LanSecS USB移动存储介质使用管理系统技术白皮书Word格式.docx
《LanSecS USB移动存储介质使用管理系统技术白皮书Word格式.docx》由会员分享,可在线阅读,更多相关《LanSecS USB移动存储介质使用管理系统技术白皮书Word格式.docx(14页珍藏版)》请在冰豆网上搜索。
《信息系统安全等级保护定级指南》
●GBT22241-2008:
《信息系统安全等级保护实施指南》
2.产品架构
图1LanSecSUSB移动存储介质使用管理系统架构
LanSecSUSB移动存储介质使用管理系统在架构设计上采用了三层管理结构:
终端监控引擎、总控中心、管理控制台,
2.1.终端监控引擎
终端监控引擎以服务的形式运行于终端计算机上,是终端计算机管理的核心和基础部件,用于对被管理终端计算机的安全加固、运行维护和监测审计等管理职能。
终端监控引擎可以部署在所有Windows系列操作系统上,包括Windows2000、WindowsXP、Windows2003、WindowsVista、Windows2008、Windows7。
终端监控引擎的设计充分考虑了稳定性、安全性和兼容性要求。
终端监控引擎可防止恶意停止,并全面兼容防病毒软件、防火墙软件、设计开发软件、业务软件、办公软件。
2.2.总控中心
总控中心用于计算机的集中管理,为终端监控引擎和管理控制台提供一系列的管理服务;
由策略管理服务、审计管理服务、Radius认证服务、文件备份服务、补丁与软件分发服务、时间同步服务、网络管理服务、分级管理服务、事件订阅服务、健康状态监测服务等组成。
视内网规模和性能要求,这些服务可分别部署在不同的硬件平台上,也可部署在同一个硬件平台上。
●策略管理服务:
负责终端计算机策略的配置和更新。
●审计管理服务:
负责接收终端监控引擎发送的审计信息与事件报警,并存储到数据库中。
●接入认证服务:
负责对接入内网的终端计算机身份和健康状况进行认证。
●文件备份服务:
提供集中的文件备份。
文件备份服务支持用户身份认证。
●补丁分发服务:
提供补丁文件和软件的下载服务,支持FTP和HTTP两种方式。
●时间同步服务:
为终端计算机提供统一的标准时间服务,便于终端计算机的时间管理。
●网络管理服务:
提供网络拓扑扫描服务,可绘制网络的链路层拓扑。
●分级管理服务:
提供分级部署环境下的分级管理。
●事件订阅服务:
接受报警监控程序的事件订阅,根据订阅条件向报警监控程序发送符合要求的报警事件,可向多个报警监控程序同时提供服务。
●健康检测服务:
用于总控中心自身各服务的运行状态监控。
2.3.管理控制台
管理控制台为系统管理人员提供系统管理入口;
采用BS方式进行系统管理,通过管理控制台完成全部系统管理操作。
2.4.系统数据库
系统数据库用于存储策略、信息和事件,全面支持目前主流数据库,包括:
SQLServer、Oracle、MySQL、IBMDB2、PostGreSQL、Gbase
总控中心与数据库之间采用数据库访问中间件和网络缓存技术实现高速数据访问。
通过数据库访问中间件和网络缓存,可以大大降低数据库的访问压力,提高数据的存储和访问能力。
终端监控引擎和总控中心之间采用ICE网络通讯中间件进行相互通讯。
通过SSL协议对通信过程进行认证和加密,增强组件间通信的安全性。
三层管理结构大大提高了系统设计开发、安装部署和运行维护的灵活性、便利性和扩展性。
3.产品功能
3.1.终端运维管理
内网的可靠运行是业务系统可靠运行的保障,内网的可靠运行依赖于网络设备、服务器和个人终端计算机的安全运行,任何一个环节出现故障,都可能对内网的可靠性产生不可估量的冲击。
