RierKeySafety终端安全登录与监控审计系统V5.doc

终端安全登录与监控审计V5.5 Rier KeySafet系统获得国家部门认定，证书编号：ISSTEC201OYT1065 可直接点击查询：http://www. isstec. org. cn/index. php/Index/detail/id/4039“Rier终端安全登录与监控审计系统KeySafety V5.5”系统设计的主要依据：1. 国家保密标准BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》（该标准于2006年1月1日发布并实施）2. 国家保密标准BMB15-2004《涉及国家秘密的信息系统安全审计产品技术要求》3. 国家保密标准《涉及国家秘密的信息系统终端安全与文件保护产品技术要求》（暂行）要求系统实现安全的功能:项目 主要功能基本要求安全审计应将身份鉴别、访问控制等安全安全功能有机结合身份鉴别 功能采用USB KEY或生物特征来鉴别用户的身份具有设置USB KEY PIN码长度限制的功能能通过控制端定期修改USB KEY PIN码的功能确保在身份鉴别过程中，数据传输过程中认证信息的安全终端帐号 的管理可以利用USB KEY在服务端或客户端建立新的用户可以将原有帐号和USB KEY绑定，不改变原系统帐号的属性具有对终端帐号保护的功能，并且可以防止用户利用KEY帐号或 非KEY的帐号通过网络、操作系统安全模式等非法进入终端系统主机防护提供受控端IP地址绑定功能，能够将受控端IP地址与MAC或主 机进行绑定，禁止终端用户非法修改IP和MAC地址屏蔽默认共享屏保监控功能，不允许终端用户设置屏保为“无”打印设备输出控制（区分网络打印、本地打印和虚拟打印）① 能控制网络打印设备信息输出 控制%1 能控制本地打印设备%1 能控制虚拟打印行为拷贝输出控制（控制移动存储设备的使用）屏幕窃取控制（防止屏幕拷贝）数据设备 接口控制对并口、串口、USB接口等数据接口以及软驱、光驱等设备进行控 制主机新增设备的接入控制（防止未知设备或新设备的接入，特别 防止新的网卡、硬盘灯设备的接入）网络控制对135、139、445端口的强制控制对终端系统多余的网络端口进行控制具有防止非授权终端接入本网络的功能（即：防止非法内联）网络设备 的控制拨号设备使用的控制无限上网设备的使用控制红外上网设备的使用控制网络设备的使用控制违规外连 控制非授权的拨号控制无线上网的控制红外线上网控制采取其他办法上互连网的控制移动存储 介质管理对于移动存储介质的使用有接入控制，具有注册授权管理涉密网中的移动存储介质不能在非涉密网中使用对等存储设备控制对于电脑硬盘数据的安全保护%1 存放数据区的磁盘分区要有保护措施%1 不同的人使用同样的电脑，对存放数据的分区要有保护。

电 脑使用者不能查看其他人的数据分区中的数据内容主机管理客户端硬件配置管理与审计客户端软件配置管理与审计客户端进程的管理与审计客户端服务的管理与审计客户端软 件安全性通过控制台配制主机所需要安装的软件，用户开机，系统即对主 机安装软件进行检查，如果主机安装的软件不符合安全策略，系检查（软 件资产管 理）统可以根据事先定义的响应方式响应，如：警告，关机等BMB17 第 8. 2. 2. 3 c）资产管理 和设备维 修记录资产管理新增主机设备的控制和记录设备维修管理（BMB 17第& 1.2.8条）设备报废管理（BMB 17第8. 1.2.9条）授权管理系统员、授权和审计权限三权分开对用户按最小授权原则进行授权管理（BMB17-2006）安全审计身份鉴别审计，包括用户登录、注销和关机审计自动获取主机资源，包括硬件信息、安装软件信息、用户帐号信 息、进程信息、服务信息、共享文件信息等网络连接审计：对受控端的网络连接（HTTP、FTP、TELNET）的行 为进行记录文件操作审计：能够对指定文件目录下文件的操作行为、操作用 户、操作日期、操作结果进行审计打印审计：能够对受控端的打印信息审计审计的内容包括：受 控端主机名、用户名、打印机名称、打印文件名、打印份数、打 印页数等功能主机IP/MAC地址审计：允许或禁止受控端主机的IP/MAC地址修 改行为，禁止更改时记录受控端试图修改IP/MAC记录违规设备接入系统审计受控用户权限的更改系统管理员、系统授权员和审计员操作行为的审计拷贝输出审计审计日志的上传应采用即时方式，对于没来得及上传的日志应在 本地存储并采取技术措施加以保护日志管理提供自动、手动备份等多种方式，提供日志存储空间的 阈值设置功能，当存储空间将满时能及时报警应为授权管理员提供将审计日志按一定的条件进行查询的功能， 所得结果应以用户友好的、便于理解的形式提供报告或打印能够提供多种报表和用户自定义报表，支持审计日志的导入导出。

可生成直方图、曲线图等多种图表实现统计、分析、报表等多种 功能能够自动收集受控端软硬件配置信息动态检测受控端硬件配置 和应用软件等资产信息的变化，记录受控端资产信息发生的改变 时记录主机共享文件被访问的情况，包括访问者、访问时间、访问 文件全名等能够通过中心控制平台管理全网受控端，并能够下发安全监控与 审计策略安全策略 管理域系 统自身安 全防护系统能够保证安全策略在受控端强制执行，不允许受控端自行改 变安全保护策略终端在联网状态下，受控端能够实时接受中心控制平台的集中管 理、策略分发离网状态下，应保证受控端安全策略的有效性策略发布支持单发和群发策略修改支持用户取策略方式和分发即时生效方式受控端分组管理，能根据不同的安全级别下分不同的安全策略提供默认策略，管理员能够在策略模版基础上自定义安全策略控端应有防止违规卸载保护机制，防止非授权卸载行为和终止进 程行为单机防护具有网络版单机防护的所有功能具有单机授权的功能，并确保授权信息被非法修改具有单机的审计功能，确保审计日志不被非法篡改审计员可以在单机上对单机的使用情况进行审计，也可以将审计 日志输出到文件，并导入到网络版审计中心，集中审计系统的部署方式有二种:(1)多级中心部署(2)一级中心部署(3)单机部署特别说明：本系统的三种部署，在国家保密局的测评报告中都有显不!支持的操作系统：win2k/win2003/winxp/win7/win2008 等支持64位的操作系统。

专注涉密信息各个环节的防泄漏研究 —北京中讯锐尔科技有限公司010-51668242。