第一篇:北信源VRVEDP内网安全管理系统手册
特 别 声 明
本使用手册由《北信源内网安全及补丁分发管理系统》产品安装配置指导手册、用户手册、产品维护手册三部分组成,其内容将随着北信源软件的不断升级而改变(以光盘中电子版发行时为最新版),恕不另行通知。需要者请从北信源公司网站下载本手册的最新电子版或者直接联系北信源公司索取。
《北信源内网安全及补丁分发管理系统》产品由《北信源内网安全管理系统》及《补丁分发管理系统》两大套件构成。 本使用手册为《北信源内网安全及补丁分发管理系统》通用说明书。若您独立购买《北信源内网安全管理系统》或《北信源补丁分发管理系统》之一产品,本说明书的其它功能将不具备。 两大套件主要区别:《北信源补丁分发管理系统》不具备违规联网监控、客户端安全管理和桌面管理功能;《北信源内网安全管理系统》不具备补丁自动分发功能。请您在使用过程中选择性阅读相应章节。
感谢您购买北京北信源自动化技术有限公司研制开发的内网安全管理及补丁自动分发系列软件。请在使用本软件之前认真阅读本使用手册,当您开始使用该软件时,北信源公司认为您已经阅读了本使用手册。
快速阅读指南
1.详细阅读本软件组件功能、组成、作用、应用构架,确切了解本软件的系统应用。2.安装准备软件环境:Microsoft SQL Server2000、Windows 2000 Server、Internet 服务管理器;建议将数据库管理系统、区域管理器、WEB管理平台安装在同一服务器上,确认区域管理器所在机器的88端口不被占用(即非主域控制器);防火墙应允许打开88,2388,2399,22105,8900,8901,22106,22108,8889端口。3.按步骤安装各组件后,通过http://*.*.*.*/vrveis登录Web管理平台,首先对Web管理平台进行如下配置:添加区域→划分该区域IP范围→指定区域管理器→指定区域扫描器。4.5.双击屏幕右下角区域管理器、单击主机保护进行通讯参数配置。在VRVVRVEISdownload目录中,使用RegTools.exe工具修改DeviceRegist.exe文件中的本地区域管理器IP,将修改后的注册程序DeviceRegist.exe放在机构网站上进行静态网页注册,或者在机构网站上加载动态网页检测注册脚本语句,进行动态设备注册。6.系统升级:联系北信源公司获取最新的软件组件升级包,确保Web管理平台、区域管理器、客户端注册程序等组件的升级。
特别提示:默认管理员用户:admin,密码:123456;系统指定审计用户名:audit,密码:123456请注意修改。
第一章.系统介绍........................................................................................................5 1-1 产品组成............................................................................................................5 1-2 应用构架............................................................................................................7 第二章.系统安装........................................................................................................8 2-1 安装环境............................................................................................................8 2-2 安装注意事项....................................................................................................9 2-2-1 软件安装监控服务器部署注意事项.........................................................9 2-2-2 软件安装和应用过程中注意事项...........................................................10 2-3 系统组件安装..................................................................................................11 2-3-1 安装SQL server数据库.........................................................................11 2-3-2 安装WinPcap驱动模块...........................................................................11 2-3-3 安装远程技术支持模块............................................................................11 2-3-4 初始化数据库...........................................................................................11 2-3-5 安装Web中央管理平台...........................................................................14 2-3-6 安装区域管理器Region Manage............................................................15 2-3-7 配置设备扫描器模块Region scan........................................................16 2-3-8 安装补丁下载服务器模块.......................................................................17 2-3-9 安装管理器主机保护模块.......................................................................18 2-3-10 安装报警中心模块.................................................................................18 2-3-11 客户端注册及下载.................................................................................18 第三章 系统应用........................................................................................................27 3-1配置与管理.......................................................................................................27 3-1-1 区域划分...................................................................................................27 3-1-2 区域管理器配置.......................................................................................30 3-1-3 扫描器配置...............................................................................................35 3-1-4 注册程序配置...........................................................................................38 3-1-5 注册部门配置与管理...............................................................................41 3-1-6 自定义组分配与管理...............................................................................44 3-1-7 IP与MAC绑定列表..................................................................................45 3-2策略中心............................................................................................................46 3-2-1 阻断违规接入管理...................................................................................46 3-2-2 策略管理中心...........................................................................................47 3-3数据查询............................................................................................................84 3-3-1设备信息查询.............................................................................................87 3-3-1-2注册设备资产查询..................................................................................88 3-3-1-3硬件变化设备查询..................................................................................91 3-3-1-4设备安装软件查询..................................................................................88 3-3-1-5设备首次运行进程查询..........................................................................89 3-3-1-6共享目录查询..........................................................................................90 3-3-1-7设备IP占用状况列表............................................................................91 3-3-7移动设备审计查询.....................................................................................92 3-3-7安全策略违规查询.....................................................................................94 3-3-8涉密检查查询.............................................................................................95 3-3-9消息确认查询.............................................................................................96 3-3-11软件分发查询...........................................................................................97 3-3-12软件分发统计...........................................................................................97 3-4终端控制...........................................................................................................98 3-4-1终端管理:................................................................错误!未定义书签。3-4-2行为控制....................................................................错误!未定义书签。3-4-3 VPro 远程管理.........................................................错误!未定义书签。3-4-4远程协助....................................................................错误!未定义书签。3-5补丁分发...........................................................................错误!未定义书签。3-6运维信息...........................................................................................................98 3-6-1客户端流量排名......................................................................................116 3-6-2客户端流量统计......................................................................................117 3-6-3运维状态异常..........................................................................................117 3-6-4网络拓扑发现............................................................