内网中主要设备是终端计算机,终端计算机的安全运行与管理对整个内网安全有至关重要。
系统对终端计算机的管理采取了两种不同的安全措施:
系统运行管理和系统监测。
系统运行管理方面主要包括补丁管理、主机资产管理、主机防病毒管理、系统日志管理、时间同步、消息分发及文件备份,通过系统运行管理确保终端主机以最安全的状态运行,有效地减少病毒爆发和木马泛滥带来的内网安全隐患,减少终端计算机被入侵的可能性。
系统监测方面主要包括主机性能、网络流量、健康状态、设备入网、时间同步与安全态势分析等。
通过系统检测可以让管理员及时了解整个网络内终端主机的状态,针对存在的安全隐患及时采取有效措施,更好地保证内网的可靠性。
具体功能如下:
模块名称
功能描述
补丁管理
可以实现Windows平台下的补丁审批、分发和补丁修复状态统计,管理、分发和自动安装Windows系列操作系统补丁和微软应用程序补丁。
资产管理
提供计算机资产自动收集、资产注册登记、资产变更管理、设备维修管理、资产查询与统计等管理。
防病毒软件管理
提供防病毒软件信息收集和状态监测功能,信息收集包括防病毒软件名称、软件版本、病毒库版本等。
系统日志管理
提供对终端计算机本地日志收集、日志集中存储、日志转储、日志清理和日志查询分析功能
时间同步
以安装有时间服务的计算机硬件时间为时间源,为内网终端计算机提供标准的Internet时间服务
消息分发
提供对内网全部或者部分终端计算机的消息通知功能
软件分发
提供对内网全部或者部分终端计算机的软件分发管理。
由分发管理中心、文件下载服务和终端监控引擎等组件组成
主机性能监测
对终端计算机的CPU使用、内存使用和磁盘使用情况的动态监测
网络流量监测
对终端计算机的网络通讯流量的控制、审计和统计
健康监测与自评估
对终端计算机的安全状况的动态监测,并为终端计算机用户提供手动评估计算机安全状况的手段
设备入网监测
对内网设备入网的实时发现、状态报告和阻断
远程协助
对终端计算机的远程监控管理和远程桌面接管等功能
文件备份
实现用户身份认证、文件备份、文件恢复、备份文件历史查询,由文件备份服务和文件备份代理组成
安全态势分析
对终端计算机安全管理数十种关键指标进行态势分析,可为用户内网环境的安全状况以及安全变化态势提供准确可靠的关键指标数据支持
3.2.终端安全加固
终端主机的安全运行是整个网络的基础,而终端主机运行参数、运行策略的稳定又是终端主机安全运行的保障,系统的具体加固措施包括如下方面:
网络参数配置
对终端计算机的网络相关参数的配置和变更监控管理,包括参数绑定、参数变更监控、ARP攻击防护与IP地址保护,具有支持多个网络参数的统一配置管理、支持多个同类参数的绑定、支持IP地址范围控制等特点。
终端安全配置
管理终端计算机的本地安全策略、对本地系统环境进行安全设置管理,从而实现主机运行安全策略的最优化,确保终端主机的安全管理
终端防火墙
系统内置防火墙是基于NDIS的桌面防火墙,对终端计算机的访问目标进行限定,对终端计算机的网络访问进行控制。
具有基于优先级的网络访问控制能力、提供网络访问审计能力、支持策略模板
终端主机准入控制
详细见3.3
移动存储介质管理
详细见3.4
3.3.终端主机准入控制
系统提供了“主动防护”和“动态监控”相结合的计算机准入控制机制。
“主动防护”是指:
第一是指在计算机接入网络之前,首先验证其身份和安全状态,以决定是否允许其接入网络;
第二是指计算机接入网络后,如果要访问核心区域的资源,也必须先进行身份认证和安全认证,根据验证结果决定是否允许其访问核心区域资源。
