技术白皮书-网络卫士主机监控与审计系统TopDesk-V3.0-SS-20110728
- 格式:pdf
- 大小:4.53 MB
- 文档页数:16
主机审计与监控系统V1.5技术白皮书北京博睿勤技术进展有限公司Beijing Bring Technology Development Co.,Ltd目录一系统简介 (1)1.1系统概述 (1)1.2系统结构 (1)二要紧功能 (4)2.1概述 (4)2.2操纵功能 (5)2.2.1 硬件资源操纵 (5)2.2.2 软件资源操纵 (6)2.2.3 移动存储设备操纵 (6)2.2.4 IP与MAC地址绑定 (6)2.3监控功能 (7)2.3.1 进程监控 (7)2.3.2 服务监控 (7)2.3.3 硬件操作监控 (8)2.3.4 文件系统监控 (8)2.3.5 打印机监控 (8)2.3.6 非法外联监控 (9)2.3.7 计算机用户账号监控 (9)2.4审计功能 (9)2.4.1 文件操作审计 (10)2.4.2 外挂设备操作审计 (10)2.4.3 非法外联审计 (10)2.4.4 IP地址更改审计 (10)2.4.5 服务、进程审计 (11)2.5系统治理功能 (11)2.5.1 代理状态监控 (11)2.5.2 安全策略治理 (11)2.5.3 主机监控代理升级治理 (12)2.5.4 计算机注册治理 (12)2.5.5 实时报警 (12)2.5.6 历史信息查询 (13)2.5.7 统计与报表 (13)2.6其它辅助功能 (13)2.6.1 资产治理 (13)2.6.2 补丁分发 (13)2.6.3 操作系统日志收集 (14)三要紧特色 (15)3.1系统部署方式灵活、安装方便 (15)3.2操纵、监控与审计结合,全方位防止泄密 (15)3.3高性能、高可靠性 (15)3.4主机代理安装卸载方便 (16)3.5监控模块可动态加载与卸载 (16)3.6自动升级 (16)3.7灵活的分级治理架构 (16)3.8完善的自爱护机制 (17)3.9丰富的报表、报表类型灵活多样 (17)3.10高兼容性 (17)3.11系统通信安全性 (17)3.12多方位的主机资源信息治理功能 (18)四系统要紧性能参数 (19)五系统配置要求 (20)一系统简介1.1 系统概述博睿勤公司《主机审计与监控系统V1.5》是北京博睿勤技术进展有限公司依照安全计算机通常出现的安全情况,独立研发的一款专门针对安全计算机系统进行操纵、监控和审计的安全产品。
目录第一章系统简介 (1)第二章产品功能 (2)1.1 系统模块 (2)1.2 技术优点 (2)1.2.1 零拷贝技术 (2)1.2.2 全面检查各种病毒 (2)1.2.3 能够查获未知病毒引擎 (3)1.2.4 支持千兆网络的863.3M处理能力 (3)1.2.5 检测口无IP地址 (3)1.2.6 完善的升级机制和迅速更新的特征库 (3)1.2.7 独有的智能分析技术 (3)1.2.8 安全事件的关联分析 (3)1.2.9 迅速定位安全事件相关IP地址的物理位置 (4)1.2.10 详细的安全事件信息 (4)1.2.11 完善安全事件报告系统 (4)1.2.12 集中管理和控制 (6)第三章典型应用案例 (8)第四章技术支持 (9)第一章系统简介瑞星网络安全预警系统集病毒扫描、入侵检测和网络监视功能于一身,它能实时捕获网络之间传输的所有数据,利用内置的病毒和攻击特征库,通过使用模式匹配和统计分析的方法,可以检测出网络上发生的病毒入侵、违反安全策略的行为和异常现象,并在数据库中记录有关事件,作为事后分析的依据。
瑞星网络安全预警系统的目标是:全面,准确,高效,稳定,安全,快速。
全面是指能检测已知的各种病毒和攻击;准确是指检测的结果准确,误报率低;高效是指检测引擎的运行效率高,由于现在的网络带宽越来越宽,只有高效的引擎才能在检测时不丢包;稳定是指系统运行稳定可靠;安全是指预警系统自身的安全,由于引擎中保存了大量检测到的敏感信息,因此对其自身的保护是十分重要的;快速是指对新的漏洞和新的攻击方法反应快,系统升级简便。
