《(产品管理)北信源产品体系方案书》由会员分享,可在线阅读,更多相关《(产品管理)北信源产品体系方案书(34页珍藏版)》请在金锄头文库上搜索。
1、产 品 简 介一、准入控制系列产品1、北信源网络接入控制管理系统l 产品背景 北信源网络接入控制管理系统能够强制提升企业网络终端的接入安全,确保企业网络保护机制的连续性,实现企业网络安全从质到量的提升。同时,通过与北信源接入控制网关的联动,还可以实现对远程接入企业内部网络的终端进行身份唯一性及安全性认证。通过北信源网络接入控制管理系统可以满足企业对终端接入网络的安全性要求,将终端接入控制覆盖到企业网络的每一个角落。同时,使得终端接入控制不再依赖于具体的网络或通信设备,甚至是当使用者拿着他们的移动设备离开企业网络时,仍能有效执行对终端下发的接入控制策略。北信源网络接入控制管理系统不需要对现有网络
2、结构进行改造便可进行部署,具备简单、方便、安全、易扩展的特性。l 系统功能描述1) 基于802.1X的终端接入认证管理;2) 外部终端接入访问限制;3) 外部终端接入身份认证;4) 杀毒软件检测及访问限制;5) 补丁自动检测及访问限制;6) 进程、服务、注册表信息检测及访问限制;7) 未达到预定义安全级别接入访问限制。l 系统功能特点1) 全面支持市场主流交换机;2) 可以实现无线802.1X接入认证;3) 可以与用户现有AD域或LDAP进行联动认证;4) 可以实现终端异地漫游的自动接管认证;5) 可以实现终端认证数据检测,防止虚假第三方认证。l 系统管理构架北信源网络接入控制管理系统由以下几
3、部分组成:1)策略服务器:系统策略管理中心,提供系统的参数配置和安全策略管理。2)认证客户端:安装在终端计算机,通过用户名和密码向认证服务器发起认证,实现正常工作区、访客隔离区、安全修复区的自动切换。3)Radius认证服务器:接收客户端认证请求信息数据包并进行验证。4)Radius认证系统 (交换机) :可网管支持802.1x的网络设备(交换机),接收认证客户端的认证请求数据包与Radius认证服务器完成认证过程。5)可选配强制注册网关(硬件):在不完全支持802.1x的网络中可选装强制注册网关,完成未注册终端访问网页时进行DNS重定向或HTTP重定向,以达到强制注册目的。图网络接入访问控制
4、产品2、北信源虚拟隔离接入控制系统l 产品背景常用的网络接入技术是基于802.1X协议或网关形式来实现。802.1X接入认证对环境要求稍高,有些网络设备不支持802.1X协议,如HUB设备;而网关接入认证,在限制外部终端对内部终端访问时存在安全防御的真空。针对如上问题,北信源虚拟隔离接入控制技术应运而生,在不改变原有网络结构的同时,对新接入的网络设备进行有效管理。l 系统功能描述1) 不改变现有网络配置,实现终端网络访问控制;2) 隔离并保护注册终端,使未注册终端无法和其通信;3) 隔离并保护服务器区域,防止未注册终端随意访问;4) 通过安全检查机制,对未安装杀毒软件、漏打补丁终端进行隔离;5
5、) 未注册终端接入网络后,隔离并被重定向到注册界面。l 系统管理架构北信源虚拟隔离接入控制系统由以下几部分组成:1) 策略服务器(VRVEDP Server):系统策略管理中心,提供系统的参数配置和安全策略管理。2) 客户端(VRVEDP-Agent):安装在终端计算机上,接收EDP服务器策略,并执行策略。判定是否是注册计算机,起到隔离阻断的作用。产品3、北信源接入认证网关l 产品概述北信源接入认证网关是一款部署简便、使用灵活的网络准入/准出控制产品。使网络管理员能在允许用户进入网络前、访问外部网络前,对有线、无线和远程用户进行验证、授权。能够阻止未授权计算机越权访问网络资源。l 系统管理构架