这与以往的安全思路“先接入网络,再验证其身份”相比,极大地提高了网络的安全性。
“动态监控”是指:
当计算机验证通过并接入网络后,并非该计算机就可以在接入期间不受控制地访问网络资源。
系统还会动态的对接入计算机的身份和安全状态进行跟踪和检测,一旦发现身份信息和安全状态有变,即刻对其重新隔离。
终端主机准入控制功能结构如下图所示:
图2准入控制(802.1X认证)示意图图3准入控制(网关认证)示意图
主机健康检查:
对接入内网的计算机的安全状况进行检查
接入认证:
对主机进行身份认证,系统支持用户名/口令、PKI数字证书以及设备特征标识三种身份信息的认证方式。
主机隔离与修复:
根据策略将未通过认证的主机隔离到修复区/工作区/访客区。
主机状态动态检测:
对接入网络的计算机进行动态监测,监测的内容包括身份确认、安全状态确认等
IP通讯控制:
网内主机之间的通讯采用PKI数字证书标识双方的身份,并同时对通讯数据进行加密。
内网核心区域保护:
在核心资源与接入层计算机之间设置安全认证网关,代替无法细粒度认证接入计算机身份的网络设备,行使二次身份认证的使命。
准入控制部署:
●启用接入计算机的身份认证,网络设备必须启用802.1x协议支持;
●启用接入计算机自动隔离和修复功能,网络设备不需启用GuestVlan支持。
3.4.移动存储介质管理
USB移动存储介质是目前使用最为广泛的数据交换手段。
也正因为USB移动存储介质使用的广泛性,为政府和企业内网信息的安全防护带来了很大的安全隐患,如何对其进行有效的管理,成为政府、企业和信息安全产品提供商需要共同面对的问题。
系统通过对移动存储介质实施注册管理,有效避免了移动存储介质的滥用,以此提高政府和企业内网信息的安全性。
移动存储介质注册管理是指将移动存储介质进行特殊处理后,在移动存储介质无法被直接访问的区域写入该移动存储介质相对应的注册信息,注册信息包括两种类型:
标记信息:
用于表明该移动存储介质的所有者、联系方式、管理者、所属部门等。
访问控制信息:
当该移动存储介质插入计算机时,依靠访问控制信息决定是否允许在计算机上使用。
根据用户管理需求的不同,系统将移动存储介质的管理分为五种管理模式:
未授权移动存储介质、加密移动存储介质、多分区U盘、专用安全U盘、特权移动存储介质。
注册介质的授权使用范围包括全局、部门与主机三个选项。
注册介质的授权操作权限包括只读、读写与禁用、只写四种工作模式。
系统通过专用工具对各种存储介质进行注册管理,系统自带U盘资源管理器,实现对注册移动存储介质的访问与文件操作,有效地保证了移动存储介质管理的安全性。
系统采用了文件操作动态监控和审计的技术思路。
当有文件在加密移动存储介质和本地磁盘进行拷贝时,系统将自动记录文件操作行为,包括访问、创建、删除、修改等。
类型
说明
未授权移动存储介质
所有未在系统中进行注册管理的移动存储介质。
系统默认将自动禁止其在装有终端监控引擎的计算机上使用。
加密移动存储介质
经过系统加密格式化并注册的移动存储介质。
多分区U盘
经过系统格式化为多个分区并注册的U盘,包括启动区、交换区、加密区、日志区,用户的访问操作权限可细化到分区。
专用安全U盘
与系统配套提供的专用U盘,可格式化为多个分区,自带COS操作系统。
特权移动存储介质
经系统注册并打印特权标签的移动存储介质,尤其适用于各种数码产品存储卡。
3.5.终端安全审计
任何政府部门和企业单位,均拥有自己的机密信息。
这些机密信息,如果没有良好的技术防护手段,很容易发生侵害政府和企业利益的信息泄露事件。
政府和企业面临的信息泄露威胁有两种:
被动信息泄露和主动信息泄露。
被动信息泄露:
由于人员缺乏信息保密意识,常常由于专业知识不熟悉或者工作疏忽而造成泄密。
如有些人由于不知道计算机的电磁波辐射会泄露秘密信息,计算机工作时未采取任何措施,因而给他人提供窃密的机会;
有些人由于不知道计算机软盘上的剩磁可以提取还原,将曾经存贮过秘密信息的软盘交流出去,因而造成泄密;
有些人因事离机时没有及时关机,或者采取屏幕保护加密措施,使各种输入、输出信息暴露在界面上;
有些人对自己使用的计算机终端缺乏防护意识,如没有及时升级病毒库和更新系统补丁,导致病毒和木马的入侵,在不知不觉中泄露了机密信息。
主动信息泄露:
这种情况是由于内部人员出于个人利益或者发泄不满情绪,有意识的收集和窃取机密信息。
由于电子信息文档不象传统文档那样直观,极易被复制,且不会留下痕迹,所以窃取秘密也非常容易。
电子计算机操作人员徇私枉法,受亲友或朋友委托,通过计算机查询有关案情,就可以向有关人员泄露案情。
计算机操作人员被收买,泄露计算机系统软件保密措施,口令或密钥,就会使不法分子打入计算机网络,窃取信息系统、数据库内的重要秘密。
对于政府部门和企业来说,计算机终端作为信息处理的工具,在其上存储、传输和处理的信息的安全性保护相当重要。
任何一个环节的疏漏均可导致信息的丢失。
因此,必须加强对信息的监控和审计管理。
LanSecSUSB移动存储介质使用管理系统提供了设备输出监控、违规外联监控、共享监控、打印监控、文件监控、帐户监控、进程监控、服务监控、软件安装监控、注册表监控和网络行为审计等一系列信息监控与审计功能,为政府和企业的信息保密与信息防护提供了有力的技术手段和工具。
I/O设备输出审计
对硬件设备的使用进行监控。
采取黑名单和白名单的控制方式,可区分普通光驱和刻录机。
违规外联监控
实时监测和阻断终端计算机的MODEM拨号、ADSL拨号、网关上网、代理上网等行为,实现对终端计算机连接互联网或者其它网络行为的严格控制。
文档打印审计
对终端计算机的打印操作进行监控与管理。
全面监控本地打印、虚拟打印和共享打印。
文件审计与文件保护
1)对文件的创建、删除、改名、访问等操作行为进行审计;
2)对文件内容进行关键字扫描监控;
3)对指定文件或文件夹的安全进行保护,限定特定进程对被保护对象的操作。
共享审计与共享访问控制
对终端计算机的系统默认共享、用户文件夹共享及共享文件夹的操作权限情况进行监控,避免内网用户通过共享的途径达到机密信息外泄
本地帐户审计
对本地计算机的帐户安全相关参数进行配置,对帐户变更进行监控和审计。
进程管理
对本地计算机运行程序进行管理,包括运行控制、运行保护、运行统计与进程别名管理。
服务管理
对本地计算机上所运行服务进行管理,控制本地服务的运行状况。
通过黑名单、白名单和红名单方式管理。
软件安装监控
对终端计算机上的软件安装行为进行监控与控制
注册表监控
对终端计算机本地注册表的访问进行监控和保护
网络行为审计
对终端计算机的网络访问的监控与审计。
包括HTTP访问、SMTP/POP3邮件收发、WEB邮件收发等。
系统提供基于规则的访问控制手段
4.产品性能
4.1.总控中心性能
LanSecSUSB移动存储介质使用管理系统总控中心采用了分层设计理念,统架构设计时采用了分布式负载均衡技术和动态性能扩展技术,路由与定位服务、业务服务、数据库服务均支持多个服务镜像,从而有效分散终端计算机连接请求,实现负载均衡。
同时,在系统运行过程中,可以根据业务需要随时增加路由与定位服务、业务服务和数据库服务镜像,从而达到动态性能扩展的目的。
系统可以在一个总控中心单元管理10万台终端计算机。
4.2.终端监控引擎性能
终端监控引擎设计时充分考虑了其可能对桌面计算机造成的性能影响,通过多次优化,形成了现在的终端监控引擎架构。
