《BTA40简介》由会员分享,可在线阅读,更多相关《BTA40简介(28页珍藏版)》请在金锄头文库上搜索。
1、1. 公司简介北京桥盟创联科技有限公司是专业的网络安全厂商,公司产品和技术服务涉及桌面安全、终端接入、身份认证、信息加密、安全审计、安全评估、系统加固、安全集成等领域;“桥盟”的宗旨是“面向应用、保障安全” ! 桥盟创联科技有限公司专注于以“构建应用安全支持平台”为核心推广网络应用和增值服务。初步形成“面向应用安全的产品体系”。桥盟 BTA IntraSec 运营保障系统是公司面向终端安全管理的核心产品,为终端安全防护提供整体解决方案。拥有 “终端强制接入管理” 、“桌面应用程序准入”、“分布式防火墙”、“主机完整性检测”、“桌面协同”等多项专有技术!本着“客户的成功,就是我们的成功”的信念,
2、公司将会充分运用一流的技术、领先的产品和高素质的人才竭诚为用户服务! 桥盟 BTA IntraSec 运营保障系统是终端安全领域第一款基于SOA架构的安全管理系统, 面向网络终端,进行“桌面标准化管理”;综合运用“802.1x认证”、“反向MAC认证”、“分布式防火墙”、“主机完整性检测”等创新技术,提升网络安全保障能力,达到“可知”、“可控”,以充分地保障业务系统的正常运行。针对未知“恶意代码”,进行识别、定位、免疫、隔离;真正实现了主动防御的安全体系。桥盟BTA产品在研发过程中获得国家科技部门专项资金的政策性扶持,并且列入北京市政府安全产品采购名录;BTA IntraSec v4.0产品,
3、陆续通过公安部、国家保密局安全产品检测,并获得公安部颁发的信息安全产品销售许可证和国家保密局涉密产品检测认证;自产品开始推广以来,陆续签约国家卫生部、中国邮政储蓄银行、中国医药工业总公司、中国移动山西公司、天津港务局集团、天津公交集团、北京市信息安全评测中心、山西邮政、北京朝阳区财政局、西城区检察院、秦皇岛检察院、河北保定电力公司等上百家用户,项目实施成功并顺利完成验收,取得非常好的经济和社会效益!如想获取更多公司和产品信息请浏览公司网址http:/或致电免费热线:400-40061003622.BTA IntraSec 运营保障系统简介2.1.产品组成策略服务器基于Linux 操作系统的集中
4、安全策略管理平台,B/S构架方式,管理员通过浏览器方便进行操作。策略服务器实现了集中的资产登记管理、安全策略部署、统计表查询功能。BTA桌面安全助理程序BTA桌面安全助理程序安装在被管理的终端计算机上。能够自动学习终端计算机的硬件配置、软件系统、使用者的操作行为等信息并上报的策略服务器上,管理员可以在策略服务器上集中部署安全策略,并由BTA桌面安全助理程序将策略落实到本地终端计算机上。BTA管理员工具箱BTA管理员工具箱为系统管理员提供了易于使用的本地化功能。包含了系统智能监控报警程序、自动的Internet 补丁同步管理、终端计算机远程协助、客户端离线安装包生成工具等。2.2.产品部署示意图
5、2.3.产品特色强制策略保障BTA系统能够通过以下方式保证内网的终端计算机必须安装BTA桌面安全助理程序:l 通过与支持标准 802.1x认证协议的交换机配合,终端计算机必须安装BTA桌面安全助理程序进行接入认证,否则无法访问内网,即便网线连接后也处于单机状态;l 在没有 802.1x 交换机的环境下,可以通过网络探针方式及时发现非法接入内网的设备,第一时间通过管理员组件包向管理员发出告警;l BTA桌面安全助理程序具有自我安全保护功能,使用者无法强行卸载或者中断其运行。专用的安全系统BTA策略服务器为硬件形式,可以方便的在机架上安装。服务器内核操作系统采用专用Linux操作系统,比Windo
