北信源产品简介及资质.doc

目 录完整安全 提升价值 推进效益6l 内部网络面临的安全问题. 6终端安全管理系列产品架构8l 产品系列9l 产品部署和管理构架10l 系列产品统一策略管理中心11l 系统自身安全11l 系统所需软硬件配置12产 品 简 介13产品一 北信源内网安全管理系统14l 基本产品包14l 终端桌面管理产品包15l 终端安全管理产品包15l 网络主机运维产品包16l 非法外联管理产品包16产品二 北信源补丁及文件分发管理系统17l 产品背景17l 系统功能概述17 l 系统功能描述18l 网络应用18l 系统组件18l 系统构架19产品三 北信源主机监控审计系统20l 产品背景20l 系统功能描述20l 管理功能描述21产品四 北信源终端安全登录与监控审计系统22l 功能概述22l 系统功能概述22产品五 北信源移动存储介质使用管理系统23l 移动存储介质数据交换引发的安全问题23l 技术特点及应用23l 系统功能描述24l 系统管理构架25产品六 北信源网络接入控制管理系统26l 产品背景26l 系统功能描述26l 系统管理构架26产品七 北信源移动存储介质信息消除系统28l 产品背景28l 功能概述28l 系统功能描述28l 系统管理构架29产品八 北信源安全U盘系统（专利技术）30l 系统功能描述30l 加密30产品九 接入认证网关31l 功能概述31l 系统管理构架31l 系统功能描述31l 功能特点32产品十 北信源Intel vPro (AMT) 管理支持系统33l 功能概述33l 系统功能描述33产品十一 北信源信息安全管理通告平台系统34产品十二 北信源网站防护系统36l 产品背景36l 产品概述36l 系统功能概述36l 系统部署37产 品 资 质38 公安部认证证书（内网安全管理及补丁分发系统）39 公安部认证证书（移动存储管理系统）39公安部认证证书（网络接入管理系统）.39公安部认证证书（非法外联及客户端安全监控系统）.39公安部认证证书（终端安全登陆与监控审计系统）.40公安部认证证书（网站防护系统）40 中国信息安全产品测评认证中心认证40 涉密信息系统产品检测证书（移动存储介质使用管理系统）40涉密信息系统产品检测证书（主机监控审计与补丁分发系统）41涉密信息系统产品检测证书（存储介质信息消除工具）41 军用信息安全产品认证证书41 质量管理体系认证证书41全国人大、全国政协现场工作保障证422008年奥运会、残奥会现场信息安保服务奖牌43荣誉用户44完整安全 提升价值 推进效益 构筑坚强有力的终端安全管理平台l 内部网络面临的安全问题提起网络安全，人们自然就会想到网络边界安全，但实际情况是网络的大部分安全风险均来自于内部。常规安全防御理念往往局限在网关级别、网络边界（防火墙、IDS、漏洞扫描）等方面，重要的安全设施大致集中于机房或网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。相反，来自网络内部计算机终端的安全威胁却是众多安全管理人员所普遍面临的棘手问题。自2003年来，以SQL蠕虫、“冲击波”、“震荡波”、“熊猫烧香”等病毒的连续性爆发为起点，到计算机文件泄密、口令泄漏、硬件资产丢失、服务器系统瘫痪等诸多终端安全事件在各地网络中频繁发生，让政府机关和企业单位的网络管理人员头痛不已。总结起来，政府机关和企业单位的内部网络管理大致面临着以下一些常见问题：n 如何发现终端设备的系统漏洞并自动分发补丁;n 如何有效解决移动存储介质使用管理问题;n 如何有效解决终端随意接入网络问题;n 如何防止U盘造成的病毒传播和信息泄漏;n 如何防范内网设备非法外联;n 如何管理终端资产，保障网络设备正常运行;n 如何在全网制订统一的安全策略;n 如何及时发现网络中占用带宽最大的终端;n 如何方便地进行远程点对点维护;n 如何防范内部涉密重要信息的泄露;n 如何对原有终端应用软件进行统一监控、管理;n 如何快速有效地定位网络中病毒、蠕虫、黑客的引入点，及时、准确地切断安全事件发生点和网络;n 如何构架功能强大的统一网络安全报警处置平台，进行安全事件响应和事件查询，全面管理网络资源。.