内网安全、补丁分发、主机监控审计产品介绍.ppt

北信源内网安全、补丁分发、 主机监控审计产品介绍北京北信源软件股份有限公司终端安全管理系列产品架构产品系列网络终端安全是一个综合的系统问题，涉及管理计算机本身、计算机应用、计算机 操作者、计算机使用单位管理规范等多个方面北信源通过对近年来国内外终端安全管理技术和发展趋势的研究，将政府和企业内 部网络终端安全管理概括的从终端状态、行为、事件三个方面来进行防御，管理手段大 致包括如下内容：北信源终端安全管理产品采用C/S与B/S混合模式设计，支持分布式部署，并具有模 块化软件定制、支持标准API、无缝功能扩展与升级等优点产品针对政府、金融证券、 电信、能源以及各大中型企业等网络专门研制，已通过国家保密局、公安部、国家信息安 全评测中心、解放军信息安全评测中心、质量管理体系认证等多项权威认证经业界权威 机构CCID统计北信源终端安全管理产品在中国终端安全管理及审计市场占有率持续保持 第一北信源终端安全管理产品遵循网络防护和端点防护并重理念，对网络安全管理人员在 网络管理、终端管理过程中所面临的种种问题提供解决方案，实现内部网络终端的可控管 理，并能够支持多级级联广域网构架，达到最佳的管理效果。

北信源终端安全管理产品强化了对网络计算机终端状态、行为以及事件的管理，它提 供了防火墙、IDS、防病毒系统、专业网管软件所不能提供的防护功能，对它们管理的盲 区进行监控，扩展成为一个实时的可控内网管理平台，并能够同其它安全设备进行安全集 成和报警联动产品部署和管理构架 局域网构架：对于一般网络（例如1个C类地址或若干个C类地址的局域网范围），可使用 一套本系统软件，集中管理所属区域内的所有设备 广域网构架：对于大规模的多个局域网或者跨地域广域网（包括基于国家、省、市、县等 多级管理模式的网络结构），可使用本系统提供的多区域级联集中管理构架，即一个或多 个网段各拥有一套独立的北信源终端安全管理产品的同时，将本级的统计和报警信息转发 给上级管理系统，上一级管理人员对整个网络的状况也能够完全掌握如下图）系列产品统一策略管理中心 北信源终端安全管理产品采用统一策略管理中心实现对内部网络终端的统一安全管理策 略管理中心内置终端安全防护需要的所有安全管理参数，提供对计算机终端的安全规则配 置、安全功能策略开启/关闭、安全策略执行范围/周期设定等一系列安全措施的管理 北信源终端安全管理产品内置安全策略分为全局策略、本地策略、备份策略三种，管理员 通过属性设置决定其类型。

如下图）系统自身安全 1、分级管理：系统支持对管理员分级管理，实现不同管理员管理不同内容,可分为授权、 管理和审计等多种角色划分，具有安全性高、可靠性强的特点，适合集中授权、多角色参 与监控的管理模式2、通信保护：系统的组件间通信时，数据传输是经过加密的，客户端和服务器端相互通 信使用双向认证机制，防止已安装同类客户端的非本网络计算机非法进入网络，同时也防 止模拟的假客户端和服务器进行通信3、客户端软件强保护机制：客户端系统具有自我防护机制，防止用户随意停止、卸载4、服务器安全设计：服务器系统具备保护服务器功能保证管理系统服务器端使用的安 全性，保证其受到恶意修改IP地址的方式攻击时仍可正常工作,网络中出现恶意修改成与 管理服务器相同属性（如相同的IP地址、相同的MAC地址等）的机器时，出现IP地址或 MAC地址冲突等现象时，管理服务器将不会被阻断出网（即不会出现地址冲突的现象） ，只有发起恶意攻击的设备才会被自动阻断，不会影响管理服务器的正常管理5、提供系统审计员、系统管理员、系统操作员三权分立的权限管理体系6、系统日志：系统提供运行审计和操作审计机制，保证系统的稳定运行系统所需软硬件配置 系统管理服务器： 软件配置：Windows2000 Server（SP4）或以上操作系统（安装IIS），MS SQL SERVER2000（SP4）或更新版本数据库。

