北信源常用产品技术功能介绍-简版.doc

北信源内网安全管理系统北信源内网安全管理系统可分为五个软件包组合销售，全方位地为网络用户提供安全管理功能。这五个软件包具体为：基本产品包、终端桌面管理产品包、终端安全管理产品包、网络主机运维产品包、非法外联管理产品包。l 基本产品包基本产品包主要包含终端基本管理、IT资产管理、事件报表及报警处置、第三方接口联动（可扩展）等功能。1.终端基本管理1) 终端注册管理2) IP和MAC绑定管理3) 禁止修改网关、禁用冗余网卡管理4) 未注册终端拒绝入网管理（软阻断技术）2.IT资产管理1) 硬件资产管理2) 软件资产管理3) 软、硬件设备信息变更管理3.事件报表及报警处置1) 终端信息数据统计分类管理2) 图形化信息数据输出管理3) 用户自定义组态报表输出及查询管理4) 报警结果处置管理5) 安全事件源远程阻断管理4.第三方接口联动（可扩展）1) PKI/CA认证联动接口2) 防火墙联动接口3) 网管软件联动接口4) 安全管理平台联动接口5) 其它第三方接口l 终端桌面管理产品包1) 终端流量管理2) 进程运行黑白名单控制3) 进程保护管理4) 进程执行汇总5) 终端服务管理6) 软件黑白名单控制7) 软件安装汇总8) 终端消息推送9) 远程协助管理10) 外设及端口控制11) 垃圾文件清理12) 终端点对点管理13) 系统自动关机管理14) 终端时间同步管理l 终端安全管理产品包1) 桌面密码权限管理2) 可网管配置的统一防火墙3) 终端防网络攻击管理4) 终端杀毒软件管理5) 终端安全等级管理6) IE安全设置7) 恶意软件免疫8) 注册表监控/保护9) 终端在线/离线策略管理l 网络主机运维产品包1) 运行资源监控2) 流量异常监控3) 进程异常监控4) 客户端文件备份l 非法外联管理产品包1) 内部终端非法接入互联网行为监控2) 离网终端非法接入互联网行为监控3) 内部终端非法接入其它网络行为监控4) 内部终端非法外联行为告警和网络锁定5) 内部终端非法外联行为取证北信源补丁及文件分发管理系统l 产品背景近些年来，蠕虫病毒和木马病毒的频繁爆发给全球网络运行乃至经济都造成了严重影响，之所以这些蠕虫能造成如此危害，是因为利用了操作系统或者应用程序的漏洞。补丁的安装普遍会遇到以下的问题：l 普通用户技术知识水平有限，造成了计算机系统漏洞经常不能得到及时的修补，甚至长期不修补；l 网络维护人员为每台机器安装补丁耗时巨大；l 物理隔离网络用户必须使用移动存储设备从外网将补丁导入并安装，麻烦且带来信息泄漏和病毒传入的风险；l 每个终端补丁安装均从外网下载补丁造成网络资源消耗过大；l 用户随意下载补丁导致补丁来源不统一带来的风险。消除漏洞的根本办法就是安装软件补丁，每一次大规模蠕虫病毒的爆发，都提醒人们要居安思危，打好补丁，做好防范工作补丁越来越成为安全管理的一个重要环节。黑客技术的不断变化和发展，留给管理员的时间将会越来越少，在最短的时间内安装补丁将会极大地保护网络和其所承载的机密，同时也可以使更多的用户免受蠕虫的侵袭。对于机器众多的用户，繁杂的手工补丁安装已经远远不能适应大规模网络的管理，必须依靠新的技术手段来实现对操作系统的补丁自动修补。因此，如何利用有效技术手段来及时、持续、稳定的安装计算机补丁，是所有网络安全管理人员、信息安全决策人员亟需解决的问题。l 系统功能概述北信源补丁及文件分发管理系统是北信源公司在为国家各大部委机关、各大行业网络用户进行病毒安全服务、总结安全运营保障经验的基础上，分析当前网络客户端实际安全管理要求研发的，系统支持推、拉两种方式自动下载补丁。整个补丁管理运行平台构架是：通过北信源外网补丁下载服务器及时从补丁厂商网站获取最新补丁；然后补丁经过安全测试后，通过补丁分发管理中心服务器对网络用户进行分发安装；补丁安装支持自动和手动两种方式。l 系统功能描述1) 互联网补丁自动下载；2) 补丁完整性和安全性测试；3) 补丁增量更新导入；4) 补丁库建立和分类；5) 终端补丁自动检测；6) 补丁策略制定分发和自动分发；7) 终端补丁流量控制和代理转发技术；8) 补丁自动修复及查询统计；9) 未打补丁情况汇总统计；10) 补丁安装情况汇总统计；11) 已安装补丁自动卸载；12) 文件分发及文件自动执行；13) 文件分发安装结果统计。l 网络应用l 直接连接互联网的网络：通过补丁下载服务器将补丁下载至补丁分发服务器。