北信源网络接入控制管理系统
产品白皮书
北信源软件股份
声明
本手册的所有容,其属于北信源软件股份(以下简称北信源公司)所有,未经北信源许可,任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。
商标声明
本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。
产品声明
本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异,由此可能产生的差异为正常现象,相关问题请咨询北信源公司技术服务人员。
免责声明
若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,北信源公司及其员工均不承担任何责任。
目录
1.系统概述 (4)
2.系统架构 (4)
3.系统组成 (6)
3.1.策略服务器 (6)
3.2.认证客户端 (6)
3.3.Radius认证服务器 (7)
3.4.Radius认证系统 (7)
3.5.硬件接入网关(可选配) (8)
4.系统特性 (8)
4.1.全面的安全检查 (8)
4.2.技术的先进性 (8)
4.3.功能的可扩展性 (8)
4.4.系统可整合性 (9)
4.5.无缝扩展与升级 (9)
5.系统功能 (9)
5.1.准入身份认证 (9)
5.2.完整性检查功能 (10)
5.3.安全修复功能 (10)
5.4.管理与报表 (11)
5.5.终端安全策略设置 (12)
6.典型应用 (13)
6.1.802.1x环境应用 (13)
6.2.非802.1x环境应用 (14)
6.3.VPN环境应用 (15)
6.4.域环境应用 (15)
1.系统概述
北信源网络接入控制管理系统能够强制提升企业网络终端的接入安全,保证企业网络保护机制不被间断,使网络安全得到更有效提升。与此同时,还可以对于远程接入企业部网络的计算机进行身份、唯一性及安全认证。
通过网络安全准入控制不仅能够将终端设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外,还能够覆盖到企业网络的每一个角落,甚至是当使用者的移动设备离开企业网络时,仍能有效的提供终端设备接入控制的执行。
北信源网络接入控制管理系统可以保护整个企业部网络,包括可管理的(企业台式机、手提电脑、服务器)以及不可管理的(外部访客、合作伙伴、客户)终端安全接入部网络,保护网络接入的安全性。
2.系统架构
网络准入控制能够勾勒企业终端接入的安全基线,屏蔽一切不安全的设备和人员接入网络,规用户接入网络的行为。对于未安装终端代理软件或已安装终端代理软件但不符合安全策略要求(防病毒软件、病毒特征库升级、补丁、系统安全设置、违规软件等)的终端设备,能够禁止其访问网络,或进行网络VLAN隔离,并主动对其安全修复。北信源网络准入控制管理系统策略架构由安全检查、接入认证和安全修复三个方面实现。其模型如下图:
网络接入控制安全访问模型
安全检查
根据系统进程、文件、注册表等设置的检查结果来判断:
?用户身份是否合法
?主机防火墙是否安装并运行
?防病毒软件是否安装并运行,病毒特征库是否及时更新
?操作系统关键安全补丁是否安装
?操作系统安全配置是否妥当
?是否感染特定病毒实体
?是否安装违规软件
接入认证
根据上述检查结果,通过服务器和网络设备以及终端PC联动来决定:
?拒绝终端/用户接入
?容许终端/用户接入
?隔离终端/用户(单机隔离, VLAN隔离)
?限制终端/用户访问权限
安全修复
在隔离或限制接入的情况下,还可以通过自动修复来恢复正常的网络访问权限。修复的容包括:
?自动开启IE,连接部安全上相关的提示页面
?自动分发病毒专杀工具
?自动升级病毒特征库
?自动分发操作系统关键补丁
?自动纠正错误的系统配置
3.系统组成
北信源网络接入控制管理系统由策略服务器、认证客户端、Radius认证服务器、Radius认证系统,以及硬件接入网关(可选)几部分组成。
3.1.策略服务器
策略服务器是本系统的策略管理中心,提供系统的参数配置和安全策略管理。安全策略管理包括802.1x协议接入认证、安全检查策略定义的配置、策略制订分发、网络分组、认证客户端配置、数据报表输出等任务。
3.2.认证客户端
认证客户端安装在终端计算机,根据用户名和密码向认证服务器发起认证,能够根据策略服务器分发的安全策略对终端主机进行安全检查,依据获取的主机的安全状态,配合认证系统,实现工作区、隔离区、修复区的自动切换。
网络接入认证控制示意图
3.3.R adius认证服务器
Radius认证服务器用于接收客户端认证请求信息数据包并进行验证,根据网络环境可使用微软的IAS,CISCO ACS或LINUX FREE RADIUS等系统。
3.4.R adius认证系统
Radius认证系统为可网管支持802.1x的网络设备(交换机),由该认证系统接收认证客户端的认证请求数据包与Radius认证服务器完成认证过程。
802.1x利用了交换LAN架构的物理特性,实现了LAN端口上的设备认证。在认证过程中,LAN端口作为请求者,LAN端口则负责向认证服务器提交接入服务申请。基于端口的锁定只允许信任的MAC地址向网络中发送数据,而来自任何“不信任”的设备的数据流会被自动丢弃,从而确保最大限度的安全性。
在不支持802.1x协议的网络中,看选配专用硬件设备为强制注册网关。
3.5.硬件接入网关(可选配)
在不完全支持802.1x的网络中可选装硬件接入网关,完成未注册终端访问网页时进行DNS重定向或HTTP重定向,以达到强制注册目的。基于HTTP重定向、DNS重定向等技术,用于强制网络中每台计算机终端必须安装认证客户端程序的服务器,该服务器根据网络环境不同,部署在不同的位置,确保网络中每台终端能够安全认证客户端程序。
4.系统特性
4.1.全面的安全检查
全面支持对客户端主机的各种安全检查,除基本的安全检查项外(补丁、杀毒软件、注册表、进程等),可以有管理员自定义制订检查安全检测任务。
4.2.技术的先进性
系统基于国际化的工业标准,结合北信源网安全管理技术,在构架上从管理、安全、运维等多个方面进行全方位的网络安全保障,功能先进、完善、细致,其中流量分析、统一主机防火墙、统一杀毒软件监控、进程和注册表监控保护等多项桌面安全管理技术均领先业界,部分技术代表了行业的发展方向。
4.3.功能的可扩展性
准入安全检查技术上除了满足客户端安全监控、客户端安全加固、客户端管理等要求之外,还提供多种数据接口和二次开发接口。由于策略结构采用的是XML解释性语言,功能扩展十分迅速方便,可根据实际需要快速进行功能定制,也可根据需要与相关的系统(如网管系统、安全管理平台SOC等)进行联动和数据交换。
4.4.系统可整合性
尤其是对于本系统,类似在终端计算机安装Agent的软件非常多,如防病毒软件、桌面管理软件、远程维护软件、主机审计软件等,如何使这些软件在一台计算机上充分发挥效用,不是简单的功能叠加问题,而是一个软件二次代码扩展开发的问题,必须选择在国具有强大的本地化研发实力的安全软件厂商。
4.5.无缝扩展与升级
北信源网络接入控制管理系统采用C/S与B/S混合模式设计,支持集中式和