建议硬件配置：建议使用专业服务器或高档PC机，具体配置为PIV 2.4G 以上CPU，2G以 上内存，80G以上硬盘 北信源终端安全管理产品管理中心具有较强的负载能力（每台服务器最大支持15000台终 端），在管理数量较大的网络终端时（如数千台终端），为保障系统效率，应使用4G或 4G以上的内存产 品 简 介北信源内网安全管理系统 北信源内网安全管理系统可分为五个软件包组合销售，全方位地为网络用户提供安全管理 功能这五个软件包具体为：基本产品包、终端桌面管理产品包、终端安全管理产品包、 网络主机运维产品包、非法外联管理产品包 基本产品包 基本产品包主要包含终端基本管理、IT资产管理、事件报表及报警处置、第三方接口联动 （可扩展）等功能1.终端基本管理1)终端注册管理 2)IP和MAC绑定管理 3)禁止修改网关、禁用冗余网卡管理 4)未注册终端拒绝入网管理（软阻断技术）2.IT资产管理1)硬件资产管理 2)软件资产管理 3)软、硬件设备信息变更管理3.事件报表及报警处置1)终端信息数据统计分类管理 2)图形化信息数据输出管理 3)用户自定义组态报表输出及查询管理 4)报警结果处置管理 5)安全事件源远程阻断管理4.第三方接口联动（可扩展）1)PKI/CA认证联动接口 2)防火墙联动接口 3)网管软件联动接口 4)安全管理平台联动接口 5)其它第三方接口终端桌面管理产品包1)终端流量管理 2)进程运行黑白名单控制 3)进程保护管理 4)进程执行汇总 5)终端服务管理 6)软件黑白名单控制 7)软件安装汇总 8)终端消息推送 9)远程协助管理 10)外设及端口控制 11)垃圾文件清理 12)终端点对点管理 13)系统自动关机管理 14)终端时间同步管理终端安全管理产品包1)桌面密码权限管理 2)可网管配置的统一防火墙 3)终端防网络攻击管理 4)终端杀毒软件管理 5)终端安全等级管理 6)IE安全设置 7)恶意软件免疫 8)注册表监控/保护 9)终端/离线策略管理网络主机运维产品包1)运行资源监控 2)流量异常监控 3)进程异常监控 4)客户端文件备份非法外联管理产品包1)内部终端非法接入互联网行为监控 2)离网终端非法接入互联网行为监控 3)内部终端非法接入其它网络行为监控 4)内部终端非法外联行为告警和网络锁定 5)内部终端非法外联行为取证产品二 北信源补丁及文件分发管理系统产品背景： 近些年来，蠕虫病毒和木马病毒的频繁爆发给全球网络运行乃至经济都造成了严重影响， 之所以这些蠕虫能造成如此危害，是因为利用了操作系统或者应用程序的漏洞。

补丁的安 装普遍会遇到以下的问题：1) 普通用户技术知识水平有限，造成了计算机系统漏洞经常不能得到及时的修补，甚至 长期不修补；2) 网络维护人员为每台机器安装补丁耗时巨大；3) 物理隔离网络用户必须使用移动存储设备从外网将补丁导入并安装，麻烦且带来信息 泄漏和病毒传入的风险；4) 每个终端补丁安装均从外网下载补丁造成网络资源消耗过大；5) 用户随意下载补丁导致补丁来源不统一带来的风险消除漏洞的根本办法就是安装软件补丁，每一次大规模蠕虫病毒的爆发，都提醒人们 要居安思危，打好补丁，做好防范工作——补丁越来越成为安全管理的一个重要环节黑 客技术的不断变化和发展，留给管理员的时间将会越来越少，在最短的时间内安装补丁将 会极大地保护网络和其所承载的机密，同时也可以使更多的用户免受蠕虫的侵袭对于机 器众多的用户，繁杂的手工补丁安装已经远远不能适应大规模网络的管理，必须依靠新的 技术手段来实现对操作系统的补丁自动修补因此，如何利用有效技术手段来及时、持续、稳定的安装计算机补丁，是所有网络安 全管理人员、信息安全决策人员亟需解决的问题系统功能概述北信源补丁及文件分发管理系统是北信源公司在为国家各大部委机关、各大行业网络 用户进行病毒安全服务、总结安全运营保障经验的基础上，分析当前网络客户端实际安全 管理要求研发的，系统支持推、拉两种方式自动下载补丁。

