当前位置:文档之家› 《内网准入与信息安全系统》功能介绍

《内网准入与信息安全系统》功能介绍

内网信息安全系统产品介绍书北京中瑞讯博信息技术有限公司2010/11目录1 引言 (2)1.1 公司介绍 (2)1.2 内网安全的紧迫性 (2)1.3 内网安全的主要防护内容 (2)2 中瑞讯博内网信息安全产品与解决方案 (4)2.1 内网准入 (5)2.2 系统补丁管理 (6)2.3 非法外联管理 (6)2.4 外设和介质管理 (6)2.5 数据安全 (7)2.6 主机防火墙和入侵防护 (7)2.7 行为管控 (7)2.8 资产管理 (8)2.9 安全管理与审计 (8)3 中瑞讯博产品的功能特性 (8)3.1 全面的准入控制 (8)3.2 对终端的全面防护 (9)3.3 对设备和文档的加密 (9)3.4 对输出设备的使用控制 (9)3.5 强大的审计功能 (9)3.6 内核级文件加密 (10)3.7 支持在线与离线两种工作模式 (10)3.8 可靠性高 (10)3.9 安全性高 (10)3.10 易用性好 (10)1引言1.1公司介绍北京中瑞讯博信息技术有限公司是由归国留学人员创办的高新技术企业,公司注册在中关村园区核心区。

中瑞讯博从事企业信息化和企业信息安全,致力于推进企业信息化和企业信息安全的技术研究、产品开发、解决方案和服务,实现企业信息化、网络安全、通讯安全、交易安全、资产安全、商业秘密安全。

随时保持与世界先进技术的同步,是中瑞讯博保持持续快速发展的重要基础。

公司经验管理团队具有大型企业的管理经验,技术核心人员均来自国内外著名的跨国或上市公司(例如百度、启明星辰),具有多年的企业信息化、网络和信息安全经验,并聘有中国工信部信息安全协调司、谷歌、启明星辰、Juniper Networks、清华法学院、中鼎讯博(北京)、北京天骏等单位和企业的资深人士做顾问。

1.2内网安全的紧迫性人们对于网络安全,特别是局域网的安全,倾向于向外用力。

但据美国CSI/FBI在《计算机犯罪与安全调查报告》中指出,因内网安全漏洞造成的损失占所有计算机安全事故的一半以上;IDC的安全统计数据显示,来自企业内部终端的安全威胁占整个安全威胁的70%以上;中国国家计算机网络应急技术处理协调中心CNCERT/CC的《全国网络安全状况调查报告》指出,终端隐患已成为最大的安全威胁之一。

内网终端已经成为企业网络的薄弱点,越来越多的企业都已经深刻认识到部署内网安全产品的重要性。

1.3内网安全的主要防护内容内网安全的一个理念就是,要建立一个可信、可控的内部安全网络。

内网的终端构成了内网90%以上的组成,当之无愧地成为内网安全的重中之重。

因此内网安全的重点就在于终端的管理。

管理终端,建立一个可控的内网,至少必须完成以下基本问题的处理:●非法接入内网问题公司内网连接着众多的服务器和终端,运行着OA、财务、ERP等众多系统和数据库,未通过认证的终端如果随意接入内网,将使这些服务器、系统和重要数据面临被攻击和窃取的危险。

●非法外联问题通常情况下,内网和外网之间有防火墙、防病毒墙等安全设备保障内网的安全性,对于保密网络,甚至是要求与外网物理隔绝的。

但如果内部人员使用拨号、宽带、GPRS、CMDA 等方式接入外网,使内网与外网间开出新的连接通道,外部的黑客攻击或者病毒就能够绕过原本连接在内、外网之间的防护屏障,顺利侵入非法外联的计算机,盗窃内网的敏感信息和机密数据,造成泄密事件,甚至利用该机作为跳板,攻击、传染内网的重要服务器,导致整个内网工作瘫痪。