这些终端安全隐患随时随地都可能威胁到用户网络的正常运行。针对如上系列问题北信源提供领先业界的终端安全管理产品及应用解决方案。终端安全管理系列产品架构l 产品系列网络终端安全是一个综合的系统问题，涉及管理计算机本身、计算机应用、计算机操作者、计算机使用单位管理规范等多个方面。北信源通过对近年来国内外终端安全管理技术和发展趋势的研究，将政府和企业内部网络终端安全管理概括的从终端状态、行为、事件三个方面来进行防御，管理手段大致包括如下内容：图-1 系列产品组成图北信源终端安全管理产品采用C/S与B/S混合模式设计，支持分布式部署，并具有模块化软件定制、支持标准API、无缝功能扩展与升级等优点。产品针对政府、金融证券、电信、能源以及各大中型企业等网络专门研制，已通过国家保密局、公安部、国家信息安全评测中心、解放军信息安全评测中心、质量管理体系认证等多项权威认证。经业界权威机构CCID统计北信源终端安全管理产品在中国终端安全管理及审计市场占有率持续保持第一。北信源终端安全管理产品遵循网络防护和端点防护并重理念，对网络安全管理人员在网络管理、终端管理过程中所面临的种种问题提供解决方案，实现内部网络终端的可控管理，并能够支持多级级联广域网构架，达到最佳的管理效果。北信源终端安全管理产品强化了对网络计算机终端状态、行为以及事件的管理，它提供了防火墙、IDS、防病毒系统、专业网管软件所不能提供的防护功能，对它们管理的盲区进行监控，扩展成为一个实时的可控内网管理平台，并能够同其它安全设备进行安全集成和报警联动。l 产品部署和管理构架局域网构架：对于一般网络（例如1个C类地址或若干个C类地址的局域网范围），可使用一套本系统软件，集中管理所属区域内的所有设备。广域网构架：对于大规模的多个局域网或者跨地域广域网（包括基于国家、省、市、县等多级管理模式的网络结构），可使用本系统提供的多区域级联集中管理构架，即一个或多个网段各拥有一套独立的北信源终端安全管理产品的同时，将本级的统计和报警信息转发给上级管理系统，上一级管理人员对整个网络的状况也能够完全掌握。（图-2）图-2 多级级联集中管理构架l 系列产品统一策略管理中心北信源终端安全管理产品采用统一策略管理中心实现对内部网络终端的统一安全管理。策略管理中心内置终端安全防护需要的所有安全管理参数，提供对计算机终端的安全规则配置、安全功能策略开启/关闭、安全策略执行范围/周期设定等一系列安全措施的管理。 北信源终端安全管理产品内置安全策略分为全局策略、本地策略、备份策略三种，管理员通过属性设置决定其类型。（图-3）图-3系列产品统一策略管理中心l 系统自身安全1、分级管理：系统支持对管理员分级管理，实现不同管理员管理不同内容,可分为授权、管理和审计等多种角色划分，具有安全性高、可靠性强的特点，适合集中授权、多角色参与监控的管理模式。2、通信保护：系统的组件间通信时，数据传输是经过加密的，客户端和服务器端相互通信使用双向认证机制，防止已安装同类客户端的非本网络计算机非法进入网络，同时也防止模拟的假客户端和服务器进行通信。3、客户端软件强保护机制：系统的客户端系统具有自我防护机制，防止用户随意停止、卸载。4、服务器安全设计：服务器系统具备保护服务器功能。保证管理系统服务器端使用的安全性，保证其受到恶意修改IP地址的方式攻击时仍可正常工作,网络中出现恶意修改成与管理服务器相同属性（如相同的IP地址、相同的MAC地址等）的机器时，出现IP地址或MAC地址冲突等现象时，管理服务器将不会被阻断出网（即不会出现地址冲突的现象），只有发起恶意攻击的设备才会被自动阻断，不会影响管理服务器的正常管理。5、提供系统审计员、系统管理员、系统操作员三权分立的权限管理体系。6、系统日志：系统提供运行审计和操作审计机制，保证系统的稳定运行。