LanSecS内网安全管理系统产品白皮书

1、LanSecS 内网安全管理系统内网安全管理系统 V7.0产品白皮书产品白皮书北京圣博润高新技术股份有限公司北京圣博润高新技术股份有限公司 2015 年年 04 月月 产品白皮书版权所有 圣博润 第 0 页版权声明北京圣博润高新技术股份有限公司2001-2013版权所有，保留一切权力。本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属北京圣博润高新技术股份有限公司（以下简称圣博润公司）所有，受到有关产权及版权法保护。未经圣博润公司书面许可不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。其中圣博润公司具有对所有技术的解释权。信息更新本文档仅用

2、于为渠道代理商或最终用户提供信息，并且随时可由圣博润公司更改或撤回。免责条款根据适用法律的许可范围，圣博润公司按“原样”提供本文档而不承担任何形式的担保，包括（但不限于）任何隐含的适销性、特殊目的适用性或无侵害性。在任何情况下，圣博润公司都不会对最终用户或任何第三方因使用本文档造成的任何直接或间接损失或损坏负责，即使圣博润公司明确得知这些损失或损坏，这些损坏包括（但不限于）利润损失、业务中断、信誉或数据丢失。 产品白皮书版权所有 圣博润 第 1 页目录目录1.1.产品简介产品简介 .12.2.产品构架产品构架 .13.3.产品功能产品功能 .24.4.产品特点产品特点 .25.5.产品性能产品

3、性能 .36.6.产品部署产品部署 .47.7.产品规范产品规范 .48.8.产品资质及荣誉产品资质及荣誉.4 产品白皮书版权所有 圣博润 第 0 页1.1.产品简介产品简介LanSecS内网安全管理系统是北京圣博润高新技术股份有限公司（以下简称圣博润）推出的专门用于政府和企业终端安全管理系统。系统通过对计算机准入控制、计算机安全加固、计算机运行维护、计算机安全审计、移动存储介质注册等多个方面的综合管理，为政府和企业用户打造一个安全、可信、规范、健康的内网环境。LanSecS内网安全管理系统可为用户解决如下一系列的内网安全管理问题：确保入网终端符合要求全面监测终端健康状况保证终端信息安全可控动

4、态监测内网安全态势快速定位解决终端故障规范企业员工网络行为统一内网用户身份管理杜绝移动存储介质滥用提高和实现软件正版化2.2.产品构架产品构架LanSecS内网安全管理系统在架构设计上采用了三层管理结构：终端监控引擎、总控中心、管理控制台。终端监控引擎以服务的形式运行于终端计算机上，是终端计算机管理的核心和基础部件，用于对被管理终端计算机的安全加固、运行维护和监测审计等管理职能。终端监控引擎的设计充分考虑了稳定性、安全性和兼容性要求。终端监控引擎可防止恶意停止，并全面兼容防病毒软件、防火墙软件、设计开发软件、业务软件、办公软件。总控中心用于计算机的集中管理，为终端监控引擎和管理控制台提供一系列

5、的管理服务。由策略管理服务、审计管理服务、Radius 认证服务、文件备份服务、补丁与软件分发服务、时间同步服务、网络管理服务、分级管理服务、事件订阅服务、健康状态监测服务等组成。视内网规模和性能要求，这些服务可分别部署在不同的硬件平台上，也可部署在同一个硬件平台上。管理控制台是系统管理人员提供系统管理入口。采用了 B/S 方式进行系统管理，通过管理控制台可以完成系统管理的全部操作。三层管理结构大大提高了系统设计开发、安装部署和运行维护的灵活性、便利性和扩展性。 产品白皮书版权所有 圣博润 第 1 页图 1 LanSecS内网安全管理系统架构3.3.产品功能产品功能安全审计安全审计：提供内网主

6、机安全事件的审计功能，包括文件操作、文档打印、共享访问、服务与进程活动、系统日志、系统账户监控等。提供终端计算机用户行为的监控与审计，包括信息泄密、资源滥用、即时通讯、邮件收发和网站访问等。安全服务安全服务：通过预警平台、远程协助、软件及文件分发等功能实现远程桌面维护以及安全动态、桌面通知、信息发布。安全加固安全加固：提供强大的补丁自动分发机制、病毒库自动下载机制、本地文件安全存储以及移动存储介质的认证与注册管理等功能，保证终端运行环境的安全可控，保障内网运行的可靠性。另外，还提供主机安全策略和 IE 安全策略的统一设置，加强主机的安全性。资产管理资产管理：提供对内网资产和资源的集中管理能力，

