终端安全统一管理系统白皮书.docx

1、终端安全统一管理系统白皮书-标准化文件发布号：（9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII终端安全统一管理系统白皮书文档类型：文档编号：终端安全统一管理系统V5.0白皮书北京亿赛通科技发展有限责任公司二O一三 年 十 月 十一 日产品需求说明书更新历史编写人日期版本号变更内容施岭2013/11/041.0创建1.产品简介EUMS终端安全统一管理系统 V5.0 版是一款定位于为政府和企业用户提供集中的终端（桌面）综合安全管理的桌面管理产品。系统通过对计算机准入控制、计算机安全加固、计算机运行维护、计算机安全审计、移动存储介质注册等多个方面的综合管理，为政府和企业用

2、户打造一个安全、可信、规范、健康的内网环境。EUMS终端安全统一管理系统 V5.0 版是北京亿赛通科技发展有限责任公司（以下简称亿赛通）一个里程碑式的、战略性的产品版本，该版本通过对用户需求的持续跟踪使得产品功能进一步丰富，通过系统架构的优化调整使得产品性能显著提升，借助 EUMS终端安全统一管理系统 V5.0 版的发布，亿赛通公司更加明确地宣告了其专注于内网安全管理领域的决心与实力。EUMS终端安全统一管理系统在为用户提供终端安全保护手段的同时，更加强调为用户提供便利的终端运维管理手段。集中式、人性化的终端管理能力是 EUMS终端安全统一管理系统的特色之一，也是亿赛通公司一直以来的努力方向。

3、EUMS终端安全统一管理系统的设计参考了如下国家标准：GB/T18336-2008 信息技术 安全技术 信息技术安全性评估准则GB/T22239-2008：信息系统安全等级保护基本要求MSTL_JGF_04-012信息安全技术远程主机检测产品检验规范MSTL_JGF_04-011信息安全技术非授权外联检测产品检验规范BMB15-2004涉及国家秘密的信息系统安全审计产品技术要求BMB17-2006：涉及国家秘密的信息系统分级保护技术要求BMB20-2007：涉及国家秘密的信息系统分级保护管理规范BMB22-2007：涉及国家秘密的计算机信息系统分级保护测评指南GBT 22240-2008：信息

4、系统安全等级保护定级指南GBT 22241-2008：信息系统安全等级保护实施指南2.产品架构图 1 EUMS终端安全统一管理系统架构EUMS终端安全统一管理系统在架构设计上采用了三层管理结构：终端监控引擎、总控中心、管理控制台。2.1. 终端监控引擎终端监控引擎以服务的形式运行于终端计算机上，是终端计算机管理的核心和基础部件，用于对被管理终端计算机的安全加固、运行维护和监测审计等管理职能。终端监控引擎可以部署在所有 Windows 系列操作系统上，包括 Windows2000、Windows XP、Windows 2003、Windows Vista、Windows 2008、Windows

5、 7。 终端监控引擎的设计充分考虑了稳定性、安全性和兼容性要求。终端监控引擎可防止恶意停止，并全面兼容防病毒软件、防火墙软件、设计开发软件、业务软件、办公软件。2.2. 总控中心总控中心用于计算机的集中管理，为终端监控引擎和管理控制台提供一系列的管理服务；由策略管理服务、审计管理服务、Radius认证服务、文件备份服务、补丁与软件分发服务、时间同步服务、网络管理服务、分级管理服务、事件订阅服务、健康状态监测服务等组成。视内网规模和性能要求，这些服务可分别部署在不同的硬件平台上，也可部署在同一个硬件平台上。策略管理服务：负责终端计算机策略的配置和更新。审计管理服务：负责接收终端监控引擎发送的审计

