《中软统终端安全管理系统80系统介绍》由会员分享,可在线阅读,更多相关《中软统终端安全管理系统80系统介绍(35页珍藏版)》请在金锄头文库上搜索。
1、目 录录第一章系系统概述述1第二章体体系结构构和运行行环境332.1系系统体系系结构332.2 推荐硬硬件需求求42.3 推荐软软件需求求4第三章系系统功能能63.1 基本功功能63.1.3 用用户身份份认证663.1.2 网网络访问问控制773.1.3 非非法外联联控制773.1.4 接接口外设设管理883.1.5 移移动存储储介质管管理83.1.6 CCDROOM/CCDRWW/刻录录机的控控制83.1.7 辅辅助硬盘盘的控制制83.1.8 打打印机管管理83.2可可信移动动存储介介质管理理*93.2终终端接入入管理*1103.2.1终端端接入认认证1003.2.2 终终端安全全检查110
2、3.2.3内网网安全扫扫描1003.3补补丁管理理与软件件分发管管理*1003.3.1 补补丁分发发管理1103.3.2软件件分发管管理1113.4 终端安安全运维维管理*1123.4.1 系系统运行行状况监监控1223.4.2 软软硬件资资产管理理133.4.3 安安全策略略管理1133.4.4 防防病毒软软件监测测143.4.5网络络进程管管理1443.4.6文件件安全删删除1443.4.7 进进程管理理153.5远远程管理理*153.6 安全存存储与传传输管理理*163.6.1 我我的加密密文件夹夹163.6.2 硬硬盘保护护区1663.6.3 文文件安全全分发1163.7 安全文文档管
3、理理*163.8安安全文档档隔离管管理 *1173.9电电子文档档权限管管理*1773.100 文档档密级标标识与轨轨迹跟踪踪管理*1173.111文件打打印审批批管理*1183.122 U盘盘拷贝审审批管理理*183.133 光盘盘刻录审审批管理理*193.144系统管管理与审审计1993.144.1 组织结结构管理理193.144.2 统计审审计分析析193.144.3分分级报警警管理1193.144.4 响应与与知识库库管理2203.144.5 服务器器数据存存储空间间管理2203.144.6 系统升升级管理理203.144.7 B/SS管理功功能支持持203.144.8系系统参数数设置
4、220第四章系系统特点点214.1全全面的终终端防护护能力2214.2 分权分分级的管管理模式式214.3 方便灵灵活的安安全策略略214.4 终端安安全风险险量化管管理2114.5 周全详详细的系系统报表表224.6 丰富的的应急响响应知识识库2224.7 完善的的插件式式系统架架构2224.8 方便快快捷的安安装、卸卸载和升升级2224.9 多级部部署支持持23附件一:名词解解释244第一章 系统概述第一章 系统统概述随着信息息化安全全技术的的不断发发展,各各种内网网安全管管理问题题逐步凸凸现出来来。据IIDC调调查报告告显示超超过855%的网网络安全全威胁来来自于内内部,其其危害程程度更
5、是是远远超超过黑客客攻击所所造成的的损失,而而这些威威胁绝大大部分是是内部各各种非法法和违规规的操作作行为所所造成的的。内网安全全问题已已经引起起了各级级单位的的广泛重重视,随随着安全全意识的的不断增强强,安全全投入逐逐步增加加,但是是内网的的安全事事件却不不断地增多。分分析其原原因我们们认为主主要有以以下几个个方面:u 有章不循循,有规规不依,企企业内网网安全合合规性受受到挑战战。很多公司司明文规规定安装装操作系系统必须须打最新新的补丁丁,但是是终端用户户依然我我行我素素导致操操作系统统补丁状状况不一一,从而而给蠕虫虫病毒、木木马程序序和黑客客软件带带来了可可乘之机机。同时时有些单单位购买买
6、了防病病毒软件件,但是是终端用用户没有有按照单单位统一一部署的的要求安安装防病病毒软件件,或者者有些终终端用户户虽然安安装了防防病毒软软件,但是没没有及时时更新病病毒库,导导致计算算机病毒毒有机可可乘。对对于终端端安全管管理,公司建建立了很很多安全全制度,但但是终端端用户不不按照公公司安全全规定要要求,将将不安全全的计算算机接入入网络,从而引引入了内内网安全全威胁,企企业内网网的安全全合规性性受到了了严峻的的挑战。u 谋一时,而而未谋全全局,终终端系统统被划分分为多个个独立的的信息安安全孤岛岛。各单位在在解决各种种内网安安全问题题上,通常缺缺乏统一一、全面面的内网安全全解决方方案。按按照“头痛
7、医医头,脚脚痛医脚脚”的内网网安全防防护加强强思路,采购并部署了多款终端安全管理的产品,比如:身份认证、补丁管理、软件分发、病毒防护软件等等。但是这些终端安全防护软件来自于不同的安全厂商,各种软件之间各自为政,缺乏统一管理、协调工作的机制,最终导致个人桌面系统被划分为一个个独立的信息安全孤岛,因此出现了终端安全管理混乱、内网安全漏洞百出,内网安全事件防不胜防。u 百花齐放放,百家家争鸣,终终端系统统终因难难堪负重,系系统性能能急剧下下降。为了加强强终端安安全管理理,在个个人桌面面系统上上同时安装装了不同同厂家的的终端代理理。每种种代理程程序都需需要实现现自我防防护、网网络通信信、运行行监控等等
