航宇正安内网安全管理系统技术白皮书_航宇电子技术有限公司

《航宇正安内网安全管理系统技术白皮书_航宇电子技术有限公司》由会员分享，可在线阅读，更多相关《航宇正安内网安全管理系统技术白皮书_航宇电子技术有限公司（23页珍藏版）》请在金锄头文库上搜索。

1、中国航天航宇正安网安全管理系统技术白皮书 中国航天科技集团公司高新区航宇电子技术n 声明本手册的所有容，其属于高新区航宇电子技术（以下简称航宇电子）所有，未经航宇电子许可，任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，航宇电子及其员工恕不承担任何责任。本手册所提到的产品规格及资讯仅供参考，有关容可能会随时更新，航宇电子恕不承担另行通知之义务。所有 不得翻印 2007-2009航宇电子n 商标信息本手册中所谈及的产品名称仅做识别之用，而这些名称可能属于其他公司的注册商标或是，其他提到的商标，

2、均属各该商标注册人所有，恕不逐一列明。航宇电子（HYET）和 是高新区航宇电子技术注册商标，受商标法保护。目 录1产品背景32产品概述52.1产品简介52.2产品架构53产品主要功能83.1 桌面安全管理83.1.1桌面安全管理83.1.2桌面安全审计93.2漏洞扫描与补丁分发管理103.3外设与接口管理113.4安全接入管理123.5非法外联监控133.6资产管理133.7远程控制143.8用户/权限管理143.9流量审计/控制143.10日志管理143.11详细的审计、分析与报告153.12基于策略优先级的用户行为管理功能153.13基于场景的管理策略154产品特点164.1强大的流量管理

3、164.2 ARP病毒免疫164.3终端隐患一网打尽164.4系统补丁统一分发164.5全网威胁联动防御174.6多元化的管理模式174.7策略的优先级管理174.8可靠的P2DR安全机制185产品部署195.1产品部署示意图195.2部署位置205.3部署方式206技术支持217公司简介221 产品背景信息技术发展到今天，人们的工作和生活已经越来越依赖于计算机和网络；然而，自网络诞生的那一天起，它就存在着一个重大隐患安全问题，使人们在一边享受着网络所带来的便捷，一边又不得不承受着网络安全问题带来的隐痛。说到网络安全，人们自然就会想到网络边界安全，但是实际情况是网络的大部分安全风险均来自于部。

4、常规安全防御理念往往局限于网关级别、网络边界（防火墙、IDS、漏洞扫描）等方面的防御、重要的安全设施大致集中于机房或网络入口处，在这些设备的严密监控，来自网络外部的安全威胁大大减小。相反，来自网络部的计算机终端的安全威胁却是众多安全管理人员所面临的棘手的问题。自2003年来。以SQL蠕虫、“尼姆达”、“冲击波”、“震荡波”、“熊猫烧香”等病毒的连续性爆发为起点，到计算机文件泄露、口令泄露、硬件资产丢失、服务器系统瘫痪等诸多终端安全事件在各地网络频繁发生，使政府机关和企事业单位的网络管理人员头痛不已。总结起来，政府机关和企事业单位的部网络管理大致面对着以下问题： 如何获知全网所有计算机资产的风险

5、状况和脆弱性，发现终端设备的系统漏洞并自动分发补丁。 如何防移动计算机和存储设备随意接入网。 如何防止U盘造成的病毒传播和信息泄露。 如何防网设备非法外联。 如何对终端计算机在不同网络环境中及时应用不同的规则策略。 如何管理终端资产、保障网络设备的正常运行。 如何在全网制定统一的安全策略。 如何规避终端用户随意访问网络带来的不必要的法律风险。 如何及时发现网络中占用带宽最大的终端。 如何点对点控制异常终端的运行。 如何防部涉密重要信息的泄露。 如何对原有终端应用软件进行统一监控、管理。 如何快速有效的定位网络中病毒、蠕虫、黑客的引入点，及时、准确的切断安全事件发生点和网络。 如何架构功能强大的

6、统一网络安全报警处置平台，进行安全事件响应和事件查询，全面管理网络资源。这些终端安全隐患随时随地都可能威胁到用户网络的正常进行。对于部网络的安全建设，我们建议从管理和技术两个方面入手，我们认为：“管理和技术合二为一，才能达到网络安全目的”；我们不能夸大技术手段的能力，也不能偏颇管理的效力，以前的“技术30%，管理70%”的说法，我们认为并不是很科学的。正确的解决途径应该是“管理和技术的有机结合”，用技术来实现管理目标，用管理来保障技术应用。航宇正安网安全管理系统，提供的就是一款将管理和技术合二为一的网以及终端安全解决方案。2 产品概述2.1 产品简介航宇正安网安全管理系统是航宇正安安全管理平台

7、产品的重要组成部分，部署在企业的部网络中，用于保护企业部资源和网络的安全性。航宇正安网安全管理系统可以对部终端计算机进行集中的安全保护、监控、审计和管理，可自动向终端计算机分发系统补丁，禁止重要信息通过外设和端口泄漏，防止终端计算机非法外联，防非法设备接入网，有效地管理终端资产等。航宇正安网安全管理系统可以与防火墙、漏洞扫描设备进行有机联动，共同提供全网安全解决方案。2.2产品架构航宇正安网安全管理系统由客户端模块、服务器模块、控制台三部分组成。客户端代理模块对终端计算机进行监控，需要部署于每台需要被管理的终端计算机上，用于收集数据信息，并执行来自服务器模块的指令。服务器模块存储终端安全策略、

