完整安全 提升价值 推进效益 ——构筑坚强有力的终端安全管理平台
● 内部网络面临的安全问题
提起网络安全,人们自然就会想到网络边界安全,但实际情况是网络的大部分安全风险均来自于内部。常规安全防御理念往往局限在网关级别、网络边界(防火墙、IDS 、漏洞扫描)等方面,重要的安全设施大致集中于机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。相反,来自网络内部计算机终端的安全威胁却是众多安全管理人员所普遍面临的棘手问题。
自2003年来,以SQL 蠕虫、“冲击波”、“震荡波”、“熊猫烧香”等病毒的连续性爆发为起点,到计算机文件泄密、口令泄漏、硬件资产丢失、服务器系统瘫痪等诸多终端安全事件在各地网络中频繁发生,让政府机关和企业单位的网络管理人员头痛不已。总结起来,政府机关和企业单位的内部网络管理大致面临着以下一些常见问题:
⏹ 如何发现终端设备的系统漏洞并自动分发补丁; ⏹ 如何有效解决移动存储介质使用管理问题; ⏹ 如何有效解决终端随意接入网络问题; ⏹ 如何防止U 盘造成的病毒传播和信息泄漏; ⏹ 如何防范内网设备非法外联;
⏹ 如何管理终端资产,保障网络设备正常运行; ⏹ 如何在全网制订统一的安全策略;
⏹ 如何及时发现网络中占用带宽最大的终端; ⏹ 如何方便地进行远程点对点维护; ⏹ 如何防范内部涉密重要信息的泄露;
⏹ 如何对原有终端应用软件进行统一监控、管理;
⏹ 如何快速有效地定位网络中病毒、蠕虫、黑客的引入点,及时、准确地切断
安全事件发生点和网络;
⏹ 如何构架功能强大的统一网络安全报警处置平台,进行安全事件响应和事件
查询,全面管理网络资源。 ………….
这些终端安全隐患随时随地都可能威胁到用户网络的正常运行。针对如上系列问题北信源提供领先业界的终端安全管理产品及应用解决方案。
终端安全管理系列
产品架构
● 产品系列
网络终端安全是一个综合的系统问题,涉及管理计算机本身、计算机应用、计算机操作者、计算机使用单位管理规范等多个方面。
北信源通过对近年来国内外终端安全管理技术和发展趋势的研究,将政府和企业内部网络终端安全管理概括的从终端状态、行为、事件三个方面来进行防御,管理手段大致包括如下内容:
图-1 系列产品组成图
北信源终端安全管理产品采用C/S与B/S混合模式设计,支持分布式部署,并具有模块化软件定制、支持标准API 、无缝功能扩展与升级等优点。产品针对政府、金融证券、电信、能源以及各大中型企业等网络专门研制,已通过国家保密局、公安部、国家信息安全评测中心、解放军信息安全评测中心、质量管理体系认证等多项权威认证。经业界权威机构CCID 统计北信源终端安全管理产品在中国终端安全管理及审计市场占有率持续保持第一。
北信源终端安全管理产品遵循网络防护和端点防护并重理念,对网络安全管理人员在网络管理、终端管理过程中所面临的种种问题提供解决方案,实现内部网络终端的可控管理,并能够支持多级级联广域网构架,达到最佳的管理效果。
北信源终端安全管理产品强化了对网络计算机终端状态、行为以及事件的管理,它提供了防火墙、IDS 、防病毒系统、专业网管软件所不能提供的防护功能,对它们管理的盲区进行监控,扩展成为一个实时的可控内网管理平台,并能够同其它安全设备进行安全集成和报警联动。
产品部署和管理构架
局域网构架:对于一般网络(例如1个C 类地址或若干个C 类地址的局域网范围),可使用一套本系统软件,集中管理所属区域内的所有设备。
广域网构架:对于大规模的多个局域网或者跨地域广域网(包括基于国家、省、市、县等多级管理模式的网络结构),可使用本系统提供的多区域级联集中管理构架,即一个或多个网段各拥有一套独立的北信源终端安全管理产品的同时,将本级的统计和报警信息转发给上级管理系统,上一级管理人员对整个网络的状况也能够完全掌握。(图-2)
图-2 多级级联集中管理构架
● 系列产品统一策略管理中心
北信源终端安全管理产品采用统一策略管理中心实现对内部网络终端的统一安全管理。策略管理中心内臵终端安全防护需要的所有安全管理参数,提供对计算机终端的安全规则配臵、安全功能策略开启/关闭、安全策略执行范围/周期设定等一系列安全措施的管理。
北信源终端安全管理产品内臵安全策略分为全局策略、本地策略、备份策略三种,管理员通过属性设臵决定其类型。(图-3)
图-3 系列产品统一策略管理中心
● 系统自身安全
1、分级管理:系统支持对管理员分级管理,实现不同管理员管理不同内容, 可分为授权、管理和审计等多种角色划分,具有安全性高、可靠性强的特点,适合集中授权、多角色参与监控的管理模式。
2、通信保护:系统的组件间通信时,数据传输是经过加密的,客户端和服务器端相互通信使用双向认证机制,防止已安装同类客户端的非本网络计算机非法进入网络,
同时也防止模拟的假客户端和服务器进行通信。
3、客户端软件强保护机制:系统的客户端系统具有自我防护机制,防止用户随意停止、卸载。
4、服务器安全设计:服务器系统具备保护服务器功能。保证管理系统服务器端使用的安全性,保证其受到恶意修改IP 地址的方式攻击时仍可正常工作, 网络中出现恶意修改成与管理服务器相同属性(如相同的IP 地址、相同的MAC 地址等)的机器时,出现IP 地址或MAC 地址冲突等现象时,管理服务器将不会被阻断出网(即不会出现地址冲突的现象),只有发起恶意攻击的设备才会被自动阻断,不会影响管理服务器的正常管理。
5、提供系统审计员、系统管理员、系统操作员三权分立的权限管理体系。 6、系统日志:系统提供运行审计和操作审计机制,保证系统的稳定运行。
系统所需软硬件配置
系统管理服务器:
软件配臵:Windows2000 Server(SP4)或以上操作系统(安装IIS ),MS SQL SERVER2000(SP4)或更新版本数据库。
建议硬件配臵:建议使用专业服务器或高档PC 机,具体配臵为PIV 2.4G 以上CPU ,2G 以上内存,80G 以上硬盘。
北信源终端安全管理产品管理中心具有较强的负载能力(每台服务器最大支持15000台终端),在管理数量较大的网络终端时(如数千台终端),为保障系统效率,应使用4G 或4G 以上的内存。
产 品 简 介
产品一 内网安全管理系统
北信源内网安全管理系统可分为五个软件包组合销售,全方位地为网络用户提供安全管理功能。这五个软件包具体为:基本产品包、终端桌面管理产品包、终端安全管理产品包、网络主机运维产品包、非法外联管理产品包。
基本产品包
基本产品包主要包含终端基本管理、IT 资产管理、事件报表及报警处臵、第三方接口联动(可扩展)等功能。
1. 终端基本管理 1) 终端注册管理 2) IP 和MAC 绑定管理
3) 禁止修改网关、禁用冗余网卡管理 4) 未注册终端拒绝入网管理(软阻断技术) 2.IT 资产管理 1) 硬件资产管理 2) 软件资产管理
3) 软、硬件设备信息变更管理 3. 事件报表及报警处置
1) 终端信息数据统计分类管理 2) 图形化信息数据输出管理
3) 用户自定义组态报表输出及查询管理 4) 报警结果处臵管理 5) 安全事件源远程阻断管理 6) 联动处臵接口管理 4. 第三方接口联动(可扩展) 1) PKI/CA认证联动接口
2) 防火墙联动接口 3) 网管软件联动接口 4) 安全管理平台联动接口 5) 其它第三方接口
● 终端桌面管理产品包
1) 终端流量管理 2) 进程运行黑白名单控制 3) 进程保护管理 4) 进程执行汇总 5) 终端服务管理 6) 软件黑白名单控制 7) 软件安装汇总 8) 终端消息推送 9) 远程协助 10) 外设及端口控制 11) 垃圾文件清理 12) 终端点对点管理 13) 系统自动关机管理 14) 终端时间同步管理
● 终端安全管理产品包
1) 桌面密码权限管理 2) 终端统一防火墙 3) 终端杀毒软件管理 4) 终端安全等级管理 5) IE 安全设臵 6) 恶意软件免疫 7) 注册表监控/保护 8) 终端在线/离线策略管理
● 网络主机运维产品包
1) 运行资源监控 2) 流量异常监控 3) 进程异常监控 4) 客户端文件备份
● 非法外联管理产品包
1) 网络内部终端非法外联互联网行为监控 2) 网络内部终端非法接入其它网络行为监控 3) 离网终端非法外联互联网行为监控 4) 非法外联行为告警和网络锁定 5) 未注册终端非法接入内网行为监控 6) 非法外联行为取证
产品二 补丁及文件分发管理系统
● 产品背景:
近些年来,蠕虫病毒和木马病毒的频繁爆发给全球网络运行乃至经济都造成了严重影响,之所以这些蠕虫能造成如此危害,是因为利用了操作系统或者应用程序的漏洞。补丁的安装普遍会遇到以下的问题:
●
普通用户水平和知识素质有限,造成了计算机系统漏洞经常不能得到及时的修补,甚至长期不修补;
● ●
网络维护人员每台机器安装补丁耗时巨大;
物理隔离网络用户必须使用移动存储设备从外网将补丁导入并安装,麻烦且带来信息泄漏和病毒传入的风险;
● ●
每个终端补丁安装均从外网下载补丁造成网络资源消耗过大; 用户随意下载补丁导致补丁来源不统一带来的风险。
消除漏洞的根本办法就是安装软件补丁,每一次大规模蠕虫病毒的爆发,都提醒人们要居安思危,打好补丁,做好防范工作——补丁越来越成为安全管理的一个重要环节。黑客技术的不断变化和发展,留给管理员的时间将会越来越少,在最短的时间内安装补丁将会极大地保护网络和其所承载的机密,同时也可以使更少的用户免受蠕虫的侵袭。对于机器众多的用户,繁杂的手工补丁安装已经远远不能适应大规模网络的管理,必须依靠新的技术手段来实现对操作系统的补丁自动修补。
因此,如何利用有效技术手段来及时、持续、稳定的安装计算机补丁,是所有网络安全管理人员、信息安全领导决策人员亟需解决的问题。
● 系统功能概述
北信源补丁分发管理系统是北信源公司在为国家各大部委机关、各大行业网络用户进行病毒安全服务、总结安全运营保障经验的基础上,分析当前网络客户端实际安全管理要求研发的,系统支持推、拉两种方式自动下载补丁。整个补丁管理运行平台构架是:通过北信源外网补丁下载服务器及时从补丁厂商网站获取最新补丁;补丁安全测试后,通过补丁分发管理中心服务器对网络用户进行分发安装;补丁安装支持自动和手动两种方式。
● 系统功能描述:
1) 互联网补丁自动下载; 2) 补丁完整性和安全性测试; 3) 补丁增量更新导入; 4) 补丁库建立和分类; 5) 终端漏洞自动检测;
6) 补丁策略制定分发和自动分发; 7) 终端补丁流量控制和代理转发技术; 8) 补丁自动修复及查询统计; 9) 漏洞情况汇总统计; 10) 补丁安装情况汇总统计; 11) 普通文件分发及文件自动执行; 12) 文件分发安装结果统计。
● 网络应用
●
直接连接互联网的网络:直接通过补丁下载服务器将补丁下载至补丁分发服务
器。
●
物理隔离网络:在互联网连通网络上安装补丁下载服务器模块,通过补丁下载
增量分离工具,区分内网已导入和未导入的补丁,将最新补丁导入内网补丁分发服务器。
● 系统组件
北信源补丁分发管理系统依据客户端注册优势,提供补丁检测、安装等远程功能。客户端访问网络WEB 站点,根据页面自动弹出提示进行注册,注册程序将在系统中实时运行,检测补丁安装状况,并上报给补丁控制中心。
补丁控制中心提供补丁策略制订、补丁文件直接分发,补丁测试提供对软件厂商新发布补丁的前期测试,严格测试后才可以配发到网络客户端,保障客户端补丁安装安全性。
系统可按照网段、补丁类型进行补丁配臵分发,支持漏打补丁、特殊补丁的推送下发;通过自定义分网段、分区域的补丁下载升级设定策略以及转发代理技术,避免造成网络堵塞,合理控制网络带宽。
. . . . . .
动态下载
图-1 补丁管理系统功能构架
● 系统构架
该系统贴近用户对网络、网络终端管理的要求,适用于局域网、广域网等多种构架。
标准构架(小型网络):在局域网中全面部署应用北信源补丁分发管理系统,包括各种功能模块:补丁下载、补丁分析、补丁策略分发制订、文件分发、客户端补丁监测、漏洞补丁扫描、补丁分发控制台等。
级联构架(大型网络):对于网络分布广泛、规模庞大,并且拥有多个网络管理中心的广域网,北信源补丁分发管理系统支持在标准构架上建立多级级联模式,实现下级网络补丁管理系统从上级补丁管理系统自动获取补丁,以及相关补丁审计、系统组件升级功能。
产品三 主机安全监控强审计系统
● 产品背景
随着信息安全技术和理念的发展,安全监控的关注点已经从设备转向对于设备使用者的行为,用户对于设备使用人行为审计和行为控制的需求越来越明显,由此国内外均已有相关的政策和法规陆续出台,国内的《涉及国家秘密的信息系统分级保护技术要求》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》和国外的《萨班斯·奥克斯利法案》也均明确的提出了对主机行为的监控和审计要求。
北信源主机安全监控强审计系统通过技术手段使各种管理条例落实,增强用户的安全和保密意识,保护内部的信息不外泄,适用于政务、军队军工、金融等各个保密要求性较高的企事业单位。---针对行业特点设计
● 系统功能描述
1 )上网访问行为审计和控制:
● 以黑白名单的方式对用户的网页访问行为进行控制;
● 可对用户上网访问的网页等进行审计和记录。
2 )文件保护及审计:系统提供对终端的系统、软件和共享等目录中的文件的保护功能,设定访问、删除、修改权限;支持对设定目录文件的操作审计,包括文
件创建、打印、读写、复制、改名、删除、移动等的记录,同时将信息上报管理信息库供查询。
3 )网络文件输出审计:对主机通过共享文件等方式进行的网络文件输出行为进行审计和记录。
4 )邮件审计:根据策略对主机发送的邮件及其附件进行控制审计和记录。 5 ) 打印审计:根据策略对主机打印行为进行监控审计,从而防止打印输出结果被非授权查看和获取。
6 ) 文件涉密信息检查:根据用户自主设定的涉密信息查询条件,设定对指定目录或盘符下的指定类型文件进行内容检查,检查其是否包含涉密内容,系统支持进行包含“或”、“与”等多种逻辑的组合监测和模糊监测。
7 ) 用户权限审计:审计用户权限更改及操作系统内用户增加和删除。
8 ) 各自独立的权限分配体系:提供系统管理员、系统审核员(安全员)和系统审计员和一般操作员权限,分别进行不同的管理操作。
9 ) 系统日志审计:不同权限管理员在Web 控制台对终端用户的日志(系统日志、应用日志、安全日志等)进行远程读取查看。
管理功能描述
1 ) 报表管理:对审计结果提供详实的报表,并可直接导出为Excel 等格式的文件。
2 ) 审计结果处理:用户可针对对审计结果进行如用户端警告、报警、断网、终止进程等不同的处理。
3 ) 级联管理功能:可进行多级级联管理,支持多级管理方式,上级管理区域可进行统一的状态和报警信息,各级子管理节点能够与根管理节点进行策略同步,各级管理员管理辖区内的有关事件。系统可根据情况需要将策略下发至本区域、下一级区域和所有区域。
4 ) 客户端分组(域)管理功能:按照多种方式(如按操作系统、已划定区域、IP 区域或用户自定义、所有设备等)灵活的对客户端方便的进行分组(域)管理,可对一个分组(域)内的被管理对象实施统一管理。管理服务器对客户机的管理策略基于“组”管理,可先建立多个不同管理策略的“组”,可通过菜单操作将档案中的多台客户机从一个组转移到另一个组、从一个组拷贝到多个组。
5 ) 方便灵活的策略对象定义:可以灵活的按照用户需要制定策略触发条件:可根据时间段和时间点定制策略使用或禁止使用的触发条件。并可根据创建区域、自定义组、操作系统、IP 范围和按照条件搜索的设备进行策略分组分发管理。策略也可按照时间定义,可按照日期进行控制,可规定策略生效或失效的时间段,可设定策略的存活时间。
6 ) 支持全网统一升级功能:客户端软件可从互联网自动下载到服务器(或手动下载到服务器升级),服务器端升级后全网客户端软件可自动统一升级。
产品四、移动存储介质使用管理系统
● 移动存储介质数据交换引发的安全问题
移动存储介质,如U 盘、移动硬盘等,因其体积小、容量大等优点,已得到广泛应用。作为数据交换的主要手段之一,移动存储介质正成为数据和信息的重要载体,但是我们也应该看到,移动存储设备在给我们带来极大方便的同时,也给我们带来了不少的安全隐患,主要如下:
1. 涉密计算机接入非涉密移动存储设备;
2. 非涉密计算机使用涉密移动存储设备;
3. 移动存储介质的数据交互审计;
4. 外来移动存储介质随意接入问题;
5. 移动存储介质丢失导致信息泄漏;
6. 移动存储介质的使用信息无法追踪审计问题;
7. 移动存储介质接入区域限制和控制问题;
8. 病毒、恶意代码通过移动存储介质传播问题。
……
● 技术特点及应用
1、分级权限控制
通过对移动存储介质写入两种不同权限及功能的标签,来实现分级权限的控制。并以策略的形式分发给不同的域,实现对指定范围内的终端授权,并对写入标签移动存储介质的访问进行控制。另外,对移动存储介质格式化无法去除标签。
普通标签:写入普通标签后,在管理区域内根据策略的设臵,来限制移动存储介质的读、写功能;如果在管理区域外使用移动存储介质认证,则不限制移动存储介质认证读、写功能。