错误!未定义书签。3-7报警事件.........................................................................................................119 3-7-1报警数据查询..........................................................................................119 3-7-2图形化报警..............................................................................................123 3-7-3本地报警数据汇总..................................................................................123 3-8级联总控.........................................................................................................127 3-9统计报表.........................................................................................................133 3-10系统维护.......................................................................................................135 第四章 补丁分发管理..............................................................................................142 4-1 区域管理器补丁管理设置............................................................................142 4-2 补丁自动下载分发........................................................................................143 4-3 客户端补丁检测
(一)................................................................................148 4-4 客户端补丁检测
(二)................................................................................150 4-5.本地补丁分发综合查询..............................................................................150 4-6 补丁级联下载................................................................................................151 第五章 客户端阻断..................................................................................................153 5-1 扫描器组件配置............................................................................................153 5-2 阻断策略应用................................................................................................153 5-2-1 违规自动阻断策略.................................................................................154 5-2-2 手动设置针对设备的单独阻断策略.....................................................154 5-2-3 硬件防火墙联动阻断策略.....................................................................155 第六章 网络接入认证管理......................................................................................157 6-1 策略中心->接入认证策略->补丁与杀毒软件认证.........................................157 6-
2、策略中心->接入认证策略->进程服务注册表认证.......................................159 6-
3、策略中心->接入认证策略->802.1X接入认证认证......................................163 6-4、环境准备方法................................................................................................164 RADIUS安装与配置............................................................................................164 安装RADIUS........................................................................................................164 6-
5、各厂商交换机配置..........................................................................................177 1.Cisco2950配置方法...................................................................................177 2.华为3COM 3628配置...............................................................................178 3.锐捷RGS21配置.........................................................................................182 第七章 系统备份及系统升级..................................................................................183 7-1 系统数据库数据备份及还原........................................................................183 7-2 系统组件升级................................................................................................184 7-2-1 区域管理器、扫描器模块升级.............................................................184 7-2-2 升级网页管理平台.................................................................................184 7-2-3 客户端注册程序升级.............................................................................184 7-2-4 检查系统是否升级成功.........................................................................185 7-3 级联管理模式升级及配置............................................................................185 第八章 售后服务......................................................................................................187 第九章 附录..............................................................................................................189 附录
(一)微软SQLSERVER系统安装步骤...........................................................189 附录
(二)北信源内网管理系统名词注释........................................................195 附录
(三)移动存储设备认证工具操作说明....................................................196 附录
(四)主机保护工具操作说明....................................................................214 附录
(六)组态报表管理系统操作说明............................................................221 附录
(七)信息安全通告平台............................................................................230 第一章.系统介绍
1-1 产品组成
北信源内网安全及补丁分发管理系统由8部分组成:WinPcap程序、SQL Server管理信息库(安装包:环境初始化程序)、Web中央管理配置平台(安装包:网页管理平台)、区域管理器(安装包:Region Manage,原区域扫描器已作为模块集成到区域管理器)、客户端注册程序(安装包:注册程序)、补丁下载服务器、管理器主机保护模块、报警中心模块。
环境初始化程序:SQL Server管理信息库,建立北信源内网安全及补丁分发管理系统的初始化数据库。包括:网络客户端设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、注册(未注册)机器信息、设备属性变化信息、报警信息等。扫描器将设备最新状态信息同数据库中原有信息进行遍历搜索对比,根据规则要求在管理平台上报警。
Web管理平台:Web中央管理配置平台,本系统的管理配置中心。包括区域管理器、扫描器、注册客户端的功能参数设定,网络设备信息发现、系统应用策略制订、报警信息显示、定义任务功能制订、系统用户维护等配置操作。
Region Manage:区域管理器,系统数据处理中心。与管理信息数据库通讯,接收注册程序提供的用户信息,将用户信息(用户填写的物理信息和系统自动采集的硬件信息)并行存入数据库;接受来自控制台的命令操作,发送到客户端、扫描器执行。
对于存在多级管理要求的广域网,网络中可以存在多个区域管理器,系统数据提供逐级上报(转发)模式。
区域管理器内置网络扫描器,扫描器将设备最新状态信息报送至区域管理器,由区域管理器处理后,同数据库中原有信息进行遍历搜索对比,根据管理规则在管理平台上报警。
扫描器配合区域管理器进行工作,可以在分级模式下使用。扫描器只依据Web管理平台中配置的工作范围进行扫描,超越其范围,将不负责执行操作。
WinPcap程序:嗅探驱动软件,监听共享网络上传送的数据。
客户端注册程序:用户访问指定网站自动获得,用户填写本机信息,填写必要信息后上报区域管理器。注册程序自动探测系统硬件信息,连同用户填写的信息一同上报区域管理器。用户将本机注册信息发送到区域管理器后,区域管理器自动将客户端驻留程序应用策略发送给用户,并自动更新。
客户端驻留程序功能:
1.进行本机硬件属性信息变化监视; 2.进行本机IP、MAC地址变化审计;
3.本机系统补丁、软件安装、运行进程状况监测;
4.探测本机是否有违规联网行为,在内网管理中心或外网报警平台报警; 5.接受Web管理平台的管理命令; 6.阻断本机非法外联行为;
7.执行Web管理平台下发的各种策略操作。补丁下载服务器:安装在与Internet网络连接的机器上,用于实时下载补丁厂商发布的补丁。
管理器主机保护模块:管理器主机保护模块可根据管理器或其他服务器具体使用的端口、网络协议、通信IP范围和具体的其他网络应用来定义该计算机使用的安全级较高的网络配置,从而防止该计算机受到恶意的IP冲突以及各种网络、病毒攻击。
报警中心模块:安装在可与区域管理器所在服务器正常通讯的计算机上,本模块可以根据管理员在系统中所配置的报警事件和危险级别提供给管理员包括电子邮件、信使服务、SNMP Trap、手机短信等多种报警方式。
注:区域管理器(Region Manage)、区域扫描器模块(Region scan)、注册程序部分系统的参数配置集中体现在网页管理平台操作上,上述三部分功能参数、功能项数值统一在网页管理平台中进行配置。区域管理器(Region Manage)、扫描器模块(Region scan)部分参数在自身软件组件中配置。
1-2 应用构架
北信源内网安全及补丁分发管理系统应用于局域网、广域网构架,支持跨网段、跨地域的内网远程客户端管理及非法移动设备接入检测、网内计算机违规联网监视、网络安全隔离度监控等。
系统应用主要分为以下两种构架:
基本构架:对于一般网络(例如1个C类地址或若干个C类地址的局域网范围),可使用一套本系统软件,集中管理所属区域内的所有设备。
扩展构架:对于大规模的多个局域网或者跨地域广域网(包括基于国家、省、市、县等多级管理模式的网络结构),可使用本系统提供的多区域集中管理构架,即一个或多个网段各拥有一套独立北信源内网安全及补丁分发管理系统的同时,将本级所有设备信息再转发给上级管理数据库,使得上一级管理人员对整个网络的设备状况也能够完全掌握。
图1-1北信源内网安全及补丁分发管理系统应用拓扑
第二章.系统安装
2-1 安装环境
条件一:硬件环境
