产品简介一、准入控制系列产品1、北信源网络接入控制管理系统产品背景北信源网络接入控制管理系统能够强制提升企业网络终端的接入安全,确保企业网络保护机制的连续性,实现企业网络安全从质到量的提升.同时,通过与北信源接入控制网关的联动,还可以实现对远程接入企业内部网络的终端进行身份唯一性及安全性认证.通过北信源网络接入控制管理系统可以满足企业对终端接入网络的安全性要求,将终端接入控制覆盖到企业网络的每一个角落.同时,使得终端接入控制不再依赖于具体的网络或通信设备,甚至是当使用者拿着他们的移动设备离开企业网络时,仍能有效执行对终端下发的接入控制策略.北信源网络接入控制管理系统不需要对现有网络结构进行改造便可进行部署,具备简单、方便、安全、易扩展的特性.系统功能描述1)基于的终端接入认证管理;2)外部终端接入访问限制;3)外部终端接入身份认证;4)杀毒软件检测及访问限制;5)补丁自动检测及访问限制;6)进程、服务、注册表信息检测及访问限制;7)未达到预定义安全级别接入访问限制.系统功能特点1)全面支持市场主流交换机;2)可以实现无线接入认证;3)可以与用户现有AD域或LDAP进行联动认证;4)可以实现终端异地漫游的自动接管认证;5)可以实现终端认证数据检测,防止虚假第三方认证.系统管理构架北信源网络接入控制管理系统由以下几部分组成:1策略服务器:系统策略管理中心,提供系统的参数配置和安全策略管理.2认证客户端:安装在终端计算机,通过用户名和密码向认证服务器发起认证,实现正常工作区、访客隔离区、安全修复区的自动切换.3Radius认证服务器:接收客户端认证请求信息数据包并进行验证.4Radius认证系统交换机:可网管支持的网络设备交换机,接收认证客户端的认证请求数据包与Radius认证服务器完成认证过程.5可选配强制注册网关硬件:在不完全支持的网络中可选装强制注册网关,完成未注册终端访问网页时进行DNS重定向或HTTP重定向,以达到强制注册目的.图1网络接入访问控制产品2、北信源虚拟隔离接入控制系统产品背景常用的网络接入技术是基于协议或网关形式来实现.接入认证对环境要求稍高,有些网络设备不支持协议,如HUB设备;而网关接入认证,在限制外部终端对内部终端访问时存在安全防御的真空.针对如上问题,北信源虚拟隔离接入控制技术应运而生,在不改变原有网络结构的同时,对新接入的网络设备进行有效管理.系统功能描述1)不改变现有网络配置,实现终端网络访问控制;2)隔离并保护注册终端,使未注册终端无法和其通信;3)隔离并保护服务器区域,防止未注册终端随意访问;4)通过安全检查机制,对未安装杀毒软件、漏打补丁终端进行隔离;5)未注册终端接入网络后,隔离并被重定向到注册界面.系统管理架构北信源虚拟隔离接入控制系统由以下几部分组成:1)策略服务器VRVEDP Server:系统策略管理中心,提供系统的参数配置和安全策略管理.2)客户端VRVEDP-Agent:安装在终端计算机上,接收EDP服务器策略,并执行策略.判定是否是注册计算机,起到隔离阻断的作用.产品3、北信源接入认证网关产品概述北信源接入认证网关是一款部署简便、使用灵活的网络准入/准出控制产品.使网络管理员能在允许用户进入网络前、访问外部网络前,对有线、无线和远程用户进行验证、授权.能够阻止未授权计算机越权访问网络资源.系统管理构架北信源接入认证网关整体解决方案包括三个组件:北信源接入网关—根据终端注册及策略情况提供访问权限.在用户未注册前,他们均被禁止访问可信网络,或进行HTTP、DNS等重定向强制注册.区域管理器—管理服务器、检查规则及策略,基于Web的中央控制台.北信源客户端程序—客户端程序代理、执行安全修复、身份认证功能.系统功能描述北信源接入认证网关与北信源内网安全管理系统结合可以完成网络终端注册和网络访问授权等工作,使得未注册客户端无法访问受限网络.