中软统终端安全管理系统系统介绍样本.doc
《中软统终端安全管理系统系统介绍样本.doc》由会员分享,可在线阅读,更多相关《中软统终端安全管理系统系统介绍样本.doc(34页珍藏版)》请在咨信网上搜索。
1、目 录第一章 系统概述1第二章 体系结构和运行环境32.1系统体系结构32.2 推荐硬件需求42.3 推荐软件需求4第三章 系统功效63.1 基础功效63.1.3 用户身份认证63.1.2 网络访问控制73.1.3 非法外联控制73.1.4 接口外设管理83.1.5 移动存放介质管理83.1.6 CDROM/CDRW/刻录机控制83.1.7 辅助硬盘控制83.1.8 打印机管理83.2可信移动存放介质管理*93.2终端接入管理*103.2.1终端接入认证103.2.2 终端安全检验103.2.3内网安全扫描103.3补丁管理和软件分发管理*103.3.1 补丁分发管理103.3.2软件分发管理
2、113.4 终端安全运维管理*123.4.1 系统运行情况监控123.4.2 软硬件资产管理133.4.3 安全策略管理133.4.4 防病毒软件监测143.4.5网络进程管理143.4.6文件安全删除143.4.7 进程管理153.5远程管理*153.6 安全存放和传输管理*163.6.1 我加密文件夹163.6.2 硬盘保护区163.6.3 文件安全分发163.7 安全文档管理*163.8安全文档隔离管理 *173.9电子文档权限管理*173.10 文档密级标识和轨迹跟踪管理*173.11文件打印审批管理*183.12 U盘拷贝审批管理*183.13 光盘刻录审批管理*193.14系统管理
3、和审计193.14.1 组织结构管理193.14.2 统计审计分析193.14.3分级报警管理193.14.4 响应和知识库管理203.14.5 服务器数据存放空间管理203.14.6 系统升级管理203.14.7 B/S管理功效支持203.14.8系统参数设置20第四章 系统特点214.1全方面终端防护能力214.2 分权分级管理模式214.3 方便灵活安全策略214.4 终端安全风险量化管理214.5 周全具体系统报表224.6 丰富应急响应知识库224.7 完善插件式系统架构224.8 方便快捷安装、卸载和升级224.9 多级布署支持23附件一:名词解释24第一章 系统概述伴随信息化安全
4、技术不停发展,多种内网安全管理问题逐步凸现出来。据IDC调查汇报显示超出85%网络安全威胁来自于内部,其危害程度更是远远超出黑客攻击所造成损失,而这些威胁绝大部分是内部多种非法和违规操作行为所造成。内网安全问题已经引发了各级单位广泛重视,伴随安全意识不停增强,安全投入逐步增加,不过内网安全事件却不停地增多。分析其原因我们认为关键有以下多个方面:u 有章不循,有规不依,企业内网安全合规性受到挑战。很多企业明文要求安装操作系统必需打最新补丁,不过终端用户仍然我行我素造成操作系统补丁情况不一,从而给蠕虫病毒、木马程序和黑客软件带来了可乘之机。同时有些单位购置了防病毒软件,不过终端用户没有根据单位统一
5、布署要求安装防病毒软件,或有些终端用户即使安装了防病毒软件,不过没有立即更新病毒库,造成计算机病毒有机可乘。对于终端安全管理,企业建立了很多安全制度,不过终端用户不根据企业安全要求要求,将不安全计算机接入网络,从而引入了内网安全威胁,企业内网安全合规性受到了严峻挑战。u 谋一时,而未谋全局,终端系统被划分为多个独立信息安全孤岛。各单位在处理多种内网安全问题上,通常缺乏统一、全方面内网安全处理方案。根据“头痛医头,脚痛医脚”内网安全防护加强思绪,采购并布署了多款终端安全管理产品,比如:身份认证、补丁管理、软件分发、病毒防护软件等等。不过这些终端安全防护软件来自于不一样安全厂商,多种软件之间各自为
6、政,缺乏统一管理、协调工作机制,最终造成个人桌面系统被划分为一个个独立信息安全孤岛,所以出现了终端安全管理混乱、内网安全漏洞百出,内网安全事件防不胜防。u 百花齐放,百家争鸣,终端系统终因难堪负重,系统性能急剧下降。为了加强终端安全管理,在个人桌面系统上同时安装了不一样厂家终端代理。每种代理程序全部需要实现自我防护、网络通信、运行监控等程序调度机制,需要反复占用系统有限CPU、内存等系统资源,造成个人桌面系统运行速度变慢,系统性能急剧下降。同时,因为不一样厂家软件存在很多功效重合部分,而这些重合部分往往是采取类似技术开发,从而造成不一样软件之间频繁发生应用冲突。u 治标不治本,本末倒置,软件购