整个补丁管理运行平台构架是 ：通过北信源外网补丁下载服务器及时从补丁厂商网站获取最新补丁；然后补丁经过安全 测试后，通过补丁分发管理中心服务器对网络用户进行分发安装；补丁安装支持自动和手 动两种方式系统功能描述： 1)互联网补丁自动下载； 2)补丁完整性和安全性测试； 3)补丁增量更新导入； 4)补丁库建立和分类； 5)终端补丁自动检测； 6)补丁策略制定分发和自动分发； 7)终端补丁流量控制和代理转发技术； 8)补丁自动修复及查询统计； 9)未打补丁情况汇总统计； 10)补丁安装情况汇总统计； 11)已安装补丁自动卸载； 12)文件分发及文件自动执行； 13)文件分发安装结果统计网络应用直接连接互联网的网络：通过补丁下载服务器将补丁下载至补丁分发服务器物理隔离网络：在互联网网络上安装补丁下载服务器模块，通过补丁下载增量分离工具， 区分内网已导入和未导入的补丁，将最新补丁导入内网补丁分发服务器系统组件北信源补丁及文件分发管理系统依据客户端注册优势，提供补丁检测、安装等远程功 能客户端访问网络WEB站点，根据页面自动弹出提示进行注册，注册程序将在系统中 实时运行，检测补丁安装状况，并上报给补丁控制中心。

补丁控制中心提供补丁策略制订、补丁文件直接分发，补丁测试提供对软件厂商新发 布补丁的前期测试，严格测试后才可以配发到网络客户端，保障客户端补丁安装安全性系统可按照网段、补丁类型进行补丁配置分发，支持漏打补丁、特殊补丁的推送下发 ；通过自定义分网段、分区域的补丁下载升级设定策略，以及转发代理技术，避免造成网 络堵塞，合理控制网络带宽产品三 北信源主机监控审计系统 产品背景随着信息安全技术和理念的发展，安全监控的关注点已经从设备转向对于设备使用者 的行为，用户对于设备使用人行为审计和行为控制的需求越来越明显，由此国内外均已有 相关的政策和法规陆续出台，国内的《涉及国家秘密的信息系统分级保护技术要求》、《 信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》和国外的《萨班 斯·奥克斯利法案》也均明确的提出了对主机行为的监控和审计要求北信源主机监控审计系统通过技术手段使各种管理条例落实，增强用户的安全和保密 意识，保护内部的信息不外泄，适用于政务、军队军工、金融等各个保密要求性较高的企 事业单位 系统功能描述1)网络访问行为审计和控制： a 以黑白名单的方式对用户的网页访问行为进行控制； b 可对用户访问的网页等进行审计和记录。

2)文件保护及审计：系统提供对终端的系统、软件和共享等目录中的文件的保护 功能，设定访问、删除、修改权限；支持对设定目录文件的操作审计，包括文件 创建、打印、读写、复制、改名、删除、移动等的记录，同时将信息上报管理信 息库供查询网络文件输出审计： 对主机通过共享文件等方式进行的网络文件输出行为进行审计和记录邮件审计： 根据策略对主机发送的邮件进行控制并审计发送的邮件地址、IP等信息进行控制审 计和记录打印审计： 根据策略对主机打印行为进行监控审计，防止非授权的信息被打印，同时根据要求还 可以备份打印内容文件涉密信息检查： 根据用户自主设定的涉密信息查询条件，设定对指定目录或盘符下的指定类型文件进 行内容检查，检查其是否包含涉密内容，系统支持进行包含“或”、“与”等多种逻辑的 组合监测和模糊监测IM即时通讯记录审计： 实现对、MSN等聊天软件的访问行为及自定义关键字审计；用户权限审计： 能够审计用户权限更改，及操作系统内用户增加和删除操作；独立的权限分配体系： 提供系统管理员、系统审核员（安全员）、系统审计员和一般操作员权限分配，使之 分别进行不同的管理操作；系统日志审计： 支持不同权限管理员在Web控制台对终端用户的日志（系统日志、应用日志、安全日 志等）进行远程读取查看。

管理功能描述 1 ) 报表管理：对审计结果提供详实的报表，并可直接导出为Excel等格式的文件。