第二章产品功能1.1 系统模块反病毒探针:基于瑞星的病毒查获“流引擎”,通过网络虚拟机对网络数据报文进行完整的数据重组和恢复,实时监测网络中的病毒数据, 通过病毒事件接口将病毒信息报告给管理控制中心。
入侵检测探针:对网络中的异常行为和攻击行为进行探测和监控,通过攻击事件接口将检测到的攻击信息报告给管理控制中心。
天融信产品白皮书网络卫士日志审计系统TA-L系列日志审计平台TA-L天融信网络卫士安全审计系统日志审计平台TA-L为不同的网设备及系统提供了统一的日志管理分析平台,打破了企业中不同设备及系统之间存在的信息鸿沟。
系统提供了强大监控能力,实现了从网络到设备直至应用系统的监控。
在对日志信息的集中、关联分析的基础上,有效地实现了全网的安全预警、入侵行为的实时发现、入侵事件动态响应,通过与其它设备的联动来实现动态防御。
天融信日志审计系统主要由日志代理、安全审计中心、日志数据库、审计系统管理器四个部分组成。
1.日志代理收集各种操作系统、网络设备、安全设备、应用程序,过滤后发送给安全审计中心处理。
2.日志审计中心接收日志代理和各种设备、系统转发的日志信息,集中保存在日志数据库,通过审计系统管理器将结果呈现给用户。
3.日志数据库保存各种日志信息、系统配置信息等。
4.审计系统管理器提供给用户一个方便、直观的管理接口。
通过管理器用户可以查看日志、报表等各种信息。
海量日志的集中处理工具全面支持安全设备 (如防火墙,IDS、AV)、网络设备 (如Router、Switch)、应用系统 (如WEB、Mail、F tp、Database)、操作系统 (如Windows、Linux、Unix) 等多种产品及系统日志数据的收集和分析。
安全状况的全面监控帮助管理员对网络事件进行深度的挖掘分析,系统提供多达300多种的报表模板,支持管理员从不同角度进行网络事件的可视化分析。
同时系统还支持对网络设备、主机、系统应用、多种网络服务的全面监视。
隐患漏洞的不断发现提供全局安全视图,帮助管理员发现网络、系统及应用中存在的安全漏洞和隐患,并进行不断改进。
安全事件的及时响应可自定义安全事件的危险级别,并实现基于EMAIL,铃声、手机短信等多种响应方式。
先进的多级架构设计TA-L采用业界领先的多级架构设计,系统具有良好的网络适应性和伸缩性;支持多套系统级联部署,上级系统能方便地管理下级系统,系统可以非常方便、快捷地部署在大型复杂的网络环境中,有效的解决了含有NAT等复杂网络中事件的收集和审计问题。
各系列产品概述:1.防火墙系列十几年来,天融信专注于信息平安,国首家开发出自主知识产权的防火墙系统,率先提出TOPSEC联动技术体系,领先的TopASIC自主平安芯片,在不断的技术创新中网络卫士防火墙引领了包过滤、应用代理、核检测等突破性变革,目前已进入以自主平安操作系统TOS (Topsec Operating System) 为根底,以完全容检测为标志的全新技术阶段,形成了适用于中小企业级到电信级各种网络应用需求的NGFW4000、NGFW4000-UF系列60多个型号的防火墙产品。
网络卫士防火墙系统集成了防火墙、IPSEC VPN、SSL VPN、带宽管理、防病毒、入侵防御、容过滤等多种平安功能;用户可根据实际需求灵活选择针对行业应用特点及不同性能的产品。
目前天融信防火墙已在政府、金融、电信、教育、能源、交通等各行业普遍应用。
据TOPSEC统计:遍布全国的29810多个网络和业务在其保护下平稳运行。
据权威数据机构IDC、CCID统计,天融信已连续十多年在网络平安硬件市场处于领先地位。
2.网络卫士VPN系统作为国最早从事信息平安产品研发生产的专业平安厂商,天融信自2000年开场向国市场提供VPN产品,历经近十年的技术积累与市场考验,目前网络卫士VPN系统包括IPSEC VPN、VONE(IPSEC/SSL VPN多合一网关)两大系列,向用户提供成熟、完善的高性能VPN 接入方案;拥有包括政府、金融、能源、物流、连锁效劳等行业在的两万余名用户。
国家部委全球工程的实施、NPD产品开发流程及ISO9001质量体系的成功实践,验证着天融信VPN 产品凭借卓越的品质与技术进入了国际领先行列。