7、置费用增加,系统维护成本成倍增加。通常终端管理软件大致分为三个组件,即:服务器、控制端、用户端代理。每种服务器软件全部需要独立数据库和硬件服务器支撑,无形中增加了软件布署成本。同时,因为每种软件全部有自己控制台程序,管理员要针对每套系统生成它控制策略,每套系统数据审计全部是分开,管理工作很多,管理员为天天维护工作疲于奔命,从而造成管理疏忽。针对以上多个原因,和中软企业在对企业内网安全管理展开全方面调查基础上,发明性地形成了一套完备终端安全“一体化”处理方案。在过去几年里中软企业一直致力于内网安全研究,并在中国最早提出了一系列内网安全管理理论体系和处理方案。内网失泄密防护软件-中软防水墙系统推出
8、填补了中国内网安全管理软件空白,并取得了若干国家专利局技术专利。防水墙系统连年获奖,其中在“防水墙”被计算机杂志评为新名词。中软企业早在就开始致力于内网失泄密软件开发,前后向市场推出了中软防水墙系统7.0版本、7.0+版本和7.2版本。伴随内网安全管理复杂化,中软企业在复用防水墙系统成熟技术基础上,引入优异内网安全管理理念和新内网安全管理技术重新搭建系统体系结构,自主研发了中软统一终端安全管理系统8.0(CSS United End-Point Management System,简称UEM8.0)。该系统是以“木桶原理”为理论依据,以安全策略为驱动,根据PDR安全模型“保护-检测-响应”工作
9、步骤循环检测,同时结合保密要求“等级防护”指导方针,采取多个安全技术实现了对终端主机全方位、多层次安全防护。根据“保护-检测-响应”工作步骤逐步完善终端安全防护策略,并将事件处理方;式和处理步骤登录到用户知识库,逐步形成内网事故应急响应步骤和共享安全处理方案知识库。第二章 体系结构和运行环境2.1系统体系结构系统分为三个组件:用户端、服务器和控制台,系统采取分布式监控,集中式管理工作模式。组件之间采取C/S工作模式,组件通信是采取HTTP/HTTPS加密传输方法。支持任意层级服务器级联,上下级服务器之间采取HTTPS协议进行数据交换。体系结构图 1 所表示。图 2 系统体系结构图n 用户端:安
10、装在受保护终端计算机上,实时监测用户端用户行为和安全状态,实现用户端安全策略管理。一旦发觉用户违规行为或计算机安全状态异常,系统立即向服务器发送告警信息,并实施预定义应急响应策略。n 服务器:安装在专业数据服务器上,需要数据库支持。经过安全认证建立和多个用户端系统连接,实现用户端策略存放和下发、日志搜集和存放。上下级服务器间基于HTTPS进行通信,实现组织结构、告警、日志统计信息等数据搜集。n 控制台:人机交互界面,是管理员实现对系统管理工具。经过安全认证建立和服务器信任连接,实现策略制订下发和数据审计和管理。2.2 推荐硬件需求用户端个数1000服务器主机个数1111+服务器CPU P4 3
11、.0RAM 1GBHDisk 120GB CPU P4 3.0 ATRAM 2GBHDisk 240GBCPU P4 3.0 ATRAM 4GBHDisk 480GBCPU Xeon 1G*4RAM 4GBSCSI Disk 240GBRAID 5控制台CPU P4 2.0 RAM 512MB HDisk 40GBCPU P4 2.0RAM 1GBHDisk 40GBCPU P4 3.0RAM 1GBHDisk 40GBCPU P4 3.0RAM 1GBHDisk 80GB用户端CPU P4 2.0/ RAM 512MB/ HDisk 40GB审计平台CPU P4 2.0/ RAM 512MB
12、/ HDisk 40GB表格1 系统推荐硬件需求2.3 推荐软件需求操作系统所需其它软件支持服务器Microsoft Windows Server / Advanced Server(32/64位)SQL Server +SP4SQL Server SQL Server或达梦数据库。硬件“加密锁”驱动程序控制台Microsoft Windows Server , Microsoft Windows Professional / Server / Advanced Server, Microsoft Windows XP 用户端Microsoft Windows Professional / S