6、北信源接入认证网关整体解决方案包括三个组件:北信源接入网关根据终端注册及策略情况提供访问权限。在用户未注册前,他们均被禁止访问可信网络,或进行HTTP、DNS等重定向强制注册。区域管理器管理服务器、检查规则及策略,基于Web的中央控制台。北信源客户端程序客户端程序代理、执行安全修复、身份认证功能。l 系统功能描述北信源接入认证网关与北信源内网安全管理系统结合可以完成网络终端注册和网络访问授权等工作,使得未注册客户端无法访问受限网络。使网络管理员能在允许用户进入网络前,对用户及其机器进行验证、授权。该安全产品能够:1) 对未注册终端进行访问网络权限控制,可进行HTTP、DNS等重定向强制注册;2
7、) 确认用户、用户设备和他们在网络中的身份;3) 对于终端设备网络连接流量进行控制;4) 该产品能向通过局域网、无线局域网、广域网或虚拟专用网连接的设备应用网络准入控制。产品具有为所有运行环境执行策略的独特能力,无需其他独立产品或模块。l 功能特点l 多种身份验证服务北信源接入认证网关具备终端特征验证、用户名口令验证、混合身份验证等多种身份验证机制。管理员通过策略方便设定。能维护具有不同许可级别的用户群体。l 集中管理基于Web管理控制台为每个用户定义所需的策略类型,一个区域管理器可以管理多个接入网关。l 灵活的部署模式提供最广泛的部署模式,能适用于任意客户网络。客户能将该产品作为虚拟或实际I
8、P网关,部署在边缘或中央,提供第二层或第三层客户端接入,或部署在DNS服务器前作为强制注册用的DNS网关。二、补丁分发系列产品1、北信源补丁及文件分发管理系统l 产品背景:近些年来,蠕虫病毒和木马病毒的频繁爆发给全球网络运行乃至经济都造成了严重影响,之所以这些蠕虫能造成如此危害,是因为利用了操作系统或者应用程序的漏洞。补丁的安装普遍会遇到以下的问题:l 普通用户技术知识水平有限,造成了计算机系统漏洞经常不能得到及时的修补,甚至长期不修补;l 网络维护人员为每台机器安装补丁耗时巨大;l 物理隔离网络用户必须使用移动存储设备从外网将补丁导入并安装,麻烦且带来信息泄漏和病毒传入的风险;l 每个终端补
9、丁安装均从外网下载补丁造成网络资源消耗过大;l 用户随意下载补丁导致补丁来源不统一带来的风险。消除漏洞的根本办法就是安装软件补丁,每一次大规模蠕虫病毒的爆发,都提醒人们要居安思危,打好补丁,做好防范工作,补丁越来越成为安全管理的一个重要环节。黑客技术的不断变化和发展,留给管理员的时间将会越来越少,在最短的时间内安装补丁将会极大地保护网络和其所承载的机密,同时也可以使更多的用户免受蠕虫的侵袭。对于机器众多的用户,繁杂的手工补丁安装已经远远不能适应大规模网络的管理,必须依靠新的技术手段来实现对操作系统的补丁自动修补。因此,如何利用有效技术手段来及时、持续、稳定的安装计算机补丁,是所有网络安全管理人
10、员、信息安全决策人员亟需解决的问题。l 系统功能概述北信源补丁及文件分发管理系统是北信源公司在为国家各大部委机关、各大行业网络用户进行病毒安全服务、总结安全运营保障经验的基础上,分析当前网络客户端实际安全管理要求研发的,系统支持推、拉两种方式自动下载补丁。整个补丁管理运行平台构架是:通过北信源外网补丁下载服务器及时从补丁厂商网站获取最新补丁;然后补丁经过安全测试后,通过补丁分发管理中心服务器对网络用户进行分发安装;补丁安装支持自动和手动两种方式。l 系统功能描述:1) 互联网补丁自动下载;2) 补丁完整性和安全性测试;3) 补丁增量更新导入;4) 补丁库建立和分类;5) 终端补丁自动检测;6)
