金甲网络行为管理系统白皮书.docx
《金甲网络行为管理系统白皮书.docx》由会员分享,可在线阅读,更多相关《金甲网络行为管理系统白皮书.docx(24页珍藏版)》请在冰豆网上搜索。
金甲网络行为管理系统白皮书
金甲内网安全管理系统
技术白皮书
电子文档安全、网络行为安全、网络资源安全
统一解决方案
1金甲产品介绍
随着企业信息化的推广普及,越来越多的文件以电子文档的形式传输。
众所周知,电子文档是非常易于复制的,而且复制后不留任何痕迹。
随着信息的交流越来越频繁,无论是企业内部使用的自动化办公系统的文件传送,还是企业对外界传送的电子邮件,都以电子文档的形式进行复制传播,
但随之带来的一系列的问题,如数据信息是否是在安全的状态下进行交流;数据信息是否是在安全的环境下存放以及数据信息是否是在安全的模式下管理,等等诸如此类问题。
现在越来越多的企业和个人都开始关注自己的数据在传送过程中或者在平时的使用中是否安全,期望利用某种方法保证数据不被人盗取或者窥探。
如何保证计算机数据的安全和合理使用,不能单靠员工的自律和企业的规章制度。
必须借助一些工具和软件来管理计算机,保障每一个用户都在规定的范围内合法地使用计算机和数据,记录其使用情况。
金甲安全管理系统将设备安全管理、文件安全管理、网上行为管理有机地结合在一起,通过对每一个网络设备的监视和控制、网络用户行为的监视和记录,将网络的安全隐患可视化,能最大限度地防止敏感信息的泄漏、破坏和违规外传,并完整记录涉及敏感信息的操作日志以便事后审计和追究泄密责任,同时也能对个人桌面系统的软硬件资源实施安全管理,并对个人桌面系统的工作状况进行监控和审计,从而有效的控制和防范信息安全事故。
适用范围
本文档适用于购买或使用金甲安全管理系统的用户。
版权声明
本文档版权归上海诺维达信息技术有限公司(以下简称“诺维达”)所有,并对本文档的内容保留一切权利。
未经本公司书面许可,文档中的任何部分不得以任何形式或手段复制、拷贝、传播给其它第三方。
免责声明
本文档为诺维达提供给用户的技术文档,只作为产品的说明,不作为合同要约。
如因文档使用不当造成的直接或间接损失,本公司不承担任何责任。
本文档中的任何内容都不具任何明示或暗示的保证、担保或许可。
对于此类保证、担保和许可,诺维达不负担任何责任。
忠告用户:
第三方可能拥有与本文档和在此讨论的技术有关的知识产权;如果发生侵权行为,需要诉诸法律解决,诺维达不负任何责任。
文档更新
诺维达将不定期对本文档内容以及相关的产品规范和说明进行修订,请关注公司动态以及时获取最新版本,恕不另行通知。
本文档由上海诺维达信息技术有限公司于2006年03月最后修订。
目录
1金甲产品介绍2
2概述5
2.1主要功能5
2.2基本运行框架7
3安装10
3.1安装模块选定策略10
3.2系统要求10
3.3网络要求11
3.4数据库要求11
3.5网络配置要求11
4金甲控制台模块的使用12
一、系统监视12
4.1.1硬件配置12
4.1.2系统进程12
4.1.3共享目录12
4.1.4文件监视12
4.1.5屏幕监视13
4.1.6应用程序监视13
4.1.7网站监视13
4.1.8网络通讯监视13
4.1.9系统事件13
4.1.10报警信息14
二、系统控制14
三、规则设定14
4.3.1网站规则14
4.3.2应用程序规则15
4.3.3设备规则15
4.3.4报警与响应16
4.3.5软件与补丁分发16
四、访问统计17
4.4.1应用程序统计17
4.4.2网站访问统计19
4.4.3系统信息统计19
五、历史记录20
4.5.1历史屏幕记录20
4.5.2操作日志查询20
4.5.3系统日志查询20
5技术支持与帮助21
2概述
目前,个人计算机系统成为企业、单位网络的主体,也是绝大多数泄密事件发生的源头。