l 系统所需软硬件配置系统管理服务器： 软件配置：Windows2000 Server（SP4）或以上操作系统（安装IIS），MS SQL SERVER2000（SP4）或更新版本数据库。建议硬件配置：建议使用专业服务器或高档PC机，具体配置为PIV 2.4G 以上CPU，2G以上内存，80G以上硬盘。 北信源终端安全管理产品管理中心具有较强的负载能力（每台服务器最大支持15000台终端），在管理数量较大的网络终端时（如数千台终端），为保障系统效率，应使用4G或4G以上的内存。产 品 简 介产品一 北信源内网安全管理系统北信源内网安全管理系统可分为五个软件包组合销售，全方位地为网络用户提供安全管理功能。这五个软件包具体为：基本产品包、终端桌面管理产品包、终端安全管理产品包、网络主机运维产品包、非法外联管理产品包。l 基本产品包基本产品包主要包含终端基本管理、IT资产管理、事件报表及报警处置、第三方接口联动（可扩展）等功能。1.终端基本管理1) 终端注册管理2) IP和MAC绑定管理3) 禁止修改网关、禁用冗余网卡管理4) 未注册终端拒绝入网管理（软阻断技术）2.IT资产管理1) 硬件资产管理2) 软件资产管理3) 软、硬件设备信息变更管理3.事件报表及报警处置1) 终端信息数据统计分类管理2) 图形化信息数据输出管理3) 用户自定义组态报表输出及查询管理4) 报警结果处置管理5) 安全事件源远程阻断管理6) 联动处置接口管理4.第三方接口联动（可扩展）1) PKI/CA认证联动接口2) 防火墙联动接口3) 网管软件联动接口4) 安全管理平台联动接口5) 其它第三方接口l 终端桌面管理产品包1) 终端流量管理2) 进程运行黑白名单控制3) 进程保护管理4) 进程执行汇总5) 终端服务管理6) 软件黑白名单控制7) 软件安装汇总8) 终端消息推送9) 远程协助10) 外设及端口控制11) 垃圾文件清理12) 终端点对点管理13) 系统自动关机管理14) 终端时间同步管理l 终端安全管理产品包1) 桌面密码权限管理2) 终端统一防火墙3) 终端杀毒软件管理4) 终端安全等级管理5) IE安全设置6) 恶意软件免疫7) 注册表监控/保护8) 终端在线/离线策略管理l 网络主机运维产品包1) 运行资源监控2) 流量异常监控3) 进程异常监控4) 客户端文件备份l 非法外联管理产品包1) 网络内部终端非法外联互联网行为监控2) 网络内部终端非法接入其它网络行为监控3) 离网终端非法外联互联网行为监控4) 非法外联行为告警和网络锁定5) 未注册终端非法接入内网行为管理6) 非法外联行为取证 产品二 北信源补丁及文件分发管理系统l 产品背景：近些年来，蠕虫病毒和木马病毒的频繁爆发给全球网络运行乃至经济都造成了严重影响，之所以这些蠕虫能造成如此危害，是因为利用了操作系统或者应用程序的漏洞。补丁的安装普遍会遇到以下的问题：l 普通用户水平和知识素质有限，造成了计算机系统漏洞经常不能得到及时的修补，甚至长期不修补；l 网络维护人员每台机器安装补丁耗时巨大；l 物理隔离网络用户必须使用移动存储设备从外网将补丁导入并安装，麻烦且带来信息泄漏和病毒传入的风险；l 每个终端补丁安装均从外网下载补丁造成网络资源消耗过大；l 用户随意下载补丁导致补丁来源不统一带来的风险。消除漏洞的根本办法就是安装软件补丁，每一次大规模蠕虫病毒的爆发，都提醒人们要居安思危，打好补丁，做好防范工作补丁越来越成为安全管理的一个重要环节。黑客技术的不断变化和发展，留给管理员的时间将会越来越少，在最短的时间内安装补丁将会极大地保护网络和其所承载的机密，同时也可以使更少的用户免受蠕虫的侵袭。对于机器众多的用户，繁杂的手工补丁安装已经远远不能适应大规模网络的管理，必须依靠新的技术手段来实现对操作系统的补丁自动修补。因此，如何利用有效技术手段来及时、持续、稳定的安装计算机补丁，是所有网络安全管理人员、信息安全领导决策人员亟需解决的问题。l 系统功能概述 北信源补丁分发管理系统是北信源公司在为国家各大部委机关、各大行业网络用户进行病毒安全服务、总结安全运营保障经验的基础上，分析当前网络客户端实际安全管理要求研发的，系统支持推、拉两种方式自动下载补丁。