第一篇:内网安全管理系统7.0产品白皮书
产品白皮书
内网安全管理系统V7.0
产品白皮书
第1页
产品白皮书
目录
1.产品简介.......................................................................................................................................................1 2.产品构架.......................................................................................................................................................1 3.产品功能.......................................................................................................................................................2 4.产品特点.......................................................................................................................................................2 5.产品性能.......................................................................................................................................................3 6.产品部署.......................................................................................................................................................4
第2页
1.产品简介
内网安全管理系统是用于政府和企业终端安全管理系统。系统通过对计算机准入控制、计算机安全加固、计算机运行维护、计算机安全审计、移动存储介质注册等多个方面的综合管理,为政府和企业用户打造一个安全、可信、规范、健康的内网环境。内网安全管理系统可为用户解决如下一系列的内网安全管理问题:
确保入网终端符合要求 全面监测终端健康状况 保证终端信息安全可控 动态监测内网安全态势 快速定位解决终端故障 规范企业员工网络行为 统一内网用户身份管理 杜绝移动存储介质滥用 提高和实现软件正版化
2.产品构架
内网安全管理系统在架构设计上采用了三层管理结构:终端监控引擎、总控中心、管理控制台。
终端监控引擎以服务的形式运行于终端计算机上,是终端计算机管理的核心和基础部件,用于对被管理终端计算机的安全加固、运行维护和监测审计等管理职能。终端监控引擎的设计充分考虑了稳定性、安全性和兼容性要求。终端监控引擎可防止恶意停止,并全面兼容防病毒软件、防火墙软件、设计开发软件、业务软件、办公软件。
总控中心用于计算机的集中管理,为终端监控引擎和管理控制台提供一系列的管理服务。由策略管理服务、审计管理服务、Radius认证服务、文件备份服务、补丁与软件分发服务、时间同步服务、网络管理服务、分级管理服务、事件订阅服务、健康状态监测服务等组成。视内网规模和性能要求,这些服务可分别部署在不同的硬件平台上,也可部署在同一个硬件平台上。
管理控制台是系统管理人员提供系统管理入口。采用了B/S方式进行系统管理,通过管理控制台可以完成系统管理的全部操作。三层管理结构大大提高了系统设计开发、安装部署和运行维护的灵活性、便利性和扩展性。
图1 LanSecS®内网安全管理系统架构
3.产品功能
安全审计:提供内网主机安全事件的审计功能,包括文件操作、文档打印、共享访问、服务与进程活动、系统日志、系统账户监控等。提供终端计算机用户行为的监控与审计,包括信息泄密、资源滥用、即时通讯、邮件收发和网站访问等。
安全服务:通过预警平台、远程协助、软件及文件分发等功能实现远程桌面维护以及安全动态、桌面通知、信息发布。
安全加固:提供强大的补丁自动分发机制、病毒库自动下载机制、本地文件安全存储以及移动存储介质的认证与注册管理等功能,保证终端运行环境的安全可控,保障内网运行的可靠性。另外,还提供主机安全策略和IE安全策略的统一设置,加强主机的安全性。
资产管理:提供对内网资产和资源的集中管理能力,包括计算机、交换机、操作系统、软件、硬件,并对资产和资源的变更进行监控和预警。
准入控制:采用可信接入技术,对于接入内网的计算机进行严格的身份认证和健康检查,保证内网业务数据和系统环境的安全。
4.产品特点
完善的分级管理架构,“分散不分立”:通过分级管理,系统可实现跨地域分散部署和集中管理。“分散不分立”,形成有效的和有机的内网安全管理架构。
灵活的分权管理机制,“集中不集权”:系统提供了基于安全角色的授权管理机制,根据功能模块或行政机构的划分自定义安全角色,一种安全角色只能执行其所辖部门范围内的相应安全代理的安全策略和审计事件的管理。“集中不集权”,保证了管理的安全性。
多层次的安全措施,保证系统运行的安全可靠:系统从数据库、网络通讯、策略分发与存储等多个层面加强了安全保护,确保系统运行的安全可靠。
全方位的安全审计功能,有效地防止信息泄密:系统提供对所有输入/输出设备、文件系统、进程、服务、注册表、网络应用、用户身份、操作系统安全策略等进行综合的监控和审计,全方位的监控操作系统的运行状态以及用户的操作行为,实现涉密信息的全程审计与跟踪。
完善的基于数字证书的身份认证机制:系统内嵌身份认证服务,实现了与数字证书的完美结合,管理控制台、监控代理、总控中心以及所有系统管理用户和计算机终端用户均通过数字证书进行身份认证。
丰富、多样的统计报表功能:系统提供列表和统计图的报表输出,报表的输出支持HTML、EXCEL、PDF、RTF等四种格式。同时提供手动报表、自动报表等两种运行模式。
高度模块化设计,需求响应迅速:系统管理控制台、安全代理和总控中心均采用模块化设计,并提供用户设计、开发接口和示例,用户可以根据企业的安全需求定制采购,同时也可以根据需求的变化,在运行时动态改变其工作状态,提高系统的运行效率。
所有组件支持自动升级,系统维护方便、快捷:系统的主机代理及其功能模块均支持基于版本号的网络自动下载更新,只需要在总控中心一次部署即可以完成全网的自动升级。系统的维护和升级非常方便。
客户端监控代理安装部署方式灵活、多样: 内网安全管理系统客户端监控代理同时支持域模式安装、本地安装、网络分发安装以及WEB安装等多种安装部署方式,用户可以根据实际网络环境自由选择。
5.产品性能
内网安全管理系统主要性能指标如下:
总控中心最大并发连接数:3000;
总控中心最大可管理注册主机数量:20000台; 总控中心网络带宽占用:100K/1000客户端; 终端监控引擎CPU占用(静态模式):< 1%;
终端监控引擎内存占用(静态模式):8M。
6.产品部署
内网安全管理系统支持本地部署和分级部署,分级部署示意图如下:
图 2分级部署示意图
第二篇:产品白皮书_北信源内网安全管理系统白皮书v2.0_北信源_20100403
北信源内网安全管理系统
产品白皮书
北京北信源软件股份有限公司
2010年4月
北信源内网安全管理系统产品白皮书
版权声明
本手册的所有内容,其版权属于北京北信源软件股份有限公司(以下简称北信源公司)所有,未经北信源许可,任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。
商标声明
本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。
产品声明
本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异,由此可能产生的差异为正常现象,相关问题请咨询北信源公司技术服务人员。
免责声明
若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,北信源公司及其员工均不承担任何责任。
北信源内网安全管理系统产品白皮书
目录
1.引言...........................................................................................................4 2.产品背景....................................................................................................5 3.产品架构....................................................................................................6
3.1管理构架.............................................................................................................................6