针对这一现状,金甲提供了全面的解决方案,不仅在企业网络内监视和记录各台计算机的全面使用情况,防止个人桌面系统的信息泄漏,同时也能对个人桌面系统的软硬件资源实施安全管理,并对个人桌面系统的工作状况进行监控和审计。
根据需要自动截取工作站的屏幕快照、应用程序运行和浏览互联网的情况,记录用户在计算机上的各项操作并能对指定的操作进行限制。
这样,金甲可以让您随时了解您公司的计算机用户的资源利用情况,从而保证企业的信息安全,提高生产效率。
2.1主要功能
金甲包括了下列的六大功能模块:
网络监视模块、网络管理模块、网络报警模块、软硬件资产管理模块、补丁管理和软件分发、远程桌面管理。
1、网络监视模块:
根据设定的安全控制策略,对受控对象的活动进行全面的审计,为事后了解和判断网络安全事故提供了宝贵的资料,具体功能如下:
■文件操作的审计;
■屏幕记录;
■应用程序的审计;
■Internet访问的审计;
■网络通讯协议;
■报警信息的审计;
■打印机使用的审计;
■网络文件访问的审计;
■硬件变动的审计;
■软件变动的审计;
■IP/Mac地址的变动审计;
■用户的变动审计;
■非法笔记本电脑接入的审计;
■非法拨号的设计;
■客户端超时不连接的审计;
2、网络管理模块:
网络管理模块通过具有针对性的监控规则的设置,自动阻止非法操作和实现应用统计,具体功能如下:
■禁止或只允许浏览的指定网站;
■禁止使用指定的应用程序;
■禁止使用外设如(USB存储设备、USB端口、软驱、刻录机、磁带驱动器、串口、并口、调制解调器、SCSI、1394总线、红外通讯设备,以及笔记本电脑使用的PCMCIA卡接口);
内网管理模块对电脑的使用进行具体统计,提高工作效率。
■浏览网站状况统计(列表、柱状图、饼状图);
■应用软件使用统计(列表、柱状图、饼状图);
3、网络报警模块:
网络监控模块通过具有针对性的监控规则的设置,并且可以向控制台发出报警信息,报警内容有:
■非法对指定文件/文件夹操作报警;
■非法使用指定的应用程序报警;
■硬件变动的报警;
■软件变动的报警;
■IP/Mac地址的变动报警;
■用户的变动报警;
■非法计算机接入的报警;
■非法拨号的报警;
■客户端超时不连接的报警。
4、软硬件资产管理模块:
■软硬件管理模块可以对整个局域网内的电脑的软硬件资产进行统计。
5、补丁管理和软件分发:
■可以随时统计出操作系统补丁的安装情况,并对未安装重要补丁程序的计算机统一批量安装;
■提供统一的应用软件派发功能,使得批量软件安装这一费时费力的工作,由软件自动完成;
6、远程桌面管理:
远程桌面模块通过具有针对性的客户端进行控制,提高网管人员工作效率,具体包括对客户机进行如下操作:
■远程接管客户端(对客户端的发生的问题可以实时解决);
■发送通知;
■锁定/解锁工作站;
■注销、重起、关闭工作站;
可扩展的和节约成本的解决方案
金甲安全管理系统充分利用现有的计算机设备,并且可以随时从单个工作站方便的扩充到网络环境,受监控的工作站的多少也可以随时按需调整。
这种系统的特性减少了硬件和网络提升后所带来的软件成本上升的压力。
金甲安全管理系统可以支持复杂的网络环境。
2.2基本运行框架
完整的金甲安全管理系统由三部分组成,服务器模块(金甲Server)、控制台模块(金甲Console)和客户端代理模块(金甲Agent)。
客户端代理模块安装在每一台需要被监视的计算机上。
服务器模块用来存储和管理所有安装有代理模块的计算机,用于管理监视所产生的资料,一般安装在一台具有高性能CPU和大容量内存的用作服务器的计算机上。
控制台模块主要用于监视每台安装有代理模块的计算机及查看历史记录,一般安装在公司的管理人员的计算机上,也可以和服务器模块安装在同一台计算机上。