整个补丁管理运行平台构架是：通过北信源外网补丁下载服务器及时从补丁厂商网站获取最新补丁；补丁安全测试后，通过补丁分发管理中心服务器对网络用户进行分发安装；补丁安装支持自动和手动两种方式。l 系统功能描述：1) 互联网补丁自动下载；2) 补丁完整性和安全性测试；3) 补丁增量更新导入；4) 补丁库建立和分类；5) 终端漏洞自动检测；6) 补丁策略制定分发和自动分发；7) 终端补丁流量控制和代理转发技术；8) 补丁自动修复及查询统计；9) 漏洞情况汇总统计；10) 补丁安装情况汇总统计；11) 普通文件分发及文件自动执行；12) 文件分发安装结果统计。l 网络应用l 直接连接互联网的网络：直接通过补丁下载服务器将补丁下载至补丁分发服务器。l 物理隔离网络：在互联网连通网络上安装补丁下载服务器模块，通过补丁下载增量分离工具，区分内网已导入和未导入的补丁，将最新补丁导入内网补丁分发服务器。l 系统组件北信源补丁分发管理系统依据客户端注册优势，提供补丁检测、安装等远程功能。客户端访问网络WEB站点，根据页面自动弹出提示进行注册，注册程序将在系统中实时运行，检测补丁安装状况，并上报给补丁控制中心。补丁控制中心提供补丁策略制订、补丁文件直接分发，补丁测试提供对软件厂商新发布补丁的前期测试，严格测试后才可以配发到网络客户端，保障客户端补丁安装安全性。系统可按照网段、补丁类型进行补丁配置分发，支持漏打补丁、特殊补丁的推送下发；通过自定义分网段、分区域的补丁下载升级设定策略以及转发代理技术，避免造成网络堵塞，合理控制网络带宽。图-1 补丁管理系统功能构架 l 系统构架该系统贴近用户对网络、网络终端管理的要求，适用于局域网、广域网等多种构架。标准构架（小型网络）：在局域网中全面部署应用北信源补丁分发管理系统，包括各种功能模块：补丁下载、补丁分析、补丁策略分发制订、文件分发、客户端补丁监测、漏洞补丁扫描、补丁分发控制台等。级联构架（大型网络）：对于网络分布广泛、规模庞大，并且拥有多个网络管理中心的广域网，北信源补丁分发管理系统支持在标准构架上建立多级级联模式，实现下级网络补丁管理系统从上级补丁管理系统自动获取补丁，以及相关补丁审计、系统组件升级功能。产品三 北信源主机监控审计系统l 产品背景随着信息安全技术和理念的发展，安全监控的关注点已经从设备转向对于设备使用者的行为，用户对于设备使用人行为审计和行为控制的需求越来越明显，由此国内外均已有相关的政策和法规陆续出台，国内的涉及国家秘密的信息系统分级保护技术要求、信息系统安全等级保护基本要求、信息系统安全等级保护测评准则和国外的萨班斯奥克斯利法案也均明确的提出了对主机行为的监控和审计要求。北信源主机安全监控强审计系统通过技术手段使各种管理条例落实，增强用户的安全和保密意识，保护内部的信息不外泄，适用于政务、军队军工、金融等各个保密要求性较高的企事业单位。l 系统功能描述1 ）上网访问行为审计和控制：l 以黑白名单的方式对用户的网页访问行为进行控制；l 可对用户上网访问的网页等进行审计和记录。2 ）文件保护及审计：系统提供对终端的系统、软件和共享等目录中的文件的保护功能，设定访问、删除、修改权限；支持对设定目录文件的操作审计，包括文件创建、打印、读写、复制、改名、删除、移动等的记录，同时将信息上报管理信息库供查询。3 ）网络文件输出审计：对主机通过共享文件等方式进行的网络文件输出行为进行审计和记录。4 ）邮件审计：根据策略对主机发送的邮件进行控制。并审计发送的邮件地址、IP等信息进行控制审计和记录5 ) 打印审计：根据策略对主机打印行为进行监控审计，防止非授权的信息被打印。根据要求还可以备份打印内容。6 ) 文件涉密信息检查：根据用户自主设定的涉密信息查询条件，设定对指定目录或盘符下的指定类型文件进行内容检查，检查其是否包含涉密内容，系统支持进行包含“或”、“与”等多种逻辑的组合监测和模糊监测。7 ) 用户权限审计：审计用户权限更改及操作系统内用户增加和删除。