捍卫者终端安全访问审计控制系统.doc
7页
捍卫者终端安全访问捍卫者终端安全访问审计控制系统审计控制系统2目录目录一、产品背景..............................................2二、解决方案..............................................3三、系统功能描述..........................................5四、管理功能描述..........................................5五、系统技术特点..........................................6六、系统架构..............................................6七、适用行业..............................................73一、产品背景一、产品背景近十余年来,我国信息化建设取得快速发展目前,各主要系统和单位均建立了较完善的信息化设施和网络其中为了系统或单位的信息保密,多数内网需通过物理或电子方式和外网隔离对于某一系统或单位内网来说,行之有效的安全管理是所企盼的。
但在没有使用有效的控制和管理系统之前,任何管理方法往往形同虚设内忧”胜于“外患” ,系统或单位不仅需要铸造如同长城一般的边关防御体系,同样需要着重管理,打造安全和谐的内部环境外部非法笔记本接入内网后,内网信息暴露无疑…内网终端非法外联,将机密信息泄露…内网不同部门或组织间,信息毫无机密可言…内网计算机随意运行各类软件,影响工作效率的同时还易感染各类病毒…二、解决方案二、解决方案捍卫者终端安全访问审计控制系统,主要功能是通过软件方式设置可信网络,该可信网络内部互信计算机间可以正常相互访问,非法计算机未经授权不能接入可信网络可信网络内部终端也不能非法外联非可信网络,另外此系统还可以限制终端某些进程运行,同时管理网络外的其他形式对网络可信终端的访问如:红外、蓝牙、串口、并口、USB 接口等等,通过本系统可以低成本实现内外网软件隔离和终端信息安全防护,对于已经实施内外网物理隔离单位还可以作为终端信息防护的解决方案,防止终端因为非法接入、外联4导致泄密非非法法终终端端合法终端合法终端合法终端合法终端内网授信网络外部非授信网络控制非法接入、外联示意图捍卫者终端安全访问审计控制系统的基本原理如下:1) 接入终端经认证服务器统一认证,方可接入内网,如下图示:多台主机多台便携电脑服务器便携电脑准许接入网络,列入白名单准许接入网络,列入白名单拒绝接入,列入黑名单终端认证示意图2)认证数据存在客户端和认真服务器,进行实时同步更新;3)非法客户端连接合法终端,系统会进行审核,发现不在白名单中5或列入黑名单,进行屏蔽,并记录访问日志,从而达到事前控制,事后审计的管理要求。
三、系统功能描述三、系统功能描述1)终端接入验证管理(所有验证终端组成内网) ;2)内网终端非法外联行为监控;3)未验证终端限制接入内网;4)验证终端相互访问行为监控;5)外部终端非法访问内网行为监控;6)内网验证终端进行网内分级、分域管理;7)内网终端进程管理,可禁止终端某些进程运行;8)日志备份定时提醒;9)客户端异常或被破解,服务器端显示其相关信息,报警提示四、管理功能描述四、管理功能描述1)多级级联管理:本系统可进行服务器多级级联管理,级联服务器可对下级管理服务器进行连接设置,并可以控制下级的所有被管理客户端,对其进行状态查看、模式设置、日志审计等 2)客户端分域管理:按多种方式(部门、网段等)对客户端进行分域管理,不同可信域内的终端访问受限,并对其进行监控管理3)方便灵活的审计查询管理:对记录的日志可以采用多种方式进行审计查询(按时间、按IP、按关键字等),以最方便的方式、6最快捷的操作,准确定位要查找的日志,并可以对日志进行导出操作4)全网统一安装、升级功能:本系统支持域内和非域两种方式远程推送安装客户端,服务器对客户端的统一升级模式,方便维护和管理五、系统技术特点五、系统技术特点 该系统贴近用户对网络及终端管理的要求,适用于大、中、小型各种网络; 支持简体中文、英文、繁体中文三种语言,可以自由切换; 支持 Windows2000/2003/XP/win7/win8 以及 Vista 等主流操作系统; 与常见的杀毒及安全软件无冲突,未使用黑客技术; 过滤网络信息速度均≥512 MB/S,带宽占用率均<3‰,不影响网络性能; 占用系统资源少,批量操作时占用内存:服务器端均≤8M,客户端均<6M。
六、系统架构六、系统架构本系统采用 C/S 网络构架,层次从下至上分为网络通信层、网络过滤层驱动、进程通讯层、系统服务层(客户端和服务器端有各自不同的系统服务) 、客户端应用进程务 务 务 务 务务 务 务 务 务务 务 务 务 务 务 务务 务 务 务 务 务 务务 务 务 务 务 务 务务 务 务 务 务务 务 务 务 务 务 务务 务 务 务 务 务 务7总体架构图各层功能如下:1)网络通讯层:负责网络消息的分发,内部协议的组包和解析,保证客户端和服务器端的通信2)网路过滤层驱动:负责监控网络上访问本机的网络信息3)进程通讯层:负责完成进程、服务、驱动、网络层之间的通信链接4)系统服务层:客户端:进程保护、进程调度等服务器端:提供管理控制界面,响应用户指令,处理各种命令及客户端返回信息显示、储存等5)客户端应用进程:客户端:提供用户界面主要用于接受指令控制服务和驱动进行相关操作8七、适用行业七、适用行业此系统既适用于军队、银行、证券、金融等内网规模大、高密的行业,同样适用于政府、电力、制造业、事业单位、医疗业、教育业、公安等行业。