使网络管理员能在允许用户进入网络前,对用户及其机器进行验证、授权.该安全产品能够:1)对未注册终端进行访问网络权限控制,可进行HTTP、DNS等重定向强制注册;2)确认用户、用户设备和他们在网络中的身份;3)对于终端设备网络连接流量进行控制;4)该产品能向通过局域网、无线局域网、广域网或虚拟专用网连接的设备应用网络准入控制.产品具有为所有运行环境执行策略的独特能力,无需其他独立产品或模块.功能特点多种身份验证服务北信源接入认证网关具备终端特征验证、用户名口令验证、混合身份验证等多种身份验证机制.管理员通过策略方便设定.能维护具有不同许可级别的用户群体.集中管理基于Web管理控制台为每个用户定义所需的策略类型,一个区域管理器可以管理多个接入网关.灵活的部署模式提供最广泛的部署模式,能适用于任意客户网络.客户能将该产品作为虚拟或实际IP网关,部署在边缘或中央,提供第二层或第三层客户端接入,或部署在DNS服务器前作为强制注册用的DNS网关.二、补丁分发系列产品1、北信源补丁及文件分发管理系统产品背景:近些年来,蠕虫病毒和木马病毒的频繁爆发给全球网络运行乃至经济都造成了严重影响,之所以这些蠕虫能造成如此危害,是因为利用了操作系统或者应用程序的漏洞.补丁的安装普遍会遇到以下的问题:普通用户技术知识水平有限,造成了计算机系统漏洞经常不能得到及时的修补,甚至长期不修补;网络维护人员为每台机器安装补丁耗时巨大;物理隔离网络用户必须使用移动存储设备从外网将补丁导入并安装,麻烦且带来信息泄漏和病毒传入的风险;每个终端补丁安装均从外网下载补丁造成网络资源消耗过大;用户随意下载补丁导致补丁来源不统一带来的风险.消除漏洞的根本办法就是安装软件补丁,每一次大规模蠕虫病毒的爆发,都提醒人们要居安思危,打好补丁,做好防范工作,补丁越来越成为安全管理的一个重要环节.黑客技术的不断变化和发展,留给管理员的时间将会越来越少,在最短的时间内安装补丁将会极大地保护网络和其所承载的机密,同时也可以使更多的用户免受蠕虫的侵袭.对于机器众多的用户,繁杂的手工补丁安装已经远远不能适应大规模网络的管理,必须依靠新的技术手段来实现对操作系统的补丁自动修补.因此,如何利用有效技术手段来及时、持续、稳定的安装计算机补丁,是所有网络安全管理人员、信息安全决策人员亟需解决的问题.系统功能概述北信源补丁及文件分发管理系统是北信源公司在为国家各大部委机关、各大行业网络用户进行病毒安全服务、总结安全运营保障经验的基础上,分析当前网络客户端实际安全管理要求研发的,系统支持推、拉两种方式自动下载补丁.整个补丁管理运行平台构架是:通过北信源外网补丁下载服务器及时从补丁厂商网站获取最新补丁;然后补丁经过安全测试后,通过补丁分发管理中心服务器对网络用户进行分发安装;补丁安装支持自动和手动两种方式.系统功能描述:1)互联网补丁自动下载;2)补丁完整性和安全性测试;3)补丁增量更新导入;4)补丁库建立和分类;5)终端补丁自动检测;6)补丁策略制定分发和自动分发;7)终端补丁流量控制和代理转发技术;8)补丁自动修复及查询统计;9)未打补丁情况汇总统计;10)补丁安装情况汇总统计;11)已安装补丁自动卸载;12)文件分发及文件自动执行;13)文件分发安装结果统计.网络应用直接连接互联网的网络:通过补丁下载服务器将补丁下载至补丁分发服务器.物理隔离网络:在互联网网络上安装补丁下载服务器模块,通过补丁下载增量分离工具,区分内网已导入和未导入的补丁,将最新补丁导入内网补丁分发服务器.系统组件北信源补丁及文件分发管理系统依据客户端注册优势,提供补丁检测、安装等远程功能.客户端访问网络WEB站点,根据页面自动弹出提示进行注册,注册程序将在系统中实时运行,检测补丁安装状况,并上报给补丁控制中心.补丁控制中心提供补丁策略制订、补丁文件直接分发,补丁测试提供对软件厂商新发布补丁的前期测试,严格测试后才可以配发到网络客户端,保障客户端补丁安装安全性.