6、ws平台服务器更加安全。分布式防火墙系统BTA 客户端包含分布式防火墙组件,管理员不但能够在服务器上统一部署终端计算机的网络通信策略。更重要的是,分布式防火墙还可以与终端计算机的安全状态联动,例如当计算机未安装单位指定的杀毒软件时自动屏蔽该计算机只能访问内网中的杀毒软件服务器。强大的主机完整性检查BTA 系统采用独有的高级HICL(主机完整性检查)语言,能够对终端计算机进行软件安装状态、进程运行状态、域状态、文件状态等多种情况进行复杂逻辑的检测或修复。也可以在终端计算机安全状态缺失的情况下限制计算机的网络通信。管理到人的策略根据用户业务需要,不但能够对不同的终端计算机部署不同的管理策略,即便是
7、同一计算机,当使用者的身份不同,也可以自动根据其身份落实不同策略。这包括:l 支持AD域帐号同步,按照域帐号部署策略;l 支持基于USB钥匙(内置X.509数字证书)的用户身份认证;l 支持计算机上不同本地帐号的用户身份识别;l 支持用户身份角色管理,如在企业中按照总经理、部门经理、一般员工、外来人员的身份角色部署不同策略。2.4.功能列表系统基本管理方式l 管理员通过浏览器进行系统管理;l 包含超级管理员、系统操作员、系统审计员角色权限划分及分级管理,遵从国内外相关法律条款;l 按照单位的自然组织结构方式进行树状管理,如按照总公司、分部门、科室的层次结构,在科室下面可包含具体终端计算机和使用
8、者;l 可将终端计算机或者用户定义不同的角色,按照角色部署管理策略;l 任何策略都可以按照部门、终端、人员、终端角色、人员角色进行部署。消息通知发送向终端或人员发送通知消息,如会议通知、病毒告警、会议纪要等。终端远程协助操作l 管理员可以与系统中的终端计算机进行交互对话,也可以远程维护操作终端计算机,提高维护工作效率;l 远程协助操作不但可以在内网中进行,也可以通过 Internet 进行远程协助,例如管理员可以远程诊断出差在外人员的笔记本电脑;l 管理员得到授权许可后,可以不经过终端计算机使用者的同意,对终端计算机的操作进行屏幕监控。硬件资产管理l BTA桌面安全助理程序安装后自动登记终端计
9、算机的硬件配置信息;l 终端计算机的硬件配置变化自动向服务器告警,实时向管理员工具箱发出告警;l 自动判断、登记主机类型是笔记或台式机;l CPU型号、制造商、序列号登记;l 主板型号、制造商,BIOS型号、制造商、序列号登记;l 物理内存大小登记;l 显卡型号、芯片组类型、显存大小登记;l 存储设备(硬盘、光驱)型号、名称、容量登记;l 网卡名称、MAC地址、接口类型、IP地址配置信息登记。示意图:按CPU型号查询主机信息示意图:按显卡型号查询主机信息软件资产管理l 主机名称、操作系统及Service Pack登记;l 本地用户帐号、共享资源、系统启动项信息登记;l 系统中安装的软件名称、版
10、本、发行商信息登记;l 系统中的服务名称、描述、运行状态信息登记。终端行为审计l 终端的所有网络通信程序名称、TCP、UDP的发送接收流量审计;l 终端的每日网络流量的详细信息审计;l 终端所有运行过的程序名称、版本、发行商、特征摘要审计。漏洞检测及补丁分发l 策略服务器补丁库信息自动通过 Internet 连接桥盟技术站点更新,桥盟技术站点发布的所有补丁都是通过技术测试和验证的,可以安全分发;l 采用 PatchShare 和断点续传技术,降低补丁分发时内网的流量压力;l 除了能够分发 Microsoft 操作系统和软件的补丁外,还允许用户自定义软件漏洞和补丁。软件分发l 自动分发常见安装制