3.1.1局域网构架..............................................................................................................6 3.1.2广域网构架..............................................................................................................8 3.2统一策略管理.....................................................................................................................8 3.3自身安全设计.....................................................................................................................9
4.产品功能..................................................................................................11
4.1终端基本管理功能...........................................................................................................11 4.2 IT资产管理功能..............................................................................................................13 4.3终端桌面管理功能...........................................................................................................15 4.4终端安全管理功能...........................................................................................................22 4.5主机运维管理功能...........................................................................................................26 4.6非法外联管理功能...........................................................................................................30 4.7补丁分发管理(可选)...................................................................................................31 4.8文件分发管理(可选)...................................................................................................37 4.9安全监控审计功能...........................................................................................................39 4.10报表管理功能.................................................................................................................43 4.11事件报警管理.................................................................................................................45 4.12第三方接口管理.............................................................................................................46
5.产品运行配置...........................................................................................46
5.1硬件配置...........................................................................................................................46 5.2软件配置...........................................................................................................................47
6.关于北信源...............................................................................................48
6.1.6.2.公司简介.....................................................................................................................48 联系方式.....................................................................................................................49
北信源内网安全管理系统产品白皮书
1.引言
终端桌面安全管理技术的兴起是伴随着网络管理事务密集度的增加、网络管理技术的逐步发展而衍生的,它同传统安全防御体系的缺陷相关联,是传统网络安全防范体系的补充,也是未来网络安全防范体系重要的组成部分。因此,终端桌面安全管理技术无论在现在还是未来都应当归入基础体系网络安全产品之列。
现代网络安全管理体系的日臻完善,使得对网络终端桌面安全管理的需求强烈凸现出来。正确、全面地认识终端管理产品的发展趋势和技术特点,是IT研发厂商面临的发展抉择,同时也是企、事业IT管理人员和高层决策人员在进行终端桌面安全防护部署时必须考虑的议题。
近两年的安全防御调查也表明,政府、企业以及金融证券等单位中超过80%的管理和安全问题来自终端,计算机终端广泛涉及每个用户,由于其分散、不被重视、安全手段缺乏的特点,已使得终端安全成为信息安全体系的薄弱环节。因此,网络安全呈现出了新的发展趋势,对于各政府企业网络来说,安全战场已经逐步由核心与主干的防护,转向网络内部的每一个终端。
北信源内网安全管理系统产品白皮书
2.产品背景
提起网络安全,人们自然就会想到网络边界安全,但实际情况是网络的大部分安全风险均来自于内部。常规安全防御理念往往局限在网关级别、网络边界(防火墙、IDS、漏洞扫描)等方面,重要的安全设施大致集中于机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。相反,来自网络内部计算机终端的安全威胁却是众多安全管理人员所普遍面临的棘手问题。
总结起来,政府机关和企业单位的内部网络管理大致面临着以下一些常见问题:
如何发现终端设备的系统漏洞并自动分发补丁; 如何有效解决移动存储介质使用管理问题; 如何有效解决终端随意接入网络问题; 如何防范内网设备非法外联; 如何管理终端资产,保障网络设备正常运行; 如何在全网制订统一的安全策略; 如何及时发现网络中占用带宽最大的终端; 如何方便地进行远程点对点维护; 如何防范内部敏感信息的泄露; 如何对原有终端应用软件进行统一监控、管理; 如何快速有效地定位网络中病毒、蠕虫、黑客的引入点,及时、准确地切断安全事件发生点和网络; 如何构架功能强大的统一网络安全报警处置平台,进行安全事件响应和事件查询,全面管理网络资源。
这些终端安全隐患随时随地都可能威胁到用户网络的正常运行。针对如上系列问题北信源公司提供领先业界的内网安全管理产品及解决方案。
北信源内网安全管理系统产品白皮书
3.产品架构
北信源内网安全管理系统遵循网络防护和端点防护并重理念,对网络安全管理人员在网络管理、终端管理过程中所面临的种种问题提供解决方案,实现内部网络终端的可控管理,并能够支持多级级联广域网构架,达到最佳的管理效果。
北信源内网安全管理系统强化了对网络计算机终端状态、行为以及事件的管理,它提供了防火墙、IDS、防病毒系统、专业网管软件所不能提供的防护功能,对它们管理的盲区进行监控,扩展成为一个实时的可控内网管理平台,并能够同其它安全设备进行安全集成和报警联动。
北信源内网安全管理系统可分为五个软件功能包,全方位地为网络用户提供安全管理功能。这五个软件包具体为:基本产品包、终端桌面管理产品包、终端安全管理产品包、网络主机运维产品包、非法外联管理产品包。
3.1管理构架 3.1.1局域网构架
对于一般网络(例如1个C类地址或若干个C类地址的局域网范围),可使用一套本系统软件,集中管理所属区域内的所有设备。
本系统在网络中安装数据库,用于存储网络客户端设备信息。当上述系统数据库、网页管理平台、区域管理器安装完毕后,即可对网络中客户端进行注册。用户在取得注册程序,执行后添加计算机使用信息,如使用人姓名、单位、联系方式等,注册程序自动采集系统的硬件设备信息,经过区域管理器处理后存入数据库,同时区域管理器将代理驻留程序发送到计算机终端,实时运行。通过探头、区域扫描器等对计算机的网络连接行为实施探测,根据需要发送本机缺少的相关系统补丁、安全策略、命令或文件等,在遇到数据库中定义的非法行为时实施阻断。
系统正常运行后,主要通过网页WEB管理平台来对整个计算机设备信息系统
北信源内网安全管理系统产品白皮书
