|
控制台对整个的网络进行监控,采用基于用户名/口令的身份认证方式和主机防火墙来保护控制台的安全。控制台由系统管理员使用,当启动控制台并正确地进行身份验证后,为管理员提供管理和控制功能。内网使用人员身份识别和控制;系统管理员和系统审计员身份的识别控制。
控制台启动后,以服务器的方式监听,等待受控主机的代理的连接。当双方建立连接并进行身份识别以后,针对每一个受控主机代理建立一个发送队列和接收队列,进行信息的传送。
内网110-一体化安全防护系统提供如下的安全策略:
• 文件安全策略
从受控主机中获得受控主机的磁盘驱动器和文件目录信息,以图形的方式显示,可以进行安全设置。管理员可以对客户端计算机上的重要(涉密)文件或者文件夹,根据系统不同的用户设置不同的读、写、删
• 运行等安全权限策略。当用户违反策略时系统会自动阻止,并将报警信息上报到系统控制台,产生详细的报警日志。
• 用户登录规则设置
针对每一个主机,设置允许登录使用的用户身份,允许登录的时间段。
• 防止非法外联(一机两用)和修改计算机网络配置信息
系统控制台默认情况下禁止客户端用户通过MODEM拨号接入互联网或者其它公网;另外,系统管理员可通过 设置策略禁止用户通过ADSL、代理服务器等方式接入互联网或者其它公网;当用户违反策略时,系统会自动阻断并进行报警。
系统管理员可控制客户端用户修改客户端计算机名和IP地址、网关、子网掩码,防止用户盗用别人IP地址;系统管理员可在控制台修改客户端计算机名及IP地址。做到了系统的严格物理隔离。由于不同的上网方式会使用到不同的网络接入设备,因此,阻止网络访问的主要手段是控制访问设备。例如,通过 ADSL那么主要就在于对USB接口的设备控制和检测。
• 设备端口安全策略
系统管理员可对客户端计算机上的硬件端口进行控制,防止用户私自将单位的重要资料通过计算机端口泄漏。可对计算机的软驱、光驱、USB接口、打印机、1394接口、红外接口、PCMCIA接口等进行控制。
在允许使用USB存储设备、打印机时,系统控制台记录有详细的设备使用日志。
通过对软驱、光驱及移动存储设备的控制,可以有效的管理用户通过这些设备和接口安装一些与工作无关的程序和资料,这样可减少用工作的机器做与工作无关的事情。
• 进程运行控制策略
受控主机的进程运行受到监控中心控制台制定的策略控制,一切非法的进程运行将受到阻止。可实时的获取客户端计算机上运行的所有进程列表,管理员可使用不同的策略设置客户端计算机上允许运行或禁止运行的进程。
分为白名单策略和黑名单策略。白名单是系统管理员允许客户端计算机运行的进程列表;黑名单是系统管理员禁止客户端计算机运行的进程列表。在同一时刻只能执行黑名单或白名单中的一种进程策略。
• 防止非法接入控制策略
为了维护内部网络的封闭性,一有未经允许的计算机接入内网,系统控制台就会立刻发现,并会根据控制台设置的策略做出相应的处理。策略设置为询问方式时,系统会主动询问管理员如何进行处置;系统设置为直接阻断方式时,系统会自动发送阻断消息,阻止非法接入的计算机在内网上的任何网络行为。
• 共享访问控制
控制台记录各个受控主机代理计算机之间的共享访问行为,以便查证。控制台限制代理主机之间使用默认全部共享。
• 时间同步
为了保证审计数据的合法性和安全策略的有效性,受控主机的时间必须一致正确,可以通过和控制台的时间进行同步的方式,来实现整个受控网络的时间一致性正确性。
• 分级管理功能
系统根据实际网络结构和管理的计算机数量可进行分级管理,上级监控中心可针对下级监控中心设置设备端口安全策略,下级中心设置策略时不能违背上级中心设置的策略。
• 自动分级报警功能
上级监控中心可对下级监控中心设置自动报警的事件类型,当下级监控中心所管辖的代理违反设置的安全策略时,代理自动报警到下级监控中心的同时,并同时上报该条报警信息到上级监控中心。并以对话框和声音等方式提示。
• 多种管理员类型
为了防止系统管理员的权限过于集中,本系统控制台的管理员分为三种类型:系统管理员,高级系统管理员,系统日志审计员。
系统管理员可以设置安全策略并进行策略下发;高级系统管理员对系统管理员进行管理,增加、删除系统管理员;系统日志审计员可以对系统管理员、高级系统管理员的行为审计,包括登陆控制台日志、对各个主机设置的安全策略的操作日志,不能设置安全策略。
四、 内网110--一体化安全防护系统的主要功能
• 开机身份认证和安全虚拟盘子系统
1. 强身份认证
提供了完善的对外接口,可与第三方厂商的加解密体系进行紧密接合,尽最大可能保障用户信息的安全。如:与上海格尔的身份识别系统的结合,与卫士通公司的“一Key通”身份认证系统的结合;等等。