系统可按照网段、补丁类型进行补丁配置分发,支持漏打补丁、特殊补丁的推送下发;通过自定义分网段、分区域的补丁下载升级设定策略,以及转发代理技术,避免造成网络堵塞,合理控制网络带宽.图 1 补丁管理系统功能构架系统构架该系统贴近用户对网络、网络终端管理的要求,适用于局域网、广域网等多种构架.标准构架小型网络:在局域网中全面部署应用北信源补丁及文件分发管理系统,包括各种功能模块:补丁下载、补丁分析、补丁策略分发制订、文件分发、客户端补丁监测、漏洞补丁扫描、补丁分发控制台等.级联构架大型网络:对于网络分布广泛、规模庞大,并且拥有多个网络管理中心的广域网,北信源补丁及文件分发管理系统支持在标准构架上建立多级级联模式,实现下级网络补丁管理系统从上级补丁管理系统自动获取补丁,以及相关补丁审计、系统组件升级功能.三、介质管理系列产品1、北信源移动存储介质使用管理系统移动存储介质数据交换引发的安全问题移动存储介质,如U盘、移动硬盘等,因其体积小、容量大等优点,已得到广泛应用.作为数据交换的主要手段之一,移动存储介质正成为数据和信息的重要载体,但是我们也应该看到,移动存储设备在给我们带来极大方便的同时,也给我们带来了不少的安全隐患,主要如下:1.涉密计算机接入非涉密移动存储设备;2.非涉密计算机使用涉密移动存储设备;3.移动存储介质的数据交互审计;4.外来移动存储介质随意接入问题;5.移动存储介质丢失导致信息泄漏;6.移动存储介质的使用信息无法追踪审计问题;7.移动存储介质接入区域限制和控制问题;8.病毒、恶意代码通过移动存储介质传播问题.技术特点及应用1、分级权限控制通过对移动存储介质写入两种不同控制权限及功能的标签,来实现分级权限的控制,并对指定范围内的终端授权,通过策略与标签的配合来实现对移动存储介质的控制.注,对移动存储介质格式化无法去除标签.普通标签:写入普通标签后,在管理区域内根据策略的设置,来限制移动存储介质的读、写功能;如果在管理区域外使用移动存储介质认证,则不限制移动存储介质认证读、写功能.加密标签:写入加密标签后将普通移动存储介质U盘、移动硬盘等分为二个可控制的区域:交换区、保密区.涉密网络可只生成保密区.交换区和保密区启动均需输入独立的密码,数据在二个区存储时均以加密方式存储,这两个区的具体应用如下:1在涉密网络中或高要求的办公网络中,可只生成保密区一个区.该保密区只能在有对应安全策略的主机上通过认证标签后、同时输入正确密码才能访问,同时有安全策略的主机可以根据策略控制未经标签认证的移动存储介质的使用.2在普通办公网络中,可生成交换区、保密区二个区.保密区的使用方法,可与上述涉密网络或高要求的办公网络相同.交换区的使用方法,可以根据用户需要,在内部网络中通过策略限制使用方式,交换区在外网使用时同样要输入密码方可使用,保密区在外网不可见.2、审计功能完善1 提供移动存储介质上所有文件操作的详细记录包括文件的创建、复制、删除、读写和重命名等操作,具体包括文件名、审计描述、时间、用户名、计算机IP地址和其他必要的信息.2 提供移动存储介质的插入和拔出动作的详细记录具体包括事件类型、移动存储介质的名称、用户、计算机IP地址、事件时间等.系统功能描述1.移动存储设备分设备、网段等接入认证管理,保障指定设备读写指定移动存储设备的访问控制管理;2.移动存储介质数据读写控制管理;3.移动存储介质标签认证管理;4.移动存储介质分区交换区和保密区管理;5.移动存储介质的加密管理,防止保密区的敏感信息外泄;6.移动存储介质接入行为审计;7.移动存储介质数据交换行为审计管理,可针对文件后缀名等条件;8.提供详细的文件操作详细审计记录:包括文件的创建、复制、删除、修改和重命名等操作,包括文件名、审计描述、时间、用户名、计算机IP地址和其他必要的信息;9.提供详细的移动存储设备的插入和拔出动作的详细记录,具体包括事件类型、移动存储介质的名称、用户、计算机IP地址和事件时间.