而内部人员也可利用不受监管的非法外联发送或泄漏公司的商业秘密。

●使用软件违规问题内部人员在计算机上安装使用盗版软件,不但引入了潜在的安全漏洞,降低了计算机系统的安全系数,还有可能惹来版权诉讼的麻烦。

而一些内部人员出于好奇心或者恶意破坏的目的,在计算机上安装使用一些黑客软件,从内部发起攻击。

还有一些内部人员安全意识淡薄,不安装指定的防毒软件等等。

这些行为都对内网构成了重大的安全威胁。

●终端漏洞问题公司内的员工保密意识和计算机操作水平参差不齐,很多员工不能及时更新操作系统或应用软件的安全补丁,增大终端被攻击和病毒侵入的风险。

●使用者上网行为问题很多公司员工经常使用QQ、MSN之类的进行聊天,使用迅雷之类的软件P2P下载,或上网观看视频,会造成工作效率低下、公司带宽被占用的情况。

还有员工登录论坛留言发帖,可能发表非法或恶意信息,使公司受到相关部门的处罚或名誉受损等。

●计算机外部设备管理使用问题如果不加限制地让内部人员在内网计算机上安装、使用可移动的存储设备如软驱、光驱、USB接口的闪盘、硬盘、数码相机等,会通过移动存储介质间接地与外网进行数据交换,导致病毒的传入或者敏感信息、机密数据的传播与泄漏。

●重要文件保护问题大多公司的重要文件,例如代码、图纸、客户资料等,没有设立完善的保护制度,大多未加密存放,并且允许员工私自拷贝和带出,给公司的商业秘密造成很大的问题。

●计算机、打印机等公用资产管理公司里终端计算机众多,有的员工私自拆卸、非法接入一些配件,造成公司资产的损坏或流失。

有的员工利用公司打印机私自打印私有文件或公司秘密文件,造成公司损失和泄密。

●终端各类行为的审计绝大多数公司的开放式管理无法对终端的使用、员工的上网行为、打印机等资产使用行为进行管理和审计,使得资产受到损失时无法取证。

2中瑞讯博内网信息安全产品与解决方案中瑞讯博深入研究目前企业面临的内网安全状况,结合不同的企业规模和网络结构,定制个性化的产品和解决方案。

简化的网络拓扑图如下:中瑞讯博推出的《内网准入与信息安全系统套件》包含如下几大功能:(1) 内网准入(2) 系统补丁管理(3) 非法外联管理(4) 外设和介质管理(5) 数据安全(6) 主机防火墙和入侵防护(7) 行为管控(8) 资产管理(9) 安全管理与审计功能拓扑图如下图:外设和介质管理资产管理网络行为管控入侵防护40%文档加密2.1内网准入终端接入企业内网时强制认证,未通过认证的终端不能接入内网的可信区域,不能访问内网。

系统功能:(1) 可信终端管理(2) 802.1x接入认证管理,支持现有市场的主流交换机和无线AP(3) 可与域服务器或LDAP服务器结合提供认证(4) 未注册终端接入访问区域限制(vlan限制或强制网络限制)(5) 未安装关键系统补丁的终端接入限制(6) 运行不可信进程、服务的终端接入限制(7) 支持USB Key作为可信凭据(8) 准入审计(9) 可信终端拒绝不可信终端的访问系统特性:(1) 部署容易,成本小,不改变现有企业网络拓扑(2) 支持现有市场的主流交换机和无线AP,不受交换机、路由器或集线器的影响,可保护企业现有投资(3) 准入控制强,即使密码认证通过,但终端不安全时仍可限制准入(4) 集中管理和部署,终端部署快速(5) 完善的审计功能(6) 可信终端拒绝不可信终端的访问,即使未准入的终端配置或获取的有效地IP地址,但仍被可信终端拒绝访问2.2系统补丁管理该系统强制终端用户打开Windows Update服务,并自动搜索系统漏洞,强制用户安装系统补丁,增强终端本身的安全性。