2. 授权管理
限制超级用户登录计算机,客户端只能以普通用户登录操作系统,从而避免客户端权限过大、随意安装、运行软件等。
3. 与第三方的身份认证系统(USB -KEY)留有接口,可通过系统联动识别用户身份;
4. 文件保险箱
文件本地加密存储,可以由客户端用户自行设置文件保险箱,保证保险箱中的文件只有客户端用户可以打开、操作;外人无法进入文件保险箱。
• 基于主机的行为和设备端口监管审计子系统
1. 资产管理
自动发现并管理局域网资产,对受控主机硬件的添加、删除进行管理,硬件发生变化时,记录报警信息;对硬件使用情况(CPU等)进行跟踪;
2. 客户端访问控制
主要涵盖了外设、接口、网络等访问控制。
接口控制:设备监管功能:监控中心对受控主机的软驱、光驱、移动存储设备、打印机设备、串口等进行输入输出控制,对USB设备进行监管,对USB存储设备可以管理其禁止/允许使用,对1394口、红外口、PCMCIA口进行有效控制,有违规操作时及时阻止并发出报警信息;
可以控制USB存储设备只读;
对USB设备分类监管功能:对于通用串行总线(USB)设备能区分:存储设备、通信设备、打印设备、多媒体设备和输入设备(USB鼠标、USB键盘)等,可分别制定策略。
所控制的这些接口基本涵盖所有可能造成失泄密的情况。
网络访问控制:可以有效的控制终端用户Modem拨号操作。
对网络端口对应进程的映射、审计。
打印机控制:对系统内部用户使用打印机进行控制,可根据需要设定禁止使用、自由使用记录日志、 自由使用记录影像等不同程度的策略。
3. 客户端补丁管理与分发
控制台能够获取客户端的操作系统补丁安装情况,进行统计;自动下发最新补丁。
4. 病毒防护
控制台对杀毒软件的运行状态进行监控,包括监控其进程、服务、版本;支持的杀毒软件包括kill、瑞星等。
5. windows安全策略分发、管理
由控制台控制客户端安全策略,客户端用户不能自行修改安全策略。
6. 客户端外联监控
能够有效防止客户端外联互联网,一经发现有试图进行外联的行为,系统将会及时阻断并报警。
7. 服务器-客户端远程消息
控制台能够向客户端主机发送实时消息,通过消息进行辅助管理或者进行消息通知。
8. 受控端日常工作的残余信息清除
客户端日常工作(office、IE等)产生的临时文件由系统自动的彻底删除,防止通过该种途径泄密。
9. 防止磁盘、分区、指定文件等删除后恢复
文件经过用户删除操作后,用户无法通过各种文件恢复工具进行恢复,确保彻底删除。
10. 控制台审计信息自我保护
控制台的审计信息任何人无法进行私自的删除、修改和拷贝等各种操作;审计信息只能被相关人员(如系统管理员)看到,其他人员不能获取控制台的审计信息。
11. 受控端文件保护策略
监控中心对受控主机的文件、目录进行保护,防止信息泄露;
12. 受控端进程安全策略
控制台对系统进程控制,可阻止非法进程运行,设置进程黑白名单;
13. 对非法外联、非法侵入等行为进行有效监管及控制;
14. 对受控主机的所有设备进行监管,不允许随意安装外来设备;
15. 监控中心可以监测到受控主机的电脑资源信息;具体可以查看到受控主机代理的CPU占用率、内存使用情况、硬盘使用情况、操作系统以及系统补丁版本。
16. 策略文件加密保存;
17. 智能审计,生成可靠记录,审计结果不可删除、修改、非法拷贝,保证结果可信性;
18. 直观看到在线代理主机的运行状态;在控制中心通过代理统计表对整个内部网络的计算机运行情况进行查看和统计,列表项目为代理数统计、操作系统统计、代理连接情况统计;
19. 系统安装后,各种代理具有自我保护功能,不能随意被卸载;系统运行后代理进程自动运行,不可被停止;仅能由系统管理员在控制台进行卸载,或者用专门的卸载工具进行卸载;
20. 上级监控中心可以看到下级监控中心所管理的所有代理的运行状态,下级监控中心可以识别、接受主管上级监控中心发来的指令,并向上级监控中心报告分级告警信息;
21. 可以设置下级控制中心向上级控制中心的报警类型,一旦有该类型报警信息,将会自动上传到上级控制台发出对话框提示报警内容;
22. 代理主机的策略放在本地,代理主机脱离内部网络环境后,制定的策略依然有效;
23. 可以监视网络中是否有非法接入的非受控主机,并阻止其网络行为,维护内部网络的封闭性;
24. 对笔记本电脑的控制,是通过PC机使用时间设置来实现的,主要针对的是笔记本电脑外带的控制,可以设置使用时间,超过时间电脑将无法使用,只有将控制中心生成的随机解锁密码输入,此外带电脑才可以继续使用;