l 物理隔离网络：在互联网网络上安装补丁下载服务器模块，通过补丁下载增量分离工具，区分内网已导入和未导入的补丁，将最新补丁导入内网补丁分发服务器。l 系统组件北信源补丁及文件分发管理系统依据客户端注册优势，提供补丁检测、安装等远程功能。客户端访问网络WEB站点，根据页面自动弹出提示进行注册，注册程序将在系统中实时运行，检测补丁安装状况，并上报给补丁控制中心。补丁控制中心提供补丁策略制订、补丁文件直接分发，补丁测试提供对软件厂商新发布补丁的前期测试，严格测试后才可以配发到网络客户端，保障客户端补丁安装安全性。系统可按照网段、补丁类型进行补丁配置分发，支持漏打补丁、特殊补丁的推送下发；通过自定义分网段、分区域的补丁下载升级设定策略，以及转发代理技术，避免造成网络堵塞，合理控制网络带宽。图-1 补丁管理系统功能构架 l 系统构架该系统贴近用户对网络、网络终端管理的要求，适用于局域网、广域网等多种构架。标准构架（小型网络）：在局域网中全面部署应用北信源补丁及文件分发管理系统，包括各种功能模块：补丁下载、补丁分析、补丁策略分发制订、文件分发、客户端补丁监测、漏洞补丁扫描、补丁分发控制台等。级联构架（大型网络）：对于网络分布广泛、规模庞大，并且拥有多个网络管理中心的广域网，北信源补丁及文件分发管理系统支持在标准构架上建立多级级联模式，实现下级网络补丁管理系统从上级补丁管理系统自动获取补丁，以及相关补丁审计、系统组件升级功能。北信源移动存储介质使用管理系统l 移动存储介质数据交换引发的安全问题移动存储介质，如U盘、移动硬盘等，因其体积小、容量大等优点，已得到广泛应用。作为数据交换的主要手段之一，移动存储介质正成为数据和信息的重要载体，但是我们也应该看到，移动存储设备在给我们带来极大方便的同时，也给我们带来了不少的安全隐患，主要如下：1. 涉密计算机接入非涉密移动存储设备；2. 非涉密计算机使用涉密移动存储设备；3. 移动存储介质的数据交互审计；4. 外来移动存储介质随意接入问题；5. 移动存储介质丢失导致信息泄漏；6. 移动存储介质的使用信息无法追踪审计问题；7. 移动存储介质接入区域限制和控制问题；8. 病毒、恶意代码通过移动存储介质传播问题。l 技术特点及应用1、分级权限控制通过对移动存储介质写入两种不同控制权限及功能的标签，来实现分级权限的控制，并对指定范围内的终端授权，通过策略与标签的配合来实现对移动存储介质的控制。注，对移动存储介质格式化无法去除标签。普通标签：写入普通标签后，在管理区域内根据策略的设置，来限制移动存储介质的读、写功能；如果在管理区域外使用移动存储介质认证，则不限制移动存储介质认证读、写功能。加密标签：写入加密标签后将普通移动存储介质（U盘、移动硬盘等）分为二个可控制的区域：交换区、保密区。涉密网络可只生成保密区。交换区和保密区启动均需输入独立的密码，数据在二个区存储时均以加密方式存储，这两个区的具体应用如下：（1）在涉密网络中或高要求的办公网络中，可只生成保密区一个区。该保密区只能在有对应安全策略的主机上通过认证标签后、同时输入正确密码才能访问，同时有安全策略的主机可以根据策略控制未经标签认证的移动存储介质的使用。（2）在普通办公网络中，可生成交换区、保密区二个区。保密区的使用方法，可与上述涉密网络或高要求的办公网络相同。交换区的使用方法，可以根据用户需要，在内部网络中通过策略限制使用方式，交换区在外网使用时同样要输入密码方可使用，保密区在外网不可见。2、审计功能完善1) 提供移动存储介质上所有文件操作的详细记录包括文件的创建、复制、删除、读写和重命名等操作，具体包括文件名、审计描述、时间、用户名、计算机IP地址和其他必要的信息。2) 提供移动存储介质的插入和拔出动作的详细记录具体包括事件类型、移动存储介质的名称、用户、计算机IP地址、事件时间等。l 系统功能描述1. 移动存储设备（分设备、网段等）接入认证管理，保障指定设备读写指定移动存储设备的访问控制管理；2. 移动存储介质数据读写控制管理；3. 移动存储介质标签认证管理；4. 移动存储介质分区（交换区和保密区）管理；5. 移动存储介质的加密管理，防止保密区的敏感信息外泄；6. 移动存储介质接入行为审计；7. 移动存储介质数据交换行为审计管理，可针对文件后缀名等条件；8. 提供详细的文件操作详细审计记录：包括文件的创建、复制、删除、修改和重命名等操作，（包括文件名、审计描述、时间、用户名、计算机IP地址和其他必要的信息）；9. 