SQL Server数据库服务器:用于安装系统管理信息数据库。PC服务器或更高档服务器,PentiumⅣ 2.4C 以上CPU,512M以上内存。
区域管理器:用于安装区域管理器程序。百兆或千兆网卡,PC服务器或更高档服务器,PentiumⅣ 2.4C 以上CPU,512M以上内存。
扫描器模块:配置同区域管理器。如单独安装扫描器模块,比较高档的PC计算机即可。
本系统各程序可安装在同一台计算机上,也可在不同机器上安装SQL数据库、IIS服务器、区域管理器、扫描器模块等,此时推荐该计算机内存为1G以上。
建议将区域管理器、扫描器、网页管理平台安装在同一台机器上,作为监控服务器。
条件二:提供数据库、IIS服务
操作系统:Windows 2000或Windows 2003企业版操作系统。SQL Server2000软件:配备SQL Server数据库系统,用于北信源内网安全及补丁分发管理系统建立管理信息库数据库列表项。
IIS服务:配备IIS服务器提供Web服务,用于安装Web网页管理配置平台。如所装操作系统为Windows 2003企业版,则需要按照安装光盘中的Windows 2003的IIS配置说明进行IIS配置。
条件三:为本系统提供相应端口
北信源内网安全及补丁分发管理系统区域管理器将占用操作系统88端口,必须确保安装区域管理器的机器该端口不被占用。区域内的防火墙应打开如下端口:80,88,2388,2399,8901,8900,161,137,22105,8889,22106,22108以及ICMP协议。同时最好将DNS服务迁移至其它服务器。
2-2 安装注意事项
软件安装时,推荐将区域管理器、扫描器、数据库安装在同一台机器上(以下称为监控服务器),建议按照下面要求进行监控服务器部署、软件安装、客户端注册。
2-2-1 软件安装监控服务器部署注意事项
1、监控服务器在网络中放置位置注意点
确保该监控服务器能够ping通所有被管理网络中任意一台客户端机器,同时被管理客户端可以正常连接服务器的TCP的80,88两个端口。 监控服务器给客户端下达策略的端口为:TCP端口22105。 监控服务器扫描发现客户端利用以下协议及端口:
ICMP协议(发现IP地址存在的其中一种方式);
NETBIOS协议,UDP端口137(为了发现机器名和MAC地址); SNMP协议,TCP端口161(为了发现智能设备如路由器、交换机等); 在本地网络中若划分了VLAN,或本地网络存在防火墙,请注意上述问题。
2、存在网中子网(如经过地址转换)的网络布置点
对于网络中存在网中网现象,如采用NAT地址转化或者代理方式在10.*.*.*网络中接入192.*.*.*网段,这些子网用户的管理方式如下:
情况一:子网有专人管理,并且有独立机房,则应在该子网中安装一套完整的监控系统。
情况二:子网无专人管理,或无独立机房,可采用以下3种方式之一处理 1)机器数量少的建议统一更改IP为10.*.*.* 网段。2)由管理员监督子网中所有机器进行注册并保证不得遗漏。
3)在该网络中指定一台工作站专门安装区域管理器软件和区域扫描模块,并将区域管理器配置中SQL服务器地址指向监控服务器。
2-2-2 软件安装和应用过程中注意事项
1、必须按照软件安装步骤进行安装 1)确认本机IIS服务正常;
2)确认本机SQL已正常安装并能正常使用(以本地系统账户方式安装); 3)确认目标安装盘剩余空间不小于10G; 4)请务必按照指定顺序安装各个模块;
5)请在区域扫描模块所在计算机中安装SNMP服务;
6)安装完所有系统模块后,请一定按照说明文档进行客户端程序的配置及分发安装。
2、监控服务器的安全性问题
管理服务器安装Windows2000 Server操作系统(带IIS)、MS SQL Server2000数据库后,一定要确保对Windows2000、SQL和IE进行重要安全补丁修补,规范操作系统、数据库的口令和密码设置,保证SQL、IIS的正常启动运行。
确保本服务器无病毒,同时可配置本服务器网络通讯端口仅打开:80,88,6800,8901,8900,22105,2388,2399,8889。
3、保护机制的应用
对大多数交换机、路由器、非Windows设备,需要将其设置为保护状态(避免被阻断导致网络不通),其它如有系统无法识别的重要设备,请在网页管理平台设备信息查询中手动将其设置为保护状态。2-3 系统组件安装
安装顺序依次为:
*安装 SQL Server数据库; *安装WinPcap驱动程序;
*安装并运行环境初始化程序,初始化数据库;
*安装网页平台并进行划分区域,配置区域IP范围、区域管理器参数、设备扫描器参数
等(推荐安装在默认路径下);
*安装区域管理器(推荐安装在默认路径下); *通知所有用户下载并运行注册客户端代理探头程序。
2-3-1 安装SQL server数据库
略,见附录(一)。
2-3-2 安装WinPcap驱动模块
在安装页面中选择“安装WinPcap驱动模块”按钮,单击“下一步”安装在区域扫描器所在计算机上。
2-3-3 安装远程技术支持模块
该模块是一个程序附属工具(一般不需要安装)在客户端安装程序里带有该程序, 是用户远程桌面管理及控制,有便于管理员帮助终端用户解决问题。
2-3-4 初始化数据库
初始化数据库是在SQL数据库中初始化建立VRVEIS数据库并生成系统必需的相关数据表格,在此过程中需要利用本地数据或者调用远程SQL数据库,用户需要根据实际安装情况按以下两种方式进行操作: 本地SQL数据库服务器环境初始化 1)、环境初始化,建立初始数据库
在SQL服务器地址栏中添加本地机器IP地址、SQL用户名、及SQL用户密码。
图 2-3-4-1 SQL数据库服务器环境初始化
2)、检查数据库初始化是否成功:
图2-3-4-2 检查数据库初始化
当有如图“初始化数据库结构成功”提示框弹出时,说明已成功创建初始化数据库。否则会出现如下图所示提示信息:
图2-3-4-3初始化数据库失败提示信息
如果出现如上图所示提示信息,用户需要检查所填入的SQL数据库IP地址、用户名以及用户密码,重新初始化数据库。
远程SQL数据库服务器环境初始化(建议非特殊情况不采用远程方式)1)、输入远程数据库信息,配置SQL客户端:安装远程数据库需要首先输入远程数据库IP地址、用户名称、用户密码,然后点击“配置SQL客户端”,出现如下界面:
图2-3-4-4 配置SQL客户端
2)、在通用栏中,启用TCP/IP协议:在通用栏中,选用TCP/IP协议,并启用,然后单击别名,进行别名添加设置。
图2-3-4-5 启用所选协议
3)、进行客户端别名的添加:单击上图中所圈中的别名,出现如下所示:
图2-3-4-6 对客户端别名的添加
4)、进行网络协议的选择和服务器别名的添加:此时用户需要首先选择网络协议,选定为TCP/IP,服务器别名根据用户需要自由添加,点击确定后完成数据库初始化。
2-3-5 安装Web中央管理平台
安装Web管理平台
此部分程序要求安装在默认路径下,安装过程中请确保信息填写正确,否则,Web服务器可能不能正确访问SQL Server数据库。
Web中央管理平台访问
Web管理平台安装以后在IIS目录上以虚拟目录的形式存在,虚拟目录名称为VRVEIS,用户在安装完成以后,用http://Web服务器域名(IP)/VRVEIS的形式访问Web管理平台主页面。默认用户名为admin,密码为123456。(以下的都是用admin登陆进行说明的)审计用户名为audit,默认密码为123456,详见附录
(六)。
如果http://Web服务器域名(IP)/VRVEIS访问无效,则以http://Web服务器域名(IP)/VRVEIS/INDEX.ASP方式登录。
Windows2003下IIS配置以及NTFS磁盘格式配置注意事项见附录
(七)。
2-3-6 安装区域管理器Region Manage 在Web中央管理平台中划分区域及指定区域管理器后(参见Web中央管理平台配置)安装区域管理器组件。安装后进行以下两项配置:
SQL客户端配置
如果“区域管理器”没有同SQL装在同一台服务器上,需要在如下图所示窗口中将默认网络库选择为“TCP/IP”,使客户端能够远程访问数据库。在“区域管理器”中选择“配置”->“系统配置”,配置SQL客户端,也可以通过Alt+S热键,进入配置。
图2-3-6-1 SQL常规配置
上述配置完毕以后,需要重新启动“区域管理器”,使系统生效。 区域管理器系统配置
SQL服务器配置:进入“系统配置”,逐步输入SQL服务器IP地址、用户名称及密码、数据库名称(默认为VRVEIS),单击“确定”完成SQL服务器配置。
图2-3-6-2 区域管理器中SQL配置
2-3-7 配置设备扫描器模块Region scan 在配置好Web防护系统区域及其区域管理器后做以下步骤:
在配置管理里,点击“扫描器配置”可以添加扫描器,配置扫描范围。
图2-3-7区域扫描器配置
填写相关信息之后重新启动区域管理器,程序会自动缩小到系统托盘,表示数据库连接成功,程序运行正常,此时通过上图中“扫描器配置”项来查看扫描器相关运行信息。2-3-8 安装补丁下载服务器模块
在安装页面中选择“补丁下载服务器安装模块”按钮,输入序列号SN,单击“下一步”、在桌面生成DownPatch.exe快捷方式,执行后如下图所示:
图2-3-8-1 补丁下载服务器主界面
点击系统配置弹出如下图:
图2-3-8-2 补丁下载索引解析界面 添加补丁索引:从北信源站点获取补丁索引,用以获取补丁厂商发布补丁信息,通过对补丁索引的解析,下载补丁。按照补丁索引、管理配置要求从补丁厂商站点获取补丁,补丁下载支持各种方式(下载线程、下载时间)自定义下载补丁。
图2-3-8-3 补丁下载参数设置
2-3-9 安装管理器主机保护模块
选择安装在安装页面中选择“安装管理器主机保护模块”按钮,输入序列号SN,单击“下一步”、在桌面生成 nsscenter.EXE快捷方式,执行后在系统右下角任务栏所示
绿色的图标,鼠标右键点击,可以对其进行相应的设置,具体设置参见附录(四)。
2-3-10 安装报警中心模块
选择安装在安装页面中选择“安装报警中心模块”按钮,输入序列号SN,单击“下一步”、在桌面生成 nsscenter.EXE快捷方式。具体设置参见附录(五)。
2-3-11 客户端注册及下载
(一)客户端注册原理及注册程序配置
客户端注册原理
执行注册程序,根据要求填入指定信息,系统自动将所添加信息和系统自动采集获得的设备信息发送到区域管理器(设置为转发模式的将发送到上级区域管理器),区域管理器将注册信息导入SQL数据库保存,在Web管理平台中设置的客户端参数策略将由区域扫描器扫描客户端后,发送给客户端驻留程序保存执行。
该客户端驻留程序驻留在系统内部,以服务的方式实时运行,一旦某个客户端非法接入互联网或设备改变违规,客户端就向web管理平台发送报警数据,同时本机将显示报警信息。
修改客户端注册程序配置文件
在web平台中配置管理->注册程序配置。注册程序使用前需要网管人员的配置,主要是设置区域管理器IP地址(注册时客户端信息发向该IP地址所在的区域管理器),如区域管理器为192.168.0.244,配置如下图所示:
图2-3-11-1 注册程序配置
在这里,可以对注册时需要填加的单位、注册密码进行编辑。如下图所示:
图2-3-11-2 单位和部门添加删除
(二)客户端注册方法
客户端注册方法包括网页静态注册、网页动态注册、手动注册、网关重定向强制注册等。
网页静态注册:
静态注册比较简单,客户端只需要将配置好的注册文件上传到公共主页上即可,做一个链接,访问主页后手动下载注册。
主要讲述动态注册,这种方法适用于网络用户较多的情况,客户端只要访问网络内公共网站,网页将自动对客户端进行探测,弹出提示窗口,提示用户进行注册。
网页动态注册:
利用网络中已经构建好的内部网站,一方面网络客户端可以通过手动获得注册程序,也可以通过在主网页上加载弹出页面的方式进行提示性注册。本手册将主要介绍后一种方式。
当网络中客户端计算机访问本网络内部网站时,在该主页代码中加入一段代码(如下)。本代码作用在于首先获得该客户端计算机的IP地址,再读取数据库里面相关IP地址的注册和其它相关信息,如果该IP地址的设备存在,系统会根据其是否完成“注册”、“信任”、“保护”三项操作进行判断,只要满足其中任意一条件,都不会提示注册,否则会弹出窗口提示注册。
网页加载弹出程序方法如下:编辑已有主页的源程序,在需要加载弹出窗口主页的源代码
中放入以下代码:注意:需要将其中的http:// 192.168.0.253/vrveis/quest.asp换成http:// 安装内网安全管理网页平台计算机IP/vrveis/quest.asp即可,此时当网络中计算机访问该内部主页时,会自动弹出如下提示页面:
图2-3-11-3 网页动态注册
使用网页动态注册时,请管理员通知注册人,在访问本网站时,暂时关闭网页弹出拦截程序或将本网站添加到不拦截列表中。
手动注册:除了自动注册设备外,遇到需要手工注册新增设备时,也可通过WEB管理平台中数据查询,设备信息查询中的手动添加设备功能,将新增设备的具体信息详细登记填写至数据库中,并将其置为保护设备。
注意:
1.多级级联注册:如果系统为多级级联方式,必须在区域管理器的高级配置中的“系统配置”、“策略配置”选项中的级联选项选中,并正确添加上级管理器的IP地址,各级区域会将自己所管辖的区域管理IP段上报到上级数据库中存储。
此时,当网络中任意一台下级区域客户端计算机访问主网站的同时,会根据最上级区域数据库中存储的各级上报IP段信息,自动将该客户端注册程序文件下载路径指向为自己所处IP段的本级区域注册器上,做到各个区域的客户端计算机在访问同一网站进行注册程序下载时,所下载的客户端程序均为自己所在区域的专用注册程序。
如果网络中内部网站,网络管理员可以通知网络内计算机在本系统Web管理平台的登录页面中点击下载注册程序完成系统注册,或者在此页面下按上面的步骤做好弹出提示窗口方式注册。注册程序界面如下:
图2-3-11-4 客户端注册信息
无论采取哪种方式,在注册成功以后,注册程序除了将主动添加的信息自动上报以外,还会自动收集其它和系统相关的信息进行上报。
客户端和区域管理器连接通讯不正常的情况下,将提示用户“缺省注册成功”,表示客户端探头已经注册完毕,但还没有与区域管理器通讯。当区域扫描器扫到该计算机的IP地址时,才会将添加的信息及系统采集信息上报到区域管理器,存储在数据库当中。
2.本系统使用初期,若要求对下属网络中的计算机信息进行统计、注册、入库,必须在Web管理平台中管理器设置项内选中“允许客户端注册”,如注册时需要密码,也需要在WEB管理平台中进行设置,如下图所示:
图2-3-11-5 允许客户端注册
图2-3-11-6 注册信息编辑
网关重定向:
作用:注册信息重定向。如果没注册的客户机上网,那么他会把上网的网址重定向到指定的注册页面上。1.正确安装运行注册认证网关
2. 启动注册认证网关进行配置
图2-3-11-7 注册认证网关配置
3.在系统参数里选择可以监听到整个网络包的网卡(一般这台机器为网关)
图2-3-11-8 系统参数
4. 在重定向配置里,填写对未注册、保护和信任的机器的重定向网址。策略配置为在多长时间内重定向的次数,超过这个次数,将不再重定向。
图2-3-11-9 重定向配置
5.通讯配置,填写区域管理器的IP地址,通讯端口(一般为88),同步信息间隔为同步区域管理的信息(即发现是否有新注册的信息),本地配置,侦听端口为688。
图2-3-11-10 通讯配置
6.配置完后点确认,然后启动注册认证网关,退出重起就可以用了。(建议把这个用在网关处或总的交换机出口处,这样可以捕获所有的信息包)
(三)客户端卸载
网络客户根据情况需要卸载客户端探头程序时,运行安装程序包中的探头卸载程序UnInstallEdp.exe如图:
图2-3-11-11 客户端卸载
记录下序列号,并将序列号复制到如下图的第一个方框中:
图2-3-11-12 查看卸载密码
点击查看将会产生一个卸载密码,将其输入卸载密码框中点击卸载即可。
图2-3-11-13 卸载密码
或通过WEB管理平台中的点—点控制中的终端卸载如图:
图2-3-11-14 终端点对点-终端卸载 第三章 系统应用
本平台配置主要指北信源内网安全及补丁分发管理系统的网页平台操作,网页平台是整个北信源内网安全及补丁分发管理系统的配置操作核心,整个内网安全及补丁分发管理系统功能的实现全部在Web操作中实现,Web方式有助于管理员远程维护系统,进行统一配置和统一管理。掌握对网页平台的功能操作和配置对使用本系统来提高整个网络的安全性和解决网络管理的效率有着重要作用。
菜单功能模块:系统策略中心、数据查询、终端控制、补丁分发、运维信息、报警事件、级联总控、统计报表、系统维护等模块。
3-1配置与管理
3-1-1 区域划分
在网页平台安装完毕之后,访问http://Web服务器域名(IP)/VRVEIS访问WEB管理平台登录界面。如下所示:
图3-1-1-1 Web管理登录界面
其中客户端工具下载菜单提供了包括用户注册器下载、补丁检测中心、多路帮助平台、普通工具下载、管理员工具下载、工具上传管理等功能,用户按照页面提示操作即可。
图3-1-1-2 客户端工具下载界面
系统默认用户为admin,密码为123456,登录后建议管理员修改管理员密码。成功登录后,进入系统的主界面。如下图所示:
图3-1-1-3 Web管理主界面 在所处的IP地址段内,进行区域划分操作
首先进行区域添加和划分操作。
区域划分:单击配置管理里的“区域划分与配置”,对网络中的客户端进行区域划分管理,按照提示依次添加区域、增加区域IP管理范围、分配区域管理器、,并完成系统组件运行参数配置。
具体步骤:
区域描述配置栏中填写好一些必要的与区域相关的信息,如区域机构代码、区域名称、负责人姓名等。其他信息可以酌情依照实际用途填写。本区域IP划分:根据用户实际需要在下图所示的文本框中填入需要管辖的IP地址。
其中保留IP段为该网段目前没有网络设备存在的网段,如有设备存在,则会产生报警信息。
图3-1-1-4区域划分与配置
下级区域划分:在已有区域页面中点击“增加下级区域”按钮进行下级区域添加,如集团总部下属总裁办、行政部、财务部等。
图3-1-1-5 增加区域
3-1-2 区域管理器配置
区域管理器:区域管理器为系统策略控制及数据接收处理中心,具有控制完成系统相关的动作行为处理功能;同时与本级数据库系统连接,统一接收注册程序提供的信息,将用户信息(填写的计算机使用人姓名、联系电话、E-mail等,计算机IP、MAC地址、硬盘、CPU、内存等其它硬件信息均为自动采集)存入数据库。
根据本区域客户端IP管理情况确定对IP地址的管理方式,若选择IP、MAC地址绑定,需要在静态IP环境下进行设置。
允许客户端控头升级:设置本区域管理器管理范围内的客户端的升级操作。设置vpn网络虚拟管理器IP:是指添加VPN虚拟服务器的IP地址。管理器标识:是指管理器的标记,当服务器迁移时需要设置与之相同的管理器标识。
管理器可直接通信网段:在管理多个独立子网时,该配置填写区域管理器服务器可直接通信的地址。
允许客户端注册:是指任意一台在区域范围内的客户端都可以在服务器上注册。
管理器配置同步:当选中“下级区域”时下级区域的配置应该和上级区域管理器的配置相同,当选中“全部区域”时是指下面的任意级联区域都要和区域管理器的配置同步。
图3-1-2-1 区域管理器参数设置
区域管理器系统配置:当设置完当前页面这时我们可以配置刚才安装好的内网安全管理管理器去桌面双击“内网安全管理管理器”快捷方式弹出如下界面:
图 3-1-2-2区域管理器系统配置
先进行SQL服务器配置:进入“系统配置”,逐步输入SQL服务器IP地址、用户名称及密码、数据库名称(默认为VRVEIS),单击“确定”完成SQL服务器配置。
图 3-1-2-3 SQL服务器配置
管理器配置:本软件默认机器操作系统88端口,若其它应用程序占用该端口,将自动更改为188。
如果区域管理器应用于多级管理(每级都有独立的SQL server和相应的内网安全管理及补丁自动分发管理平台)的级联构架体系,其上级还有区域管理器的情况下,当前区域管理器需要将所有信息上报到上级管理器。
区域管理器支持多级级联,如国家、省、市、县多级规模网络管理构架,下属区域管理器将其所有计算机报警信息转报到上级数据库。注:需要把“上报给上级管理器”√上,输入上级管理器地址。
升级配置:用于配置区域管理器的自动升级,升级服务器地址为上级区域管理器IP。
区域管理器配置-高级设置 系统配置:
锁定下级策略是指下级不能够更改策略信息。
上报给上级区域管理器是指下级的策略,阻断,违规信息上报给上级区域管理器,在此处打上“√”添加上上级管理器地址,配置级联。
图3-1-2-4 区域管理器
阻断配置:
图3-1-2-5阻断配置
探头阻断:目前常用的阻断方式,由扫描器调度探头完成阻断任务。只要保证一个网段(VLAN)中有一台存活的已注册计算机,就可以实现阻断。
防火墙阻断:该方式必须与防火墙结合使用,需要设置必要的防火墙规则集和安全认证,与其它厂商防火墙不兼容。
报警过滤:本软件系统提供对多种违规变化行为的报警:非法外联、设备未注册、IP绑定变化、设备变化、探头被卸载、病毒行为报警等。
本地报警种类过滤:仅对本地网络中区域管理器管理范围内的违规变化行为进行报警显示,用户根据自身管理要求进行筛选。
图3-1-2-6 报警种类过滤
策略配置:系统支持对各种文件的分发,在Web中央管理平台进行软件分发操作前,必须对本项进行配置。
默认将分发文件放在C:VRVRegionManageDistribute目录下,管理员可根据需要自行更改路径,同时,修改本路径后,补丁下载存放的位置也会相应改变。
图3-1-2-7策略配置
补丁下载:将待分发操作系统补丁放置在设置好的补丁路径的目录下,在Web中央管理平台中进行分发操作。
管理员通过对参数项的选择进行下载配置,级联IP提供对上一级补丁的下载获取。
图3-1-2-8 补丁下载
其他配置:主要是硬件网关重定向配置,此功能必须配合硬件设备使用。
图3-1-2-9 其他配置
3-1-3 扫描器配置
点击增加扫描器设置扫描器扫描网络IP范围。机构代码:一般为阿拉伯数字,由用户单位根据管理要求进行设定。扫描间隔:根据管理IP范围大小进行设置(建议设置为10分钟)。
图3-1-3-1 区域扫描器参数设置
注:扫描器配合区域管理器进行工作,扫描器的扫描范围不可能超过它的区域管理器管理的IP范围。
扫描器除了指定扫描的IP范围外还能够指定排除不扫描的地址范围,如有某些网段不需要扫描器发现设备,为缩短扫描时间,可在扫描器设置中增加禁止扫描地址段的设置。
扫描器高级配置:
图3-1-3-2 扫描器配置-系统配置
扫描器高级配置——系统配置:
扫描频率设定:用户可以根据网络中网络带宽占用情况,灵活设置扫描频率,同样可以选择是否“使用SNMP扫描”扫描方式,如果选择“使用SNMP扫描”,则系统能够自动对网络设备(例如交换机、路由器、网络打印机等)进行扫描,并自动登记到设备列表库中。
阻断选项:如果用户选择“扫描器阻断”,此时可采取“轻量级阻断”和“重量级阻断”两种方式。
轻量级阻断:阻断计算机向网络中广播一个ARP请求报文,将被阻断计算机的IP地址及对应的假MAC地址发送给网络内所有的计算机,每台计算机收到请求后便会对本地的ARP缓存进行更新,将收到的请求中的IP和对应的假MAC地址存储在ARP缓存中。这样对于网络中的计算机看来,被阻断计算机的IP地址没有变化,而它的MAC地址已经不是原来那个了。由于局域网的网络通信不是根据IP地址进行,而是按照MAC地址进行传输。因此,被阻断计算机便接收不到网络中计算机(不含阻断计算机)传送过来的信息。
重量级阻断:阻断计算机冒充网络中的其他计算机(本网段1-255)给被阻断计算机发送定向ARP应答报文,被阻断计算机收到请求后便会对本地的ARP缓存进行更新,将收到的请求中的IP和对应的假MAC地址存储在ARP缓存中。这样对于被阻断计算机看来,网络中的计算机的IP地址没有变化,而它们的MAC地址已经不是原来那个了。因此,被阻断计算机便不能向网络中的计算机(不含阻断计算机)传送信息。
扫描器高级配置——交换机扫描配置:
交换机扫描用于扫描发现交换机,进行拓扑发现。Snmp团体名:根据拓扑管理需要输入网络中所有网络设备的snmp读团体名用“;”隔开。
图3-1-3-3 交换机扫描配置
如上图,配置扫描间隔时间一般设成5-10分钟,IP范围设置需要扫描的ip段,snmp读团体名称是根据交换机口令设置的。
该功能的启用需要下载交换机拓扑模块,安装后进行网络拓扑发现。进入web管理平台主页面“运维监控”菜单,启用网络拓扑图,安装交换机拓扑模块后进行网络拓扑发现。
3-1-4 注册程序配置
控制页面如下.管理员可以通过设置来按照需求来配置客户端注册程序,让用户填入相应的信息 ,方便以后管理。其中的项有启用、必选、还可以对输入数据进行控制.后面的功能设置必须对每个功能模块启用。
图 3-1-4-1 注册程序配置
选择编辑单位/部门弹出如下图:
图 3-1-4-2 编辑单位/部门
先选择修改单位弹出如下窗口:
图 3-1-4-3 修改单位
填写单位名称和单位备注消息点击添加/修改单位。最后点击保存修改关闭窗口返回上级窗口如下图:
图 3-1-4-4 保存修改
可以看到刚才添加的单位。
在此输入每个单位所对应的部门,部门备注信息.选择保存修改可以完成单位和部门的配置。
点击设置注册密码弹出如下窗体原注册密码为空。
设置注册密码是为了防止新接入设备非法进行注册。
图 3-1-4-5 直接添加新注册密码保存修改就可以。
注册单位与注册部门产生联动
当对单位和注册部门设置为必填和仅选择这时客户端注册程序 对单位和部门的填写只能按照管理员的设置来选择.不能手动填写。
使用静默注册:以上的设置都不生效这时客户端注册程序只需选择下载运行就可以。
注册程序会自己上报终端的计算机名和IP地址MAC地址。选择保存修改点击打包注册程序这时完成客户端注册程序配置。
3-1-5 注册部门配置与管理
新增单位:该功能作用基本与“从系统注册单位导入”相似,不同的是,它可以加入备注信息。
图 3-1-5-1再新增单位
具体方法:选择新增单位弹出如下窗体:
图 3-1-5-2再新增单位
从已注册的单位选择一个单位然后进行单位描述点击添加。后可以在左边看到新增的单位之后选择新增的部门。选择新增的部门弹出如下图对部门进行描述点击添加完成操作。
图 3-1-5-3 单位描述
从系统注册单位导入:该功能作用是将客户端注册时输入的单位名称导入到“注册单位及部门”中。当客户端在注册时输入单位名称时,那么点击“从系统注册单位导入”就可以看到一个单位名称及相应的部门,同一个单位名称只出现一次。
选择左边单位与部门树目录点击从系统注册单位单位导入弹出如下图:
图 3-1-5-4 系统注册单位单位导入
√选要导入的注册单位点击从已注册部门导入。之后选择刚才添加的单位点击从系统注册部门导入或者新增部门选择相应的部门添加即可。
图 3-1-5-5 添加部门 3-1-6 自定义组分配与管理
自定义组用来对网络中特定或者有特殊用途的机器进行编组,以便采取不同的管理手段,方便管理员的管理。该组的客户端成员可以由管理员根据某查询条件而查得的计算机导入自定义组。如下图所示:
图 3-1-6-1 自定义组分配与管理
1. 首先创建分组,点击创建下级组:首先创建分组,点击创建下级组,添加分组名称,分组描述,保存设置。
图3-1-6-2 创建分组
2. 向组中添加设备:点击添加设备,弹出如下图,可以按设备查找,按IP查找,按操作系统查找,选中一个点击添加,然后点击查询,导入组即可。同时还可以通过设备信息查询,和补丁查询中来添加设备。
图3-1-6-3 查询设备
3. 如果需要将IP/MAC绑定,那么可以执行下面操作:将当添加完组设备以后点击“将组设备添加到IP/MAC绑定”,弹出如下图所示的“确定添加该组设备到IP/MAC绑定列表库吗?”点击“确定”即可将设备全部导入IP/MAC绑定列表。
图3-1-6-4 添加IP/MAC绑定
3-1-7 IP与MAC绑定列表
添加、查询系统IP与MAC绑定设备列表如下图(数据来源在自定义组里可以按IP操作系统等添加一个自定义组)。
图 3-1-7-1 添加系统IP与MAC绑定设备列表
图 3-1-7-2查询系统IP与MAC绑定设备列表
3-2策略中心
3-2-1 阻断违规接入管理
当扫描器发现有外来设备接入内网时,该功能可以有效地控制外来设备接入内网而带来的安全威胁(此功能慎用,在不能确认所有的可信客户端都注册前最好不要使用,同时也要把需要保护的设备保护起来),通过选中“没有注册则阻断联网”复选框便可阻断所以未注册设备。同时提供了信使服务(windows2000以上操作系统)提醒IP、MAC绑定等功能,如下图所示:
图3-2-1 阻断违规接入管理
3-2-2 策略管理中心
如何进行策略创建和分发
(1)在“策略管理中心”中左边的策略项中可点击需要制定的策略,然后在右边的“新建策略名”中输入相应的策略名称后,单击“创建”按钮开始创建策略。
图3-2-2-1策略中心策略制定
(2)随后在具体的策略的配置中根据用户的实际需要配置好策略后,单击“保存策略”就完成了一条策略的创建。(由于各个策略项的配置过程都不一样,这里不再用截图表示,下一节将具体介绍)
(3)接下来是下发策略,即指定策略的执行对象,可通过单击“对象”按钮后,可按界面的提示完成对象的分配。如下图所示:
图 3-2-2-2 下发策略
图3-2-2-3 策略分配对象
如图3-2-2-4表示创建策略成功
(4)如果需要让某一条策略暂时不使用,可按界面中对应的“停用”单选按钮使策略失效,需要使用的时候再单击“启用”按钮使策略生效。如果想要删除某一条策略,则直接按“删除”按钮即可。但在删除某策略之前最好先停用该条策略。 策略的高级设置
策略的高级设置用于客户端程序对策略的执行设置,包括策略状态(启动、停止)、策略存活时间(策略执行的起止时间)、策略执行触发条件(在何种条件下开始执行策略)、策略无效时间(规定时间内客户端不执行策略)、策略应用范围(本级区域、下级区域、所有区域)、级联策略类型等,有些策略还包括具体的触发时间设置等。
图3-2-2-5 高级策略设置
说明:策略存活时间范围:即策略以天为单位的存活时间段。
策略无效工作日:即可在一星期中选中一天或多天使策略无效。策略无效时间段:即策略以分为单位的无效的时间段。
强制策略:级联策略发到下级管理器时,下级管理员对策略内容不能修改,并且不能修改该策略的对象和启动、停用状态。
样板模版:级联策略发到下级管理器时,下级管理员对策略内容不能修改,但是可以修改该策略的对象和启动、停用状态。
策略有效网络:a.在所有网络均有效:该功能意思是策略在区域管理范围内、外均有效。
b.仅在该网络中有效:该功能意思是仅在区域管理范围内有效。 系统策略设定 1)黑白名单编辑:
<1> 进程黑白名单:进程黑白名单在进程监控中可以使用,这部分包含系统预定义黑名单和用户自定义黑白名单。编辑进程黑白名单时包括,进程名,产品名,源文件名等;如果是服务则只可以加服务名,同时可以加一些描述。
图3-2-2-6
<2> 软件黑白名单:软件黑白名单在软件安装监控中可以使用,这部分包含系统预定义黑名单和用户自定义黑白名单。
第二篇:产品白皮书_北信源内网安全管理系统白皮书v2.0_北信源_20100403
北信源内网安全管理系统
产品白皮书
北京北信源软件股份有限公司
2010年4月
北信源内网安全管理系统产品白皮书
版权声明