系统功能:(1) 监视Windows Update服务,强制用户启动(2) 自动扫描系统漏洞,强制下载安装漏洞补丁(3) 服务端自动下载Windows的最新补丁(4) 补丁库自动维护(5) 补丁下载和分发策略控制(6) 补丁下载安装审计2.3非法外联管理安装在终端上的客户端软件监测系统网络情况,除企业规定的本机网卡、无线外,禁止其他方式接入Internet,包括电话拨号、GPRS、CDMA、USB网卡、PCI网卡等。

系统功能:(1) 禁止拨号连接(2) 禁止利用手机GPRS、CDMA等上网(3) 禁止利用添加的USB网卡、PCI网卡上网(4) 外联审计2.4外设和介质管理管理终端的USB端口、打印机端口、COM端口、红外、蓝牙等,管理USB设备、USB 存储等。

系统功能:(1) 管理终端的USB端口、打印机端口、COM端口、红外、蓝牙,可设置开放或关闭某些端口或设备(2) 管理USB设备、USB存储,可设置读写策略(3) 可管理可信U盘(安全U盘),可信U盘允许读写(4) 对U盘等设备进行加密管理(5) 对外设的使用、U盘内文件的操作全程审计2.5数据安全对企业的重要电子文档,例如图纸、代码、设计文档、客户资料等进行安全管理。

系统功能:(1) 使用高强度密匙,对称和不对称两层加密(2) 可全部加密,也可设置加密的文件类型(不仅仅根据扩展名)(3) 文档移动、传播中仍然加密(4) 文档密级可以划分,完全符合国家等级保护相关规定(5) 不同企业密匙不同,同一企业内还可设定部门权限(6) 实现应用程序数据透明加解密,不会影响办公软件的正常使用,不会改变用户正常使用软件行为方式(7) 用户可申请文档解密、外发,需要解密权限(8) 可控制打印水印(需要打印机驱动支持)(9) 可控制剪贴板,控制剪切和拷贝(10) 保密性强,即使计算机或磁盘丢失,文件也不会被破解(11) 全面审计2.6主机防火墙和入侵防护虽然企业内的终端很多也部署了杀毒软件或者防火墙,但策略设置都是使用者单独设置的,往往与公司的统一策略不同。

并且不能与准入认证联动,往往对于非授权终端的访问或攻击无法处理。

本系统提供主机防火墙和主机入侵防护功能,可有效地提高终端的安全。

本系统的功能:(1) 集中管理的防火墙策略(2) 对非授权终端访问的自动拒绝(3) 主机入侵保护,防止针对主机的黑客攻击,保护终端安全(4) 可对网络行为进行分析,限制或拒绝流量异常的网络访问,例如可限制大量链接的p2p下载(5) 防ARP欺骗(6) 完善的审计,可分析审计日志,更新防护策略2.7行为管控本系统提供行为管控功能,可规范员工正常的使用终端,防止随意安装软件、更改注册表、浏览非法网站或发表恶意评论等。

系统功能:(1) 监控软件的安装行为,可通过预先设置的软件黑名单进行阻止和报警(2) 监控注册表,对注册表的更改进行提示记录(3) 记录和审查员工的上网行为,包括HTTP、SMTP、Telnet、FTP,以及其他类型的网络行为,可根据预设的策略进行检查,防止浏览非法网站、发送涉密信息、发表恶意评论等(4) 对各类行为进行完善审计2.8资产管理为了有效地保护企业资产,本系统提供终端资产管理功能,自动收集终端的硬件资产信息和软件资产信息,监视终端的资产变化,避免企业资产的流失,方便企业统一管理。

2.9安全管理与审计系统对各类功能提供日志记录和审计功能。

审计功能包括:(1) 系统本身采用三权分立的方式,系统管理员、策略配置员、审计员,各司其职,防止越权操作(2) 系统提供安全的用户管理和访问,B/S架构采用SSL加密,可设置允许访问的终端(结合客户端证书,例如USB Key),用户登录连续失败后临时锁定,防止暴力破解和攻击(3) 所有的系统操作和终端监控都形成日志,并提供多方面的查询、显示,形成报表3中瑞讯博产品的功能特性《内网准入与信息安全系统套件》由软件系统和硬件(USB Key)组成。

相关主题