7、包括计算机、交换机、操作系统、软件、硬件，并对资产和资源的变更进行监控和预警。准入控制准入控制：采用可信接入技术，对于接入内网的计算机进行严格的身份认证和健康检查，保证内网业务数据和系统环境的安全。补丁管理：补丁管理：可以实现 Windows 平台下的补丁审批、分发和补丁修复状态统计，管理、分发和自动安装 Windows 系列操作系统补丁和微软应用程序补丁。并且提供单独的 XP 补丁管理模块，实现对后续 XP 补丁的管理。 产品白皮书版权所有 圣博润 第 2 页4.4.产品产品特点特点完善的分级管理架构，完善的分级管理架构， “分散不分立分散不分立”：通过分级管理，系统可实现跨地域分散部署和集

8、中管理。 “分散不分立” ，形成有效的和有机的内网安全管理架构。灵活的分权管理机制，灵活的分权管理机制， “集中不集权集中不集权”:”:系统提供了基于安全角色的授权管理机制，根据功能模块或行政机构的划分自定义安全角色，一种安全角色只能执行其所辖部门范围内的相应安全代理的安全策略和审计事件的管理。 “集中不集权” ，保证了管理的安全性。多层次的安全措施，保证系统运行的安全可靠多层次的安全措施，保证系统运行的安全可靠: :系统从数据库、网络通讯、策略分发与存储等多个层面加强了安全保护，确保系统运行的安全可靠。全方位的安全审计功能，有效地防止信息泄密全方位的安全审计功能，有效地防止信息泄密: :系统

9、提供对所有输入/输出设备、文件系统、进程、服务、注册表、网络应用、用户身份、操作系统安全策略等进行综合的监控和审计，全方位的监控操作系统的运行状态以及用户的操作行为，实现涉密信息的全程审计与跟踪。完善的基于数字证书的身份认证机制完善的基于数字证书的身份认证机制: :系统内嵌身份认证服务，实现了与数字证书的完美结合，管理控制台、监控代理、总控中心以及所有系统管理用户和计算机终端用户均通过数字证书进行身份认证。丰富、多样的统计报表功能丰富、多样的统计报表功能: :系统提供列表和统计图的报表输出，报表的输出支持HTML、EXCEL、PDF、RTF 等四种格式。同时提供手动报表、自动报表等两种运行模式

10、。高度模块化设计，需求响应迅速高度模块化设计，需求响应迅速: :系统管理控制台、安全代理和总控中心均采用模块化设计，并提供用户设计、开发接口和示例，用户可以根据企业的安全需求定制采购，同时也可以根据需求的变化，在运行时动态改变其工作状态，提高系统的运行效率。所有组件支持自动升级，系统维护方便、快捷所有组件支持自动升级，系统维护方便、快捷: :系统的主机代理及其功能模块均支持基于版本号的网络自动下载更新，只需要在总控中心一次部署即可以完成全网的自动升级。系统的维护和升级非常方便。客户端监控代理安装部署方式灵活、多样客户端监控代理安装部署方式灵活、多样: : LanSecS 内网安全管理系统客户端

11、监控代理同时支持域模式安装、本地安装、网络分发安装以及 WEB 安装等多种安装部署方式，用户可以根据实际网络环境自由选择。5.5.产品性能产品性能LanSecS内网安全管理系统主要性能指标如下：总控中心最大并发连接数：3000； 产品白皮书版权所有 圣博润 第 3 页总控中心最大可管理注册主机数量：20000 台；总控中心网络带宽占用：100K/1000 客户端；终端监控引擎 CPU 占用（静态模式）： 1%；终端监控引擎内存占用（静态模式）：8M。6.6.产品部署产品部署LanSecS内网安全管理系统支持本地部署和分级部署，分级部署示意图如下： 图 2 分级部署示意图7.7.产品规范产品规范

12、LanSecS内网安全管理系统的设计参考了如下国家标准规范：BMB17-2006：涉及国家秘密的信息系统分级保护技术要求BMB20-2007：涉及国家秘密的信息系统分级保护管理规范BMB22-2007：涉及国家秘密的计算机信息系统分级保护测评指南GB/T22239-2008：信息系统安全等级保护基本要求GBT 22240-2008：信息系统安全等级保护定级指南GBT 22241-2008：信息系统安全等级保护实施指南8.8.产品资质及荣誉产品资质及荣誉国家保密局涉密信息系统产品检测证书公安部计算机信息系统安全专用产品销售许可证中国信息安全测评中心国家信息安全测评信息技术产品安全测评证书自主创新产品认证证书2005 年中国信息安全值得信赖内网安全品牌2006 年中国信息安全市场优秀内网安全产品推荐品牌奖2006 年计算机网络系统信息防护解决方案优秀奖2007 年最具价值的内网安全产品奖2008 年度内