分布式部署,确保部署构架的通用性,并具有模块化软件定制的特点,支持标准API,具有无缝功能扩展与平滑稳定升级等优点。同时,系统具有良好的兼容性,能够同现有各种防病毒等终端主机类软件兼容运行。
5.系统功能
5.1.准入身份认证
●支持802.1X协议接入认证:通过对支持此协议的交换机进行管理,配合
RADIUS服务器和认证客户端,利用交换LAN架构的物理特性,实现LAN
端口的设备认证。
●结合北信源接入认证网关,可以支持非网管交换机、集线器等不支持
802.1X协议的网络设备接入的终端,支持设备入网认证。
●系统认证方式支持单用户、多用户、域用户等模式:单用户模式可以保
证终端设备必须安装认证客户端才能接入网络;多用户模式除了保证终
端设备必须安装认证客户端外,还要求用户拥有正确的用户名及口令方
可以接入网络;域用户模式支持系统自动采用域登陆用户密码进行身份
认证,将网络接入认证同域认证有效结成一体。
●系统认证协议支持:支持MD5等多种标准加密认证方式,并可使用自定
义扩展的通讯协议,提供对第三方终端发起的非法认证过滤。
●绑定认证控制:Radius认证支持交换机端口同计算机MAC/IP、用户名绑
定接入控制,可以指定人员及计算机只能在指定交换机的特定端口登陆
接入网络。
●802.1X协议接入认证支持无线网络设备认证,支持远程VPN接入身份认
证,用户通过VPN或者RAS拨号方式远程拨入网络时,必须经过身份认
证方可以接入网络。
●支持DHCP动态IP环境及静态IP网络环境认证。
5.2.完整性检查功能
●支持操作系统(操作系统、IE、应用程序、反病毒升级库等)补丁完整
性检测。
●支持防病毒软件/主机防火墙(业界主流厂家)的安全检测,并能进行新
软件动态增加,必要时可以远程开关/管理主机安全软件。
●支持自定义安全项检测(如进程、服务、软件、文件等)。
●支持安全状态检测(如口令强度、权限、注册表安全等)。
●支持多种安检失败处理方式,如直接进入正常工作区,或者进入正常工
作区后间隔提示用户安全失败。支持当安检失败时直接进入修复VLAN,
或者安全失败后隔离出网络。
●支持自定义周期完整性安全检查,确保工作区域终端的实时安全性。
5.3.安全修复功能
●VLAN隔离修复:系统对于未通过安全检查的终端,自动将其隔离到修复
VLAN,进行安全修复,修复完成后自动进入正常工作VLAN。
●在线隔离修复:系统对于未通过安全检查的终端,可在正常工作VLAN中
进行安全修复,修复过程中只能与特定服务器通讯,访问资源受限。
●修复容支持操作系统补丁安装、杀毒软件安装/运行、病毒库定义/升级、
安全状态修复(如口令强度、权限、注册表安全、流量异常等)。
●当终端安全检查未通过时,管理员可以自定义提示信息或者打开指定
URL地址进行安全修复。
5.4.管理与报表
●安全策略配置管理:完整性安全策略由管理员统一制订,自动分发至认
证客户端执行,策略分发可以灵活设置,根据网络环境和管理进行制订/
执行。
●网络分组管理:支持网络终端主机IP自定义分组,按部门、区域、业务
类型等方式进行划分管理围,为策略分发和客户端管理提供依据。
●认证客户端配置管理:认证客户端运行参数配置可以在策略服务器配置,
管理员可控制认证客户端注册密码、注册人、注册部门等信息填写。
●系统维护管理:支持对系统管理员的分权管理(超级用户、普通用户和
审计用户),为不同级别管理员提供角色权限定义,具有安全性高、可靠
性强,适合集中授权、多角色参与监控的特点。
●报表管理:支持各类数据(认证信息、安全策略、设备状态等)统计,并
能生成多种分析报表,提供丰富的报表模板,按不同部门、不同操作系
统提供报表;报表输出支持以网页的方式展现,提供可在各项查询功能
中跳转,报表输出支持.txt/.htm/.doc等格式,同时可根据需要输出柱
形图、饼图等。系统报表可根据用户定制模板产生各种形式的定制报告,并支持第三方管理工具集成。
●报警处置管理:当系统发生安全事件时候,如非法认证、安检未通过等
事件时候,系统提供声音、图形、短信等报警方式,支持SNMP协议,在
必要时提供相应的MIB库文件、通信规程和编码,能够与其它安全系统
协同工作。系统遵循TCP协议/IP、SNMP、HTTP、FTP等相关的国际标准
或工业标准,支持对网络设备厂商管理工具的集成,具有开放的API接
口。
5.5.终端安全策略设置
北信源网络接入控制管理系统提供强大的终端主机完整性安全检查功能,系统通过准入控制与终端主机安全策略的联动,实现风险主机的自动隔离与修复,从而确保网络的安全运行。
管理员在系统服务器控制台配置的各种终端安全策略,下发到网络合法终端主机执行,终端代理程序自动根据策略检查系统的完整性安全,一旦发现主机存在安全威胁和漏洞,准入注册终端代理程序自动执行隔离/修复操作,将风险终端主机跳转到网络隔离区域或者修复区域。终端完整性安全检查策略:
●主机系统安全:操作系统补丁漏洞、用户名权限变化/弱口令、目录共享、
注册表安全、IP/MAC绑定、防火墙/防病毒软件检测、系统文件/目录保
护等。
●主机应用安全:软件进程/服务监测、黑白软件安装、流量异常等。
●主机行为安全:非法外联监测、非法资源访问控制、资源输入输出控制
等。
●主机安全修复:补丁自动修补、杀毒软件/个人防火墙强制安装、病毒库
自动升级、系统应用程序修补、系统应用配置修改等。
●硬件资产状态合规:资产变化、违规设备启用等。
北信源网络接入控制管理系统采用统一策略管理中心实现对部网络终端完整性安全检查的统一管理。策略管理中心置终端安全防护需要的所有完整性安全检查策略库,提供对计算机终端的安全规则配置,安全功能策略开启/关闭,安全策略执行围/周期设定等一系列安全措施的管理,同时能够很方便的进行策略导入导出。
策略的属性设置是由管理员在策略管理中心中设定,通过设置策略的开启、关闭,执行围、时间周期以及策略级联等参数项实现。
6.典型应用
6.1.802.1x环境应用
北信源网络接入控制管理系统提供对各种支持802.1x协议网络交换机以及无线AP交换设备的准入控制,支持在DHCP动态IP环境及静态IP网络环境下的接入认证。
北信源网络接入控制管理系统通过对交换机和认证终端的配置,支持单用户、多用户、域用户三种方式的密码认证方式,管理员可以自行设置用户名、用户密码。
1)单用户密码认证:网络中计算机可以通过同一进行网络准入认证,由管理员统一设置认证终端的用户名和密码,终端自动发起认证。
2)多用户密码认证:支持终端计算机用户手工填写用户名和密码。
3)域用户密码认证:支持在没有登陆域的情况下进行网络准入认证。
密码认证协议支持MD5等标准加密认证方式。系统支持对超级用户、黑用户的自定义认证方式,超级用户终端始终可以通过系统的认证,而黑用户始终无法
通过认证。系统还提供对第三方终端认证的过滤,防止通过非法终端的认证接入。
基于802.1X协议的认证示意图
注:802.1x协议是基于Client/Server的访问控制和认证协议,能够实现交换机主动认证接入的PC,它可以限制未经授权的用户/设备通过接入端口访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
6.2.非802.1x环境应用
对于很多网络来说,有些接入层设备(如:交换机和HUB)不支持802.1X 协议,无法对网络终端进行准入控制,如果将网络中所有不支持802.1X协议的交换机淘汰掉,或者对所有交换机进行升级的话,将会带来更多的成本支持和维护工作,为此,可以通过选配北信源接入认证网关来实现上述环境的准入控制。北信源接入认证网关支持非网管交换机、集线器等不支持802.1X协议的网络设
