中心服務器”，那沒有安裝準入插件的終端設備，包括電腦和移動設備，就無法訪問數(shù)據(jù)中心服務器，這里顯示的都是符合要求安裝了準入插件的終端設備。

1.1.4 流量狀態(tài)監(jiān)控?？赏ㄟ^用戶流量排名、應用流量排名以及業(yè)務流量排名當多種方式呈現(xiàn)流量的使用情況，通過排名可以知道哪些終端設備占據(jù)了更多的資源，從而判斷是否合理，如不合理就要采取相應的措施。還可通過用戶配額設置，來限制網(wǎng)絡資源的占用情況，給某個用戶相應的資源配額，一旦達到了配額值就自動斷網(wǎng)。應用流量排名，分為SNMP、Oracle、P2P、訪問網(wǎng)站和遠程桌面等，通過流量走勢來獲悉哪種應用使用資源最多。

1.3全網(wǎng)行為管理系統(tǒng)的關鍵技術

接入管理技術。針對內網(wǎng)設備而言，接入管理是非常有必要的功能。凡是接入內網(wǎng)的設備都能通過網(wǎng)絡掃描的方式識別出來，并自動分類。接入管理分為用戶管理、接入認證和終端檢查，這就為接入的用戶提供了管理的策略，在終端檢查下有意向檢查策略功能，我們通過新增的方式來建立新的策略。針對我院實際情況，我們新增了“U盤管控”和“禁止陌生終端訪問數(shù)據(jù)中心”兩條策略。

1.3.1 U盤管控策略。針對內網(wǎng)終端的特殊性是不予許使用U盤、移動硬盤一類移動存儲設備的。這些存儲設備的使用有很大概率會帶入木馬、蠕蟲甚至勒索病毒等有害程序進來，危害網(wǎng)絡安全，破壞醫(yī)院業(yè)務的正常開展。但如果有些數(shù)據(jù)需要從內網(wǎng)導出來，通過外網(wǎng)上報到上級單位的話，也需要U盤，為此我們采用專人專管的方式，等級專用U盤，僅為導數(shù)據(jù)用，且記錄下該U盤設備的設備ID，通過設置白名單的方式開放該U盤，并簽訂了保密協(xié)議和承諾書。一旦發(fā)現(xiàn)病毒，將追溯設備ID，然后找到責任人，接受相應處罰。但是U盤管控的功能，是要針對終端安裝了準入系統(tǒng)插件才能有效的。

1.3.2 禁止陌生終端訪問數(shù)據(jù)中心。內部人員的安全措施到位，但無法阻止不法分子通過筆記本電腦把網(wǎng)線插入閑置的墻上網(wǎng)口或者破解內網(wǎng)無線網(wǎng)絡，然后進入醫(yī)院內網(wǎng)中，傳播病毒和竊取機密數(shù)據(jù)。針對這種安全隱患，準入系統(tǒng)設置了“禁止陌生終端訪問數(shù)據(jù)中心”的策略，一旦開啟此策略，只有安裝了準入系統(tǒng)插件的終端電腦，且在準入管理平臺上批準通過了的終端，才允許訪問數(shù)據(jù)中心的服務器，因為業(yè)務系統(tǒng)都需要連服務器才能正常運作，所以不安裝插件和不通過允許，是不可能竊取到機密數(shù)據(jù)的。

1.4全網(wǎng)行為管理系統(tǒng)在拓撲圖中是怎樣部署的

全網(wǎng)行為管理系統(tǒng)一般情況下都是旁路接入到核心交換機中，通過在內網(wǎng)核心交換機中建立鏡像，系統(tǒng)訪問鏡像中的數(shù)據(jù)來獲取經(jīng)過核心交換機的所有數(shù)據(jù)。讀取鏡像的好處是不影響核心交換機數(shù)據(jù)的正常流通，對業(yè)務運行是透明的，無性能影響。

我院的全網(wǎng)行為管理系統(tǒng)

2.1 我院的網(wǎng)絡結構中，由于內外網(wǎng)都部署了威脅探針和安全感知平臺，威脅探針同樣是旁路部署在內網(wǎng)核心交換機上，同樣需要核心鏡像。當我們嘗試建兩個鏡像時，發(fā)現(xiàn)性能不足，無法成功建立，所以我們把全網(wǎng)行為管理系統(tǒng)服務器旁路接入到數(shù)據(jù)中心交換機中，通過建立鏡像，成功接入。由于重要業(yè)務的服務器都是從數(shù)據(jù)中心交換機中接入，所以也達到同樣效果，設置也沒變化。

結語

全網(wǎng)行為管理系統(tǒng)作為網(wǎng)絡安全設備的重要組成部分，其“非批準不可進入”的管理策略消除了非法用戶進入內網(wǎng)的隱患，同時管理平臺對所有設備的管理更直觀更可操控性，系統(tǒng)的功能還有很多，需要繼續(xù)深入研究，結合我院實際，把功能發(fā)揮到最大。

本文來源：《魅力中國》：http://www.00559.cn/w/wy/25805.html