下载文档原格式
北信源内网安全管理系统用户使用手册北京北信源软件股份有限公司二〇一一年支持信息在北信源内网安全管理系统使用过程中,如您有任何疑问都可以通过访问我公司网站或者致电我司客服中心获得帮助和支持!热线支持:400-8188-110客户服务电话:0/86/87在您使用该产品过程中,如果有好的意见或建议的话也请联系我们的客服中心,感谢您对我公司产品的信任和支持!正文目录图目录表目录第一章概述特别说明北信源终端安全管理系列产品由《北信源内网安全管理系统》、《北信源补丁及文件分发管理系统》、《北信源主机监控审计系统》、《北信源移动存储介质使用管理系统》、《北信源网络接入控制管理系统》及《北信源接入认证网关》6大套件构成。
本手册内容将随着北信源软件的不断升级而改变(以光盘中电子版发行时为最新版),恕不另行通知。
需要者请从北信源公司网站下载本手册的最新电子版或者直接联系北信源公司索取。
本手册与本系统的安装配置手册中的所有图片均为示意图,请以实际产品为准。
本使用手册为北信源终端安全管理系列产品通用说明书。
若您独立购买《北信源内网安全管理系统》或《北信源补丁及文件分发管理系统》等其中之一产品,本说明书的其它功能将不具备。
感谢您购买北京北信源软件股份有限公司研制开发的北信源终端安全管理系列产品。
请在使用本软件之前认真阅读本使用手册,当您开始使用该软件时,北信源公司认为您已经阅读了本使用手册。
产品构架北信源终端安全管理产品由8部分组成:WinPcap程序、SQL Server管理信息库(安装包:环境初始化程序)、Web中央管理配置平台(安装包:网页管理平台)、区域管理器(安装包:Region Manage,原区域扫描器已作为模块集成到区域管理器)、客户端注册程序(安装包:注册程序)、补丁下载服务器、管理器主机保护模块、报警中心模块。
环境初始化程序SQL Server管理信息库,建立北信源终端安全管理产品的初始化数据库。
初始化的信息包括:网络客户端设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、注册(未注册)机器信息、设备属性变化信息、报警信息等。
北信源网络接入控制管理系统产品白皮书北信源软件股份声明本手册的所有容,其属于北信源软件股份(以下简称北信源公司)所有,未经北信源许可,任何人不得仿制、拷贝、转译或任意引用。
本手册没有任何形式的担保、立场倾向或其他暗示。
商标声明本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。
产品声明本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异,由此可能产生的差异为正常现象,相关问题请咨询北信源公司技术服务人员。
免责声明若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,北信源公司及其员工均不承担任何责任。
目录1.系统概述 (4)2.系统架构 (4)3.系统组成 (6)3.1.策略服务器 (6)3.2.认证客户端 (6)3.3.Radius认证服务器 (7)3.4.Radius认证系统 (7)3.5.硬件接入网关(可选配) (8)4.系统特性 (8)4.1.全面的安全检查 (8)4.2.技术的先进性 (8)4.3.功能的可扩展性 (8)4.4.系统可整合性 (9)4.5.无缝扩展与升级 (9)5.系统功能 (9)5.1.准入身份认证 (9)5.2.完整性检查功能 (10)5.3.安全修复功能 (10)5.4.管理与报表 (11)5.5.终端安全策略设置 (12)6.典型应用 (13)6.1.802.1x环境应用 (13)6.2.非802.1x环境应用 (14)6.3.VPN环境应用 (15)6.4.域环境应用 (15)1.系统概述北信源网络接入控制管理系统能够强制提升企业网络终端的接入安全,保证企业网络保护机制不被间断,使网络安全得到更有效提升。
与此同时,还可以对于远程接入企业部网络的计算机进行身份、唯一性及安全认证。
通过网络安全准入控制不仅能够将终端设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外,还能够覆盖到企业网络的每一个角落,甚至是当使用者的移动设备离开企业网络时,仍能有效的提供终端设备接入控制的执行。
北信源电子文档安全管理产品技术白皮书北京北信源软件股份有限公司目录第一章产品概述........................................................................................................................ - 1 -1.1 产品背景...................................................................................................................... - 1 -1.2 产品定位...................................................................................................................... - 2 -1.3 设计理念...................................................................................................................... - 2 - 第二章产品简介........................................................................................................................ - 3 - 