加密标签:写入加密标签后将普通移动存储介质(U 盘、移动硬盘等)分为二个区域:交换区、保密区。涉密网络可只生成保密区。交换区和保密区启动均需输入独立的密码,数据在二个区存储时均以加密方式存储,这两个区的具体应用如下:
(1)在涉密网络中或高要求的办公网络中,可只生成保密区一个区。该保密区只能在有对应安全策略的主机上通过认证标签后、同时输入正确密码才能访问,同时有安全策略的主机可以根据策略控制未经标签认证的移动存储介质的使用。
(2)在普通办公网络中,可生成交换区、保密区二个区。保密区的使用方法,可与上述涉密网络或高要求的办公网络相同。交换区的使用方法,可以根据用户需要,在内部网络中通过策略限制使用方式,交换区在外网使用时同样要输入密码方可使用,保密区在外网不可见。
2、审计功能完善
1) 提供移动存储介质上所有文件操作的详细记录
包括文件的创建、复制、删除、读写和重命名等操作,具体包括文件名、审计描述、时间、用户名、计算机IP 地址和其他必要的信息。
2) 提供移动存储介质的插入和拔出动作的详细记录
具体包括事件类型、移动存储介质的名称、用户、计算机IP 地址、事件时间等。 系统功能描述
1. 移动存储设备(分设备、网段等)接入认证管理,保障指定设备读写指定移
动存储设备的访问控制管理;
2. 移动存储介质数据读写控制管理;
3. 移动存储介质标签认证管理;
4. 移动存储介质分区(交换区和保密区)管理;
5. 移动存储介质的加密管理,防止保密区的敏感信息外泄;
6. 移动存储介质接入行为审计;
7. 移动存储介质数据交换行为审计管理,可针对文件后缀名等条件;
8. 移动存储介质接入时进行病毒木马检查;
9. 提供详细的文件操作详细审计记录:包括文件的创建、复制、删除、修改和
重命名等操作,(包括文件名、审计描述、时间、用户名、计算机IP 地址和其他必要的信息);
10. 提供详细的移动存储设备的插入和拔出动作的详细记录,具体包括事件类型、
移动存储介质的名称、用户、计算机IP 地址和事件时间。
系统管理构架
北信源移动存储介质使用管理系统和其它系统均采用相同的管理构架,由服务端制订统一的策略,分发给客户端执行。系统有USB 标签制作工具,能够对移动存储介质中的数据进行保护和加密,对移动存储介质进行使用范围授权,访问控制等综合的管理。移动存储介质使用管理系统可以将整个移动存储介质划分成交换区和保密区两部分,保护区需要通过密码认证才可以访问。系统具体使用管理构架如下:
1、系统服务器端:系统管理中心基于web 页面管理方式,管理员登陆和配臵后系统才能运行。能够自动发现网络中的终端计算机,并检测终端计算机是否安装系统客户端程序,管理中心内臵移动存储管理策略中心和报警中心,提供对网络终端的分组管理设臵。
2、系统客户端:安装在终端计算机,接收系统管理中心分发的策略,根据接受策略实时监控接入终端计算机移动存储设备的操作行为和状态,并进行管理或者控制;系统客户端注册以后,即使离开所在网络或不处于任务网络中,仍实时受到移动存储管理策略控制,日志记录于本地,一经连接回网络,则自动上报日志信息给服务器。
3、专用移动存储设备注册工具:移动存储介质经过网管人员注册(包括打标签、设臵访问密码)工具认证后,该移动存储介质才能在网络中使用。使用者在使用时必须输入使用密码后才能使用。
系统以数据为中心,用户作为数据的使用者,主机作为数据的存储者,移动存储介质作为数据的迁移者,在系统范围内均赋予唯一的标识,三者进行相互认证。只有经认证和授权成功后,才保证合法的用户在合法的机器上访问合法移动存储介质上的数据,并形成详尽的日志供审计。
产品五 网络接入控制管理系统
● 产品背景
网络接入控制管理系统可以保护整个企业内部网络,包括可管理的(企业台式机、手提电脑、服务器)以及不可管理的(外部访客、合作伙伴、客户)终端。能够强制提升企业网络终端的安全,保证企业网络保护机制不被间断,配臵正确无误,以及补丁拥有最新的时效性,使网络安全得到更有效提升。与此同时基于设备接入控制网关,还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。
通过网络接入控制管理系统可以满足企业要求,将设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外;能够覆盖到企业网络的每一个角落,甚至是当使用者拿着他们的移动设备离开企业网络时,仍能有效的提供设备接入控制的执行。网络接入控制管理系统针对所有的网络架构工作,并且不必进行昂贵的网络架构改造。
● 系统功能描述
1) 802.1x 接入认证管理;
2) 未注册终端接入访问区域限制(vlan 限制);
3) 未安装杀毒软件等必备软件自动安装下载管理;
4) 未打补丁终端接入限制;
5) 运行不可信进程、服务、注册表终端接入限制;
6) 未达到预定义安全级别的终端接入访问区域限制;
7) 自定义终端安全接入必须的桌面运行安全环境。
系统管理构架
北信源网络接入控制管理系统由以下几部分组成:
1) 策略服务器(VRVEDP Server):系统策略管理中心,提供系统的参数配臵和安全策略管理。
2)认证客户端(VRVEDP-Agent):安装在终端计算机,根据用户名和密码向认证服务器发起认证,配合交换机认证系统,实现正常工作区、访客隔离区、安全修复区的自动切换。
3)Radius 认证服务器:接收客户端认证请求信息数据包并进行验证。
4)Radius 认证系统 (交换机) :可网管支持802.1x 的网络设备(交换机),接收认证客户端的认证请求数据包与Radius 认证服务器完成认证过程。
5)可选配强制注册网关(硬件):在不完全支持802.1x 的网络中可选装强制注册网关,完成未注册计算机访问网页时被进行DNS 重定向或HTTP 重定向,以达到强制注册目的。
图-1 网络接入访问控制
产品六 存储介质信息超级粉碎系统
● 产品背景
针对用户当前存在的数据外泄问题,北信源公司本着“安全、便捷、可靠”的设计理念,依据《信息安全等级保护指南》要求;通过采用合理的方式对计算机介质(包括磁带、磁盘、打印结果和文档)进行信息消除或销毁处理,防止介质内的敏感信息泄露。从用户的实际需求出发,采用人性化设计原则,着力体现和顺应安全产品的发展趋势,将先进的文件粉碎技术同步应用于北信源公司的产品研发与生产中,提供了完整可靠的数据粉碎方案。
● 功能概述
系统能够保证存储在主机上的重要数据的安全,通过反复对文件磁道的改写和重写,对主机上用户想要删除的数据文件进行不可恢复的彻底粉碎,最终达到不可恢复的粉碎的目的。
本系统采用数据防护算法和硬件验证技术,避免了存储数据的非法存取和意外泄漏,具有以下功能:
1)文件粉碎:可对单个文件(文件夹)及多个文件(文件夹)进行彻底粉碎。
2)分区粉碎:可对主机中所选择的分区进行不可恢复的彻底粉碎。
3)磁盘粉碎:可对主机中所选择的磁盘进行不可恢复的彻底粉碎。
同时,针对用户需求,本系统还具有以下特点:
1)易用性:本系统界面友好易懂、操作简单。
2)安全性:被粉碎的文件不可恢复,层与层之间传递的命令,而不是数据,不会引起数据泄露。
3)防恢复:粉碎过的数据经反复擦除重写不会在硬盘上留下任何痕迹。 ● 系统管理构架
系统分为用户软件层和核心层:
用户软件层,主要是给用户提供一个操作环境,用户可以在该操作环境下进行文件粉碎的表层工作。
核心层主要是继承用户软件层的接口,进行文件粉碎的核心操作。
产品七 安全U 盘(专利技术)
1) 遵循标准USB 设备的使用流程,所有安全功能对用户透明;
2) 采用专用控制模块防止U 盘介质非授权格式化;
3) 结合北信源移动存储介质使用管理系统,可实现多种方式的接入控制,具体详见移动存储介质使用管理系统相关介绍;
4) 从原理上杜绝病毒自动传播(无法利用操作系统直接对U 盘存储区文件进行读写) ,防止病毒拷入U 盘导致病毒传播;
5) 支持基于角色的细粒度强访问控制机制,采用可定制的数据访问和审计策略,提供数据的多级多域安全防护;
6) 采用安全容器技术,实现信息的存储和传输安全,保证信息内容本身的应用审计安全;
7) 可对信息的分发路径进行全程跟踪,结合自主采集的多维主机指纹采集技术,从而对通过U盘的数据交换行为进行全方位的细粒度审计;
8) 审计信息记录在U 盘本地的审计区,以供分析;
9) 支持设备和主机的双向认证,防止主观和客观的数据非法访问;