13、erver / Advanced Server, Microsoft Windows XP Professional,Microsoft Windows Server ,Microsoft Windows Vista (Ultimate / Business),Microsoft Windows7(Ultimate / Enterprise / Business)(32/64位)审计系统Microsoft Windows Professional / Server / Advanced Server, Microsoft Windows XP, Microsoft Windows Server
14、 SQL Server +SP4SQL Server SQL Server或达梦数据库表格 2 系统软件需求提醒:n 安全管理系统服务器,包含服务器软件和后台支持数据库。提议在专用主机上安装安全管理系统服务器,而且关闭全部和安全管理系统无关无须要服务。支持操作系统为MS Windows 系列,推荐Advanced Server版本。n 以上操作系统,没有尤其说明,仅指32位操作系统。n 安全管理系统用户端不支持Linux系统,不能在windows双系统下同时安装UEM用户端。n 为确保用户正常使用安全管理系统,最好将安全管理系统服务器、控制台和用户端分别运行于独立系统之上,同时用户安装前应将W
15、indows版本进行升级,安装各自版本最高补丁。第三章 系统功效伴随内网终端安全地位合理化,终端安全管理将深入沿着整合化、平台化、统一化、基础化方向发展。内网终端安全一体化需求越来越强烈,终端安全产品形态将逐步发生改变,最终发展为兼顾安全防御和安全管理。终端安全发展历史使命终将经过一款“大、一、统”终端安全产品来实现。所谓“大”就是该产品功效所涵盖范围大,它不仅要包含网络接入认证、系统身份认证、资产管理、补丁管理、软件分发,还要包涵系统运行监控、用户行为监控等终端软件全部功效。所谓“一”就是一个终端代理、一台服务器就能够实现上述全部功效, 一个网络管理员就能够全局控制整个内网安全。所谓“统”就
16、是指对全部桌面系统应用统一安全策略,对全部终端用户采取统一终端管理策略,对终端产生日志进行统一日志分析,为全部管理员提供统一应急响应知识库。各功效部件之间协调工作,统一管理,形成一个高效有机安全代理。经过统一桌面管理平台降低系统复杂度,提升了个人桌面系统工作性能,降低了用户维护管理成本。针对以上终端计算机用户安全需求,中软企业对政府、军工和高新技术企业终端计算机管理问题展开了全方面调查,借鉴中软防水墙系统开发经验,以等级防护和国家相关涉密计算机管理相关要求为蓝本,发明性地形成了一款终端安全管理系统,该系统从终端安全管理、终端运维管理、用户行为管理、数据安全管理、系统身份认证管理,同时辅助这些功
17、效系统提供了监控日志统计和分析功效和系统运行管理功效。尤其说明:UEM默认情况只提供基础功效,带有*标识功效为可选功效,见3.X章节所述。可选功效由产品License控制。3.1 基础功效3.1.3 用户身份认证身份认证是系统应用安全起点,经过硬件USBKey和口令认证登录Windows系统用户身份,确保进入Windows系统用户身份正当性;对登录用户权限进行正当性检验,确保用户权限合规性。具体功效以下:u 基于USBKey身份认证,将用户信息和证书内置于USBKey硬件中,经过读取USBKey中用户信息实现登录用户身份认证,实现双因子认证,提升了主机身份认证安全强度。同时为了增强系统灵活性,
18、对于USBKey用户,系统管理员可要求该用户进行USBKey和Windows双因子认证登录系统,也可许可该用户无需输入Windows口令,只使用USBKey完成登录认证。u 登录用户权限正当性检验,检验登录Windows系统用户权限,当发觉登录用户权限和策略设置登录用户权限不一致时,系统立即阻止非法用户登录,并向服务器发送告警信息。该项功效关键是预防用户经过非法路径提升本身用户权限而达成某种非法目标,比如:策略设置只能是USER权限用户登录计算机,假如登录计算机用户拥有Administrator或PowerUser权限则系统自动阻止该用户登录。3.1.2 网络访问控制规范计算机用户网络访问行为
