《中软统终端安全管理系统80系统介绍》由会员分享,可在线阅读,更多相关《中软统终端安全管理系统80系统介绍(31页珍藏版)》请在金锄头文库上搜索。
1、目 录第一章 系统概述1第二章 体系结构和运行环境32.1系统体系结构32.2 推荐硬件需求42.3 推荐软件需求4第三章 系统功能63.1 基本功能63.1.3 用户身份认证63.1.2 网络访问控制73.1.3 非法外联控制73.1.4 接口外设管理83.1.5 移动存储介质管理83.1.6 CDROM/CDRW/刻录机的控制83.1.7 辅助硬盘的控制83.1.8 打印机管理83.2可信移动存储介质管理*93.2终端接入管理*103.2.1终端接入认证103.2.2 终端安全检查103.2.3内网安全扫描103.3补丁管理与软件分发管理*103.3.1 补丁分发管理103.3.2软件分发
2、管理113.4 终端安全运维管理*123.4.1 系统运行状况监控123.4.2 软硬件资产管理133.4.3 安全策略管理133.4.4 防病毒软件监测143.4.5网络进程管理143.4.6文件安全删除143.4.7 进程管理153.5远程管理*153.6 安全存储与传输管理*163.6.1 我的加密文件夹163.6.2 硬盘保护区163.6.3 文件安全分发163.7 安全文档管理*163.8安全文档隔离管理 *173.9电子文档权限管理*173.10 文档密级标识与轨迹跟踪管理*173.11文件打印审批管理*183.12 U盘拷贝审批管理*183.13 光盘刻录审批管理*193.14系
3、统管理与审计193.14.1 组织结构管理193.14.2 统计审计分析193.14.3分级报警管理193.14.4 响应与知识库管理203.14.5 服务器数据存储空间管理203.14.6 系统升级管理203.14.7 B/S管理功能支持203.14.8系统参数设置20第四章 系统特点214.1全面的终端防护能力214.2 分权分级的管理模式214.3 方便灵活的安全策略214.4 终端安全风险量化管理214.5 周全详细的系统报表224.6 丰富的应急响应知识库224.7 完善的插件式系统架构224.8 方便快捷的安装、卸载和升级224.9 多级部署支持23附件一:名词解释24第一章 系统
4、概述第一章 系统概述随着信息化安全技术的不断发展,各种内网安全管理问题逐步凸现出来。据IDC调查报告显示超过85%的网络安全威胁来自于内部,其危害程度更是远远超过黑客攻击所造成的损失,而这些威胁绝大部分是内部各种非法和违规的操作行为所造成的。内网安全问题已经引起了各级单位的广泛重视,随着安全意识的不断增强,安全投入逐步增加,但是内网的安全事件却不断地增多。分析其原因我们认为主要有以下几个方面:u 有章不循,有规不依,企业内网安全合规性受到挑战。很多公司明文规定安装操作系统必须打最新的补丁,但是终端用户依然我行我素导致操作系统补丁状况不一,从而给蠕虫病毒、木马程序和黑客软件带来了可乘之机。同时有
5、些单位购买了防病毒软件,但是终端用户没有按照单位统一部署的要求安装防病毒软件,或者有些终端用户虽然安装了防病毒软件,但是没有及时更新病毒库,导致计算机病毒有机可乘。对于终端安全管理,公司建立了很多安全制度,但是终端用户不按照公司安全规定要求,将不安全的计算机接入网络,从而引入了内网安全威胁,企业内网的安全合规性受到了严峻的挑战。u 谋一时,而未谋全局,终端系统被划分为多个独立的信息安全孤岛。各单位在解决各种内网安全问题上,通常缺乏统一、全面的内网安全解决方案。按照“头痛医头,脚痛医脚”的内网安全防护加强思路,采购并部署了多款终端安全管理的产品,比如:身份认证、补丁管理、软件分发、病毒防护软件等
6、等。但是这些终端安全防护软件来自于不同的安全厂商,各种软件之间各自为政,缺乏统一管理、协调工作的机制,最终导致个人桌面系统被划分为一个个独立的信息安全孤岛,因此出现了终端安全管理混乱、内网安全漏洞百出,内网安全事件防不胜防。u 百花齐放,百家争鸣,终端系统终因难堪负重,系统性能急剧下降。为了加强终端安全管理,在个人桌面系统上同时安装了不同厂家的终端代理。每种代理程序都需要实现自我防护、网络通信、运行监控等程序调度机制,需要重复的占用系统有限的CPU、内存等系统资源,导致个人桌面系统运行速度变慢,系统性能急剧下降。同时,由于不同厂家的软件存在很多功能重叠的部分,而这些重叠部分往往是采用类似技术开
7、发,从而导致不同软件之间频繁发生应用冲突。u 治标不治本,本末倒置,软件购买费用增加,系统维护成本成倍增长。通常终端管理软件大致分为三个组件,即:服务器、控制端、客户端代理。每种服务器软件都需要独立的数据库和硬件服务器支撑,无形中增加了软件的部署成本。同时,由于每种软件都有自己的控制台程序,管理员要针对每套系统生成它的控制策略,每套系统的数据审计都是分开的,管理工作非常多,管理员为每天的维护工作疲于奔命,从而导致管理疏忽。针对以上几种原因,以及中软公司在对企业内网安全管理展开全面调查的基础上,创造性地形成了一套完备的终端安全“一体化”解决方案。在过去的几年里中软公司一直致力于内网安全的研究,并