第三章系统架构........................................................................................................................ - 4 -3.1 系统架构概述.............................................................................................................. - 4 -3.2 系统架构...................................................................................................................... - 4 -3.2.1 企业内网构架.................................................................................................... - 4 -3.2.2 广域网构架........................................................................................................ - 5 - 第四章产品功能与特点............................................................................................................ - 6 -4.1文档生命期全程保护................................................................................................... - 6 -4.2 安全策略制定.............................................................................................................. - 7 -4.2.1 自定义密钥........................................................................................................ - 7 -4.2.2 进程指纹识别.................................................................................................... - 7 -4.2.3 可信进程策略.................................................................................................... - 8 -4.2.4 自定义的身份认证............................................................................................ - 9 -4.2.5 邮件自动解密策略.......................................................................................... - 10 -4.3 密级管理.................................................................................................................... - 11 -4.4 策略授权加密............................................................................................................. - 11 -4.5 主动授权.................................................................................................................... - 12 -4.5.1 文档授权.......................................................................................................... - 12 -4.5.2 加密文档外发(离线授权).......................................................................... - 13 -4.6 文件集中安全保护.................................................................................................... - 14 -4.7 全程操作审计............................................................................................................ - 15 -4.5.1 文档授权审计.................................................................................................. - 15 -4.5.2 