备的终端接入认证。
北信源接入认证网关放置在网络出口处或者重要WEB应用服务器前,利用网络终端进行HTTP方式访问外网,或者WEB服务器的同时,对网的终端进行HTTP 重定向强制认证,并进行安全检查,根据检查情况,将网终端访问强制定向到信任区域、修复区域、隔离区域。
6.3.V PN环境应用
对于使用VPN和RAS拨号方式的远程接入企业网的终端,如果没有安装认证客户端,容易成为整个网络管理的遗漏点,这些终端存在很大安全隐患,给安全平静的网络带来病毒、蠕虫、木马等攻击的威胁。
北信源网络接入控制管理系统能够控制远程接入终端对网的访问围,检测远程终端主机是否运行了认证客户端,并进行安全认证;还能通过策略控制对终端进行定期进行认证(如:每N分钟),防止终端合法用户离开后,非授权用户随意访问部资源。
对于使用VPN和RAS拨号方式的远程接入企业网的同样可以进行安全检查;对于没有通过的终端进行修复;同时限定终端对网络资源的访问围,修复后可以进行相应的访问。
6.4.域环境应用
很多单位网络使用域来进行用户身份认证,在域用户身份认证通过后,才能够接入到网络,因此,支持同域服务器的结合,才能实现满足用户的真实身分认证需求。域用户模式支持系统自动采用域登陆用户密码进行身份认证,将网络接入认证同域认证有效结成一体。
终端在没有登陆域的情况下进行网络准入认证,准入客户端程序先行获取终端用户输入的域用户名和密码进行自动认证,802.1X身份认证成功后网络联通,再实现域的身份认证。
一 总体框架 1)系统目标 TnPM的设备管理信息平台(T n P M@E A M) TnPM的设备管理平台的总体目标是:以全系统的预防维修体系为载体,以员工的行为规范为过程,全体人员参与为基础的生产和设备系统的维护、保养和维修体制,保证设备的正常运行,提高设备的运行效率和综合效率以及完全有效生产率。 通过信息系统将设备操作、维护、保养等各种工作要素:从现场管理的6S 管理,6源管理;技术管理的维修策略定义、技术标准制定、技术手册编制;业务处理中检查维护、维修流程、预防性计划维修等;全员参与的现场改善流程、知识管理等,贯穿各个层次,形成以改善为核心的、覆盖设备全寿命周期的、全系统、全员参与的新型设备维护体系。 建立这个系统的目的: z为决策层、管理层提供支持改善的相关数据采集,分析优化的平台 z为标准规范的真正落实执行,提供可操作平台 z为设备管理业务流程提供基于PDCA的闭环控制 系统目标具体如下: ?广度上覆盖全员,全过程参与设备维护,与现场管理紧密结合; ?系统功能完整,业务流程形成闭环控制,建立完善的规范化维护作业体系; ?融入TnPM等先进的管理思想,建立基于SOON体系的点巡检闭环控制体系。 ?建立信息集成平台框架,构成动态设备知识管理体系。 ?构建现场改善活动平台(OPL、6S、六源管理),建立规范的可操作的流程,实行统一管理。 ?构建动态的准确的核心指标收集考核体系,自动采集生成设备运行指标(OEE,TEEP,MTBF,MTBR等)作为持续改善、管理决策的依据 ?建立基于状态监测的故障预防、诊断、处理体系。
2)系统核心构成 基于TnPM的设备管理系统以提高OEE为目标,以技术管理为基础。提供优化和改善业务流程,现场管理的完整平台。系统由技术管理平台、业务管理平台、现场改善与知识管理平台三个部分构成。核心是改善流程。 3)系统概要流程 基本的思路就是从基础的技术管理入手,制定维护策略与各种标准规范,控制设备操作、检查、维护保养、维修全过程;过程中的经验和技巧动态汇集进入知识管理沉淀提升,同时结合现场管理活动,形成持续稳定的推动企业前进的自主创新和改善的强大动力。
智慧科技-计划管理系统 技术白皮书 1产品定位 各级科委目前对科技计划的管理主要采用电子文档化的管理模式。随着业务工作发展与政府服务职能的深化,业务信息的数据量也不断积累和扩大,现有的管理方式对业务工作的支撑力度开始显得不足,主要体现在信息记录的格式缺乏统一性、信息由多人管理较为分散、对信息的查阅和利用不够便捷等。因此,建设科技计划管理系统,利用更为有效的信息化管理手段变得十分必要。 计划管理系统的建设将以实际业务需求为导向,实现科技计划的全生命周期管理,通过信息化手段规范计划管理业务的管理要素和日常工作,并对收集到的各类要素信息进行更为有效的分析利用,为业务人员在计划管理中的综合处理、高效配置、科学决策提供更为有效的支撑。 凭借多年在信息化系统建设领域的丰富实践经验,我们在方案总体设计方面,周密考虑,充分部署,力争在方案的总体架构方面体现先进性、扩展性和实用性。 一方面,根据各级科委具体需求,采用BS应用结构作为整体应用架构,实现安全的信息交换与业务处理; 其次,采用模块化设计的思想,将各个管理环节标准化和规范化,实现业务开展过程的全面推进; 第三,通过完善的后台管理功能,提供灵活的定制服务,满足业务处理的需求。 整个系统设计在考虑了现有信息系统的使用特点以及现阶段的业务需求的同时,还充分考虑了系统的潜在需求,具有先进性和较高的可扩展性。 系统总体框架如下图:
2主要功能 ●计划可研 计划可行性研究阶段,根据计划指南,部门推荐,完成计划科研报告编写(Word和在线),在计划申报系统中进行填报。 可研报告包含企业信息,计划可研书要求的信息等 ●立项管理: 计划管理最关键过程,根据可研报告,进行立项管理过程。 计划立项审查,和全省市计划库中原有计划进行对比,从计划名称、计划建设内容、考核指标、承担单位、计划负责人等各个方面进行比对, 形成相应的客观报告。 专家根据立项审查结果,进行再次审核,最终形成结果,专家随机取自专家系统库,同时各自打分可以网上网下结合进行,保证其公平透明。 ●计划申报: 计划可研和立项管理结束后,将发放计划正式立项通知书。
北信源终端安全管理系统 802.1x准入流程 1.802.1x的认证过程可以描述如下 (1) 客户端(PC)向接入设备(交换机)发送一个EAPoL-Start 报文,开始802.1x认证接入; (2) 接入设备(交换机)向客户端(PC)发送EAP-Request/Identity 报文,要求客户端(PC)将用户名送上来; (3) 客户端(PC)回应一个EAP-Response/Identity给接入设备(交换机)的请求,其中包括用户名; (4) 接入设备(交换机)将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,通过路由器发送给认证服务器; (5) 认证服务器产生一个Challenge,通过接入设备(交换机)将RADIUS Access-Challenge报文发送给客户端(PC),其中包含有EAP-Request/MD5-Challenge; (6) 接入设备(交换机)通过EAP-Request/MD5-Challenge发送给客户端(PC),要求客户端(PC)进行认证 (7) 客户端(PC)收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给接入设备(交换机) (8) 接入设备(交换机)将Challenge,Challenged Password和