进行配置管理,在网络内设置区域管理器、扫描器IP地址。对于一般网络(如1个C类地址或若干个C类地址的局域网范围)适用一套本系统,集中管理所属区域内的设备。对于大规模的多个局域网或者跨地域的广域网,提供多区域集中管理模式,即下级管理系统可将本级所有设备信息再传递给上级管理数据库,使得上一级管理人员对整个网络的设备状况能够完全掌握。
设备管理信息系统的配置,要根据网络客户端规模、网络管理实际情况来选择。可以在网络中安装多个区域管理器,区域管理器只负责一定范围内的客户端,对于该范围以外的客户端,不予以处理;每个区域管理器下属多个扫描器,提供对本区域网络的分段扫描,及时检查该网络客户端注册情况。
Internet补丁下载服务器物理隔离中央管理配置平台数据交换指令下达数据交换补丁增量导入管理信息库补丁分析模块指令、策略获取状态、数据上报补丁获取区域扫描器指令下达数据交换区域管理器A.注册B.验证C.管理D.补丁获取级联A.扫描发现B.阻断违规客户端(安装客户端程序)系统逻辑图
下级区域管理器7
北信源内网安全管理系统产品白皮书
3.1.2广域网构架
对于大规模的多个局域网或者跨地域广域网(包括基于国家、省、市、县等多级管理模式的网络结构),可使用本系统提供的多区域级联集中管理构架,即一个或多个网段各拥有一套独立的北信源内网安全管理系统的同时,将本级的统计和报警信息转发给上级管理系统,上一级管理人员对整个网络的状况也能够完全掌握。
多级级联集中管理构架
3.2统一策略管理
北信源内网安全管理系统采用统一策略管理中心实现对内部网络终端的统一安全管理。策略管理中心内置终端安全防护需要的所有安全管理参数,提供对计算机终端的安全规则配置、安全功能策略开启/关闭、安全策略执行范围/周期设定等一系列安全措施的管理。
北信源内网安全管理系统内置安全策略分为全局策略、本地策略、备份策略三种,管理员通过属性设置决定其类型。
北信源内网安全管理系统产品白皮书
统一策略管理图
3.3自身安全设计
1.分级管理:系统支持对管理员分级管理,实现不同管理员管理不同内容,可分为授权、管理和审计等多种角色划分,具有安全性高、可靠性强的特点,适合集中授权、多角色参与监控的管理模式。
2.通信保护:系统的组件间通信时,数据传输是经过加密的,客户端和服务器端相互通信使用双向认证机制,防止已安装同类客户端的非本网络计算机非法进入网络,同时也防止模拟的假客户端和服务器进行通信。
3.客户端软件强保护机制:系统的客户端系统具有自我防护机制,防止用户随意停止、卸载。
4.服务器安全设计:服务器系统具备保护服务器功能。保证管理系统服务器端使用的安全性,保证其受到恶意修改IP地址的方式攻击时仍可正常工作,网络中出现恶意修改成与管理服务器相同属性(如相同的IP地址、相同的MAC地址等)的机器时,出现IP地址或MAC地址冲突等现象时,管理服务器将不会
北信源内网安全管理系统产品白皮书
被阻断出网(即不会出现地址冲突的现象),只有发起恶意攻击的设备才会被自动阻断,不会影响管理服务器的正常管理。
5.提供系统审计员、系统管理员、系统操作员三权分立的权限管理体系。6.系统日志:系统提供运行审计和操作审计机制,保证系统的稳定运行。
北信源内网安全管理系统产品白皮书
4.产品功能
4.1终端基本管理功能
1.终端注册管理
系统采用C/S和B/S模式混合管理方式,在被管理的桌面计算机上安装VRVEDP客户端程序。在安装客户端程序需要填写当前计算机使用人的个人相关信息,如使用人、单位、部门、联系电话、邮件、所在地、计算机类型等,进行实名化的管理便于快速定位,无论是违规,还是网络安全事件发生时都可以快速定位到事件源。
个人信息填写
填写的个人相关信息会上报到服务器,保存在后台数据库里,供前台管理平台查询。
系统注册信息填写页可以由用户自己自由选择设定,可以设定显示的注册内容项、标题项、是否启用、是否必填、是否为选择性填充等,并可以设定扩充选项,提供给不用需求的用户进行选择性注册管理。
北信源内网安全管理系统产品白皮书
用户填写项自由设定页面
2.IP和MAC绑定管理
对固定IP网络的MAC和IP地址进行绑定管理,系统探测到IP变化后根据策略设置恢复其原有IP地址,或者阻断其联网,同时禁止修改网关、禁用冗余网卡。
3.禁止修改网关、禁用冗余网卡管理
系统支持禁止修改网关、禁用冗余网卡等功能。4.未注册终端拒绝入网管理(软阻断技术)
系统采取对未注册终端Arp阻断管理:对于接入网络未注册终端进行Arp
北信源内网安全管理系统产品白皮书
阻断,禁止其联网。
4.2 IT资产管理功能
1.硬件资产管理
自动搜集包括CPU、内存、硬盘分区总和、设备标识的大小和其他详细信息以及其他如主板、光驱、软驱、显卡、键盘、鼠标、监视器、红外设备、键盘等所有的硬件信息。
网管可自主添加相关的附加信息。
2.软件资产管理
自动发现识别客户端安装的所有软件信息(名称、版本、安装时间、发现时间等),将相关数据入库,检测客户端运行软件信息,供管理员在Web控制台查询。
北信源内网安全管理系统产品白皮书
软件资源统一监控:自动收集安装在每台计算机上的每种应用程序信息,包括安装的操作系统种类、版本号以及当前补丁情况、客户机安装的软件等信息和驱动程序情况,并进行汇总管理。
系统能够及时检测主机软件信息变化情况。
根据条件查询客户机安装的软件或指定软件被哪些客户端安装等信息。3.软、硬件设备信息变更管理
报警未注册设备、注册程序卸载行为,实时检测硬件设备变化情况(如设备硬件变化、网络地址更改、USB设备接入等)。
北信源内网安全管理系统产品白皮书
4.3终端桌面管理功能
1.进程运行黑白名单控制
对进程执行进行黑白名单控制,即根据策略设定禁止执行的进程和必须执行的进程。对违规的客户端进行客户端提示和断网处理等相应措施。
2.进程保护管理
对重要的进程进行守护,防止由于意外或人为原因造成重要进程中断。
北信源内网安全管理系统产品白皮书
3.进程执行汇总
统一汇总和监视网络各终端的进程,可以增量式的显示网络中新出现的进程,也可统计网络中最常运行的进程,从而统计出网络客户端软件的使用情况。此系统可对网络中出现的异常进程(很可能病毒进程)进行定位和报警,在必要时可直接阻断。
4.终端服务管理
查询当前终端运行的服务,可以远程关闭或开启服务。
5.软件黑白名单控制
对软件安装进行黑白名单控制,即根据策略设定禁止安装的软件和必须安装的软件。违规软件禁止安装功能,禁止在注册表Run项里添加自启动项,禁止在注册表Services项里添加自启动项,禁止在程序启动项中添加项,禁止在程序项中添加快捷方式限制违规软件的安装,所有安装软件均可进行审计。
北信源内网安全管理系统产品白皮书
6.软件安装汇总
系统能够对所安装的软件进行统计汇总,并能将汇总情况统计生成报表,支持多种报表导出方式。
7.终端消息推送
可精确地对选定的对象或个人进行消息传送,而不依赖于Windows自身的信使服务功能,系统还提供多种策略模式传送消息。
北信源内网安全管理系统产品白皮书
8.远程协助
当客户端用户以及服务器用户在使用计算机时遇到难以解决的问题,可以通过访问特定网页式,主动向多个网管工作台(可自主选择的)进行并发协助请求呼叫,呼叫网管对其进行远程协助。当管理员接收到客户端的请求可以后,调用远程客户端的桌面,帮助客户端用户解决相应的问题。
呼叫中心示意图
管理员是否接受请求示意图
管理员接收请求后,系统将自动调用远程计算机的桌面,就如同管理员亲自到现场,进行软件安装、软件调试、系统维护、打印机安装等工作,省去管理员 来回现场和办公室之间的时间,提高了系统维护的效率和管理员的工作效率。
北信源内网安全管理系统产品白皮书
9.外设及端口控制
系统可以设置受控主机允许或禁止使用USB设备、串口、并口、软驱、光驱、红外设备、蓝牙设备、网络设备(无线网卡、网卡、PCMCIA)、1394接口、打印设备。系统采用硬件设备驱动级的禁用方式实现对上述设备的禁用。
10.垃圾文件清理
管理员可在Web控制台对终端用户某一文件夹下或全盘某些后缀的垃圾文件或临时文件进行集中清理。
目前的系统临时文件众多,而绝大部分业务用户均不会手动清除大量的临时文件,这样会占用大量的硬盘资源,因此需要靠第三方系统主动的对其加以清理。
系统可协助用户维护(指定目录下的)临时文件、备份文件、帮助的历史文件、IE临时文件、安装临时文件、异常临时文件等各种应删除的文件。
北信源内网安全管理系统产品白皮书
11.终端点对点管理
系统管理员可通过系统以点对点的方式对客户端进行详细的监控审计,具体包括以下内容:
(1)硬件资产清单:自动搜集包括CPU、内存、硬盘分区总和、设备标识的大小和其他详细信息以及其他如主板、光驱、软驱、显卡、键盘、鼠标、监视器、红外设备、键盘等所有的硬件信息;网管可自主添加相关的附加信息。(2)安装软件查询:查询设备所有安装的软件。
(3)终端进程管理:查询当前终端所有运行的进程,并可通过系统关闭非系统进程。
(4)终端服务管理:查询当前终端运行的服务,可以远程关闭或开启服务。(5)终端流量查询:包括当前与网络连接的进程及其流量的统计。(6)系统运行资源查看:具体包括:CPU频率和使用率、内存大小和使用率、系统各硬盘分区大小和使用情况。
(7)补丁查询:查看系统漏打的补丁。
(8)日志查询:查看终端的系统日志、安全日志和应用程序日志。(9)终端安全审计:查看用户的登录、历史记录、下载信息等各种信息。(10)消息通知:向用户发送消息,并可要求用户进行消息回馈。(11)远程运行进程:可远程加载进程。(12)共享目录检查:检查当前终端的共享目录。
北信源内网安全管理系统产品白皮书
(13)修改网络配置:可查看网络终端的IP、MAC、子网掩码和网关信息,并可远程修改用户的IP地址。(14)远程卸载客户端程序。
(15)远程断开/恢复网络终端的网络。(16)远程重新启动计算机。
12.系统自动关机管理
北信源内网安全管理系统产品白皮书
对客户端关机时间的设定,实现自动关机,并可以在发现计算机空闲时间过长时锁屏或关机。
13.终端时间同步管理
所有客户端时间的同步,防止擅自修改系统时间。
4.4终端安全管理功能
1.桌面密码权限管理
对终端的密码管理权限变化及使用状况(包括密码长度、安全性、弱口令等方面)进行审计检查及报警,同时对不符合要求的终端进行提示或强制修改等处置,达到防止病毒及黑客入侵的目的。
北信源内网安全管理系统产品白皮书
2.终端统一防火墙