19、,依据业务相关性和保密关键程度建立信任虚拟安全局域网。网络防护有两个层面含义:第一是预防用户误操作或蓄意泄漏企业敏感信息;第二是预防黑客经过互联网透过防火墙非法获取用户端敏感信息。实现了从网络层到应用层多层次防护,具体功效以下:u 网络层防护:IP地址访问控制、TCP/UDP/ICMP协议控制;u 应用层防护:HTTP/FTP/TELNET/SMTP/WEBMAIL/BBS/NETBIOS控制;控制策略有:严禁访问、自由访问。严禁访问时提供仅开放白名单功效,实现只开放白名单地址,其它地址全部严禁;自由访问时提供黑名单功效,实现只严禁黑名单地址,其它地址全部开放;同时提供三种日志统计模式:统计被
20、严禁访问、统计未知访问和统计信任访问,对FTP、SMTP访问控制和文件打印,能够统计文件内容。3.1.3 非法外联控制经过对Modem控制实现非法外联监控。控制策略有:严禁访问、自由访问和条件访问。严禁访问时提供仅开放白名单功效,实现只开放白名单地址,其它地址全部严禁;自由访问时提供黑名单功效,实现只严禁黑名单地址,其它地址全部开放;同时提供三种层次统计:统计被严禁访问、统计未知访问和统计信任访问,同时对FTP、SMTP、和打印能够提供文件备份功效。3.1.4 接口外设管理统一配置计算机外设接口控制策略,动态关闭和开启外设接口。所能控制接口有:USB接口、SCSI接口、串行总线、并行总线、红外
21、接口、PCMCIA接口、软盘控制器、火线1394接口、无线网卡接口、DVD/CD-ROM驱动器、蓝牙接口、第二块网卡接口。接口访问控制策略分为:许可和严禁两种,在严禁策略下尝试访问向安全管理系统服务器报警。同时提供了接口设备白名单和黑名单定义功效,实现在接口严禁或接口开放情况下一些设备放开或严禁使用。3.1.5 移动存放介质管理对移动存放介质访问进行统一控制,控制模式能够分为:自由使用、严禁使用、设置为只读、拷贝文件加密、拷贝文件统计日志并备份文件内容等五种控制策略。其中拷贝文件加密为个人加密加密方法,个人加密只能在目前主机目前个人用户下才能解密。3.1.6 CDROM/CDRW/刻录机控制对
22、光盘介质访问进行统一控制,控制模式能够分为:自由使用、严禁使用。刻录机控制支持:严禁使用、自用使用、只读使用等三种。3.1.7 辅助硬盘控制对计算机上挂接第二块硬盘访问进行统一控制,控制模式能够分为:自由使用辅助硬盘和严禁使用辅助硬盘。3.1.8 打印机管理依据企业打印机管理制度和计算机用户业务关系统一制订打印机管理策略,具体功效控制项以下:u 监控用户打印行为:统一制订计算机用户打印管理策略,控制模式能够分为:自由使用打印机、严禁使用打印机和许可使用打印机并统计打印文件名称(可选项为备份文件内容)。使用打印机能够基于打印机名称、打印进程和虚实打印机进行控制。u 打印行为违规报警:在严禁打印机
23、策略时假如用户实施打印操作,系统立即向服务器发送违规打印操作信息。3.2可信移动存放介质管理*该功效实现了用户对移动存放介质管理要求,对可信移动存放介质从购置到销毁整个生命周期进行管理和控制。可信移动存放介质管理经过授权认证、身份验证、密级识别、锁定自毁、扇区级加解密、日志审计等六个路径对可移动存放设备数据进行安全防护,使得未经过身份验证用户或密级不够主机,不可访问存放在可信移动存放介质上文件。u 授权认证:管理员对移动存放介质进行注册授权,写入授权信息。u 身份验证:用户端使用可信移动存放介质时,对用户身份信息进行验证。u 密级识别:用户端使用可信移动存放介质时,需对用户端主机密级进行验证。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 中软统 终端 安全管理 系统 介绍 样本
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【天****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【天****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。