用户名一起送到RADIUS服务器,由RADIUS服务器进行认证 (9)RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备(交换机)。如果成功,携带协商参数,以及用户的相关业务属性给用户授权。如果认证失败,则流程到此结束; (10) 如果认证通过,用户通过标准的DHCP协议 (可以是DHCP Relay) ,通过接入设备(交换机)获取规划的IP地址; (11) 如果认证通过,用户正常上网。同时终端图标显示为 。 (12)根据服务器策略进行安检,安检成功不做任何动作。安检不成功则根据策略内容进行客户端限制.只能访问某些特定服务器地址,修复成功后放开限制。 2.终端用户安全安检: 当终端存在安全检查策略时,如下图:
捍卫者内网准入控制系统 内网安全的一个理念就是,要建立一个可信、可控的内部安全网络。内网的终端构成了内网90%以上的组成,当之无愧的成为内网安全的重中之重。因此内网安全的重点就在于终端的管理。管理终端,建立一个可控的内网,至少需要完成以下基本问题的处理: 一、非法接入内网问题 公司内网连接着众多的服务器和终端,运行着OA、财务、ERP 等众多系统和数据库,未通过认证的终端如果随意接入内网,将使这些服务器、系统和重要数据面临被攻击和窃取的危险。 二、非法外联问题 通常情况下,内网和外网之间有防火墙、防病毒墙等安全设备保障内网的安全性,对于保密网络,甚至是要求与外网物理隔绝的。但如果内部人员使用拨号、宽带、GPRS、CMDA等方式接入外网,使内网与外网间开出新的连接通道,外部的黑客攻击或者病毒就能够绕过原本连接在内、外网之间的防护屏障,顺利侵入非法外联的计算机,盗窃内网的敏感信息和机密数据,造成泄密事件,甚至利用该机作为跳板,攻击、传染内网的重要服务器,导致整个内网工作瘫痪。而内部人员也可利用不受监管的非法外联发送或泄漏公司的商业秘密。
三、 使用者上网行为问题 很多公司员工经常使用QQ 、MSN 之类的进行聊天,使用迅雷之类的软件P2P 下载,或上网观看视频,会造成工作效率低下、公司带宽被占用的情况。还有员工登录论坛留言发帖,可能发表非法或恶意信息,使公司受到相关部门的处罚或名誉受损等。 ? 基于安全准入技术的入网规范管理产品 ? 基于非法外联接入的入网规范管理系统 ? 基于可信域认证的内网管理系统 ? 计算机终端接入内外网的身份认证系统 ? 软件及硬件单独或相互联动的多重管理方式 接入 身份验证 合法 安全合规性检查 合规 分配权限入网 是 是拒绝接入否修复 否
快速阅读指南 1.本使用手册为北信源终端安全管理系列产品全功能用户手册,请按照所购买产品对应相关的产品说明进行配置使用(该手册第一、二、三章为终端安全管理产品共有部分,凡购买任何一款终端安全管理产品都应首先详细阅读此三个章节)。 2.详细阅读本软件组件功能、组成、作用、应用构架,确切了解本软件的系统应用。 3.安装准备软件环境:Microsoft SQL Server2000、Windows2000Server、Internet服务管理器。SQL安装注意事项请参照第二章2-3-1所示。建议将数据库管理系统、区域管理器、WEB管理平台安装在同一服务器上,确认区域管理器所在机器的88端口不被占用(即非主域控制器);防火墙应允许打开88,2388,2399,22105,8900,8901,22106,22108,8889端口。 4.按步骤安装各组件后,通过http://*.*.*.*/vrveis登录Web管理平台,首先对Web管理平台进行如下配置:添加区域→划分该区域IP范围→指定区域管理器→指定区域扫描器。 5.双击屏幕右下角区域管理器、单击主机保护进行通讯参数配置。 6.在\VRV\VRVEIS\download目录中,使用RegTools.exe工具修改DeviceRegist.exe文件中的本地区域管理器IP,将修改后的注册程序DeviceRegist.exe放在机构网站上进行静态网页注册,或者在机构网站上加载动态网页检测注册脚本语句,进行动态设备注册。 7.系统升级:联系北信源公司获取最新的软件组件升级包,确保Web管理平台、区域管理器、客户端注册程序等组件的升级。 8.如果本说明书中的插图与实际应用的产品有出入,以实际产品为主。 特别提示:默认管理员用户:admin,密码:123456;系统指定审计用户名:audit,密码:123456请注意修改。
网络准入控制系统集中 式管理方案 GE GROUP system office room 【GEIHUA16H-GEIHUA GEIHUA8Q8-
网络准入系统集中式管理方案1、项目背景 1.1 目前网络安全概况 自从在股份公司和下属分公司在业务系统上大力推广信息化发展策略,目前公司运作的网络是由17家公司的内部网络通过MPLS VPN网络构成的广域网,规模庞大。同时信息技术的快速发展导致信息网络所起的作用越来越巨大,股份公司及下属分公司的连接密度越来越大,人员交流和业务系统的使用网络更为频繁,终端所面临的各种安全问题也越来越突出。各个公司的内网构建因规模大小和建设时间的不同,网络的使用情况也不一样,特别是网络设备的品牌和型号各异,而且员工和访客携带的电脑或者手机终端等可以随意接入公司网络,在信息安全管理上存在很大的管理难度和安全风险。2017年6月1日,《国家网络安全法》颁布,明确要求各单位加强网络安全建设,而且股份公司属于上市公司,在网络安全上必须加强安全防范措施,增加网络准入控制和审计手段,完善公司的信息化安全体系。 1.2 网络架构概况 基于业务需求和网络稳定性需求,整个股份公司的各分支公司都是通过租用联通公司的MPLS VPN专线网络解决公司之间的网络连接,其中股份公司和南沙公司的网络访问需求最大。 MPLS VPN网络拓扑图大概如下: 图1 MPLS VPN 网络拓扑图概图
各公司内网网络架构概图如下图2所示: 图2 各公司内部网络拓扑图概图1.3 各公司的调研情况 经调研统计,各公司的设备使用的情况如下表1:
表1 各公司的网络设备和终端调研表 从表1中可以看出各公司的人员、终端设备和网络设备等等都情况各异,需要从多角度考虑信息安全的管理技术问题和网络准入方案的技术可行性。 1.4 信息安全管理的存在风险 目前,各公司都存在如下的信息安全管理风险: (1)公司内部无法对未授权的外来电脑及智能终端接入内网的行为进行有效的认证控制和管理。外来人员或者员工能够轻易地把终端设备接入到办公网,特别是恶意用户(如黑客,商业间谍)的接入,可能会导致公司机密文件被窃取,或者网络服务器被攻击等等网络安全事件发生,造成严重的后果。随着无线WIFI的普及,私自增加外联WIFI设备用于移动端设备上互联网,内部网络安全更加难以控制管理。如何做到有线和无线WIFI统一的网络入网管理,是安全的重中之重。 (2)篡改终端硬件信息。比如:当某些员工知道领导的IP地址权限比较高的时候,把自己的计算机也设置为领导的IP,于是获取了和领导一样的权限,导致领导身份被假冒,或者和领导使用的计算机造成IP地址冲突而导致被冲突的计算机网络故障,这样会直接影响业务办公。 (3)因为公司内网的很多网络设备是不可管理,当网络内部出现网络安全事件的时候,很难查询到IP地址或者设备MAC地址的使用信息,难以定位到责任人。
ZY-PKM2009 发电企业生产知识管理平台 杭州朝宇科技有限公司 Hangzhou Zhaoyu Technology Co.,Ltd
