第一篇:终端解决方案
国内国际保密工作的严峻形势,特别是高新技术手段的广泛应用,给保密工作带来了极大的挑战。保密检查工作是防范泄密事件发生的重要措施之一。目前普遍使用计算机终端保密检查技术,已经具备较强的有效性,但受到检查效率所限,却很难保证检查的全面性。本文提出了一种基于网络的解决方案,通过并发检查,达到“四不漏”的要求,起到“以查促防”的作用。同时,通过分级扩展与功能扩展,形成一套检查与防护相结合的,适应各种大型机构的保密技术体系。
1.引言
重要信息泄露事件的发生,给各级机关正常工作、企业经济效益都带来相当大的损害,严重的甚至危害到国家安全和利益。由国家保密局、最高人民法院、最高人民检察院、公安部、国家安全部、解放军保密委员会主办的“全国窃密泄密案例警示教育展”在全国各省市展出,集中展示了近年来我国查处的重大窃密泄密典型案例。国内国际保密工作的严峻形势,特别是高新技术手段的广泛应用,给保密工作带来了极大的挑战。
去年,涉密经济数据泄密案件的侦破引起了社会的广泛关注,国家保密局杜永胜副局长指出,加强保密管理,组织专项保密检查,及时发现泄密隐患,堵塞泄密漏洞,严肃查处各种违规行为,是防止类似泄密事件发生的一项重要措施。
随着我国信息化建设的快速推进,重要信息越来越多的以电子文档的形式在计算机、移动存储介质等电子载体中出现。针对计算机终端的保密技术检查逐渐成为保密检查工作中的重
要
内
容。
2.计算机终端保密检查现状
与传统印刷品文档处理方式相比,计算机终端存在电子文档易修改、易删除、易复制,操作痕迹易破坏的特点。通过对操作痕迹的收集与分析,能够准确再现违反保密管理规定使用计算机终端的行为,具备较强针对性的计算机终端保密技术检查工具应运而生。相关工具的使用形式经历了以下几个阶段:
第一个阶段,将常用的查看类工具软件拷贝到计算机终端上,通过在操作系统缓存文件、注册表、系统日志等位置搜集信息,分析出违规操作痕迹。相比手工查找的方式,检查效率得到大幅提高,并具备了一定的分析辨别能力。
第二个阶段,使用优盘为载体,参照保密技术检查的实际工作特点,对相关工具软件进一步集成,将检查结果形成检查报告,并导出到优盘完成取证工作。该阶段软件同时集成了文件恢复功能,可以搜集到已经删除的操作痕迹,对违反保密规定的操作起到较强的震慑作用。
第三个阶段,使用光盘为载体,集成了更为成熟的工具软件和Windows PE(Windows PreInstallation Environment:Windows预安装环境),能够在各种软件环境下对计算机终端执行保密技术检查。该阶段产品同时包含一块受写保护的优盘,便于检查报告的存储。存储过程使用定制的私有接口,避免了在检查中传播计算机病毒的尴尬。计算机终端保密技术检查工具的出现,特别是数据恢复与信息检索技术的应用,使违规操作痕迹无处隐藏,大大增强了保密检查工作的权威性与威慑力,提高计算机终端使用人员的保密意识,真正起到“以查促防”的作用。然而面对单位中数量众多的计算机终端,保密技术检查往往仅能采用抽查的方式,无法达到“不漏一网、不漏一人、不漏一机、不漏一盘”的要求。漏过保密技术检查的计算机终端一旦出现违规操作,保密工作难免功亏一篑。
3.基于网络的保密检查设计方案
采用基于网络的保密技术检查方式,使计算机终端并发执行保密检查,能够很好的解决检查效率问题,做到四不漏,保证保密检查的全面性。