自主知识产权的TOS〔Topsec Operating System〕系统平台,采用开放性系统架构及模块化设计,融合了数据加密、身份认证、访问控制等平安手段,使网络卫士VPN产品具有平安、高效、易于管理和扩展等特点。
V i s g r e a t桌面管理系统D e s k t o p3技术白皮书伟思国瑞信息技术有限公司2009年10月版权声明福州伟思国瑞信息技术有限公司有权随时更改文件的内容,恕不另行通知。
除非另外注明,否则文件范例中所使用的公司、人名,以及数据都是虚构的。
没有福州伟思国瑞信息技术有限公司的许可,您不得为任何目的而使用任何形式或方法(包括电子的或机械的),复制或传送文件的任何部分。
福州伟思国瑞信息技术有限公司对于其应用程序、商标、版权或文件中所涵盖的其它知识产权拥有专利或正在申请专利中。
除非取得福州伟思国瑞信息技术有限公司的书面授权合约,否则不得擅用文件中的专利、商标、版权或其它知识产权。
此文件为通用手册,产品规格如有变更,恕不另行通知。
版权所有©福州伟思国瑞信息技术有限公司目录1.网管人员的困境 (4)2.DESKTOP解决之道 (6)2.1功能简介 (6)2.1.1资产管理 (6)2.1.2应用程序管理 (6)2.1.3设备禁用管理 (7)2.1.4软件分发/补丁管理 (7)2.1.5远程管理 (7)2.1.6网络访问管理 (7)2.1.7文件访问管理 (8)2.1.8客户端管理 (8)2.1.9报表中心 (8)2.2系统结构 (8)3.技术特点 (10)3.1极小的资源占用 (10)3.2高效率的网络通信 (10)3.3与操作系统的紧密结合 (11)3.4客户端自动升级 (11)3.5良好的兼容性 (11)4.运行环境 (12)5.实施DESKTOP的收益 (13)5.1软硬件资产一目了然 (13)5.2规范应用程序的使用 (13)5.3提高机密文件的安全性 (14)5.4凸现自动化管理的整体效益 (14)5.5快速灵活响应业务变化 (14)1 网管人员的困境近年来,互联网的高速发展,催生了企业网络信息化的进程,推动了经济的发展,同样也带来了黑客利益焦点的转移。
利益焦点从外网转移到内网,正由于这些转移,也就导致了恶意攻击受到这些吸引,产生了一些新兴的攻击方法,给内网安全带来了新的安全威胁。
天融信产品白皮书网络卫士入侵防御系统 TopIDP系列网络卫士入侵防御系统 TopIDP天融信公司为了满足市场上用户对入侵防御产品的需求,推出了“网络卫士入侵防御系统TopIDP”。
它是基于新一代并行处理技术开发的网络入侵防御系统,通过设置检测与阻断策略对流经TopIDP的网络流量进行分析过滤,并对异常及可疑流量进行积极阻断,同时向管理员通报攻击信息,从而提供对网络系统内部IT资源的安全保护。
TopIDP采用天融信自主研发的TOS操作系统和多核处理器的硬件平台,保证了TopIDP 产品更高性能地对网络入侵进行防护。
TopIDP能够阻断各种非法攻击行为,比如利用薄弱点进行的直接攻击和增加网络流量负荷造成网络环境恶化的DoS攻击等。
入侵防御策略库随时防护目前业内最流行的入侵攻击行为。
与现在市场上的入侵防御系统相比,TopIDP系列入侵防御系统具有更高的性能、更细的安全控制粒度、更深的内容攻击防御、更大的功能扩展空间、更丰富的服务和协议支持,代表了最新的网络安全设备和解决方案发展方向,堪称网络入侵检测和防御系统的典范。
强大的高性能多核并行处理架构TopIDP产品采用了先进的多核处理器硬件平台,将并行处理技术成功地融入到天融信自主知识产权操作系统TOS(Topsec Operating System)系统,集成多项发明专利,形成了先进的多核并发运算的架构技术体系。
在此基础上的TopIDP产品具有高速的数据并行检测处理和转发能力,能够胜任高速网络的安全防护要求。
图1 多核CPU内部运算示意图●精确的基于目标系统的流重组检测引擎传统的基于单个数据包检测的入侵防御产品无法有效抵御TCP流分段重叠的攻击,任何一个攻击行为通过简单的TCP流分段组合即可轻松穿透这种引擎,在受保护的目标服务器主机上形成真正的攻击。