8 ) 各自独立的权限分配体系：提供系统管理员、系统审核员（安全员）和系统审计员和一般操作员权限，分别进行不同的管理操作。9 ) 系统日志审计：不同权限管理员在Web控制台对终端用户的日志（系统日志、应用日志、安全日志等）进行远程读取查看。l 管理功能描述1 ) 报表管理：对审计结果提供详实的报表，并可直接导出为Excel等格式的文件。2 ) 审计结果处理：用户可针对审计结果进行如用户端警告、报警、断网、终止进程等不同的处理。3 ) 级联管理功能：可进行多级级联管理，支持多级管理方式，上级管理区域可进行统一的状态和报警信息，各级子管理节点能够与根管理节点进行策略同步，各级管理员管理辖区内的有关事件。系统可根据情况需要将策略下发至本区域、下一级区域和所有区域。4 ) 客户端分组（域）管理功能：按照多种方式（如按操作系统、已划定区域、IP区域或用户自定义、所有设备等）灵活的对客户端方便的进行分组（域）管理，可对一个分组（域）内的被管理对象实施统一管理。管理服务器对客户机的管理策略基于“组”管理，可先建立多个不同管理策略的“组”，可通过菜单操作将档案中的多台客户机从一个组转移到另一个组、从一个组拷贝到多个组。5 ) 方便灵活的策略对象定义：可以灵活的按照用户需要制定策略触发条件：可根据时间段和时间点定制策略使用或禁止使用的触发条件。并可根据创建区域、自定义组、操作系统、IP范围和按照条件搜索的设备进行策略分组分发管理。策略也可按照时间定义，可按照日期进行控制，可规定策略生效或失效的时间段，可设定策略的存活时间。6 ) 支持全网统一升级功能：客户端软件可从互联网自动下载到服务器（或手动下载到服务器升级），服务器端升级后全网客户端软件可自动统一升级。产品四 北信源终端安全登录与监控审计系统l 功能概述北信源终端安全登录与监控审计系统是在基于北信源终端安全管理理念的基础上，综合利用登录身份认证、文件系统加密等核心技术开发的USBKey登录身份认证及文件保护系统。该系统通过硬件(USBKey)和软件(USBKeyClient)相结合的方式实现了物理身份与数字身份的双重认证。通过将USBKey与操作系统不同权限用户的绑定，实现对USBKey的权限划分。由于USBKey本身的唯一性，从而保证了Windows系统用户本身的唯一性。文件保险箱采用底层驱动加密创建，其内可进行任意文件操作，从而阻止他人非法地获取计算机信息。l 系统功能描述1) 双重认证安全登录管理（USBKey+PIN码与操作系统本身用户名+密码双重认证）；2) USBKey与操作系统不同权限用户绑定管理；3) USBKey登录权限划分管理（通过USBKey与操作系统不同权限用户的绑定，实现对USBKey的登录权限划分）；4) USBKey拔除实时锁屏管理，屏保锁屏管理，注销锁屏管理；5) USBKey用户登录情况审计管理（包括USBKey的名称、登录时间、次数、序列号等信息）；6) 禁用安全模式登录；7) 可以在计算机上建立若干个文件保险箱并进行加密处理；8) 可以像操作普通磁盘一样使用文件保险箱来保存敏感的数据和文件。产品五 北信源移动存储介质使用管理系统l 移动存储介质数据交换引发的安全问题移动存储介质，如U盘、移动硬盘等，因其体积小、容量大等优点，已得到广泛应用。作为数据交换的主要手段之一，移动存储介质正成为数据和信息的重要载体，但是我们也应该看到，移动存储设备在给我们带来极大方便的同时，也给我们带来了不少的安全隐患，主要如下：1. 涉密计算机接入非涉密移动存储设备；2. 非涉密计算机使用涉密移动存储设备；3. 移动存储介质的数据交互审计；4. 外来移动存储介质随意接入问题；5. 移动存储介质丢失导致信息泄漏；6. 移动存储介质的使用信息无法追踪审计问题；7. 移动存储介质接入区域限制和控制问题；8. 病毒、恶意代码通过移动存储介质传播问题。l 技术特点及应用1、分级权限控制通过对移动存储介质写入两种不同控制权限及功能的标签，来实现分级权限的控制，并对指定范围内的终端授权，通过策略与标签的配合来实现对移动存储介质的控制。