目录 一、概述................................................................... 3 . 1.1 电力企业生产知识管理的现状和分析 .................................. 3. 1.1.1 电力企业生产知识管理的现状................................... 3. 1.1.2 现有的电力企业知识管理系统为何落不到实处? (3) 1.2 构建生产知识管理平台的必要性 ...................................... 4.. 1.3 应该构建什么样的生产知识管理平台 .................................. 4. 二、ZY-PKM200发电企业生产知识管理平台的特点 (5) 三、ZY-PKM200发电企业生产知识管理平台功能 (7) 3.1知识类别维护......................................................... 7. 3.2 知识上传 .......................................................... 8... 3.3 知识审核评级和统计 ................................................ 9.. 3.4 知识浏览和下载 ................................................... 1..0 3.5 知识检索 ......................................................... 1..0. 3.6 灵活的知识归档 ................................................... 1..1 3.7 完全针对部门用户的权限分配 ....................................... 1.1 3.8 方便的系统参数维护 ............................................... 1..2 四、典型应用案例.......................................................... 1..3.
此处是Logo 数据库审计系统 技术白皮书 地址: 电话: 传真: 邮编:
■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属北京所有,受到有关产权及版权法保护。任何个人、机构未经北京的书面授权许可,不得以任何方式复制或引用本文的任何内容。 ■适用性声明 文档用于撰写XX公司产品介绍、项目方案、解决方案、商业计划书等。
目录 一.产品概述 (1) 二.应用背景 (1) 2.1现状与问题 (1) 2.1.1现状 (1) 2.1.2问题 (1) 2.2需求分析 (3) 2.2.1政策需求 (3) 2.2.1.1《信息系统安全等级保护基本要求》 (3) 2.2.1.2《商业银行信息科技风险管理指引》 (3) 2.2.2技术需求 (4) 2.2.3管理需求 (4) 2.2.4性能需求 (4) 2.2.5环境与兼容性需求 (5) 2.2.6需求汇总 (5) 三.产品介绍 (5) 3.1目标 (5) 3.2产品功能 (6) 3.2.1数据库访问行为记录 (6) 3.2.2违规操作告警响应 (6) 3.2.3集中存储访问记录 (6) 3.2.4访问记录查询 (7) 3.2.5数据库安全审计报表 (7) 3.3产品部署 (7) 3.3.1旁路部署 (7) 3.3.2分布式部署 (8) 3.4产品特性 (9) 3.4.1安全便捷的部署方式 (9) 3.4.2日志检索能力 (9) 3.4.3灵活的日志查询条件 (10) 3.4.4灵活的数据库审计配置策略 (10) 3.4.5数据库入侵检测能力 (10) 3.4.6符合审计需求设计 (11) 四.用户收益 (11) 4.1对企业带来的价值 (11) 4.2全生命周期日志管理 (12) 4.3日常安全运维工作的有力工具 (12)
北信源法院系统终端安全管理系统 解决方案 北京北信源软件股份有限公司 2015年3月
目录 1. 前言 (4) 1.1. 概述 (4) 1.2. 应对策略 (5) 2. 终端安全防护理念 (6) 2.1. 安全理念 (6) 2.2. 安全体系 (7) 3. 终端安全管理解决方案 (8) 3.1. 终端安全管理建设目标 (8) 3.2. 终端安全管理方案设计原则 (8) 3.3. 终端安全管理方案设计思路 (9) 3.4. 终端安全管理解决方案实现 (11) 3.4.1. 网络接入管理设计实现 (11) 3.4.1.1. 网络接入管理概述 (11) 3.4.1.2. 网络接入管理方案及思路 (11) 3.4.2. 补丁及软件自动分发管理设计实现 (16) 3.4.2.1. 补丁及软件自动分发管理概述 (16) 3.4.2.2. 补丁及软件自动分发管理方案及思路 (16) 3.4.3. 移动存储介质管理设计实现 (20) 3.4.3.1. 移动存储介质管理概述 (20) 3.4.3.2. 移动存储介质管理方案及思路 (20) 3.4.4. 桌面终端管理设计实现 (23) 3.4.4.1. 桌面终端管理概述 (23) 3.4.4.2. 桌面终端管理方案及思路 (24) 3.4.5. 终端安全审计设计实现 (35)
3.4.5.1. 终端安全审计概述 (35) 3.4.5.2. 终端安全审计方案及思路 (36) 4. 方案总结 (41)
1.前言 1.1.概述 随着法院信息化的飞速发展,业务和应用逐渐完全依赖于计算机网络和计算机终端。为进一步提高法院信息系统内部的安全管理与技术控制水平,必须建立一套完整的终端安全管理体系,提高终端的安全管理水平。 由于法院信息系统内部缺乏必要管理手段,导致网络管理人员对终端管理的难度很大,难以发现有问题的电脑,从而计算机感染病毒,计算机被安装木马,部分员工使用非法软件,非法连接互联网等情况时有发生,无法对这些电脑进行定位,这些问题一旦发生,往往故障排查的时间非常长。如果同时有多台计算机感染网络病毒或者进行非法操作,容易导致网络拥塞,甚至业务无法正常开展。 建立终端安全管理体系的意义在于:解决大批量的计算机安全管理问题。具体来说,这些问题包括: 实现对法院信息系统内部所有的终端计算机信息进行汇总,包括基本信息、审计信息、报警信息等,批量管理终端计算机并提高安全性、降低日常维护工作量; 实现对法院信息系统内部所有的终端计算机的准入控制,防止外来电脑或违规的电脑接入法院信息系统内部网络中; 实现对法院信息系统内部所有的终端计算机进行补丁的自动下载、安装与汇总,最大程度减少病毒、木马攻击存在漏洞的计算机而导致的安全风险; 实现对法院信息系统内部所有的移动存储设备的统一管理,防止部分人员通过USB设备将法院信息系统大量的机密文件传播出去,同时也极大减少了病毒、木马通过USB设备在网络中传播等情况的发生;
北信源网络接入控制系统 工作原理与功能 北京北信源软件股份有限公司 1