11、 补丁策略制定分发和自动分发;7) 终端补丁流量控制和代理转发技术;8) 补丁自动修复及查询统计;9) 未打补丁情况汇总统计;10) 补丁安装情况汇总统计;11) 已安装补丁自动卸载;12) 文件分发及文件自动执行;13) 文件分发安装结果统计。l 网络应用l 直接连接互联网的网络:通过补丁下载服务器将补丁下载至补丁分发服务器。l 物理隔离网络:在互联网网络上安装补丁下载服务器模块,通过补丁下载增量分离工具,区分内网已导入和未导入的补丁,将最新补丁导入内网补丁分发服务器。l 系统组件北信源补丁及文件分发管理系统依据客户端注册优势,提供补丁检测、安装等远程功能。客户端访问网络WEB站点,根据页面
12、自动弹出提示进行注册,注册程序将在系统中实时运行,检测补丁安装状况,并上报给补丁控制中心。补丁控制中心提供补丁策略制订、补丁文件直接分发,补丁测试提供对软件厂商新发布补丁的前期测试,严格测试后才可以配发到网络客户端,保障客户端补丁安装安全性。系统可按照网段、补丁类型进行补丁配置分发,支持漏打补丁、特殊补丁的推送下发;通过自定义分网段、分区域的补丁下载升级设定策略,以及转发代理技术,避免造成网络堵塞,合理控制网络带宽。图 1 补丁管理系统功能构架 l 系统构架该系统贴近用户对网络、网络终端管理的要求,适用于局域网、广域网等多种构架。标准构架(小型网络):在局域网中全面部署应用北信源补丁及文件分发
13、管理系统,包括各种功能模块:补丁下载、补丁分析、补丁策略分发制订、文件分发、客户端补丁监测、漏洞补丁扫描、补丁分发控制台等。级联构架(大型网络):对于网络分布广泛、规模庞大,并且拥有多个网络管理中心的广域网,北信源补丁及文件分发管理系统支持在标准构架上建立多级级联模式,实现下级网络补丁管理系统从上级补丁管理系统自动获取补丁,以及相关补丁审计、系统组件升级功能。三、介质管理系列产品1、北信源移动存储介质使用管理系统l 移动存储介质数据交换引发的安全问题移动存储介质,如U盘、移动硬盘等,因其体积小、容量大等优点,已得到广泛应用。作为数据交换的主要手段之一,移动存储介质正成为数据和信息的重要载体,但
14、是我们也应该看到,移动存储设备在给我们带来极大方便的同时,也给我们带来了不少的安全隐患,主要如下:1. 涉密计算机接入非涉密移动存储设备;2. 非涉密计算机使用涉密移动存储设备;3. 移动存储介质的数据交互审计;4. 外来移动存储介质随意接入问题;5. 移动存储介质丢失导致信息泄漏;6. 移动存储介质的使用信息无法追踪审计问题;7. 移动存储介质接入区域限制和控制问题;8. 病毒、恶意代码通过移动存储介质传播问题。l 技术特点及应用1、分级权限控制通过对移动存储介质写入两种不同控制权限及功能的标签,来实现分级权限的控制,并对指定范围内的终端授权,通过策略与标签的配合来实现对移动存储介质的控制。
15、注,对移动存储介质格式化无法去除标签。普通标签:写入普通标签后,在管理区域内根据策略的设置,来限制移动存储介质的读、写功能;如果在管理区域外使用移动存储介质认证,则不限制移动存储介质认证读、写功能。加密标签:写入加密标签后将普通移动存储介质(U盘、移动硬盘等)分为二个可控制的区域:交换区、保密区。涉密网络可只生成保密区。交换区和保密区启动均需输入独立的密码,数据在二个区存储时均以加密方式存储,这两个区的具体应用如下:(1)在涉密网络中或高要求的办公网络中,可只生成保密区一个区。该保密区只能在有对应安全策略的主机上通过认证标签后、同时输入正确密码才能访问,同时有安全策略的主机可以根据策略控制未经标签认证的移动存储介质的使用。(2)在普通办公网络中,可生成交换区、保密区二个区。保密区的使用方法,可与上述涉密网络或高要求的办公网络相同。交换区的使用方法,可以根据用户需要,在内部网络中通过策略限制使用方式,交换区在外网使用时同样要输入密码方可使用,保密区在外网不可见。2、审计功能完善1) 提供移动存储介质上所有文件操作的详细记录包括文件的创建、复制、删除、读写和重命名等操作,具体包括文件名、审计描述、时间、用户名、计算机