系统的基本框架如下图所示:
金甲体系示意图
金甲安全管理系统服务器模块
包括服务器端软件和支持数据库。
支持操作系统为MicrosoftWindows2000/XP/2003系列。
服务器以MicrosoftSQLServer2000为后台数据库,同时也支持MicrosoftAccess数据库。
服务器主要功能如下:
♦定时搜索网络,管理所有已安装代理程序的机器,并向代理模块传递相关的设置和命令信息;
♦接收控制台用户数据请求指令,传送数据文件到控制台,由控制台进行解密查看分析;
♦保存客户端代理用户信息;
♦存储系统组织结构,用户信息和系统工作配置参数;
♦收集代理模块的采集的数据,并将其保存到数据库中;
♦提供方便灵活的历史记录管理、归档、搜索、查看等功能;
金甲安全管理系统控制台模块
金甲控制台是实现系统管理、参数配置、策略管理、系统审计的人机交互界面软件系统。
系统运行平台为MicrosoftWindows2000/XP/2003系列。
控制台功能如下:
♦参数设置,包括控制台和服务器的工作参数;
♦用户管理,包括:
添加、删除、修改;系统用户采用分权分级的管理方式,每个用户都有其授权工作范围和管理权限;
♦安全工作域结构管理,包括创建组织结构层次深度以及添加、删除系统组织结构;
♦客户端代理的添加、安装和卸载;
♦客户端代理策略的配置和下发;
♦实时获取被监视计算机的屏幕快照等信息;
♦设置监视和控制规则;
♦查看并播放记录在服务器端的历史记录;
♦查询特定机器特定时刻的历史记录;
♦监测日志的查看、分析和审计。
金甲安全管理系统客户端代理模块
客户端代理模块是安装于受监控主机上的监测软件。
软件安装支持本地安装和远程安装两种方式;客户端代理的卸载只接收服务器的卸载指令,本地用户不能自行卸载、关闭监控程序。
客户端代理的工作平台目前支持MicrosoftWindows系列操作系统包括Windows98/Me、Windows2000、WindowsXP和Windows2003。
金甲客户端代理模块主要功能如下:
♦接收服务器下发的工作策略,并按照该策略控制客户端代理的工作模式;
♦信息泄露防护,该模块包括:
网络层、应用层、媒体介质、打印机和外设接口等造成的信息泄露防护;
♦运行监测:
实时记录文件的删除、重命名、进程、服务、驱动、用户和组的变化情况;
♦资源获取:
接收服务器指令,上传系统的软件、硬件信息;
♦定时采集数据并保存,定时将采集的数据传送到服务器;
♦响应控制台发出的监视请求,传送实时的屏幕快照信息;
♦根据系统的设置控制计算机的操作。
3安装
本章主要讲述安装的环境要求,包括网络要求、服务器和客户端计算机的配置要求、数据库要求等。
3.1安装模块选定策略
金甲安全管理系统由三个不同的模块组成:
客户端代理模块、服务器模块、控制台模块。
用户可以根据具体需要将它们安装在企业网络上的计算机上。
服务器模块用来存储和管理所有安装有代理模块的计算机用于监视所产生的资料,一般安装在一台具有大容量内存的用作服务器的计算机上。
这台计算机一般由公司的计算机操作员管理。
代理模块安装在每一台需要被监视的计算机上。
代理模块在安装到需要被监视的计算机上后,每次在被监视的计算机用户登录时,代理模块会自动运行。
安装有代理模块的计算机具有较强的安全保护功能。
代理模块经过安装后在系统后台运行,用户看不到代理模块的运行痕迹,可防止被非授权用户删除。
用户可以利用控制台模块来实时了解安装有代理模块的计算机的代理程序运行情况,并且根据需要卸载代理模块。
控制台模块主要用于实时监视每台安装有代理模块的计算机,以及查看保存在服务器上的历史资料,一般安装在公司的经过授权的管理人员的计算机上。
3.2系统要求
安装代理模块的计算机的基本要求:
♦操作系统Win98/ME/2000/XP/2003
♦最低配置PentiumIII266/64MB内存/20MB可用硬盘空间
♦建议配置PentiumIII1G/128MB内存/100MB可用硬盘空间
安装服务器模块的计算机的基本要求:
♦操作系统Win2000/XP/2003
♦最低配置PentiumIII500/128MB内存/10GB可用硬盘空间
♦建议配置PentiumIV2G/256MB内存/50GB可用硬盘空间
安装控制台的计算机的基本要求:
♦操作系统Windows2000/XP/2003
♦最低配置PentiumIII500/128MB内存/50MB可用硬盘空间
♦建议配置PentiumIII1G/256MB内存/100MB可用硬盘空间
3.3网络要求
金甲运行时使用以下的通讯协议与端口号,如果您在内部使用了防火墙此时应允许这些端口访问网络:
ØUDPPort:
14990-15005
ØTCPPort:
14990-15005
建议局域网内的数据传输率配置为10-100Mbps或者以上。
3.4数据库要求
金甲支持多种数据库系统,包括:
ØMicrosoftAccess
ØMicrosoftSQLServer2000及以上
金甲Server/Console会以OLEDB连接数据库,金甲安装程序内已经附有MDAC2.7安装程序,不用另外设置,但是如果您使用的是SQLServer数据库,那么必须在使用金甲安全管理系统之前先安装好SQLServer服务器。
如果您选择使用MicrosoftAccess数据库,请略过以上步骤,因为安装金甲Server时会自动安装MicrosoftAccess数据库所需的档案。
由于MicrosoftAccess是单工文件型数据库,因此当您的计算机超过50台或者对记录的数据可靠性要求比较高时,我们并不建议您使用Access作为金甲安全管理系统的数据库。
3.5网络配置要求
金甲安全管理系统运行时将使用到UDP和TCP通信协议,端口号范围为14990-15005。
如果企业内部使用了防火墙产品,应在防火墙上将以上端口开放,允许服务器和控制台通过这些端口访问整个网络。
建议局域网内的数据传输速率配置为10-100Mbps或者以上。
4金甲控制台模块的使用
通过使用金甲控制台,可以实时监控运行客户端代理模块的计算机以及查看由服务器模块管理的历史资料。
基本操作包括实时获取受监视计算机的屏幕快照,对目标机进行实时监视和控制、查看工作报告、操作日志、屏幕历史以及设备审计等。
用户只有在用户名和口令正确的情况下,才能够进行授权范围内的操作,这种授权方式既提高了系统的安全性,又保证了监测信息的保密性。
一、系统监视
4.1.1硬件配置
选择菜单“系统监视→硬件配置”可以查看指定的计算机的硬件配置信息。
它包括用户的处理器,内存,硬盘,键盘,鼠标等硬件信息,也包括计算机使用的操作系统信息以及客户端版本信息。
4.1.2系统进程
选择菜单“系统监视→系统进程”可以查看指定的计算机当前正在运行的进程信息,包括模块的名称和模块的具体路径。
如果需要强行终止某个进程,可在该进程单击右键,选择“终止进程”。
需要特别注意,必须慎重执行该操作,如果终止某些系统进程,可能引起系统死机或重启。
4.1.3共享目录
选择菜单“系统监视→共享目录”可以查看指定的计算机的共享目录情况,如果想关闭某个共享目录,选中该目录,点击右键选择“关闭共享”即可。
4.1.4文件监视
选择菜单“系统监视→文件监视”可以查看指定的计算机或组的用户对文件或目录进行的操作,包括修改、访问、复制、移动、创建、改名、删除、恢复、共享以及文档打印、计算机远程访问等操作。
文件监视
4.1.5屏幕监视
选择菜单“系统监视→屏幕监视”可以显示被选择计算机的屏幕给用户进行查看。