目录 1.整体说明 (3) 2.核心技术 (3) 2.1.重定向技术 (3) 2.2.策略路由准入控制技术 (4) 2.3.旁路干扰准入控制技术 (6) 2.4.透明网桥准入控制技术 (7) 2.5.虚拟网关准入控制技术 (7) 2.6.局域网控制技术 (8) 2.7.身份认证技术 (8) 2.8.安检修复技术 (9) 2.9.桌面系统联动 (9) 3.产品功能对比 (10) 2
1.整体说明 准入网关对接入设备进行访问控制,对于未注册用户进行WEB重定向进行注册;注册后的用户进行认证或安检后可以访问网络; 管理员可以配置采取何种准入控制方式,如策略路由,旁路监听,透明网桥,虚拟网关等;同时可以选择使用不同的认证类型,如本地认证,Radius认证,AD域认证等,而认证途径采取网关强制重定向; 准入网关整体上对准入的控制可分为两类,一类是网关自己控制数据的流通,另一类则是通过配置交换机,让交换机来控制数据包的流通。目前准入网关实现的策略路由和旁路监听,透明网桥等准入控制均属于前者,也就是网关自己通过放行或丢弃、阻断数据包,来达到准入控制,对于数据包的阻断是基于tcp 实现的;而虚拟网关则是通过控制交换机VLAN来达到准入控制; 2.核心技术 为了适应不同业务环境下的统一入网控制,北信源网络接入控制系统采用多种核心技术设计,支持多种准入控制模式,实现从多角度多维度的终端入网安全控制。 2.1. 重定向技术 接入控制的目的是为了阻止不可信终端随意接入网络,对于不可信终端的判定需要一个过程,如何在判定过程中进行良好的提示,这就对产品的人机界面设计提出了较高的要求。业界通常的做法是针对http性质的业务访问进行重定向,以往针对http的业务区分主要基于业务端口(主要为80端口),对于非80业务端口的http业务不能有效区分。针对以上情况,北信源网络接入控制系统对http业务进行了深度识别,除80端口的http业务可以进行有效重定向之外, 3
白皮书 Kmpro3.0 Knowledge Management System 北京深蓝海域信息科技有限公司 https://www.doczj.com/doc/4916504390.html,
目录 一、知识管理系统的诞生背景 (5) (一)常见知识管理困境 (5) (二)知识成为企业重要资产与竞争力 (5) (三)知识管理成为重要发展趋势 (6) 二、知识管理与知识管理系统的概念 (8) 三、知识管理系统与其他软件辨析 (10) 四、KMpro产品简介 (12) 五、Kmpro的IT世界观 (17) (一)知识全生命周期理论 (17) (二)人类获取知识的5大模式 (18) (三)知识的多维度及矩阵式定位模式 (19) (四)知识云理论 (19) (五)双轨知识管理模式 (20) 六、KMpro的解决方案 (21) 七、KMpro产品功能概览 (21) (一)Kmpro3.0技术路线简介 (23) (二)kmpro3.0系统功能介绍 (26) 1、知识需求(知识地图) (26) i.知识树 (26) ii.知识结构地图 (26) iii.知识维度(分类)管理 (27) iv.知识属性管理 (28) 2、知识生产与共享 (29) i.知识模板管理 (29) ii.版本管理 (29) iii.知识创建 (29) iv.知识导入 (29) v.知识输入 (30) vi.知识采集 (30) vii.隐性知识转化 (30) viii.个人知识管理 (30) 3、知识审核 (31) i.知识流程管理 (31) ii.短流程审核 (31) iii.长流程审核 (32) 4、知识获取 (32) i.分类获取 (32) ii.搜索获取 (33) iii.推送获取 (37) iv.关键获取 (39) v.人际获取 (39) 5、知识互动 (40) i.知识点评 (40) ii.知识问答 (40)
EPS档案信息管理系统V3.0 技术白皮书 南京科海智博信息技术有限公司 2013年
目录 1.产品简介 (4) 1.1 文档信息化发展趋势 (4) 1.2 产品研发背景 (4) 1.3系统特点 (5) 2.总体架构 (5) 2.1 产品技术架构 (5) 2.2 产品业务架构 (6) 3.运行环境 (6) 3.1 硬件环境 (6) 3.1.1 服务器配置 (6) 3.1.2客户端配置 (6) 3.1.3存储设备 (7) 3.1.4网络环境 (7) 3.2软件环境 (7) 3.2.1 数据库支持 (7) 3.2.2中间件支持 (7) 3.2.3浏览器支持 (7) 3.2.4 容灾支持 (7) 4.基本功能 (7) 4.1系统管理 (8) 4.2业务管理 (13) 4.3文件收集 (13) 4.4文件整编 (14) 4.5档案管理 (15) 4.6库房管理 (16) 4.7统计信息 (16) 4.8档案利用 (17) 4.9档案编研 (18) 4.10光盘打包 (18)
5.扩展功能 (19) 5.1 企业档案门户集成 (19) 5.2企业年鉴展示 (19) 5.3照片档案展示 (20) 5.4 数据安全控制 (20) 5.5数据一体化接口 (20) 5.6信息提醒接口 (20) 6.技术创新 (21) 6.1文档安全控制 (21) 6.2 全文检索技术 (22) 6.3 光盘打包技术 (23) 6.4工作流技术 (23) 6.5 海量存储技术 (24) 6.6异构数据接口 (24) 6.7系统的可扩展性 (24) 6.8档案管理平台综合业务管理 (24) 7.公司简介 (24)
北信源VRV-BMG终端准入控制系统 产品背景 网络接入控制管理系统能够强制提升企业网络终端的接入安全,保证企业网络保护机制不被间断,使网络安全得到更有效提升。与此同时基于设备接入控制网关,还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。 通过网络接入控制管理系统可以满足企业要求,将设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外;能够覆盖到企业网络的每一个角落,甚至是当使用者拿着他们的移动设备离开企业网络时,仍能有效的提供设备接入控制的执行。网络接入控制管理系统针对所有的网络架构工作,并且不必进行昂贵的网络架构改造。 北信源VRV-BMG终端准入控制系统产品是一款基于内网用户网络行为管理和控制的硬件网关。有如下具体特点: 1)具有网络访问控制、网络行为管理、网页过滤检查、带宽流量管理、综合内容审计等功能。主要用于解决企业内网、行业用户接入互联网或外联网可能引发的各种安全问题。通过对内网用户的网络行为管理和控制,从而解决网络规范访问控制、网页浏览过滤、网络带宽资源滥用,以及对P2P软件、游戏软件、股票软件、即时通信等各种应用软件的管理和控制,并实现对上述各种网络行为的管理和审计功能; 2)采用先进的深度业务识别DSI技术,能够快速识别包括多种流行P2P及其