本手册的所有内容,其版权属于北京北信源软件股份有限公司(以下简称北信源公司)所有,未经北信源许可,任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。
商标声明
本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。
产品声明
本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异,由此可能产生的差异为正常现象,相关问题请咨询北信源公司技术服务人员。
免责声明
若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,北信源公司及其员工均不承担任何责任。
北信源内网安全管理系统产品白皮书
目录
1.引言...........................................................................................................4 2.产品背景....................................................................................................5 3.产品架构....................................................................................................6
3.1管理构架.............................................................................................................................6
3.1.1局域网构架..............................................................................................................6 3.1.2广域网构架..............................................................................................................8 3.2统一策略管理.....................................................................................................................8 3.3自身安全设计.....................................................................................................................9
4.产品功能..................................................................................................11
4.1终端基本管理功能...........................................................................................................11 4.2 IT资产管理功能..............................................................................................................13 4.3终端桌面管理功能...........................................................................................................15 4.4终端安全管理功能...........................................................................................................22 4.5主机运维管理功能...........................................................................................................26 4.6非法外联管理功能...........................................................................................................30 4.7补丁分发管理(可选)...................................................................................................31 4.8文件分发管理(可选)...................................................................................................37 4.9安全监控审计功能...........................................................................................................39 4.10报表管理功能.................................................................................................................43 4.11事件报警管理.................................................................................................................45 4.12第三方接口管理.............................................................................................................46
5.产品运行配置...........................................................................................46
5.1硬件配置...........................................................................................................................46 5.2软件配置...........................................................................................................................47
6.关于北信源...............................................................................................48
6.1.6.2.公司简介.....................................................................................................................48 联系方式.....................................................................................................................49
北信源内网安全管理系统产品白皮书
1.引言
终端桌面安全管理技术的兴起是伴随着网络管理事务密集度的增加、网络管理技术的逐步发展而衍生的,它同传统安全防御体系的缺陷相关联,是传统网络安全防范体系的补充,也是未来网络安全防范体系重要的组成部分。因此,终端桌面安全管理技术无论在现在还是未来都应当归入基础体系网络安全产品之列。
现代网络安全管理体系的日臻完善,使得对网络终端桌面安全管理的需求强烈凸现出来。正确、全面地认识终端管理产品的发展趋势和技术特点,是IT研发厂商面临的发展抉择,同时也是企、事业IT管理人员和高层决策人员在进行终端桌面安全防护部署时必须考虑的议题。
近两年的安全防御调查也表明,政府、企业以及金融证券等单位中超过80%的管理和安全问题来自终端,计算机终端广泛涉及每个用户,由于其分散、不被重视、安全手段缺乏的特点,已使得终端安全成为信息安全体系的薄弱环节。因此,网络安全呈现出了新的发展趋势,对于各政府企业网络来说,安全战场已经逐步由核心与主干的防护,转向网络内部的每一个终端。
北信源内网安全管理系统产品白皮书
2.产品背景
提起网络安全,人们自然就会想到网络边界安全,但实际情况是网络的大部分安全风险均来自于内部。常规安全防御理念往往局限在网关级别、网络边界(防火墙、IDS、漏洞扫描)等方面,重要的安全设施大致集中于机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。相反,来自网络内部计算机终端的安全威胁却是众多安全管理人员所普遍面临的棘手问题。
总结起来,政府机关和企业单位的内部网络管理大致面临着以下一些常见问题:
如何发现终端设备的系统漏洞并自动分发补丁; 如何有效解决移动存储介质使用管理问题; 如何有效解决终端随意接入网络问题; 如何防范内网设备非法外联; 如何管理终端资产,保障网络设备正常运行; 如何在全网制订统一的安全策略; 如何及时发现网络中占用带宽最大的终端; 如何方便地进行远程点对点维护; 如何防范内部敏感信息的泄露; 如何对原有终端应用软件进行统一监控、管理; 如何快速有效地定位网络中病毒、蠕虫、黑客的引入点,及时、准确地切断安全事件发生点和网络; 如何构架功能强大的统一网络安全报警处置平台,进行安全事件响应和事件查询,全面管理网络资源。
这些终端安全隐患随时随地都可能威胁到用户网络的正常运行。针对如上系列问题北信源公司提供领先业界的内网安全管理产品及解决方案。
北信源内网安全管理系统产品白皮书
3.产品架构
北信源内网安全管理系统遵循网络防护和端点防护并重理念,对网络安全管理人员在网络管理、终端管理过程中所面临的种种问题提供解决方案,实现内部网络终端的可控管理,并能够支持多级级联广域网构架,达到最佳的管理效果。
北信源内网安全管理系统强化了对网络计算机终端状态、行为以及事件的管理,它提供了防火墙、IDS、防病毒系统、专业网管软件所不能提供的防护功能,对它们管理的盲区进行监控,扩展成为一个实时的可控内网管理平台,并能够同其它安全设备进行安全集成和报警联动。
北信源内网安全管理系统可分为五个软件功能包,全方位地为网络用户提供安全管理功能。这五个软件包具体为:基本产品包、终端桌面管理产品包、终端安全管理产品包、网络主机运维产品包、非法外联管理产品包。
3.1管理构架 3.1.1局域网构架
对于一般网络(例如1个C类地址或若干个C类地址的局域网范围),可使用一套本系统软件,集中管理所属区域内的所有设备。
本系统在网络中安装数据库,用于存储网络客户端设备信息。当上述系统数据库、网页管理平台、区域管理器安装完毕后,即可对网络中客户端进行注册。用户在取得注册程序,执行后添加计算机使用信息,如使用人姓名、单位、联系方式等,注册程序自动采集系统的硬件设备信息,经过区域管理器处理后存入数据库,同时区域管理器将代理驻留程序发送到计算机终端,实时运行。通过探头、区域扫描器等对计算机的网络连接行为实施探测,根据需要发送本机缺少的相关系统补丁、安全策略、命令或文件等,在遇到数据库中定义的非法行为时实施阻断。
系统正常运行后,主要通过网页WEB管理平台来对整个计算机设备信息系统
北信源内网安全管理系统产品白皮书
进行配置管理,在网络内设置区域管理器、扫描器IP地址。对于一般网络(如1个C类地址或若干个C类地址的局域网范围)适用一套本系统,集中管理所属区域内的设备。对于大规模的多个局域网或者跨地域的广域网,提供多区域集中管理模式,即下级管理系统可将本级所有设备信息再传递给上级管理数据库,使得上一级管理人员对整个网络的设备状况能够完全掌握。
设备管理信息系统的配置,要根据网络客户端规模、网络管理实际情况来选择。可以在网络中安装多个区域管理器,区域管理器只负责一定范围内的客户端,对于该范围以外的客户端,不予以处理;每个区域管理器下属多个扫描器,提供对本区域网络的分段扫描,及时检查该网络客户端注册情况。
Internet补丁下载服务器物理隔离中央管理配置平台数据交换指令下达数据交换补丁增量导入管理信息库补丁分析模块指令、策略获取状态、数据上报补丁获取区域扫描器指令下达数据交换区域管理器A.注册B.验证C.管理D.补丁获取级联A.扫描发现B.阻断违规客户端(安装客户端程序)系统逻辑图
下级区域管理器7
北信源内网安全管理系统产品白皮书
3.1.2广域网构架
对于大规模的多个局域网或者跨地域广域网(包括基于国家、省、市、县等多级管理模式的网络结构),可使用本系统提供的多区域级联集中管理构架,即一个或多个网段各拥有一套独立的北信源内网安全管理系统的同时,将本级的统计和报警信息转发给上级管理系统,上一级管理人员对整个网络的状况也能够完全掌握。
多级级联集中管理构架
3.2统一策略管理
北信源内网安全管理系统采用统一策略管理中心实现对内部网络终端的统一安全管理。策略管理中心内置终端安全防护需要的所有安全管理参数,提供对计算机终端的安全规则配置、安全功能策略开启/关闭、安全策略执行范围/周期设定等一系列安全措施的管理。
北信源内网安全管理系统内置安全策略分为全局策略、本地策略、备份策略三种,管理员通过属性设置决定其类型。
北信源内网安全管理系统产品白皮书
统一策略管理图
3.3自身安全设计
1.分级管理:系统支持对管理员分级管理,实现不同管理员管理不同内容,可分为授权、管理和审计等多种角色划分,具有安全性高、可靠性强的特点,适合集中授权、多角色参与监控的管理模式。
2.通信保护:系统的组件间通信时,数据传输是经过加密的,客户端和服务器端相互通信使用双向认证机制,防止已安装同类客户端的非本网络计算机非法进入网络,同时也防止模拟的假客户端和服务器进行通信。
3.客户端软件强保护机制:系统的客户端系统具有自我防护机制,防止用户随意停止、卸载。
4.服务器安全设计:服务器系统具备保护服务器功能。保证管理系统服务器端使用的安全性,保证其受到恶意修改IP地址的方式攻击时仍可正常工作,网络中出现恶意修改成与管理服务器相同属性(如相同的IP地址、相同的MAC地址等)的机器时,出现IP地址或MAC地址冲突等现象时,管理服务器将不会
北信源内网安全管理系统产品白皮书
被阻断出网(即不会出现地址冲突的现象),只有发起恶意攻击的设备才会被自动阻断,不会影响管理服务器的正常管理。
5.提供系统审计员、系统管理员、系统操作员三权分立的权限管理体系。6.系统日志:系统提供运行审计和操作审计机制,保证系统的稳定运行。
北信源内网安全管理系统产品白皮书
4.产品功能
4.1终端基本管理功能
1.终端注册管理