10) 一体化管理平台,便于U 盘集中分发和管理。
● 加密
1) 加密算法:标准版本采用AES(256bit)高强度对称加密算法,根据需要也可支持用户定制的加密算法和芯片,支持多种加密模式;
2) TTDS :采用扇区映射方式进行二级抽象,完全打乱文件的存储位臵,防止结构性破解。
产品八 接入认证网关
● 功能概述
北信源接入认证网关是一款部署简便、使用灵活的网络准入/准出控制产品。使网络管理员能在允许用户进入网络前、访问外部网络前,对有线、无线和远程用户及其机器进行验证、授权、评估和修补。能够阻止未授权计算机越权访问网络资源。 ● 系统管理构架
北信源接入认证网关整体解决方案包括三个组件:
北信源接入网关—根据终端注册及策略情况提供访问权限。在用户未注册前,他们均被禁止访问可信网络,或进行HTTP 、DNS 等重定向强制注册。
区域管理器—管理服务器、检查规则及策略,基于Web 的中央控制台。
北信源客户端程序—客户端程序代理、执行安全修复、身份认证功能。
● 系统功能描述
北信源接入认证网关与北信源内网安全管理系统结合可以完成网络终端注册和网络访问授权等方案,使得未注册客户端无法访问受限网络。使网络管理员能在允许用户进入网络前,对用户及其机器进行验证、授权、评估和修补。该安全产品能够:
1) 对未注册终端进行访问网络权限控制,可进行HTTP 、DNS 等重定向强制注册;
2) 确认用户、用户设备和他们在网络中的身份;
3) 对于终端设备网络连接流量进行控制;
4) 北信源接入认证网关能向通过局域网、无线局域网、广域网或虚拟专用网连接的设备应用网络准入控制。
产品具有为所有运行环境执行策略的独特能力,无需其他独立产品或模块。 ● 功能特点
● 多种身份验证服务
北信源接入认证网关具备终端特征验证、用户名口令验证、混合身份验证等多种身份验证机制。管理员通过策略方便设定。能维护具有不同许可级别的用户群体。
● 集中管理
北信源接入认证网关基于Web 的管理控制台允许管理员为每个用户定义所需的策略类型,一个区域管理器可以管理多个接入网关。
● 灵活的部署模式
北信源接入认证网关提供了最广泛的部署模式,能适用于任意客户网络。客户能将该产品作为虚拟或实际IP 网关,部署在边缘或中央,提供第二层或第三层客户端接入,或部署在DNS 服务器前作为强制注册用的DNS 网关。
产品九 Intel vPro (AMT) 管理支持系统 ● 功能概述
北信源Intel vPro 平台主动管理技术全面支持英特尔博锐技术平台系列产品。使用主动管理技术对远程设备进行资产管理、安全控制、事件监控以及远程实时维护,并在应用主动管理技术之前进行专门针对于vPro 设备的网络接入认证,全面解决新技术应用带来的网络安全问题。
● 系统功能描述
北信源Intel vPro 平台主动管理技术以安全为基础、以主动管理为核心,将主动管理技术与北信源其它终端安全产品紧密结合,拓展了北信源其它终端安全产品对于远程设备和处于带外状态的设备的管理功能。其主要技术用途及特点如下:
1)vPro 设备的入网管理;
2)远程操控;
3)资产管理;
4)事件报警及订阅;
5)芯片级网络阻断;
6)自动蠕虫病毒防御;
7)代理进程监控;
8) 阻断策略的制定;
9) 远程BIOS 故障诊断;
10) 远程部署操作系统;
11) 带外补丁分发;
12) 零接触自动部署方案。
产品十 信息安全管理通告平台
在上述系统功能、构架和统一策略中心基础上,北信源终端安全管理产品还可以扩展建立信息安全管理通告平台(为级联大型网络量身定制),提供统一的内部网络安全信息公布平台。
图-1 信息安全管理通告平台
信息安全管理通告平台是为大型分布式网络安全管理所设计,该平台以图形化的方式汇总多级北信源终端安全管理系统的安全信息,统一监测与查询网络全部注册设备的安全状态及运行信息,其主要功能有:
1)安全预警功能:根据实时监测到的网络中所有节点设备的安全信息,预警网络安全事件发生(病毒、蠕虫、木马等事件)。
2)安全监测功能:根据策略中心设臵的安全策略,实时显示安全策略的应用状态与执行结果,如设备变更、流量统计、违规信息、IP 绑定变化、终端运维异常、未安装杀毒软件、漏打补丁等。
3)安全管理功能:统一发布管理中心的相关安全管理规范、安全组织体系、安全宣传资料以及最新安全动态等信息。
4)违规信息通报功能:针对整个网络中违规的客户端进行全网通报,并下发通知。
5)安全服务功能:提供补丁下载、病毒库下载以及一些常用的工具下载。
产 品 资 质
全国人大、全国政协现场工作保障证
业界权威机构认定“北信源内网安全及补丁分发管理产品”为“中国信息产业终端安全管理及审计市场占有率最高产品”
典 型 用 户
公安部
入围中央政府采购 全国人大
中共中央宣传部 中共中央组织部 中联部
农业部
国土资源部
全国国税系统
国家税务总局
国家统计局农普项目 国家工商行政管理总局 国家烟草专卖局 国家质检总局
国家发改委物价局 中科院
银监会
电监会
国家电网
国家环保总局核安全中心 国防科工委
中国人民解放军军事科学院 北方计算中心
中电集团
中国核工业集团公司 中国原子能工业公司 中国一航
中航二集团办公厅 中国国际航空
中信21世纪(中国)信息系统有限公司 中国电子口岸数据中心 中国红十字会总会 中国医药集团
中国气象科学研究院 中国纺织科学研究院 中国证券报
陕西电信
福建电信
贵州电信
陕西移动通信
内蒙古移动通信
中国联通湖南分公司
银河证券
中信证券
海通证券
招商证券
银华基金
徽商银行
大连银行
胜利油田
辽河油田
大庆油田采油厂
中国石油西气东输管道公司
中电投霍林河煤电集团
中国长江电力
北方联合电力集团公司
中国华能财务有限责任公司
山西阳煤集团
福建省龙岩电业局
北京首钢
石家庄钢铁
河南新郑烟草
黑龙江省烟草公司
广西中烟
北京市政府
北京市科委
北京朝阳区政府
上海市静安区政府
北京市宣武区财政局
北京住房公积金管理中心
河北省发改委
广东省农业厅
深圳海关
河北石家庄市政法网
天津市(全市)高法
海军总医院
中国人民解放军第302医院
中国人民解放军306医院
中国中医研究院广安门医院
北京紫竹药业
国际知名化妆品牌欧莱雅(中国) 有限公司重庆长安集团
中国恩菲工程技术有限公司
江苏省高速公路
济南市铁路局
铁道部经济规划研究院
上海市航天动力机械研究所
山西省电力勘测设计院
天津市市政工程设计研究院
广州市市政工程设计研究院
中国劳动关系学院
北京教育考试学院
北京石景山区教育信息中心
北京宣武区教委信息中心
北京门头沟教委信息中心
广西电视台
以上用户仅列举部分大型用户和某些行业的典型用户,因用户数量众多,在此不一一列举。
北信源内网管理安全及补丁分发系统已部署数千万客户端,具有超强稳定性、兼容性,中国终端安全管理及审计市场占有率第一。
31
完整安全 提升价值 推进效益 ——构筑坚强有力的终端安全管理平台
● 内部网络面临的安全问题
提起网络安全,人们自然就会想到网络边界安全,但实际情况是网络的大部分安全风险均来自于内部。常规安全防御理念往往局限在网关级别、网络边界(防火墙、IDS 、漏洞扫描)等方面,重要的安全设施大致集中于机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。相反,来自网络内部计算机终端的安全威胁却是众多安全管理人员所普遍面临的棘手问题。
自2003年来,以SQL 蠕虫、“冲击波”、“震荡波”、“熊猫烧香”等病毒的连续性爆发为起点,到计算机文件泄密、口令泄漏、硬件资产丢失、服务器系统瘫痪等诸多终端安全事件在各地网络中频繁发生,让政府机关和企业单位的网络管理人员头痛不已。总结起来,政府机关和企业单位的内部网络管理大致面临着以下一些常见问题:
⏹ 如何发现终端设备的系统漏洞并自动分发补丁; ⏹ 如何有效解决移动存储介质使用管理问题; ⏹ 如何有效解决终端随意接入网络问题; ⏹ 如何防止U 盘造成的病毒传播和信息泄漏; ⏹ 如何防范内网设备非法外联;
⏹ 如何管理终端资产,保障网络设备正常运行; ⏹ 如何在全网制订统一的安全策略;
⏹ 如何及时发现网络中占用带宽最大的终端; ⏹ 如何方便地进行远程点对点维护; ⏹ 如何防范内部涉密重要信息的泄露;
⏹ 如何对原有终端应用软件进行统一监控、管理;
⏹ 如何快速有效地定位网络中病毒、蠕虫、黑客的引入点,及时、准确地切断
安全事件发生点和网络;
⏹ 如何构架功能强大的统一网络安全报警处置平台,进行安全事件响应和事件
查询,全面管理网络资源。 ………….