注，对移动存储介质格式化无法去除标签。普通标签：写入普通标签后，在管理区域内根据策略的设置，来限制移动存储介质的读、写功能；如果在管理区域外使用移动存储介质认证，则不限制移动存储介质认证读、写功能。加密标签：写入加密标签后将普通移动存储介质（U盘、移动硬盘等）分为二个可控制的区域：交换区、保密区。涉密网络可只生成保密区。交换区和保密区启动均需输入独立的密码，数据在二个区存储时均以加密方式存储，这两个区的具体应用如下：（1）在涉密网络中或高要求的办公网络中，可只生成保密区一个区。该保密区只能在有对应安全策略的主机上通过认证标签后、同时输入正确密码才能访问，同时有安全策略的主机可以根据策略控制未经标签认证的移动存储介质的使用。（2）在普通办公网络中，可生成交换区、保密区二个区。保密区的使用方法，可与上述涉密网络或高要求的办公网络相同。交换区的使用方法，可以根据用户需要，在内部网络中通过策略限制使用方式，交换区在外网使用时同样要输入密码方可使用，保密区在外网不可见。2、审计功能完善1) 提供移动存储介质上所有文件操作的详细记录包括文件的创建、复制、删除、读写和重命名等操作，具体包括文件名、审计描述、时间、用户名、计算机IP地址和其他必要的信息。2) 提供移动存储介质的插入和拔出动作的详细记录具体包括事件类型、移动存储介质的名称、用户、计算机IP地址、事件时间等。l 系统功能描述1. 移动存储设备（分设备、网段等）接入认证管理，保障指定设备读写指定移动存储设备的访问控制管理；2. 移动存储介质数据读写控制管理；3. 移动存储介质标签认证管理；4. 移动存储介质分区（交换区和保密区）管理；5. 移动存储介质的加密管理，防止保密区的敏感信息外泄；6. 移动存储介质接入行为审计；7. 移动存储介质数据交换行为审计管理，可针对文件后缀名等条件；8. 提供详细的文件操作详细审计记录：包括文件的创建、复制、删除、修改和重命名等操作，（包括文件名、审计描述、时间、用户名、计算机IP地址和其他必要的信息）；9. 提供详细的移动存储设备的插入和拔出动作的详细记录，具体包括事件类型、移动存储介质的名称、用户、计算机IP地址和事件时间。l 系统管理构架北信源移动存储介质管理系统和其它系统均采用相同的管理构架，由服务端制订统一的策略，分发给客户端执行。系统有USB标签制作工具，通过对移动存储介质制作标签可以实现对移动存储介质中的数据进行保护和加密，对移动存储介质进行使用范围授权，访问控制等综合的管理。移动存储介质使用管理系统可以将整个移动存储介质划分成交换区和保密区两部分，保护区需要通过密码认证才可以访问。系统具体使用管理构架如下：1、系统服务器端：系统管理中心基于web页面管理方式，管理员登陆和配置后系统才能运行。能够自动发现网络中的终端计算机，并检测终端计算机是否安装系统客户端程序，管理中心内置移动存储管理策略中心和报警中心，提供对网络终端的分组管理设置。2、系统客户端：安装在终端计算机，接收系统管理中心分发的策略，根据接受策略实时监控接入终端计算机移动存储设备的操作行为和状态，并进行管理或者控制；系统客户端注册以后，即使离开所在网络或不处于任务网络中，仍实时受到移动存储管理策略控制，日志记录于本地，一经连接回网络，则自动上报日志信息给服务器。3、专用移动存储设备注册工具：移动存储介质经过网管人员注册（包括打标签、设置访问密码）工具认证后，该移动存储介质才能在网络中使用。使用者在使用时必须输入使用密码后才能使用。系统以数据为中心，用户作为数据的使用者，主机作为数据的存储者，移动存储介质作为数据的迁移者，在系统范围内均赋予唯一的标识，三者进行相互认证。只有经认证和授权成功后，才保证合法的用户在合法的机器上访问合法移动存储介质上的数据，并形成详尽的日志供审计。产品六 北信源网络接入控制管理系统l 产品背景 网络接入控制管理系统可以保护整个企业内部网络，包括可管理的（企业台式机、手提电脑、服务器）以及不可管理的（外部访客、合作伙伴、客户）终端。