变种协议、网络流媒体协议、网路游戏、股票软件以及行业用户专用网络协议。深度业务识别DSI技术是在DPI和DFI技术上发展起来的一种新型的7层应用识别技术。由于深度业务识别检测DSI技术基于业务本身的特征而不是报文数据细节,对于检测加密或加扰应用协议具有更高的识别率,特别是对于新增和变种的网络应用和业务类型,DSI更具备良好的适应性; 3)通过系统内置的网络应用业务特征,综合运用继承式应用描述语言HADL,从而允许网络管理者针对不同的内网用户、不同时段,综合企业的实际需求制定适合本企业的网络行为管理规范。继承式应用描述语言HADL通过业务拓扑级——流特征级——报文特征的继承描述关系精确描述某项业务的特征。并突破了原有单一的报文特征或者流特征所带来的误识别问题,从报文、流和业务拓扑3个层次综合描述应用并且精确定位了3中特征之间的关系,从而将DSI 技术更好地贯彻在应用识别产品中; 4)采用领先的知识发现KDT技术(该技术是数据挖掘技术与深度业务识别检测DSI两种技术的结晶,它可以根据不同的业务类型进行有针对性的内容还原解码),能够对邮件内容、聊天内容、网络发帖等综合信息进行安全审计、综合检索和完整备份; 5)部署在企业内网与外网的边界处或者不同的可信安全域之间,完成内网用户跨边界安全行为管理的实施。同时,该产品与北信源终端管理软件还可以通过终端准入控制技术、二次授权访问控制技术、综合行为审计技术、统一策略配置与管理等方面,实现无缝结合与深层联动,从而将企业内网建设成从终端到边界节点的一体化内网安全管理体系,为保障内网从终端到边界安全形成了一道绿色的屏障。 系统管理构架北信源网络接入控制管理系统由以下几部分组成: 1)策略服务器:系统策略管理中心,提供系统的参数配置和安全策略管理。 2)认证客户端:安装在终端计算机,通过用户名和密码向认证服务器发起 认证,实现正常工作区、访客隔离区、安全修复区的自动切换。 3)Radius认证服务器:接收客户端认证请求信息数据包并进行验证。 4)Radius认证系统(交换机) :可网管支持802.1x的网络设备(交换机),接收认证客户端的认证请求数据包与Radius认证服务器完成认证过程。
企业知识管理系统 产品白皮书
2009.5
声明:本文件只供指定用户使用,未经银海天怡公司允许,此文件不得传递至第三方。
Created with Print2PDF. To remove this line, buy a license at: https://www.doczj.com/doc/4916504390.html,/
目录
概述
知识库 系统
系统简介
系统规划
Page 2
Created with Print2PDF. To remove this line, buy a license at: https://www.doczj.com/doc/4916504390.html,/
随着企业组织机构和人员的增加,以及业务领域的拓展,使得随 之产生的大量文档、业务数据等知识元素,分散的沉淀在各个系 统之中
越来越多的知识停留在纸质的 沉淀和分散在各个系统中,知 识搜索和共享非常困难
知识分散度
前端客户服务人员无知识库系 统支撑,业务营销和服务解释 口径不统一
人员数量
Page 3
Created with Print2PDF. To remove this line, buy a license at: https://www.doczj.com/doc/4916504390.html,/
面对呈几何级数增长的大量电子数据信息,企业往往容易走入误 区,利用搜索引擎技术,为企业提供信息查询,满足企业内部的 信息检索
我们应该更多考虑,如何调整散布在各处 的知识片段,如何将知识与人进行自动关 联,如何打破人与人之间的沟通界限,形 成具有企业自身业务需求特点的知识平台
搜索引擎
知识平台
Page 4
Created with Print2PDF. To remove this line, buy a license at: https://www.doczj.com/doc/4916504390.html,/
智能箱管理系统白皮书 2016年
目录 1.系统介绍 (1) 2 系统组网介绍 (1) 2.1 智能设备箱PCB控制板与上位机通讯原理 (1) 2.2 智能设备箱与后台管理平台组网方式 (2) 3.前端智能设备箱介绍 (2) 4 智能设备箱管理系统组成 (4) 5. 智能设备箱管理系统功能介绍 (5) 5.1 平台首页概览 (5) 5.2 智能箱配置管理 (6) 5.3 智能箱设备巡检管理 (6) 5.4 智能箱监测查询 (7) 5.5 系统日志管理 (7) 6.系统运行环境与接口 (7)
1.系单元动设节省2 系 2.1 系统介绍 智能箱管元运行情况设备巡检相省人力成本智能监控箱(1)智能(2)实时(3)及时(4)极大(5)大大(6)远程(7)多重(8)自动系统组网介 智能设备箱管理系统提况进行检测;结合,并可本,提高工作箱的优点:能控制、远程时反映整个系时对发生故障大提高整个监大减轻监控系程重启:可以重防雷措施,动重合:提供介绍 箱PCB 控制图1 智能提供对智能箱可以分级可以与运维平作效率,保 程集中管理系统中摄像障的设备进监控系统中系统的运行以远程操控,防雷模块供一种防护措制板与上位能箱PCB 控制 1 / 9 箱进行配置、分区进行平台进行无保障监控前端理。 像机设备的运进行检修。 中摄像机的在行维护成本,控设备,提供块状态可知,措施和自动位机通讯原理 制板与上位机置、管理、控行管理;可以无缝对接。系端监控设备运行情况。在线率。 ,保障平安供一种解决,提高系统动故障恢复理 机通讯原理图控制及维护以实时上传系统提供远程备正常运行。 安城市的建设决故障的手段统的可靠性的方法,减图 护;可以对系传告警信息与程监控和管。 设与发展。段。 。 减少人工参与 系统与主管理, 与。
终端安全配置管理系统 技术白皮书 国家信息中心
目录 第一章终端安全配置管理系统简介 (1) 1.1 为什么要做终端安全配置 (1) 1.2 机构如何实现机构高效的终端安全配置管理 (2) 1.3 终端安全配置管理系统技术优势 (3) 第二章终端安全配置管理系统逻辑结构 (5) 第三章终端安全配置管理系统功能 (7) 第四章终端安全配置基线介绍 (9) 4.1 基线概述 (9) 4.2 终端硬件安全配置 (9) 4.3 终端软件安全配置 (10) 4.4 终端核心安全配置 (11) 第五章系统应用方案 (14) 5.1 应用架构 (14) 5.2 实施流程 (16) 5.3 运行环境要求 (16) 第六章技术支持服务 (18) 附录一W INDOW7操作系统安全配置清单(示例) (19) 附录二国家信息中心简介 (24) i