管理员在Web控制台对终端进行统一的防火墙设置,对网络IP及协议访问进行限制,在网络内建立虚拟的终端隔离区。
另外对于大型网络,网络客户端由于用户使用水平的差别,会出现用户卸载甚至退出统一安装的防病毒软件的情况,也会出现有个别用户被遗漏,未安装防病毒软件的情况。
管理员可利用Web控制台对终端所安装的杀毒软件情况进行监控和管理,并能够对终端杀毒软件实施远程操作(病毒查杀、升级、软件安装等)。还可统一监控网络内的防病毒软件(国内主流厂商的均可)安装情况和使用状态,了解网络中的病毒软件安装状况,必要时可通过此系统强制为客户端安装防病毒程序,如果需要,此系统也可监控终端软件的安装情况,并进行相应的管理(如安装杀毒软件软件,强行升级病毒库、自动分发并自动执行病毒专杀工具等)。
北信源内网安全管理系统产品白皮书
3.终端杀毒软件管理
可统一审计网络内终端的防病毒软件(主流厂商的均可)安装和使用情况,必要时可强制为客户端安装防病毒程序。如果需要,也可监控终端防病毒软件的安装情况,并进行相应的管理(如安装杀毒软件软件,强行升级病毒库、自动分发并自动执行病毒专杀工具等)。
北信源内网安全管理系统产品白皮书
4.注册表监控/保护
系统提供注册表检查功能,对于病毒行为修改的注册表,可以通过强制注册表策略对其进行操作,可以自动创建、删除、修改相应的注册表键值,实现注册表安全管理。
系统可屏蔽选定用户计算机的一些程序进程对注册表的使用,通过该策略可以有效的防止违规进程对用户注册表的破坏。
北信源内网安全管理系统产品白皮书
5.终端在线/离线策略管理
系统可以针对不同的网络接入情况,设定终端的在线、离线策略。当终端处于不同的网络中,可以实现不同的执行策略。
4.5主机运维管理功能
1.运行资源监控
在Web控制台对终端的CPU、内存、硬盘的资源占用率和剩余空间进行监控,设定危险等级报警阀门。
北信源内网安全管理系统产品白皮书
2.流量管理和控制
蠕虫病毒和BT下载等行为在很多情况下会严重占用网络带宽,造成网络的拥塞甚至瘫痪,对此可利用本系统进行流量的管理与监控。主要功能:
流量采样阈值设定:用户自主设定采样阈值,当流量(含出、入或总流量)超过一定限度并持续一定时间后,进行有关信息上报,防止上报数据过多给网络带来负担。
上报的当前流量进行汇总,对当前的流量进行时实排序,以便网络管理人员进行快速分析是否是网络安全事故。
对网络客户端的历史流量进行统计和排序,并可生成报表。 对并发连接数设定阈值并进行采样。 对网络扫描的可疑行为进行阈值设定和报警。 对客户端大量发包的可疑行为进行阈值设定和报警。
对具备可疑行为的客户端进行报警上报、自动阻断、客户端提示等管理。 设定网络客户端流量上限阈值,对超过的进行报警上报、自动阻断、客户端提示等管理。
北信源内网安全管理系统产品白皮书
3.流量异常监控
在Web控制台对终端的网络流入、流出和总流量进行监控和管理。并能够对产生总流量过大、分时段瞬时流量过大的进程进行统计,辅助分析产生流量过大的原因。
4.进程异常监控
在Web控制台对终端未响应窗口进行监控并结束或重启该进程,对意外退出的进程进行监控和保护。
北信源内网安全管理系统产品白皮书
5.客户端文件备份
针对终端计算机进行数据实时备份,将本机计算机目录文件数据实时或定时备份到数据服务器或其它计算机上存储。针对局域网服务器数据存储等提供安全数据同步备份解决方案。
北信源内网安全管理系统产品白皮书
4.6非法外联管理功能
1.网络内部终端非法外联互联网行为监控
终端非法外联互联网行为监控:对于已注册的设备,通过不同方式(如双网卡、代理等)连接互联网进行的通讯,系统能够自动阻断其连接行为并报警。
2.网络内部终端非法接入其它网络行为监控
对于已注册的设备,监控其网络连接行为,根据接入网络环境因素判定其是否非法接入其它网络(同上图)。
3.离网终端非法外联互联网行为监控
对于已经注册的计算机,非法带出到另外一个网络的行为进行监控,发现有外联互联网行为时可以采取警告、阻断、自动关机等操作(同上图)。
4.非法外联行为告警和网络锁定
如果终端非法入网,可以在报警平台和报警查询处获知信息,并且可以对终端提示信息,自动关机,阻断联网等处理(同上图)。
5.非法外联行为取证
对于非法外联行为进行实时告警功能,同时记录该行为发生的事件、IP地址、MAC地址、使用人等相关信息上报到服务器进行记录取证。
北信源内网安全管理系统产品白皮书
4.7补丁分发管理(可选)
系统功能概述
北信源补丁分发管理系统是北信源公司在为国家各大部委机关、各大行业网络用户进行病毒安全服务、总结安全运营保障经验的基础上,分析当前网络客户端实际安全管理要求研发的,系统支持推、拉两种方式自动下载补丁。整个补丁管理运行平台构架是:通过北信源外网补丁下载服务器及时从补丁厂商网站获取最新补丁;补丁安全测试后,通过补丁分发管理中心服务器对网络用户进行分发安装;补丁安装支持自动和手动两种方式。
......北信源补丁管理中心(二级)级联同步补丁增量导入北信源补丁管理中心(二级)级联同步北信源补丁中心(一级)补丁库分类补丁测试策略控制推拉分发控制流量控制补丁分发检索多级级联控制客户补丁查询动态下载转发代理自动测试组(真实环境)客户端 补丁自动识别客户端策略报表中心补丁监控功能
系统可监控管理网络补丁状况,其具体功能如下: 1.补丁索引的适应和扩展性
内网安全管理系统具有良好的兼容性,支持主流操作系统,如Windows2003、Windows2000 Pro、Windows 2000 Server、Windows Pro、Windows XP home、Windows、Windwos9X等。
因为补丁索引文件为北信源自主开发,补丁索引的结构具备可扩展性和可编辑性,索引的结构和定义除了可以支持微软补丁外,还可以支持非微软系统补丁、各种数据库补丁,甚至可以支持各种用户应用程序的更新补丁。
北信源内网安全管理系统产品白皮书
补丁索引编辑界面
2.补丁下载检测和增量式导入功能
对于物理隔离的内部网络,其内部的补丁升级服务器中的补丁数据必须从外部导入,巨大的补丁数据库使得每次补丁导入相当烦琐。为此,北信源使用增量式补丁分离技术,在外网导出补丁时,可分离出内网已经安装的补丁,只导入内网尚未安装的系统补丁,即仅对内网的补丁进行“增量式”的升级,以提高效率。
当有新的计算机补丁公布可以下载后,北信源公司由专门的人员在第一时间内获得,并进行相应的分析,更新补丁索引文件。
系统拥有专门的外网补丁下载服务器,能根据索引自动下载新增的计算机补丁,补丁校验功能对所下载的补丁进行校验,保证计算机补丁的可靠性、完整性、安全性。
补丁在导入时并具有病毒检测功能,保证导入到补丁库中的补丁不被病毒感染。
3.补丁安全自动测试功能
用户的真实环境中,可能会包含特殊的应用或特殊的软件版本,在这些环境
北信源内网安全管理系统产品白皮书
中,有时会出现打补丁后系统或应用异常的情况,所以在大规模补丁分发前需要进行真实环境的补丁测试。北信源系统独创了真实环境闭环测试技术,具体的流程是首先由网管选定某些计算机作为测试计算机作为测试组,每次补丁导入后内网后,首先自动分发至这些选定计算机进行新补丁的安装测试,从而自动地进行非模拟性自动测试。如果补丁安装后对测试计算机未产生影响,被测试计算机能正常运行,网管员便可根据相应得策略对网络内的计算机进行大面积的推送。此技术可以很好的减轻网管的测试工作量,并提高补丁安装的安全性。
补丁自动测试图
4.补丁库自动分类功能
系统对存放到服务器上的计算机系统补丁能进行相应的分析,自动得出补丁属性、类型和与之相关的补丁说明,并在网页中进行清晰明了的显示。可以方便管理人员根据相应的需求,高效快捷定义补丁分发策略,及时地针对不同的系统和需要分发计算机补丁。
系统同时提供管理员自定义补丁类别的补丁管理方式,如果需要也可由相关的管理人员自行设定相应的自定义补丁类别以符合其管理的需要。
5.补丁库的级联和同步功能
系统可以针对补丁进行级联式的分发和管理,在级联级数没有任何限制并在三级的基础上进行无缝平滑扩展。
可定期进行同步校验,也可自主设定同步校验周期和时间。在有新补丁导入时,也可以自动触发与下级服务器间的同步操作。
所有的同步过程均可自动完成,上级服务器可以了解下级服务器补丁库是否同步成功。
6.补丁安装检测、自动分发补丁功能
北信源内网安全管理系统产品白皮书
北信源补丁管理依据自身注册客户端优势,为网络用户提供强大的系统补丁检测、分发、安装等远程控制功能。网络管理人员通过本模块全面检测网络系统终端补丁的安装状况,并通过此模块,对没有安装补丁的设备进行远程补丁安装,可将最新补丁升级包及时分发到终端计算机,并提示安装修补,在客户端有明显提示,通知用户打补丁。
系统可以对客户端安装的系统的版本,IE版本的补丁安装情况进行自动探测和维护(客户端计算机的补丁安装情况包括Windows、Office、IE、微软媒体播放器等),自动搜集客户端系统资料和安装补丁资料,以根据客户端系统的实际状况自动分发所需的补丁。
客户端程序安装检测:网络中的客户端访问本地的WEB网站进行自动注册。注册后客户端检测程序将在系统中实时运行,检测补丁安装状况,并上报给补丁管理中心。用户WEB网页自动探测提示,支持大面积用户快速安装。客户端部署:在系统内部网络中,未注册客户端访问本地网站、以及访问上级网站均会出现提示用户注册窗口。
补丁推送安装:当系统检测到有客户端未打补丁时,可对漏打的补丁进行推送式的安装。同时,通过推送安装,也可以为客户端安装应用软件。
补丁推送分发可以跨网段,跨VLAN,补丁分发支持断点续传功能。补丁下发过程中,如遇到特殊事件造成网络中断,则在下次网络连通时通过校验得出已传输的数据和断点位置,进行续传。
系统补丁报表:监控程序将网络客户端补丁信息上报管理中心后写入数据库,在WEB管理平台可进行补丁报表察看,统计网络客户端补丁安装状况。
7.补丁策略制定功能
包括补丁应用策略制定、补丁文件分发任务制定。
可以根据要求按照不同的区域进行划分,可按照IP地址、部门、操作系统、用户自定义等方式进行区域划分。
补丁策略制定:具体可支持定时、定周期、分类、分部门、分范围、客户机状态和用户自定义等策略。
补丁策略分发:具备详尽的补丁分发策略,补丁可以定时、定周期、分类、分范围、分部门、分范围、客户机状态和用户自定义等进行分发。