这些终端安全隐患随时随地都可能威胁到用户网络的正常运行。针对如上系列问题北信源提供领先业界的终端安全管理产品及应用解决方案。
终端安全管理系列
产品架构
● 产品系列
网络终端安全是一个综合的系统问题,涉及管理计算机本身、计算机应用、计算机操作者、计算机使用单位管理规范等多个方面。
北信源通过对近年来国内外终端安全管理技术和发展趋势的研究,将政府和企业内部网络终端安全管理概括的从终端状态、行为、事件三个方面来进行防御,管理手段大致包括如下内容:
图-1 系列产品组成图
北信源终端安全管理产品采用C/S与B/S混合模式设计,支持分布式部署,并具有模块化软件定制、支持标准API 、无缝功能扩展与升级等优点。产品针对政府、金融证券、电信、能源以及各大中型企业等网络专门研制,已通过国家保密局、公安部、国家信息安全评测中心、解放军信息安全评测中心、质量管理体系认证等多项权威认证。经业界权威机构CCID 统计北信源终端安全管理产品在中国终端安全管理及审计市场占有率持续保持第一。
北信源终端安全管理产品遵循网络防护和端点防护并重理念,对网络安全管理人员在网络管理、终端管理过程中所面临的种种问题提供解决方案,实现内部网络终端的可控管理,并能够支持多级级联广域网构架,达到最佳的管理效果。
北信源终端安全管理产品强化了对网络计算机终端状态、行为以及事件的管理,它提供了防火墙、IDS 、防病毒系统、专业网管软件所不能提供的防护功能,对它们管理的盲区进行监控,扩展成为一个实时的可控内网管理平台,并能够同其它安全设备进行安全集成和报警联动。
产品部署和管理构架
局域网构架:对于一般网络(例如1个C 类地址或若干个C 类地址的局域网范围),可使用一套本系统软件,集中管理所属区域内的所有设备。
广域网构架:对于大规模的多个局域网或者跨地域广域网(包括基于国家、省、市、县等多级管理模式的网络结构),可使用本系统提供的多区域级联集中管理构架,即一个或多个网段各拥有一套独立的北信源终端安全管理产品的同时,将本级的统计和报警信息转发给上级管理系统,上一级管理人员对整个网络的状况也能够完全掌握。(图-2)
图-2 多级级联集中管理构架
● 系列产品统一策略管理中心
北信源终端安全管理产品采用统一策略管理中心实现对内部网络终端的统一安全管理。策略管理中心内臵终端安全防护需要的所有安全管理参数,提供对计算机终端的安全规则配臵、安全功能策略开启/关闭、安全策略执行范围/周期设定等一系列安全措施的管理。
北信源终端安全管理产品内臵安全策略分为全局策略、本地策略、备份策略三种,管理员通过属性设臵决定其类型。(图-3)
图-3 系列产品统一策略管理中心
● 系统自身安全
1、分级管理:系统支持对管理员分级管理,实现不同管理员管理不同内容, 可分为授权、管理和审计等多种角色划分,具有安全性高、可靠性强的特点,适合集中授权、多角色参与监控的管理模式。
2、通信保护:系统的组件间通信时,数据传输是经过加密的,客户端和服务器端相互通信使用双向认证机制,防止已安装同类客户端的非本网络计算机非法进入网络,
同时也防止模拟的假客户端和服务器进行通信。
3、客户端软件强保护机制:系统的客户端系统具有自我防护机制,防止用户随意停止、卸载。
4、服务器安全设计:服务器系统具备保护服务器功能。保证管理系统服务器端使用的安全性,保证其受到恶意修改IP 地址的方式攻击时仍可正常工作, 网络中出现恶意修改成与管理服务器相同属性(如相同的IP 地址、相同的MAC 地址等)的机器时,出现IP 地址或MAC 地址冲突等现象时,管理服务器将不会被阻断出网(即不会出现地址冲突的现象),只有发起恶意攻击的设备才会被自动阻断,不会影响管理服务器的正常管理。
5、提供系统审计员、系统管理员、系统操作员三权分立的权限管理体系。 6、系统日志:系统提供运行审计和操作审计机制,保证系统的稳定运行。
系统所需软硬件配置
系统管理服务器:
软件配臵:Windows2000 Server(SP4)或以上操作系统(安装IIS ),MS SQL SERVER2000(SP4)或更新版本数据库。
建议硬件配臵:建议使用专业服务器或高档PC 机,具体配臵为PIV 2.4G 以上CPU ,2G 以上内存,80G 以上硬盘。
北信源终端安全管理产品管理中心具有较强的负载能力(每台服务器最大支持15000台终端),在管理数量较大的网络终端时(如数千台终端),为保障系统效率,应使用4G 或4G 以上的内存。
产 品 简 介
产品一 内网安全管理系统
北信源内网安全管理系统可分为五个软件包组合销售,全方位地为网络用户提供安全管理功能。这五个软件包具体为:基本产品包、终端桌面管理产品包、终端安全管理产品包、网络主机运维产品包、非法外联管理产品包。
基本产品包
基本产品包主要包含终端基本管理、IT 资产管理、事件报表及报警处臵、第三方接口联动(可扩展)等功能。
1. 终端基本管理 1) 终端注册管理 2) IP 和MAC 绑定管理
3) 禁止修改网关、禁用冗余网卡管理 4) 未注册终端拒绝入网管理(软阻断技术) 2.IT 资产管理 1) 硬件资产管理 2) 软件资产管理
3) 软、硬件设备信息变更管理 3. 事件报表及报警处置
1) 终端信息数据统计分类管理 2) 图形化信息数据输出管理
3) 用户自定义组态报表输出及查询管理 4) 报警结果处臵管理 5) 安全事件源远程阻断管理 6) 联动处臵接口管理 4. 第三方接口联动(可扩展) 1) PKI/CA认证联动接口
2) 防火墙联动接口 3) 网管软件联动接口 4) 安全管理平台联动接口 5) 其它第三方接口
● 终端桌面管理产品包
1) 终端流量管理 2) 进程运行黑白名单控制 3) 进程保护管理 4) 进程执行汇总 5) 终端服务管理 6) 软件黑白名单控制 7) 软件安装汇总 8) 终端消息推送 9) 远程协助 10) 外设及端口控制 11) 垃圾文件清理 12) 终端点对点管理 13) 系统自动关机管理 14) 终端时间同步管理
● 终端安全管理产品包
1) 桌面密码权限管理 2) 终端统一防火墙 3) 终端杀毒软件管理 4) 终端安全等级管理 5) IE 安全设臵 6) 恶意软件免疫 7) 注册表监控/保护 8) 终端在线/离线策略管理
● 网络主机运维产品包
1) 运行资源监控 2) 流量异常监控 3) 进程异常监控 4) 客户端文件备份
● 非法外联管理产品包
1) 网络内部终端非法外联互联网行为监控 2) 网络内部终端非法接入其它网络行为监控 3) 离网终端非法外联互联网行为监控 4) 非法外联行为告警和网络锁定 5) 未注册终端非法接入内网行为监控 6) 非法外联行为取证
产品二 补丁及文件分发管理系统
● 产品背景:
近些年来,蠕虫病毒和木马病毒的频繁爆发给全球网络运行乃至经济都造成了严重影响,之所以这些蠕虫能造成如此危害,是因为利用了操作系统或者应用程序的漏洞。补丁的安装普遍会遇到以下的问题:
●
普通用户水平和知识素质有限,造成了计算机系统漏洞经常不能得到及时的修补,甚至长期不修补;
● ●
网络维护人员每台机器安装补丁耗时巨大;
物理隔离网络用户必须使用移动存储设备从外网将补丁导入并安装,麻烦且带来信息泄漏和病毒传入的风险;
● ●
每个终端补丁安装均从外网下载补丁造成网络资源消耗过大; 用户随意下载补丁导致补丁来源不统一带来的风险。
消除漏洞的根本办法就是安装软件补丁,每一次大规模蠕虫病毒的爆发,都提醒人们要居安思危,打好补丁,做好防范工作——补丁越来越成为安全管理的一个重要环节。黑客技术的不断变化和发展,留给管理员的时间将会越来越少,在最短的时间内安装补丁将会极大地保护网络和其所承载的机密,同时也可以使更少的用户免受蠕虫的侵袭。对于机器众多的用户,繁杂的手工补丁安装已经远远不能适应大规模网络的管理,必须依靠新的技术手段来实现对操作系统的补丁自动修补。