11、作程序制作的应用软件,多数软件可以静默安装到终端上;l 强大的分发检测功能,只分发用户未安装的软件;l 可以从第三方的服务器,如内网其它的WEB服务器或者FTP服务器上分发软件;l 强制软件安装,如用户不安装指定的软件,可以限制用户暂时只能访问下载该软件的服务器。软件安装控制该功能控制终端上的软件安装程序的执行,分为登记模式和授权模式。登记模式下,自动向服务器登记终端计算机的软件安装时间、名称、版本等信息;授权模式下,用户安装软件时客户端提示用户向管理员索取授权,只有在得到管理员授权的情况下才能安装软件。注册表统一配置管理员可以在服务器上统一配置终端计算机的注册表,如通过注册表禁止终端计算机控
12、制面板中的“添加/删除程序”功能、禁止用户使用任务管理器等。IP/MAC地址绑定l 根据终端计算机网卡的MAC地址限制用户只能使用管理员分配的IP 地址;l MAC地址绑定后网卡属性不可编辑;l 适用于移动办公的笔记本电脑,不影响笔记本电脑在内网中多个VLAN的切换或者离开内网后的使用。杀毒软件、域加入状态等复杂的主机安全配置检测采用HICL语言方式满足用户复杂的主机配置检测,如:l 终端计算机必须安装单位指定的杀毒软件,软件没有安装自动从杀毒软件服务器上为用户下载安装,杀毒软件主程序没有运行自动启动该程序;l 终端计算机安装多个指定的杀毒软件中的任意一种即可;l 检测杀毒软件的病毒库,病毒库
13、不是最新提示用户升级;l 检测终端计算机必须加入指定的域,没有加入提示用户;l 检测终端计算机上的某个服务的运行状态,服务没有运行强制运行;l 检测某个软件是否为最新版本,如果不是提示用户升级;l 关闭终端计算机的光驱或者移动硬盘的自动播放,减少病毒传播渠道等。系统的HICL语言策略功能非常强大,可灵活满足不同用户需求,也可以和防火墙策略配合,在终端计算机的配置与单位的安全规范不符时,限制终端计算机的网络通信。脚本分发功能通过此功能管理员可以将 VBScript 或 JavaScript脚本发布到终端计算机上执行,如域管理配置脚本等。计算机外设管理可以控制终端计算机上以下外设的使用:光驱、软驱
14、、USB移动存储设备、USB接口、COM/LPT接口、IEEE1394接口、PCMICA插槽、红外接口、蓝牙接口、读卡器、打印机、调制解调器、多媒体设备、N合一读卡器、无线网卡。设备禁用以后用户无法通过设备管理器启用被禁用的设备。802.1x网络接入认证l 支持所有品牌标准802.1x协议的交换机;l BTA 策略服务器内置 Radius 认证服务器,不需用户额外采购认证服务器及软件;l 可以使用用户现有的域作为认证服务器;l 支持内置认证服务器的低端交换机;l 集成 802.1x认证功能到 Windows 登录界面,用户只需一次认证即可;l 支持自动认证方式,用户只需要安装BTA客户端即可通
15、过交换机认证,不影响用户的使用习惯。终端网络通信控制l 可以根据业务需要按不同进程名称进行策略控制,如只限制常见的P2P下载软件的使用,具有进程改名检测功能;l 可以按照时间段进行控制,如只在工作时间限制用户使用聊天软件;l 可以按TCP、UDP协议及端口号进行控制,如按TCP 21端口控制FTP服务器的访问;l 可以通信方向控制,如允许财务部门通过网上邻居访问其它部门,反之不允许其它部门通过网上邻居访问财务部计算机;l 多条防火墙策略组合配置功能,如首先开放允许访问的网络内容及应用,然后再禁止其它所有类型的网络应用。网络通信速率控制网络通信速率控制功能可满足人性化管理的需要,达到“通而不断”的效果。例如可以将下载类软件的通信速率控制在 10K/秒 ,既不影响用户下载,还能够大幅降低网络出口流量,保证正常业务应用的需要。URL地址过滤l 按照关键字过滤用户的HTTP访问;l 可以禁止用户通过