提供详细的移动存储设备的插入和拔出动作的详细记录，具体包括事件类型、移动存储介质的名称、用户、计算机IP地址和事件时间。l 系统管理构架北信源移动存储介质管理系统和其它系统均采用相同的管理构架，由服务端制订统一的策略，分发给客户端执行。系统有USB标签制作工具，通过对移动存储介质制作标签可以实现对移动存储介质中的数据进行保护和加密，对移动存储介质进行使用范围授权，访问控制等综合的管理。移动存储介质使用管理系统可以将整个移动存储介质划分成交换区和保密区两部分，保护区需要通过密码认证才可以访问。系统具体使用管理构架如下：1、系统服务器端：系统管理中心基于web页面管理方式，管理员登陆和配置后系统才能运行。能够自动发现网络中的终端计算机，并检测终端计算机是否安装系统客户端程序，管理中心内置移动存储管理策略中心和报警中心，提供对网络终端的分组管理设置。2、系统客户端：安装在终端计算机，接收系统管理中心分发的策略，根据接受策略实时监控接入终端计算机移动存储设备的操作行为和状态，并进行管理或者控制；系统客户端注册以后，即使离开所在网络或不处于任务网络中，仍实时受到移动存储管理策略控制，日志记录于本地，一经连接回网络，则自动上报日志信息给服务器。3、专用移动存储设备注册工具：移动存储介质经过网管人员注册（包括打标签、设置访问密码）工具认证后，该移动存储介质才能在网络中使用。使用者在使用时必须输入使用密码后才能使用。系统以数据为中心，用户作为数据的使用者，主机作为数据的存储者，移动存储介质作为数据的迁移者，在系统范围内均赋予唯一的标识，三者进行相互认证。只有经认证和授权成功后，才保证合法的用户在合法的机器上访问合法移动存储介质上的数据，并形成详尽的日志供审计。北信源主机监控审计系统l 产品背景随着信息安全技术和理念的发展，安全监控的关注点已经从设备转向对于设备使用者的行为，用户对于设备使用人行为审计和行为控制的需求越来越明显，由此国内外均已有相关的政策和法规陆续出台，国内的涉及国家秘密的信息系统分级保护技术要求、信息系统安全等级保护基本要求、信息系统安全等级保护测评准则和国外的萨班斯奥克斯利法案也均明确的提出了对主机行为的监控和审计要求。北信源主机监控审计系统通过技术手段使各种管理条例落实，增强用户的安全和保密意识，保护内部的信息不外泄，适用于政务、军队军工、金融等各个保密要求性较高的企事业单位。l 系统功能描述1) 网络访问行为审计和控制：l 以黑白名单的方式对用户的网页访问行为进行控制；l 可对用户访问的网页等进行审计和记录。2) 文件保护及审计：系统提供对终端的系统、软件和共享等目录中的文件的保护功能，设定访问、删除、修改权限；支持对设定目录文件的操作审计，包括文件创建、打印、读写、复制、改名、删除、移动等的记录，同时将信息上报管理信息库供查询。3) 网络文件输出审计：对主机通过共享文件等方式进行的网络文件输出行为进行审计和记录。4) 邮件审计：根据策略对主机发送的邮件进行控制。并审计发送的邮件地址、IP等信息进行控制审计和记录。5) 打印审计：根据策略对主机打印行为进行监控审计，防止非授权的信息被打印，同时根据要求还可以备份打印内容。6) 文件涉密信息检查：根据用户自主设定的涉密信息查询条件，设定对指定目录或盘符下的指定类型文件进行内容检查，检查其是否包含涉密内容，系统支持进行包含“或”、“与”等多种逻辑的组合监测和模糊监测。7) IM即时通讯记录审计：实现对QQ、MSN等聊天软件的访问行为及自定义关键字审计；8) 用户权限审计：能够审计用户权限更改，及操作系统内用户增加和删除操作；9) 独立的权限分配体系：提供系统管理员、系统审核员（安全员）、系统审计员和一般操作员权限分配，使之分别进行不同的管理操作；10) 系统日志审计：支持不同权限管理员在Web控制台对终端用户的日志（系统日志、应用日志、安全日志等）进行远程读取查看。l 管理功能描述1 ) 报表管理：对审计结果提供详实的报表，并可直接导出为Excel等格式的文件。2 ) 审计结果处理：用户可针对审计结果进行如用户端警告、报警、断网、终止进程等不同的处理。3 ) 级联管理功能：支持多级级联管理方式，上级管理节点可进行统一的状态和报警信息收集、查看，各级子管理节点能够与根管理节点进行策略同步。4 ) 客户端分组（域）管理功能：能够按照多种方式（如按操作系统、已划定区域、IP区域或用户自定义、