因此,如何利用有效技术手段来及时、持续、稳定的安装计算机补丁,是所有网络安全管理人员、信息安全领导决策人员亟需解决的问题。
● 系统功能概述
北信源补丁分发管理系统是北信源公司在为国家各大部委机关、各大行业网络用户进行病毒安全服务、总结安全运营保障经验的基础上,分析当前网络客户端实际安全管理要求研发的,系统支持推、拉两种方式自动下载补丁。整个补丁管理运行平台构架是:通过北信源外网补丁下载服务器及时从补丁厂商网站获取最新补丁;补丁安全测试后,通过补丁分发管理中心服务器对网络用户进行分发安装;补丁安装支持自动和手动两种方式。
● 系统功能描述:
1) 互联网补丁自动下载; 2) 补丁完整性和安全性测试; 3) 补丁增量更新导入; 4) 补丁库建立和分类; 5) 终端漏洞自动检测;
6) 补丁策略制定分发和自动分发; 7) 终端补丁流量控制和代理转发技术; 8) 补丁自动修复及查询统计; 9) 漏洞情况汇总统计; 10) 补丁安装情况汇总统计; 11) 普通文件分发及文件自动执行; 12) 文件分发安装结果统计。
● 网络应用
●
直接连接互联网的网络:直接通过补丁下载服务器将补丁下载至补丁分发服务
器。
●
物理隔离网络:在互联网连通网络上安装补丁下载服务器模块,通过补丁下载
增量分离工具,区分内网已导入和未导入的补丁,将最新补丁导入内网补丁分发服务器。
● 系统组件
北信源补丁分发管理系统依据客户端注册优势,提供补丁检测、安装等远程功能。客户端访问网络WEB 站点,根据页面自动弹出提示进行注册,注册程序将在系统中实时运行,检测补丁安装状况,并上报给补丁控制中心。
补丁控制中心提供补丁策略制订、补丁文件直接分发,补丁测试提供对软件厂商新发布补丁的前期测试,严格测试后才可以配发到网络客户端,保障客户端补丁安装安全性。
系统可按照网段、补丁类型进行补丁配臵分发,支持漏打补丁、特殊补丁的推送下发;通过自定义分网段、分区域的补丁下载升级设定策略以及转发代理技术,避免造成网络堵塞,合理控制网络带宽。
. . . . . .
动态下载
图-1 补丁管理系统功能构架
● 系统构架
该系统贴近用户对网络、网络终端管理的要求,适用于局域网、广域网等多种构架。
标准构架(小型网络):在局域网中全面部署应用北信源补丁分发管理系统,包括各种功能模块:补丁下载、补丁分析、补丁策略分发制订、文件分发、客户端补丁监测、漏洞补丁扫描、补丁分发控制台等。
级联构架(大型网络):对于网络分布广泛、规模庞大,并且拥有多个网络管理中心的广域网,北信源补丁分发管理系统支持在标准构架上建立多级级联模式,实现下级网络补丁管理系统从上级补丁管理系统自动获取补丁,以及相关补丁审计、系统组件升级功能。
产品三 主机安全监控强审计系统
● 产品背景
随着信息安全技术和理念的发展,安全监控的关注点已经从设备转向对于设备使用者的行为,用户对于设备使用人行为审计和行为控制的需求越来越明显,由此国内外均已有相关的政策和法规陆续出台,国内的《涉及国家秘密的信息系统分级保护技术要求》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》和国外的《萨班斯·奥克斯利法案》也均明确的提出了对主机行为的监控和审计要求。
北信源主机安全监控强审计系统通过技术手段使各种管理条例落实,增强用户的安全和保密意识,保护内部的信息不外泄,适用于政务、军队军工、金融等各个保密要求性较高的企事业单位。---针对行业特点设计
● 系统功能描述
1 )上网访问行为审计和控制:
● 以黑白名单的方式对用户的网页访问行为进行控制;
● 可对用户上网访问的网页等进行审计和记录。
2 )文件保护及审计:系统提供对终端的系统、软件和共享等目录中的文件的保护功能,设定访问、删除、修改权限;支持对设定目录文件的操作审计,包括文
件创建、打印、读写、复制、改名、删除、移动等的记录,同时将信息上报管理信息库供查询。
3 )网络文件输出审计:对主机通过共享文件等方式进行的网络文件输出行为进行审计和记录。
4 )邮件审计:根据策略对主机发送的邮件及其附件进行控制审计和记录。 5 ) 打印审计:根据策略对主机打印行为进行监控审计,从而防止打印输出结果被非授权查看和获取。
6 ) 文件涉密信息检查:根据用户自主设定的涉密信息查询条件,设定对指定目录或盘符下的指定类型文件进行内容检查,检查其是否包含涉密内容,系统支持进行包含“或”、“与”等多种逻辑的组合监测和模糊监测。
7 ) 用户权限审计:审计用户权限更改及操作系统内用户增加和删除。
8 ) 各自独立的权限分配体系:提供系统管理员、系统审核员(安全员)和系统审计员和一般操作员权限,分别进行不同的管理操作。
9 ) 系统日志审计:不同权限管理员在Web 控制台对终端用户的日志(系统日志、应用日志、安全日志等)进行远程读取查看。
管理功能描述
1 ) 报表管理:对审计结果提供详实的报表,并可直接导出为Excel 等格式的文件。
2 ) 审计结果处理:用户可针对对审计结果进行如用户端警告、报警、断网、终止进程等不同的处理。
3 ) 级联管理功能:可进行多级级联管理,支持多级管理方式,上级管理区域可进行统一的状态和报警信息,各级子管理节点能够与根管理节点进行策略同步,各级管理员管理辖区内的有关事件。系统可根据情况需要将策略下发至本区域、下一级区域和所有区域。
4 ) 客户端分组(域)管理功能:按照多种方式(如按操作系统、已划定区域、IP 区域或用户自定义、所有设备等)灵活的对客户端方便的进行分组(域)管理,可对一个分组(域)内的被管理对象实施统一管理。管理服务器对客户机的管理策略基于“组”管理,可先建立多个不同管理策略的“组”,可通过菜单操作将档案中的多台客户机从一个组转移到另一个组、从一个组拷贝到多个组。
5 ) 方便灵活的策略对象定义:可以灵活的按照用户需要制定策略触发条件:可根据时间段和时间点定制策略使用或禁止使用的触发条件。并可根据创建区域、自定义组、操作系统、IP 范围和按照条件搜索的设备进行策略分组分发管理。策略也可按照时间定义,可按照日期进行控制,可规定策略生效或失效的时间段,可设定策略的存活时间。
6 ) 支持全网统一升级功能:客户端软件可从互联网自动下载到服务器(或手动下载到服务器升级),服务器端升级后全网客户端软件可自动统一升级。
产品四、移动存储介质使用管理系统
● 移动存储介质数据交换引发的安全问题
移动存储介质,如U 盘、移动硬盘等,因其体积小、容量大等优点,已得到广泛应用。作为数据交换的主要手段之一,移动存储介质正成为数据和信息的重要载体,但是我们也应该看到,移动存储设备在给我们带来极大方便的同时,也给我们带来了不少的安全隐患,主要如下:
1. 涉密计算机接入非涉密移动存储设备;
2. 非涉密计算机使用涉密移动存储设备;
3. 移动存储介质的数据交互审计;
4. 外来移动存储介质随意接入问题;
5. 移动存储介质丢失导致信息泄漏;
6. 移动存储介质的使用信息无法追踪审计问题;
7. 移动存储介质接入区域限制和控制问题;
8. 病毒、恶意代码通过移动存储介质传播问题。
……
● 技术特点及应用
1、分级权限控制
通过对移动存储介质写入两种不同权限及功能的标签,来实现分级权限的控制。并以策略的形式分发给不同的域,实现对指定范围内的终端授权,并对写入标签移动存储介质的访问进行控制。另外,对移动存储介质格式化无法去除标签。
普通标签:写入普通标签后,在管理区域内根据策略的设臵,来限制移动存储介质的读、写功能;如果在管理区域外使用移动存储介质认证,则不限制移动存储介质认证读、写功能。