北信源内网安全管理系统产品白皮书
补丁文件任务制定:针对特定的一个补丁或多个补丁,对指定计算机或者计算机网络进行补丁自动分发安装。
补丁中心将网络客户端分类,设置测试类客户端,补丁在测试类机器上经过严格测试后,再正式对其他类网络机器进行分发。
此外,内网安全管理系统还提供补丁下载流量控制功能,补丁管理中心区域管理模块能够对网络不同网段、不同区域的终端补丁升级进行流量、数量控制,避免造成对网络的流量影响,合理控制网络带宽。
8.补丁下载流量控制功能
系统可以利用多种方式进行下载流量控制:
(1)系统能够根据网络的负载情况自动调整分发补丁时所占的网络带宽和并发连接数;
(2)根据手动设置允许的带宽或服务器并发连接数及每个连接所允许使用的带宽;
(3)系统同时支持客户端转发代理补丁下载,以减少网络带宽流量,提高效率。
代理转发技术说明:补丁分发时,先由部分客户端通过补丁分发系统下载服务器补丁,其他的计算机可不通过服务器,而是通过已下载补丁的客户端进行相应补丁下载。下载时客户端可自动搜索临近的IP地址,选择拥有此补丁文件并且下载速度最快的客户端,从此客户端上获取由系统服务器下发的相关的补丁,以保证网络的利用率,同时提高补丁分发效率。
9.服务器端补丁查询功能
客户端软件实时监控客户端系统漏洞及补丁安装情况,服务器端补丁查询补丁可根据补丁名称、待查询IP范围、操作系统、待查区域,查询时间或其它条件对区域网络范围内的计算机终端进行补丁安装状况查询,通过网管设定的查询条件,能快速地获知所查询补丁的安装情况(如补丁发送是否成功,补丁安装是否成功,补丁是否已被安装等),以保证补丁及时的安装。
10.客户端网页查询补丁安装信息功能
因为很多用户习惯通过访问微软的Update网页,检查自己漏打的补丁,并进行下载安装。作为物理隔离的网络,内网中的用户无法访问此网页,因此从用
北信源内网安全管理系统产品白皮书
户的习惯角度出发,内网中也应该有类似的网页,以便用户访问和获知本机补丁安装情况,进行补丁下载安装。安装了系统客户端的计算机可以通过访问内网的特定网页,对本机所缺少的计算机补丁进行查询,查询结果在网页上进行显示,计算机用户根据需要进行安装。
北信源内网安全管理系统产品白皮书
4.8文件分发管理(可选)
1.普通文件分发及文件自动执行
系统向指定客户端(用户组)分发文件或安装软件,分发时可提供软件的运行参数和必要的运行控制。此功能可减轻网络管理人员的工作负担,软件分发时可报告软件安装的状态,无论软件正确安装与否,管理员均可及时了解情况。系统还提供人性化的软件安装过程录制工具,可以很方便的对软件和它的安装过程进行录制打包,软件分发至终端后,系统可在终端对软件安装过程进行回放,方便软件在客户端进行自动安装。
安装后的客户机端软件包括基本部分和用户工具,安装在客户机不同的目录中。
北信源内网安全管理系统产品白皮书
2.文件分发安装结果统计
北信源内网安全管理系统产品白皮书
4.9安全监控审计功能
1.上网访问行为审计和控制:
系统以黑白名单的方式对用户的网页访问行为进行控制;可对用户上网访问的网页等进行审计和记录。
北信源内网安全管理系统产品白皮书
2.文件保护及审计:系统提供对终端的系统、软件和共享等目录中的文件的保护功能,设定访问、删除、修改权限;支持对设定目录文件的操作审计,包括文件创建、打印、读写、复制、改名、删除、移动等的记录,同时将信息上报管理信息库供查询。
3.网络文件输出审计:对主机通过共享文件等方式进行的网络文件输出行为进行审计和记录(同下图)。
北信源内网安全管理系统产品白皮书
4.邮件审计:根据策略对主机发送的邮件及其附件进行控制审计和记录(同下图)。
5.打印审计:根据策略对主机打印行为进行监控审计,从而防止打印输出结果被非授权查看和获取。
6.文件涉密信息检查:根据用户自主设定的涉密信息查询条件,设定对指定目录或盘符下的指定类型文件进行内容检查,检查其是否包含涉密内容,系统支持进行包含“或”、“与”等多种逻辑的组合监测和模糊监测。
北信源内网安全管理系统产品白皮书
7.用户权限审计:审计用户权限更改及操作系统内用户增加和删除。
8.各自独立的权限分配体系:提供系统管理员、系统审核员(安全员)和系统审计员和一般操作员权限,分别进行不同的管理操作。
北信源内网安全管理系统产品白皮书
9.系统日志审计:不同权限管理员在Web控制台对终端用户的日志(系统日志、应用日志、安全日志等)进行远程读取查看。
4.10报表管理功能
1.系统提供完善的报表功能,能够根据按不同部门、不同操作系统提供软
北信源内网安全管理系统产品白皮书
硬件资产、审计信息、报警、状态及其他情况汇总报表,提供多种报表功能。
2.具备独有的“组态报表”查询功能,对于有关报表,能根据不同的需要进行多种不同条件组合(组合查询条件包括所属区域、单位名称、设备所在部门、设备名称、设备IP、操作系统及版本、IE版本、防范等级、运行状态、安装杀毒软件版本及厂商、CPU情况、内存情况、硬盘情况、设备使用人、设备最后使用时间等等),还可以生成多种不同的报表格式。
组态查询实例图
3.报表以网页的方式呈现,提供链接可在各项查询功能中跳转。报表可以方便的调整格式,并可以以Excel格式输出,以便打印。
4.可以根据需要输出成柱形图、饼图等。
北信源内网安全管理系统产品白皮书
输出柱状图实例
4.11事件报警管理
1.事件集中报警处理中心汇总所有内外安全管理事件的报警信息,并将报警按种类、级别分类,同时支持短信、声音、邮件、图形等报警方式。同时,报警中心自动把各种报警信息汇总成为高、中、低三个等级,显示各类发生事件的名称和发生事件设备名称、IP、MAC等信息,以便第一时间发现报警源头和类型,发现对网络危害最大的报警信息,以最快速度妥善处理事件,从而在最大程度上提高系统管理员对网络突发事件的快速反应能力。
2.客户机发给管理服务器相关的报警信息可预设置级别,管理服务器把已注册客户机的报警信息记录到异常情况记录表,同时,按管理员预定义的规则将部分紧急的报警信息发送给管理员(本系统必须有与手机短信报警平台的接口)。
3.对客户机的不当行为,管理服务器能按照预先制定的策略自动进行警告,管理员也可以通过管理服务器对特定的客户机发出警告信息或其它信息,这些信息的发送不会因客户机关闭而无法完成,对离线机器发的信息在其开机后即弹出。弹出窗口以“阅毕”按钮关闭。信息可以定义有效期,客户机不会看到过期信息。管理员可以根据需要删除发出的信息。
4.对客户机的不当行为,管理服务器能按照预先制定的策略自动进行警告,管理员也可以通过管理服务器对特定的客户机发出警告信息或其它信息,这些信息的发送不会因客户机关闭而无法完成,对离线机器发的信息在其开机后即弹出。弹出窗口以“阅毕”按钮关闭。信息可以定义有效期,客户机不会看到过期信息。管理员可以根据需要删除发出的信息。
5.系统将通过短信平台将手机短信直接发送到下级安全管理员。
北信源内网安全管理系统产品白皮书
报警设置实例图
4.12第三方接口管理
1.PKI/CA认证联动接口 2.防火墙联动接口 3.网管软件联动接口 4.安全管理平台联动接口 5.其它第三方接口
5.产品运行配置 5.1硬件配置
建议配置:双Intel至强CPU,主频2.8G或以上;
120G硬盘或以上; 2G内存或以上;
北信源内网安全管理系统产品白皮书
注意:
所选择的Windows服务器须支持冗余/高可用的配置,能够保证系统无单点故障。能够支持7*24小时连续运行,同时具有良好的容错能力。如需考虑未来管理计算机数量的增长,服务器还应具备一定的扩充能力。
5.2软件配置
系统服务器所需的软件环境:
1)操作系统:MS Windows 2000/2003 Server;
2)数据库: MS SQL2000企业版或MS SQL2005企业版(SP4); 3)服务器安装IIS服务; 系统客户端所需的软件环境:
操作系统:Microsoft Windows 98/2000/2003/XP/win7/Vista
北信源内网安全管理系统产品白皮书
6.关于北信源
6.1.公司简介
北京北信源软件股份有限公司(以下简称“北信源公司”)创立于1996年,注册资金5000万人民币,主要从事内网安全管理系列产品的研发、生产、咨询和服务。公司总部位于中关村高新科技园区,有近400名信息安全专业研发、生产、咨询和服务人员,下设上海分公司、华东支持中心、华南支持中心及各省市近三十个办事处。
经CCID、中国计算机用户协会等权威部门统计,北信源内网安全管理系统在中国终端安全管理审计及移动存储介质管理市场占有率连续四年保持第一。荣获“2006、2007、2008、2009中国终端安全管理审计及移动存储介质管理占有率最高产品”、“2006、2007、2008、2009中国终端安全管理审计及移动存储介质管理市场成功企业”、“2007-2008中国软件十大领军企业”、“2007十大金融科技创新企业”、“中国信息化突出贡献单位”、“公安部科学技术奖”、“2007中国信息安全终端安全管理及审计产品值的信赖品牌奖”、“2007中国电子信息用户满意企业”、“2008中国信息安全行业影响力重大终端安全管理品牌”、“中关村十大软件品牌”、“中关村十大IT产品最佳安全管理软件品牌”、“Intel最佳桌面管理解决方案合作伙伴”、“2009内网安全突出贡献奖”、“中关村TOP100”等多项殊荣。公司现已成功打造国内信息安全软件知名品牌“北信源”、“VRV”。
作为我国民族信息安全产业的标志性企业和优秀代表,北信源公司将依靠自有的安全技术和产品本着继往开来的创新姿态,为构筑中华民族的信息安全长城而不懈努力。
北信源内网安全管理系统产品白皮书
6.2.联系方式
北京北信源软件股份有限公司
地址:北京市中关村南大街34号中关村科技发展大厦C座16层 邮编:100081 电话:010-62140485/86/87
传真:010-62140468 网址:www.xiexiebang.com
第三篇:内网安全管理系统软件技术要求
附件二
内网安全管理系统软件招标技术要求
一、产品总体要求
1、公司的资质:公司成立10年以上,具有自主研发能力,有成熟稳定的研发队伍的软件行业企业。
