17 网络安全管理系统Word格式文档下载.docx
《17 网络安全管理系统Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《17 网络安全管理系统Word格式文档下载.docx(23页珍藏版)》请在冰豆网上搜索。
系统由服务器、管理端、客户端构成。
服务器:
包含数据库服务器(DB)、维护服务器(MT)、接入服务器(UI)。
数据库服务器:
专用来存储数据。
维护服务器(Maintain):
负责授权信息的集中管理、层级服务器中转、UI服务器的维护。
接入服务器(UserInterface):
作为中间层,提供了数据管理层与用户界面层之间的通讯,实现了应用与数据库的高效连接。
管理端:
管理端对终端进行集中管理、策略配置。
客户端:
客户端是运行在终端上的管理引擎,负责对计算机终端的安全管理,记录计算机终端用户行为并与管理服务器进行通信。
它深入系统内核,在任何模式下不可删除、不可停止。
主机监控与审计系统架构图:
(2)系统设计特点
1)覆盖面广
对内网信息安全的监控,本系统配套的功能组件覆盖了移动存储介质管理、非法外联监控、终端资源监控、网络访问控制、软件资产管理、硬件资产管理、软件分发、敏感信息检测、准接入和健康性检查、端口设备控制、打印管理等。
基于产品构架设计特性,可满足大型网络系统的跨地域的独立部署或分级部署,上级可管理所有下级服务器。
2)安全稳定
组件式的构架设计,要求整套系统的开发接口定义统一、规范约定统一,各组件相互独立,各自使用自己的资源,互不影响。
任一组件出现异常,不会影响系统的崩溃,且可随时替换相应组件,保障用户当前工作不受影响。
系统还提供负载均衡,支持停机检修。
客户端的注入深入Windows底层,病毒及恶意的破坏无法造成客户端的崩溃,客户端程序具备一套完整的自我保护机制,提升并加固程序的自我运行能力。
主机监控与审计系统自动化日志迁移工具。
当数据库日志量增大累积到一定程度时,管理员使用此工具可自动实现后台日志数据的存储迁移提供,前台的操作无任何影响。
此工具不仅能减轻当前数据库的读写负荷,提升数据的访问效率,间接地保障数据库服务器的稳定。
3)兼容性强
系统平台超前兼容:
支持32位的Windows2000以上所有系统;
支持64位的WindowsVista/7。
杀毒软件强大兼容:
深度隐藏,深度注入,走Windows标准定义,杀毒软件无法误报,主流杀毒软件均无冲突拦截。
4)操作简便
主机监控与审计系统的管理台采用简约式的交互设计,通过右键菜单可完成各种丰富的操作。
客户端无任何交互界面。
为方便管理员操作,系统提供策略模版,信息的显示可由用户自定义,提供查找定位功能,让管理员可快速操作。
主机监控与审计系统提供服务器自动化配置工具,备份工具,可让管理员一键配置快速维护与管理服务器。
5)扩展性强
主机监控与审计系统可随时添加新的功能组件,结合平台形成不同层面的内网安全控制产品。
支持服务器和各功能组件的独立平滑升级。
主机监控与审计系统可提供丰富的二次开发接口。
6)强大的接入控制功能
主机监控与审计系统通过与准入及IP管理设备联动,能够自动阻止未安装主机监控与审计系统客户端或安装后未授权,以及具有冲突隐患的IP设备的接入。
通过拒绝这些设备的接入,一方面保证内网的安全、干净,另一方面防止重要设备同终端用户之间发生IP冲突,保障网络的稳定运行。
7)更加专业
各功能组件的开发,均是基于一个特定的、明确的需求定义,所实现的功能相比综合性的设计更加独立,更加专业,更加深入。
8)方便快捷的安装运行
系统不需要更新原有网络结构及设备,管理员可以方便快捷进行产品安装,以最低成本达到最佳的管理目的。
(3)系统功能
1)终端维护管理
管理流程
授权单一,集中管理
终端的授权管理分为:
待授权、已授权、已卸载。
所处待授权分组,不享有任何管理功能。
通过“已卸载分组”,管理员可看到截止当前阶段已处于卸载状态的所有终端信息。
权限分立,三员化管理
主机监控与审计系统支持三员化管理,分为安全管理员、安全操作员、安全审计员。
架构灵活,应用面广
终端策略集中管理,分群组管理、分组管理、计算机管理。
其中,分组中可包含子分组、终端。
这种多层嵌套的分级架构可满足更多客户的实际网络架构。
快速定位,灵活应用
在主机监控与审计系统中,管理员可以根据特定的属性组合来定义快速查找分组,方便管理员快速对所属分组的终端计算机进行集中管理,这个逻辑分组不改变终端原本所属的组织架构。
每个安全操作员都可根据自己的管理需求创建逻辑分组。
逻辑分组创建后会自动保留这些设定,即每次登陆管理台无需重建,除非操作员执行删除操作。
在线、离线策略,无空隙监控