系统管理构架北信源移动存储介质管理系统和其它系统均采用相同的管理构架,由服务端制订统一的策略,分发给客户端执行.系统有USB标签制作工具,通过对移动存储介质制作标签可以实现对移动存储介质中的数据进行保护和加密,对移动存储介质进行使用范围授权,访问控制等综合的管理.移动存储介质使用管理系统可以将整个移动存储介质划分成交换区和保密区两部分,保护区需要通过密码认证才可以访问.系统具体使用管理构架如下:1、系统服务器端:系统管理中心基于web页面管理方式,管理员登陆和配置后系统才能运行.能够自动发现网络中的终端计算机,并检测终端计算机是否安装系统客户端程序,管理中心内置移动存储管理策略中心和报警中心,提供对网络终端的分组管理设置.2、系统客户端:安装在终端计算机,接收系统管理中心分发的策略,根据接受策略实时监控接入终端计算机移动存储设备的操作行为和状态,并进行管理或者控制;系统客户端注册以后,即使离开所在网络或不处于任务网络中,仍实时受到移动存储管理策略控制,日志记录于本地,一经连接回网络,则自动上报日志信息给服务器.3、专用移动存储设备注册工具:移动存储介质经过网管人员注册包括打标签、设置访问密码工具认证后,该移动存储介质才能在网络中使用.使用者在使用时必须输入使用密码后才能使用.系统以数据为中心,用户作为数据的使用者,主机作为数据的存储者,移动存储介质作为数据的迁移者,在系统范围内均赋予唯一的标识,三者进行相互认证.只有经认证和授权成功后,才保证合法的用户在合法的机器上访问合法移动存储介质上的数据,并形成详尽的日志供审计.产品2、北信源安全U盘系统系统功能描述1)遵循标准USB设备的使用流程,所有安全功能对用户透明;2)采用专用控制模块防止U盘介质非授权格式化;3)结合北信源移动存储介质使用管理系统,可实现多种方式的接入控制,具体详见移动存储介质使用管理系统相关介绍;4)从原理上杜绝病毒自动传播无法利用操作系统直接对U盘存储区文件进行读写,防止病毒拷入U盘导致病毒传播;5)支持基于角色的细粒度强访问控制机制,采用可定制的数据访问和审计策略,提供数据的多级多域安全防护;6)采用安全容器技术,实现信息的存储和传输安全,保证信息内容本身的应用审计安全;7)可对信息的分发路径进行全程跟踪,结合自主采集的多维主机指纹采集技术,从而对通过U盘的数据交换行为进行全方位的细粒度审计;8)审计信息记录在U盘本地的审计区,以供分析;9)支持设备和主机的双向认证,防止主观和客观的数据非法访问;10)一体化管理平台,便于U盘集中分发和管理.加密1)加密算法:标准版本采用AES256bit高强度对称加密算法,根据需要也可支持用户定制的加密算法和芯片,支持多种加密模式;2)TTDS:采用扇区映射方式进行二级抽象,完全打乱文件的存储位置,防止结构性破解.产品3、北信源光盘刻录监控与审计系统产品概述北信源光盘刻录监控与审计系统完全贯彻和落实国家保密局BMB17文件思想,实现对刻录的全面控制.系统采用三权分立原则,集权限控制、数据刻录控制、安全光盘读取和日志审计于一身,方便、有效的控制内网敏感信息通过CD/DVD盘片进行的数据交换.系统功能描述1.权限控制1未授权用户无法使用刻录软件刻录数据;2针对不同用户可授权为:禁止刻录、对指定格式的文件设定刻录权限、关键字过滤功能保障敏感文件无法刻录、刻录次数限定,可根据工作日及时间段授权刻录、并可设定刻录许可码.2.数据刻录控制只有使用北信源专用刻录软件刻录普通光盘或者特殊格式的安全光盘,其他刻录软件无法刻录.3.特殊格式安全光盘读取1经过加密刻录的光盘,使用时需要通过专用解密工具输入加密时设置的密码才可解密,解密后文档可正常读取;2北信源专用刻录软件刻录的普通光盘在任何光驱上都能被正常读取.4.