系统采用C/S和B/S模式混合管理方式,在被管理的桌面计算机上安装VRVEDP客户端程序。在安装客户端程序需要填写当前计算机使用人的个人相关信息,如使用人、单位、部门、联系电话、邮件、所在地、计算机类型等,进行实名化的管理便于快速定位,无论是违规,还是网络安全事件发生时都可以快速定位到事件源。
个人信息填写
填写的个人相关信息会上报到服务器,保存在后台数据库里,供前台管理平台查询。
系统注册信息填写页可以由用户自己自由选择设定,可以设定显示的注册内容项、标题项、是否启用、是否必填、是否为选择性填充等,并可以设定扩充选项,提供给不用需求的用户进行选择性注册管理。
北信源内网安全管理系统产品白皮书
用户填写项自由设定页面
2.IP和MAC绑定管理
对固定IP网络的MAC和IP地址进行绑定管理,系统探测到IP变化后根据策略设置恢复其原有IP地址,或者阻断其联网,同时禁止修改网关、禁用冗余网卡。
3.禁止修改网关、禁用冗余网卡管理
系统支持禁止修改网关、禁用冗余网卡等功能。4.未注册终端拒绝入网管理(软阻断技术)
系统采取对未注册终端Arp阻断管理:对于接入网络未注册终端进行Arp
北信源内网安全管理系统产品白皮书
阻断,禁止其联网。
4.2 IT资产管理功能
1.硬件资产管理
自动搜集包括CPU、内存、硬盘分区总和、设备标识的大小和其他详细信息以及其他如主板、光驱、软驱、显卡、键盘、鼠标、监视器、红外设备、键盘等所有的硬件信息。
网管可自主添加相关的附加信息。
2.软件资产管理
自动发现识别客户端安装的所有软件信息(名称、版本、安装时间、发现时间等),将相关数据入库,检测客户端运行软件信息,供管理员在Web控制台查询。
北信源内网安全管理系统产品白皮书
软件资源统一监控:自动收集安装在每台计算机上的每种应用程序信息,包括安装的操作系统种类、版本号以及当前补丁情况、客户机安装的软件等信息和驱动程序情况,并进行汇总管理。
系统能够及时检测主机软件信息变化情况。
根据条件查询客户机安装的软件或指定软件被哪些客户端安装等信息。3.软、硬件设备信息变更管理
报警未注册设备、注册程序卸载行为,实时检测硬件设备变化情况(如设备硬件变化、网络地址更改、USB设备接入等)。
北信源内网安全管理系统产品白皮书
4.3终端桌面管理功能
1.进程运行黑白名单控制
对进程执行进行黑白名单控制,即根据策略设定禁止执行的进程和必须执行的进程。对违规的客户端进行客户端提示和断网处理等相应措施。
2.进程保护管理
对重要的进程进行守护,防止由于意外或人为原因造成重要进程中断。
北信源内网安全管理系统产品白皮书
3.进程执行汇总
统一汇总和监视网络各终端的进程,可以增量式的显示网络中新出现的进程,也可统计网络中最常运行的进程,从而统计出网络客户端软件的使用情况。此系统可对网络中出现的异常进程(很可能病毒进程)进行定位和报警,在必要时可直接阻断。
4.终端服务管理
查询当前终端运行的服务,可以远程关闭或开启服务。
5.软件黑白名单控制
对软件安装进行黑白名单控制,即根据策略设定禁止安装的软件和必须安装的软件。违规软件禁止安装功能,禁止在注册表Run项里添加自启动项,禁止在注册表Services项里添加自启动项,禁止在程序启动项中添加项,禁止在程序项中添加快捷方式限制违规软件的安装,所有安装软件均可进行审计。
北信源内网安全管理系统产品白皮书
6.软件安装汇总
系统能够对所安装的软件进行统计汇总,并能将汇总情况统计生成报表,支持多种报表导出方式。
7.终端消息推送
可精确地对选定的对象或个人进行消息传送,而不依赖于Windows自身的信使服务功能,系统还提供多种策略模式传送消息。
北信源内网安全管理系统产品白皮书
8.远程协助
当客户端用户以及服务器用户在使用计算机时遇到难以解决的问题,可以通过访问特定网页式,主动向多个网管工作台(可自主选择的)进行并发协助请求呼叫,呼叫网管对其进行远程协助。当管理员接收到客户端的请求可以后,调用远程客户端的桌面,帮助客户端用户解决相应的问题。
呼叫中心示意图
管理员是否接受请求示意图
管理员接收请求后,系统将自动调用远程计算机的桌面,就如同管理员亲自到现场,进行软件安装、软件调试、系统维护、打印机安装等工作,省去管理员 来回现场和办公室之间的时间,提高了系统维护的效率和管理员的工作效率。
北信源内网安全管理系统产品白皮书
9.外设及端口控制
系统可以设置受控主机允许或禁止使用USB设备、串口、并口、软驱、光驱、红外设备、蓝牙设备、网络设备(无线网卡、网卡、PCMCIA)、1394接口、打印设备。系统采用硬件设备驱动级的禁用方式实现对上述设备的禁用。
10.垃圾文件清理
管理员可在Web控制台对终端用户某一文件夹下或全盘某些后缀的垃圾文件或临时文件进行集中清理。
目前的系统临时文件众多,而绝大部分业务用户均不会手动清除大量的临时文件,这样会占用大量的硬盘资源,因此需要靠第三方系统主动的对其加以清理。
系统可协助用户维护(指定目录下的)临时文件、备份文件、帮助的历史文件、IE临时文件、安装临时文件、异常临时文件等各种应删除的文件。
北信源内网安全管理系统产品白皮书
11.终端点对点管理
系统管理员可通过系统以点对点的方式对客户端进行详细的监控审计,具体包括以下内容:
(1)硬件资产清单:自动搜集包括CPU、内存、硬盘分区总和、设备标识的大小和其他详细信息以及其他如主板、光驱、软驱、显卡、键盘、鼠标、监视器、红外设备、键盘等所有的硬件信息;网管可自主添加相关的附加信息。(2)安装软件查询:查询设备所有安装的软件。
(3)终端进程管理:查询当前终端所有运行的进程,并可通过系统关闭非系统进程。
(4)终端服务管理:查询当前终端运行的服务,可以远程关闭或开启服务。(5)终端流量查询:包括当前与网络连接的进程及其流量的统计。(6)系统运行资源查看:具体包括:CPU频率和使用率、内存大小和使用率、系统各硬盘分区大小和使用情况。
(7)补丁查询:查看系统漏打的补丁。
(8)日志查询:查看终端的系统日志、安全日志和应用程序日志。(9)终端安全审计:查看用户的登录、历史记录、下载信息等各种信息。(10)消息通知:向用户发送消息,并可要求用户进行消息回馈。(11)远程运行进程:可远程加载进程。(12)共享目录检查:检查当前终端的共享目录。
北信源内网安全管理系统产品白皮书
(13)修改网络配置:可查看网络终端的IP、MAC、子网掩码和网关信息,并可远程修改用户的IP地址。(14)远程卸载客户端程序。
(15)远程断开/恢复网络终端的网络。(16)远程重新启动计算机。
12.系统自动关机管理
北信源内网安全管理系统产品白皮书
对客户端关机时间的设定,实现自动关机,并可以在发现计算机空闲时间过长时锁屏或关机。
13.终端时间同步管理
所有客户端时间的同步,防止擅自修改系统时间。
4.4终端安全管理功能
1.桌面密码权限管理
对终端的密码管理权限变化及使用状况(包括密码长度、安全性、弱口令等方面)进行审计检查及报警,同时对不符合要求的终端进行提示或强制修改等处置,达到防止病毒及黑客入侵的目的。
北信源内网安全管理系统产品白皮书
2.终端统一防火墙
管理员在Web控制台对终端进行统一的防火墙设置,对网络IP及协议访问进行限制,在网络内建立虚拟的终端隔离区。
另外对于大型网络,网络客户端由于用户使用水平的差别,会出现用户卸载甚至退出统一安装的防病毒软件的情况,也会出现有个别用户被遗漏,未安装防病毒软件的情况。
管理员可利用Web控制台对终端所安装的杀毒软件情况进行监控和管理,并能够对终端杀毒软件实施远程操作(病毒查杀、升级、软件安装等)。还可统一监控网络内的防病毒软件(国内主流厂商的均可)安装情况和使用状态,了解网络中的病毒软件安装状况,必要时可通过此系统强制为客户端安装防病毒程序,如果需要,此系统也可监控终端软件的安装情况,并进行相应的管理(如安装杀毒软件软件,强行升级病毒库、自动分发并自动执行病毒专杀工具等)。
北信源内网安全管理系统产品白皮书
3.终端杀毒软件管理
可统一审计网络内终端的防病毒软件(主流厂商的均可)安装和使用情况,必要时可强制为客户端安装防病毒程序。如果需要,也可监控终端防病毒软件的安装情况,并进行相应的管理(如安装杀毒软件软件,强行升级病毒库、自动分发并自动执行病毒专杀工具等)。
北信源内网安全管理系统产品白皮书
4.注册表监控/保护
系统提供注册表检查功能,对于病毒行为修改的注册表,可以通过强制注册表策略对其进行操作,可以自动创建、删除、修改相应的注册表键值,实现注册表安全管理。
系统可屏蔽选定用户计算机的一些程序进程对注册表的使用,通过该策略可以有效的防止违规进程对用户注册表的破坏。
北信源内网安全管理系统产品白皮书
5.终端在线/离线策略管理
系统可以针对不同的网络接入情况,设定终端的在线、离线策略。当终端处于不同的网络中,可以实现不同的执行策略。
4.5主机运维管理功能
1.运行资源监控
在Web控制台对终端的CPU、内存、硬盘的资源占用率和剩余空间进行监控,设定危险等级报警阀门。
北信源内网安全管理系统产品白皮书
2.流量管理和控制
蠕虫病毒和BT下载等行为在很多情况下会严重占用网络带宽,造成网络的拥塞甚至瘫痪,对此可利用本系统进行流量的管理与监控。主要功能:
流量采样阈值设定:用户自主设定采样阈值,当流量(含出、入或总流量)超过一定限度并持续一定时间后,进行有关信息上报,防止上报数据过多给网络带来负担。
上报的当前流量进行汇总,对当前的流量进行时实排序,以便网络管理人员进行快速分析是否是网络安全事故。
对网络客户端的历史流量进行统计和排序,并可生成报表。 对并发连接数设定阈值并进行采样。 对网络扫描的可疑行为进行阈值设定和报警。 对客户端大量发包的可疑行为进行阈值设定和报警。
对具备可疑行为的客户端进行报警上报、自动阻断、客户端提示等管理。 设定网络客户端流量上限阈值,对超过的进行报警上报、自动阻断、客户端提示等管理。
北信源内网安全管理系统产品白皮书
3.流量异常监控
在Web控制台对终端的网络流入、流出和总流量进行监控和管理。并能够对产生总流量过大、分时段瞬时流量过大的进程进行统计,辅助分析产生流量过大的原因。
4.进程异常监控
在Web控制台对终端未响应窗口进行监控并结束或重启该进程,对意外退出的进程进行监控和保护。
北信源内网安全管理系统产品白皮书
5.客户端文件备份
针对终端计算机进行数据实时备份,将本机计算机目录文件数据实时或定时备份到数据服务器或其它计算机上存储。针对局域网服务器数据存储等提供安全数据同步备份解决方案。
北信源内网安全管理系统产品白皮书
4.6非法外联管理功能
1.网络内部终端非法外联互联网行为监控
终端非法外联互联网行为监控:对于已注册的设备,通过不同方式(如双网卡、代理等)连接互联网进行的通讯,系统能够自动阻断其连接行为并报警。
2.网络内部终端非法接入其它网络行为监控
对于已注册的设备,监控其网络连接行为,根据接入网络环境因素判定其是否非法接入其它网络(同上图)。
3.离网终端非法外联互联网行为监控
对于已经注册的计算机,非法带出到另外一个网络的行为进行监控,发现有外联互联网行为时可以采取警告、阻断、自动关机等操作(同上图)。
4.非法外联行为告警和网络锁定
如果终端非法入网,可以在报警平台和报警查询处获知信息,并且可以对终端提示信息,自动关机,阻断联网等处理(同上图)。
5.非法外联行为取证
对于非法外联行为进行实时告警功能,同时记录该行为发生的事件、IP地址、MAC地址、使用人等相关信息上报到服务器进行记录取证。
北信源内网安全管理系统产品白皮书
4.7补丁分发管理(可选)
系统功能概述
北信源补丁分发管理系统是北信源公司在为国家各大部委机关、各大行业网络用户进行病毒安全服务、总结安全运营保障经验的基础上,分析当前网络客户端实际安全管理要求研发的,系统支持推、拉两种方式自动下载补丁。整个补丁管理运行平台构架是:通过北信源外网补丁下载服务器及时从补丁厂商网站获取最新补丁;补丁安全测试后,通过补丁分发管理中心服务器对网络用户进行分发安装;补丁安装支持自动和手动两种方式。
......北信源补丁管理中心(二级)级联同步补丁增量导入北信源补丁管理中心(二级)级联同步北信源补丁中心(一级)补丁库分类补丁测试策略控制推拉分发控制流量控制补丁分发检索多级级联控制客户补丁查询动态下载转发代理自动测试组(真实环境)客户端 补丁自动识别客户端策略报表中心补丁监控功能
系统可监控管理网络补丁状况,其具体功能如下: 1.补丁索引的适应和扩展性
内网安全管理系统具有良好的兼容性,支持主流操作系统,如Windows2003、Windows2000 Pro、Windows 2000 Server、Windows Pro、Windows XP home、Windows、Windwos9X等。
因为补丁索引文件为北信源自主开发,补丁索引的结构具备可扩展性和可编辑性,索引的结构和定义除了可以支持微软补丁外,还可以支持非微软系统补丁、各种数据库补丁,甚至可以支持各种用户应用程序的更新补丁。
北信源内网安全管理系统产品白皮书
补丁索引编辑界面
2.补丁下载检测和增量式导入功能
对于物理隔离的内部网络,其内部的补丁升级服务器中的补丁数据必须从外部导入,巨大的补丁数据库使得每次补丁导入相当烦琐。为此,北信源使用增量式补丁分离技术,在外网导出补丁时,可分离出内网已经安装的补丁,只导入内网尚未安装的系统补丁,即仅对内网的补丁进行“增量式”的升级,以提高效率。
当有新的计算机补丁公布可以下载后,北信源公司由专门的人员在第一时间内获得,并进行相应的分析,更新补丁索引文件。
系统拥有专门的外网补丁下载服务器,能根据索引自动下载新增的计算机补丁,补丁校验功能对所下载的补丁进行校验,保证计算机补丁的可靠性、完整性、安全性。
补丁在导入时并具有病毒检测功能,保证导入到补丁库中的补丁不被病毒感染。
3.补丁安全自动测试功能
用户的真实环境中,可能会包含特殊的应用或特殊的软件版本,在这些环境
北信源内网安全管理系统产品白皮书
中,有时会出现打补丁后系统或应用异常的情况,所以在大规模补丁分发前需要进行真实环境的补丁测试。北信源系统独创了真实环境闭环测试技术,具体的流程是首先由网管选定某些计算机作为测试计算机作为测试组,每次补丁导入后内网后,首先自动分发至这些选定计算机进行新补丁的安装测试,从而自动地进行非模拟性自动测试。如果补丁安装后对测试计算机未产生影响,被测试计算机能正常运行,网管员便可根据相应得策略对网络内的计算机进行大面积的推送。此技术可以很好的减轻网管的测试工作量,并提高补丁安装的安全性。
补丁自动测试图
4.补丁库自动分类功能
系统对存放到服务器上的计算机系统补丁能进行相应的分析,自动得出补丁属性、类型和与之相关的补丁说明,并在网页中进行清晰明了的显示。可以方便管理人员根据相应的需求,高效快捷定义补丁分发策略,及时地针对不同的系统和需要分发计算机补丁。
系统同时提供管理员自定义补丁类别的补丁管理方式,如果需要也可由相关的管理人员自行设定相应的自定义补丁类别以符合其管理的需要。
5.补丁库的级联和同步功能
系统可以针对补丁进行级联式的分发和管理,在级联级数没有任何限制并在三级的基础上进行无缝平滑扩展。
可定期进行同步校验,也可自主设定同步校验周期和时间。在有新补丁导入时,也可以自动触发与下级服务器间的同步操作。
所有的同步过程均可自动完成,上级服务器可以了解下级服务器补丁库是否同步成功。
6.补丁安装检测、自动分发补丁功能
北信源内网安全管理系统产品白皮书
北信源补丁管理依据自身注册客户端优势,为网络用户提供强大的系统补丁检测、分发、安装等远程控制功能。网络管理人员通过本模块全面检测网络系统终端补丁的安装状况,并通过此模块,对没有安装补丁的设备进行远程补丁安装,可将最新补丁升级包及时分发到终端计算机,并提示安装修补,在客户端有明显提示,通知用户打补丁。