能够强制提升企业网络终端的安全，保证企业网络保护机制不被间断，配置正确无误，以及补丁拥有最新的时效性，使网络安全得到更有效提升。与此同时基于设备接入控制网关，还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。通过网络接入控制管理系统可以满足企业要求，将设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外；能够覆盖到企业网络的每一个角落，甚至是当使用者拿着他们的移动设备离开企业网络时，仍能有效的提供设备接入控制的执行。网络接入控制管理系统针对所有的网络架构工作，并且不必进行昂贵的网络架构改造。l 系统功能描述2) 802.1x接入认证管理；3) 未注册终端接入访问区域限制（vlan限制）；4) 未安装杀毒软件等必备软件自动安装下载管理；5) 未打补丁终端接入限制；6) 运行不可信进程、服务、注册表终端接入限制；7) 未达到预定义安全级别的终端接入访问区域限制；8) 自定义终端安全接入必须的桌面运行安全环境。l 系统管理构架北信源网络接入控制管理系统由以下几部分组成：1)策略服务器（VRVEDP Server）：系统策略管理中心，提供系统的参数配置和安全策略管理。2）认证客户端(VRVEDP-Agent)：安装在终端计算机，根据用户名和密码向认证服务器发起认证，配合交换机认证系统，实现正常工作区、访客隔离区、安全修复区的自动切换。3）Radius认证服务器：接收客户端认证请求信息数据包并进行验证。4）Radius认证系统 (交换机) ：可网管支持802.1x的网络设备（交换机），接收认证客户端的认证请求数据包与Radius认证服务器完成认证过程。5）可选配强制注册网关（硬件）：在不完全支持802.1x的网络中可选装强制注册网关，完成未注册计算机访问网页时被进行DNS重定向或HTTP重定向，以达到强制注册目的。图-网络接入访问控制产品七 北信源移动存储介质信息消除系统l 产品背景针对用户当前存在的数据外泄问题，北信源公司本着“安全、便捷、可靠”的设计理念，依据信息安全等级保护指南要求；通过采用合理的方式对计算机介质（包括磁带、磁盘、打印结果和文档）进行信息消除或销毁处理，防止介质内的敏感信息泄露。从用户的实际需求出发，采用人性化设计原则，着力体现和顺应安全产品的发展趋势，将先进的文件粉碎技术同步应用于北信源公司的产品研发与生产中，提供了完整可靠的数据粉碎方案。l 功能概述系统能够保证存储在主机上的重要数据的安全，通过反复对文件磁道的改写和重写，对主机上用户想要删除的数据文件进行不可恢复的彻底粉碎，最终达到不可恢复的粉碎的目的。l 系统功能描述本系统采用数据防护算法和硬件验证技术，避免了存储数据的非法存取和意外泄漏，具有以下功能：1）文件粉碎：可对单个文件（文件夹）及多个文件（文件夹）进行彻底粉碎。2）分区粉碎：可对主机中所选择的分区进行不可恢复的彻底粉碎。3）磁盘粉碎：可对主机中所选择的磁盘进行不可恢复的彻底粉碎。同时，针对用户需求，本系统还具有以下特点：1）易用性：本系统界面友好易懂、操作简单。2）安全性：被粉碎的文件不可恢复，层与层之间传递的命令，而不是数据，不会引起数据泄露。3）防恢复：粉碎过的数据经反复擦除重写不会在硬盘上留下任何痕迹。l 系统管理构架系统分为用户软件层和核心层： 用户软件层，主要是给用户提供一个操作环境，用户可以在该操作环境下进行文件粉碎的表层工作。核心层主要是继承用户软件层的接口，进行文件粉碎的核心操作。