2、产品资质要求:必须是自主研发,稳定销售8年以上;拥有自主知识产权,通过公安部检测,获得公安部销售许可证,至少拥有以下资质证明: 公安部《计算机信息系统安全专用产品销售许可证》; 国家版权局颁发的《计算机软件著作权登记证书》; 国家版权局颁发的《计算机软件产品登记证书》;ISO9000质量管理体系认证。
3、产品实施简单,可操作性强,实施后必须保证网络稳定畅通,系统正常运行,不影响正常开展工作。
4、*至少有五家500点客户的安装实施经验。
5、有丰富的行业客户服务经验,能提供后续技术支持和维护更新等服务。
二、技术规范要求
2.1 系统要求
▲客户端操作系统支持包括:Windows98/Me/NT/2000/XP/2003/Vista/Win7/2008,必须同时支持32位及64位系统。
▲所有监控功能都能按计算机和用户两种模式实现。
▲必须支持瘦客户机、终端服务器、无盘工作站等的使用模式。
*监控系统的部署必须支持多种安装方式,包括web安装、域脚本安装、远程安装以及域组策略安装等。
*必须提供分布式服务器管理功能,并且需要支持跨区域部署管理。*必须隐藏客户端进程。
*支持与AD域的结合,可与域组织架构实时同步。管理端必须支持C/S架构登录。
客户端在离线情况下,控制及日志记录功能依然生效。
附件二
2.2 功能要求
2.2.1 基本功能
能获取计算机的基本信息,包括计算机名称,网络地址,操作系统,登录用户,当前状态等信息,以及计算机多用户登录信息的查看。
▲支持增加管理员账户并对账户权限可实现细化,如管理范围、功能权限。同时可对非系统管理员的账户可禁用、删除以及修改密码,方便权限回收。
*必须具备管理员以及审计员账户,且相互独立,并且能够提供记录管理员操作的审计平台,包括管理员登陆系统,查看日志,对内网计算机的控制等等。
*支持对各终端所设置策略的总览以及对策略的应用查询方便管理员掌握终端的策略情况,同时具有对策略的导入导出功能及复制功能。*支持邮件报警功能,可以将违规行为详细记录为日志形式并通过邮件发送至指定邮箱。*支持设定自动关机功能,提供在指定时间关机、注销及重启的功能
支持按工作时间段进行策略设置,灵活管理。
支持远程对计算机进行键盘鼠标操作锁定、关闭、重启、注销和发送通知信息等。支持对3g上网卡拨号的日志记录。
2.2.2 基本控制功能(包括基本模块及设备管控模块)
能控制计算机对本机系统设置的操作权限,包括以下多项属性,并且各项可以单独控制: *IP/MAC绑定:修改网络IP/MAC配置
控制面板:控制面板、设置屏幕属性、添加打印机、删除打印机、快速切换用户。计算机管理:设备管理器、使用磁盘管理、本地用户和组、系统服务管理、其它计算机管理。
系统:任务管理器、注册表编辑器、命令提示符、运行注册表中Run下的程序、运行注册表中Run Once下的程序
网络:修改网络属性、显示网上邻居、修改Internet选项、默认网络共享、使用网络共享、增加网络共享
其它:使用print screen键复制屏幕、系统还原、Windows自动更新
▲可以控制内网计算机对常用设备的使用权限,支持对刻录机可读不可写的控制
存储设备包括:软驱,光驱,刻录机,磁带机,可移动设备(U盘,移动硬盘,记忆棒,智能卡,MO,Zip)、便携设备(智能手机)等;支持对上面各项的单独控制。
通讯设备包括:串口、并口、USB 控制器和连接器(HUB)、SCSI接口、1394控制器红外线、PCMICA卡、蓝牙设备、MODEM、直接电缆连接、拔号连接等;支持对上面各项的单独控制。
网络接入设备:包括无线网卡,pnp网卡,虚拟网卡等;并且可以对它们单独控制。其它:声音设备,虚拟光驱,任何新设备等的使用。
▲支持USB设备的细分控制,即以下每项可单独控制,支持3G上网卡的控制。USB设备:USB 键盘、USB 鼠标、USB Modem(3G上网卡)、USB 映像设备、USB CDROM、USB 存储、USB 硬盘、USB 网卡、USB其他USB设备;支持对上面各项的单
附件二
独控制。
*支持禁止增加非系统硬盘。
*支持对Iphone等便携式设备的控制 *支持对任何其他外设的控制
*支持对无线网络的连接控制,限制禁止连接的无线网络。
对计算机的硬件变化,设备的插入拔出,存储设备变化,通讯设备变化,软件变化,系统服务变化,启动项变化,系统时钟变化,计算机名称变化,网络配置变化等能提供报警信息并作为日志记录。
2.2.3 移动存储控制
支持对内网计算机控制其对指定移动存储设备的读写权限。支持自动收集客户端上使用过的移动存储信息,并可以自定义添加备注信息。同时支持移动存储分类库,允许对移动存储进行自定义分类,按类库进行管理。支持可按照对移动存储的描述进行控制。
支持所有通过USB接口方式连接计算机的存储设备。
支持在指定计算机上使用制定移动存储设备时,自动对复制/移动的文件进行加解密控制,加密后的文档只允许在具有自动解密权限的客户端计算机处才能打开,否则打开为乱码。
支持将指定移动存储格式化成加密盘,只能在内部装了客户端的计算机处正常使用,非客户端计算机无法使用。
能够记录内网计算机使用移动存储设备的情况;包括操作时间,操作类型(插入/拔出),计算机、用户、移动存储类型等。
2.2.4应用程序管控
支持通过禁止应用程序分类或禁止应用程序名称、应用程序窗口标题的形式来禁止计算机使用非法程序。
针对应用程序更改名称或路径的情况,所做的控制必须依然生效。能自动收集客户端计算机运行过的应用程序,并支持分类管理。
支持记录所有应用程序的启动/关闭、窗口的切换标题动作;并可以按时间范围,计算机范围,应用程序名称,应用程序路径、窗口标题这几种查询条件查询。
支持通过自定义的时间范围,对单个工作人员,部门,或整个网络的计算机的应用程序使用情况进行统计;
统计结果必须有列表和图表两种显示方式;
统计方式必须包括是:按应用程序类别统计、按应用程序名称统计、分项统计(统计各组计算机的应用程序使用),按明细统计等。
2.2.5远程维护
支持远程查看网络内的客户端计算机当前运行的应用程序,进程,性能,设备管理,系统服务,磁盘管理,共享文件夹,计划任务,用户和组等。同时支持对应用程序,进程,附件二
设备管理,系统服务,共享文件夹,计划任务的控制。支持对客户端的远程控制。
支持远程文档传输,提供客户端与控制台相互传送文件的功能。必须支持经过客户端允许或密码设定才能远程控制。支持远程卸载客户端计算机上软件功能
2.2.6屏幕监控
▲屏幕历史记录的数据量:平均一帧数据量少于▲支持对指定应用程序运行过程的屏幕记录。▲支持对应用程序的变频记录。
25K 支持通过控制台实时查看员工当前工作的计算机桌面,并可将当前屏幕保存为图像,支持对终端用户登录的屏幕分屏查看。支持同时对多屏进行监视。支持扩展显示器的监视。
能记录计算机当天的屏幕历史画面,并可以按指定的计算机查看指定日期范围内的屏幕历史记录,以播放器的方式播放某一天的屏幕历史,并可将当前播放的屏幕历史另存为视频文件。
2.2.7资产管理
支持对客户端计算机的硬件和软件资产信息的统计,并支持按分组或计算机统计硬件和软件的分布情况,同时支持设置自定义查询条件。
支持自定义添加企业内的非软硬件资产信息,并支持设置自定义查询条件。
支持实时查看客户端计算机补丁情况,并允许对补丁进行修补,同时不需要另外搭建wsus服务器。
支持自动扫描计算机的系统漏洞并提供解决漏洞问题的建议。支持通过控制台集中向客户端自动分发安装程序并自动安装,或分发各种文件到指定的目录下,以及分发其它执行程序到目标计算机的功能。支持对硬件资产添加自定义信息描述。
三、可靠性要求
数据库的存储能力及维护,为节省数据库维护成本以及防止因部分数据库损坏而影响所有数据,需要对日志数据采用按天存储的功能。每天产生独立的数据库,数据库出错无法修复也只影响受损数据库所保存的当天数据。
当操作系统处于正常模式和安全模式下都能正常监控。
要求监控系统有一定的自我保护能力,不会轻易遭到破坏,并且不能自行卸载,必须通过授权才能卸载。
每个服务器支持超过3000个终端在线管理。
系统进行局域网发现时节点占用带宽不超过20Kbps。
附件二
系统进行文件分发、文件传送等操作时占用带宽不超过200Kbps。系统在局域网环境内进行一遍节点轮询占用带宽数不超过20Kbps。附注:三年免费质保,三年免费服务。产品支持570个工作站。
第四篇:内网边界管理系统
网络边界安全
一、网络边界背景
早期的网络只是为了使分布在不同区域的人们资源共享和通信而建立的。网络发展到今天,全世界的计算机联成了网络。而网络安全也随之而来。信息泄密、外来攻击、病毒木马等等,越来越多的网络安全问题让网络管理者难以应对,而如将内网与外网完全隔开,就会形成信息的“孤岛”,业务无法互通,资源又重复建设,并且随着信息化的深入,在各种网络上信息共享需求也日益强烈。
二、网络边界防护手段
不同安全级别的网络相连,就产生了网络边界。一般来说,防止来自网络外界的入侵,就需要在网络边界上建立可靠的安全防御措施。
从防火墙技术的到多重安全网关技术,再到不同时连接两个网络的网闸技术,都是采用的关卡方式,“检查”的技术各有不同,但对黑客的最新攻击技术都不太好用,也没有监控的手段,对付“人”的攻击行为来说,只有人才是最好的对手。
三、现有边界防护技术的缺陷
面对各种各样包含新技术的攻击手段,现有的防护产品以及其附带的防护技术是否能实现预定功能。现有的安全管理员还不能对这些防护产品性能足够了解,就谈不上正确使用,把产品功能发挥出来。
再说网络边界防护是一个长期需要大投入的工程,一般的主管安全的领导及安全管理员根本不清楚遭受攻击的一些细节,安全管理员根本不知道该怎么防,往哪里防。
购买最新的安全防护产品,或是花大量的时间、资金培养几个资深的安全管理员,且不说两者能不能配合,能不能防住,使边界安全防护达到预期的目标,单单投入方面也不是现有的企业目前所能够承受的。
根据我国现阶段现状,政府和企业不可能在网络安全方面大量投入,而有限的资金又不能投入到最需要的地方去,造成大量的资金浪费。该防的没建设,目前不用防的反而建设了。
对于公开的攻击,只有防护一条路,比如对付DDOS的攻击;但对于入侵的行为,其关键是对入侵的识别,识别出来后阻断它是容易的,但怎样区分正常的业务申请与入侵者的行为是边界防护的重点与难点。
四、符合中国特色的边界管理
面对上述种种问题,现有边界防护技术和产品远远不能满足我国机构和企业的需要。那么我们必须转变思想,找出路!