该架构保证了终端监控引擎在稳定可靠运行的前提下,仍能保持极少的静态工作模式系统资源占用。
经过严格的第三方测试,以及大量用户的实际使用证明,终端监控引擎在静态工作模式下,对系统资源的占用几乎可以达到零消耗。
静态工作模式下,CPU的占用率低于1%,内存占用低于10M,网络带宽占用低于0.2K/s/客户端。
4.3.产品性能指标
LanSecSUSB移动存储介质使用管理系统主要性能指标如下:
1)总控中心最大并发连接数:
550
2)总控中心最大可管理注册主机数量:
50000台
3)总控中心网络带宽占用:
100K/1000客户端
4)终端监控引擎CPU占用(静态模式):
<
1%
5)终端监控引擎内存占用(静态模式):
8M
4.4.自身安全性
LanSecSUSB移动存储介质使用管理系统设计之初便对其自身安全性做了充分的考虑和技术处理,使得LanSecSUSB移动存储介质使用管理系统的安全性得到了有效的保障。
自身安全性主要考虑了如下几个方面的安全问题:
●总控中心安全性:
系统通过采用最小服务原则、系统管理控制、代理访问认证等几个措施确保总控中心的安全运行。
●终端监控引擎安全性:
系统通过采用监控进程隐藏技术、本地文件访问保护、多入口恢复技术及监控引擎完整性校验技术等确保终端监控引擎的安全运行。
●数据库安全性:
系统通过采用数据库访问控制、数据加密与数据备份等措施确保数据库的安全运行。
●策略安全性:
系统通过策略订单生成控制、加密策略传递与存储、策略完整性校验等措施确保策略的安全性
●通讯安全性:
系统通过采用加密传输、身份认证、本地安全存储等措施确保终端监控引擎与总控中心之间的通讯的安全运行。
5.产品部署
5.1.产品形态
LanSecSUSB移动存储介质使用管理系统提供网络版和单机版两种产品版本。
网络版适用于对联网的内网计算机进行统一的安全管理,单机版适用于对未连入内网的独立计算机进行安全管理。
用户可以根据自己的实际情况选择部署和使用两种版本中的任何一种。
●网络版:
网络版产品可以提供最大的管理灵活性和方便性。
通过计算机的集中管理,实现内网策略的统一和报警事件的集中管理和响应
●单机版:
单机版产品可以对孤立的计算机进行单独管理。
策略的配置和事件的管理均在本地计算机实现。
5.2.部署模式
LanSecSUSB移动存储介质使用管理系统提供本地和分级两种产品部署方式。
用户可以根据实际网络环境选择合适的部署方式进行产品的部署实施。
5.2.1.本地部署
本地部署是本系统最常见的部署方式。
适用于计算机终端数量不多(例如,小于10000台)并希望对所有终端计算机进行集中管理的用户环境。
在该部署方式下,所有的计算机终端注册到同一个总控中心。
本地部署的优点是可以在一个系统管理中心监控到内网中所有计算机的活动状况。
其部署示意图如下:
图4本地部署示意图
5.2.2.分级部署
分级部署是指在按照地域或者部门的不同,在内网中安装多个总控中心,不同地域或者部门的计算机分别注册到不同的总控中心。
总控中心之间通过分级注册,形成上下级关联关系。
上下级关联关系确认后,可以对整个系统实行分级管理。
上级可以对下级分发终端监控引擎安全策略,上级也可要求下级将安全事件上报到上级总控中心。
从而实现上级对下级的管理。
分级部署方式的优点是,可以将实际的日常运维管理权限分散到不同的部门或者区域,但上级仍然可以保证对下级的管理能力。
另外,通过分级部署,可以无限的增大计算机管理数量。
例如,可以通过分级部署管理多达几十万台的计算机。
分级部署示意图如下:
图5分级部署示意图
升级会员 