安全审计1刻录行为的审计,包括:刻录计算机IP、MAC、刻录时间、源文件绝对路径、目的文件绝对路径等信息;2客户端系统配置变化审计;3灵活过滤条件查看日志;日志、统计报表提供WORD及EXCEL等格式的输出.产品4、北信源存储介质信息消除工具产品概述北信源公司本着“安全、便捷、可靠”的设计理念,针对用户当前存在的数据外泄问题,通过合理的方式对计算机介质包括磁带、磁盘、打印结果和文档进行信息消除或销毁处理,防止介质内的敏感信息泄露.本系统能够保证存储在主机上的重要数据的安全,通过反复对文件磁道的改写和重写,对主机上需要删除的数据文件进行不可恢复的彻底粉碎,最终达到完全粉碎的目的.系统功能描述本系统采用数据防护算法和硬件验证技术,避免了存储数据的非法存取和意外泄漏,具有以下功能:1文件粉碎:可对单个文件文件夹及多个文件文件夹进行彻底粉碎.2分区粉碎:可对主机中所选择的分区进行不可恢复的彻底粉碎.3磁盘粉碎:可对主机中所选择的磁盘进行不可恢复的彻底粉碎.同时,针对用户需求,本系统还具有以下特点:1易用性:本系统界面友好易懂、操作简单.2安全性:被粉碎的文件不可恢复,层与层之间传递的是命令,而不是数据,不会引起数据泄露.3防恢复:粉碎过的数据经反复擦除重写不会在硬盘上留下任何痕迹.系统管理构架系统分为用户软件层和核心层用户软件层:提供用户操作环境,可以在该操作环境下进行文件粉碎的表层工作.核心层:继承用户软件层接口,进行文件粉碎的核心操作.产品5、北信源存储介质信息消除系统产品概述北信源存储介质信息消除系统是国内第一款采用专用硬件及触摸屏设计的存储介质信息消除工具.以国家保密局BMB21-2007的要求为标准进行开发设计,能够保证存储在磁盘介质上的机密信息的安全,通过反复对文件磁道的改写和重写,对磁盘介质上需要删除的文件进行不可恢复的彻底粉碎,最终达到完全粉碎的目的.系统对磁盘数据擦除快速,方式多样,简单易操作,被消除信息后的存储介质能够被重复利用,节省用户投资.产品优势更快速:擦除速度可达每分钟3GB.更人性:触摸屏方式设计,简单易用.更安全:数据擦除不可逆,无法恢复.更轻便:产品体积小,重量轻,携带方便.更丰富:支持4个USB接口、2个SATA接口、1个IDE接口.更专业:符合国家保密局BMB21-2007要求.产品功能北信源存储介质信息消除系统提供对硬盘、U盘等存储介质进行整体消除的功能,支持对4个USB 口、1个IDE口以及2个SATA进行同步擦除.四、数据安全系列产品1、北信源电子文档安全管理系统产品概述北信源电子文档安全管理系统基于电子文档安全这个长期困扰业界的难题而研发, 是具有高扩展性、可定制化的解决方案,实现对电子文档全生命周期管理.产品集电子文档使用权限控制、用户身份验证、文档透明加解密、文档访问控制、文档密级与安全策略控制、文档监控与审计等多种技术于一身,有效防止电子文档主动和被动泄密.同时本产品具有高度的可扩展性、模块化设计,可与北信源内网安全系统无缝结合,为企业信息化建设提供了强有力的安全保障.系统管理构架局域网构架:网络结构是由一个或多个局域网所组成, 用户可以在局域网中安装一套电子文档安全管理系统,对局域网中所有设备的电子文档进行安全管理.如图1图1 局域网电子文档安全管理系统架构图2 广域网电子文档安全管理系统架构广域网构架:网络结构是跨地域广域网,可使用本产品提供的多级服务器级联架构模式.主服务器向下属服务器级联下发安全策略,下属服务器向主服务器上报数据.确保整个公司的电子文档的安全统一管理.如图2系统功能描述1、对电子文档全生命周期文档创建、使用、流转、归档、销毁进行加密保护,无法强制破解;2、电子文档密级可以划分,完全符合国家等级保护等相关规定;3、企业密钥具有唯一性,实现不同企业之间不能共享文档,同时可根据企业现有组织结构定义部门加密密钥,实现同企业不同部门之间不能共享文档;4、管理员制定、下发安全策略,对客户端进行统一的安全管理;。