授权访问审计.................................................................................................. - 16 -4.5.3 文档操作审计.................................................................................................. - 16 -4.5.4 文档打印审计.................................................................................................. - 16 -4.5.5 文档管理用户登录审计.................................................................................. - 16 -4.5.6 权限申请审计.................................................................................................. - 17 -4.8 审批管理.................................................................................................................... - 17 -4.8.1 用户申请权限审批.......................................................................................... - 17 -4.8.2 文档解密权限审批.......................................................................................... - 17 -4.9 用户管理.................................................................................................................... - 18 -4.10 文档备份与归档...................................................................................................... - 18 -4.11 水印信息跟踪技术.................................................................................................. - 18 -4.12 软件系统安全保护技术.......................................................................................... - 18 -4.13 支持所有操作系统.................................................................................................. - 19 -4.14 与北信源内网安全系统完美结合.......................................................................... - 19 - 第五章关键技术...................................................................................................................... - 19 -5.1 驱动层透明加密........................................................................................................ - 19 -5.2 驱动层文档控制技术................................................................................................ - 21 - 第六章典型案例...................................................................................................................... - 21 -第一章产品概述1.1 产品背景随着互联网在中国的高速发展,越来越多的中国企业进入了信息化办公时代。
北信源网络接入控制系统工作原理与功能北京北信源软件股份有限公司1目录1.整体说明 (3)2.核心技术 (3)2.1.重定向技术 (3)2.2.策略路由准入控制技术 (4)2.3.旁路干扰准入控制技术 (6)2.4.透明网桥准入控制技术 (7)2.5.虚拟网关准入控制技术 (7)2.6.局域网控制技术 (8)2.7.身份认证技术 (8)2.8.安检修复技术 (9)2.9.桌面系统联动 (9)3.产品功能对比 (10)21.整体说明准入网关对接入设备进行访问控制,对于未注册用户进行WEB重定向进行注册;注册后的用户进行认证或安检后可以访问网络;管理员可以配置采取何种准入控制方式,如策略路由,旁路监听,透明网桥,虚拟网关等;同时可以选择使用不同的认证类型,如本地认证,Radius认证,AD域认证等,而认证途径采取网关强制重定向;准入网关整体上对准入的控制可分为两类,一类是网关自己控制数据的流通,另一类则是通过配置交换机,让交换机来控制数据包的流通。