6、信息与事件报警，并存储到数据库中。接入认证服务：负责对接入内网的终端计算机身份和健康状况进行认证。文件备份服务：提供集中的文件备份。文件备份服务支持用户身份认证。补丁分发服务：提供补丁文件和软件的下载服务，支持FTP和HTTP两种方式。时间同步服务：为终端计算机提供统一的标准时间服务，便于终端计算机的时间管理。网络管理服务：提供网络拓扑扫描服务，可绘制网络的链路层拓扑。分级管理服务：提供分级部署环境下的分级管理。事件订阅服务：接受报警监控程序的事件订阅，根据订阅条件向报警监控程序发送符合要求的报警事件，可向多个报警监控程序同时提供服务。健康检测服务：用于总控中心自身各服务的运行状态监控。2.3

7、. 管理控制台管理控制台为系统管理人员提供系统管理入口；采用BS方式进行系统管理，通过管理控制台完成全部系统管理操作。2.4. 系统数据库系统数据库用于存储策略、信息和事件，全面支持目前主流数据库，包括：SQL Server、Oracle 、MySQL 、IBM DB2、PostGreSQL、Gbase。总控中心与数据库之间采用数据库访问中间件和网络缓存技术实现高速数据访问。通过数据库访问中间件和网络缓存，可以大大降低数据库的访问压力，提高数据的存储和访问能力。终端监控引擎和总控中心之间采用 ICE 网络通讯中间件进行相互通讯。通过SSL 协议对通信过程进行认证和加密，增强组件间通信的安全性。

8、三层管理结构大大提高了系统设计开发、安装部署和运行维护的灵活性、便利性和扩展性。3.产品功能3.1. 终端运维管理内网的可靠运行是业务系统可靠运行的保障，内网的可靠运行依赖于网络设备、服务器和个人终端计算机的安全运行，任何一个环节出现故障，都可能对内网的可靠性产生不可估量的冲击。内网中主要设备是终端计算机，终端计算机的安全运行与管理对整个内网安全有至关重要。系统对终端计算机的管理采取了两种不同的安全措施：系统运行管理和系统监测。系统运行管理方面主要包括补丁管理、主机资产管理、主机防病毒管理、系统日志管理、时间同步、消息分发及文件备份，通过系统运行管理确保终端主机以最安全的状态运行，有效地减少病

9、毒爆发和木马泛滥带来的内网安全隐患，减少终端计算机被入侵的可能性。系统监测方面主要包括主机性能、网络流量、健康状态、设备入网、时间同步与安全态势分析等。通过系统检测可以让管理员及时了解整个网络内终端主机的状态，针对存在的安全隐患及时采取有效措施，更好地保证内网的可靠性。具体功能如下：模块名称功能描述补丁管理可以实现Windows平台下的补丁审批、分发和补丁修复状态统计，管理、分发和自动安装Windows系列操作系统补丁和微软应用程序补丁。 资产管理提供计算机资产自动收集、资产注册登记、资产变更管理、设备维修管理、资产查询与统计等管理。 防病毒软件管理提供防病毒软件信息收集和状态监测功能，信息收

10、集包括防病毒软件名称、软件版本、病毒库版本等。 系统日志管理提供对终端计算机本地日志收集、日志集中存储、日志转储、日志清理和日志查询分析功能 时间同步以安装有时间服务的计算机硬件时间为时间源，为内网终端计算机提供标准的Internet时间服务 消息分发提供对内网全部或者部分终端计算机的消息通知功能 软件分发提供对内网全部或者部分终端计算机的软件分发管理。由分发管理中心、文件下载服务和终端监控引擎等组件组成 主机性能监测对终端计算机的CPU使用、内存使用和磁盘使用情况的动态监测 网络流量监测对终端计算机的网络通讯流量的控制、审计和统计 健康监测与自评估对终端计算机的安全状况的动态监测，并为终端计