8、在国内最早提出了一系列的内网安全管理理论体系和解决方案。内网失泄密防护软件-中软防水墙系统的推出填补了国内内网安全管理软件的空白,并获得了若干国家专利局的技术专利。防水墙系统连年获奖,其中在2006年“防水墙”被计算机杂志评为2005年度新名词。中软公司早在2001年就开始致力于内网失泄密软件的开发,先后向市场推出了中软防水墙系统7.0版本、7.0+版本和7.2版本。随着内网安全管理的复杂化,中软公司在复用防水墙系统成熟技术的基础上,引入先进的内网安全管理理念和新的内网安全管理技术重新搭建系统体系结构,自主研发了中软统一终端安全管理系统8.0(CSS United End-Point Mana
9、gement System,简称UEM8.0)。该系统是以“木桶原理”为理论依据,以安全策略为驱动,按照PDR安全模型的“保护-检测-响应”工作流程循环检测,同时结合保密规定的“等级防护”指导方针,采用多种安全技术实现了对终端主机全方位、多层次的安全防护。按照“保护-检测-响应”的工作流程逐步完善终端安全防护策略,并将事件处理方;式和处理流程登录到用户知识库,逐步形成内网事故应急响应流程和共享安全解决方案的知识库。2第二章 体系结构和运行环境第二章 体系结构和运行环境2.1系统体系结构系统分为三个组件:客户端、服务器和控制台,系统采用分布式监控,集中式管理的工作模式。组件之间采用C/S工作模式
10、,组件的通信是采用HTTP/HTTPS加密传输方式。支持任意层级的服务器级联,上下级服务器之间采用HTTPS协议进行数据交换。体系结构如图 1 所示。图 1 系统体系结构图n 客户端:安装在受保护的终端计算机上,实时监测客户端的用户行为和安全状态,实现客户端安全策略管理。一旦发现用户的违规行为或计算机的安全状态异常,系统及时向服务器发送告警信息,并执行预定义的应急响应策略。n 服务器:安装在专业的数据服务器上,需要数据库的支持。通过安全认证建立与多个客户端系统的连接,实现客户端策略的存储和下发、日志的收集和存储。上下级服务器间基于HTTPS进行通信,实现组织结构、告警、日志统计信息等数据的搜集
11、。n 控制台:人机交互界面,是管理员实现对系统管理的工具。通过安全认证建立与服务器的信任连接,实现策略的制定下发以及数据的审计和管理。2.2 推荐硬件需求客户端个数1000服务器主机个数1111+服务器CPU P4 3.0RAM 1GBHDisk 120GB CPU P4 3.0 ATRAM 2GBHDisk 240GBCPU P4 3.0 ATRAM 4GBHDisk 480GBCPU Xeon 1G*4RAM 4GBSCSI Disk 240GBRAID 5控制台CPU P4 2.0 RAM 512MB HDisk 40GBCPU P4 2.0RAM 1GBHDisk 40GBCPU P4
12、 3.0RAM 1GBHDisk 40GBCPU P4 3.0RAM 1GBHDisk 80GB客户端CPU P4 2.0/ RAM 512MB/ HDisk 40GB审计平台CPU P4 2.0/ RAM 512MB/ HDisk 40GB表格1 系统推荐硬件需求2.3 推荐软件需求操作系统所需其他软件支持服务器Microsoft Windows Server 2003 / Advanced Server(32/64位)SQL Server 2000+SP4SQL Server 2005SQL Server2008或达梦数据库。硬件“加密锁”驱动程序控制台Microsoft Windows
13、Server 2003 , Microsoft Windows 2000 Professional / Server / Advanced Server, Microsoft Windows XP 客户端Microsoft Windows 2000 Professional / Server / Advanced Server, Microsoft Windows XP Professional,Microsoft Windows Server 2003,Microsoft Windows Vista (Ultimate / Business),Microsoft Windows7(Ultim
14、ate / Enterprise / Business)(32/64位)审计系统Microsoft Windows 2000 Professional / Server / Advanced Server, Microsoft Windows XP, Microsoft Windows Server 2003SQL Server 2000+SP4SQL Server 2005SQL Server2008或达梦数据库表格 2 系统软件需求提示:n 安全管理系统服务器,包括服务器软件和后台支持数据库。建议在专用主机上安装安全管理系统服务器,并且关闭所有与安全管理系统无关的不必要的服务。支持操作系统
15、为MS Windows 2003 系列,推荐Advanced Server版本。n 以上操作系统,没有特别说明,仅指32位操作系统。n 安全管理系统客户端不支持Linux系统,不能在windows双系统下同时安装UEM客户端。n 为保证用户正常使用安全管理系统,最好将安全管理系统服务器、控制台和客户端分别运行于独立的系统之上,同时用户安装前应将Windows版本进行升级,安装各自版本最高补丁。28第四章 系统特点第三章 系统功能随着内网终端安全地位的合理化,终端安全管理将进一步沿着整合化、平台化、统一化、基础化的方向发展。内网终端安全一体化的需求越来越强烈,终端安全产品的形态将逐步发生变化,最后发展为兼顾安全防御与安全管理。终端安全发展的历史使