目前准入网关实现的策略路由和旁路监听,透明网桥等准入控制均属于前者,也就是网关自己通过放行或丢弃、阻断数据包,来达到准入控制,对于数据包的阻断是基于tcp 实现的;而虚拟网关则是通过控制交换机VLAN来达到准入控制;2.核心技术为了适应不同业务环境下的统一入网控制,北信源网络接入控制系统采用多种核心技术设计,支持多种准入控制模式,实现从多角度多维度的终端入网安全控制。
2.1. 重定向技术接入控制的目的是为了阻止不可信终端随意接入网络,对于不可信终端的判定需要一个过程,如何在判定过程中进行良好的提示,这就对产品的人机界面设计提出了较高的要求。
业界通常的做法是针对http性质的业务访问进行重定向,以往针对http的业务区分主要基于业务端口(主要为80端口),对于非80业务端口的http业务不能有效区分。
针对以上情况,北信源网络接入控制系统对http业务进行了深度识别,除80端口的http业务可以进行有效重定向之外,3针对非80端口的http业务也能进行有效的识别和重定向。
北信源内网安全管理系统北信源内网安全管理系统可分为五个软件包组合销售,全方位地为网络用户提供安全管理功能。
这五个软件包具体为:基本产品包、终端桌面管理产品包、终端安全管理产品包、网络主机运维产品包、非法外联管理产品包。
基本产品包基本产品包主要包含终端基本管理、IT资产管理、事件报表及报警处置、第三方接口联动(可扩展)等功能。
1.终端基本管理1)终端注册管理2)IP和MAC绑定管理3)禁止修改网关、禁用冗余网卡管理4)未注册终端拒绝入网管理(软阻断技术)2.IT资产管理1)硬件资产管理2)软件资产管理3)软、硬件设备信息变更管理3.事件报表及报警处置1)终端信息数据统计分类管理2)图形化信息数据输出管理3)用户自定义组态报表输出及查询管理4)报警结果处置管理5)安全事件源远程阻断管理4.第三方接口联动(可扩展)1)PKI/CA认证联动接口2)防火墙联动接口3)网管软件联动接口4)安全管理平台联动接口5)其它第三方接口●终端桌面管理产品包1)终端流量管理2)进程运行黑白名单控制3)进程保护管理4)进程执行汇总5)终端服务管理6)软件黑白名单控制7)软件安装汇总8)终端消息推送9)远程协助管理10)外设及端口控制11)垃圾文件清理12)终端点对点管理13)系统自动关机管理14)终端时间同步管理●终端安全管理产品包1)桌面密码权限管理2)可网管配置的统一防火墙3)终端防网络攻击管理4)终端杀毒软件管理5)终端安全等级管理6)IE安全设置7)恶意软件免疫8)注册表监控/保护9)终端在线/离线策略管理●网络主机运维产品包1)运行资源监控2)流量异常监控3)进程异常监控4)客户端文件备份非法外联管理产品包1)内部终端非法接入互联网行为监控2)离网终端非法接入互联网行为监控3)内部终端非法接入其它网络行为监控4)内部终端非法外联行为告警和网络锁定5)内部终端非法外联行为取证北信源补丁及文件分发管理系统●产品背景近些年来,蠕虫病毒和木马病毒的频繁爆发给全球网络运行乃至经济都造成了严重影响,之所以这些蠕虫能造成如此危害,是因为利用了操作系统或者应用程序的漏洞。
V R V e d p北信源内网管理系统用户使用手册 Document number【980KGB-6898YT-769T8CB-246UT-18GG08】北信源内网安全管理系统用户使用手册北京北信源软件股份有限公司二〇一一年支持信息在北信源内网安全管理系统使用过程中,如您有任何疑问都可以通过访问我公司网站或者致电我司客服中心获得帮助和支持!热线支持:400-8188-110客户服务电话:0/86/87在您使用该产品过程中,如果有好的意见或建议的话也请联系我们的客服中心,感谢您对我公司产品的信任和支持!正文目录图目录表目录第一章概述特别说明北信源终端安全管理系列产品由《北信源内网安全管理系统》、《北信源补丁及文件分发管理系统》、《北信源主机监控审计系统》、《北信源移动存储介质使用管理系统》、《北信源网络接入控制管理系统》及《北信源接入认证网关》6大套件构成。
本手册内容将随着北信源软件的不断升级而改变(以光盘中电子版发行时为最新版),恕不另行通知。
需要者请从北信源公司网站下载本手册的最新电子版或者直接联系北信源公司索取。
本手册与本系统的安装配置手册中的所有图片均为示意图,请以实际产品为准。
本使用手册为北信源终端安全管理系列产品通用说明书。
若您独立购买《北信源内网安全管理系统》或《北信源补丁及文件分发管理系统》等其中之一产品,本说明书的其它功能将不具备。
感谢您购买北京北信源软件股份有限公司研制开发的北信源终端安全管理系列产品。
请在使用本软件之前认真阅读本使用手册,当您开始使用该软件时,北信源公司认为您已经阅读了本使用手册。
产品构架北信源终端安全管理产品由8部分组成:WinPcap程序、SQL Server管理信息库(安装包:环境初始化程序)、Web中央管理配置平台(安装包:网页管理平台)、区域管理器(安装包:Region Manage,原区域扫描器已作为模块集成到区域管理器)、客户端注册程序(安装包:注册程序)、补丁下载服务器、管理器主机保护模块、报警中心模块。