系统设计为C/S(客户端/服务器)架构。如图1所示,每台计算机终端上安装客户端程序,在接收到“检查指令”后,执行保密技术检查。检查可设计为静默执行,并自动调节系统资源占用率,使其不影响计算机终端使用者的正常工作。检查结束后,将生成的检查报告
自
动
上
传
至
服
务
器
端。
在网络内搭建服务器端,登记已安装客户端的计算机终端信息。保密管理员登陆后,可向指定的计算机终端发送“检查指令”。“检查指令”可以包含检查项目的选择、检索关键字的设置、终端资源占用策略设置、检查开始时间等信息。检查运行期间,服务器端保持与客户端程序的通讯,随时掌握各计算机终端检查进度。检查报告收集完成后,可对相关字段进一步加工,得出包括优盘交叉混用、违规上网地址、涉密文件存放、违规软硬件安装等具有违规操作痕迹的计算机终端分布情况。汇总连续几次检查的数据,可以分析出违规操作的发展趋势,体现保密整改工作效果,指导下一步整改工作方向。服务器端登录可设计为B/S(浏览器/服务器)架构,保密管理员可在网络内任意节点登录,完成相关管理任务。保密管理员足不出户,即可完成网络内计算机终端的保密技术检查,并形成详细工作报表。该设计方案具有以下几个优势:
并发检查,以往检查1台计算机终端所需的时间,即可完成对所有计算机终端的保密检
查
;
分布式检查,保证保密检查有效性,且无需增加服务器负载;
登记计算机终端安装信息,易于查找保密检查死角,实现全面覆盖;
静默检查,不影响计算机终端使用者正常工作,不受人为因素干扰;
统计分析功能,便于对保密检查情况的整体了解;
使计算机终端保密检查成为常态化工作,便于及时发现泄密隐患与泄密漏洞,“以查促防”,提高整体保密防护能力。4.分级扩展
面对分支机构较多,特别是存在异地分支机构的单位,可在每个分支机构搭建服务器端,分别对本地的计算机终端进行登记管理;各服务器端通过网络进行级联,实现多级机构 的统一
管
理,如
图
2所
示。
在各级服务器端建立通讯,下级服务器端可转发上级服务器端发送的“检查指令”,那么,总部的保密管理员不出办公室,就可以随时对偏远地区的分支机构发起计算机终端保密检查。5.功能扩展
基于前文设计的架构模型,结合保密管理工作特点,在系统设计中还可扩展以下功能: 敏感信息实时监测
在客户端程序中,集成实时监测功能模块,捕获常见的文件操作行为,如保存、关闭、移动、发送邮件、即时通讯工具传送等,一旦在检索中发现预设的敏感关键字,即时向服务器端发送“报警信息”。保密管理员可通过“报警信息”及时发现并处理违规操作敏感文件的行为。台账登记管理
在客户端程序中,集成计算机终端的软硬件设备信息搜集功能,汇总到服务器端形成管理台账。客户端程序还可将捕获到的计算机终端软硬件设备变更信息提供给服务器端,形成详细变更日志,便于保密管理员的管理工作。其他保密防护功能
该系统还可将其他目前常见的保密防护功能进行集成,包括违规外联监控与报警功能、网络准入控制功能、移动存储介质识别管理功能、主机行为审计功能、补丁与软件分发功能、存储介质信息消除功能等,从而形成一套以计算机终端保密技术检查为核心,查防结合的保密技术体系。
第二篇:云终端多媒体网络教室解决方案
云终端多媒体网络教室解决方案
云终端所构建的多媒体网络教室可实现:
1、教师广播教学、电子点名、遥控指导、联机讨论、网际影院等功能;
2、学生电子举手、电子抢答、作业提交、语音复读、查看教案等功能;
3、轻松实现教师与学生的实时互动教学,更加充分地调动学生的积极性。云终端多媒体网络教室基本架构:
校园网络教育机构在构建多媒体网络教室的时候,多以班级为单位,一般按照每教室数十个学生机进行组建。按照每教室配备一台服务器,数十台云终端为例,服务器与云终端之间通过有线网络互联,服务器配备双网卡,上行连接校园网及Internet,下行连接云终端,服务器与云终端组成一个小型并简明的局域网。
硬件架构主要包括服务器、清华同方云终端及其他网络连接设备(交换机、路由器、防火墙等);软件系统主要由多媒体教学软件(教师机和学生机程序)及其他常用软件(如OFFICE)构成。
云终端多媒体网络教室解决方案:
在云终端服务器上安装多媒体教学软件的教师机兼管理机程序,教师机兼管理机程序在服务器上运行,服务器充当管理机,建立班级模型并对其进行相关设置,服务器亦充当教师机,教师可以操作以实现广播教学。
在云终端服务器上安装多媒体教学软件学生机程序,学生通过云终端使用互异的用户名和密码登录到云服务器,同时运行学生机程序,学生之间使用相互独立,互不干扰,每台云终端可以同步播放教师机广播教学播放的指定影视作品,实现每人一机的网际影院功能。
云终端给学校带来的好处:
云终端多媒体网络教室解决方案在实现多媒体网络教学功能的同时,还可以助您:
1、节约成本:低廉的购入价格,避免多套软件的开销,降低管理维护的费用,节省用电开支;
2、易于维护:教师机端服务器集中控制,统一管理,云终端无需升级,免维护;
3、绿色环保:云终端功耗5W,无风扇无噪音,低辐射,为孩子提供一个绿色的学习基地;
4、稳定耐用:云终端无可移动或易破损部件,可避免顽皮的学生对其拆卸或破坏,以致影响教学;
5、精简终端:云终端仅占100mm*100mm*15大小的桌面空间,在有限的空间里可以容纳更多的学生,有助于改善教学场地资源紧张的现
第三篇:电子图书馆阅览室云终端解决方案
电子图书馆阅览室云终端解决方案
友威云终端产品的核心价值在于虚拟化技术与终端技术的有机结合,友威云终端桌面虚拟化软件可以有效地接管Server、PC的操作系统对电脑资源的管理,并且以虚拟化的方式进行再分配,使各个虚拟终端安全,有效,均衡地分享主计算机的资源。Rdp8.0已经得到了包括Windows7、server2008、Linux等操作系统的支持,同时得到了虚拟化厂商VMware、微软等的广泛响应,并在这些厂商主导的服务器层面的虚拟化之上,实现了桌面虚拟化,从而使虚拟化技术真正走向实用。例如友威YW300云终端系列产品就可实现一台服务器连接30终端,并提供资源分享的功能,使IT建设总体成本降低75%,并且支持1920×1080显示分辨率,双USB2.0接口,hdmi显示接口,USB键鼠接口等,可以实现与个人电脑相当的多媒体功能。当今个人电脑技术已经发展到四核和六核,其计算能力远远超出个人用户的使用需求,不必要的性能冗余导致严重的浪费,而NCOMPUTING产品以其独特的桌面虚拟化技术使这一问题迎刃而解,为用户避免了浪费并有效地降低了IT成本。
联系人:***周生 QQ:844570919, 友威云终端最专业的销售!支持1080p视频与3d软件的云终端!