既然我们现阶段有资金,人员及技术各方面的限制,不可能把网络边界打造成“钢墙铁壁”。没钱修“城墙”,守卫又不合格,那么只能多装摄像头,对所有的边界监控起来,达到不留“死角”的程度。一旦发现有攻击、入侵行为马上报警,马上处置,然后针对被攻击或入侵的薄弱地点,修一段“城墙”,重点防御。较低的投入,把现阶段安全问题管起来,最后达到一个可控可管,齐抓共管的局面。
网络边界安全问题主要可以分为两个方面,一个是由于外网接入到内网中,从而带来的网络安全问题,另一个是内网内部产生的网络安全问题。对于外网的接入,一般网络上都增加了防火墙、VPN路由器等来保证网络的安全,对于在内网出现的问题就没有设备来保证网络的安全问题了。浙江远望电子有限公司的内网边界检查系统出现就解决这个问题,从内部网络开始检查,查找相关的问题,找到问题的源头,进行预警,预警提示后在进行技术或人工手段来阻断相关的问题。远望内网边界检查系统也可以对外网的接入进行监测,通过预警把相应的情况报告给管理员,由管理员进行手动直接断开外来接入或通过网络上技术的手段进行网络断开。并且远望内网边界检查系统可以实现多级级联,逐级对网络进行安全管理。
五、远望内网边界检查管理系统
远望内网边界检查管理系统,通过对内网边界安全监测和管理,防止外来计算机、网络等通过非法手段接入内网,防止因内网边界问题而导致信息泄密,病毒木马入侵,带宽资源因没有注册的设备增加而被严重胡乱占用。通过违规外联和线路边界的发现和监测技术,配置网络边界发现策略,全面发现网内的设备边界和线路边界的异常情况,实现对违规行为的阻断,确保内网的安全。
通过技术手段对网内的设备边界和线路边界的异常情况进行实时扫描、自动检测,及时发现线路边界问题,把相关信息反映到管理员控制页面上。同时在规定时间内对通过非法接入内网等边界问题进行阻断。
平台通过边界注册建立合法边界白名单,并依靠技术手段自动实现网络边界的检查,及时发现存在的非法网络边界,并对违规事件进行取证,方便查找相关责任人以及后续处理。同时支持对违规外联和非法网络边界点的自动预警,将发现的边界违规情况在安全管理平台上产生预警和通报,第一时间责令相关人员进行整改。
第五篇:加油IC卡系统产品白皮书
加油IC卡系统产品白皮书
一、前言
加油IC卡系统是西安赛思通公司专为成品油零售企业开发的一套信息管理系统,至今已有2年多的历史。在中国石油天然气集团公司有上千家加油站在使用本系统,系统目前已为中国石油天然气集团公司的近万家客户提供了快速便捷的服务,获得了用户的高度认可。为了方便用户全面了解系统的情况,本公司编写了此产品白皮书。
二、产品概述
1、市场背景
零售市场发展迅速
国内石油公司近年来持续在终端销售网络建设上加大投入,新建、收购、合资、联营、加盟等多种手段并举,加油站数量快速扩张,零售销量比重日益提高并超过批发量,成为石油销售公司经营管理的重点关注领域。
市场竞争日益激烈
除国内传统的竞争对手外,还日益受到国际(如:壳牌、BP和艾克森美孚)石化企业的冲击。目前零售市场已全面开放,下游市场基于服务和品牌的竞争,将随着零售市场开放以及在2006年成品油批发市场开放后会进一步加剧。
客户要求不断增加
随着中国石化加油IC卡的全国联网和推广,以及国际石油公司成熟的多元化服务模式的引入,客户对石油公司的要求增加,忠诚度降低,维持老客户和吸引新客户的成本会越来越高。
加油站客户管理及服务手段亟待提高
零售业务主体面向终端用户从事油品销售及服务业务,加油站作为面向客户的窗口,零售客户尤其是集团客户的开发、管理与服务始终是其营销工作的重中之重。借助先进的信息化等技术手段提供方便、高效的客户管理与服务,是目前零售业务经营管理中亟待解决的问题。
2、产品目标 加油IC卡系统利用现代化网络技术、IC卡技术,以IC卡为载体,以加油站后台电脑为操作平台,支持客户持卡在全公司范围内进行加油结算,并通过该系统提供客户IC卡账务管理、集团客户加油管理与服务、个人客户加油积分营销、自用油管理,以及内部结算、清算管理,实现整体营销,提升客户管理手段。最终达到一卡在手,全公司加油。
本系统的主要目标是为客户建立一个基于IC卡的销售网络,它是一个基于互联网的在线销售管理系统。这个系统一天24小时,一年365天随时在线,保证用户随时随地的使用。它可以实现公司总部、营业网点、加油站销售数据的即时管理,方便用户对IC卡加油业务的管理。
3、产品说明
加油IC卡系统基于SOA的思想,采用多层架构。充分体现了系统的易扩展性、易维护性,为用户今后在系统维护和功能扩展方面留下了充分的余地。多层架构在用户数据量增加时,可以直接通过增加硬件进行性能提升,不需要进行软件修改,保护了用户的初始投资。
基于用户使用分布面较广的情况,系统基于Internet进行工作。为了保证数据的一致性,采用集中式数据库。整个系统是一个分布式的C/S架构。
本系统主要包括以下几个子系统: IC卡制卡系统 IC卡业务管理系统 加油站管理系统 客户自助IC卡查询系统 系统管理系统 应用服务管理系统
4、客户价值
使用IC卡系统进行加油管理,对客户将带来以下几项收益:
1.在卡内沉淀大量资金,给客户提供了一份无息长期贷款。随着用户数的增加,一部分资金将可永久使用。
2.提高用户使用满意度,稳定用户群。
3.本系统采用SOA架构,以后客户可以方便的扩展功能或与其它系统集成。最大限度的保护了用户投资。避免了因业务增长,需要修改软件而无法进行,只好重新开发新系统的情况。
5、使用环境
系统软件环境
数据库服务器:Win2003 server或以上;SQL SERVER2000中文版或以上。应用服务器:Win2003 server或以上。客户机:WinXP/Vista。
以上操作系统应安装有DotNet Framework2.0。 硬件环境
数据库服务器和应用服务器:
Intel 至强双核或四核CPU、最小内存4G、硬盘最小剩余空间2G、100M/1000M网卡。
客户端PC机:
Intel P4及以上、最小内存512M、硬盘最小剩余空间500M、100M/1000M网卡、17寸显示器、支持32位真彩色的显卡。 网络环境
应用服务器和数据库服务器位于公司总部,布署在同一局域网内,使用1000M网络带宽互联。应用服务器应保证公网IP、端口以及域名,并以最小10M带宽接入互联网,保证远程客户端的访问。总部内部客户机使用局域网接入系统应用服务器;分公司、营业网点和加油站采用1M带宽ADSL接入互联网,通过域名或IP地址访问应用服务器。
6、名词解释
个人客户
个人客户主要包括加油地点较随意、以现金方式为主、注重品牌与服务等,通过积分IC卡会员制、定额IC卡一次性购买优惠等手段,实现优质服务、精细管理,达到锁定客户、促进消费,提高忠诚度的目标。集团客户 集团客户(或称为单位客户)主要包括招投标签订合同、车辆管理、定期结算、优惠定价等等,可采用的解决途径包括统一客户资源、区域内跨站加油、主副卡车辆管理、灵活优惠策略等,通过记账IC卡、预付费IC卡方式实现对集团客户的管理与营销。预付费卡
预付费卡主要面向集团客户及个人客户。在开户完毕后,需预先存入现金,才能持卡到加油站加油。在余额不足时,需进行充值和结算操作。它的主要特点如下:
1、需办理完整的开户手续;
2、仅限于加油使用,不可提取现金、不能透支、不计利息;
3、有单用户卡和多用户卡两种形式;
4、多用户卡包括一张主卡和若干张副卡,主卡对副卡具有管理功能,副卡只能用于加油,所有的副卡共享使用主卡的账户金额,若需要限定副卡的使用额度,可由主卡对其设定。主卡只具有管理功能,不可用于加油;