8、终端计算机信息、漏洞补丁数据等等，并由服务器向终端计算机客户代理模块发送指令。此模块安装在具有高性能CPU和大容量存的服务器上。控制台采用B/S结构可以运行在网络中的任意一台计算机上，用来监控每台安装有代理模块的计算机，管理各类审计系统，制定安全策略。系统结构如下图所示： 1、航宇正安网安全管理系统服务器模块：服务器模块包括服务器端软件和支持数据库。支持操作系统为Microsft Windows 2000 SP4、Microsft Windows XP SP1、Microsft Windows XP SP2、Microsft Windows 20003和Microsft Windows Vis

9、ta。数据库支持MySQL、Microsoft SQL Server、Sybase和Oracale（建议在客户端超过100000点，使用Microsoft SQL Server、Sybase和Oracale数据库）。服务器模块主要功能如下： 定时搜索网络，管理所有已安装客户端代理模块的计算机，并向代理模块传递相关的设置和命令信息； 接收控制台用户数据请求指令，传送数据文件到控制台，由控制台进行解密查看分析； 保存客户端代理用户信息； 存储系统组织结构，用户信息和系统工作配置参数； 收集客户端代理模块采集的数据，并保存到数据库中； 提供方便灵活的历史记录管理、归档、搜索、查看等功能；2、航宇正安

10、网安全管理系统控制台模块：控制台模块是实现系统管理、参数配置、策略管理、系统审计的人机交互WEB界面。系统运行平台为IE6.0以上版本。控制台模块功能如下： 参数设置，包括控制台和服务器的工作参数； 用户（管理员）管理，包括：添加、删除、修改；系统管理员采用分权分级的管理方式，每个管理员都有其授权工作围和管理权限； 虚拟安全工作域结构管理，包括创建组织结构层次深度以及添加、删除系统组织结构； 客户端代理的添加、安装和卸载； 客户端代理策略的配置和下发； 实时获取被监视计算机的屏幕快照等信息； 设置监视和控制规则； 查看并播放记录在服务器端的历史记录； 查询特定机器特定时刻的历史记录； 监测日志

11、的查看、分析和审计；3、航宇正安网安全管理系统客户端代理模块：客户端代理模块是安装于受管理主机上的软件。软件安装支持本地安装和网络安装等多种方式；客户端代理的卸载只从服务器接收控制台发出的卸载指令，本地用户不能自行卸载、关闭管理程序。客户端代理的工作平台目前支持Microsft Windows 2000 SP4、Microsft Windows XP SP1、Microsft Windows XP SP2、Microsft Windows 20003和Microsft Windows Vista。客户端代理模块主要功能如下： 接收服务器下发的工作策略，并按照该策略控制客户端代理的工作模式； 信

12、息泄露防护，该模块包括对网络层、应用层、媒体介质、打印机和外设接口等的监视控制； 运行监测：实时记录文件的操作，进程、服务、驱动、用户和组的变化情况； 资产管理：接收服务器指令，上传系统的软件、硬件信息； 定时采集数据并保存，并将采集的数据传送到服务器； 响应控制台发出的监视请求，传送实时的屏幕快照信息； 根据系统的设置控制计算机的操作； 和服务器通信完成补丁的检测、下载和安装； 完成安全接入管理的实际功能。3 产品主要功能3.1 桌面安全管理桌面安全管理重点解决客户端计算机桌面安全管理和行为的审计。航宇正安网安全管理系统可以对客户端的防病毒软件的安装、运行及病毒库升级与否进行管理，可以对用户

13、的文件、进程、上网行为等进行管理，并可以对客户端计算机上的文件、应用程序、上网行为等进行详细的审计。桌面安全管理可以分为桌面安全管理和桌面安全审计两个大的功能项。3.1.1桌面安全管理 网络连接与流量管理航宇正安网安全管理系统能够监控网络接口的连接状态，可以实时监控客户端的网络流量状态并进行限速，对于在单位时间超出流量阀值的终端，可以自动对其进行断网等限制措施，防止其过度占用网络带宽。 上网行为管理系统能够通过IP地址、url地址、域名和端口等多种方式制定不同的管理策略，管理客户端的上网行为，并可以根据客户端的违规情况，对客户端进行桌面消息通知、锁定计算机、断网和向服务器发送等控制。 服务和进

14、程管理系统可以通过控制服务名和进程名的方式制定管理策略，管理客户端上运行的服务和进程，并可以根据客户端的违规情况，对客户端进行桌面消息通知、锁定计算机、断网和向服务器发送等控制。 文件操作管理系统可以通过文件名和文件类型的方式制定管理策略，管理客户端上的文件访问、复制、粘贴、共享、移动、删除等行为，并可以根据客户端的违规情况，对客户端进行桌面消息通知、锁定计算机、断网和向服务器发送等控制。 远程计算机管理能够对对远程终端计算机执行锁定、注销、重启、关机等操作。锁定计算机除非管理员解锁，否则无论强制重新启动或者进入安全模式均不能使用。 终端在线/离线策略管理航宇正安网安全管理系统可以对终端在线/

15、离线2种状态下应用的策略分别予以设置。客户端和服务器连接能够进行通信时为在线状态，无法和服务器完成通信时即为离线状态。通过对在线/离线2种状态设置不同的策略，对于经常移动办公的设备（如笔记本）可以提供更加灵活实用的管理。 防病毒软件管理可以检测终端上是否安装有防病毒软件，以及安装的防病毒软件是否处于工作状态，病毒库是否过期等信息。航宇正安网安全管理系统可以辅助客户端完成防病毒软件病毒库的更新，对于未安装防病毒系统的客户端，可以对其进行网络访问管理控制。 远程监视管理员可以远程直接控制一台终端设备，接管远程终端的桌面操作，进行服务器桌面管理或者帮助用户解决问题。 系统设置管理可以禁止终端用户自行修改网络属性，IE属性等设置，防止用户的更改对网络安全造成影响或引入安全风险。3.1.2桌面安全审计