需要注意的是,如果在“编辑→属性”中没有选择“记录屏幕快照”,就不能在“屏幕监视”中看到屏幕显示;同样,如果用户计算机处于空闲状态,屏幕没有变动,则也可能没有屏幕信息显示。
屏幕监视
4.1.6应用程序监视
选择菜单“系统监视→应用程序监视”可以查看用户使用应用程序的情况。
应用程序监视
4.1.7网站监视
选择菜单“系统监视→网站监视”进行查看。
在浏览网站报告里显示的是用户所浏览的网站、活动时间和百分比。
这样可以很方便地查看用户使用互联网的情况。
网站监视
4.1.8网络通讯监视
选择菜单“系统监视→网络通讯监视”进行查看。
在监视报告里显示的是用户使用通讯协议的状况,包括HTTP、HTTPS、FTP、TELNET、SMTP、POP3等协议。
这样可以很方便地查看用户使用协议的情况。
用户所有的使用到这些协议的操作都会被记录下来,管理员可以按照用户、日期、协议的不同组合进行查询。
注意:
此项功能只有在打开“管理->参数设置->系统设置”页面下的启用网络通讯监视才有效。
网络通讯监视
4.1.9系统事件
选择菜单“系统监视→系统事件”可以查看用户在计算机中操作的事件,包括启动和关闭系统和应用程序,控制操作,浏览网页,增加/删除硬件、软件和开始运行程序,以及窗口状态的变化。
当双击某一条事件记录,如果该计算机保存了屏幕历史记录,则就会自动弹出该事件发生时的屏幕历史,可以使用屏幕历史查看的方式详细查看用户当时的操作。
∙“描述包含”输入栏:
输入字符串,可查询描述中包含该字符串的所有记录。
∙“类型”输入栏:
包括控制、浏览网页、系统、应用程序、硬件、软件、启动程序、IP地址、MAC地址、用户、非法接入、拨号网络。
如选择其中一项,查询的结果就是该类型的记录,否则就是所有记录。
∙“操作”输入栏:
包括打开和关闭操作,还包括安装、删除、启动、关机、登录、注销、指令、增加、减少、访问、拨号连接、拨号断开、拨号失败等。
4.1.10报警信息
选择菜单“系统监视→报警信息”可以查看用户在计算机中的报警信息,包括文件操作报警、应用程序报警、网站访问报警、硬件变动报警、软件变动报警、用户变动报警、IP/MAC地址变动报警、非法连接报警、客户端报警等。
报警与响应
二、系统控制
当客户的管理人员认为内部的某一台计算机违反了制定的规章制度后,可以通过控制台对运行客户端代理模块的计算机进行实时控制,向它发送通知、锁定、注销、重启动、关机和远程控制等控制命令。
三、规则设定
金甲支持对计算机用户行为进行限定,可以设定该计算机可以在某一时间段内是否允许访问某些网站(网站组)或启动某些程序(程序组),还能根据需要订制规则,禁止某些计算机硬件接口的使用。
4.3.1网站规则
用户可以针对组或单个计算机进行查询、添加、修改、删除浏览网站操作,选择“规则设定→网站规则”选项,在系统信息输出区显示“网站规则”列表框:
∙显示规则记录:
在计算机导航条中选定所需要查询的计算机或计算机组,查询结果会列表框里显示。
∙添加规则记录:
在列表框中,单击鼠标右键,选择“添加”,在“添加网站”对话框中选中标识类型:
如果是网站名则在“网站标识”条目中输入Web站点名称,如果是要将网站里面的内容全部禁止,则应该输入*,例如要禁止sina里面的全部内容,应该输入*;如果是IP地址则在“网站标识”中输入IP地址;如果是网站组则在“网站标识”中选择已设定的网站组。
选定针对该网站的策略,是禁止还是只允许浏览该网站。
选定是否要设置使用周期、是否要在用户浏览该网站时要进行提醒。
∙修改规则记录:
在列表框中,选择需要修改的记录,单击鼠标右键,选择“修改”,弹出“修改网站”进行修改。
∙删除规则记录:
在列表框中,选择需要删除的记录(可以按Ctrl多选),单击鼠标右键,选择“删除”。
网站规则设置
4.3.2应用程序规则