BTNM网络运维管理系统v3.0技术白皮书上海北塔通讯网络科技发展有限公司2006年3月目录一、前言 (4)二、信息基础设施管理 (5)2.1、企业信息网络基础设施管理的特点 (6)2.1.1企业信息系统架构(EIA)的综合管理 (6)2.1.2、跨厂商跨平台的统一管理 (6)2.1.3、纯设备、局部管理意义有限 (6)2.1.4、基础设施管理以运行维护管理为主 (7)2.1.5、安全管理是重头 (8)2.1.6、管理的效益 (8)2.2、BTNM的特点与定位 (9)2.2.1、BTNM特点-关注产品的管理效率 (9)2.2.2、BTNM定位-运行维护管理 (9)三、BTNM架构 (11)3.1、BTNM系统架构 (11)3.2、层次化管理模型 (11)3.3、分布式授权管理 (12)3.4、异地远程管理 (12)3.5、运行环境及要求 (13)3.5.1、运行平台需求 (13)3.5.2、网络设备及相关需求 (13)3.5.3、服务器管理的要求 (14)3.5.4、pc桌面管理的要求 (14)3.5.5、流量分析功能的要求 (14)1、Dataflow (14)2、Netflow (14)3、Sflow (15)四、综合管理方案 (16)4.1、物理拓扑管理 (16)4.2、网络设备管理 (17)4.3、服务器系统管理 (21)4.4、数据库及中间件管理 (22)4.5、pc桌面系统管理 (24)4.6、环境保障管理 (25)4.7、电源保障管理 (26)4.8、数据记录与运维报告 (27)4.9、流量分析-数据安全管理 (29)4.10、用户授权-系统安全管理 (31)4.11、IP地址管理-地址薄 (31)4.12、日志管理 (32)4.13、IT资产管理 (33)4.14、事件管理 (33)4.14.1、事前的运维管理 (33)4.14.2、全面的告警监视 (34)4.14.3、灵活的通知方式 (35)4.15、syslog Server (36)4.16、IP-Accounting (36)五、系统特点 (40)5.1、易于使用 (40)5.2、易于部署 (40)5.3、灵活扩展 (40)5.4、分级管理 (40)一、前言21世纪,是个变革的时代。
北信源网络接入控制管理系统产品白皮书北京北信源软件股份有限公司版权声明本手册的所有内容,其版权属于北京北信源软件股份有限公司(以下简称北信源公司)所有,未经北信源许可,任何人不得仿制、拷贝、转译或任意引用。
本手册没有任何形式的担保、立场倾向或其他暗示。
商标声明本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。
产品声明本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异,由此可能产生的差异为正常现象,相关问题请咨询北信源公司技术服务人员。
免责声明若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,北信源公司及其员工均不承担任何责任。
目录1.系统概述 (4)2.系统架构 (4)3.系统组成 (6)3.1.策略服务器 (6)3.2.认证客户端 (6)3.3.Radius认证服务器 (7)3.4.Radius认证系统 (7)3.5.硬件接入网关(可选配) (8)4.系统特性 (8)4.1.全面的安全检查 (8)4.2.技术的先进性 (8)4.3.功能的可扩展性 (8)4.4.系统可整合性 (9)4.5.无缝扩展与升级 (9)5.系统功能 (9)5.1.准入身份认证 (9)5.2.完整性检查功能 (10)5.3.安全修复功能 (10)5.4.管理与报表 (11)5.5.终端安全策略设置 (12)6.典型应用 (13)6.1.802.1x环境应用 (13)6.2.非802.1x环境应用 (14)6.3.VPN环境应用 (15)6.4.域环境应用 (15)1.系统概述北信源网络接入控制管理系统能够强制提升企业网络终端的接入安全,保证企业网络保护机制不被间断,使网络安全得到更有效提升。
与此同时,还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。
通过网络安全准入控制不仅能够将终端设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外,还能够覆盖到企业网络的每一个角落,甚至是当使用者的移动设备离开企业网络时,仍能有效的提供终端设备接入控制的执行。
北信源网络接入控制管理系统可以保护整个企业内部网络,包括可管理的(企业台式机、手提电脑、服务器)以及不可管理的(外部访客、合作伙伴、客户)终端安全接入内部网络,保护网络接入的安全性。
2.系统架构网络准入控制能够勾勒企业终端接入的安全基线,屏蔽一切不安全的设备和人员接入网络,规范用户接入网络的行为。
对于未安装终端代理软件或已安装终端代理软件但不符合安全策略要求(防病毒软件、病毒特征库升级、补丁、系统安全设置、违规软件等)的终端设备,能够禁止其访问网络,或进行网络VLAN 隔离,并主动对其安全修复。
北信源网络准入控制管理系统策略架构由安全检查、接入认证和安全修复三个方面实现。
其模型如下图:网络接入控制安全访问模型安全检查根据系统进程、文件、注册表等设置的检查结果来判断:➢用户身份是否合法➢主机防火墙是否安装并运行➢防病毒软件是否安装并运行,病毒特征库是否及时更新➢操作系统关键安全补丁是否安装➢操作系统安全配置是否妥当➢是否感染特定病毒实体➢是否安装违规软件接入认证根据上述检查结果,通过服务器和网络设备以及终端PC联动来决定:➢拒绝终端/用户接入➢容许终端/用户接入➢隔离终端/用户(单机隔离, VLAN隔离)➢限制终端/用户访问权限安全修复在隔离或限制接入的情况下,还可以通过自动修复来恢复正常的网络访问权限。
修复的内容包括:➢自动开启IE,连接内部安全网站上相关的提示页面➢自动分发病毒专杀工具➢自动升级病毒特征库➢自动分发操作系统关键补丁➢自动纠正错误的系统配置3.系统组成北信源网络接入控制管理系统由策略服务器、认证客户端、Radius认证服务器、Radius认证系统,以及硬件接入网关(可选)几部分组成。
3.1. 策略服务器策略服务器是本系统的策略管理中心,提供系统的参数配置和安全策略管理。
安全策略管理包括802.1x协议接入认证、安全检查策略定义的配置、策略制订分发、网络分组、认证客户端配置、数据报表输出等任务。
3.2. 认证客户端认证客户端安装在终端计算机,根据用户名和密码向认证服务器发起认证,能够根据策略服务器分发的安全策略对终端主机进行安全检查,依据获取的主机的安全状态,配合认证系统,实现工作区、隔离区、修复区的自动切换。