可针对计算机分组、终端下发在线、离线策略,可以分别为在线、离线状态的客户端计算机设置不同的策略,确保客户端计算机即使离线也逃不脱监控。
2)分级管理
结合管理制度,实现分责分权管理。
主机监控与审计系统采用分级的管理授权模式。
可以容纳多个拥有不同管理授权的账号(账号的数量没有限制),达到多管理员、分权定责、共同管理的目的。
主机监控与审计系统的管理员分为:
安全管理员:
只能制定操作员和审计员的账号,及账号的管理权限。
安全操作员:
只能根据账号的规定,对管理指定的部门进行具体的操作策略管理。
安全审计员:
只能审计各个管理员的操作日志。
3)移动存储介质管理
主机监控与审计系统对移动存储介质的管理分为三大类:
对普通U盘的管理、对防木马U盘的管理以及对指纹U盘的管理。
对普通U盘的管理
A)非授权禁止使用
非本单位的移动存储介质插入本单位计算机上,如果控制策略设定为不允许,将无法使用。
同时可通过策略控制,外面U盘在内部的使用权限,可以定义外来U盘只读。
B)注册管理
注册U盘有两种安全模式,分别为资源管理器模式与低级别数据安全模式,严格控制U盘(包括普通U盘、移动硬盘、以光驱模式加载的特殊U盘、1394移动存储设备、手机存储卡、数码相机、MP3/MP4、各种CF/MD/SD卡、PCMCIA卡以及各类FlashDisk)等移动存储设备在局域网内部的使用,以确保外部的U盘不经注册授权,无法在内部使用,内部的U盘不经授权,无法在外部读取。
资源管理器模式(推荐):
具备高级别的数据安全,使用专用资源管理器进行数据的交互管理,在非客户端上无法使用。
低级别数据安全模式:
数据安全级别低,注册时无需进行格式化,原有数据不会被破坏,在非客户端上可以使用,会记录在非客户端上的使用日志。
C)移动存储设备权限管理
由于单位信息的重要程度不同、信息使用者的行政级别不同,决定了有些计算机不能使用任何U盘,而有些计算机需要选择性的使用U盘。
因此,必须控制单位内部的计算机对U盘的使用权限也有所不同。
主机监控与审计系统根据实际应用情况,设计了计算机使用U盘的策略:
完全禁止――设置指定的计算机无法使用任何U盘。
使用授权――设置指定的计算机是否允许使用注册U盘或未注册的U盘。
读写控制――设置指定的计算机允许使用的U盘为可读还是可读写。
完全开放――设置指定的计算可机使用所有已注册及未注册的U盘。
交叉控制――根据注册后U盘的使用身份设置它能在哪台计算机或哪组计算机上可以使用。
D)防止格式化数据恢复
对于普通的移动存储被删除或格式化后,利用专业的恢复工具仍然可以恢复出数据,采用主机监控与审计系统的移动存储介质管理,经注册的移动存储介质如果被格式化后,采用专业的恢复工具仍然无法恢复出数据,有效防止信息的泄漏。
E)非注册普通U盘管理
在主机监控与审计系统主机监控与审计系统中每个功能的设计都充分考虑安全和方便两方面的问题,因此,在系统的设计中,对非注册的移动存储介质也提供了相应的管理。
可以控制没有注册U盘,是否可以在内网中使用,同时可以控制它接入内网的使用策略是可读或读写。
F)U盘使用日志
U盘使用日志:
由于每个移动存储介质在注册时,必须定义一个使用身份,因此我们采用U盘使用实名制,实现了U盘在内部计算机的使用情况和使用者挂钩,使U盘的使用日志具备了可审计性。
可审计何时、何计算机、何U盘、插入/拔出、操作何文件。
U盘文件操作日志:
可通过系统的管理台审计到每个在每个U盘上所做的文件操作的日志,包括打开、创建、复制、剪切、删除、重命名等。
对防木马U盘的管理
A)防木马U盘分类
防木马U盘分为4种:
内部专用盘、单向导入盘、单向导出盘、双向交流盘。
B)U盘使用
C)U盘读写特性
内部专用盘:
仅在内部授权终端上使用。
单向导入盘:
在内部授权终端上,仅允许将U盘内的数据拷贝到计算机。
在外部计算机上,仅允许将计算机数据拷贝到U盘。
单向导出盘:
在内部授权终端上,仅允许将计算机数据拷贝至U盘。
在外部计算机上,仅允许将U盘内的数据拷贝到计算机。
双向交流盘:
可在内部授权终端、外部计算机上使用。
D)U盘功能
使用授权监测:
U盘引导程序运行时会进行U盘可用性判断。
条件不满足,U盘无法打开。
认证管理:
支持口令认证,同时有多重的对口令的增强管理。
可扩展指纹认证。
防复制控制:
可实现仅允许在U盘上阅览文件,阅览方式包括:
凭密码/直接/不允许阅览。
(阅览文件过程中,文件内容的拷出、打印、编辑操作都可控。
)阅览的文件格式包含:
TXT、PDF、图片(BMP、JPG、JPEG、PNG、TIF、TIFF、PCX、WMF、EMF、TARGA(TGA、VDA、ICB、VST)、GIF、ICO、PCD、PDD等。
安全操作管理:
根据客户需求,可设
升级会员 