科技信息技术的发展,需要存储和传播的信息量越来越大,信息的种类和形式越来越丰富,传统图书馆的机制显然不能满足这些需要。数字图书馆的需求显现出来,数字图书馆是一个电子化信息的仓储,能够存储大量各种形式的信息,用户可以通过网络方便地访问它,以获得这些信息。数字图书馆最大的好处是资源远程共享,其信息存储和用户访问不受地域限制。
数字图书馆与传统图书馆的差别主要在于查询与阅览方式的不同。在数字图书馆中,读者查阅书刊不再是在 普通阅览室的书架上找、放在书桌上看,而是在电子阅览室的电脑上进行。与传统阅览室相比,电子阅览室不提 供纸质的书籍和报刊,只提供电子版的图书、报刊和资料,另外还提供音视频资料。为叙述简单,下文我们把电 子图书、报刊、文档、音视频节目等统称为资料。除了查阅本地阅览室拥有的资料以外,电子阅览室还提供互联网上的资料检索和查阅。
另外,几个高速互联的电子阅览室还可以相互共享资料,实现异地即时调阅。电子阅览室不仅在数字图书馆中是必需的,在大中小学图书馆中也是必不可少的。图书馆馆长和学校主管大 都认识到,在网络化和数字化的今天,建一个电子阅览室要比建一个图书阅览室更省钱、更先进。我们来看看友威云终端产品在电子阅览室的详细运用:
使用友威云终端产品完美实现现代电子阅览室的所有要求,友威云终端产品使用先进高效的云计算技术,易于部署,易于管理。通过共享Windows和Linux桌面的方式实现,从而不必再为每一个阅读席位配备一台价格昂贵的个人电脑,每一个阅览席位只需要安装一台友威云终端产品设备即可实现现代电子阅览的所有要求。现代电子阅览室必须包括以下几个基本功能。基本功能 ● 电子书刊阅读 ● 音乐歌曲欣赏 ● 影视节目欣赏
● Internet上网检索与浏览 ● Email邮件收发和网络即时通讯 ● 远程办公 现代阅览室
随着信息技术的发展,传统图书馆的机制显然不能满足需要。数字图书馆是一个电子化信息的仓储,能够存储大量各种形式的信息,用户可以通过网络方便地访问它。数字图书馆最大的好处是资源远程共享,其信息存储和用户访问不受地域限制。
数字图书馆与传统图书馆的差别主要在于查询与阅览方式的不同。在数字图书馆中,读者查阅书刊是在电子阅览室的电脑上进行,提供电子版的图书、报刊和资料,还提供音视频资料。除了查阅本地阅览室拥有的资料以外,电子阅览室还提供互联网上的资料检索和查阅。电子阅览室可以相互共享,实现异地即时调阅。
电子阅览室不仅在数字图书馆中是必需的,在大中小学图书馆中也是必不可少的,建一个电子阅览室要比建一个图书阅览室更省钱。获得收益: ● 完美流畅的操作体验,友威云终端高性能嵌入式SOC片上系统,结合vSpace高效率管理软件,充分发挥计算性能。
● 统一资源管理安全方便,友威产品的特点,所有资源都存放在友威云终端虚拟桌面服务器上,确保服务器安全即可保证数据安全。
● 减少75%软硬件投资,有了友威云终端产品就不必再为每一个阅读席位购买一台标准价格昂贵的个人电脑。软件通过共享使用,不必购买更多的软件授权。● 充分节约电能,友威云终端产品设计功耗不超过5W,只有一台标准个人电脑 3 的2.5%,节能效果非常明显,适合长时间不间断运行低碳环保。
● 全面支持音频视频播放,结合vSpace软件提供音视频流码传输,通过 友威云终端终端产品的解码加速提供流畅DVD质量的音视频视听体验。
● 运行安静可靠,友威云终端产品不会产生任何噪音,非常适合电子阅览室安静的环境产品MTBF平均100,000小时无故障运行,稳定可靠。应用案例展示:
山东大学图书馆友威云终端产品用于查询和检索机,信息查询,方便稳定,易于信息管理。
西安交通大学友威云终端产品用于电子培训,信息的展示
厦门大学教学友威云终端产品用于培训教室及信息的展示,易于维护和管理,低碳节能
上海中医药大学电子图书馆成功上线
第四篇:常见终端问题解决方案和整改方法
问题一:猜测出远程可登录的SMB/Samba用户名口令
弱密码示例:
扫描原理:通过SMB协议,匹配弱密码字典库,对终端用户和口令,进行扫描。产生原因:终端存在SMB自建共享或者开启SMB默认共享导致,同时系统用户存在弱口令。验证方法:
(1)使用命令net use ipipc$ password /u:username进行弱密码登录尝试,若登录成功,则该账号一定存在。
(2)该账号可能在“计算机管理”中不存在,因为该账号可能为克隆账号、隐藏账号或者某程序产生的账号。
(3)也存在计算机已经中毒的可能。《注释》
判断计算机是否存在隐藏账号的方法:
1.打开注册表编辑器,展开HKEY_LOCAL_MACHINESAMSAM,修改SAM权限 为administrator完全控制。
2.按F5刷新注册表,展开HKEY_LOCAL_MACHINESAMSAMDomainsaccountusernames,对比用户列表和计算机管理中的用户列表是否相同,如果存在多余的,则为隐藏账号。加固方法: • 杀毒
• 使用net use ipipc$ /del,进行删除
• 如果可以关闭Server服务,建议关闭Server服务 • 更改计算机系统用户密码,设置足够密码强度的口令 • 关闭自建共享
问题二:SMB漏洞问题
漏洞示例:
利用SMB会话可以获取远程共享列表 主机SID信息可通过SMB远程获取 利用主机SID可以获取本地用户名列表
扫描原理:通过SMB服务(主要端口为135.445)对被扫描系统,进行信息获取 产生原因:终端存在SMB自建共享或者开启SMB默认共享导致。加固方法:
• 如果可以关闭Server服务,建议关闭Server服务 • 修改本地安全策略,如:
• 利用SMB会话可以获取远程共享列表–启用“不允许匿名列举SAM帐号和共享”
• 主机SID信息可通过SMB远程获取 –更改“对匿名连接的额外限制”为“没有显式匿名权限就无法访问”
• • • • • • • • 利用主机SID可以获取本地用户名列表–启用“允许匿名 SID/名称转换”
通过防火墙过滤端口135/TCP、139/TCP、445/TCP、135/UDP、137/UDP、138/UDP、445/UDP,过滤方法如下:
进入“控制面板->系统和安全->windows 防火墙->左侧高级设置”,打开“高级安全防火墙”,右键“入站规则”->新建规则。
进入“规则类型”页面,选择“要创建的规则类型”为“端口”,点击“下一步”。进入“协议和端口”页面,选择“TCP规则”,并在“特定本地端口”中输入要屏蔽的端口(如:135、139、445、1025),点击“下一步”。进入“操作”页面,选择“阻止链接”,点击“下一步”。进入“配置文件”页面,选中“域、专用、公用”,点击“下一步”。进入“名称”页面,输入一个名称,如“网络端口屏蔽”
问题三:自建共享的问题
漏洞示例:
存在可写共享目录 存在可访问的共享目录
猜测出远程可登录的SMB/Samba用户名口令
产生原因:终端用户自建了共享,且共享目录的权限为可访问、可写 加固方法:
• 关闭自建共享
• 更改共享文件的权限,取消everyone权限
问题四:SNMP口令问题
漏洞示例:
SNMP服务存在可读口令 SNMP服务存在可写口令
产生原理:通过UDP 161 端口获取被测系统信息。同时所谓可读,可写是针对RO权限和RW权限所对应的,因为SNMP代理服务可能存在默认口令。如果您没有修改这些默认口令或者口令为弱口令,远程攻击者就可以通过SNMP代理获取系统的很多细节信息。相关服务:
• SNMP Service:使简单网络管理协议(SNMP)请求能在此计算机上被处理。如果此服务停止,计算机将不能处理SNMP 请求。如果此服务被禁用,所有明确依赖它的服务都将不能启动。SNMP Trap:接收本地或远程简单网络管理协议(SNMP)代理程序生成的陷阱消息并将消息转发到此计算机上运行的SNMP 管理程序。如果此服务被停用,此计算机上基于SNMP 的程序将不会接收SNMP trap 消息。如果此服务被禁用,任何依赖它的服务将无法启动。加固方法:
如非必须,建议关闭SNMP • • • • • XP关闭方法:控制面板-“添加或删除程序”-“添加/删除Windows组件”-“管理和监视工具”,双击打开,取消“简单网络管理协议.Windows 7关闭方法:控制面板-“添加或删除程序”-“打开或关闭winows功能”,取消“简单网络管理协议.如为必须,请修改SNMP的“团体名称”
打开“服务”选择“SNMP server”右键“安全”-添加团体名称 修改端口号或者防火墙屏蔽
问题五:FTP相关漏洞问题
漏洞示例:
• 猜测出远程FTP服务存在可登录的用户名口令 • 远程FTP服务器根目录匿名可写
产生原理:使用TCP 21号端口,进行FTP相关漏洞的扫描 加固方法:
• 如果FTP为非必须,建议关闭FTP服务 • 如果FTP为业务需要,建议修改ftp 若口令
• Linux 下有两种弱密码,一个是ftp, 一个是anouymous帐号,对于anouymous帐号弱密码,通过关闭默认帐号来实现。对于ftp帐号,由于此时ftp帐号是系统帐号,故需要通过passwd为ftp 设置密码
• 由于在windows下,ftp帐号使用的是系统帐号,因此windows下ftp帐号的弱密码,也就是系统帐号的弱密码。
• 针对漏洞“远程FTP服务器根目录匿名可写”,使用命令chown root ~ftp &&chmod 0555 ~ftp进行加固
问题六:Integard Home和Pro HTTP请求远程栈溢出漏洞
• 当前没有解决方案,可能是误报,一直在和总部沟通中,尚未找到解决方案。
问题七:远程协议相关漏洞
产生原因:利用TCP 3389端口对终端进行扫描,发现远程协议相关漏洞。加固方法:
• • • • 针对不同漏洞,下载不同补丁
如果远程协议服务不需要,建议关闭远程桌面协议 通过防火墙过滤3389端口 更改3389端口为一不常见端口
第五篇:自助服务终端及系统解决方案供应商
自助服务终端及系统解决方案供应商
自助服务终端主要用于缓解营业厅人流大的问题,提高业务办理的速度,主要应用于银行、电信、电力、医疗、航空、零售等行业。东莞市美鼎实业有限公司成立于2003年8月.因公司扩大生产,于2013年四月,在广东省东莞市长安镇涌头社区德政东路169号,成立美鼎实业有限公司,注册资本总额为人民币800万元,厂房建筑面积22000平方米,现有职员工300余人。美鼎实业是全球领先的自助服务终端及系统解决方案供应商。我们在自助行业沉淀多年并积累丰富的经验,勇于创新并大胆突破,能以前瞻性的思维引导客户,设计和生产出更具竞争力的高品质产品和方案。
美鼎实业自助服务终端是以“24小时自助服务”为系统设计理念,可以缓解传统营业厅人流量过大的问题,弥补原来营业时间上的不足,避免顾客在营业厅办理业务的烦恼,使顾客感受到轻松、便捷、体贴的服务。营业厅自助服务终端是对营业厅服务的延伸与补充。在金融行业用户可以进行账户查询、自助转账、对账单打印、补登、自助挂失业务办理;在通信行业用户通过终端机输入电话号码、即可进行自助办理手机停(复)机、话费账单查询打印、缴费、发票打印、来电显示、GPRS等基本业务的开停办理;还可以购买移动电话卡,密码充值凭条。通过增值开发,还可以通过配套设备实现商品购买等其它增值服务。该设备具备节省人员开支、降低营业成本、24小时连续工作、无差错运行等优点,可放置于电信营业厅、代收费点、车站、码头、机场、大型商场等公共场所。
美鼎实业拥有着热诚专业的员工和强大的研发能力,能快速响应客户需求,提供端到端的客户化产品、解决方案和服务,全力帮助客户商业成功,并通过我们的共同努力,不断的使人们的生活更加便捷安全。
美鼎实业产品和解决方案涵盖金融自助服务终端、自助查询/缴费终端、票据打印/发卡终端,ATM、金属PC键盘,金属加密键盘等,适用于银行、影院、税务、电信、医疗等领域,并提供OEM/ODM 服务。美鼎实业充分相信,凭着自己饱满的激情和勇于实践的精神,一定能把概念性的思维转变为一个成功的具体现实。我们坚信,以我们的自助终端作为连接的桥梁,为你带来一个充满生机,希望的世界。
点击咨询 