系统可以对客户端安装的系统的版本,IE版本的补丁安装情况进行自动探测和维护(客户端计算机的补丁安装情况包括Windows、Office、IE、微软媒体播放器等),自动搜集客户端系统资料和安装补丁资料,以根据客户端系统的实际状况自动分发所需的补丁。
客户端程序安装检测:网络中的客户端访问本地的WEB网站进行自动注册。注册后客户端检测程序将在系统中实时运行,检测补丁安装状况,并上报给补丁管理中心。用户WEB网页自动探测提示,支持大面积用户快速安装。客户端部署:在系统内部网络中,未注册客户端访问本地网站、以及访问上级网站均会出现提示用户注册窗口。
补丁推送安装:当系统检测到有客户端未打补丁时,可对漏打的补丁进行推送式的安装。同时,通过推送安装,也可以为客户端安装应用软件。
补丁推送分发可以跨网段,跨VLAN,补丁分发支持断点续传功能。补丁下发过程中,如遇到特殊事件造成网络中断,则在下次网络连通时通过校验得出已传输的数据和断点位置,进行续传。
系统补丁报表:监控程序将网络客户端补丁信息上报管理中心后写入数据库,在WEB管理平台可进行补丁报表察看,统计网络客户端补丁安装状况。
7.补丁策略制定功能
包括补丁应用策略制定、补丁文件分发任务制定。
可以根据要求按照不同的区域进行划分,可按照IP地址、部门、操作系统、用户自定义等方式进行区域划分。
补丁策略制定:具体可支持定时、定周期、分类、分部门、分范围、客户机状态和用户自定义等策略。
补丁策略分发:具备详尽的补丁分发策略,补丁可以定时、定周期、分类、分范围、分部门、分范围、客户机状态和用户自定义等进行分发。
北信源内网安全管理系统产品白皮书
补丁文件任务制定:针对特定的一个补丁或多个补丁,对指定计算机或者计算机网络进行补丁自动分发安装。
补丁中心将网络客户端分类,设置测试类客户端,补丁在测试类机器上经过严格测试后,再正式对其他类网络机器进行分发。
此外,内网安全管理系统还提供补丁下载流量控制功能,补丁管理中心区域管理模块能够对网络不同网段、不同区域的终端补丁升级进行流量、数量控制,避免造成对网络的流量影响,合理控制网络带宽。
8.补丁下载流量控制功能
系统可以利用多种方式进行下载流量控制:
(1)系统能够根据网络的负载情况自动调整分发补丁时所占的网络带宽和并发连接数;
(2)根据手动设置允许的带宽或服务器并发连接数及每个连接所允许使用的带宽;
(3)系统同时支持客户端转发代理补丁下载,以减少网络带宽流量,提高效率。
代理转发技术说明:补丁分发时,先由部分客户端通过补丁分发系统下载服务器补丁,其他的计算机可不通过服务器,而是通过已下载补丁的客户端进行相应补丁下载。下载时客户端可自动搜索临近的IP地址,选择拥有此补丁文件并且下载速度最快的客户端,从此客户端上获取由系统服务器下发的相关的补丁,以保证网络的利用率,同时提高补丁分发效率。
9.服务器端补丁查询功能
客户端软件实时监控客户端系统漏洞及补丁安装情况,服务器端补丁查询补丁可根据补丁名称、待查询IP范围、操作系统、待查区域,查询时间或其它条件对区域网络范围内的计算机终端进行补丁安装状况查询,通过网管设定的查询条件,能快速地获知所查询补丁的安装情况(如补丁发送是否成功,补丁安装是否成功,补丁是否已被安装等),以保证补丁及时的安装。
10.客户端网页查询补丁安装信息功能
因为很多用户习惯通过访问微软的Update网页,检查自己漏打的补丁,并进行下载安装。作为物理隔离的网络,内网中的用户无法访问此网页,因此从用
北信源内网安全管理系统产品白皮书
户的习惯角度出发,内网中也应该有类似的网页,以便用户访问和获知本机补丁安装情况,进行补丁下载安装。安装了系统客户端的计算机可以通过访问内网的特定网页,对本机所缺少的计算机补丁进行查询,查询结果在网页上进行显示,计算机用户根据需要进行安装。
北信源内网安全管理系统产品白皮书
4.8文件分发管理(可选)
1.普通文件分发及文件自动执行
系统向指定客户端(用户组)分发文件或安装软件,分发时可提供软件的运行参数和必要的运行控制。此功能可减轻网络管理人员的工作负担,软件分发时可报告软件安装的状态,无论软件正确安装与否,管理员均可及时了解情况。系统还提供人性化的软件安装过程录制工具,可以很方便的对软件和它的安装过程进行录制打包,软件分发至终端后,系统可在终端对软件安装过程进行回放,方便软件在客户端进行自动安装。
安装后的客户机端软件包括基本部分和用户工具,安装在客户机不同的目录中。
北信源内网安全管理系统产品白皮书
2.文件分发安装结果统计
北信源内网安全管理系统产品白皮书
4.9安全监控审计功能
1.上网访问行为审计和控制:
系统以黑白名单的方式对用户的网页访问行为进行控制;可对用户上网访问的网页等进行审计和记录。
北信源内网安全管理系统产品白皮书
2.文件保护及审计:系统提供对终端的系统、软件和共享等目录中的文件的保护功能,设定访问、删除、修改权限;支持对设定目录文件的操作审计,包括文件创建、打印、读写、复制、改名、删除、移动等的记录,同时将信息上报管理信息库供查询。
3.网络文件输出审计:对主机通过共享文件等方式进行的网络文件输出行为进行审计和记录(同下图)。
北信源内网安全管理系统产品白皮书
4.邮件审计:根据策略对主机发送的邮件及其附件进行控制审计和记录(同下图)。
5.打印审计:根据策略对主机打印行为进行监控审计,从而防止打印输出结果被非授权查看和获取。
6.文件涉密信息检查:根据用户自主设定的涉密信息查询条件,设定对指定目录或盘符下的指定类型文件进行内容检查,检查其是否包含涉密内容,系统支持进行包含“或”、“与”等多种逻辑的组合监测和模糊监测。
北信源内网安全管理系统产品白皮书
7.用户权限审计:审计用户权限更改及操作系统内用户增加和删除。
8.各自独立的权限分配体系:提供系统管理员、系统审核员(安全员)和系统审计员和一般操作员权限,分别进行不同的管理操作。
北信源内网安全管理系统产品白皮书
9.系统日志审计:不同权限管理员在Web控制台对终端用户的日志(系统日志、应用日志、安全日志等)进行远程读取查看。
4.10报表管理功能
1.系统提供完善的报表功能,能够根据按不同部门、不同操作系统提供软
北信源内网安全管理系统产品白皮书
硬件资产、审计信息、报警、状态及其他情况汇总报表,提供多种报表功能。
2.具备独有的“组态报表”查询功能,对于有关报表,能根据不同的需要进行多种不同条件组合(组合查询条件包括所属区域、单位名称、设备所在部门、设备名称、设备IP、操作系统及版本、IE版本、防范等级、运行状态、安装杀毒软件版本及厂商、CPU情况、内存情况、硬盘情况、设备使用人、设备最后使用时间等等),还可以生成多种不同的报表格式。
组态查询实例图
3.报表以网页的方式呈现,提供链接可在各项查询功能中跳转。报表可以方便的调整格式,并可以以Excel格式输出,以便打印。
4.可以根据需要输出成柱形图、饼图等。
北信源内网安全管理系统产品白皮书
输出柱状图实例
4.11事件报警管理
1.事件集中报警处理中心汇总所有内外安全管理事件的报警信息,并将报警按种类、级别分类,同时支持短信、声音、邮件、图形等报警方式。同时,报警中心自动把各种报警信息汇总成为高、中、低三个等级,显示各类发生事件的名称和发生事件设备名称、IP、MAC等信息,以便第一时间发现报警源头和类型,发现对网络危害最大的报警信息,以最快速度妥善处理事件,从而在最大程度上提高系统管理员对网络突发事件的快速反应能力。
2.客户机发给管理服务器相关的报警信息可预设置级别,管理服务器把已注册客户机的报警信息记录到异常情况记录表,同时,按管理员预定义的规则将部分紧急的报警信息发送给管理员(本系统必须有与手机短信报警平台的接口)。
3.对客户机的不当行为,管理服务器能按照预先制定的策略自动进行警告,管理员也可以通过管理服务器对特定的客户机发出警告信息或其它信息,这些信息的发送不会因客户机关闭而无法完成,对离线机器发的信息在其开机后即弹出。弹出窗口以“阅毕”按钮关闭。信息可以定义有效期,客户机不会看到过期信息。管理员可以根据需要删除发出的信息。
4.对客户机的不当行为,管理服务器能按照预先制定的策略自动进行警告,管理员也可以通过管理服务器对特定的客户机发出警告信息或其它信息,这些信息的发送不会因客户机关闭而无法完成,对离线机器发的信息在其开机后即弹出。弹出窗口以“阅毕”按钮关闭。信息可以定义有效期,客户机不会看到过期信息。管理员可以根据需要删除发出的信息。
5.系统将通过短信平台将手机短信直接发送到下级安全管理员。
北信源内网安全管理系统产品白皮书
报警设置实例图
4.12第三方接口管理
1.PKI/CA认证联动接口 2.防火墙联动接口 3.网管软件联动接口 4.安全管理平台联动接口 5.其它第三方接口
5.产品运行配置 5.1硬件配置
建议配置:双Intel至强CPU,主频2.8G或以上;
120G硬盘或以上; 2G内存或以上;
北信源内网安全管理系统产品白皮书
注意:
所选择的Windows服务器须支持冗余/高可用的配置,能够保证系统无单点故障。能够支持7*24小时连续运行,同时具有良好的容错能力。如需考虑未来管理计算机数量的增长,服务器还应具备一定的扩充能力。
5.2软件配置
系统服务器所需的软件环境:
1)操作系统:MS Windows 2000/2003 Server;
2)数据库: MS SQL2000企业版或MS SQL2005企业版(SP4); 3)服务器安装IIS服务; 系统客户端所需的软件环境:
操作系统:Microsoft Windows 98/2000/2003/XP/win7/Vista
北信源内网安全管理系统产品白皮书
6.关于北信源
6.1.公司简介
北京北信源软件股份有限公司(以下简称“北信源公司”)创立于1996年,注册资金5000万人民币,主要从事内网安全管理系列产品的研发、生产、咨询和服务。公司总部位于中关村高新科技园区,有近400名信息安全专业研发、生产、咨询和服务人员,下设上海分公司、华东支持中心、华南支持中心及各省市近三十个办事处。
经CCID、中国计算机用户协会等权威部门统计,北信源内网安全管理系统在中国终端安全管理审计及移动存储介质管理市场占有率连续四年保持第一。荣获“2006、2007、2008、2009中国终端安全管理审计及移动存储介质管理占有率最高产品”、“2006、2007、2008、2009中国终端安全管理审计及移动存储介质管理市场成功企业”、“2007-2008中国软件十大领军企业”、“2007十大金融科技创新企业”、“中国信息化突出贡献单位”、“公安部科学技术奖”、“2007中国信息安全终端安全管理及审计产品值的信赖品牌奖”、“2007中国电子信息用户满意企业”、“2008中国信息安全行业影响力重大终端安全管理品牌”、“中关村十大软件品牌”、“中关村十大IT产品最佳安全管理软件品牌”、“Intel最佳桌面管理解决方案合作伙伴”、“2009内网安全突出贡献奖”、“中关村TOP100”等多项殊荣。公司现已成功打造国内信息安全软件知名品牌“北信源”、“VRV”。
作为我国民族信息安全产业的标志性企业和优秀代表,北信源公司将依靠自有的安全技术和产品本着继往开来的创新姿态,为构筑中华民族的信息安全长城而不懈努力。
北信源内网安全管理系统产品白皮书
6.2.联系方式
北京北信源软件股份有限公司
地址:北京市中关村南大街34号中关村科技发展大厦C座16层 邮编:100081 电话:010-62140485/86/87
传真:010-62140468 网址:www.xiexiebang.com
第三篇:内网安全管理系统软件技术要求
附件二
内网安全管理系统软件招标技术要求
一、产品总体要求
1、公司的资质:公司成立10年以上,具有自主研发能力,有成熟稳定的研发队伍的软件行业企业。
2、产品资质要求:必须是自主研发,稳定销售8年以上;拥有自主知识产权,通过公安部检测,获得公安部销售许可证,至少拥有以下资质证明: 公安部《计算机信息系统安全专用产品销售许可证》; 国家版权局颁发的《计算机软件著作权登记证书》; 国家版权局颁发的《计算机软件产品登记证书》;ISO9000质量管理体系认证。
3、产品实施简单,可操作性强,实施后必须保证网络稳定畅通,系统正常运行,不影响正常开展工作。
4、*至少有五家500点客户的安装实施经验。
5、有丰富的行业客户服务经验,能提供后续技术支持和维护更新等服务。
二、技术规范要求
2.1 系统要求
▲客户端操作系统支持包括:Windows98/Me/NT/2000/XP/2003/Vista/Win7/2008,必须同时支持32位及64位系统。
▲所有监控功能都能按计算机和用户两种模式实现。
▲必须支持瘦客户机、终端服务器、无盘工作站等的使用模式。
*监控系统的部署必须支持多种安装方式,包括web安装、域脚本安装、远程安装以及域组策略安装等。
*必须提供分布式服务器管理功能,并且需要支持跨区域部署管理。*必须隐藏客户端进程。
*支持与AD域的结合,可与域组织架构实时同步。管理端必须支持C/S架构登录。
客户端在离线情况下,控制及日志记录功能依然生效。
附件二
2.2 功能要求
2.2.1 基本功能
能获取计算机的基本信息,包括计算机名称,网络地址,操作系统,登录用户,当前状态等信息,以及计算机多用户登录信息的查看。
▲支持增加管理员账户并对账户权限可实现细化,如管理范围、功能权限。同时可对非系统管理员的账户可禁用、删除以及修改密码,方便权限回收。
*必须具备管理员以及审计员账户,且相互独立,并且能够提供记录管理员操作的审计平台,包括管理员登陆系统,查看日志,对内网计算机的控制等等。
*支持对各终端所设置策略的总览以及对策略的应用查询方便管理员掌握终端的策略情况,同时具有对策略的导入导出功能及复制功能。*支持邮件报警功能,可以将违规行为详细记录为日志形式并通过邮件发送至指定邮箱。*支持设定自动关机功能,提供在指定时间关机、注销及重启的功能
支持按工作时间段进行策略设置,灵活管理。
支持远程对计算机进行键盘鼠标操作锁定、关闭、重启、注销和发送通知信息等。支持对3g上网卡拨号的日志记录。
2.2.2 基本控制功能(包括基本模块及设备管控模块)
能控制计算机对本机系统设置的操作权限,包括以下多项属性,并且各项可以单独控制: *IP/MAC绑定:修改网络IP/MAC配置
控制面板:控制面板、设置屏幕属性、添加打印机、删除打印机、快速切换用户。计算机管理:设备管理器、使用磁盘管理、本地用户和组、系统服务管理、其它计算机管理。
系统:任务管理器、注册表编辑器、命令提示符、运行注册表中Run下的程序、运行注册表中Run Once下的程序
网络:修改网络属性、显示网上邻居、修改Internet选项、默认网络共享、使用网络共享、增加网络共享
其它:使用print screen键复制屏幕、系统还原、Windows自动更新
▲可以控制内网计算机对常用设备的使用权限,支持对刻录机可读不可写的控制
存储设备包括:软驱,光驱,刻录机,磁带机,可移动设备(U盘,移动硬盘,记忆棒,智能卡,MO,Zip)、便携设备(智能手机)等;支持对上面各项的单独控制。
通讯设备包括:串口、并口、USB 控制器和连接器(HUB)、SCSI接口、1394控制器红外线、PCMICA卡、蓝牙设备、MODEM、直接电缆连接、拔号连接等;支持对上面各项的单独控制。
网络接入设备:包括无线网卡,pnp网卡,虚拟网卡等;并且可以对它们单独控制。其它:声音设备,虚拟光驱,任何新设备等的使用。
▲支持USB设备的细分控制,即以下每项可单独控制,支持3G上网卡的控制。USB设备:USB 键盘、USB 鼠标、USB Modem(3G上网卡)、USB 映像设备、USB CDROM、USB 存储、USB 硬盘、USB 网卡、USB其他USB设备;支持对上面各项的单
附件二
独控制。
*支持禁止增加非系统硬盘。
*支持对Iphone等便携式设备的控制 *支持对任何其他外设的控制
*支持对无线网络的连接控制,限制禁止连接的无线网络。