25. 在控制台显示代理主机上所有安装的硬件信息、安装的软件信息、当前的网络连接信息、代理主机端目前运行的所有服务的名称列表,以及服务的相关详细信息;
26. 对所有代理主机设置的各种策略,可以进行查询和统计;
27. 对所有代理主机的信息可以进行查询和统计;
28. 提供组策略的实施和默认策略的下发,规范管理,操作灵活;
29. 详细的日志审计功能,记录各种操作日志、报警日志、登录日志等,日志信息可以方便的进行查询、统计;
30. 系统定时对各种日志和策略文件进行备份,防止数据和信息丢失;
31. 系统定时对各种日志和策略文件进行自动备份;存储空间已满时,系统会提醒管理员进行数据转存,防止数据和信息丢失;
32. 系统对报警日志可以进行数据导出和导入操作,并且提供小工具对单机版受控主机进行日志查看和导入控制台;
33. 报警信息可以按照各种条件进行查询、统计,查询条件包括:时间范围、主机IP、MAC地址、硬盘序列号、报警类型、内容关键字、用户名、报警等级;
34. 提供组策略的实施和默认策略的下发,规范管理,操作灵活;
35. 客户端用户注册成功之后收集主机信息并上传至服务器作为初始资源信息备份。系统管理员员能查看所管理部门内主机的系统资源信息,并且能随时刷新重新获取系统信息;
36. USB移动存储设备认证管理功能:对USB接口的移动存储设备(U盘、移动硬盘、MP3、MP4、数码照相机SD卡、CF卡、记忆棒等)进行准确识别,认证。只有认证过的移动存储设备可在内部环境中使用,未认证设备禁止在内部环境中使用。对认证的设备内部保存的数据可以分级别进行保护,防止失泄密的发生。对进行数据保护的移动存储设备提供完整的外出(外带)使用保护机制。
• 移动存储设备逻辑认证子系统功能
1. 防止内部USB移动存储设备带出办公区而泄密,同时避免外部U盘私自带进办公区拷贝文件。
2. 禁止外部非法移动磁盘在内部使用
在控制台端移动存储设备认证系统中经过认证的移动磁盘,被称为合法移动磁盘。只有合法移动磁盘才能在所有的客户端计算机上正常使用,而其他的所有的外部移动磁盘都不能在客户端计算机上使用。当非法移动磁盘插入到计算机时,操作系统会自动将它卸载掉,并提示这是非法移动磁盘不能被使用。
3. 禁止内部认证U盘在外部环境使用
可以禁止或者允许在单位认证过的U盘在外部计算机上使用。这样就可以更进一步做到安全和保密工作。只要将这一项设置为禁止,单位认证的U盘带出去之后,外部计算机无法对U盘进行打开操作。
4. 对内部合法移动磁盘的数据保护
在控制台端对移动磁盘进行初始化认证时,可以对该移动磁盘设置保护级别。保护级别分为,不保护,简单保护,一般保护,强度保护。设置不保护的移动磁盘,可以将移动磁盘上的内部数据带到外部计算机上正常使用。设置其他保护级别的的移动磁盘,不可以将移动磁盘上的内部数据带到外部计算机上正常使用,因为这些数据都是经过加密处理的。这样也有效防止了内部人员恶意泄密的可能。
5. 支持内部移动磁盘的外带使用功能
当内部人员由于出差或其他工作原因需要将内部数据通过移动磁盘带到外部使用时,可将内部合法移动磁盘拿到控制中心进行外带认证操作。经过外带认证的移动磁盘,会自动生成一个针对这个移动磁盘的外带工具,并具有相应的口令保护。当内部人员在外部使用该移动磁盘上的内部文件时,只需要使用外带工具并输入相应的密码即可。
6. 准确的USB移动存储设备识别功能
采用系统核心技术,准确判断USB移动存储设备,包括U盘,大容量的移动硬盘,MP3,数码相机的SD卡等设备。
7. 实时的监控与审计功能
控制台移动存储设备管理系统提供了强大的监控与审计功能。在控制台端的主程序界面上可以实时查看客户端主机的当前运行状态,包括开机,关机,脱离受控等状态。本系统还提供了完整的审计功能,能够审计客户端主机输入输出文件的纪录,为事后的检查与审计工作提供了准确的证据。
五、 内网110-一体化安全防护系统的主要特点
• 支持多级、分布式管理的复杂网络结构,适用于大型内部网络管理环境。
• 具有友好的人机操作界面,可直观的看到网络中各种主机的状况,可生成统计报表,可将告警信息采用多种方式通知管理人员。
• 对便携式计算机可通过控制中心设置安全控制策略,以保证外出使用安全控制规范的落实,并可实施强制性备案和自动检查。
• 通过对行为而不是内容进行监管,可防止管理人员接触无关的秘密,减少泄密的可能。
• 在安全模式下依然可以做到有效控制。
• 客户端软件安装部署简便。
|