用户可以针对组或单个计算机进行查询、添加、修改、删除应用程序操作,选择“规则设定→应用程序规则”选项,在系统信息输出区显示“应用程序规则”列表:
∙显示规则记录:
在计算机导航条中选定所需要查询的计算机或计算机组,查询结果会在列表框里显示。
∙添加规则记录:
在列表框中,单击鼠标右键,选择“添加”选项或在“编辑”菜单中点击“添加条件”,在“添加应用程序”对话框中选中标识类型:
如果选中模块名,则在应用程序栏里输入执行文件名;如果是选中模块组(模块组:
指设置的相同类型应用程序组,模块组的设置请详见管理菜单中的规则管理,模块名:
指单一的应用程序),则在应用程序栏里选择模块组。
选定针对该应用程序的策略,是否禁止该程序执行。
选定是否要设置使用周期、是否要在用户运行该程序时要进行提醒,确定后完成添加。
∙修改规则记录:
在列表框中,选择需要修改的记录,单击鼠标右键,选择“修改”选项弹出“修改应用程序”窗口并进行修改。
4.3.3设备规则
用户可以针对单个计算机进行设备的禁用和开放操作,选择“规则设定→设备规则”选项,在系统信息输出区显示“设备规则”选项框。
在相应的位置选中该项,表明禁止使用该设备。
禁止的设备类型包括:
软驱、光驱(包括刻录机)、磁带驱动器、USB存储设备、串/并口、SCSI、IEEE1394总线、调制解调器、红外通讯设备、USB、以及笔记本电脑使用的PCMCIA卡接口。
当用户的笔记本是使PCMCIA接口的网卡时,设置禁止PCMCIA接口则要注意,可能会导致用户无法访问网络。
对于一般的设备,控制台设置禁止后就能直接起作用,但有些外设需要系统重启后才能起作用。
所以如果修改设置后发现对客户端计算机不起作用,请重启客户端计算机。
为了加强对计算机控制,还支持对设备管理器、打印、网络属性、WindowsXP下快速切换用户的控制、关闭默认共享、禁止非法接入。
其中,禁止非法接入是指禁止没有安装客户端的计算机访问当前的计算机或计算机组,从而达到保护网络的目的。
禁止修改IP地址可以防止客户端电脑的IP地址在未经许可的情况下被修改。
针对目前许多企事业单位对USB存储设备的使用需要灵活管理的要求,我们专门有一个使用指定USB存储设备的功能:
此外允许禁用的USB存储设备只读(Window2000/XP/2003有效)将允许被禁用的USB存储设备可以读数据但是不能写数据。
(此功能在Win98和WinMe上将被忽略)
设备规则
4.3.4报警与响应
用户可以针对组或单个计算机进行查询、添加、修改、删除报警与响应操作,选择“规则设定→报警与响应”选项,在系统信息输出区显示“报警与响应”列表框。
显示报警规则记录:
在计算机导航条中选定所需要查询的计算机或计算机组,设置的报警响应查询结果会在列表框里显示。
4.3.5软件与补丁分发
选择菜单“规则设定→软件与补丁分发”,在计算机导航条里选中要进行此项操作的计算机或组,添加需要分发的软件和补丁。
如下图所示:
软件与补丁分发
∙计算机或组名:
软件分发的对象
∙描述名:
给所分发的软件或补丁起的名称
∙安装程序路径:
在服务器存放补丁/软件的目录中选择需要分发的安装程序
∙安装参数:
一些特定的补丁/软件所具有的安装参数,可空着
∙补丁分发/软件分发:
系统补丁选择补丁分发,一般软件选择软件分发
∙补丁代码:
系统补丁的代码(一般为KBXXXXXX,XXXXXX为6位数字,具体参见补丁名或者微软网站对于此补丁的描述)
∙安装条件:
软件分发执行与否的判定条件(以控制台上安装的软件作为标准)。
当客户机还没安装该项程序时,执行软件分发的命令,安装该软件;当客户机已经安装有该项程序时,则不再安装该软件
∙操作系统:
针对客户机的操作系统
∙安装时间:
安装的时段选择,也可空着,为即时安装
升级会员 