对计算机的硬件变化,设备的插入拔出,存储设备变化,通讯设备变化,软件变化,系统服务变化,启动项变化,系统时钟变化,计算机名称变化,网络配置变化等能提供报警信息并作为日志记录。
2.2.3 移动存储控制
支持对内网计算机控制其对指定移动存储设备的读写权限。支持自动收集客户端上使用过的移动存储信息,并可以自定义添加备注信息。同时支持移动存储分类库,允许对移动存储进行自定义分类,按类库进行管理。支持可按照对移动存储的描述进行控制。
支持所有通过USB接口方式连接计算机的存储设备。
支持在指定计算机上使用制定移动存储设备时,自动对复制/移动的文件进行加解密控制,加密后的文档只允许在具有自动解密权限的客户端计算机处才能打开,否则打开为乱码。
支持将指定移动存储格式化成加密盘,只能在内部装了客户端的计算机处正常使用,非客户端计算机无法使用。
能够记录内网计算机使用移动存储设备的情况;包括操作时间,操作类型(插入/拔出),计算机、用户、移动存储类型等。
2.2.4应用程序管控
支持通过禁止应用程序分类或禁止应用程序名称、应用程序窗口标题的形式来禁止计算机使用非法程序。
针对应用程序更改名称或路径的情况,所做的控制必须依然生效。能自动收集客户端计算机运行过的应用程序,并支持分类管理。
支持记录所有应用程序的启动/关闭、窗口的切换标题动作;并可以按时间范围,计算机范围,应用程序名称,应用程序路径、窗口标题这几种查询条件查询。
支持通过自定义的时间范围,对单个工作人员,部门,或整个网络的计算机的应用程序使用情况进行统计;
统计结果必须有列表和图表两种显示方式;
统计方式必须包括是:按应用程序类别统计、按应用程序名称统计、分项统计(统计各组计算机的应用程序使用),按明细统计等。
2.2.5远程维护
支持远程查看网络内的客户端计算机当前运行的应用程序,进程,性能,设备管理,系统服务,磁盘管理,共享文件夹,计划任务,用户和组等。同时支持对应用程序,进程,附件二
设备管理,系统服务,共享文件夹,计划任务的控制。支持对客户端的远程控制。
支持远程文档传输,提供客户端与控制台相互传送文件的功能。必须支持经过客户端允许或密码设定才能远程控制。支持远程卸载客户端计算机上软件功能
2.2.6屏幕监控
▲屏幕历史记录的数据量:平均一帧数据量少于▲支持对指定应用程序运行过程的屏幕记录。▲支持对应用程序的变频记录。
25K 支持通过控制台实时查看员工当前工作的计算机桌面,并可将当前屏幕保存为图像,支持对终端用户登录的屏幕分屏查看。支持同时对多屏进行监视。支持扩展显示器的监视。
能记录计算机当天的屏幕历史画面,并可以按指定的计算机查看指定日期范围内的屏幕历史记录,以播放器的方式播放某一天的屏幕历史,并可将当前播放的屏幕历史另存为视频文件。
2.2.7资产管理
支持对客户端计算机的硬件和软件资产信息的统计,并支持按分组或计算机统计硬件和软件的分布情况,同时支持设置自定义查询条件。
支持自定义添加企业内的非软硬件资产信息,并支持设置自定义查询条件。
支持实时查看客户端计算机补丁情况,并允许对补丁进行修补,同时不需要另外搭建wsus服务器。
支持自动扫描计算机的系统漏洞并提供解决漏洞问题的建议。支持通过控制台集中向客户端自动分发安装程序并自动安装,或分发各种文件到指定的目录下,以及分发其它执行程序到目标计算机的功能。支持对硬件资产添加自定义信息描述。
三、可靠性要求
数据库的存储能力及维护,为节省数据库维护成本以及防止因部分数据库损坏而影响所有数据,需要对日志数据采用按天存储的功能。每天产生独立的数据库,数据库出错无法修复也只影响受损数据库所保存的当天数据。
当操作系统处于正常模式和安全模式下都能正常监控。
要求监控系统有一定的自我保护能力,不会轻易遭到破坏,并且不能自行卸载,必须通过授权才能卸载。
每个服务器支持超过3000个终端在线管理。
系统进行局域网发现时节点占用带宽不超过20Kbps。
附件二
系统进行文件分发、文件传送等操作时占用带宽不超过200Kbps。系统在局域网环境内进行一遍节点轮询占用带宽数不超过20Kbps。附注:三年免费质保,三年免费服务。产品支持570个工作站。
第四篇:内网边界管理系统
网络边界安全
一、网络边界背景
早期的网络只是为了使分布在不同区域的人们资源共享和通信而建立的。网络发展到今天,全世界的计算机联成了网络。而网络安全也随之而来。信息泄密、外来攻击、病毒木马等等,越来越多的网络安全问题让网络管理者难以应对,而如将内网与外网完全隔开,就会形成信息的“孤岛”,业务无法互通,资源又重复建设,并且随着信息化的深入,在各种网络上信息共享需求也日益强烈。
二、网络边界防护手段
不同安全级别的网络相连,就产生了网络边界。一般来说,防止来自网络外界的入侵,就需要在网络边界上建立可靠的安全防御措施。
从防火墙技术的到多重安全网关技术,再到不同时连接两个网络的网闸技术,都是采用的关卡方式,“检查”的技术各有不同,但对黑客的最新攻击技术都不太好用,也没有监控的手段,对付“人”的攻击行为来说,只有人才是最好的对手。
三、现有边界防护技术的缺陷
面对各种各样包含新技术的攻击手段,现有的防护产品以及其附带的防护技术是否能实现预定功能。现有的安全管理员还不能对这些防护产品性能足够了解,就谈不上正确使用,把产品功能发挥出来。
再说网络边界防护是一个长期需要大投入的工程,一般的主管安全的领导及安全管理员根本不清楚遭受攻击的一些细节,安全管理员根本不知道该怎么防,往哪里防。
购买最新的安全防护产品,或是花大量的时间、资金培养几个资深的安全管理员,且不说两者能不能配合,能不能防住,使边界安全防护达到预期的目标,单单投入方面也不是现有的企业目前所能够承受的。
根据我国现阶段现状,政府和企业不可能在网络安全方面大量投入,而有限的资金又不能投入到最需要的地方去,造成大量的资金浪费。该防的没建设,目前不用防的反而建设了。
对于公开的攻击,只有防护一条路,比如对付DDOS的攻击;但对于入侵的行为,其关键是对入侵的识别,识别出来后阻断它是容易的,但怎样区分正常的业务申请与入侵者的行为是边界防护的重点与难点。
四、符合中国特色的边界管理
面对上述种种问题,现有边界防护技术和产品远远不能满足我国机构和企业的需要。那么我们必须转变思想,找出路!
既然我们现阶段有资金,人员及技术各方面的限制,不可能把网络边界打造成“钢墙铁壁”。没钱修“城墙”,守卫又不合格,那么只能多装摄像头,对所有的边界监控起来,达到不留“死角”的程度。一旦发现有攻击、入侵行为马上报警,马上处置,然后针对被攻击或入侵的薄弱地点,修一段“城墙”,重点防御。较低的投入,把现阶段安全问题管起来,最后达到一个可控可管,齐抓共管的局面。
网络边界安全问题主要可以分为两个方面,一个是由于外网接入到内网中,从而带来的网络安全问题,另一个是内网内部产生的网络安全问题。对于外网的接入,一般网络上都增加了防火墙、VPN路由器等来保证网络的安全,对于在内网出现的问题就没有设备来保证网络的安全问题了。浙江远望电子有限公司的内网边界检查系统出现就解决这个问题,从内部网络开始检查,查找相关的问题,找到问题的源头,进行预警,预警提示后在进行技术或人工手段来阻断相关的问题。远望内网边界检查系统也可以对外网的接入进行监测,通过预警把相应的情况报告给管理员,由管理员进行手动直接断开外来接入或通过网络上技术的手段进行网络断开。并且远望内网边界检查系统可以实现多级级联,逐级对网络进行安全管理。
五、远望内网边界检查管理系统
远望内网边界检查管理系统,通过对内网边界安全监测和管理,防止外来计算机、网络等通过非法手段接入内网,防止因内网边界问题而导致信息泄密,病毒木马入侵,带宽资源因没有注册的设备增加而被严重胡乱占用。通过违规外联和线路边界的发现和监测技术,配置网络边界发现策略,全面发现网内的设备边界和线路边界的异常情况,实现对违规行为的阻断,确保内网的安全。
通过技术手段对网内的设备边界和线路边界的异常情况进行实时扫描、自动检测,及时发现线路边界问题,把相关信息反映到管理员控制页面上。同时在规定时间内对通过非法接入内网等边界问题进行阻断。
平台通过边界注册建立合法边界白名单,并依靠技术手段自动实现网络边界的检查,及时发现存在的非法网络边界,并对违规事件进行取证,方便查找相关责任人以及后续处理。同时支持对违规外联和非法网络边界点的自动预警,将发现的边界违规情况在安全管理平台上产生预警和通报,第一时间责令相关人员进行整改。
第五篇:内网安全管理系统7.0产品白皮书
产品白皮书
内网安全管理系统V7.0
产品白皮书
第1页
产品白皮书
目录
1.产品简介.......................................................................................................................................................1 2.产品构架.......................................................................................................................................................1 3.产品功能.......................................................................................................................................................2 4.产品特点.......................................................................................................................................................2 5.产品性能.......................................................................................................................................................3 6.产品部署.......................................................................................................................................................4
第2页
1.产品简介
内网安全管理系统是用于政府和企业终端安全管理系统。系统通过对计算机准入控制、计算机安全加固、计算机运行维护、计算机安全审计、移动存储介质注册等多个方面的综合管理,为政府和企业用户打造一个安全、可信、规范、健康的内网环境。内网安全管理系统可为用户解决如下一系列的内网安全管理问题:
确保入网终端符合要求 全面监测终端健康状况 保证终端信息安全可控 动态监测内网安全态势 快速定位解决终端故障 规范企业员工网络行为 统一内网用户身份管理 杜绝移动存储介质滥用 提高和实现软件正版化
2.产品构架
内网安全管理系统在架构设计上采用了三层管理结构:终端监控引擎、总控中心、管理控制台。
终端监控引擎以服务的形式运行于终端计算机上,是终端计算机管理的核心和基础部件,用于对被管理终端计算机的安全加固、运行维护和监测审计等管理职能。终端监控引擎的设计充分考虑了稳定性、安全性和兼容性要求。终端监控引擎可防止恶意停止,并全面兼容防病毒软件、防火墙软件、设计开发软件、业务软件、办公软件。
总控中心用于计算机的集中管理,为终端监控引擎和管理控制台提供一系列的管理服务。由策略管理服务、审计管理服务、Radius认证服务、文件备份服务、补丁与软件分发服务、时间同步服务、网络管理服务、分级管理服务、事件订阅服务、健康状态监测服务等组成。视内网规模和性能要求,这些服务可分别部署在不同的硬件平台上,也可部署在同一个硬件平台上。
管理控制台是系统管理人员提供系统管理入口。采用了B/S方式进行系统管理,通过管理控制台可以完成系统管理的全部操作。三层管理结构大大提高了系统设计开发、安装部署和运行维护的灵活性、便利性和扩展性。
图1 LanSecS®内网安全管理系统架构
3.产品功能
安全审计:提供内网主机安全事件的审计功能,包括文件操作、文档打印、共享访问、服务与进程活动、系统日志、系统账户监控等。提供终端计算机用户行为的监控与审计,包括信息泄密、资源滥用、即时通讯、邮件收发和网站访问等。
安全服务:通过预警平台、远程协助、软件及文件分发等功能实现远程桌面维护以及安全动态、桌面通知、信息发布。
安全加固:提供强大的补丁自动分发机制、病毒库自动下载机制、本地文件安全存储以及移动存储介质的认证与注册管理等功能,保证终端运行环境的安全可控,保障内网运行的可靠性。另外,还提供主机安全策略和IE安全策略的统一设置,加强主机的安全性。
资产管理:提供对内网资产和资源的集中管理能力,包括计算机、交换机、操作系统、软件、硬件,并对资产和资源的变更进行监控和预警。
准入控制:采用可信接入技术,对于接入内网的计算机进行严格的身份认证和健康检查,保证内网业务数据和系统环境的安全。
4.产品特点
完善的分级管理架构,“分散不分立”:通过分级管理,系统可实现跨地域分散部署和集中管理。“分散不分立”,形成有效的和有机的内网安全管理架构。
灵活的分权管理机制,“集中不集权”:系统提供了基于安全角色的授权管理机制,根据功能模块或行政机构的划分自定义安全角色,一种安全角色只能执行其所辖部门范围内的相应安全代理的安全策略和审计事件的管理。“集中不集权”,保证了管理的安全性。
多层次的安全措施,保证系统运行的安全可靠:系统从数据库、网络通讯、策略分发与存储等多个层面加强了安全保护,确保系统运行的安全可靠。
全方位的安全审计功能,有效地防止信息泄密:系统提供对所有输入/输出设备、文件系统、进程、服务、注册表、网络应用、用户身份、操作系统安全策略等进行综合的监控和审计,全方位的监控操作系统的运行状态以及用户的操作行为,实现涉密信息的全程审计与跟踪。
完善的基于数字证书的身份认证机制:系统内嵌身份认证服务,实现了与数字证书的完美结合,管理控制台、监控代理、总控中心以及所有系统管理用户和计算机终端用户均通过数字证书进行身份认证。
丰富、多样的统计报表功能:系统提供列表和统计图的报表输出,报表的输出支持HTML、EXCEL、PDF、RTF等四种格式。同时提供手动报表、自动报表等两种运行模式。
高度模块化设计,需求响应迅速:系统管理控制台、安全代理和总控中心均采用模块化设计,并提供用户设计、开发接口和示例,用户可以根据企业的安全需求定制采购,同时也可以根据需求的变化,在运行时动态改变其工作状态,提高系统的运行效率。
所有组件支持自动升级,系统维护方便、快捷:系统的主机代理及其功能模块均支持基于版本号的网络自动下载更新,只需要在总控中心一次部署即可以完成全网的自动升级。系统的维护和升级非常方便。
客户端监控代理安装部署方式灵活、多样: 内网安全管理系统客户端监控代理同时支持域模式安装、本地安装、网络分发安装以及WEB安装等多种安装部署方式,用户可以根据实际网络环境自由选择。
5.产品性能
内网安全管理系统主要性能指标如下:
总控中心最大并发连接数:3000;
总控中心最大可管理注册主机数量:20000台; 总控中心网络带宽占用:100K/1000客户端; 终端监控引擎CPU占用(静态模式):< 1%;
终端监控引擎内存占用(静态模式):8M。
6.产品部署
内网安全管理系统支持本地部署和分级部署,分级部署示意图如下:
图 2分级部署示意图
点击咨询 