8、程序调度度机制,需要重复的占用系统有限的CPU、内存等系统资源,导致个人桌面系统运行速度变慢,系统性能急剧下降。同时,由于不同厂家的软件存在很多功能重叠的部分,而这些重叠部分往往是采用类似技术开发,从而导致不同软件之间频繁发生应用冲突。u 治标不治治本,本末倒倒置,软软件购买买费用增加加,系统统维护成成本成倍倍增长。通常终端端管理软软件大致致分为三三个组件件,即:服务器器、控制制端、客户端端代理。每种服务器软件都需要独立的数据库和硬件服务器支撑,无形中增加了软件的部署成本。同时,由于每种软件都有自己的控制台程序,管理员要针对每套系统生成它的控制策略,每套系统的数据审计都是分开的,管理工作非常多
9、,管理员为每天的维护工作疲于奔命,从而导致管理疏忽。针对以上上几种原原因,以以及中软公司在对对企业内内网安全全管理展展开全面面调查的的基础上上,创造性性地形成成了一套套完备的的终端安安全“一体化化”解决方方案。在在过去的的几年里里中软公公司一直直致力于于内网安安全的研研究,并并在国内内最早提提出了一一系列的内网安安全管理理理论体体系和解解决方案案。内网网失泄密密防护软件件-中中软防水水墙系统统的推出出填补了了国内内内网安全全管理软软件的空空白,并并获得了了若干国国家专利利局的技技术专利利。防水水墙系统统连年获获奖,其其中在220066年“防水墙墙”被计算算机杂志志评为220055年度新新名词。
10、中软公司司早在220011年就开开始致力力于内网网失泄密密软件的的开发,先后向市场推出了中软防水墙系统7.0版本、7.0+版本和7.2版本。随着内网安全管理的复杂化,中软公司在复用防水墙系统成熟技术的基础上,引入先进的内网安全管理理念和新的内网安全管理技术重新搭建系统体系结构,自主研发了中软统一终端安全管理系统8.0(CSS United End-Point Management System,简称UEM8.0)。该系统是是以“木桶原原理”为理论论依据,以安全策略为驱动,按照PDR安全模型的“保护-检测-响应”工作流程循环检测,同时结合保密规定的“等级防护”指导方针,采用多种安全技术实现了对终
11、端主机全方位、多层次的安全防护。按照“保护-检测-响应”的工作流程逐步完善终端安全防护策略,并将事件处理方;式和处理流程登录到用户知识库,逐步形成内网事故应急响应流程和共享安全解决方案的知识库。2第二章 体系结构和运行环境第二章 体系结构构和运行行环境2.1系系统体系系结构系统分为为三个组组件:客客户端、服服务器和和控制台台,系统统采用分分布式监监控,集集中式管管理的工工作模式式。组件件之间采采用C/S工作作模式,组组件的通通信是采采用HTTTP/HTTTPS加加密传输输方式。支持任意层级的服务器级联,上下级服务器之间采用HTTPS协议进行数据交换。体系结构如图 1所示。图 1 系统统体系结结
12、构图n 客户端:安装在在受保护护的终端端计算机机上,实实时监测测客户端端的用户户行为和和安全状状态,实实现客户户端安全全策略管管理。一一旦发现现用户的的违规行行为或计计算机的的安全状状态异常常,系统统及时向向服务器器发送告告警信息息,并执行行预定义义的应急急响应策策略。n 服务器:安装在在专业的的数据服服务器上上,需要要数据库库的支持持。通过过安全认认证建立立与多个个客户端端系统的的连接,实实现客户户端策略略的存储储和下发发、日志志的收集集和存储储。上下下级服务务器间基基于HTTTPSS进行通通信,实实现组织织结构、告告警、日日志统计计信息等等数据的的搜集。n 控制台:人机交交互界面面,是管管
13、理员实实现对系系统管理理的工具具。通过过安全认认证建立立与服务务器的信信任连接接,实现策策略的制制定下发发以及数数据的审审计和管理。2.2 推荐硬硬件需求求客户端个个数10000服务器主主机个数数1111+服务器CPU P4 3.00RAM 1GBBHDissk 1120GGB CPU P4 3.00 ATTRAM 2GBBHDissk 2240GGBCPU P4 3.00 ATTRAM 4GBBHDissk4880GBBCPU Xeoon 11G*44RAM44GBSCSIIDissk 2240GGBRAIDD 5控制台CPU P4 2.00 RAMM 5112MBBHDissk 440GB
14、BCPU P4 2.00RAM 1GBBHDissk 440GBBCPU P4 3.00RAM 1GBBHDissk 440GBBCPU P4 3.00RAM 1GBBHDissk 880GBB客户端CPU P4 2.00/ RRAM 5122MB/HDissk 440GBB审计平台台CPU P4 2.00/ RRAM 5122MB/ HDissk 440GBB表格1 系统统推荐硬硬件需求求2.3 推荐软软件需求求操作系统统所需其他他软件支支持服务器Micrrosooft Winndowws SServver 20003 / Advvancced Serrverr(322/644位)SQL S
15、errverr 20000+SP44SQL Serrverr 20005SQL Serrverr20008或达达梦数据库库。硬件件“加密锁锁”驱动程程序控制台Micrrosooft Winndowws SServver 20003, Miicroosofft WWinddowss 20000 Proofesssioonall / Serrverr / Advvancced Serrverr, MMicrrosooft Winndowws XXP 客户端Micrrosooft Winndowws 220000 Prrofeessiionaal / Seerveer / Addvanncedd Seerveer, Miccros