产品八 北信源安全U盘系统（专利技术）l 系统功能描述1) 遵循标准USB设备的使用流程，所有安全功能对用户透明；2) 采用专用控制模块防止U盘介质非授权格式化；3) 结合北信源移动存储介质使用管理系统，可实现多种方式的接入控制，具体详见移动存储介质使用管理系统相关介绍；4) 从原理上杜绝病毒自动传播(无法利用操作系统直接对U盘存储区文件进行读写)，防止病毒拷入U盘导致病毒传播；5) 支持基于角色的细粒度强访问控制机制，采用可定制的数据访问和审计策略，提供数据的多级多域安全防护；6) 采用安全容器技术，实现信息的存储和传输安全，保证信息内容本身的应用审计安全；7) 可对信息的分发路径进行全程跟踪，结合自主采集的多维主机指纹采集技术，从而对通过盘的数据交换行为进行全方位的细粒度审计；8) 审计信息记录在U盘本地的审计区，以供分析；9) 支持设备和主机的双向认证，防止主观和客观的数据非法访问；10) 一体化管理平台，便于U盘集中分发和管理。l 加密1) 加密算法：标准版本采用AES(256bit)高强度对称加密算法，根据需要也可支持用户定制的加密算法和芯片，支持多种加密模式；2) TTDS：采用扇区映射方式进行二级抽象，完全打乱文件的存储位置，防止结构性破解。产品九 北信源接入认证网关l 功能概述北信源接入认证网关是一款部署简便、使用灵活的网络准入/准出控制产品。使网络管理员能在允许用户进入网络前、访问外部网络前，对有线、无线和远程用户及其机器进行验证、授权。能够阻止未授权计算机越权访问网络资源。l 系统管理构架北信源接入认证网关整体解决方案包括三个组件：北信源接入网关根据终端注册及策略情况提供访问权限。在用户未注册前，他们均被禁止访问可信网络，或进行HTTP、DNS等重定向强制注册。区域管理器管理服务器、检查规则及策略，基于Web的中央控制台。北信源客户端程序客户端程序代理、执行安全修复、身份认证功能。l 系统功能描述北信源接入认证网关与北信源内网安全管理系统结合可以完成网络终端注册和网络访问授权等方案，使得未注册客户端无法访问受限网络。使网络管理员能在允许用户进入网络前，对用户及其机器进行验证、授权。该安全产品能够：1) 对未注册终端进行访问网络权限控制，可进行HTTP、DNS等重定向强制注册;2) 确认用户、用户设备和他们在网络中的身份;3) 对于终端设备网络连接流量进行控制;4) 北信源接入认证网关能向通过局域网、无线局域网、广域网或虚拟专用网连接的设备应用网络准入控制。产品具有为所有运行环境执行策略的独特能力，无需其他独立产品或模块。l 功能特点l 多种身份验证服务北信源接入认证网关具备终端特征验证、用户名口令验证、混合身份验证等多种身份验证机制。管理员通过策略方便设定。能维护具有不同许可级别的用户群体。l 集中管理北信源接入认证网关基于Web的管理控制台允许管理员为每个用户定义所需的策略类型，一个区域管理器可以管理多个接入网关。l 灵活的部署模式北信源接入认证网关提供了最广泛的部署模式，能适用于任意客户网络。客户能将该产品作为虚拟或实际IP网关，部署在边缘或中央，提供第二层或第三层客户端接入，或部署在DNS服务器前作为强制注册用的DNS网关。产品十 北信源Intel vPro (AMT) 管理支持系统l 功能概述北信源Intel vPro平台主动管理技术全面支持英特尔博锐技术平台系列产品。使用主动管理技术对远程设备进行资产管理、安全控制、事件监控以及远程实时维护，并在应用主动管理技术之前进行专门针对于vPro设备的网络接入认证，全面解决新技术应用带来的网络安全问题。l 系统功能描述北信源Intel vPro平台主动管理技术以安全为基础、以主动管理为核心，将主动管理技术与北信源其它终端安全产品紧密结合，拓展了北信源其它终端安全产品对于远程设备和处于带外状态的设备的管理功能。其主要技术用途及特点如下：1）vPro设备的入网管理;2）远程操控;3）资产管理;4）事件报警及订阅;5）芯片级网络阻断;6）自动蠕虫病毒防御;7）代理进程监控;9) 阻断策略的制定;10) 远程BIOS故障诊断;11) 远程部署操作系统;12) 带外补丁分发；13) 零接触自动部署方案。产品十一 北信源信息安全管理通告平台系统在上述系统功能、构架和统一策略中心基础上，北信源终端安全管理产品还可以扩展建立信息安全管理通告平台（为级联大型网络量身定制），提供统一的内部网络安全信息公布平台。图-1 信息安全管理通告平台信息安全管理通告平台是为大