加密标签:写入加密标签后将普通移动存储介质(U 盘、移动硬盘等)分为二个区域:交换区、保密区。涉密网络可只生成保密区。交换区和保密区启动均需输入独立的密码,数据在二个区存储时均以加密方式存储,这两个区的具体应用如下:
(1)在涉密网络中或高要求的办公网络中,可只生成保密区一个区。该保密区只能在有对应安全策略的主机上通过认证标签后、同时输入正确密码才能访问,同时有安全策略的主机可以根据策略控制未经标签认证的移动存储介质的使用。
(2)在普通办公网络中,可生成交换区、保密区二个区。保密区的使用方法,可与上述涉密网络或高要求的办公网络相同。交换区的使用方法,可以根据用户需要,在内部网络中通过策略限制使用方式,交换区在外网使用时同样要输入密码方可使用,保密区在外网不可见。
2、审计功能完善
1) 提供移动存储介质上所有文件操作的详细记录
包括文件的创建、复制、删除、读写和重命名等操作,具体包括文件名、审计描述、时间、用户名、计算机IP 地址和其他必要的信息。
2) 提供移动存储介质的插入和拔出动作的详细记录
具体包括事件类型、移动存储介质的名称、用户、计算机IP 地址、事件时间等。 系统功能描述
1. 移动存储设备(分设备、网段等)接入认证管理,保障指定设备读写指定移
动存储设备的访问控制管理;
2. 移动存储介质数据读写控制管理;
3. 移动存储介质标签认证管理;
4. 移动存储介质分区(交换区和保密区)管理;
5. 移动存储介质的加密管理,防止保密区的敏感信息外泄;
6. 移动存储介质接入行为审计;
7. 移动存储介质数据交换行为审计管理,可针对文件后缀名等条件;
8. 移动存储介质接入时进行病毒木马检查;
9. 提供详细的文件操作详细审计记录:包括文件的创建、复制、删除、修改和
重命名等操作,(包括文件名、审计描述、时间、用户名、计算机IP 地址和其他必要的信息);
10. 提供详细的移动存储设备的插入和拔出动作的详细记录,具体包括事件类型、
移动存储介质的名称、用户、计算机IP 地址和事件时间。
系统管理构架
北信源移动存储介质使用管理系统和其它系统均采用相同的管理构架,由服务端制订统一的策略,分发给客户端执行。系统有USB 标签制作工具,能够对移动存储介质中的数据进行保护和加密,对移动存储介质进行使用范围授权,访问控制等综合的管理。移动存储介质使用管理系统可以将整个移动存储介质划分成交换区和保密区两部分,保护区需要通过密码认证才可以访问。系统具体使用管理构架如下:
1、系统服务器端:系统管理中心基于web 页面管理方式,管理员登陆和配臵后系统才能运行。能够自动发现网络中的终端计算机,并检测终端计算机是否安装系统客户端程序,管理中心内臵移动存储管理策略中心和报警中心,提供对网络终端的分组管理设臵。
2、系统客户端:安装在终端计算机,接收系统管理中心分发的策略,根据接受策略实时监控接入终端计算机移动存储设备的操作行为和状态,并进行管理或者控制;系统客户端注册以后,即使离开所在网络或不处于任务网络中,仍实时受到移动存储管理策略控制,日志记录于本地,一经连接回网络,则自动上报日志信息给服务器。
3、专用移动存储设备注册工具:移动存储介质经过网管人员注册(包括打标签、设臵访问密码)工具认证后,该移动存储介质才能在网络中使用。使用者在使用时必须输入使用密码后才能使用。
系统以数据为中心,用户作为数据的使用者,主机作为数据的存储者,移动存储介质作为数据的迁移者,在系统范围内均赋予唯一的标识,三者进行相互认证。只有经认证和授权成功后,才保证合法的用户在合法的机器上访问合法移动存储介质上的数据,并形成详尽的日志供审计。
产品五 网络接入控制管理系统
● 产品背景
网络接入控制管理系统可以保护整个企业内部网络,包括可管理的(企业台式机、手提电脑、服务器)以及不可管理的(外部访客、合作伙伴、客户)终端。能够强制提升企业网络终端的安全,保证企业网络保护机制不被间断,配臵正确无误,以及补丁拥有最新的时效性,使网络安全得到更有效提升。与此同时基于设备接入控制网关,还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。
通过网络接入控制管理系统可以满足企业要求,将设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外;能够覆盖到企业网络的每一个角落,甚至是当使用者拿着他们的移动设备离开企业网络时,仍能有效的提供设备接入控制的执行。网络接入控制管理系统针对所有的网络架构工作,并且不必进行昂贵的网络架构改造。
● 系统功能描述
1) 802.1x 接入认证管理;
2) 未注册终端接入访问区域限制(vlan 限制);
3) 未安装杀毒软件等必备软件自动安装下载管理;
4) 未打补丁终端接入限制;
5) 运行不可信进程、服务、注册表终端接入限制;
6) 未达到预定义安全级别的终端接入访问区域限制;
7) 自定义终端安全接入必须的桌面运行安全环境。
系统管理构架
北信源网络接入控制管理系统由以下几部分组成:
1) 策略服务器(VRVEDP Server):系统策略管理中心,提供系统的参数配臵和安全策略管理。
2)认证客户端(VRVEDP-Agent):安装在终端计算机,根据用户名和密码向认证服务器发起认证,配合交换机认证系统,实现正常工作区、访客隔离区、安全修复区的自动切换。
3)Radius 认证服务器:接收客户端认证请求信息数据包并进行验证。
4)Radius 认证系统 (交换机) :可网管支持802.1x 的网络设备(交换机),接收认证客户端的认证请求数据包与Radius 认证服务器完成认证过程。
5)可选配强制注册网关(硬件):在不完全支持802.1x 的网络中可选装强制注册网关,完成未注册计算机访问网页时被进行DNS 重定向或HTTP 重定向,以达到强制注册目的。
图-1 网络接入访问控制
产品六 存储介质信息超级粉碎系统
● 产品背景
针对用户当前存在的数据外泄问题,北信源公司本着“安全、便捷、可靠”的设计理念,依据《信息安全等级保护指南》要求;通过采用合理的方式对计算机介质(包括磁带、磁盘、打印结果和文档)进行信息消除或销毁处理,防止介质内的敏感信息泄露。从用户的实际需求出发,采用人性化设计原则,着力体现和顺应安全产品的发展趋势,将先进的文件粉碎技术同步应用于北信源公司的产品研发与生产中,提供了完整可靠的数据粉碎方案。
● 功能概述
系统能够保证存储在主机上的重要数据的安全,通过反复对文件磁道的改写和重写,对主机上用户想要删除的数据文件进行不可恢复的彻底粉碎,最终达到不可恢复的粉碎的目的。
本系统采用数据防护算法和硬件验证技术,避免了存储数据的非法存取和意外泄漏,具有以下功能:
1)文件粉碎:可对单个文件(文件夹)及多个文件(文件夹)进行彻底粉碎。
2)分区粉碎:可对主机中所选择的分区进行不可恢复的彻底粉碎。
3)磁盘粉碎:可对主机中所选择的磁盘进行不可恢复的彻底粉碎。
同时,针对用户需求,本系统还具有以下特点:
1)易用性:本系统界面友好易懂、操作简单。
2)安全性:被粉碎的文件不可恢复,层与层之间传递的命令,而不是数据,不会引起数据泄露。
3)防恢复:粉碎过的数据经反复擦除重写不会在硬盘上留下任何痕迹。 ● 系统管理构架
系统分为用户软件层和核心层:
用户软件层,主要是给用户提供一个操作环境,用户可以在该操作环境下进行文件粉碎的表层工作。
核心层主要是继承用户软件层的接口,进行文件粉碎的核心操作。
产品七 安全U 盘(专利技术)
1) 遵循标准USB 设备的使用流程,所有安全功能对用户透明;