5、可享受积分优惠。记账卡
记账卡主要面向集团客户。在开户时,需评定客户的授信额度,设定结算周期,客户才能持卡到加油站加油。记账卡可用额度的初始值与其授信额度相等,持卡加油后,其可用额度逐步减少,在可用额度不足或到结算周期时,需到相关网点进行结算,回滚可用额度才能允许继续加油。它的主要特点如下:
1、需办理完整的开户手续,评定授信额度;
2、有单用户卡和多用户卡两种形式;
3、多用户卡包括一张主卡和若干张副卡,主卡对副卡具有管理功能,副卡只能用于加油,所有的副卡共享使用主卡的账户可用金额,若需要限定副卡的使用额度,可由主卡对其设定。主卡只具有管理功能,不可用于加油;
4、可享受积分优惠。定额卡
定额卡在办理时无需提供用户资料,充值金额由客户确定。定额卡不能享受积分、不能办理挂失及清户手续。自用油卡
自用油卡是主要面向内部使用的IC卡,只做统计使用,不进行帐务核算。
三、产品架构
1、业务架构
2、程序架构:
本系统采用三层架构,方案如下:
3、部署架构
四、产品安全
1、基础安全设计
系统的基础安全主要包含四个方面的内容:身份验证、授权访问、安全审核、数据安全。整个系统安全采用RBAC模型,也就是基于角色的访问控制。下面来分别对每一部分进行说明。
1、身份验证
所有系统资源必须在用户身份得到验证以后才可访问,访问权限由访问身份决定。所有未经授权的用户,均无法访问系统。身份验证采用用户名加密码的方式来实现,用户名不能重复使用。在用户忘记密码时,系统管理员可以将密码置为初始密码,但无法查获用户原来使用密码。用户密码使用单向加密码算法进行加密,程序员不可能利用算法推算出用户密码。在对用户密码进行加密时采用帐号做为Salt进行加密,保证不同用户在密码相同时,在数据库中存储也不相同。这样将无法采用数据库复制密码的方式来破解系统。用户密码在数据库采用加密方式存储。
2、授权访问
授权访问主要是通过RBAC模型来实现的。系统的所有权限授予角色,用户通过加入不同角色来获取相应权限。RBAC模型已很成熟,在此不再详述。
3、安全审核
系统对所有涉及安全的访问均进行日志记录,这样即使系统安全被攻破,也能留下各种相关记录,以便事后查询。
4、数据安全
本系统的数据安全实现以下两点:一是不同的平级部门的用户不能互相查看任何业务数据。二是上级部门可以查看下级部门的任何业务数据。数据权限不能通过授权的方式来获得。
2、通讯安全设计
本系统是一个基于互联网的分布式系统,大量的关键业务数据在互联网上传送,通讯安全非常重要。本系统采用VPN+.Remoting的方式来实现互联网上的通讯。VPN来保证传输的安全性,.Remoting采用二进制方式进行传输,以此来保证系统的高效性。
3、IC卡系统的安全设计
1、生成密钥
首先,由领导输入初始密码(8位),然后由系统根据该密码进行运算,计算出系统的A密码和B密码,最后将A密码保存至数据库,将B密码保存至IC卡中。
系统中的A密码用于控制对加油卡读取数据,B密码用于控制对加油卡写数据,只有验证B密码正确,才能进行密码的更改及数据的写入。
2、制卡
在进行制卡时,读取系统的A、B密码,将A、B两套密钥装载至卡中,然后将卡号写入加油卡中。同时将卡的序列号读出,系统将卡序列号,卡号及A密码(该信息需加密存储)记录在数据库中,防止卡被复制。
3、读卡 需要读数据时,先从卡中读出卡序列号,然后在数据库中查找该序列号对应的卡号及A密码,将该卡号和A密码与卡中的相关信息进行比对,若相同则认为是合法卡,否则,给出错误提示,该卡不能使用。
4、其它安全设计
本系统是一个管理钱的系统,数据的准确性与不可篡改性非常重要。系统内部所有涉及钱的业务部分均采用标准财务记帐的方式来进行处理。所有涉及钱的单据均不能删除,只能采取红字冲帐的方式进行处理。系统设计有帐务自动审核系统,在夜间自动记帐时对帐务进行审核。一旦出现非法修改系统数据现象,将会自动记录日志报警。并对非法客户或卡进行封锁。
五、产品主要功能
5.1业务管理子系统
5.1.1系统操作
1.登录 2.修改密码 3.系统初始化
5.1.2业务流程处理
1、发多用户卡
2、发单用户卡
3、发定额卡
4、多卡授信
5、客户充值
6、充值撤单
7、定额卡销售撤单
8、卡挂失
9、卡解挂
10、卡注销
11、换卡
12、黑名单管理
13、优惠管理
14、卡限制信息
15、票据管理
16、积分管理
5.1.3查询操作
1、客户分类统计
1)分卡类型统计 2)分客户统计
2、客户积分查询
3、卡销售统计
4、定额卡销售查询
5、特殊业务查询
6、业务报表
1)销售明细查询(营业网点)2)定额卡销售日报(营业网点)3)定额卡销售日报 4)定额卡销售月报 5)加油IC卡充值日报 6)加油IC卡充值月报 7)加油IC卡销售日报 8)加油IC卡销售月报 9)加油流水查询
7、客户往来查询 1)客户往来明细查询 2)客户往来日帐查询 3)客户往来月帐查询 4)客户IC卡加油查询
8、加油站报表查询
1)加油站日明细报表查询 2)加油站日报表查询 3)加油站月报表查询
9、分公司报表查询
10、定额卡账务查询 1)定额卡明细账查询 2)定额卡日账查询 3)定额卡月账查询
11、客户消费信息查询 1)客户累计消费查询 2)客户消费明细查询
5.1.4自用油操作
1、自用油客户管理
2、自用油报表查询
1)加油站自用油明细查询 2)加油站自用油日报 3)部门自用油月统计查询
5.1.5清分清算
1.清分清算
2.清分清算明细查询 5.2加油管理子系统
5.2.1系统操作
4.登录 5.修改密码 6.系统初始化
5.2.2业务处理
1.查看卡片基本信息 2.加油支付 3.错单处理 4.打印单据
5.2.3报表
1.加油站班报 2.加油站日明细报表 3.加油站日报表查询 4.加油站月报表查询
5.3 IC卡管理子系统
5.3.1系统操作
1.登录 2.修改密码 3.系统初始化
5.3.1业务处理
1.管理卡制作 2.IC卡制卡 3.卡复位 5.4系统管理子系统
5.4.1系统操作
1.登录 2.系统初始化 3.修改密码
5.4.2基础资料管理
1.内部单位管理 2.地区管理 3.地区单位管理 4.油品资料管理 5.方式类别管理 6.零售价格录入 7.记账期间设置
5.4.3安全管理
1.角色管理 2.操作员管理 3.系统功能维护 4.角色功能授权 5.操作员授权管理 6.日志浏览
六、产品性能安全指标
1、性能指标
在给定的硬件环境下,用户的界面响应灵敏度小于1秒,响应时间小于5秒。系统可支持100个同时在线用户。
2、网络安全
1.提供通讯保护,通过观察通信数据而不可能推断出其中的机密信息。2.在网络突然中断时,不能发生数据错误。3.网络用户不能采用非法方式进入系统。
3、系统安全
1.、身份验证。要求为所有进入系统的用户必须经过身份验证。
2、系统功能采取授权方式访问。
3、对关键数据访问有审核,并记录日志。
4、可以实现数据安全认证。
七、结束语
加油IC卡系统作为一种以卡代币的零售方式管理软件,全面实现了IC卡的制作、发放、使用、管理、统计等各方面的功能。它对成品油零售企业提升管理水平,增强客户忠诚度方面起到了积极的作用。系统在设计过程中,充分考虑了当前各种IC卡、磁卡的使用模式,几乎兼容现有各种模式。对方便最终用户使用,方便客户管理业务,提供了一个强大的管理工具。我们相信,通过使用本系统,一定会给客户带来意想不到的各种好处。如果您想要更深入的了解本系统,赛思通公司随时欢迎您的垂询。
点击咨询 