TopIDP产品采用了先进的基于目标系统的流重组检测引擎,首先对到达的TCP数据包按照其目标服务器主机的操作系统类型进行流重组,然后对重组后的完整数据进行攻击检测,从而从根源上彻底阻断了TCP流分段重叠攻击行为。
网络卫士主机监控与审计系统技术白皮书目录第一章前言 (1)第二章产品概述 (1)2.1产品架构 (2)2.2设计依据 (3)第三章功能简介 (3)3.1统一安全策略管理 (3)3.2集中补丁管理及软件分发 (3)3.3终端行为监控 (3)3.4终端系统状态监控 (4)3.5非法外联监控 (5)3.6非法内联监控 (5)3.7终端设备监控 (5)3.8移动存储介质管控 (5)3.9文件监控及网络共享监视 (5)3.10终端敏感信息检查 (5)3.11终端流量监控 (6)3.12安全审计 (6)3.13安全报警 (6)3.14资产管理 (7)3.15与天融信TopAnalyzer的完美整合 (7)3.16系统管理责权分立 (7)第四章产品优势与特点 (7)第五章产品性能指标 (7)第六章运行环境与部署 (8)6.1运行环境 (8)6.2产品应用部署 (8)6.2.1局域网应用部署 (8)6.2.2广域网应用部署 (9)第七章产品资质 (10)第八章关于天融信 (10)第一章前言随着计算机网络技术的飞速发展与应用,各行业信息化办公已经得到普及。
各单位经过多年的信息化建设,单位内部网络应用日益复杂,主要体现在网络分布广泛、终端数量庞大、业务应用系统越来越多。
虽然大部分单位都部署了防火墙、漏洞扫描等网络边界安全设备,但是由于业务运行保密性需求越来越高,边界防御产品无法对员工的个人行为进行管制,网络中的终端PC的安全运行无法得到保障,使得单位内部网络想日常运营存在重大的安全隐患,内部网络中的大量敏感信息也受到严重威胁。
来自网络内部终端PC的安全威胁成为众多安全管理者需要面临的新问题,主要体现在以下几方面:1)移动办公设备、终端PC以及存储介质随意接入内网该如何防范。
2)内网中的涉密设备非法连接外网该如何防范。
3)网络中占用大量带宽的终端如何才能及时发现。
4)如何及时发现网络中的终端设备的系统漏洞并自动分发、安装补丁。
天融信产品白皮书网络卫士终端管理系统TSM-TopDesk系列网络卫士终端管理系统 TSM终端安全管理平台 TopDesk作为网络卫士安全管理系统(TSM)的重要组成部分,TopDesk终端管理系统(简称TopDesk)是一款综合性的终端管理软件产品,能对局域网内部的网络行为进行全面监管,检测和维护桌面系统的安全。
TopDesk通过对行为监管、系统监管和安全状态检测,采用统一策略下发并强制策略执行的机制,实现对局域网内部桌面系统的管理和维护,从而有效地保护用户系统安全和机密数据安全。
集中策略管理依据自身网络状况,制定并有效地实施全局、局部功能策略,实现真正的全局安全策略统一。
对终端接收的策略进行强制执行,如果没有有效策略,则终端不能正常使用网络,有效避免威胁产生。
与TopAnalyzer系统的联动能够与TopAnalyzer无缝结合。
既可以将TopDesk的报警事件统一发送给TopAnalyzer,由TopAnalyzer进行深度的自动关联分析;也可以接收并执行TopAnalyzer发送给TopDesk 的智能联动指令,使终端可以自动响应全局的安全策略。
基于角色的权限管理支持多用户、多角色管理机制。
通过设置不同的系统角色,实现对系统资源的分权限管理,不同的用户角色拥有不同的管理权限。
审记、管理两权平等,互为监督,互不干涉,互不管理。
系统认证具备自我防护和审记能力,能够有效地防止蛮力攻击等。
企业级补丁自动部署方案通过设置补丁策略,能够实时、方便的实现对企业网络内终端系统的补丁进行自动检测,并能够实现推或拉两种方式的自动部署安装,极大减轻系统管理员的工作强度。
全面的外存设备管理TopDesk能够限制终端系统上的软驱、光驱、U盘、移动硬盘等外存设备的使用,对使用操作进行详细记录,能有效避免机密外泄。
详细的文件操作监视TopDesk能够对终端系统上所有机密文件读写、拷贝、删除等操作进行实时监控,详细记录对机密文件的操作,为企业的审计工作提供帮助。