2) 采用专用控制模块防止U 盘介质非授权格式化;
3) 结合北信源移动存储介质使用管理系统,可实现多种方式的接入控制,具体详见移动存储介质使用管理系统相关介绍;
4) 从原理上杜绝病毒自动传播(无法利用操作系统直接对U 盘存储区文件进行读写) ,防止病毒拷入U 盘导致病毒传播;
5) 支持基于角色的细粒度强访问控制机制,采用可定制的数据访问和审计策略,提供数据的多级多域安全防护;
6) 采用安全容器技术,实现信息的存储和传输安全,保证信息内容本身的应用审计安全;
7) 可对信息的分发路径进行全程跟踪,结合自主采集的多维主机指纹采集技术,从而对通过U盘的数据交换行为进行全方位的细粒度审计;
8) 审计信息记录在U 盘本地的审计区,以供分析;
9) 支持设备和主机的双向认证,防止主观和客观的数据非法访问;
10) 一体化管理平台,便于U 盘集中分发和管理。
● 加密
1) 加密算法:标准版本采用AES(256bit)高强度对称加密算法,根据需要也可支持用户定制的加密算法和芯片,支持多种加密模式;
2) TTDS :采用扇区映射方式进行二级抽象,完全打乱文件的存储位臵,防止结构性破解。
产品八 接入认证网关
● 功能概述
北信源接入认证网关是一款部署简便、使用灵活的网络准入/准出控制产品。使网络管理员能在允许用户进入网络前、访问外部网络前,对有线、无线和远程用户及其机器进行验证、授权、评估和修补。能够阻止未授权计算机越权访问网络资源。 ● 系统管理构架
北信源接入认证网关整体解决方案包括三个组件:
北信源接入网关—根据终端注册及策略情况提供访问权限。在用户未注册前,他们均被禁止访问可信网络,或进行HTTP 、DNS 等重定向强制注册。
区域管理器—管理服务器、检查规则及策略,基于Web 的中央控制台。
北信源客户端程序—客户端程序代理、执行安全修复、身份认证功能。
● 系统功能描述
北信源接入认证网关与北信源内网安全管理系统结合可以完成网络终端注册和网络访问授权等方案,使得未注册客户端无法访问受限网络。使网络管理员能在允许用户进入网络前,对用户及其机器进行验证、授权、评估和修补。该安全产品能够:
1) 对未注册终端进行访问网络权限控制,可进行HTTP 、DNS 等重定向强制注册;
2) 确认用户、用户设备和他们在网络中的身份;
3) 对于终端设备网络连接流量进行控制;
4) 北信源接入认证网关能向通过局域网、无线局域网、广域网或虚拟专用网连接的设备应用网络准入控制。
产品具有为所有运行环境执行策略的独特能力,无需其他独立产品或模块。 ● 功能特点
● 多种身份验证服务
北信源接入认证网关具备终端特征验证、用户名口令验证、混合身份验证等多种身份验证机制。管理员通过策略方便设定。能维护具有不同许可级别的用户群体。
● 集中管理
北信源接入认证网关基于Web 的管理控制台允许管理员为每个用户定义所需的策略类型,一个区域管理器可以管理多个接入网关。
● 灵活的部署模式
北信源接入认证网关提供了最广泛的部署模式,能适用于任意客户网络。客户能将该产品作为虚拟或实际IP 网关,部署在边缘或中央,提供第二层或第三层客户端接入,或部署在DNS 服务器前作为强制注册用的DNS 网关。
产品九 Intel vPro (AMT) 管理支持系统 ● 功能概述
北信源Intel vPro 平台主动管理技术全面支持英特尔博锐技术平台系列产品。使用主动管理技术对远程设备进行资产管理、安全控制、事件监控以及远程实时维护,并在应用主动管理技术之前进行专门针对于vPro 设备的网络接入认证,全面解决新技术应用带来的网络安全问题。
● 系统功能描述
北信源Intel vPro 平台主动管理技术以安全为基础、以主动管理为核心,将主动管理技术与北信源其它终端安全产品紧密结合,拓展了北信源其它终端安全产品对于远程设备和处于带外状态的设备的管理功能。其主要技术用途及特点如下:
1)vPro 设备的入网管理;
2)远程操控;
3)资产管理;
4)事件报警及订阅;
5)芯片级网络阻断;
6)自动蠕虫病毒防御;
7)代理进程监控;
8) 阻断策略的制定;
9) 远程BIOS 故障诊断;
10) 远程部署操作系统;
11) 带外补丁分发;
12) 零接触自动部署方案。
产品十 信息安全管理通告平台
在上述系统功能、构架和统一策略中心基础上,北信源终端安全管理产品还可以扩展建立信息安全管理通告平台(为级联大型网络量身定制),提供统一的内部网络安全信息公布平台。
图-1 信息安全管理通告平台
信息安全管理通告平台是为大型分布式网络安全管理所设计,该平台以图形化的方式汇总多级北信源终端安全管理系统的安全信息,统一监测与查询网络全部注册设备的安全状态及运行信息,其主要功能有:
1)安全预警功能:根据实时监测到的网络中所有节点设备的安全信息,预警网络安全事件发生(病毒、蠕虫、木马等事件)。
2)安全监测功能:根据策略中心设臵的安全策略,实时显示安全策略的应用状态与执行结果,如设备变更、流量统计、违规信息、IP 绑定变化、终端运维异常、未安装杀毒软件、漏打补丁等。
3)安全管理功能:统一发布管理中心的相关安全管理规范、安全组织体系、安全宣传资料以及最新安全动态等信息。
4)违规信息通报功能:针对整个网络中违规的客户端进行全网通报,并下发通知。
5)安全服务功能:提供补丁下载、病毒库下载以及一些常用的工具下载。
产 品 资 质
全国人大、全国政协现场工作保障证
业界权威机构认定“北信源内网安全及补丁分发管理产品”为“中国信息产业终端安全管理及审计市场占有率最高产品”
典 型 用 户
公安部
入围中央政府采购 全国人大
中共中央宣传部 中共中央组织部 中联部
农业部
国土资源部
全国国税系统
国家税务总局
国家统计局农普项目 国家工商行政管理总局 国家烟草专卖局 国家质检总局
国家发改委物价局 中科院
银监会
电监会
国家电网
国家环保总局核安全中心 国防科工委
中国人民解放军军事科学院 北方计算中心
中电集团
中国核工业集团公司 中国原子能工业公司 中国一航
中航二集团办公厅 中国国际航空
中信21世纪(中国)信息系统有限公司 中国电子口岸数据中心 中国红十字会总会 中国医药集团
中国气象科学研究院 中国纺织科学研究院 中国证券报
陕西电信
福建电信
贵州电信
陕西移动通信
内蒙古移动通信
中国联通湖南分公司
银河证券
中信证券
海通证券
招商证券
银华基金
徽商银行
大连银行
胜利油田
辽河油田
大庆油田采油厂
中国石油西气东输管道公司
中电投霍林河煤电集团
中国长江电力
北方联合电力集团公司
中国华能财务有限责任公司
山西阳煤集团
福建省龙岩电业局
北京首钢
石家庄钢铁
河南新郑烟草
黑龙江省烟草公司
广西中烟
北京市政府
北京市科委
北京朝阳区政府
上海市静安区政府
北京市宣武区财政局
北京住房公积金管理中心
河北省发改委
广东省农业厅
深圳海关
河北石家庄市政法网
天津市(全市)高法
海军总医院
中国人民解放军第302医院
中国人民解放军306医院
中国中医研究院广安门医院
北京紫竹药业
国际知名化妆品牌欧莱雅(中国) 有限公司重庆长安集团
中国恩菲工程技术有限公司
江苏省高速公路
济南市铁路局
铁道部经济规划研究院
上海市航天动力机械研究所
山西省电力勘测设计院
天津市市政工程设计研究院
广州市市政工程设计研究院
中国劳动关系学院
北京教育考试学院
北京石景山区教育信息中心
北京宣武区教委信息中心
北京门头沟教委信息中心
广西电视台
以上用户仅列举部分大型用户和某些行业的典型用户,因用户数量众多,在此不一一列举。
北信源内网管理安全及补丁分发系统已部署数千万客户端,具有超强稳定性、兼容性,中国终端安全管理及审计市场占有率第一。
31