第一章终端安全配置管理系统简介 1.1 为什么要做终端安全配置 在构成信息系统的网络、服务器和终端三要素中,对终端的攻击和利用终端实施的窃密事件急剧增多,终端安全问题日益突显。攻击和窃密是终端安全的外部原因,计算机系统存在缺陷或漏洞、系统配置不当是终端安全的内部原因。外因通过内因起作用,内因是决定因素。据调查,针对系统核心的攻击中,5%是零日攻击,30%是没有打补丁,65%是由于错误的配置。因此正确的安全配置才是保障终端安全性的必要条件。 计算机终端核心配置最早由美国联邦政府提出,称为联邦桌面核心配置计划(FDCC)。该计划由美国联邦预算管理办公室(OMB)负责推动,旨在提高美国联邦政府计算机终端的安全性,并实现计算机管理的统一化和标准化。美国空军最先实施桌面标准配置并取得了良好的应用效果。2007年,美国联邦政府强制规定所有使用Windows的计算机必须符合FDCC的配置要求。 近年来,我国逐步认识到终端安全配置管理对于加强计算机终端安全保障工作的重要作用,对美国联邦政府实施的桌面核心配置进行了跟踪研究,并开展了我国终端安全配置标准的研制工作。多家科研院所和安全厂商参与了相关研究工作,其中,国家信息中心是国内最早开展终端安全配置研究的单位之一,目前已编制完成政务终端安全核心配置标准草案,并开发出一整套标准应用支撑工具—终端安全配置管理系统。该系统在各地方的试点应用取得了明显的成效。 终端安全配置分为硬件安全配置、软件安全配置和核心安全配置,如图1所示。分别介绍如下: 硬件安全配置:根据计算机硬件列装的安全要求,仅可安装符合规定的硬件和外联设备,关闭存在安全隐患的接口以及驱动,以满足政府机构和大型企业对硬件环境的安全需求。包括计算机部件清单、外联设备清单、外联接口安全配置和硬件驱动安全配置; 软件安全配置:根据计算机软件安装的安全要求,仅可安装符合规定的操作系统和软件,禁止非法软件安装,以满足政府机构和大型机构对软件环境的安全需求。包括应安装软件列表、可安装软件列表和禁止安装软件列表; 核心安全配置:对终端操作系统、办公软件和浏览器、邮件系统软件、其它常用软件等与安全有关的可选项进行参数设置,限制或禁止存在安全隐患或漏洞的功能,启用
机房线路管理系统 -CVMS 一、当前现状 机房线路及设备管理现状 ?采用手工记录管理现有线缆标识、线路连接关系 ?缺乏统一的资料管理平台 ?网络物理线路查询困难 ?人员变更交接资料繁琐 ?缺乏规范的管理流程 ?无法清楚的了解网络设备的配置和资源使用状况 ?维护效率低,增加维护成本 为什么我们推出软件形式的机房线路管理系统? ?提高企业/政府/教育/金融IT管理部门的效 率 ?解脱繁琐的传统文档管理工序 ?迅速诊断和定位网络问题 ?提升内部安全性能 ?极为合理的投资成本 ?实现管理图形化和数字化 ?纯软件系统对线路及网络硬件没有任何不良影响 智邦(知微?)机房线路管理系统是对机房系统中设备的维护信息和连接信息进行图形化管理,把图形、数据和连接关系三种对象紧密的结合,为管理员提供一个直观、易用的图形化管理平台。
二、系统特点 CVMS 是一套专业的机房线路管理软件,通过创建“可视化数据库”,将信息和图形有机结合,能帮助企业更好地规划、管理和维护其物理网络、通信、视频、监控及布线基础设施。 基于B/S(浏览器/服务器)结构模型,客户端以浏览器的web 页面形式运行; 系统后台采用SQL Server数据库; 纯软件架构,不需要对现有的网络和硬件进行任何改动; 管理界面友好、精美、简单、功能强大、操作灵活; 可实行跨地域管理和分工管理; 数据和图形相结合; 图形定位快捷; 设备、线缆、终端链路关联处理; 文档、设备、线路连接统一管理,建立完整的技术管理平台; 通过操作日志、管理权限、角色管理来实现对操作人员的管理; 线缆线标的管理使您的管理能精确到每一根线缆; 通过派工单管理,规范机房线路系统的维护工作流程。 三、应用范围 广泛应用于政府、军队、金融、税务、烟草、交通、教育、医疗、能源、电信、广电、司法、电力等多个行业 四、功能模块 1.数据采集 该模块的主要功能是对整个项目的内容进行录入,建立项目数据库。 模块特点: 以目录树的形式自上而下对项目内容进行逐步录入 上传楼层或区域平面图,使每个端口或信息点都可以在楼层平面图上的准确物理位 置以闪烁的形式标明 由机柜信息自动生成机柜和设备模拟图,并确定设备在机柜中的位置 定义信息点、终端设备的类型和内容 建立设备之间的连接关系,生成链路关系模拟图 支持数据批量录入,支持多人同时分工录入 支持线缆线标的批量录入
北信源内网安全解 决方案 1
XXXX 终 端 安 全 管 理 解 决 方 案 北京北信源软件股份有限公司 -03-22 目录 1、前言 ................................................................................. 错误!未定义书签。 2、需求分析 ......................................................................... 错误!未定义书签。
2.1、XXXX信息系统现状........................................... 错误!未定义书签。 2.2、XXXX网络终端管理需求................................... 错误!未定义书签。 2.3、XXXX网络终端安全管理系统需求分析........... 错误!未定义书签。 3、北信源终端安全管理解决方案..................................... 错误!未定义书签。 3.1、VRVEDP系统概述............................................... 错误!未定义书签。 3.3、网络接入管理系统 ............................................... 错误!未定义书签。 3.3.1、ARP阻断隔离 ............................................. 错误!未定义书签。 3.3.2、接入设备审核及有效期.............................. 错误!未定义书签。 3.3.3、802.1X认证方式......................................... 错误!未定义书签。 3.3.4、接入控制网关(硬件) ................................... 错误!未定义书签。 3.4、内网安全管理系统 ............................................... 错误!未定义书签。 3.4.1、终端注册管理.............................................. 错误!未定义书签。 3.4.2、IP/MAC绑定策略 ....................................... 错误!未定义书签。 3.4.3、IT资产管理 ................................................. 错误!未定义书签。 3.4.4、终端流量管理.............................................. 错误!未定义书签。 3.4.5、进程限制策略.............................................. 错误!未定义书签。 3.4.6、互联网访问控制.......................................... 错误!未定义书签。 3.4.7、防病毒策略.................................................. 错误!未定义书签。 3.4.8、软件安装限制.............................................. 错误!未定义书签。 3.4.9、多线程计算机远程维护平台...................... 错误!未定义书签。 3.4.10、防火墙策略................................................ 错误!未定义书签。 3