11、算机用户提供手动评估计算机安全状况的手段 设备入网监测对内网设备入网的实时发现、状态报告和阻断 远程协助对终端计算机的远程监控管理和远程桌面接管等功能 文件备份实现用户身份认证、文件备份、文件恢复、备份文件历史查询，由文件备份服务和文件备份代理组成 安全态势分析对终端计算机安全管理数十种关键指标进行态势分析，可为用户内网环境的安全状况以及安全变化态势提供准确可靠的关键指标数据支持 3.2. 终端安全加固终端主机的安全运行是整个网络的基础，而终端主机运行参数、运行策略的 稳定又是终端主机安全运行的保障，系统的具体加固措施包括如下方面：模块名称功能描述网络参数配置对终端计算机的网络相关参数的配置和

12、变更监控管理，包括参数绑定、参数变更监控、ARP攻击防护与IP地址保护，具有支持多个网络参数的统一配置管理、支持多个同类参数的绑定、支持IP地址范围控制等特点。 终端安全配置管理终端计算机的本地安全策略、对本地系统环境进行安全设置管理，从而实现主机运行安全策略的最优化，确保终端主机的安全管理 终端防火墙系统内置防火墙是基于NDIS的桌面防火墙，对终端计算机的访问目标进行限定，对终端计算机的网络访问进行控制。具有基于优先级的网络访问控制能力、提供网络访问审计能力、支持策略模板 终端主机准入控制详细见3.3 移动存储介质管理详细见3.4 3.3. 终端主机准入控制系统提供了“主动防护”和“动态监控

13、”相结合的计算机准入控制机制。“主动防护”是指：第一是指在计算机接入网络之前，首先验证其身份和安全状态，以决定是否允许其接入网络；第二是指计算机接入网络后，如果要访问核心区域的资源，也必须先进行身份认证和安全认证，根据验证结果决定是否允许其访问核心区域资源。这与以往的安全思路“先接入网络，再验证其身份”相比，极大地提高了网络的安全性。 “动态监控”是指：当计算机验证通过并接入网络后，并非该计算机就可以在接入期间不受控制地访问网络资源。系统还会动态的对接入计算机的身份和安全状态进行跟踪和检测，一旦发现身份信息和安全状态有变，即刻对其重新隔离。终端主机准入控制功能结构如下图所示：主机健康检查：对接

14、入内网的计算机的安全状况进行检查接入认证：对主机进行身份认证，系统支持用户名/口令、PKI数字证书以及设备特征标识三种身份信息的认证方式。 主机隔离与修复：根据策略将未通过认证的主机隔离到修复区/工作区/访客区。 主机状态动态检测：对接入网络的计算机进行动态监测，监测的内容包括身份确 认、安全状态确认等 IP通讯控制：网内主机之间的通讯采用PKI数字证书标识双方的身份，并同时对 通讯数据进行加密。内网核心区域保护：在核心资源与接入层计算机之间设置安全认证网关，代替无法细粒度认证接入计算机身份的网络设备，行使二次身份认证的使命。准入控制部署：启用接入计算机的身份认证，网络设备必须启用802.1x

15、协议支持；启用接入计算机自动隔离和修复功能，网络设备不需启用Guest Vlan支持。3.4. 移动存储介质管理USB 移动存储介质是目前使用最为广泛的数据交换手段。也正因为 USB移动存储介质使用的广泛性，为政府和企业内网信息的安全防护带来了很大的安全隐患，如何对其进行有效的管理，成为政府、企业和信息安全产品提供商需要共同面对的问题。系统通过对移动存储介质实施注册管理，有效避免了移动存储介质的滥用，以此提高政府和企业内网信息的安全性。移动存储介质注册管理是指将移动存储介质进行特殊处理后，在移动存储介质无法被直接访问的区域写入该移动存储介质相对应的注册信息，注册信息包括两种类型：标记信息：用于表明该移动存储介质的所有者、联系方式、管理者、所属部门等。访问控制信息：当该移动存储介质插入计算机时，依靠访问控制信息决定是否允许在计算机上使用。根据用户管理需求的不同，系统将移动存储介质的管理分为五种管理模式：未授权移动存储介质、加密移动存储介质、多分区 U 盘、专用安全 U 盘、特权移动存储介质。注册介质的授权