网络接入认证控制示意图3.3. Radius认证服务器Radius认证服务器用于接收客户端认证请求信息数据包并进行验证,根据网络环境可使用微软的IAS,CISCO ACS或LINUX FREE RADIUS等系统。
3.4. Radius认证系统Radius认证系统为可网管支持802.1x的网络设备(交换机),由该认证系统接收认证客户端的认证请求数据包与Radius认证服务器完成认证过程。
802.1x利用了交换LAN架构的物理特性,实现了LAN端口上的设备认证。
在认证过程中,LAN端口作为请求者,LAN端口则负责向认证服务器提交接入服务申请。
基于端口的锁定只允许信任的MAC地址向网络中发送数据,而来自任何“不信任”的设备的数据流会被自动丢弃,从而确保最大限度的安全性。
在不支持802.1x协议的网络中,看选配专用硬件设备为强制注册网关。
3.5. 硬件接入网关(可选配)在不完全支持802.1x的网络中可选装硬件接入网关,完成未注册终端访问网页时进行DNS重定向或HTTP重定向,以达到强制注册目的。
基于HTTP重定向、DNS重定向等技术,用于强制网络中每台计算机终端必须安装认证客户端程序的服务器,该服务器根据网络环境不同,部署在不同的位置,确保网络中每台终端能够安全认证客户端程序。
4.系统特性4.1. 全面的安全检查全面支持对客户端主机的各种安全检查,除基本的安全检查项外(补丁、杀毒软件、注册表、进程等),可以有管理员自定义制订检查安全检测任务。
4.2. 技术的先进性系统基于国际化的工业标准,结合北信源内网安全管理技术,在构架上从管理、安全、运维等多个方面进行全方位的网络安全保障,功能先进、完善、细致,其中流量分析、统一主机防火墙、统一杀毒软件监控、进程和注册表监控保护等多项桌面安全管理技术均领先业界,部分技术代表了行业的发展方向。
4.3. 功能的可扩展性准入安全检查技术上除了满足客户端安全监控、客户端安全加固、客户端管理等要求之外,还提供多种数据接口和二次开发接口。
由于策略结构采用的是XML解释性语言,功能扩展十分迅速方便,可根据实际需要快速进行功能定制,也可根据需要与相关的系统(如网管系统、安全管理平台SOC等)进行联动和数据交换。
4.4. 系统可整合性尤其是对于本系统,类似在终端计算机安装Agent的软件非常多,如防病毒软件、桌面管理软件、远程维护软件、主机审计软件等,如何使这些软件在一台计算机上充分发挥效用,不是简单的功能叠加问题,而是一个软件二次代码扩展开发的问题,必须选择在国内具有强大的本地化研发实力的安全软件厂商。
4.5. 无缝扩展与升级北信源网络接入控制管理系统采用C/S与B/S混合模式设计,支持集中式和分布式部署,确保部署构架的通用性,并具有模块化软件定制的特点,支持标准API,具有无缝功能扩展与平滑稳定升级等优点。
同时,系统具有良好的兼容性,能够同现有各种防病毒等终端主机类软件兼容运行。
5.系统功能5.1. 准入身份认证●支持802.1X协议接入认证:通过对支持此协议的交换机进行管理,配合RADIUS服务器和认证客户端,利用交换LAN架构的物理特性,实现LAN端口的设备认证。
●结合北信源接入认证网关,可以支持非网管交换机、集线器等不支持802.1X协议的网络设备接入的终端,支持设备入网认证。
●系统认证方式支持单用户、多用户、域用户等模式:单用户模式可以保证终端设备必须安装认证客户端才能接入网络;多用户模式除了保证终端设备必须安装认证客户端外,还要求用户拥有正确的用户名及口令方可以接入网络;域用户模式支持系统自动采用域登陆用户密码进行身份认证,将网络接入认证同域认证有效结成一体。
●系统认证协议支持:支持MD5等多种标准加密认证方式,并可使用自定义扩展的通讯协议,提供对第三方终端发起的非法认证过滤。
●绑定认证控制:Radius认证支持交换机端口同计算机MAC/IP、用户名绑定接入控制,可以指定人员及计算机只能在指定交换机的特定端口登陆接入网络。
●802.1X协议接入认证支持无线网络设备认证,支持远程VPN接入身份认证,用户通过VPN或者RAS拨号方式远程拨入网络时,必须经过身份认证方可以接入网络。
●支持DHCP动态IP环境及静态IP网络环境认证。
5.2. 完整性检查功能●支持操作系统(操作系统、IE、应用程序、反病毒升级库等)补丁完整性检测。
●支持防病毒软件/主机防火墙(业界主流厂家)的安全检测,并能进行新软件动态增加,必要时可以远程开关/管理主机安全软件。
●支持自定义安全项检测(如进程、服务、软件、文件等)。
●支持安全状态检测(如口令强度、权限、注册表安全等)。
●支持多种安检失败处理方式,如直接进入正常工作区,或者进入正常工作区后间隔提示用户安全失败。
支持当安检失败时直接进入修复VLAN,或者安全失败后隔离出网络。
●支持自定义周期完整性安全检查,确保工作区域终端的实时安全性。
5.3. 安全修复功能●VLAN隔离修复:系统对于未通过安全检查的终端,自动将其隔离到修复VLAN,进行安全修复,修复完成后自动进入正常工作VLAN。
●在线隔离修复:系统对于未通过安全检查的终端,可在正常工作VLAN中进行安全修复,修复过程中只能与特定服务器通讯,访问资源受限。
●修复内容支持操作系统补丁安装、杀毒软件安装/运行、病毒库定义/升级、安全状态修复(如口令强度、权限、注册表安全、流量异常等)。
●当终端安全检查未通过时,管理员可以自定义提示信息或者打开指定URL地址进行安全修复。
5.4. 管理与报表●安全策略配置管理:完整性安全策略由管理员统一制订,自动分发至认证客户端执行,策略分发可以灵活设置,根据网络环境和管理进行制订/执行。
●网络分组管理:支持网络终端主机IP自定义分组,按部门、区域、业务类型等方式进行划分管理范围,为策略分发和客户端管理提供依据。
●认证客户端配置管理:认证客户端运行参数配置可以在策略服务器配置,管理员可控制认证客户端注册密码、注册人、注册部门等信息填写。
●系统维护管理:支持对系统管理员的分权管理(超级用户、普通用户和审计用户),为不同级别管理员提供角色权限定义,具有安全性高、可靠性强,适合集中授权、多角色参与监控的特点。
